Unternehmensspionage ist eine Sache.
Es besteht ein Sicherheitsrisiko, wenn jemand gesehen hat, dass Sie Ihr Passwort eingegeben haben, oder die letzten beiden Zeichen erraten hat. Es ist nicht allzu schwierig, die Tastenanschläge von Personen zu bemerken und sich unbewusst an sie zu erinnern, insbesondere an die letzten Tasten.
Im Fall von Unternehmensspionage möchte jemand vielleicht zusehen, wie Sie Ihr Passwort eingeben, und sie erinnern sich möglicherweise daran.
oder speichern Sie den Status, damit Sie von diesem teilweise abgeschlossenen Punkt aus erneut versuchen können?
Sie müssen zugeben, dass dies unter den gegebenen Umständen wie ein Alufolienhut der nächsten Stufe erscheint. Ich kann mir nur vorstellen, wie ein Mann in einem grauen Anzug auf Ihren Desktop zugeht, nach Ihrer virtuellen Maschine mit mehr als 20 GB und den dazugehörigen Konfigurationsdaten innerhalb weniger Minuten sucht und sie dann in eine heruntergekommene Kabine in der Ecke des Büros bringt wahnsinnig brutal, während manisch gackert:
Lassen Sie uns die Folie für eine Sekunde abnehmen. Wenn Sie eine virtuelle Maschine ausführen, ist dies durchaus möglich. Sie können den Status der virtuellen Maschine zu diesem Zeitpunkt speichern und es weiter versuchen. Die Wahrscheinlichkeit, dass Ihnen dies während einer Kaffeepause passiert, ist so gut wie Null. Gleiches gilt für den App-Status, nur nicht so unwahrscheinlich wie bei einer virtuellen Maschine.
Bei der virtuellen Maschine müsste ein Kollege den Inhalt Ihrer virtuellen Festplatte sowie die zugehörigen Einstellungen kopieren und bereitstellen. Höchstwahrscheinlich wären dies mehr als 20 GB. Das Kopieren dieses virtuellen Laufwerks in so kurzer Zeit, während andere Personen in der Nähe sind, scheint ziemlich unwahrscheinlich.
Jemand wird etwas bemerken.
Was wäre, wenn dies eine Webseitenanmeldung im Gegensatz zu einer Desktop-App wäre?
Setzen wir unsere Alufolienhüte auf und sehen, was wir tun können, um das teilweise eingegebene Passwort mit nur leicht verfügbaren Tools abzurufen. Versetzen Sie sich in die Lage des Angreifers: Wie würden Sie schnell das Passwort erhalten, bevor die Kaffeepause vorbei ist?
-
Mit der Entwicklerkonsole können Sie die Webseite ändern, um dies zu ändern:
<input type = "password" name = "pass" id = "password" / >
Dazu:
<input type = "text" name = "pass" id = "password" / >
(jQuery wurde entfernt, wie von Doyle Lewis vorgeschlagen)
-
Wir können die Werte auch über die Konsoleneingabe abrufen: Sie können eine Variation davon verwenden ( F12 > Konsole > Eingabe eingeben ):
-
console.log ($ (" #password "). val ());
(jQuery)
console.log (this.pass.val);
-
console.log (document.getElementById ("password"). value);
(dom) -
Anscheinend Windows 8 und Windows 10 Enterprise verfügt über ein "Auge" -Symbol, mit dem Sie das Klartextkennwort anzeigen können, wenn Sie die Augen-Taste gedrückt halten. Dies wird zu einer noch größeren Bedrohung, wenn jemand anderes nur auf diese eine Schaltfläche klicken kann, um den in den obigen Beispielen verwendeten Aufwand zu umgehen.
ol>
Aber warum sollte das so sein? Ein potenzielles Sicherheitsrisiko?
Rüsten Sie unseren [Tinfoil Hat (Mythic Warforged)] kbd> neu aus. Nehmen wir ein Worst-Case-Szenario an:
Mit Ihrem Benutzernamen und Kennwort In einer Unternehmensumgebung, in der es definitiv nicht schwierig ist, Ihren Benutzernamen (normalerweise Ihre Ausweis-ID oder Ihren E-Mail-Benutzernamen) zu finden, kann ein böswilliger Kollege versuchen, sich im Netzwerk auszugeben. Beispiel:
- Ihr Unternehmen verfügt über WLAN-Zugang, für den die Anmeldenummer und das Kennwort Ihres Mitarbeiters erforderlich sind.
- Böswilliger Kollege meldet sich mit Ihren Anmeldeinformationen im Unternehmensnetzwerk an auf einem nicht autorisierten Gerät und verursacht dann Chaos / stiehlt Dinge, ohne dass dies zu ihnen zurückführt. Die meisten Sicherheitsrichtlinien sollten zuerst eine Geräteregistrierung erfordern, aber es gibt leider Möglichkeiten, dies zu umgehen.
- Sie werden beschuldigt. Es sieht so aus, als hättest du es getan. Und der Spion, der die Dinge vermasselt hat, kann ungeschoren davonkommen.
ol>
Wie schütze ich mich davor?
Genau das Unwahrscheinliche, aber mögliche Angriffe und viele andere Angriffe, die physischen Zugriff auf Ihren Computer erfordern (ohne hardwarebasierte Infektionen), werden vollständig gemindert, indem Sie Ihre Workstation vor dem Aufstehen sperren und keine Teilkennwörter eingeben. Machen Sie es sich zur Gewohnheit und Sie müssen sich keine Sorgen machen, dass jemand so etwas tut.
Werden Sie jedoch nicht selbstgefällig.