2009年8月17日星期一

【权利:2512】 Re: 计算机密码安全建议 不要保存密码自动登录

  1. 特别需要安全的场合,可以点击 开始 / 运行,输入 osk.exe 运行 On-Screen Keyboard 屏幕键盘, 用鼠标点击屏幕键盘输入密码,并在输入过程中不断移动键盘窗口,使得鼠标动作更复杂。可以密码的部分键用鼠标输入,部分用键盘输入。这样只有同时监视键盘和鼠标屏幕动作的木马,才能截取你的密码。
  2. 如果有很多密码难记,可以用 keepass 密码备忘软件加密保存。用于加密保存密码备忘录的主密码可以用 OSK 屏幕键盘方式输入,更安全。keepass 也带屏幕键盘插件。
注意,如上第1条说法是错误的。 osk.exe 屏幕键盘不能起到防止窃听键盘输入内容的木马窃取密码的作用,因为输入的信息依然要通过 windows 事件消息发送到接收密码的软件中。这是我的失误。

但是第2条中,keepass 所采用的内嵌屏幕键盘插件的方式,可以起到防止窃听键盘输入内容的作用。因为,输入的信息不经过 windows  事件消息,而是在软件内部传递的。

微软的两位研究员[1]提出了一种简便的防止密码被木马窃取的诀窍。方法是,在网页或者软件登录界面中输入密码的时候,每输入一个密码中的字符,就在其他 非密码输入位置点击一下鼠标,输入一些杂乱字符,然后再回到密码输入框输入下一个字符,如此重复直到输完密码。这样即便在有监视键盘和鼠标动作的不安全的 网吧计算机上,窃听键盘按键的木马也很难截取密码。

这种方法的原理是,木马用于截取密码的方法,一般无法知道你输入的字符在一个软件内部是如何分配的。当然,也有专门针对这一诀窍的破解方法,但是因为过于 复杂而目前的截取键盘的木马都不能支持,要每次按键都截取屏幕,配合截取的鼠标操作,来完成密码的截取。这样工作量太大了。

但是请注意,上述方法只能防范对键盘输入的软件窃听。如果一个软件保存和传递密码的方式不安全,那么即便采用这种方式,密码依然可能被网络窃听或者密码文件解密手段窃取。

如果你能都英文,可以读一下这些防范木马的参考文献[1]-[4]。

参考:

[1] Cormac Herley and Dinei Florencio: How To Login From an Internet Caf´e Without Worrying About Keyloggers; Microsoft Research, Redmond; http://cups.cs.cmu.edu/soups/2006/posters/herley-poster_abstract.pdf
[2] Nikolay Grebennikov: Keyloggers: How they work and how to detect them; Mar 29 2007; http://www.viruslist.com/en/analysis?pubid=204791931
[3] http://en.wikipedia.org/wiki/Keystroke_logging
[4] Yury Mashevsky; Alexey Monastyrsky; Konstantin Sapronov: Rootkits and how to combat them; Virus Analyst, Kaspersky Lab; Aug 19 2005; http://www.viruslist.com/en/analysis?pubid=168740859

-- 
许志永被黑帮绑架 http://tr.im/vxqH

--~--~---------~--~----~------------~-------~--~----~

★★北京益仁平中心http://www.yirenping.org★★公益法律人http://www.gyflr.org
★★北京忆通律师事务所(李劲松律师,李苏滨律师)http://www.bj580.com
★★伯阳法律援助网(常伯阳律师)http://www.by148.com
★★中国人权维基 Chinese Human Rights Wiki http://www.changkun.org/wiki

★★《权利》电子邮件网络非常鼓励具有行动力的文章供大家分享和引起支持!

1,所有帖子没有注明"不可转载"的,一律可以转载;转发本邮件成员文章,请注明"转自《权利》http://groups.google.com/group/ChinaRights"。
2,《权利》公共发言,请发电子邮件到 ChinaRights@googlegroups.com
3,要退订此论坛,请发邮件至 ChinaRights-unsubscribe@googlegroups.com
4,群发邮件,慎重发言,文明用语,切忌只言片语不明不确!
5,备份查询:http://chinarights2.blogspot.com
6,联系:gongchangbeijing@gmail.com
-~----------~----~----~----~------~----~------~--~---

没有评论: