Jeg prøver å finne på en metode(Evt. finne en applikasjon som gjør dette som allerede finnes) for å hindre keyloggere..

Eneste metoden som faktisk er hold i er at man får et engangspassord hver gang.. Jeg tenker da: Et Master passord for en applikasjon som holder alle passordene i nettleseren.. Men som man da får et engangspassord tilsendt (Enten mail/sms eller via applikasjonen til en "annen applikasjon" som man da taster inn for å bekrefte)

På denne måten taster man kun inn passordet til "safèn" når man f.eks skrur på firefox e.l(Akkurat når dette skal gjøres uten at en keylogger merker det er det jeg fortsatt ikke er sikker på..) Kunne evt. vært et program som loadet dette kryptert via java e.l.. Pluss selvfølgelig et lokalt master passord. Og som man da la inn passordene når man var på en pc som man er 100% sikker på at ikke har en keylogger..

Deretter skjønner vel de fleste hvordan det skal foregå, når du skal logge inn på en side, si i dette tilfellet freak.no, så merker denne "safen"(som jeg da kaller den) hvilket domene du er på, spør deg hvilken bruker du skal logge inn på, så velger du da selvfølgelig det, og den fyller da inn passordet for deg automatisk etter du har tastet inn "universal" passordet(Som jeg da tenkte også ha en metode for tastene er "kryptert", f.eks Gh=a da får man f.eks opp en visuell liste(I en bildefil, og alt ettersom hvor høy sikkerhet man har valgt, for en annen mulighet måtte jo vært at man husket dette selv, men da blir det veldig tungvindt etterhvert)

Og så får man altså tilsendt et engangspassord(istedenfor å taste inn passordet på siden, dette enten via sms, mail til tlf eller altså til en klient som kjører ved siden av denne applikasjonen..(Igjen skal man kunne stille inn dette etter hvor høy sikkerhet man vil ha, men å få det sendt til en annen enhet burde ikke være noe stort problem nå om dagen som alle sitter med en telefon med mail tilgang, og evt. sms viss man stiller inn kontoen på dette, men igjen spørs det hvor høy sikkerhet man trenger, men får man tilsendt det på samme pc og må logge inn på mailen her blir jo mye av poenget borte)

Om dere leser vedlegget skjønner dere hvorfor ingen av de metodene for å få engangspassordet kan gjøre jobben alene..

Igjen dette er kun for paranoide datahjerner(Men nå om dagen må man være paranoid, spessielt om man bruker Windows eller mer og mer Mac, men også mer og mer linux)

Jeg har kun tenkt igjennom mulighet i 15minutters tid, så jeg legger ut mer når jeg kommer lenger, imellomtiden vil jeg gjerne høre forslag til metoder vi kunne brukt for å komme rundt keyloggeren..

Takk for svar!

og til alle som hjelper til ordentlig med dette prosjektet!

Lastpass må jo være enhver keyloggers drøm. Med en gang masterpassordet blir benyttet, får "hackeren" tilgang til absolutt alle passord vedkommende har lagret der. I klartekst.

Etter det jeg har lært opp gjennom årene er det tilnærmet lik umulig å finne en metode som gjør deg trygg mot keyloggers. Det letteste vil være å rett og slett bruke sunn fornuft når man surfer på nettet, slik at man unngår keyloggers og annen malware i første omgang.

Men du trenger ikke bruke masterpassordet alene. Du kan kreve en 2 trinns verifisering med feks fingeravtrykk i tillegg til masterpassord.

Ifølge alle tester jeg har lest om lastpass så er den trygg og sikker.
Men som jeg så finnes det også alternativer.

Det jeg lurer på er hvorfor OP skal finne opp kruttet på nytt.

Du har rett, ser nå at man kan bruke både fingeravtrykk og authenticator som ekstra sikkerhet. Isåfall vil det fungere fint mot keyloggers, ettersom det ikke vil være mulig å logge inn med masterpassord for å hente alle passordene.

Det finnes likevel malware som fint kan stjele passord selv ved bruk av Lastpass. Et eksempel er form grabbing, som henter ut data direkte fra innlogginsfeltene når du logger inn. Med andre ord, selvom du har Lastpass betyr ikke det at du skal føle deg helt trygg. Bruk hodet, ikke last ned "FREE_MONEY.exe" osv.

All må bruke hodet klart det - men vi trenger jo alle porn og gratis underholdning

Stjele passord selv ved bruk av lastpass? Hvordan skjer det?
Da vil det i såfall kun skje på sider som er så uvesentlige at de ikke benytter SSL for innlogging.

Bruker du feks lastpass for å logge på en side som tar sikkerhet seriøst så er jo kommunikasjonen mellom siden og web browser m/lastpass kryptert - last pass passordet er jo ikke synlig - det er jo bare ****** som vises på skjermen. Så selv ikke skjermdumper vil hjelpe der.

Ser ikke hvordan noen skal få missbrukt det.

Hvis noen har tilgang til maskinen din så er du per default fucked, hva tror du skjer hvis du kopierer passordet fra lastpass til clip board?. Det er også ganske trivielt å hente ut data fra DOM, slik som form data.

Og det er her to-nivå autentisering kommer inn. Det er helt likegyldig om angriperen har passordet ditt, han må også ha en tidsbegrenset kode. Denne koden er også kun gyldig en gang, så hvis han stjeler den vil du få beskjed om at den allerede er brukt.

Videre så har vi andre mekanismer for å hindre at folk snoper i dataen vår, slik som BankID som benytter seg av Java. De gjør det vanskeligere å hente ut denne koden, siden vi ikke like trivielt kan hente ut denne dataen, slik vi kan fra DOM.

Du er ikke det om du bruker fingertrykkscann og alltid logger ut etter bruk.
Hvordan skal noen da få tilgang til hvelvet ditt da?

En hummer H1 kan være en ressurser om du befinner deg i ørkenen - men egnet til å begå særdeles grove forbrytelser om du kjører full gass inn på et område med mange mennesker.

Lastpass og tilsvarende løsninger er nok helt ok sålenge brukeren orker å benytte de korrekt.

Jeg skjønner ikke hvordan det har noe med diskusjonen å gjøre, og jeg skjønner ikke referansen din til en hummer. Vi snakker om en løsning som skal gjøre det vanskelig for en keylogger (det samme som å ha tilgang til maskinen din) å lese passordene dine. Kort fortalt er det tilnærmet umulig, da alt du kopierer vil ha en referanse i minnet og kan derfor leses.

Jeg glemte å nevne, det trådstarter beskriver med begrenset tilgang mellom applikasjon og en password manager eksisterer allerede på flere systemer. På OSX er det Keychain Manager og i Linux har man flere implementasjoner, som likner. Problemet er at det er fult mulig å utnytte en applikasjon til å hente ut data, men det krever "user input", i form av at man aksepterer at applikasjonen henter ut dataen. I så tilfelle vil dataen være trygg mot en keylogger helt til den blir brukt.

Jeg som var så stolt over den hummer analogien

Så det du sier er at en keylogger gjør dg fucked uansett hva du bruker av løsninger? Og at en avansert keylogger eller trojaner kan bruke løsninger til å åpne hvelvet og stjele alle passordene? Selv om man må bruke fingeravtrykk for å vise passord i klartekst?

Ja om det er tilfellet så får folk kjøre hele os i ram og boote opp før hver eneste kritiske pålogging.
Og det er jo ikke slik folk gjør det. Derfor tror jeg dere overdramatiserer frykten for å keyloggere skal kapre data.

Helt ok er absolutt ikke det samme som sikkert.

Lastpass er helt ok. Det har du rett i.

Problemet er ikke sikkerheten rundt passordet, men at når det blir flyttet mellom applikasjonen som lagrer det og applikasjonen som skal bruke det, så kan det bli snappet opp ganske trivielt av en logger.

Eneste måten å være sikker på at det ikke skjer, vil, som du også sier, være å bruke en safe state. Det er svært lite praktisk, og det vil være bedre å tenke seg litt om før man sprer rundt seg med data og ikke ukritisk laste ned programmer. Men igjen - det var ikke temaet.

Hva mener dere forresten folk bør bruke for å være trygg på internett?

Common sense, gode passord og, hvis de føler for det, en password manager. Problemet er at det er ikke det vi snakker om, vi snakker om hvordan vi kan gjøre password managers tryggere, og realiteten er at det er relativt vanskelig utover løsninger som i dag er tilgjengelig.

To-faktor løsningen til f.eks. LastPass er der bare for å hindre at noen med tilgang til dataen din ikke leser ut hele databasen, bare fordi de har master passordet ditt. Det vil derimot ikke hindre dem i å installere en keylogger, det må man ha andre mekanismer mot. En god sikkerhetsmodell, slik som den Unix og Linux har, vil hjelpe godt, da man typisk trenger tilgang til en superuser.

Skjønner ikke helt hva du mener, men hvis hensikten er å unngå enkle keyloggere kan man jo implementere et system som lar deg slå inn passordet ved å klikke med musa på et virtuelt tastatur.

En annen mulighet kan være engangspassord eller såkalt tofaktor autentisering. Da hjelper det ikke hackeren om han får tak i passordet ditt.

Problemet er at det er "broken by design", det er tilnærmet helt umulig å løse problemstillingen. Når du klikker på et av bildene vil den lagre verdien et sted i minnet. Det er alt du trenger å ha tak for å vite hva brukeren skrevet. Og i tillegg har man alle de andre angrepsvektorene.

Hm. Det gjør jo ting mer komplisert. Hva med fingeravtrykk eller retina scan?
Både fingeravtrykket og retina scan må jo matches med en database eller noe regner jeg med - vil det kunne missbrukes?

Men hvor avanserte er egentlig keyloggers? Blir det ikke litt overkill å tenke så mye sikkerhet for vanlige folk?
Selv lastpass som dere har dømt til å være satans far er vel egentlig bedre enn å bruke passord123 eller 123passord eller andre simple passord som enkelt kan bruteforces? Det er jo begrenset hvor mange lange og kompliserte passord folk klarer å huske på.

Bør virkelig maskiner tilkoblet nettet være maskiner som nulles etter hver boot også for den jevne bruker? Eller vil man egentlig klare seg godt fordi de få kronene folk har i banken blir erstattet om noen skulle klare å ta dem fra deg på tross av BankID?

Er derfor jeg presiserer at løsningen funker mot enkle keyloggere, mao keyloggere som kun ser etter tastestrykk. Om vi har å gjøre med et avansert virus er det jo selvsagt svært lite som egentlig hjelper når maskina di først er infisert. Selv en norsk nettbank er det mulig å knekke med de avanserte virusene som utvikles i dag.

Kjøp denne:
http://helpdesk.lastpass.com/securit...uthentication/

Det er enkel og billig

Nå har ikke jeg lest hele tråden, men og ha ett passord som inneholder æøå funker ofte bra mot keylogging siden fleste keyloggere i dag logger ikke ting som ikke står i det engelske alfabetet

Men ifølge gutta i tråden her så hjelper den ikke en dritt.
Er litt trøtt nå så klarer kanskje ikke absorbere det som står i tråden korrekt så tar forbehold om at jeg kan ha missforstått noe. Men det virker som om den yubikey'n heller ikke vil beskytte mot keyloggers.

Hardware tokens er bra, slik som den yubikey saken. Problemet er at passordapplikasjonen deretter paster inn passordet til webapplikasjonen. Det blir nesten som å lagre passordet ditt i en bunkers med superlås for deretter å skrike ut passordet høyt å tydelig når du kommer ut av bunkersen.

Står det noen i nærheten (maskin er infecta) når du roper ut passordet er du fucked.

Kommer på nå at det finnes hardware tokens som gjør kommunikasjonen med serveren mer eller mindre idiotsikker. Tyske nettbanker bruker bla denne løsningen:

http://www.pcworld.com/article/160575/article.html