2. Oktober 2011

Passwörter und Keylogger – sicheres Eingeben

2. Oktober 2011 - Geschrieben von Martin - Ein Kommentar

Bei Keyloggern denken alle sofort an Spione, Geheimorganisationen und Verschwörungen. Aber dem muss nicht unbedingt so sein, wer weiß, ggf. wird man selbst ja auch „überwacht“, bzw. aufgezeichnet. Sei es durch ein lustiges Programm, das man am Vorabend heruntergeladen hat oder der eigene Chef will ohne großen Aufwand wissen was sie so wären der Arbeitszeit treiben (wobei das glaube ich nicht rechtens ist, aber egal – um das soll es jetzt nicht gehen).

Wie schützt man sich am besten vor Keyloggern? Ja, alle Hände oben. Klar, das die Onscreentastatur, bzw. Bildschirmtastatur zu Deutsch von den meisten als sichere Methode um Keylogger auszutrixen aber leider schützt diese Methode nur vor Hardware Keyloggern, also z.B. kleinen USB „Sticks“, die zwischen Tastatur und USB Anschluss am Rechner kommen, oder was ich letztens gehört habe kleine Steckkarten, die man selbst auf Notebookmotherboards zwischen Tastaturkabel und Anschluss klemmt.

Sollte im Hintergrund das fiese Programm laufen, welches Tastendrücke aufzeichnet ist man auch hier nicht sicher, denn – die Programmierer unter euch werden es wissen – man kann jederzeit Tastatureingaben abfragen. Oder wie meint ihr öffnet sich euer Notiz Programm wenn man STRG + N drückt ;)

Gebt ihr euer Passwort nun mit der Onscreentastatur ein, habt ihr Pech gehabt. Will man das umgehen schlägt sogar die Wikipedia vor, man soll außerhalb des Feldes klicken und irgendwas eintippen. Vom Ansatz her gar nicht so schlecht, denn dann ist der Log nicht mehr zu gebrauchen, schließlich steht das Passwort nicht als ganzes darin. Falsch Gedacht!
Viele Leute haben ja Passwöter wie „7.9.1982“, „New York“ oder „124354“. Nehmen wir mal „New York“ als Beispiel und eine Anmeldung beim Webmail Client. Meldet man sich normal ein sieht der Log folgendermaßen aus:

meinemail@tolleranbieter.deNew York

Wer nun 1 und 1 zusammenzählen kann erkennt „meinemail@tolleranbieter.de“ ist die Mail Adresse und „New York“ das Passwort.
Verwenden wir nun die „sichere“ Technik von Wikipedia:

meinemail@tolleranbieter.deNe213478**w York

Der Hacker sieht das Passwort nun zwar nicht im Klartext, aber nach dem 2. Versuch sich mit obigen Passwort anzumelden versucht er sicher „New York“. Klarer Menschenverstand eben.

Um nun die „irgendwas eintippen Methode“ sicher zu machen tippen wir nicht wahllos, sondern passen das getippsel an unser Passwort an.

meinemail@tolleranbieter.deNioea7mw99.Y#fasFogLomr34rsk

Erkennt man hier New York?

2.3,709a.098.77910j9.53810

Oder an dieser Stelle 7.9.1980. Sicher nicht auf den ersten Blick.

Haben wir also z.B. ein Passwort mit Punken und Zahlen die unter Umständen noch einen Sinn ergeben oder ein Datum repräsentieren, so verwenden wir zur – man könnte es schon fast „Verschlüsselung“ vor dem Keylogger nennen – ähnliche Zeichen, würden wir nämlich nur Buchstaben verwenden, würde das Ergebnis schon wieder herausstechen. Bei Buchstaben das selbe, mischt wahllos Buchstaben und Zahlen mit rein, verdreht alles nach Belieben.

Sollte der Keylogger nun allerdings so schlau sein und prüfen wann ihr im Passwort Feld seit, oder ob ihr zwischen mehreren Feldern wechselt, kann leider auch mit dieser Methode der Login nicht sicher gemacht werden. Aber ich hoffe soweit haben die Hersteller großer Betriebssysteme mitgedacht und Drittanbieter Anwendungen die Abfrage solcher Daten verboten.