Frage:
Sichere Möglichkeit, sich auf dem Computer einer anderen Person bei einer Website anzumelden
today
2018-11-29 22:44:30 UTC
view on stackexchange narkive permalink

Angenommen, ich bin in einer Situation, in der ich gezwungen bin, mich mit dem Computer eines anderen bei meinem Konto anzumelden. Gibt es eine sichere Möglichkeit, dies zu tun, damit ich sicher bin, dass meine Anmeldedaten (d. H. Das Passwort) auf keine Weise aufgezeichnet werden (z. B. Protokollierung von Tastenanschlägen)? Oder wenn es unmöglich ist, wie können die Risiken zumindest gemindert werden?

Obwohl verwandt, aber beachten Sie, dass dies ein bisschen anders ist als diese Frage, da ich nicht mit meinem eigenen Computer anmelden.

Können Sie eine virtuelle Maschine auf ihrer Box erstellen?
@DarkMatter Leider nein.Das darf ich nicht.Selbst wenn es mir erlaubt ist, würde es wohl einige Zeit (> 15 Minuten) dauern, bis sie das tun, und sie haben nicht genug Geduld :) Obwohl ich interessiert bin zu wissen, wie das hilft.Bitte geben Sie es als Antwort an, wenn Sie möchten.
Alles hängt davon ab, wie sie Ihre Aktivitäten überwachen. Wenn Sie innerhalb Ihrer eigenen sauberen VM auf ihrer Box arbeiten (mit einem sauberen OSK), werden eine Reihe von Möglichkeiten umgangen, wie sie Ihre Aktivitäten überwachen können.Darüber hinaus können Sie die VM auch später löschen, um Hinweise auf Ihre Aktivitäten weiter zu entfernen.Letztendlich gibt es jedoch keine Möglichkeit, kugelsicher zu sein, wenn sie die Hardware theoretisch besitzen (2FA hilft einigen, die Auswirkungen ihrer Überwachung zu mildern).
Ein Live-Betriebssystem (über USB oder DVD gebootet) ist wahrscheinlich praktischer.Dies schützt Sie jedoch beispielsweise nicht vor Hardware-Keyloggern.Die beste Lösung scheint das zu sein, was Cowthulhu in der Antwort 2FA vorgeschlagen hat, sofern verfügbar.Ändern Sie möglicherweise auch das Kennwort und erzwingen Sie eine Abmeldung auf allen Geräten, sobald Sie wieder zu Hause auf Ihrem Computer sind, sofern der Dienst dies ermöglicht.Vieles davon hängt auch davon ab, wie kompetent und entschlossen Ihr "Feind" ist.
Eine einfache Option ist, wenn Sie Ihr Telefon zum Ändern Ihres Passworts verwendet haben.In der Vergangenheit hatten einige Dienste die Möglichkeit, ein einmaliges Anmeldekennwort von Ihrem Telefon aus zu generieren. Diese scheinen jedoch in Ungnade gefallen zu sein, vermutlich weil 2FA an ihre Stelle getreten ist.
Mit einem Passwort
Ich habe gerade darüber nachgedacht, einen Passwort-Manager wie lastPass zu verwenden, was als zusätzliche Abschwächung großartig ist - Keylogger funktionieren nicht dagegen, ebenso wie Zwischenablage-Scanner, Bildschirmrekorder ... Aber jetzt ist das kritische Passwort nicht für dasDer Dienst, auf den Sie zugreifen möchten, schützt stattdessen den Kennwortmanager.Bei einem nicht Cloud-basierten Passwort-Manager wie keepass können Sie jedoch zumindest den USB-Stick oder die Festplatte mit eingeschalteter Datenbank entfernen. Wenn Sie jedoch wirklich paranoid sind, können Sie verhindern, dass der Computer stillschweigend eine Kopie erstellt, um sie später zu knacken.
Denken Sie daran: *** Sobald Sie die physische Kontrolle über das Gerät verloren haben, sind alle Wetten ungültig. ***
@DarkMatter: Wie stellen Sie sicher, dass an die virtuelle Maschine gesendete Tastenanschläge nicht protokolliert werden?
@el.pescado können Sie nicht sicher sein.Es hängt davon ab, wie sie überwacht werden, aber ich denke, die kleinste Angriffsfläche für dieses Szenario wäre ein OSK in der VM.
Sie können den Anwendungsschutz von Edge verwenden (sofern eine neuere Version von Windows 10 vorhanden ist), mit dem eine brandneue VM speziell für diese Edge-Sitzung gestartet wird, die nach dem theoretischen Schließen keine Spuren hinterlässt.Natürlich haben Sie immer noch das Problem mit Tastenanschlägen und Screenshots.
Dreizehn antworten:
#1
+119
Cowthulhu
2018-11-29 22:55:12 UTC
view on stackexchange narkive permalink

Dies ist eine interessante Frage!

Als Faustregel gilt, dass eine andere Person, die die Kontrolle über das Gerät hat (und entschlossen genug ist), immer alle überwachen und ändern kann Ihre Aktionen auf dem Gerät.

Wir können dies jedoch (in etwas begrenztem Umfang) umgehen! Die Zwei-Faktor-Authentifizierung kann verwendet werden, um sicherzustellen, dass jemand, der über Ihr Kennwort verfügt, nicht in Ihr Konto gelangen kann, ohne Zugriff auf ein separates Gerät zu haben (das Ihnen gehört und von Ihnen kontrolliert wird).

Beachten Sie dies Sobald Sie sich angemeldet haben, hat der Computer letztendlich die Kontrolle über Ihre Interaktion mit der Website. Infolgedessen kann er trivial alles sehen, was Sie auf der Website tun, und sogar Ihre Anforderungen an die Website ändern (einschließlich der nicht ordnungsgemäßen Abmeldung, wenn Sie sich befinden getan und möglicherweise Ihre Anmeldedaten geändert, um Sie von Ihrem eigenen Konto auszuschließen.

Dies hängt alles davon ab, wie besorgt Sie sind, angegriffen zu werden - wenn Sie sich nur auf einem Computer eines Freundes bei Facebook anmelden. Sie können wahrscheinlich darauf vertrauen, dass Sie abgemeldet werden, wenn Sie auf "Abmelden" klicken. Wenn Sie sich jedoch bei etwas wirklich Wichtigem anmelden, möchten Sie sich möglicherweise an Geräte halten, die Sie steuern.

Beachten Sie außerdem Folgendes: über den Benutzer TemporalWolf

Einige Websites ermöglichen die Generierung von Einmalkennwörtern für den einmaligen Gebrauch, die jede Art von Kennwortprotokollierung umgehen ... wie Sie bereits erwähnt haben, hindert dies sie nicht daran, sich mit dem Jetzt zu beschäftigen authentifizierte Sitzung.

"Sie können wahrscheinlich darauf vertrauen, dass Sie abgemeldet werden, wenn Sie auf" Abmelden "klicken." Es sei denn, Ihr Freund hat unwissentlich Malware auf seinem Computer.
Da dies bedeutet, dass eine andere Person, die die Kontrolle über ein Gerät hat, sicherstellt, dass sie immer in der Lage ist, auf diesem Gerät stattfindende Aktionen zu überwachen, ist dies die einzig richtige Antwort.
@NotThatGuy Ich denke, wenn Sie eine Bearbeitungsanfrage einreichen?
Das Problem mit 2FA ist, dass der Angreifer, wenn er tatsächlich einen Keylogger hätte und die Anforderungen an die Website (s) so geändert hätte, dass eine Abmeldung im Wesentlichen blockiert wird, in der Lage wäre, Ihr Kontokennwort / die 2FA-Einstellungen zu ändern, wenn er Ihr Kennwort bei Ihnen verschlüsselt hatangemeldet. Ich kenne keine Dienste, bei denen 2FA das Kennwort ändern muss * einmal authentifiziert *.Das ist also ein interessantes Dilemma.
Das ist eine gute Antwort.Ich würde hinzufügen, dass der OP, wenn er sich Sorgen macht, sein Konto anschließend mit einem von ihm gesteuerten Gerät überwachen sollte, z.Wenn Sie auf Facebook sind, sehen Sie eine Liste der Geräte, die angemeldet sind, und Sie können sogar alle dazu zwingen, sich abzumelden / erneut zu authentifizieren.(Nicht sicher, ob die Website zur Steuerung des SAC-Raketenstarts dieselbe Funktion aufweist.)
+1 für Einmalpasswörter.Vor der Allgegenwart von mobilen Datennetzen und WLAN habe ich immer ein Blatt OTPs ausgedruckt, das in Internetcafés verwendet werden kann, wenn ich ins Ausland reise.
Wäre diese Antwort besser, wenn ein Inkognito-Browserfenster verwendet und Erweiterungen für die Dauer der Anmeldesitzung deaktiviert würden?Inkognito, so wie ich es verstehe, hinterlässt nach dem Schließen kein Authentifizierungstoken und keine Webdaten.
"Wenn Sie jedoch Raketenstartcodes eingeben, möchten Sie sich möglicherweise an Geräte halten, die Sie steuern."- Sind das nicht so ziemlich ein Lehrbuchbeispiel für die Immunität gegen Wiederholungsangriffe?Sie können den globalen thermonuklearen Krieg nicht zweimal beginnen.
@Qwertie's richtig und später Ihr Konto von Ihrem eigenen Gerät zu überprüfen (Facebook listet aktive Sitzungen auf, ish) ist nicht paranoid
@ChrisCirefice: Wie es passiert, benötigt meine Bank 2FA, nachdem sie sich für alles authentifiziert hat, mit Ausnahme des Lesens des Kontostands.Einschließlich, aber nicht beschränkt auf das Ändern des Passworts.Sie können nicht einmal ein CS-Ticket öffnen, ohne eine SMS-TAN einzugeben (was lustig ist, denn wenn Sie Probleme damit haben, gibt es keine Möglichkeit, CS zu kontaktieren?).Müssen Sie eine große Geldsumme überweisen?Das sind 3 TANs, die Sie eingeben müssen.Eine, um das Transaktionslimit zu erhöhen, eine für die Transaktion und eine, um das normale Limit wiederherzustellen.Das ist wirklich der einzige Dienst, der in einem solchen Paranoia-Modus ausgeführt wird, den ich kenne.
* "Sie können wahrscheinlich darauf vertrauen, dass Sie beim Abmelden von" Abmelden "tatsächlich abgemeldet werden." * Wenn ich versuchen würde, Sie anzugreifen, während Sie meinen Computer verwendet haben, würde ich * sicherstellen *, dass die Aktion "Abmelden" nicht funktioniert.t auf einer bestimmten Zielwebsite wie Facebook arbeiten.
#2
+39
iBug
2018-11-30 09:28:00 UTC
view on stackexchange narkive permalink

Wenn ich in meiner Praxis zusätzliche Sicherheit benötige, ändere ich normalerweise das Kennwort auf meinem Telefon (oder einem anderen vertrauenswürdigen Gerät), melde mich dann am nicht vertrauenswürdigen Computer an und ändere mein Kennwort nach Abschluss meines Vorgangs wieder (falls möglich).

Dies hängt von der Tatsache ab, dass Sie durch das Ändern des Kennworts für die meisten Websites überall abgemeldet werden. Es ist ziemlich praktisch.

Alternativ bieten einige Websites eine "Sitzungssteuerung", bei der Sie das Trennen / Beenden von Sitzungen erzwingen können, wenn Sie möchten.

Abgesehen von dem, was ich oben gesagt habe, habe ich Ich habe auch eine tragbare 128-GB-SSD dabei, die auf GPT formatiert ist und drei Partitionen hat: die EFI-Systempartition, ein Ubuntu und ein Windows To Go.

Während die Software-Sicherheit bei der Erstellung nicht mein Anliegen war tragbare SSD, es ist zweifellos ein gutes Gerät für den Zweck zu haben. Theoretisch und praktisch bietet das Ausführen von Betriebssystemen auf solchen selbst erstellten Speicherelementen eine vollständig vertrauenswürdige Softwareumgebung und kann jeden Software-Thread auf dem fremden Computer zu 100% eliminieren.

Wie andere geantwortet haben, sind solche Gadgets normalerweise sind nicht wirksam gegen hardwarebasiertes Eindringen, zum Beispiel gegen einen Key Logger (es sei denn, einige dumme erfordern Treiber zum Arbeiten, dann können Sie LOL). Für diese Dinge sollten Sie sie besser überprüfen, indem Sie sich die Hardware-Ports ansehen. Wenn sich in der Kiste etwas Bösartiges befindet, haben Sie kein Glück.

Aber auch hier handelt es sich um eine zwischenmenschliche Frage. Wenn Sie sich am Computer Ihres vertrauenswürdigen Freundes anmelden und der Freund kein Technikfreak ist, benötigen Sie wahrscheinlich nur Aktionen, um den Browser im Inkognito-Modus oder im InPrivate-Modus (Internet Explorer) zu starten.

Das ist eine gute Idee, die weder spezielle Kenntnisse noch Werkzeuge erfordert und die Dinge sicher genug hält.
Eine tragbare SSD zu haben ist sicherlich eine gute Idee, aber von der anderen Seite würde ich niemals zulassen, dass jemand meinen Computer mit seinem eigenen Betriebssystem bootet.
@martinstoeckli Ja, aber das ist das Gegenteil dieser Frage.
Ich würde vorschlagen, weiterhin MBR zu verwenden, da noch nicht jeder über GPT verfügt, aber trotzdem eine gute Idee.
@iBug Gute Lösung, danke."Wenn Sie sich jedoch auf dem Computer Ihres ** vertrauenswürdigen Freundes anmelden ** ..." bezieht sich "vertrauenswürdig" auf den Freund oder den Computer des Freundes?Da kann ich meinem Freund vertrauen, aber nicht seinem Computer.
@today das hängt von dir ab
"für die meisten Websites" - Ich wünschte, das wäre wahr, aber ich bin mir nicht sicher, ob es sich um stark frequentierte Websites handelt.
@MichaelMior Ja, das ist ein weiteres "Abhängigkeitsproblem".Soweit ich gesehen habe, haben mich alle Websites überall abgemeldet (alle Sitzungen beenden), wenn ich mein Passwort ändere.
* "Das Ausführen von Betriebssystemen auf solchen selbst erstellten Speicherelementen bietet eine vollständig vertrauenswürdige Softwareumgebung und kann zu 100% alle Software-Threads auf dem fremden Computer entfernen" * ... mit Ausnahme eines Firmware-Rootkits.
#3
+24
daviewales
2018-11-30 13:00:32 UTC
view on stackexchange narkive permalink

Wenn Sie regelmäßig auf diese Situation stoßen, versuchen Sie Folgendes:

  1. Erstellen Sie einen Tails Live-USB-Stick. Tails ist ein Linux-Betriebssystem, das für die Ausführung von USB entwickelt wurde und auf den meisten Computern gestartet werden kann. Die Verwendung von Tails bedeutet, dass Sie sich keine Gedanken über Software machen müssen, die der feindliche Computer möglicherweise installiert hat. Weil Sie es beim Booten vollständig umgehen.

  2. Verwenden Sie die Bildschirmtastatur. Sie sollten dies während des Tippens mit Ihrer Hand bedecken, um zu verhindern, dass jemand etwas beobachtet. Dies schützt vor hardwarebasierten Key-Loggern. Beachten Sie, dass Sie sich keine Gedanken über Bildschirmaufzeichnungssoftware machen müssen, weil Sie Tails ausführen. Dies bedeutet, dass Sie die volle Kontrolle über die gesamte auf dem System ausgeführte Software haben.

    3. ol>

    Bearbeiten:

    Wie in den Kommentaren unter @ Xen2050 erwähnt, können Sie dies auch mit anderen Betriebssystemen erreichen, die möglicherweise benutzerfreundlicher sind. Hier finden Sie beispielsweise Anweisungen zum Erstellen eines Live-Ubuntu-Linux-USB unter Windows, Mac oder Ubuntu. Und hier sind die Anweisungen für den Zugriff auf die Bildschirmtastatur unter Ubuntu.

    Mögliche Schwachstellen dieser Methode:

    Diese Methode ist anfällig für Folgendes:

  • Hardwarebasierte Bildschirmaufzeichnung. Es ist möglich, ein Gerät zwischen Computer und Bildschirm einzufügen, das alles aufzeichnet, was an den Bildschirm gesendet wird. Zum Beispiel dieses. Überprüfen Sie zum Schutz das Kabel und stellen Sie sicher, dass sich keine Geräte zwischen dem Computer und dem Bildschirm befinden. Beachten Sie jedoch, dass es möglich ist, interne Bildschirmaufzeichnungsgeräte zu installieren, die viel schwieriger zu erkennen wären. Wenn Sie dies vermuten, können Sie diese möglicherweise umgehen, indem Sie den Bildschirm von der Rückseite des Computers trennen und ihn wieder an einen anderen Anschluss anschließen.
  • Schädliche Firmware, BIOS, Rootkit usw. Dies ist wahrscheinlich die schwierigste Sicherheitsanfälligkeit, gegen die man sich verteidigen kann. Wenn Sie den Verdacht haben, dass der von Ihnen verwendete Computer über schädliche Firmware verfügt, verwenden Sie diese nicht! Suchen Sie nach einer anderen Möglichkeit, sich auf der Website anzumelden, oder melden Sie sich nicht an.
Für unbekannte Hardware und da Sie die Netzwerkeigenschaften von TAILS anscheinend nicht benötigen, ist die Verwendung einer benutzerfreundlicheren und bootfähigeren Distribution wie Mint oder Ubuntu oder einer anderen anfängerfreundlichen Distribution möglicherweise viel erfolgreicher.TAILS haben möglicherweise nicht annähernd so viel Glück beim Booten auf "neuen" unbekannten Geräten
@Xen2050 Windows To Go ist auch eine gute Alternative!
Guter Punkt @Xen2050
Unter "Hardware-basierte Aufzeichnung" können Sie tatsächlich einen Hardware-basierten Tastenanschlag-Logger erwähnen, der möglicherweise in die Tastatur selbst eingebettet ist.Dies scheint wahrscheinlicher, wenn die Person, der der Computer gehört, versucht, die Passwörter des OP zu stehlen.
@iBug Kann Windows To Go von allen kostenlos heruntergeladen und verwendet werden - auch wenn Sie kein anderes Windows besitzen oder verwenden?
@Xen2050 Nein.Windows To Go ist nur in der Enterprise-Version legal verfügbar und muss legal aus einer anderen laufenden Enterprise Edition von Windows erstellt werden.Problemumgehungen gibt es jedoch überall im Internet.
"* Die Verwendung der Bildschirmtastatur schützt vor hardwarebasierten Tastenloggern *" - es sei denn, sie enthalten einen Mauslogger (für Klickkoordinaten usw.) :-)
Sie können es einfach mit MacOS tun.Wenn Sie beim Hochfahren die Option gedrückt halten, werden alle bootfähigen Laufwerke einschließlich aller über USB angeschlossenen Laufwerke aufgelistet.Mac unterscheidet nicht zwischen SATA- und USB- und Lightning-Laufwerken hinsichtlich der Bootfähigkeit.Das mache ich seit 2003.
@Bergi Einige mögliche Schutzmaßnahmen gegen Mauslogger: Bewegen Sie die Bildschirmtastatur vor jedem Tastendruck an eine zufällige Stelle auf dem Bildschirm.Wechseln Sie zu einem zufälligen Tastaturlayout.Suchen Sie eine Bildschirmtastatur, die die Position der Tasten verschlüsselt.
"Die Verwendung von Tails bedeutet, dass Sie sich keine Gedanken über Software machen müssen, die der feindliche Computer möglicherweise installiert hat. Weil Sie sie beim Booten vollständig umgehen."Sie umgehen es nur, wenn die Maschine es Ihnen erlaubt, es zu umgehen.Das mag das Verhalten von Standardhardware sein, aber es hängt immer noch von der Hardware ab, nicht bösartig zu sein.
@Accumulation True.Können Sie konkrete Beispiele nennen, die dem Abschnitt "Mögliche Schwachstellen" hinzugefügt werden können?
@daviewales Selbst mit Anti-Keylogger / Mouselogger gibt es immer noch das Problem eines Echtzeit-Bildschirmgrafik-Erfassungsgeräts (oder beispielsweise über die Schulter).An diesem Punkt benötigen Sie Soundtasten, die nur einen Ton wiedergeben (über einen Kopfhörer).Aber dann könnten sie auch Audio aufnehmen ... der Zyklus ist endlos.
Ich habe keine Beispiele für irgendetwas, von dem ich weiß, dass es tatsächlich implementiert wurde, aber es ist physikalisch nicht unmöglich, ein Gerät zu erstellen, das einen USB liest, die Software auf dem USB intern emuliert und dann extern einen MITM-Angriff ausführt.Das heißt, das Gerät verfügt möglicherweise über eine interne virtuelle Maschine, auf der die Software auf dem USB-Stick ausgeführt wird, und führt einen MITM-Angriff zwischen der virtuellen Maschine und dem Benutzer durch.
Bildschirmtastaturen können durch Schulter-Surfen oder durch eine Kamera gelesen werden.Ein hochwertiges Zoomobjektiv kann Ihren Bildschirm aus einer Entfernung sehen, in der er zu weit entfernt ist, um mit dem Auge gesehen zu werden.
@Criggie Dies ist wahr.Deshalb sollten Sie den Bildschirm mit Ihrer Hand abdecken.
#4
+17
Monty Harder
2018-11-30 03:40:04 UTC
view on stackexchange narkive permalink

SQRL verwenden

Wenn eine Website SQRL unterstützt ( https://www.grc.com/sqrl/sqrl.htm), können Sie es anzeigen lassen Ein QR-Code im Browser des Computers, mit dem Sie die SQRL-App in Ihrem Mobiltelefon lesen und damit die Authentifizierung außerhalb des Bandes aushandeln lassen.

SQRL ist noch nicht weit verbreitet, aber dieser genaue Anwendungsfall wurde in entwickelt von Anfang an. (Der andere Hauptanwendungsfall ist eine SQRL-App auf Ihrem Computer, die mit dem Browser zusammenarbeitet.) In keinem Fall wird ein Passwort übertragen; SQRL verwendet die Elliptic Curve-Technologie für öffentliche / private Schlüssel, um eine vom Server präsentierte Nonce zu signieren, um zu beweisen, dass der Benutzer den privaten Schlüssel mit dem öffentlichen Schlüssel verknüpft hat, der in den Kontoinformationen des Benutzers auf dem Server gespeichert ist.

BEARBEITEN: Da so wenige Websites SQRL unterstützen, ist dies wahrscheinlich keine gute Antwort ab November / Dezember 2018, aber möglicherweise eine gute Antwort in der Zukunft. Ich glaube nicht, dass es eine sichere Möglichkeit gibt, sich auf einer Website auf einem Computer unter der Kontrolle einer anderen Person anzumelden (auf der möglicherweise ein Schlüssel- / Klick-Logger installiert ist), was einer der Gründe für SQRL war in erster Linie erstellt. Der Out-of-Band-Anmeldeansatz, der nicht auf dem möglicherweise kompromittierten Computer beruht, um ein Geheimnis wie ein Kennwort zu bewahren, sei es die spezifische Form des SQRL-Protokolls oder ein konkurrierendes Schema, das dieselbe allgemeine Idee verwendet ein wesentlicher Bestandteil jeder guten Antwort.

Es ist eine sehr interessante Methode!Ich war mir dessen überhaupt nicht bewusst.Danke, dass du es erwähnt hast.
Das Konzept ist auf jeden Fall interessant, obwohl es in der Praxis möglicherweise einige (mehr) Peer-Review- und Usability-Tests erfordert.Wie auch immer, diese Lösung ist heute nicht praktikabel, und der Autor der Frage schien hauptsächlich als Benutzer und nicht als Entwickler zu fragen.Versuchen Sie diese Methode noch heute mit Google, Amazon oder Facebook.
Leider gibt die Frage nicht an, was "mein Konto" bedeutet - auf Ihrer eigenen Website?Auf Facebook?Das ist ein Unterschied, weil Sie in einem den Anmeldemechanismus steuern und in dem anderen nicht.
https://security.blogoverflow.com/2013/10/debunking-sqrl/ - Eine gut konzipierte Lösung wie U2F ist wahrscheinlich besser als das, was Steve Gibson (größtenteils eine Kurbel) selbst zusammenstechen konnte.
Was ist mit der WhatsApp Desktop App, bei der Sie sich durch Scannen eines QR-Codes anmelden und sich von Ihrem Smartphone abmelden können?
Obwohl SQRL in der Tat eine anständige Lösung für dieses Problem wäre (in etwa dem gleichen Maße wie U2F), halte ich diese Antwort nicht für sehr hilfreich.FIDO wird nicht allgemein unterstützt und ist daher in ~ 99% der Fälle keine praktikable Lösung für Benutzer.
Funktioniert die Anmeldung mit WhatsApp auf dem Desktop so?
** Ein Hinweis von einem Mod: ** SQRL hatte seit seiner Veröffentlichung nicht den besten Ruf.Wir haben Mitglieder die Architekturdokumente überprüfen lassen, als sie zum ersten Mal veröffentlicht wurden, und festgestellt, dass sie fehlten.Aber es sind 5 Jahre vergangen und wir wissen, dass die Entwickler aufgrund der Kritik Änderungen vorgenommen haben, aber wir können keine aktuellen Bewertungen finden.Also, * Vorbehalt Emptor * mit SQRL.Es ist bekannt, dass es weit verbreitete und getestete Optionen gibt.
Für diejenigen, die sagen "Gibson ist eine Kurbel" oder dass SQRL einen schlechten Ruf hat, kann ich nur sagen, dass dies ein _ad_hominem_ Angriff ist.Die meisten Einwände, die ich gegen SQRL gesehen habe, beruhen auf falschen Vorstellungen darüber, wie es funktioniert, teilweise aufgrund der Art und Weise, wie sich das SQRL-Projekt entwickelt hat.Die Grundidee wurde angekündigt, und innerhalb weniger Tage hatten sich Leute, die Gibson nicht mögen, entschieden, dass es sich um ein fehlerhaftes Protokoll handelte, obwohl es noch nicht einmal formal definiert worden war.
@vidarlo Die Kommentare zu diesem "Debunking" leisten einen großartigen Beitrag zum Debunking des Debunkings.Gibson hat das nicht einfach alleine zusammengefügt.Er kam auf die Grundidee, gründete eine Nachrichtengruppe und begann, sie mit anderen zu diskutieren, die ihr Bestes taten, um Löcher in sie zu schießen und sie zu verbessern.[Offenlegung: Ich bin einer dieser Leute.Ich war einer dieser beharrlichen Mechanismen zum Widerrufen und Ersetzen von Schlüsseln, die in das Protokoll integriert wurden, und schlug die Namensänderung vor, als sich herausstellte, dass sich die Leute auf den QR-Code fixierten, als wäre es das Ganze, obwohl es tatsächlich nur ein Modus istvon Nutzen.]
Der Grund, warum dies eine schreckliche Antwort ist, hat nichts mit den Vorzügen von SQRL oder seinen Entwicklern zu tun, sondern darauf, dass der Endbenutzer die Option hat, sie "nur zu verwenden", wenn er möchte.Funktioniert nicht so.
@Beanluc Das ist eine Henne-Ei-Situation.Sofern Benutzer nicht den Wunsch äußern, dass Websites das Protokoll unterstützen, werden sie dies nicht tun.Und die Leute können nichts verwenden, was nicht unterstützt wird.Wenn es eine gute Antwort gäbe, die weithin akzeptiert wird, hätte ich diese Antwort nicht einmal veröffentlicht, aber der Grund, warum SQRL existiert, ist, dass es zumindest versucht, dies und einige andere Probleme zu lösen.Die wahre Antwort ist also wahrscheinlich, dass noch keine gute Antwort allgemein verfügbar ist. Wenn Websites jedoch SQRL unterstützen, könnte sich dies in naher Zukunft ändern.
SQLR löst nicht das Problem, dass der Computer ein "Abmelden" vortäuscht.Wenn Sie auf der Website auf "Abmelden" klicken und der Browser Sie absichtlich nicht abmeldet, hat der Angreifer nach dem Verlassen des Kontos weiterhin die Kontrolle über Ihr Konto.
@schroeder Ich bin gespannt auf Ihren Sinn für den "Ruf" von SQRL, da er noch nicht offiziell veröffentlicht wurde.Es scheint jedoch, dass es zu diesem Zeitpunkt auf GRC.com ziemlich vollständig dokumentiert ist.
@ChristopherSchultz Ich erinnere mich an einige Diskussionen in der SQRL-Newsgroup, die möglicherweise für Ihr Szenario gelten.Für eine Website ist möglicherweise eine zusätzliche Authentifizierung erforderlich, bevor bestimmte "hochwertige" Vorgänge ausgeführt werden. Ähnlich wie bei vorhandenen Sicherheitsschemata müssen Sie Ihr Kennwort beim Ändern erneut eingeben.Eine Bank kann von Ihrem SQRL-Kunden verlangen, dass er eine Zeichenfolge mit Datum, Uhrzeit, zu zahlendem Geldbetrag und dem Namen des Zahlungsempfängers digital signiert, bevor er eine Kreditkartentransaktion autorisiert, obwohl Sie bereits von angemeldet warenSignieren einer inhaltsfreien Nonce.
@MontyHarder Ja, das wäre absolut der richtige Weg, um Dinge zu tun.Auf Amazon.com können Sie beispielsweise einkaufen und Dinge in einen Warenkorb legen. Wenn Sie jedoch eine Zahlung (mit einer gespeicherten Kartennummer) vornehmen möchten, müssen Sie sich für diesen einen Vorgang erneut authentifizieren.Die meisten Websites fordern Sie jedoch nur einmal heraus, wenn Sie sich anmelden. Anschließend können Sie alles tun, was der Benutzer ohne weitere Überprüfungen tun darf.
#5
+5
Rozwel
2018-11-30 02:15:38 UTC
view on stackexchange narkive permalink

Es handelt sich um eine wichtige PIA, die jedoch hinsichtlich des Schutzes Ihres Passworts relativ sicher ist. Meistens, weil es sich um eine solche PIA handelt, dass wahrscheinlich niemand zusammenstellt, was zur Erfassung erforderlich ist. Was bedeutet, dass die Einschränkung bezüglich Sicherheit durch Dunkelheit hier wahrscheinlich gilt ...

  1. Öffnen Sie den Texteditor Ihrer Wahl.
  2. Geben Sie das vollständige Alphabet in Groß- und Kleinschreibung ein.
  3. Geben Sie den gesamten Bereich der verfügbaren Zahlen und Symbole ein.
  4. Kopieren Sie Buchstaben für Buchstaben und fügen Sie sie ein, um Ihr Passwort in das Webformular einzugeben.
  5. Als zusätzliche Verschleierungsebene greifen Sie die Buchstaben nicht in derselben Reihenfolge wie das endgültige Passwort
    6. ol>

    Ich kann mir einige Techniken vorstellen, mit denen ich möglicherweise das Passwort von jemandem erfassen kann, der diese Technik verwendet, aber keine davon würde ich als einfach oder unkompliziert betrachten.

    Erwähnenswert ist auch, dass diese Technik ursprünglich von meinem CEH-Ausbilder als Gegenmaßnahme vorgeschlagen wurde. Es ist nicht perfekt, aber es ist eine halbwegs anständige Option, die nicht viel Vorbereitung erfordert.

Sicherlich würde ein handelsüblicher Bildschirmrekorder dem entgegenwirken?
Interessante Lösung, insbesondere, dass ich sehe, dass sie von Ihrem CEH-Instruktor empfohlen wurde!Eigentlich habe ich über eine solche Lösung nachgedacht, bevor Sie dies posten, aber dann dachte ich, dass es vielleicht ein bisschen komisch ist!Natürlich könnte, wie @Draconis erwähnte, auch ein Bildschirmrekorder dem entgegenwirken.
@Draconis hatte diese Option wahrscheinlich nicht in Betracht gezogen, aber mit hoher Wahrscheinlichkeit würde sie funktionieren.Ich hatte meine Zweifel, als dies vom Ausbilder vorgeschlagen wurde, aber es ist besser als nichts und schützt vor den meisten Tastendruck-Loggern.Wenn ich jedoch die Anmeldeinformationen einer Person für eine Website erfassen möchte, verwende ich eine Browsererweiterung oder einen Proxy, um die Post-Daten zu protokollieren.All dies wertlos machen ...
Ein Zwischenablage-Logger würde bis Schritt 5 sehr gut funktionieren. Die meiste Malware, die ich gesehen habe, enthält einen Zwischenablage-Logger mit Keylogger.
Interessanterweise wäre es auf meinem Computer sicherer gewesen, einfach das Passwort einzugeben.Ich habe keinen Keylogger, aber einen Zwischenablage-Manager, der der Einfachheit halber den Verlauf jeder Kopie aufzeichnet.
@NathanGoings Es ist nicht so, dass es so viele Permutationen geben würde.Es scheint trivial, jede Kombination einzeln zu überprüfen.
CEH ist eine Art Witz unter Infosec-Profis.Wenn es von Ihrem CEH-Ausbilder empfohlen wird, ist dies nur ein Grund zur Skepsis.In jedem Fall lässt sich ein halbwegs anständiger Keylogger davon nicht täuschen.
Sie können dies mit dem Booten von einem Ubuntu-Live-Stick kombinieren (ich hatte einen in meiner Jackentasche, vielleicht sollte ich mich wieder daran gewöhnen).Dann müssen Sie sich nur noch um Hardware-Keylogger kümmern, und diese lassen sich gut genug täuschen, insbesondere wenn Sie auch die Länge des Kennworts verschleiern, indem Sie ein wenig nach dem Kopieren kopieren.Oder fehlt mir hier ein Anstellwinkel?(Kein Infosec-Profi).Bearbeiten: Für die verbleibenden Anstellwinkel siehe daviewales Antwort unten.
Dies würde nur vor Keyloggern schützen.Wenn ich derjenige wäre, der den Computer besitzt, würde ich JS-Erweiterungen in jedem Browser installieren, der alle Formularfelder einschließlich des Kennworts aufzeichnet und extrahiert.Einfach und effektiv.
Ich denke, die Tastatur hat die Option, so etwas zu tun - um verwendet zu werden, wenn die Standardmethode zur Eingabe des Passworts nicht richtig funktioniert.
#6
+5
Duncan X Simpson
2018-11-30 02:26:38 UTC
view on stackexchange narkive permalink

Auf Websites, die dies zulassen, können Sie Folgendes tun (Google ist eine davon): Verwenden Sie einen Authentifizierungsfaktor "Haben", z. B. TOTP oder eine mobile App, um Anmeldungen zu genehmigen. Sie müssen 2FA nicht verwenden - das kann Ihr einziger Faktor sein. Ich habe einige meiner nicht kritischen Server so eingestellt, dass sie Kennwort ODER totp zulassen, sodass ich mich mit dem einen oder anderen anmelden kann, ohne beide zu benötigen. Wie andere betonten, sind Sie dadurch zwar nicht vollständig sicher (nachdem Sie sich angemeldet haben, kann der Angreifer die Eingabe deaktivieren und nach der Anmeldung alles tun, was er will), verhindert jedoch die Offenlegung von Kennwörtern.

Dies kann auf ihren eigenen Server beschränkt sein, auf dem sie die Sicherheit nach Belieben einrichten können.Aber wie kann dies bei der Anmeldung auf der Website von Unternehmen X verwendet werden, wenn diese weiterhin nur die Authentifizierung mit einfachem Benutzernamen und Kennwort unterstützen?
@miroxlav Es kann nicht.Aber wie gesagt, mindestens ein großes Unternehmen unterstützt es.
#7
+4
MonkeyZeus
2018-11-30 20:01:16 UTC
view on stackexchange narkive permalink

Der beste Weg, sich zu schützen, besteht darin, der Person mitzuteilen, dass Sie Ihr Passwort nicht bequem an ihrem Computer eingeben können.

Wenn Sie eine wahrscheinliche Ursache oder allgemeine Paranoia haben, führen Sie keine unsicheren Aktionen aus.

Es ist lächerlich zu erwarten, dass alle Bedrohungsmodelle in Sekundenschnelle gründlich erkannt und / oder gemindert werden.

Was ist das Bedrohungsmodell überhaupt?

  • Vertrauen Sie der Person nicht?
  • Vertrauen Sie dem Computer nicht?
  • Versuchen Sie, den Zugriff von der bestimmten Website, bei der Sie sich anmelden, zu verhindern?
  • Versuchen Sie, die Entdeckung Ihres Passworts zu verhindern, weil Sie es für hundert andere Dienste wie Personal Banking wiederverwenden?
  • Versuchen Sie einfach, einen universellen Weg zu finden, um unabhängig davon nicht kompromittiert zu werden Auf welchen fremden Computer stoßen Sie in Zukunft?
  • Versuchen Sie zu verhindern, dass die Details des Post-Login-Bildschirms aufgezeichnet werden? Möglicherweise möchten Sie den Bereich nach versteckten Videoaufzeichnungsgeräten in der Decke durchsuchen.
Ich denke, das OP macht sich Sorgen darüber, dass ausländische Einwanderungsbeamte ihn bitten, seine sozialen Medien zu zeigen
#8
+4
Will Dereham
2018-12-01 16:12:01 UTC
view on stackexchange narkive permalink

Wenn Sie sich mit dem Computer einer anderen Person anmelden müssen, gibt es keine sichere Möglichkeit, sicher zu wissen, ob es irgendeine Form von Spionagesoftware gibt. Selbst wenn es sich um jemanden handelt, dem Sie vertrauen, kann er mit einem Virus oder einem ähnlichen schändlichen Gerät infiziert sein, und es kann schwierig bis unmöglich sein, festzustellen, ob es infiziert ist. Gehen Sie immer davon aus, dass eine schändliche Entität weiterhin alles anzeigen / darauf zugreifen kann, was auf dem Computer passiert. Hier sind einige Möglichkeiten, wie Sie versuchen können, die Risiken zu minimieren.

Es gibt keine Möglichkeit, sicherzustellen, dass das Betriebssystem der Person nicht beeinträchtigt wird. Sie können sich die laufenden Prozesse ansehen, Anrufstapel, Netzwerkanforderungen oder ähnliches untersuchen, aber Spyware-Programme können sehr gut getarnt sein. Die bestmögliche Lösung besteht darin, von einem Live-USB-Stick mit einer Linux-Distribution wie Ubuntu, Puppy Linux oder Kali Linux zu booten. Dies bedeutet, dass Sie die volle Kontrolle über die auf dem Computer ausgeführte Software haben sollten, obwohl ein entschlossener Hacker schädlichen Code in das BIOS oder den Bootloader des Computers einfügen und den tatsächlichen Code des Betriebssystems ändern könnte.

Minderung hardwarebasierter Sicherheitslücken

  • Überprüfen Sie das Kabel zwischen Computer und Display. Dazwischen kann ein Gerät eingefügt werden, mit dem ein Hacker die Anzeigeausgabe sehen kann.
  • Vermeiden Sie die Verwendung einer drahtlosen Tastatur oder Maus. Das Signal kann zwischen Sender und Empfänger abgefangen werden, wodurch Tastenanschläge und Mausbewegungen auch über ein separates Gerät sichtbar werden.
  • Schließen Sie alle USB-Geräte direkt an das Motherboard an. Verwenden Sie keinen PCIe-Steckplatz, da das Gerät möglicherweise Tastenanschläge / Befehle speichert / überträgt. Gleiches gilt für Frontplattenanschlüsse.
  • Verwenden Sie nach Möglichkeit eine andere Tastatur. Geräte können die Geräusche einzelner Tasten aufnehmen, um zu entschlüsseln, um welche Taste es sich handelt. Trennen Sie alle für den Fall an den Computer angeschlossenen Mikrofone vom Stromnetz.
  • Überprüfen Sie, ob zusätzliche PCIe- oder serielle Anschlussgeräte angeschlossen sind. Stellen Sie sicher, dass nur die erforderlichen Geräte angeschlossen sind, nur für den Fall.

Softwaremethoden zur Risikominderung

  • Stellen Sie sicher, dass Sie eine Verbindung zu einem gesicherten WiFi-Netzwerk oder Ethernet herstellen, wenn Sie wissen, dass es sicher ist. Es ist wahrscheinlich besser, mobile Daten und, wenn möglich, einen mobilen Hotspot zu verwenden, damit Sie sich nicht auf deren Internetverbindung verlassen müssen. Verwenden Sie nach Möglichkeit auch ein USB-Kabel, damit Sie nicht das Risiko eingehen, dass stattdessen eine alternative WLAN-Verbindung das Signal abfängt.
  • Verwenden Sie SSL. Dies ist offensichtlich, aber Sie müssen sicherstellen, dass die Zertifizierungsstelle diejenige ist, die Sie erwarten würden, da eine Entität ein selbstsigniertes Zertifikat in die Kette einfügen kann.

Das Letzte ist, dass Sie Ihr Passwort, wenn möglich, vorübergehend ändern sollten (möglicherweise über Ihr Telefon), während Sie sich mit diesem Computer anmelden, und es anschließend wieder ändern sollten. Wenn das Passwort kompromittiert wird, kann es nach der Änderung nicht mehr verwendet werden zurück.

#9
+2
xmp125a
2018-12-04 00:32:57 UTC
view on stackexchange narkive permalink

Sie geben nicht an, ob Sie sich über den Computer einer anderen Person anmelden müssen, weil Sie:

  1. deren Betriebssystem / Software benötigen, z. Sie richten den Computer einer anderen Person ein / reparieren ihn und müssen einige Daten von Ihrem privaten Server abrufen.
  2. Sie benötigen dessen Hardware (z. B. wird Ihnen der Netzwerkzugriff basierend auf ihrer MAC-Adresse oder anderen Faktoren gewährt, die nur auf dem Computer vorhanden sind Computer, den Sie verwenden möchten.
  3. Benötigen Sie ihr Netzwerk (z. B. müssen Sie sich in ihrem LAN befinden, aber mit Ihrem eigenen Gerät)
  4. Benötigen Sie überhaupt kein Netzwerk oder Gerät. Es ist nur bequem für Sie, ihren Computer zu verwenden.
    5. ol>

    Die optimale Möglichkeit, diese Bedenken auszuräumen, ist in umgekehrter Reihenfolge:

    Fall 4. Bringen Sie Ihren Laptop / Ihr Telefon / Tablet mit und verwenden Sie eine 3G / 4G-Verbindung, um auf das Internet zuzugreifen. Fertig.

    Fall 3. Bringen Sie Ihren Laptop mit und sichern Sie ihn ordnungsgemäß (Antivirus, Firewall usw.), schließen Sie es an das Netzwerk an. Fertig.

    Fall 2. Überprüfen Sie die Hardware auf Hardware-Logger und starten Sie Ihr eigenes Betriebssystem (eine Art Live-Distribution). Wenn Sie den Hardware-Logger verpasst haben, liegt das Problem vor.

    Fall 1. Hilft auch bei Fall 2.

  • a) Administrator- / Root-Zugriff erforderlich.

  • b) Aktivieren Sie die Firewall, stellen Sie sie auf den paranoid strengen Modus ein und lassen Sie nur Verbindungen zu Ihrem Zielserver zu.

  • c) Ändern Sie Ihr Zugangskennwort über Ihr 3G / 4G-Telefon in ein temporäres Passwort.

  • d) Zugriff auf den Server, Verwenden Sie 2FA

  • e) Löschen Sie die Traces (Cookies, temporäre Dateien, die Anmeldeinformationen verbergen könnten, eindeutige IDs usw.).

  • f) Ändern Sie das Kennwort über Ihr 3G / 4G-Telefon zurück.

  • g) Setzen Sie die Firewall wieder auf normal.

Jetzt kann die Firewall auch durch ein Rootkit kompromittiert werden. Für paranoidere Zwecke oder in Fällen erhalten Sie keinen Administrator- / Root-Zugriff :

  • a) Erstellen Sie Ihren benutzerdefinierten Router mit Raspberry Pi oder einem ähnlichen Gerät und fügen Sie mithilfe des Ethernet2USB-Adapters einen zusätzlichen Ethernet-Port hinzu. (Natürlich würde ein wirklich sicherheitsbewusster Profi ohnehin Linux auf seinem Laptop haben, also fügen Sie einfach den Ethernet2USB-Port hinzu und fahren Sie ohne Raspberry fort.

  • b) Schließen Sie den Computer an Ihren Raspberry an Klonen Sie die MAC-Adresse auf die andere (ausgehende) Seite.

  • c) Richten Sie unter Linux ein striktes Routing und eine Firewall ein, erlauben Sie nur den Zugriff auf Ihren Server und leiten Sie eine weiter Netzwerkkarte zu einer anderen.

  • d) Richten Sie MITM-Sniffing ein und installieren Sie Ihr Zertifikat auf Ihrem Server auf dessen Computer. Ihr Zertifikat ist das MITM-Zertifikat, das gefälschte, das Sie generiert haben!

  • e) Gehen Sie wie zuvor in 1c) und weiter beschrieben vor.

  • f) Protokollieren Sie jedes blutige Byte, das Ihren Mini-Router durchquert, damit Sie ihn konfrontieren können, wenn er etwas Böses versucht.

Die Argumentation dahinter Dieser Vorschlag besagt, dass der Host-Computer wahrscheinlich nicht über die vollständige Suite von Tools verfügt, um Ihr Konto anzugreifen. Keylogger protokolliert die Schlüssel für Ihr temporäres Passwort, kann die Daten jedoch nicht an den Bösewicht weiterleiten, der im anderen Raum sitzt. Wenn dies der Fall ist und versucht wird, Ihren Server zu hacken, wird jeder Hackversuch im Klartext protokolliert. Sie können ihn entweder konfrontieren oder den Schaden rückgängig machen (sie haben den Klartext geändert, aber Sie haben die Änderung protokolliert! ). Beachten Sie, dass in der kritischen Zeit nur Ihr Server für den Computer verfügbar ist. Entweder versucht der Computer, sich alleine zu hacken, oder es passiert nichts.

Ich würde mich über Feedback zu dieser Route freuen, wenn ich vielleicht etwas verpasst hätte.

#10
+1
R.. GitHub STOP HELPING ICE
2018-12-03 09:29:00 UTC
view on stackexchange narkive permalink

Wenn die Site Ihnen theoretisch keinen besseren Weg bietet, gibt es immer noch einen Weg: Melden Sie sich auf einem Gerät an, das unter Ihrer Kontrolle steht, und übertragen Sie das Sitzungscookie, das Sie von diesem Gerät erhalten, auf das nicht vertrauenswürdige Computer. Auf diese Weise kann der nicht vertrauenswürdige Computer alle Vorgänge ausführen, die Sie nach dem Anmelden auf der Site ausführen können. Wenn die Site jedoch kein schwerwiegendes Sicherheitsdesign aufweist, kann der nicht vertrauenswürdige Computer Ihr Kennwort und die mit dem Konto verknüpfte E-Mail-Adresse nicht ändern oder führen Sie andere Kontoübernahmevorgänge durch.

Wenn Sie fertig sind, können Sie das vertrauenswürdige Gerät, das Sie steuern, verwenden, um das Sitzungscookie (das Sie von ihm kopiert haben) abzumelden, indem Sie dort den Abmeldevorgang ausführen. oder führen Sie einen Vorgang zum Abmelden aller Geräte durch, wenn die Site eine solche Funktion bietet.

Beachten Sie, dass nach diesem Schema Ihr Kennwort niemals auf dem nicht vertrauenswürdigen Computer eingegeben wird und daher keine Möglichkeit zum Aufzeichnen / Erfassen besteht es. Bestenfalls kann es das Sitzungscookie erfassen, das Sie ungültig machen, indem Sie sich mit dem vertrauenswürdigen Gerät abmelden, sobald Sie fertig sind.

#11
  0
Dmitry Grigoryev
2018-12-03 18:45:20 UTC
view on stackexchange narkive permalink

Wenn Sie dieser Person vertrauen, verwenden Sie ihren Computer. Erwägen Sie, ein separates Browserprofil zu erstellen, das Sie nach Abschluss löschen können, ohne die Cookies / Einstellungen / was auch immer dieser Person zu löschen. Notieren Sie sich alle heruntergeladenen Anhänge, damit Sie diese auch entfernen können. Öffnen Sie nicht nur angehängte Dateien, es sei denn, Sie möchten Detektiv spielen und herausfinden, an welchem ​​der möglichen "temporären" Speicherorte sie gespeichert wurden. Vermeiden Sie es, vertrauliche Daten zu manipulieren, die nicht mit dem Zweck verbunden sind, Sie zur Verwendung des Computers einer anderen Person zu zwingen.

Wenn Sie der Person nicht vertrauen, verwenden Sie nicht deren Computer . Es gibt keine Möglichkeit, einen unbekannten Computer zu 100% zu sichern, und noch weniger, ohne Dinge zu tun, die die andere Person vermuten lassen, dass Sie versuchen, sie zu hacken. An diesem Punkt wird Ihnen wahrscheinlich die Nutzung des Computers verweigert.

Ich vertraue meiner Großmutter.Ich vertraue nicht darauf, dass ihr Computer sauber ist.
#12
-1
CularBytes
2018-12-04 15:01:00 UTC
view on stackexchange narkive permalink

Obwohl es eine Reihe guter und großartiger Antworten gibt, fehlt meiner Meinung nach diese radikale "Antwort":

Wenn Sie sich Sorgen um die Sicherheit machen, verwenden Sie wahrscheinlich auch einen Passwort-Manager. Ich generiere immer ein zufälliges und sehr schwieriges Passwort. Auf anderen Computern habe ich wahrscheinlich weder die Software noch die Datei, in der meine Passwörter gespeichert sind (ich verwende keepass). Ich habe diese Datei in einer Cloud-Lösung gespeichert, aber beim Anmelden ist auch eine separate Datei erforderlich, die ich nur habe lokal auf meinen vertrauenswürdigen Geräten.

Sie verstehen also möglicherweise, welchen Aufwand ich durchmachen muss, bevor ich tatsächlich auf dem anderen nicht vertrauenswürdigen Gerät angemeldet bin. Was mich eigentlich daran hindert.

Wenn ich also gezwungen bin, mich anzumelden: "Ich kenne mein Passwort nicht".

Sie können Ihren Passwort-Manager am Telefon haben und dieses Passwort in einen Computer eingeben.Benötigt mehr Schritte, ist aber nicht unmöglich.
Dies ist eine Anti-Antwort.Die Voraussetzung ist, dass sich der Benutzer anmelden muss.
#13
-2
user192527
2018-11-30 13:03:29 UTC
view on stackexchange narkive permalink

Wenn Sie den Verdacht haben, dass das System über ein Keylog verfügt, müssen Sie in der Lage sein, diesen Prozess zu unterbrechen, um das zu tun, was Sie verlangen.

Dies kann jedoch ein sichtbarer Prozess sein. Wenn es also geschäftskritisch ist, versuchen Sie es Verarbeiten oder Erstellen eines anderen Benutzerkontos mit einem verschlüsselten Terminal in einer Sandbox, um festzustellen, ob Sie eine solche Protokollierung vermeiden können - z. B. Linux mit dem verschlüsselten Home-Ordner & Swap als Beispiel.

Wie würde ein Sandbox-Prozess oder ein verschlüsseltes Home-Verzeichnis das Keylogging verhindern?
Ich schlug vor, den Keylogging-Prozess zu unterbrechen. Wenn der Prozess überwacht, dass ein Benutzerkonto und ein anderes Konto verschlüsselt sind, wird möglicherweise das gewünschte Ergebnis erzielt, wenn nicht protokolliert wird.Wenn Sie dies in einer Sandbox-Umgebung versuchen, anstatt es nur zu tun, wird das Risiko verringert, falls dies nicht der Fall ist.
Wenn Sie unter einem anderen Benutzer ausgeführt werden, müssen Sie nichts verschlüsseln oder Sandboxen verwenden.Unter Linux (seit Sie Linux erwähnt haben) sind einzelne Benutzer voneinander isoliert, und X11-basierte Keylogger funktionieren nicht.Wenn die Hardware jedoch von einer böswilligen Person kontrolliert wird, helfen selbst Verschlüsselung und ein Sandbox-Terminal nicht weiter.
Ich schlug vor, die Idee in einem Sandkasten zu testen.Das Hauptziel ist es, den Keylogger nach Möglichkeit zu unterbrechen und zu versuchen, durch Verwendung anderer Konten usw. zu verschleiern.
Leider isoliert Sandboxing das X11-Protokoll nicht.
Interessanterweise können verschlüsselte Home-Ordner Auswirkungen auf SSH-Schlüssel haben - was ich erst kürzlich entdeckt habe.
Es gibt Hardware-Keylogger.Diese Antwort setzt voraus, dass es einen "Prozess" zum "Unterbrechen" gibt, der völlig falsch ist.Es kann ein sehr spezifisches Risiko mindern, ignoriert jedoch andere schwerwiegende Risiken vollständig.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...