El escenario:
Tenemos un sistema de inicio de sesión para una aplicación web que requiere una contraseña de texto simple y 3 imágenes (de una colección de imágenes que los usuarios seleccionan durante el registro, el sitio proporciona las imágenes).
Un keylogger capturará solo las pulsaciones y no las imágenes de usuario seleccionadas, ¿verdad?
¿Es esto suficiente para derrotar a los keyloggers?
No. Los keyloggers a menudo también pueden hacer capturas de pantalla y registros de coordenadas del mouse. Así que el atacante aún puede ver qué imagen selecciona el usuario.
Otro tipo de autenticación de dos factores para la cual el usuario necesita dos dispositivos (por ejemplo, una computadora portátil y un teléfono) sería más seguro. Otra buena alternativa es un Yubikey. Un tipo de dispositivo que genera una contraseña pseudoaleatoria cada vez. De esa manera, el hacker / keylogger no puede adivinar la siguiente contraseña.
Una vez que el sistema está infectado con malware, se ve comprometido. Se puede observar todo lo que se hace en ese sistema, por lo que no hay manera de permitir que alguien inicie sesión de forma segura desde ese sistema con solo usar ese sistema. Período. Fin de la historia.
Podría idear algún esquema extraño para algo que el usuario tiene que hacer como parte del proceso de inicio de sesión en el que el malware no se graba, pero no importa lo complejo que haga las cosas o lo que haga para tratar de proteger el proceso en el sistema es en última instancia, toda la seguridad por la oscuridad. Usted espera que el malware no haya descubierto lo que está haciendo y haya encontrado una manera de recopilar la información que necesitan para evitarlo.
La única forma de mantenerse seguro es involucrar algo más que no hayan comprometido, AKA autenticación de dos factores (TFA). Un código de un llavero. Un código enviado por mensaje de texto / llamada automática.
Sí, sería fuerte er ... un poco. Eso no está diciendo mucho.
Si quieres ser técnico, un keylogger registra las claves. En el mundo real, muchos "keyloggers" también registran cosas que no son claves. Vea estas respuestas:
¿Puedo protegerme contra el registro de teclas con el mouse? ?
¿Con qué facilidad se anulan los keyloggers?
El software malicioso que solo registra los golpes de teclado rara vez existe en la naturaleza. La mayoría de los registradores de claves para interfaces gráficas (por ejemplo, Windows) son más sofisticados y registran todas las interacciones de los usuarios, incluidos los eventos de ratón, copia y pegado al enganchar en el sistema operativo.
Los registradores de claves normalmente son un pequeño subconjunto de un rootkit que también puede incluir la capacidad de actuar como un intermediario (MITM) y capturar sus credenciales o información de sesión sin registrar ningún golpe de tecla.
La mejor manera de frustrar a los registradores clave es no tenerlos.
Heck no.
Dicho todo esto, el tipo de mitigación del que está hablando puede tener alguna pequeña capacidad para desalentar a los sombreros negros que están recolectando contraseñas en masa, ya que será más difícil para ellos publicar y cobrar el pago por sus hallazgos ( es bastante fácil proporcionar a su cliente un archivo CSV de nombres de usuario y contraseñas, es un poco más de trabajo incluir imágenes y clics del mouse para cada víctima). Esta no es una buena razón para preocuparse, para ser honesto. Si te están apuntando individualmente, entonces el esquema del que estás hablando casi no ofrecería protección.
Las imágenes aún desempeñan un papel en la autenticación: puede usarlas para ayudar a sus usuarios a identificar ataques de suplantación de identidad mediante el suministro de imágenes personalizadas, pero en términos de derrotar a los keyloggers, realmente necesita ir con OTP , es decir, con un llavero o fuera de banda. Incluso la OTP no va a proteger contra ataques en tiempo real, pero es una buena forma de protegerse contra la obtención de contraseñas.
Lea otras preguntas en las etiquetas web-application authentication malware keyloggers