le scénario :
Nous avons un système de connexion pour une application Web nécessitant un mot de passe en plainte et 3 images (à partir d'une collection d'images sélectionnant lors de l'enregistrement, les images sont fournies par le site).
Un Keylogger n'attribuera que les claviers et non les images utilisateur sélectionnées, non?
Est-ce suffisant pour vaincre les Keyloggers?
Nan. Les Keyloggers peuvent souvent également faire la capture d'écran et la coordination de la souris. Donc, l'attaquant peut toujours voir quelle image sélectionne l'utilisateur.
Un autre type d'authentification à deux facteurs pour laquelle l'utilisateur a besoin de deux périphériques (par exemple, un ordinateur portable et un téléphone) serait plus sécurisé. Une autre bonne alternative est une yubikey. Une sorte de dispositif qui génère un mot de passe pseudo-aléatoire à chaque fois. De cette façon, le Hacker/Keylogger ne peut pas deviner le mot de passe suivant.
Une fois que le système est infecté par des logiciels malveillants, il est compromis. Tout ce qui est fait sur ce système peut être observé afin qu'il n'ya aucun moyen de permettre à quelqu'un de se connecter en toute sécurité à partir de ce système à l'aide de ce système. Période. Fin de l'histoire.
Vous pourriez proposer un schéma bizarre pour quelque chose que l'utilisateur doit faire dans le cadre du processus de connexion que les logiciels malveillants ne se produisent pas, mais peu importe la complexité, vous faites des choses ou ce que vous faites pour essayer de protéger le processus sur le processus Système Il est finalement toute sécurité par obscurité. Vous espérez que les logiciels malveillants n'ont pas compris ce que vous faites et trouvez un moyen de rassembler les informations dont ils ont besoin pour le contourner.
Le seul moyen de rester en sécurité est d'impliquer quelque chose d'autre qu'ils n'ont pas compromis, alias deux facteurs d'authentification (TFA). Un code d'une touche FOB. Un code envoyé via un message texte/appel téléphonique automatisé.
Oui, il serait fort er ... un peu. Ce ne dit pas grand-chose.
Si vous voulez être journaux techniques, un keylogger clés. Dans le monde réel, de nombreux " keyloggers " log aussi des choses autres que les clés. Voir ces réponses:
Puis-je protéger contre keylogging en utilisant la souris?
facilité sont keyloggers déjoué?
Logiciel malveillant qui enregistre uniquement les coups de clavier existe rarement dans la nature. La plupart des enregistreurs de frappe pour les interfaces graphiques (par exemple Windows) sont plus sophistiqués et enregistrent toutes les interactions de l'utilisateur, y compris la souris, copier et coller des événements en accrochant dans le système d'exploitation.
Les enregistreurs de frappe sont normalement un petit sous-ensemble d'un rootkit qui peut également inclure la capacité d'agir en tant qu'homme-en-the-middle (MITM) et saisir vos informations d'identification ou des informations de session sans vous connecter des touches.
La meilleure façon de déjouer les enregistreurs de frappe est de ne pas les avoir.
Heck pas.
Que tout dit, le genre de mesures d'atténuation dont vous parlez peut avoir une petite capacité à décourager les chapeaux noirs qui sont des mots de passe de récolte en masse, car il sera plus difficile pour eux de publier et de recueillir le paiement de leurs résultats (il est assez facile pour fournir à votre client un fichier CSV des noms d'utilisateur et mots de passe, il est un peu plus de travail pour inclure des images et des clics de souris pour chaque victime). Ce n'est pas beaucoup plus d'une raison d'aller à la peine, pour être honnête. Si vous êtes ciblé individuellement, le système dont vous parlez offrirait presque aucune protection.
Les images ont encore un rôle dans authentication-- vous pouvez les utiliser pour aider vos utilisateurs à identifier les attaques de phishing en fournissant personnalisé images-- mais en termes de vaincre keyloggers, vous avez vraiment besoin d'aller avec BDP , soit avec un porte-clés ou hors bande. Même Bureau du Procureur ne va pas protéger contre les attaques en temps réel, mais il est une très bonne façon de se protéger contre la récolte de mot de passe.