如何避免我的密码被网吧的键盘记录器窃取?

信息安全 密码 键盘记录器
2021-08-31 07:49:50

在旅行期间,特别是在贫穷的国家,有时您需要在网吧使用互联网,您真的无法确定是否有人安装了任何东西来收听您的击键。

有人告诉我这种方法,虽然我不确定这是否有效,但如果你在网吧,欺骗任何键盘记录器的一种方法是避免一次性输入密码。而是键入部分密码,然后插入一些随机字母,然后使用鼠标突出显示随机字母,然后覆盖它们。据说这会使键盘记录器误以为您的密码中有那些随机字母。

所以只是想知道,这真的有效吗?我可以使用其他更好的方法吗?

4个回答

如果您不信任媒体:请勿输入敏感信息。以某种晦涩难懂的方式输入您的密码就是这样:通过 obscurity 实现安全性,这永远不会奏效。

除此之外:如果您输入的密码在下次登录时发生更改,您可能能够在此类开放场所实现某种程度的安全性,请参阅one-time-passwords(注意:'2-factor-authentification 是一种混合方案,您已经知道密码的一半(保持不变/静态),然后您通过短信或任何其他方式获得另一半;第二半是一个-时间密码)

如果您不能确定您的击键没有被捕获(而且您不能),请使用任何类型的两因素身份验证。

确保您的密码本身没有用!

确保您的数据安全的唯一方法是避免将“所有内容”输入到可疑机器中。

鉴于键盘记录器是您唯一关心的问题(即没有复杂的跟踪软件):

例如,您可以在KeePass容器中携带一个带有所有重要密码的 USB 驱动器,以及 KeePass Portable。打开 KeePass Portable 后,使用 KeePass 容器的主密码。是的,您将面临被捕获的风险,但要解锁容器,您还可以将 KeePass 配置为使用密钥文件。没有这个密钥文件,主密码就没用了。该密钥文件可以存储在同一个拇指驱动器上,也可以存储在与原始拇指驱动器分开携带的另一个上。

打开 KeePass 容器后,您可以使用 KeePass 功能,无需键入即可输入密码

  • KeePass 可以最小化自身并将当前选择的条目的信息输入到对话框、网络表单等中。当然,输入顺序是 100% 用户可自定义的,请阅读文档文件了解更多信息。
  • KeePass 具有全局自动类型热键。当 KeePass 在后台运行(打开数据库)并按下热键时,它会查找正确的条目并执行其自动键入序列。

然而,这并不能欺骗监听键盘缓冲区的键盘记录器。但是,内置在键盘连接中的键盘记录器将毫无用处。

更好的选择:

  • 所有字段、标题、用户名、密码、URL 和注释都可以拖放到其他窗口中。

通过这样做,您无需输入除主密码之外的任何密码,您可以随时“丢弃”并在需要时更改。

我可以看到两种方式:

  1. 使用一些虚拟键盘解决方案您可以通过鼠标单击输入密码,它将避免键盘记录器(但可能无法避免基于鼠标单击的记录器)。但是,这将是一种安全级别。

  2. 您只需在密码框中输入错误的密码,然后用鼠标选择它(将错误的键替换为 true);键入真密码的前 3 个字符,键入 3 个错误的键,选择最后 3 个无效字符,然后键入 3 个正确的键替换无效的键。

您正在处理几种威胁;但从根本上说,您所要求的 - 使用潜在的恶意硬件 - 是不安全的,应该避免用于敏感目的。(例如,尽量不要在度假时检查您的银行帐户)。但是,如果您愿意承担这种风险但又想将其最小化,那么您的威胁如下:

  1. 硬件键盘记录器。以低于 30 美元的价格购买的键盘背面的一个简单附件可以存储每个按键;所以你会看到有人去一个网站,输入一个登录名,然后输入一个密码,以后可以很容易地破译它。修改现成的键盘以在内部自动执行此操作并不难;所以不要相信你是安全的,因为你在后面看不到附件。

  2. 软件键盘记录器。操作系统可能正在运行键盘记录器/鼠标记录器/屏幕捕获例程,原则上可以重播您执行的每个操作。

  3. 一个欺骗性的 DNS/损坏了在浏览器上为 MITM 安装的假证书,甚至是 SSL 站点。

  4. 一个浏览器扩展/黑客记录输入到 html 表单字段中的所有文本(包括密码)。

  5. 有人监视未加密的网络流量,您的密码/身份验证 cookie 以明文形式发送 - 确保您使用的是 SSL(使用适当的证书来防止 MITM)。

其中#5 是最容易预防的;对未加密的站点使用 ssh/vpn 隧道,或对由适当证书签名的站点使用 HTTPS(使用 SSL)。

您最好的选择还是使用您自己的硬件(带上智能手机;随身携带便宜的上网本/平板电脑)——这可以消除威胁 #1-#4;标准的良好做法可以防止#5。

您的第二个最佳选择是从您自己的 live cd 启动到您选择的来宾操作系统,然后使用您自己的方法来隐藏您的键盘记录器密码。这可能是键入一半字符(不一定按顺序;并从网页/URL 上的字母剪切并粘贴另一半——最好只使用鼠标执行此操作——例如,在 gnome 中,如果你选择一个字符,你可以用鼠标中键粘贴它)。使用 live cd 可以防止 #2 & #3 & #4。您仍然容易受到#1的影响,但您可能会适当地将您的密码隐藏给普通的键盘记录器,虽然他们可能已经恢复了部分密码,但他们不会拥有全部密码(我也不会从 cut并粘贴以防他们正在录制/克隆显示器上显示的视频)。一世'

如果您求助于无法启动来宾操作系统;我认为输入的任何数据都受到了损害。您可以做一些事情使其变得更加困难(例如,下载并运行新的网络浏览器;尝试通过乱序输入/剪切和粘贴部分来隐藏您的密码;等等),但原则上他们可以获得数据如果他们想要的话。

其它你可能感兴趣的问题
上一篇告诉浏览器我的网站没有脚本 下一篇电力线以太网适配器本质上是安全的吗?