タイトル通り、アクセスを認証するときにキー/キーストロークログを無効にするために何ができるでしょうか。
PIN /パスワードからランダムな数字を選択するためのアドバイスを求める関連する質問(ピンパスワードからランダムに数字を保存して確認する方法)を投稿しました。他にどのような合理的に目立たない方法があるでしょうか?
ありとあらゆる解決策に感謝します。
タイトル通り、アクセスを認証するときにキー/キーストロークログを無効にするために何ができるでしょうか。
PIN /パスワードからランダムな数字を選択するためのアドバイスを求める関連する質問(ピンパスワードからランダムに数字を保存して確認する方法)を投稿しました。他にどのような合理的に目立たない方法があるでしょうか?
ありとあらゆる解決策に感謝します。
キーロガーを打ち負かすための1つの解決策は、入力した内容をキャプチャするかどうかを気にしないことです。
ワンタイムパスワード(検索:「OTP」)は1つの解決策です。スマートカード認証は別のものです。
文字が書かれたクリック可能な画像を作成できます。あなたのユーザーはかなり怒っているでしょう...
ハードウェアベースのキーロガーは、キーボードの使用を必要とするソリューションにだまされることはありません。したがって、それらをバイパスするには、マウスからの入力のみが必要になります。ただし、ソフトウェアベースのキーロガーは、キーをキャプチャし、フックリストの次のフックプロシージャを呼び出さないキーボードフックを独自のコードに追加することで停止できます。ただし、キーボードフックは、誤って使用するとウイルス対策ソフトウェアをトリガーする傾向があり、間違ったパラメータを使用してダイナミックライブラリで使用するとバグが発生します。
そして基本的に、キーロガーはキーフックを使用してキーストロークをキャプチャします。マルウェアのキーフックの上に独自のキーフックを追加すると、キーロガーが無効になります。
ただし、カーネルの奥深くに隠れているキーロガーがあるため、すぐにセキュリティをバイパスするキーロガーになってしまいます。
ただし、キーロガーの危険性にあまり焦点を当てないでください。これは、ハッカーがあらゆる種類のアカウント情報を取得するために使用する多くの方法の1つにすぎません。さらに悪いことに、ソーシャルエンジニアリングのトリックからユーザーを保護する方法はありません。基本的に、ハッカーがアカウント情報を入手する最も簡単な方法は、被害者にこの情報を尋ねるだけです。偽のサイト、偽のアプリケーション、その他のあらゆる種類のトリックを通じて、キーロガーをブロックすることで保護しようとしている情報を収集する可能性があります。しかし、キーロガーは最大の危険ではありません。
1つの提案は、ユーザーがクリックできるようにかわいい子猫(または子犬)の写真を使用することでした。10枚の写真のセットを使用して、ユーザーがそのうちの4枚を「ピンコード」として選択できるようにすることができます。次に、ユーザーがコードを入力する必要があるときはいつでも、ハッカーがその場所を使用できないように、ランダムな順序で画像を表示します。Webアプリケーションの場合は、写真にもランダムな名前を付け、サーバーにどちらがどれかを知らせます。さらに複雑にするために、10枚の写真の10セットを作成できます。ここで、すべての写真は1つのオブジェクトを表示しますが、わずかに異なる視点、異なる角度、または異なる色で表示されます。セット1は椅子、セット2はテーブル、セット3は子猫、セット4は子犬などです。ユーザーは、テーブル、子猫、椅子、子犬を覚えておく必要があります。(または子犬、椅子、椅子、テーブル。または子猫、子犬、子犬、
画面キーボードのみを使用してパスワードを入力することを許可できます。
または、(マウスまたはスティルスを介して)手書きのパスワード認識用のモジュール(フラッシュなど)を作成することもできます。
マウス入力ではなくキーボードのみがキャプチャされると仮定すると、マウスでカーソルを移動して、パスワードを順不同で入力できます。
でも、私はワンタイムアプローチの方が本当に好きです。
唯一の実際の方法は、適切な2要素認証です。指紋、虹彩スキャンのいずれかです。または彼らが持っているもの:ワンタイムパスワードリスト/ジェネレーター; 暗号ジェネレータ。
標準パスワードのバリエーションはどうですか。たとえば、単語のリストを作成し、プログラムで各単語からランダムな文字を除外することができます。それに加えて、ユーザーが覚えて入力しなければならない単語をリストから1つ除外します。
単語が文章を構成する場合、それを覚えやすくするか、ユーザーは覚えやすくなりますが、一方で、文章の文脈から推測できない単語を使用する必要があるため、文章の作成はより困難になります。
これの別のバリエーションは、プログラムでランダムにユーザーにすべての文字iを1またはaを4に置き換えるか、3文字ごとに文字Rを配置するように要求することです。
基本的に、ランダムに変更されるパスワードを用意し、パスワードの変更方法をユーザーに表示するように指示します。
今考えてみると、自分のアイデアがどれほど目立たないのかわかりません...
私の銀行のオンラインバンキングポータルは、私が非常に邪魔にならないようにする良い方法を持っています。アカウントを作成するときに、6桁のPINを定義します(通常のパスワードに追加)。パスワードを入力すると、2つのランダムな位置に6桁のPINの2桁を入力するよう求められます。たとえば、PINが654321の場合、2と5の数字を要求され、5と2をクリックします(クリックする数字の付いたテンキーがあります)。キーボードで数字を入力したとしても、攻撃者はあなたが要求された数字を知らないので、ある程度安全です(攻撃者が画面をキャプチャしない限り、おそらくテンペストを使用します)。
したがって、簡単な答え:パスワード/PINの一部のみをランダムな順序で要求します。ユーザーにマウスを使用させると、セキュリティが向上します。
もう1つのアイデア:PIN(数値パスワード)をお持ちの場合は、「2桁目プラス3、4桁目マイナス1」などの特定の桁の変更をユーザーに依頼してください。