Методика ввода пароля против Кейлоггеров

[InternetStranger]

Я вообще параноидально отношусь к хранению паролей от кошельков и прочих сверхсекретных данных. Потому хочу "обсудить" с программистами, насколько безопасны те или иные приемы против кейлоггеров/троянов (+ некоторые бэкдоры с такими функциями).

Предположим в компе сидит вирус и ставит хук на клавиатуру, снифает буфер обмена, периодически скриншотит экран (чего они еще обычно умеют?)

1) Обожаю, когда всяких сайтах стоит виртуальная клавиатура для ввода. Насколько актуальна такая мера против вирусов?
Вирус может как-нить обратиться к DOM-модели документа, и стащить оттуда введенные данные? А к программе на компе (например, при вводе пароля от архивов winrar)?

2) Когда виртуальных клавиатур нету, то я так поступаю: (да, я параноик)
На рабочем столе у меня текстовый файлик, к котором все цифры и весь алфавит. Просто посимвольно копи-пастю пароль в каком-нить хитром порядке (передом назад, да через один налево)), при этом не забывая использовать 75% левых символов (которые перед отправкой формы удаляются из формы ввода).

Насколько я понимаю, определить в какую именно позицию был вставлен каждый символ, программным способом невозможно ))

В общем, интересно, у кого какие соображения и вообще методы.
(антивирусы, фаерволы, проактивные и прочие "ультраэффективные" защиты не считаются - 100% гарантий они не дают).

[VovanZ]

Мда........
Я не думаю, что кто-то будет прибегать к таким ухищрениям, пока есть люди, которые ловятся на meil.ru и
Чтото_Интересное.jpg<200пробелов>.e xe

[ds.Dante]

Если тебе действительно есть что прятать от ФСБ, подумай о таких гораздо более простых способах взлома системы, как иголки и горячий утюг. :) Занимайся йогой, и ты станешь устойчивее к таким атакам. К тому же сможешь держать больше информации в голове, а не в компьютере.

Лично я, когда пользуюсь компьютером, подсознательно держу в уме, что любая информация может попасть в любые руки.

[mv28jam]

Цитата:

Сообщение от InternetStranger

Я вообще параноидально отношусь к хранению паролей от кошельков и прочих сверхсекретных данных. Потому хочу "обсудить" с программистами, насколько безопасны те или иные приемы против кейлоггеров/троянов (+ некоторые бэкдоры с такими функциями).
Предположим в компе сидит вирус и ставит хук на клавиатуру, снифает буфер обмена, периодически скриншотит экран (чего они еще обычно умеют?)

Вы вообще плохо себе представляете, что умеют и как работают вирусы. Если вирус хочет украсть пароль для определённых сайтов, ничего подобного он делать не будет. Он будет подсматривать уже отправленный пароль, более того пользователь сам его и отправит.

Цитата:

Сообщение от InternetStranger

Насколько я понимаю, определить в какую именно позицию был вставлен каждый символ, программным способом невозможно ))

Зато очень даже возможно просмотреть ваши POST GET запросы, где пароль будет в явном виде.

Цитата:

Сообщение от InternetStranger

В общем, интересно, у кого какие соображения и вообще методы.
(антивирусы, фаерволы, проактивные и прочие "ультраэффективные" защиты не считаются - 100% гарантий они не дают).

Linux+ssh = 100% гарантия

[Viteef]

Цитата:

Зато очень даже возможно просмотреть ваши POST GET запросы, где пароль будет в явном виде.

Есть https.

[mv28jam]

Цитата:

Сообщение от Viteef

Есть https.

Ну раз можно прочитать POST GET, то и ключ шифрования тоже прочитать можно.
---
Хотя это уже совсем другая история и заморачиваться с этим хакеры врядли станут, есть способы проще.

[InternetStranger]

Цитата:

Сообщение от ds.Dante

К тому же сможешь держать больше информации в голове, а не в компьютере.

Я и так в голове все держу, вводить-то приходится через клавиатуру, если умеешь подключаться к сети телепатически, научи пожалуйста ))

Цитата:

Зато очень даже возможно просмотреть ваши POST GET запросы, где пароль будет в явном виде.

. https , сертификаты, SFTP, TLS от этого отлично спасают. Везде соединения шифрованные (банковские интерфейсы, mts.ru, money.yandex.ru), ибо речь идет не пароле от этого форума, а о действительно важных вещах - кредитках, эл.кошельках, хостингах в конце концов.
На моих сайтах вообще стоит собственная крипто-система для аутенцикации. Перехват и сохранность данных меня не беспокоят, т.к. все зашифрованно.
По-прежнему, самым узким местом остается процесс аутенфикации.
Но кейлог никто не отменял! (хоть его легко отловить, но тем не менее).

[mv28jam]

Цитата:

Сообщение от InternetStranger

Отлично представляю. https ни о чем не говорит? А также сертификаты, SFTP, TLS...??

И как же работает https? Просветите лоха!
Зная полученный клиентом private ключ шифрования, и находясь на одной машине что и он или "представившись его машиной", после авторизации клента, можно шифровать нужные команды его ключом.

Цитата:

Сообщение от InternetStranger

про одностороннее кодирование видимо тоже не слышал http://ru.wikipedia.org/wiki/MD5

md5 никакого отношения к https не имеет!

И не называйте меня на ты, если делаете это в грубой форме. Я себе такого в отношении к вам не позволил.

[Altera]

2InternetStranger, чем так извращаться, лучше антивирус поставте крутой и фаервол

[Alex Cones]

Цитата:

Сообщение от Altera

2InternetStranger, чем так извращаться, лучше антивирус поставте крутой и фаервол

Знаете, есть такая поговорка -
Даже самый крутой презерватив может порваться.