and*_*ora 7 authentication passwords defensive-programming
实际上,根据标题,在验证访问权限时可以做些什么来击败键/击键记录?
我刚刚发布了一个相关的问题(如何存储和验证数字 -从一个密码中随机选择),询问从PIN /密码中选择随机数字的建议.还有哪些其他合理不显眼的方法?
任何和所有解决方案赞赏.
你可以有一个带有字母的可点击图像.你的用户会非常生气...
任何需要使用键盘的解决方案都不会欺骗基于硬件的键盘记录程序.因此,要绕过那些,您只需要通过鼠标输入.但是可以通过在您自己的代码中添加键盘钩子来停止基于软件的键盘记录器,该键盘钩子捕获键并且不会调用钩子列表中的下一个钩子过程.但是,如果使用不正确,键盘挂钩往往会触发防病毒软件,如果在任何带有错误参数的动态库中使用它们,都会导致错误.
基本上,键盘记录器将使用键钩来捕获击键.通过在恶意软件keyhook上添加您自己的keyhook,您将禁用键盘记录器.
但是,有一些键盘记录器可以隐藏在内核中更深层,所以你很快就会得到一个会再次绕过安全的键盘记录器.
但是,不要过分关注键盘记录器的危险.这只是黑客用来获取各种帐户信息的众多方法之一.更糟糕的是,您无法保护用户免受社交工程技巧的侵害.基本上,黑客获取帐户信息的最简单方法是向受害者询问此信息.通过虚假网站,虚假应用程序和各种其他技巧,他们可以通过阻止键盘记录器来收集您试图保护的任何信息.但键盘记录器并不是最大的危险.
一个建议是使用可爱的小猫(或小狗)的图片供用户点击.你可以做的是使用一组10张图片,让用户选择其中四张为"pincode".然后,每当用户需要输入他们的代码时,以任意随机顺序显示图片,这样黑客就无法使用它的位置.如果它是一个Web应用程序,也给图片一个随机名称,然后让服务器知道哪个是哪个.为了使它更复杂,您可以创建10组10张图片,其中每张图片显示单个对象,但从不同的角度,不同的角度或不同的颜色.设置1将是一把椅子,设置2一张桌子,设置3一只小猫,设置四只小狗等.用户然后只需要记住:桌子,小猫,椅子,小狗.(或小狗,椅子,椅子,桌子.或小猫,小狗,小狗,
| 归档时间: |
|
| 查看次数: |
656 次 |
| 最近记录: |