Windows=> Startmenü => Programme=> Zubehör => Eingabehilfen => Bildschirmtastatur
Diese Tastatur kann man ja auf dem schirm beliebig platzieren.
Frage:
Ist eine Passwort-Eingabe über Bildschirmtastatur sicherer?
Hallo,
theoretisch: Ja. da der Einsatz eines Hardware-Keyloggers
http://de.wikipedia.org/wiki/Keylogger#Hardware-Keyl…
(der ja mit Antiviren-Programmen etc. nicht feststellbar ist) in diesem Fall ins Leere läuft.
Gegen Software-Keylogger hingegen bietet dies keine relevanten Vorteile.
Siehe auch hier:
http://de.wikipedia.org/wiki/Keylogger
Grüße
godam
Danke godam für Antwort! Gegen Software-Keylogger hingegen bietet dies keine relevanten
Vorteile.
Ich dachte, dass könnte von Vorteil sein, da online-Banken oft solche anklickbaren Bildschirmzahlenfelder nutzen.
d.h. ein Virus-Programm registriert z.B. die ins Internet abgesendeten Daten, nicht unbedingt die Tastaturanschläge?
Gruß Schwipp
Moin Schwipp!
Wie so oft, hängt davon ab …
Es gibt Schädlinge, die auch Eingaben auf der virtuellen Tastatur mitschneiden und auswerten, es gibt auch andere.
Wenn sich ein leistungsfähiger Trojaner/Rootkit sich auf dem System eingenistet haben sollten, schützt die virtuelle Tastatur nur vor Hardware-Loggern.
Da ein Hardware Logger aber durch kein Schutzprogramm erkannt werden kann, bietet dies eine höhere Sicherheit, die aber in der Praxis für die meisten Benutzer nicht relevant sein dürfte.
Es bedarf ja beim Einsatz eine Hardware-Loggers eines physischen Zugangs, genauer gesagt deren zwei (die „Putzkolonne“ oder die Chefsekretärin sind gute Kandidaten)
Ich habe in den letzten Jahren nur einmal einen Hardware-, aber viele Software-Logger entdecken dürfen/müssen.
Als einen weiteren Nachteil virtueller Tastaturen empfand ich immer die Sichtbarkeit (Kollegen usw.). Ist eben einfacher einzusehen als eine Tastatureingabe.
Zu:
„d.h. ein Virus-Programm registriert z.B. die ins Internet abgesendeten Daten, nicht unbedingt die Tastaturanschläge?“
Es gibt nicht „das Virusprogramm“.
Viele Schädlinge setzen erst einmal einen Fuß in die Tür. Weitere Schädlinge werden nachgeladen. Der Angreifer bestimmt, welche dies sind. Heute kann sicher fast jeder maßgeschneiderte Bausätze besorgen.
Dies ist auch einer der Hauptprobleme: Ein Antivirenprogramm gibt Alarm, vielleicht wird auch der erkannte Schädling entfernt. Wenn sich aber erst einmal ein Schädling auf dem System eingenistet haben sollte, kann man nicht einmal mehr dem Antiviren-Programm vertrauen. Selbst für Linux-Systeme gibt es Angriffsszenarien, die jeden Sicherheitsexperten an die Grenzen seines Kaffee-Konsums bringen. Die Logbücher sind manipuliert, Systembestandteile ausgetauscht usw.
Deshalb wirst du so oft - nicht nur von mir - den Rat bekommen, daß System neu zu aufzusetzen.
Natürlich ist diese Meinung nicht populär. Es ist viel einfacher, irgendwelche der vielen im Internet zu findenden Tips zur Beseitung des Schädlings zu befolgen und dann nach einigen so tun, als ob nichts geschehen wäre.
Es ist vergleichsweise einfach festzustellen, ob ein System infiziert wurde, Es ist sehr zeitaufwendig und oftmals kaum möglich zu GARANTIEREN, daß dieses System nach Beseitigung des Schädlings „sauber“ ist.
Letzendlich ist die Nutzung einer vituellen Tastatur nicht anderes als ein
http://de.wikipedia.org/wiki/Security_through_obscurity
Ansatz.
Als ERGÄNZENDE Maßnahme vielleicht sinnvoll, sollte aber in einem Sycherheitskonzept keine relevante Rolle spielen.
Grüße
godam
1 Like
Guten Tag, GODam,
vielen Dank nochmals für die sehr ausführliche Antwort!
Ich habe mir Literatur in einem von Dir angegebenen Link durchgelesen: „How to login from an Internet Cafe without worrying about Keyloggers.“
So ähnlich habe ich es intuitiv gemacht, als ich mich im Ausland in eine deutsche Bank einlogte.
Nur einen Teil des Passwortes geschrieben mit der Tastatur, dann die fehlenden Zeichen
dazwischen
mit Copy und Paste der Bildschirmanzeige daneben
entnommen und zwischen die bereits getippten Zeichen eingefügt.
So mache ich es eigentlich fast immer, meine Passwörter werden nie in der richtigen Reihenfolge getippt.
Nun gut, wenn Screenshots gemacht und übermittelt werden, so ist das wirkungslos.
Nicht verstanden habe ich, wie und ob es bereits praktisch funktioniert, das Passwort erst mithilfe eines geheimen Schlüssels auf einem Proxyserver zu generieren.
–
Ich hatte mal Schadsoftware auf meinem Computer,
die jede 10 Sekunden eine neue Kopie von sich selbst erzeugte, insgesamt hatte ich davon dann mehrere 1000 Kopien auf dem PC. Gott sei Dank nur auf Laufwerk C, so dass ich wichtige Dateien anderer Laufwerke erhalten konnte, als ich C dann formatierte.
Gruß Schwipp
Nachtrag:
Ich verwende regelmäßig Sprachsoftware Dragon Naturally Speaking.
Für Homebanking verwende ich den „Browser in the Box“, und der akzeptiert auch Sprachsoftware Eingaben für Login beim Homebanking.
Wenn man also die Zeichen und Ziffern sicherheitsrelevanter Eingaben mit Sprachsoftware einfügt, würde das einem Sicherheitsstandard höherer Klasse entsprechen?
Gruß!
Hallo,
nein. Die Spracheingabe wird ja nur umgewandelt und landet dann wieder als Interpretation von Tastatureingaben beim Empfänger. Der hört ja nicht zu … Der Schädling liegt ja auf dem System, welches auch für die Sprachumwandlung zuständig ist.
Schlimmer noch: Es ist doch so einfach, Spracheingaben (selbst über analoge Geräte aufzuzeichenen).
Dem sehr kritischen Standard-Nutzer würde ich immer die Nutzung per Linux-Live-CD/USB-Sticks empfehlen.
Grüße
godam
Hallo,
Schlimmer noch: Es ist doch so einfach, Spracheingaben (selbst
über analoge Geräte aufzuzeichenen).
ohb je, daran hatte ich nicht gedacht
Dem sehr kritischen Standard-Nutzer würde ich immer die
Nutzung per Linux-Live-CD/USB-Sticks empfehlen.
weil eine Live-Cd ein fest gebranntes, nicht veränderbares Betriebssystem ist
und ein USB Stick schreibgeschützt werden kann?
Hallo,
weil ein (hardware)schreibgeschützes Medium wie z.B,. eine CD/DVD schlicht und einfach schreibgeschützt ist und weil kein - noch so bösartiger Angreifer - dieses beschreiben kann.
Weil einige solcher Live-Anwendungen auf dem Betriebssystem-Linux beruhen, welches konzeptionell sicherer ist (jetzt bitte keinen Glaubenskrieg beginnen).
Mit dem Schreibschutz von USB-Sticks ist es auch wieder so eine Sache. Inzwischen gibt es kaum wirklich schreibgeschützte USB-Sticks. Ist wohl nicht mehr modern. Bei SD-Karten etc. sieht es NOCH ein wenig anders aus.
Ich habe keine Ahnung, welchen Sicherheitsstandard du anstrebst, ob dich dieses Thema „nur“ grundsätzlich ineteressiert oder ob du - aus welch Gründen auch immer - ein "gehärtetes System benötigst.
Versuches es doch mal mit einem virtuellen System. Damit kannst du „spielen“, Erfahrungen sammeln.
Es gibt ein, zwei, drei Bücher, die vielleicht hilfreich sein könnten.
Grüße
godam
Hallo,
Inzwischen gibt es kaum wirklich schreibgeschützte USB-Sticks.
Du meinst den Schiebe-Schalter, er war noch sicher?
Ich habe keine Ahnung, welchen Sicherheitsstandard du
anstrebst, ob dich dieses Thema „nur“ grundsätzlich interessiert
Ja, so ist es.
Und ich möchte mein Konto nicht plündern lassen,
(ein Bekannter bekam von seiner Bank die Anfrage, ob er wirklich all sein Guthaben nach Osteuropa transferieren wolle), und auch nicht ständig ein neues System aufsetzen müssen.
Versuch es es doch mal mit einem virtuellen System. Damit
kannst du „spielen“, Erfahrungen sammeln.
Das haben wir in der Familie mehrere tagelang probiert, mein Sohn wollte linux-live-System auf USB Stick generieren und war auch schon ziemlich weit, bis wir dann diese virtuelle Maschine http://www.sirrix.de/content/pages/BitBox gefunden haben, die den Linux basierten „Browser in the Box“ / bitbox generiert.
Die entscheidende Frage ist für mich:
Ist es sinnlos, diesen „Browser in the Box“ nur aufzurufen, wenn man homebankig macht, oder müsste man grundsätzlich nur diesen Browser benutzen?
Ich glaube Letzteres ist der Fall, denn die Infektion der virtuellen Maschine vom Host ist wohl möglich (???), umgekehrt kann die virtuelle Maschine den Host wohl kaum infizieren!?
Also sollte man immer mit der virtuellen Maschine browsen!?
Wie ist es?
Gruß, Schwip
Nachtrag:
http://www.sirrix.de/content/news/58700.htm ist kostenlos für Privatleute zu benutzen und mit Steuergeldern für Behörden entwickelt worden
Hallo,
diese schönen alten Schiebeschalter meinte ich. Und ja, war und ist sicher, auch wenn der eine oder andere in diesem oder jenem Forum gegen Mitternacht mal was anderes behauptet hat. Das ist das schöne an schlichten mechanischen Lösungen.
Zu:
„Die entscheidende Frage ist für mich:
Ist es sinnlos, diesen „Browser in the Box“ nur aufzurufen, wenn man homebankig macht, oder müsste man grundsätzlich nur diesen Browser benutzen?“
Sinnlos ist es sicherlich nicht, diesen Browser zumindest bei sicherheitsrelevanten Außenkontakten aufzurufen. In einem solchen Fall verspricht die Nutzung einer virtuellen Tastatur INNERHALB der Sandbox auch eine höhere Sicherhweit.
Zu:
„Ich glaube Letzteres ist der Fall, denn die Infektion der virtuellen Maschine vom Host ist wohl möglich (???), umgekehrt kann die virtuelle Maschine den Host wohl kaum infizieren!?“
So ist es in der Regel.
Und zu:
„Also sollte man immer mit der virtuellen Maschine browsen!?“
Ist die sicherste Lösung. Schützt allerding nicht vor Phishing-Angriffen
http://de.wikipedia.org/wiki/Phishing
und - so der Anbieter der von dir genuzten Lösung - kein Upload:
„Neben dem so hergestellten weitgehenden Schutz des Basissystems vor Angriffen aus dem Internet wird außerdem ein Upload von Dateien ins Internet wirksam verhindert“
Grüße
godam
Hallo,
diese schönen alten Schiebeschalter meinte ich.
über den ich immer predige, er müßte auf LOCK gestellt sein, wenn der USB Stick im Drogeriemarkt zu ausdrucken von Fotos benutzt wird…
Ist es sinnlos, diesen „Browser in the Box“ nur aufzurufen,
Sinnlos ist es sicherlich nicht, diesen Browser zumindest bei
sicherheitsrelevanten Außenkontakten aufzurufen. In einem
solchen Fall verspricht die Nutzung einer virtuellen Tastatur
INNERHALB der Sandbox auch eine höhere Sicherhweit.
es handelt sich NICHT um die SANDBOX-Software, die bei mir nach zwei Wochen nicht mehr sauber lief, sondern um die virtuell-machine-software BitBox , d.h. „Browser in the Box“, um es nochmals genauer zu sagen, für Leute die hier mitlesen
und - so der Anbieter der von dir genuzten Lösung - kein Upload:
„Neben dem so hergestellten weitgehenden Schutz des
Basissystems vor Angriffen aus dem Internet wird außerdem ein
Upload von Dateien ins Internet wirksam verhindert“
Das ist ja wohl ganz wesentlich…
Danke für die vielen Hinweise!
Gruß Schwipp