Keylogger austricksen ... oder: Wie schütze ich meine User?

#0
02.07.2006, 12:06
Member

Beiträge: 93
#1 Die authentifizierung per Username/Passwort hat immer nen bitteren Nachgeschmack - vor allem an "unsicheren" Rechnern zb. im Internet-Cafe.
Immer ein RSA Token zu verwenden ist auch nervig und ausserdem teuer.
Ich frage mich, ob es nicht einen Kompromiss gibt, bzw eine Möglichkeit, OHNE ETWAS HABEN ZU MÜSSEN (nämlich den Token) sich authentfizieren zu können, und DENNOCH DEM KEYLOGGER ein schnippchen zu schlagen?

Also..
Man stelle sich vor, ein externer Mitarbeiter will z. B. auf seine Mails in der firma zugreifen. Er kann dafür Outlook Web Access verwenden - also Zugriff über https auf sein Mail-Postfach.
Bei der Authentifizierung gibt der User seinen Domänen-Usernamen, sein Dom-User-Passwort sowie seine Domäne an.

Problem: Wenn der User das in einem Internet-Cafe macht, könnte ein Keylogger seine Zugangsdaten abgreifen - trotz ssl Verschlüsselung!!!
Was tun?

Man könnte die Authentifizierung per RSA Token verwenden, wo der User ein Einmal-Passwort eingibt.
Nachteil: Kostet Lizenzen, und der User muss ein Token mit sich rumschleppen.

Meine Idee:

Beim Besuch der owa Webseite erscheint nicht der Login, sondern zb eine Webseite mit 32 Gesichtern von Schauspielern. Der User muss die 4 "richtigen" Gesichter anklicken (oder 4 richtige Zahlen wie eine PIN). Wenn er die richtigen angeklickt hat (zb. Brad Pit, Marlon Brando, Arnold Schwarzbrot und Jenniver -fatass- Lopez) DANN erscheint erst die OWA Webseite wo er sein passwort eingeben muss.
Die Gesichter erscheinen bei jedem Login-Versuch an anderer Stelle, d.h. Brad Pit erscheint mal oben links, dann unten rechts, oder in der Mitte. Ein Keylogger kann also unmöglich feststellen, WELCHE Gesichter zu der "Parole" gehören. Nach 5 falschen Versuchen wird eine Sperrung für diese IP für 15 Minuten fällig.

Fazit: Ein eventuell auf dem Internet-Cafe Rechner befindlicher Keylogger kann zwar das Dom.Passwort des Users erhaschen, doch er kann nicht auf die owa webseite gelangen, so lange er nicht die richtige gesichter-sequenz kennt. Die Gesichter sind eine globale Parole, d.h. die Gesichter kennt jeder Mitarbeiter der Firma und ist nicht bei jedem User anders.
Die OWA Webseite darf freilich auch nicht direkt erreichbar sein, sondern als referrer Nur die vorgeschaltete Gesichter-Webseite erlauben.

Was haltet ihr davon? Gibt es ähnliches auf dem markt?
Wo sind die Schwachstellen?

Mir ist klar - RSA Token bzw, Einmal-PWs sind sicherer.
Dies hier wäre jedoch ein Kompromiss zw. Sicherheit und User-Handhabung.


Schwachstellen:
-Screenshot-Keylogger könnte die richtigen Gesichter-Klicks mitloggen (unwahrscheinlich)
-Wenn jemand das Gesichter-Klicken beobachtet kann er sich die Gesichter-Sequenz merken (man sollte halt nicht klicken wenn das halbe internet-cafe zuguggt)

Anhang: bilda2vd.jpg
Dieser Beitrag wurde am 02.07.2006 um 20:12 Uhr von spacyfreak editiert.
Seitenanfang Seitenende
02.07.2006, 12:15
Member
Avatar TurnRstereO

Beiträge: 1542
#2

Zitat

spacyfreak postete
......Wo sind die Schwachstellen?....
Eine Schwachstelle die mir sofort ins Auge springt sind die Temporäry Internet Files...
Die müssen dann natürlich auch noch vor Zugriff geschützt werden.

TS
Seitenanfang Seitenende
02.07.2006, 12:17
Member

Themenstarter

Beiträge: 93
#3 Die temp. internet files enthalten ja nur runtergeladene http bilder u. cookies etc.
Die owa-url (login-webseite) muss jedesmal neu generiert werden, bzw. darf freilich nicht jedesmal die selbe sein bzw. darf nicht aus dem browser-verlauf heraus direkt erreichbar sein.
Seitenanfang Seitenende
03.07.2006, 00:15
Member
Avatar Laserpointa

Beiträge: 2175
#4 Hallo Spacefreak,

interessante Idee ;) - allerdings finde ich die Idee der Einmalpasswörter, die man sich generieren lassen kann besser! - Eigentlich wird gerade das für Emailaccounts noch viel zu wenig angeboten!

des weiteren möchte ich gerne auf dieses Thema verweisen:
Antikeylogger - probier das Tool mal aus, alle Keylogger die ich bisher gesehen habe scheitern dank dieses genialen Tools.
klar Hardwarekeylogger sind da nicht auszutricksen, aber ich denke mal in Cafés sind wenn dann überwiegend diese kleinen Software-Keylogger und denen schlägt man mit dem Tool ein nettes Schnippchen ;)

Greetz Lp
Seitenanfang Seitenende
03.07.2006, 09:55
Member

Themenstarter

Beiträge: 93
#5 Danke fuer die Meldung.

Im Internet-Cafe wird man nicht Software installieren dürfen.
Ferner kann man das nicht von seinen usern erwarten dass sie sowas machen - selbst wenn sie es dürften.

Die Bildschirmtastatur ist auch kein wirklicher Schutz, da der Keylogger ja genau loggen kann, an welcher Stelle (u. damit welche Buchstaben) geklickt wurden.
Meine Lösung mit den Bildern erscheint mir da etwas sinnvoller - zumal die Bilder jedesmal an anderer STelle erscheinen u. ein Keylogger das nicht wissen kann, welches Bild denn nun zur Parole gehört. Ausser er macht Screenshots im richtigen Moment (unwahrscheinlich).

ja, Token Einmalpasswörter sind ne prima Sache - doch eben bissi unbequem, da man das Token rumschleppen muss, es kostet Geld, manchmal ist es nicht synchron. Ich suche eine idiotensichere Lösung, bei der man NICHTS HABEN MUSS.
Es ist halt immer ein Kompromiss zw. Sicherheits-Steigerung und User-Komfort...
Seitenanfang Seitenende
03.07.2006, 10:15
Member

Beiträge: 3306
#6 Solche Verfahren gibt es schon in der Form von Zahlenblöcken die bei jedem Einloggen die Anordnung ändern. Als User ist sowas ziemlich nervig, weil man sich die dazugehörige Pin nicht mit "links oben, rechts mitte" usw. merken kann und jedes Mal wieder genau hinkucken muss wo sich die Zahlen diesmal verstecken. Zusätzliche Sicherheit bringt es ohne Frage, aber mal ehrlich wer greift schon wirklich regelmäßig von Internet-Cafes auf sensible Geschäftsdaten zu?
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
03.07.2006, 11:42
Member

Themenstarter

Beiträge: 93
#7

Zitat

asdrubael postete
Zusätzliche Sicherheit bringt es ohne Frage, aber mal ehrlich wer greift schon wirklich regelmäßig von Internet-Cafes auf sensible Geschäftsdaten zu?
Den kompletten Zugriff erhält der User ja weiterhin nur per Token-Authentifizierung (also für VPN und Terminal-Dienste). Und das wird vom Internet-Cafe (oder Hotel-Lobby-PC) eh nicht gehen ohne Client-Software.

Ich will lediglich die OWA Anmeldungs-Sicherheit verbessern, ohne JEDEM User ein RSA Token aufs Auge zu drücken...
Dass ein user von irgendwo in der Welt seine Mails per Web-Browser liest
ist nix aussergewöhnliches. Jedesmal nur wg. Mails ein Token einzutippen ist jedenfalls nerviger als 4 Bilder anzuklicken. Ich kann nicht tausenden von usern ein token in die Hand drücken, nur zum Emails lesen. Vollen Zugriff (VPN etc) brauchen aber eher die wenigsten. Die bekommen ein Token.

Weisst du wie das Produkt heisst, das du beschreibst? Ich suche Infos zu bereits vorhandenen Lösungen in der Richtung.
ich denke durch Gesichter ist die Sache einfach benutzerfreundlicher. Zahlen sind kalt. Der User klickt lieber ein hübsches Promi-Face an, als eine nackte Zahl, die auch noch jedesmal wo anders steht....

Letztendlich will ich die techn. Möglichkeiten dahingehend gestalten, dass der User sich keine GEdanken machen muss. Der User soll "nichts falsch machen können" - und trotzdem muss gewährleistet sein dass er auf alles, was er braucht und was er darf, zugreifen kann.
Dem User sind Keylogger egal - meist weiss er garnicht was das ist.
Er will nur seine Mails oder was auch immer lesen.
Dieser Beitrag wurde am 03.07.2006 um 11:47 Uhr von spacyfreak editiert.
Seitenanfang Seitenende
03.07.2006, 14:38
Member

Beiträge: 3306
#8 Die Lösung die ich kenne ist ziemlich wahrscheinlich kein fertiges Produkt sondern eine eigene Entwicklung. Das Prinzip ist recht simpel:
Wie schon erwähnt gibt es ein "Tastenfeld" wie man es z. B. vom Geldautomaten kennt, das sind 10 einfache Buttons mit Zahlen drauf. Diese haben eine zufällige Anordnung beim Seitenaufruf. Wenn man auf einen Button klickt schreibt dieser eine Zahl in ein Textfeld und das Textfeld schickt man zum Schluss mit "Accept" weg und es wird geprüft ob die richtige Zahl drinsteht. Man muss natürlich verhindern das die User ihre Pin aus Faulheit einfach direkt in das Textfeld eintragen, wie man das schön und sicher löst weiß ich allerdings nicht.

Das ganze kann man natürlich auch mit Bildern realisieren, wobei ich mir nicht sicher bin inwiefern man überprüfen kann ob Bilder in einer richtigen Reihenfolge geklickt wurden. Im Endeffekt muss man wohl wieder intern einen String bilden und diesen abschicken und überprüfen. Am geschicktesten ist es denke ich wenn der User diesen String gar nicht kennt und er in einem Textfeld nur Sternchen sieht.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
03.07.2006, 22:23
Member
Avatar Laserpointa

Beiträge: 2175
#9

Zitat

spacyfreak postete
Die Bildschirmtastatur ist auch kein wirklicher Schutz,
nein, probiere bitte Antikeylogger: das erste Programm aus (nicht die Bildschirmtastatur) - das Programm läuft einfach nur im Hintergrund.
Ich habe das immer im Internet / auf dem USB Stick dabei und konnte das in den meisten Internet Cafés aktivieren ;)
Ich bin gespannt, ob Du einen Keylogger findest, der es schafft trotzdem zu protokollieren ;) - falls ja bitte melden!

Greetz Lp
Seitenanfang Seitenende
04.07.2006, 08:56
Member

Beiträge: 3306
#10

Zitat

Laserpointa postete

Zitat

spacyfreak postete
Die Bildschirmtastatur ist auch kein wirklicher Schutz,
nein, probiere bitte Antikeylogger: das erste Programm aus (nicht die Bildschirmtastatur) - das Programm läuft einfach nur im Hintergrund.
Ich habe das immer im Internet / auf dem USB Stick dabei und konnte das in den meisten Internet Cafés aktivieren ;)
Ich bin gespannt, ob Du einen Keylogger findest, der es schafft trotzdem zu protokollieren ;) - falls ja bitte melden!
*meld*
http://www.activevb.de/tutorials/tut_keylogger/keylogger.html

Ich frag mich wie dieser Antikeylogger überhaupt funktionieren soll, bei mir hatte er schlicht gar keine Funktion.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: