¿Cuál es la forma más segura de ingresar información en un sitio web?

2

¿El teclado en pantalla tiene que trabajar con un mouse? ¿Copiar y pegar? Escriba una cadena de caracteres aleatorios y luego elimine los extraños? ¿Algo más?

    
pregunta Jeff Caros 23.06.2016 - 02:18
fuente

5 respuestas

2

Los teclados en pantalla no son una solución, ya que cualquier registrador de teclas puede incluso capturar capturas de pantalla, lo que elimina incluso los teclados en pantalla al azar. ( source )

  

La conclusión es simplemente esto: nunca debes asumir que hay una manera   para eludir pulsadores de teclas. Fácilmente podrían ser más sofisticados.   que tus intentos de trabajar alrededor de ellos.

     

De lejos, la única manera segura de lidiar con los registradores de pulsaciones de teclas no es   Permita que su máquina se vea comprometida en primer lugar.   ( fuente )

Probablemente una de las mejores maneras de protegerse es asegurarse de que lo que esté ejecutando esté libre de registradores. Por ejemplo, podrías usar un DVD en vivo (fácil y barato).

Hay un próximo producto "kickstarter" que parece simplificar ese proceso mediante la incorporación de una micro placa dentro de un teclado, que puede ser iniciado en lugar del sistema operativo actual o en un contenedor dentro del sistema operativo actual:

  

SilentKeys es un teclado USB Plug'n'Play que   Te protege tanto fuera de línea como en línea. Mantenga el control sobre su privacidad   y proteja su computadora contra virus, espionaje y piratas informáticos.   Proteja sus pulsaciones de teclado de los registradores de teclas. Ir anónimo al empuje de   un botón. Cifre sus datos y proteja el acceso a Paypal, Facebook,   Banco, así como todas sus cuentas y credenciales en línea.

enlace

Todavía no estoy lo suficientemente familiarizado con ese proyecto, por lo que no puedo recomendarlo ni explicar más detalles sobre él. Simplemente pensé que es interesante (no tengo ninguna relación con ese proyecto).

NOTA: Mi respuesta se basa en la idea de que está buscando una solución en la que no pueda confiar en la computadora que está usando (como en un lugar público). Si está hablando de su propia computadora personal, le sugeriría encarecidamente que utilice Linux e instale tripwire . Esa pieza de software le notificará si alguno de sus archivos de SO se modifica de alguna manera. Puede que no sea 100% efectivo contra los registradores de claves en memoria, pero le brinda un mayor conocimiento sobre lo que se está modificando en su sistema sin su consentimiento.

    
respondido por el lepe 23.06.2016 - 04:37
fuente
2

Si se instala un keylogger, estás perdido. Si este es el caso, puede estar bastante seguro de que hay alguna otra herramienta de software instalada que puede monitorear su computadora.

Sin embargo, puede asegurar algunos inicios de sesión, utilizando un Yubikey o dispositivos similares. Pueden generar contraseñas únicas de una sola vez. Esto solo puede funcionar si el sitio web o el programa funcionan con Yubikey.

El Yubikey puede almacenar dos contraseñas o métodos de contraseña. Puedes elegir lo que necesites. Para la segunda contraseña, puede almacenar una cadena estática, larga y difícil de escribir y adivinar. Puede usar esto para agregar a cualquier contraseña que desee, como esta:

}v@+z5JLWf0'=y,6z?"~4FQ-Z]q7@Op<=yDr_^Xn

Luego, para cada inicio de sesión en el sitio web, puede usar una contraseña corta única, fácil de recordar, luego esta cadena larga. El Yubikey actúa como un teclado, entra en la cadena. Pero, ¿esto protege contra los keyloggers? No lo creo.

Además, esto no siempre funcionará bien, ya que algunos sitios no permiten ciertos caracteres, o solo permiten 10 o 20 caracteres, etc. Mejor usar Lastpass para esto, que hace lo mismo, pero luego con una contraseña única adecuada para ese sitio web . ¡Puedes proteger tu cuenta de Lastpass con Yubikey! Ambas son herramientas útiles para diferentes propósitos.

    
respondido por el SPRBRN 23.06.2016 - 10:04
fuente
1

Mi conocimiento no está actualizado, pero hace varios años trabajé en una agencia de los EE. UU. que quería comprender cómo maximizar la seguridad para los usuarios finales que usan PC que no estaban bajo el control de la agencia, por ejemplo. para algunos usuarios finales que inician sesión desde su casa, su empleador o desde la biblioteca pública.

El más popular en ese momento era Zeus, y aunque Zeus tenía un keylogger, en la práctica el keylogging es extraordinariamente tedioso porque la gran mayoría de las pulsaciones no son interesantes: un atacante quiere robar tarjetas de crédito / contraseñas / SSN, no leer sus IM. Multiplique este proceso por decenas de miles de nodos infectados, y podrá ver por qué los atacantes podrían no estar dispuestos a implementar keyloggers.

Zeus pudo infectar la memoria del proceso de IE y pudo conectarse al envío del formulario para que pudiera leer los valores de un formulario HTML, incluso si el sitio estaba usando TLS. De hecho, podría configurarse para capturar solo los formularios enviados a través de TLS, lo que resulta en una concentración mucho mayor de datos valiosos en comparación con el registro de teclas de todo lo que el usuario escribió.

¿El resultado? La agencia en la que trabajé tenía varios teclados virtuales diferentes y almohadillas de pin virtuales implementados en sus diferentes propiedades, y cada uno de ellos fue fácilmente derrotado por el registrador de formularios de Zeus. Como dije anteriormente, mi conocimiento está fechado; Solo puedo asumir que los juegos de crimen son aún más efectivos ahora.

    
respondido por el Mark E. Haase 30.06.2016 - 17:55
fuente
0

Si piensa que la probabilidad de que una computadora tenga un registrador de teclas es tan alta que siente la necesidad de jugar para engañarla, no debe ingresar ninguna contraseña en esa computadora. Este es un juego que probablemente perderás, así que es mejor que no lo juegues.

Dicho esto, si estuviera en algún tipo de emergencia y no tuviera otra opción que revisar mi correo en una computadora pública, haría algo parecido a su última sugerencia, mezclando la entrada con el teclado y el mouse. Además, usaría la autenticación de dos factores si esa es una opción.

Luego, tan pronto como llegara a una computadora segura, cambiaría mi contraseña por si acaso. Porque si la computadora estuviera infectada, mi contraseña probablemente sería robada ahora de todos modos.

Si desarrollara malware, no me molestaría en registrar las pulsaciones de teclado. En su lugar, me conectaría a los navegadores y solo leería el contenido de todos los formularios antes de enviarlos. De esa manera, obtendría un nombre de usuario, una contraseña y un sitio a la vez. Ningún tipo de escritura te va a ayudar contra eso ...

    
respondido por el Anders 23.06.2016 - 10:14
fuente
0

¿Trabajar con el mouse con el teclado en pantalla? Hay keyloggers que pueden capturar las coordenadas de los clics del mouse. Sin embargo, también hay keyloggers que simplemente capturan capturas de pantalla. Así que ese método no es realmente a prueba de balas. Se llama captura de pantalla.

¿Copiar y pegar? No Algunos programas maliciosos (imho, sofisticados) pueden incluso extraer lo que has copiado de la memoria. Además, incluso algunos keyloggers simples también tienen la capacidad de realizar el registro de formularios, de esa forma se captura todo lo que se escribe o se pega en un buzón de entrada. No importa cómo llegó allí (mediante el teclado en pantalla, simplemente escribiendo o pegando) está activado.

¿Escribir una cadena aleatoria y eliminar caracteres? Los keyloggers también capturan retroceso, teclas de flecha, ... Y también, mencionan el registro de formularios.

¿Qué debo hacer entonces? Bueno, en primer lugar, asegúrate de no infectarte. De todos modos, existen navegadores de seguridad especiales que utilizan un tipo de sistema de recinto de seguridad. SafeZone de Avast es un ejemplo de ello. Es un tipo especial de navegador que protege sus pulsaciones al enviarlas directamente a ese navegador. Y debido a que es una caja de arena, otros programas maliciosos como, por ejemplo, los registradores de formularios tendrán dificultades para extraer información de ellos. SafeZone incluso tiene una protección contra la captura de pantalla. Pero mencione, incluso SafeZone no siempre puede proteger contra los registradores de claves de hardware.

Si estás en una especie de lugar público. Puedes usar una memoria USB con un Linux LiveOS. Un LiveOS hecho para la seguridad. Tails o QubesOS es adecuado para esto. QubesOS también funciona con un sofisticado mecanismo de sandbox / vm. Sin embargo, esto tampoco protegerá contra el hardware de registro de teclas.

Por lo tanto, los navegadores de seguridad / sandbox como SafeZone parecen cerrarse a lo que usted desea. Una forma relativamente segura de escribir contraseñas / información en los navegadores.

    
respondido por el O'Niel 30.06.2016 - 19:44
fuente

Lea otras preguntas en las etiquetas