Frage:
Sind die Daten zwischen einer Tastatur und einem Webbrowser vor lokalen Computeranwendungen geschützt?
Devil07
2019-01-15 00:33:49 UTC
view on stackexchange narkive permalink

Meine Frage bezieht sich auf den Text, den ich in einem Webbrowser auf einer Tastatur eingebe. Ich verstehe, dass wenn die Website HTTPS hat, die Verbindung von meinem Browser zur Website sicher / verschlüsselt ist, aber was ist mit dem Text, den ich auf der Tastatur des lokalen Computers eingebe?

Wenn Sie beispielsweise in einem Internetcafé ein Chrome-Fenster öffnen und zu einer sicheren Site (HTTPS) gehen, ist der Text, den Sie auf der Tastatur eingeben, sicher von der Tastatur zum Browser? Kann die Schlüsselprotokollierungssoftware auf dem lokalen Computer auf den Text zugreifen?

Mein Anliegen ist die Anmeldung bei meinem E-Mail-Konto (oder einem anderen privaten Konto) auf einem öffentlichen Computer. Kann das von mir eingegebene Kennwort abgefangen werden? Wenn ja, gibt es eine Möglichkeit für einen Benutzer eines öffentlichen Computers, in diesem Szenario die Vertraulichkeit seines Kennworts zu gewährleisten?

Wenn Sie sich zu viele Gedanken über die Schlüsselprotokollierung machen, öffnen Sie eine Wikipedia-Seite, kopieren Sie alle Zeichen, die Sie zum Anmelden benötigen, und fügen Sie sie ein. Vielleicht wird auch die Zwischenablage protokolliert!
@daygoor Selbst wenn die * Zwischenablage * nicht protokolliert ist, würde ich erwarten, dass ein Keylogger auf dem Computer selbst sagen kann, dass Sie die einzelnen Zeichen hervorgehoben und höchstwahrscheinlich auch kopiert haben.In einem Protokoll wird möglicherweise "Hervorheben" h "->" Strg + C "->" Hervorheben "u" -> "Strg + C" -> "Markieren" n "->" Strg + C "angezeigt-> `markieren" t "` -> `Strg + C` ->` markieren "e" `->` Strg + C` -> `markieren" r "` -> `Strg + C` ->` markieren "2 "` -> `Strg + C` oder etwas ähnlich Ähnliches.Selbst wenn Sie mit der rechten Maustaste auf -> Kopieren klicken, würde ich davon ausgehen, dass ein Keylogger dies bemerkt.
Dies hängt stark vom verwendeten Betriebssystem ab - insbesondere davon, wie gut einzelne Anwendungen (voneinander und von gemeinsam genutzten Komponenten wie der Tastatur) isoliert sind und wie gut es hilft, korrekte Zugriffsrechte anzuwenden.--- Selbst wenn das Betriebssystem die Anwendungen perfekt isoliert, gibt es mögliche Schwachstellen oder Fehlkonfigurationen, die einen nicht autorisierten Zugriff ermöglichen.
@pabouk, das sind viele Variablen, die Sie kaum erklären können.Sicher, Sie können die Existenz, die Raffinesse und die Funktionsweise eines Keyloggers nicht einmal (leicht) beweisen oder widerlegen. Wenn Sie jedoch nicht vertrauenswürdig sind, sollte davon ausgegangen werden, dass eine fremde Maschine absolut gefährdet ist.Dies reduziert die Annahmen und Möglichkeiten, die Sie bei der Entscheidung über den Umgang damit berücksichtigen müssen.In Anbetracht dieser Einstellung ist das Kopieren / Einfügen von Zeichen aus einem Dokument nicht im geringsten sicher, und dieses Missverständnis sollte nicht fortbestehen.
Nun, [diese xkcd] (https://xkcd.com/538/) ist für diesen Fall besonders geeignet, denke ich ...
@frarugi87 Ich stimme dieser Instanz nicht zu.Es kann eine Menge Datenerfassung geben, die von einem öffentlichen PC aus vollständig erfasst werden kann.Es ist sehr wahrscheinlich, dass ein Facebook-Passwort abgefangen wird, das ... einen Wert haben kann oder nicht.Noch wichtiger ist jedoch, dass ein Angreifer möglicherweise Informationen wie Zahlungsdetails erfassen kann.Und der Angreifer muss nicht der Besitzer des öffentlichen Computers sein - es könnte * jeder * sein, der Zugriff darauf hatte und beschlossen hat, damit Daten zu sammeln.Öffentliche PCs haben normalerweise keine 4096, sondern eine RSA-Verschlüsselung.Es kann sogar über das Internet infiziert werden, ohne dass es gezielt eingesetzt wird.
@vlaz Ja, ich war ein bisschen schnell in dem Kommentar und habe daher viele Details über das "Warum" übersprungen. Ich dachte, es wäre dafür geeignet.Mein Kommentar betraf die "Eskalation" der hier aufgeführten Maßnahmen.Von einem einfachen Keylogger, der die von Ihnen geschriebenen Tasten erfasst, zu einem, der alle Ihre Aktivitäten aufspürt und korreliert, um das eingegebene Passwort als Mischung aus Kopieren, Einfügen, Mausbewegungen und direktem Tippen zu extrahieren.Dies ist technisch möglich, genau wie der Versuch, den PC im xkcd-Comic zu hacken, aber meiner persönlichen Meinung nach würde niemand Zeit verschwenden, nur ein paar Passwörter mehr zu sammeln (für die "Nigerianer [...]
[...] Prinz Betrug die gleichen Gründe).In jedem Fall ist meiner Meinung nach die Komplexität eines Keyloggers in einem öffentlichen PC nicht relevant.Ich betrachte alle Daten, die ich auf einem öffentlichen Terminal austausche, als öffentlich. Wenn ich also auf einen Dienst zugreifen möchte, den ich nicht gefährden möchte, verwende ich nur private Terminals in privaten Netzwerken
@frarugi87 ist das ein hoch entwickelter Keylogger?Ich gebe zu, ich habe nur mit einem herumgespielt, den ich auf meinem Computer installiert habe, um zu sehen, was er getan hat.Es ist meine erste und letzte und es protokolliert diese Art von Informationen, einschließlich des Fensters, in das Sie beim Drücken einer beliebigen Taste geklickt haben, und sogar des tatsächlichen Felds oder der Schaltfläche, mit der Sie interagieren.Sie wissen also, ob Sie zwischen der Registerkarte Firefox und Wikipedia gewechselt und dann das Kennwortfeld einer Banking-App eingegeben haben.Es könnte diese Informationen per E-Mail senden oder einfach ausgeben.Das war vor 15 Jahren - ich bezweifle, dass Keylogger seitdem weniger anspruchsvoll geworden sind.
@vlaz was ist, wenn mein pw ´ertn2hu´ nicht ´hunter2´ ist?:) :)
Nein, es sei denn, Sie haben einen AVP, der die allgemeinen Signaturen für die Erfassung von Tastatureingaben erkennt.Ende der Frage
Beachten Sie, dass Ihr Browser eine lokale Computeranwendung ist.
Ich nehme zum Mitnehmen, dass MFA meine persönlichen Konten schützen kann, aber ich kann auf einem öffentlichen, nicht vertrauenswürdigen Computer nichts tun, um sicherzustellen, dass mein Benutzername / Passwort nicht erfasst wird.Darüber hinaus können alle im HTTPS-Browserfenster auf dem nicht vertrauenswürdigen Computer angezeigten Informationen auch vom lokalen Computer erfasst / aufgezeichnet werden.
Wenn Sie Sicherheitsbedenken haben, benutzen Sie kein Internetcafé.Am besten besorgen Sie sich einen WLAN-Tarif und verwenden ihn.Alles Elektronische erzeugt elektromagnetische Strahlung.Es gibt Leute mit der richtigen Ausrüstung, die die elektrischen Signale durch Drücken verschiedener Tasten erkennen können.Sie müssen bestimmen, wie wertvoll Ihre Daten sind, und für das schützen, was sie wert sind.
@Devil07: Denken Sie immer daran: Wenn Sie sich auf einem nicht vertrauenswürdigen Gerät befinden, können Sie nicht einmal darauf vertrauen, dass die Software, die Sie verwenden, tatsächlich die Software ist, die Sie verwenden.Wie können Sie sicherstellen, dass Sie beim Öffnen von "Chrome" nicht meine geänderte Binärdatei von Chrome öffnen, die keine Zertifikatsprüfung durchführt und keinen MITM-Angriff auf jeden Client ausführt?Kurze Antwort ist, dass Sie nicht können, weil alles auf dem Gerät kompromittiert werden könnte.
Beste Zusammenfassung all dessen - Die beiden wichtigsten Sicherheitsebenen sind, wer physischen Zugriff auf das Gerät und wer administrativen Zugriff auf das Gerät hat.Wenn die Antwort auf eine dieser Fragen jemanden enthält, dem Sie nicht vertrauen, können Sie die Verwendung des Geräts als potenziell gefährdet betrachten.
Sechs antworten:
bashCypher
2019-01-15 01:45:13 UTC
view on stackexchange narkive permalink

Nein, Ihre Daten sind vor Schlüsselprotokollierern auf einem lokalen Computer nicht sicher. Hier gibt es nicht viel mehr zu sagen, um fair zu sein. Ein Key Logger erfasst und speichert jeden eingegebenen Tastenanschlag. Die tls (https) -Verschlüsselung erfolgt "nachdem" der Treiber von der Tastatur "diese Tastenanschläge" über "den Schlüsselprotokollierer an den Browser gesendet hat.

Auch wenn eine Verschlüsselung verwendet wird und keine vorhanden ist Bei vielen Arten von Spyware auf dem Computer kann die Verbindung zwischen dem Computer und der Site ein Man in The Middle-Gerät (MiTM) enthalten, zwischen dem Ihr Computer den Eindruck erweckt, dass er Verschlüsselung verwendet, wenn dies nicht der Fall ist.

Gute Frage . Ja, an einem öffentlichen Kiosk besteht die Gefahr, dass Sie Ihre Berechtigung ernten. Ich kann mir nichts vorstellen, das die Keylogging-Software umgehen würde (VPN behebt MiTM-Probleme). Vorsicht.

Es ist schlimmer als das: Auf jedem Computer, den Sie nicht kontrollieren, sind möglicherweise die CA-Zertifikate, mit denen die Identität der Server überprüft wird, gefährdet.Sie sprechen also möglicherweise nicht mit der Website, von der Sie glauben, dass Sie sie sind - selbst wenn Sie HTTPS verwenden.Vertraue keinen öffentlichen Computern.
@z0r MITM mit TLS-Stripping ist weltweit ein Problem.Sei in der Öffentlichkeit immer vorsichtig, oder?MITM ist ein wenig anders als Ihre Beschreibung, aber Ihr Standpunkt ist gültig und ich habe den Teil "Abfangen" nicht besprochen.Ich werde aktualisieren.
Die Multi-Faktor-Authentifizierung ist die Abschwächung dafür, nicht wahr?
@mgarciaisaia an einem öffentlichen Kiosk?Ich denke, wir könnten über den gesicherten Kiosk und die App-Sicherheit sprechen ... aber ich denke, der Punkt ist, dass wir dem Kiosk nicht vertrauen können.Die Frage ist also: Können Sie den Webbrowser sicher verwenden, wenn nicht, können Sie etwas tun?In diesem Fall halte ich es nicht für sinnvoll, "Multifaktoren mit den Kioskbesitzern einzurichten und diese auf alle Apps anzuwenden, um nicht registrierte Anwendungen zu vermeiden (Key Logger)".Ist das fair?
Wenn Sie einen Computer eines Drittanbieters verwenden, um sich in Ihre E-Mail einzuloggen, besteht die ultimative Verteidigungslinie gegen andere Personen, die sich in Ihrem Konto anmelden, in der Verwendung von MFA.Selbst wenn sie Ihr MFA-Token mit einem Schlüssel protokollieren, sollte es für sie nutzlos sein, auf Ihr Konto zuzugreifen.
Ihr Passwort wird kompromittiert, ja - Ihr Konto jedoch nicht.
Einige Dienste (Beispiel: WeChat) bieten Authentifizierungsmethoden genau für diesen Anwendungsfall.Wenn Sie versuchen, über ein öffentliches Terminal auf den Dienst zuzugreifen, wird ein QR-Code angezeigt.Sie scannen den Code mit Ihrem Telefon (das vermutlich eine vertrauenswürdige Verbindung verwendet) und der Authentifizierungspfad erfolgt über Ihr Telefon.Sobald Sie (mit Ihrem Telefon) überprüft haben, ob der Sitzung Zugriff gewährt werden soll, erhält die Sitzung des öffentlichen Terminals eine Benachrichtigung und Sie können dort auf Ihr Konto zugreifen.Ein böswilliges Terminal könnte alle Ihre Nachrichten lesen, gefährdet jedoch Ihr Konto nicht.
@mgarciaisaia hängt von der Art des Kompromisses ab.Wenn es sich um einen einfachen Keylogger handelt, sind Sie möglicherweise durch 2FA geschützt (obwohl einige von ihnen das Zurückgreifen auf weniger sichere Einstellungen ermöglichen!).Wenn die Malware am öffentlichen Kiosk jedoch etwas intelligenter ist, kann sie großen Schaden anrichten.Wenn Sie beispielsweise auf "Abmelden" klicken, wird möglicherweise ein gefälschter Bildschirm angezeigt, der besagt, dass Sie abgemeldet sind, während Sie in Wirklichkeit nicht abgemeldet wurden und im Hintergrund Dinge in Ihrem Konto erledigen, z. B. die Weiterleitung aller E-Mails irgendwo einrichten.Ändern der Wiederherstellungseinstellungen usw.
@bashCypher TLS-Stripping ist nur eine Tangente (und wird an vielen wichtigen Standorten mit HSTS verhindert).Das eigentliche Problem bei der Verwendung eines anderen Browsers besteht darin, dass dieser so konfiguriert werden kann, dass er seine eigene benutzerdefinierte Zertifizierungsstelle akzeptiert und eigene Zertifikate für nahtloses TLS MITM ausstellt.
@mgarciaisaia: Auch MFA bietet nur sehr begrenzten Schutz.Es verhindert, dass andere Benutzer Ihre Anmeldeinformationen wiederverwenden, sie steuern jedoch weiterhin die von Ihnen geöffnete Sitzung. Sie können sich zwar nicht als Sie bei Ihrem Online-Banking anmelden, Ihr Konto jedoch entleeren, während Sie online sind.Der einzige sinnvolle Schutz, den ich auf einem nicht vertrauenswürdigen Computer kenne, ist die Offline-Transaktionsautorisierung, wie sie z.Offline-Smart-TAN-Generatoren, mit denen Sie jede Transaktion anzeigen und bestätigen können.
@Will: Nur zum Nitpicken - HSTS funktioniert nicht, wenn der Browser nicht vertrauenswürdig ist, da der Browser dies erzwingen muss.Wenn Sie die Zertifikatliste bearbeiten können, können Sie auch den Browser patchen, um HSTS zu ignorieren (oder einfach den gesamten HTTPS-Verkehr zu protokollieren) :-).Das läuft natürlich darauf hinaus: Nicht vertrauenswürdig ist nicht vertrauenswürdig.
@sleske Muss nicht offline sein, ein sekundärer Kommunikationskanal für die Transcation- (oder wirklich Editier-) Autorisierung reicht aus.SMS - die am häufigsten verwendete - funktioniert genauso gut wie ein Offline-TAN-Generator (obwohl letzterer andere starke Sicherheitsvorteile bietet).
Sie müssen den PC neu starten und von einem USB-Stick booten ... lol
@nardnob: Ein Wort: Hardware-Keylogger (ok, zwei Wörter).
@sleske Okay, ich habe eine Lösung, aber dafür sind ein Schraubendreher und ein Ersatz-Motherboard erforderlich
@MatijaNalis Nicht wirklich.Nachdem Sie sich bei einem nicht vertrauenswürdigen System angemeldet haben, sollten Sie natürlich die aktiven Sitzungen von einem vertrauenswürdigen Gerät aus überprüfen. Dies bedeutet, dass ihre Sitzung auch dann nicht lange dauert. Das Ändern der Wiederherstellungseinstellungen usw. sollte nicht möglich sein, ohne den 2FA-Schritt mit einem anderen wiederholen zu müssenToken (wenn dies nicht der Fall ist, ist es falsch ausgelegt).
@GiacomoAlzetta bis Sie zu einem vertrauenswürdigen Gerät gelangen (kann auf Reisen Wochen dauern - wenn Sie nur wenige Minuten oder sogar Stunden lang kein vertrauenswürdiges Gerät haben, können Sie sehr gut warten und das anfällige öffentliche Gerät im Internet nicht verwendenErster Platz!) Der Angreifer hat dieses Konto möglicherweise verwendet, um Ihre anderen Konten zu gefährden, vertrauliche Daten abzurufen, sich als Sie auszugeben usw. Auch die großen Player (wie Google, Paypal, eBay, ...) benötigen keine unterschiedlichen 2FA, um die 2FA-Einstellungen zu ändernund die Verwendung des gleichen 2FA ist für viele Angriffe anfällig - zu sagen, dass es "falsch entworfen" ist, hilft nicht wirklich
Macil
2019-01-15 06:13:01 UTC
view on stackexchange narkive permalink

HTTPS kann Ihre Benutzereingaben auf einem nicht vertrauenswürdigen Computer möglicherweise nicht vollständig schützen: Auf dem Computer ist möglicherweise eine Keylogger-Software installiert. Auf der Tastatur ist möglicherweise eine Firmware programmiert, mit der Sie einen Keylog erstellen können. Möglicherweise befindet sich zwischen dem Computer und dem Tastendruck der Tastatur ein Hardwaregerät. Möglicherweise wird eine Bildschirmaufzeichnungssoftware ausgeführt. Möglicherweise ist eine Videokamera auf die Tastatur gerichtet, während Sie sie verwenden. Der Computer ist möglicherweise so konfiguriert, dass er einem Netzwerk-Proxy, der als Man-in-the-Middle für alle HTTP- und HTTPS-Verbindungen fungiert, vollständig vertraut.

… Auf dem Computer wird möglicherweise eine Software ausgeführt, die für Sie wie ein Browser mit einer Website aussieht, aber nicht einmal auf ein Netzwerk zugreift.
iBug
2019-01-15 21:23:55 UTC
view on stackexchange narkive permalink

Wie in anderen Antworten beschrieben, schützt HTTPS nur den Übertragungsteil der Kommunikation zwischen Ihrem Computer (Browser) und dem Remote-Server. Alles zwischen dem Benutzer (Mensch) und dem Browser ist anfällig für Angreifer.

Selbst wenn die Tastatur zwischen dem Browser gesichert ist, kann eine Kamera (außerhalb des Computers) ein Video von Ihnen aufnehmen, in dem Sie das Kennwort eingeben hat nicht einmal aus der Ferne etwas mit HTTPS zu tun.

Aktionen sagen mehr als Worte.

Vor langer Zeit, als ich 15 war, habe ich einen einfachen Key Logger geschrieben in der Lage, fast alles zu protokollieren. Trotzdem wurden viele Passwörter erfolgreich gestohlen, einschließlich der auf einer HTTPS-Seite eingegebenen.

Link: Mein GitHub-Repo des oben genannten Key Logger-Programms.

Daniel777
2019-01-16 21:04:22 UTC
view on stackexchange narkive permalink

Problemumgehung: Um die Keylogging-Software zu umgehen, können Sie eine Tastatur auf dem Bildschirm zeichnen und den Benutzer auffordern, mit einer Maus oder einem Trackball auf die Tasten dieser Tastatur zu klicken (diese Daten sind sehr schwer zu protokollieren). Dies kann für die Benutzer natürlich anstrengend sein. Daher möchten Sie dies möglicherweise nur zum Eingeben von Kennwörtern oder kleinen Texten verwenden.

Dies beantwortet die Frage nicht.Der Benutzer gibt ein Passwort in eine Webseite ein, über die er keine Kontrolle hat.
@Daniel777 Früher hatte ich ein Bankkonto mit einem Passwort und einer PIN, die mit der Maus eingegeben wurde, um auf die Zahlen auf einem gezeichneten Nummernblock zu klicken.Es schien ein guter Weg zu sein, um den Zugang zu sichern, aber ich denke, die Leute mochten das nicht, also haben sie es entfernt.
[Nicht unbedingt wirksam] (https://security.stackexchange.com/a/172136).
user996142
2019-01-16 03:07:55 UTC
view on stackexchange narkive permalink

Alles, was Sie auf der Tastatur eingeben, wird von einer Software verarbeitet, die Teil Ihres Betriebssystems ist. Es könnte der Kernel selbst sein, es sind Module oder Treiber. Diese Software dekodiert Ihre Tastenanschläge und liefert sie an die Anwendung (in diesem Fall an den Browser).

Viele Betriebssysteme bieten eine API zum "Injizieren" von Software von Drittanbietern in diesen Prozess. Natürlich erlaubt das moderne Betriebssystem nicht jedem, dies zu tun: Sie müssen über die entsprechenden Rechte verfügen, oder Sie können keine Schlüssel lesen, auf die andere Benutzer geklickt haben, die auf demselben Computer arbeiten.

Wenn jedoch jemand mit ausreichenden Rechten solche Software installiert hat, hat er möglicherweise Zugriff auf Ihre Schlüssel. Noch schlimmer: Wenn das Betriebssystem einen Fehler aufweist, kann der Hacker diese Überprüfung "umgehen" und eine solche Software installieren. Ein Beispiel dafür ist Keylogger: Es protokolliert buchstäblich alle Tastenanschläge.

Auf öffentlichen Computern können Sie nicht sicher sein, dass kein Keylogger installiert ist, da Sie nicht derjenige sind, der dieses Betriebssystem installiert hat, Ihr Konto jedoch nicht Sie haben Administratorrechte, sodass Sie nicht einmal überprüfen können, was auf diesem Computer ausgeführt wird.

Verwenden Sie die zweiphasige Authentifizierung: Der Server sendet Ihnen eine Textnachricht mit Code, sodass Sie nur dann auf Ihre E-Mail zugreifen können, wenn Ihre Zugriff auf Ihr Mobiltelefon haben.

Nur-Passwort-Authentifizierung ist auf öffentlichen Computern nicht sicher.

KOLANICH
2019-01-17 02:55:52 UTC
view on stackexchange narkive permalink

Einige Antimalwarelösungen verfügen über eine Funktion zum Schutz der Tastatureingabe mit einem Kernelmodus-Treiber, halten dies jedoch nicht für unzerbrechlich: Wenn Malware es schafft, ihren eigenen Code im Kernelmodus auszuführen, kann der AV-Treiber das Material nicht schützen, alles im Kernel Modus ist gleichermaßen privilegiert.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...