How to Improve Your Security When Using a Public Terminal
[译]如何提高使用公共电脑上网的安全性
作者:gizmo.richards 阅读原文
翻译:realer00
gizmo_s使用旅店、网吧或机场的公共电脑上网是有风险的,你尽可以在上面浏览网页,甚至查收email(采取一些安全措施),但要尽量避免登录自己的银行帐号或进行网上购物;
尽管我们都明白这道理,但事实难预料,总有些特殊情况下,需要我们在公共电脑上登录自己的敏感信息;
我很愿意告诉你一个100%安全的方式让你放心地使用公共电脑,但是我做不到。这里我能做的就是向你提供一些增加安全性的建议,虽然不能保证100%安全,但至少比一点安全措施都没有要强吧:);
使用公共电脑上网主要有两大安全隐患,第一个是有人可能使用对话记录软件(session logger)来窃取你的电脑和所访问网站间的数据信息,第二个是可能会有人使用键盘记录软件来捕捉你的键盘操作,鼠标轨迹,以及屏幕图像;
隐患1:网络会话(session)记录软件
网吧管理员很方便的就能监控你的上网流量。我就有一次亲眼看到一个网吧职员在前台公然使用Ethereal程序监控网络流量。所以相信我这很平常;
重要的是你应该知道当你访问一个网站时,你的电脑和网站要交互很多信息,这些信息大部分是可见的、可读取的,任何人想看都能看到,这里所谓的"任何人"就包括ISP提供商和网吧职员;
但是如果你访问的是一家安全站点(网站前缀是以"https"而非"http"),数据流就有安全保证了,因为电脑和网站服务器交互的数据已经经过加密,不错,数据仍会被捕捉到,但是看到的是一堆无意义的代码;
如果你使用Gmail或yahoo邮箱,很高兴你选择了安全的邮箱服务,我最近一次使用hotmail,发现它和大多数邮箱一样,它还是不够安全。很简单,如果你登录一家网站,看到地址栏中,如果以"https"开头就是安全的,也就意味着你在公共电脑上阅读邮件时,不用担心有人会利用截取会话流的方式看到你阅读的内容;如果你的邮箱服务以"http"开头,信息就容易被劫持并查看。如果你的邮箱里只是一些类似向姨妈问好的琐事,那就没什么可担心的,但是如果里面包括你的身份信息、银行帐号或者其它敏感资料,那就应该小心了。
几乎所有的银行和电子商务类网站都使用"https"加密,这样别人就无法读取电脑和网站服务器交互的敏感信息,被截获到信息也无法破译;
对付会话记录软件的措施
有不少方法能把使用普通http前缀网站的变成象https那么安全,可以使用虚拟私有网络(Virtual Private Network简称VPN),但是VPN更适用于一家公司内部而非面向个人用户。还有一种简单的方案,它使用安全匿名网络,免费的Tor系统。
尽管Tor是为了人们匿名浏览而设计的,但它有一个好处就是,在你的电脑和首个Tor服务器之间建立了安全的https链接,尽管Tor服务器以外的安全性是无法保证,人们往往只在电脑和tor服务器之间截获信息,极少有人会在首个tor服务器以外去截取信息;
搭建Tor很简单,如果你使用基于免费的Firefox的XeroBank浏览器(正式名为TorPark).几乎无须复杂设置就能安全地使用,XeroBank还有便携版本,可以很方便的安装在随身携带的优盘上;
使用Xerobank浏览网页,能明显感觉出数据在Tor服务器间传输带来的迟缓。但是额外的一点点时间换来匿名和安全,当然如果你在意速度的话,大可以在XeroBank中切换到正常模式浏览;
使用XeroBank,你可以安全地查看你的那些非安全的email帐户,比如hotmail。是否值得你费心使用XeroBank查看你的邮箱,只有你自己知道。
这里我还想说明的是SSL加密(就是https)并非不能破解。有种叫做"man in the middle attacks"的破解方法已经被证明有效。但是放心吧,这种高端的破解攻击是不可能出现在普通的网吧里的。
隐患2:键盘记录软件(Keylogger)
在公共电脑上输入密码,不能保证100%安全,这也是事实;
高级的键盘记录软件不止能记录你的键盘操作,还能记录你的鼠标轨迹和windows剪切板记录。操纵者还能随时截取你的屏幕图像,或进行实时的屏幕录像,看你正在做什么。让你的隐私信息彻底摆脱这些高级记录软件的视野相当困难,也许是不可能的;
所以最好的方法是不输密码,根本不在旅店、网吧或其他公共电脑上输入你的私人信息最安全;
但毕竟有时候还得破例。相信不止我有,大家也都会有被迫在公共电脑上输密码的时候;
所以在输入密码的时候,有什么好方法来提高安全性呢?
方法其实很多,最吸引我的方法是借助密码管理器来输入密码,比方说可以在你的优盘中运行密码管理器RoboForm2Go,该方法我曾在2007年5月的专栏中介绍过;
在优盘上运行RoboForm2Go提供了完美的安全性。事实上我还没有发现任何一个键盘记录软件能捕捉到它向浏览器中表单提供的信息。但这并不是说 RoboForm2Go就是100%安全了。困扰RoboForm2Go最大的因素是你必须首先输入程序主密码来激活程序,如果有人使用键盘记录软件成功捕获到主密码,并且拷走了你优盘上的RoboForm加过密的密码文件。那么你就有大麻烦了,攻击者可以看到你密码管理器里面保存的所有密码;
所以保护RoboForm2Go主密码就显得至关重要,本文章最后会介绍保护主密码的措施,现在我们先了解一下保护密码的常用方法;
对付键盘记录软件的措施
(a)使用强密码
增加你的密码长度使其更复杂,变幻你的密码使其更随机。很明显密码"SncnGnls3Fp"比"banana"要好很多,不全是因为复杂随机的密码更难以破解,还可以增加使用键盘记录软件破解的困难度,也许有人会说记住这些复杂的密码太困难了,这儿有很多软件和提示帮助你记录;
以刚刚提过的密码"SncnGnls3Fp"为例,其实就是 "RoboForm2Go" 应用一个简单的规律后生成的,就是第一个字母改成对应字母表中的下一个字母,如R->S;紧跟后面的字母改成字母表中上一个的字母,如 o->n;依此类推,"RoboForm2Go"就变成毫无规律可言的"SncnGnls3Fp"了。
还有很多不同的方案帮你设计和记住强密码和短语,这篇Microsoft的文章就介绍了不少。也建议你参考下这篇维基百科(wikipedia)关于密码强度的说明。
(c)混淆输入你的密码
混淆输入就不是按常规地按密码顺序一个个敲密码,而是使用更复杂的方式。
因为键盘记录软件只是默认记录一串你的输入记录,混淆输入就派上用场了,密码窃取者需要扫描这些记录来识别你的密码,混淆输入可以有效增加识别密码难度。尽管为了让识别更容易,已经有键盘记录软件会在用户敲回车键或鼠标点击提交时,自动标注当前窗口的名字;但是混淆输入还是规避键盘记录软件的有效方法;
混淆输入有很多方法,这里介绍几个:
(i)通常一个窗口会有两个输入框,如用户名和密码。用鼠标来回切换输入框,交替输入用户名和密码;
(ii)除了仅用键盘输入外,还可以从别处拷贝来你密码中的字母,不限当前窗口、当前程序。
(iii)不用键盘输入,可以使用拖拽的方式凑齐你的密码
(iv)利用ALT键结合数字小键盘输入特定字母,比如字母""a""可以使用ALT+小键盘""97″"输入
(v)使用屏幕键盘输入一些字母;
(vi)先输入密码的后半部,后输入前半部,然后把后半部拖到前面;
(vii)输入一些随机的字母,比如我们要输入是abcdefg,按顺序输入的同时穿插输入一些无关的字母,就像 aMNbOcZdPQReSfgTUV,接着逐一删除那些无用的字母,可以使用backspace键,可以先用鼠标选择待删除的字母,然后按delete 键或在弹出右键菜单中选择删除;
混淆输入的确很有效,综合使用上述的输入技巧可以有效的迷惑各种键盘记录软件;当然也没有必要把上面的几个技巧都用上,实际上有些网站或产品还限制了你的输入方式,比如RoboForm2GO就禁止使用剪切、粘贴和拖拽字母的方式输入主密码,却允许你先输入一些无关字母再逐一删除掉,也支持使用 ALT+数字键盘输入密码;
操纵键盘记录软件的攻击者面对软件记录,要经过阅读、辨别、分析、最后重新组合一套密码破译程序,本身已经是比较繁琐,如果赶巧你不但使用了复杂随机的密码,输密码的时候又使用了上面的一条或多条技巧,毫无疑问你让他们破译密码的工作又复杂了多倍。下面还有一种方法可以进一步增强你的安全性:使用屏幕键盘
(d)使用屏幕键盘(on-screen keyboard 简称OSK)
屏幕键盘,顾名思义,是一种映在屏幕上的键盘,靠鼠标在屏幕上点击对应的按键进行输入,windows自身就内置了屏幕键盘,你可以从""开始菜单/所有程序/附件/辅助工具/屏幕键盘""打开,或者直接使用快捷键:"windows"键+U。
也许有朋友认为使用屏幕键盘输入密码相对更安全一些,因为键盘记录软件无法捕捉到鼠标手势。不幸的是仅说对了一半;
首先一些屏幕键盘OSK(包括windows OSK)只是简单地模拟了键盘输入,仍然能为很多键盘记录软件记录;第二,任何人都可以利用屏幕录像软件,或采用快速屏幕截图的方式看到你使用OSK都输入了那些键;第三,靠记录鼠标点击位置,也可以推测出在屏幕键盘上具体按下了那些键;最后使用剪切板监控软件还可以检测到那些你使用屏幕键盘输入的,准备拷贝到密码框的密码;
以上都是坏消息,但好消息是有不模拟键盘操作的屏幕键盘软件,有两个还是免费便携的,且专为安全输入设计,它们就是Neo's Safe keys和Monitor Only Keyboard(MOK)。
SafeKeys有很棒的功能,它可以设置软件每次开启后,变换虚拟键盘的键位(按键排列次序)、大小等,这可以有效摆脱鼠标记录器的跟踪,另外它还支持把输入的密码拖拽到输入框内,这样又能摆脱剪切板记录器的跟踪。
MOK也有它独到的特性,它首先自身就可以对剪切板跟踪器免疫,同样支持变换键位,虽不支持拖拽,但使用其自带的拷贝粘贴功能,也能达到和safekeys一样的安全效果;
所以公平地说,两个产品之间功能大致相同,都提供了不错的方案;不幸的是它们都逃脱不了屏幕录像的跟踪。虽然攻击者想成功捕捉到完整的密码,需要高频率的截屏或持续的屏幕录像,固然可行,但这些操作却会占用主机很大的系统资源;
这里再介绍一个简单的办法来对付这些屏幕捕捉类程序,你大可以使用虚拟键盘输入一部分密码,再使用实际键盘输入另一部分密码,搭配输入能轻易达到不俗的安全效果;
保护你的RoboForm2Go主密码
在告诉你如何提高公共电脑上输入RoboForm2Go主密码安全性之前,我还是强力推荐大家使用RoboForm2Go登录各种网站帐号,这也是提高你公共电脑上网安全性最简单有效的方式;
使用RoboForm2Go,你所有网站帐户密码信息都存在你的优盘上,且经过严格的加密。几乎没有人能靠破解优盘上的密码文件来解读里面的密码;所以要想查看里面的密码,途径唯一就是输入你的主密码,主密码的安全性显得格外重要;
每次启动RoboForm2Go,不可避免都要输入主密码,如果攻击者使用键盘记录软件成功捕获到你的密码,并设法拷贝了优盘上的密码文件,那他就可以自由查看你的所有密码,所以一定要保护好自己的主密码;
Siber Systems,开发Roboform的公司同样清楚到问题的严重性,并引入了以下特性,来防止键盘记录软件捕捉主密码;
第一,在主密码输入框中禁止拷贝粘贴。第二,禁止拖拽。第三,密码窗口只含图像,不含字母,最后也是最关键的,用户可以使用它自带的虚拟键盘输入主密码。
坦白来说,前三条特性功能有限,并不能有效防止键盘记录器,遗憾的是输入功能上的限制反而让用户无法使用混淆输入的方法,比如你不能把先输入的后半部分密码拖到前面,也不能从别处复制字母来组成你的密码;
这些为了增强安全性的特性效果有限,以至于我能使用很多键盘记录软件捕获到主密码;但是最后一条特性,即虚拟键盘却相当好用,比windows自带的虚拟键盘好多了;
首先与实体键盘输入相反,至今我还没有找到任何一款键盘记录软件能捕捉到RoboForm虚拟键盘输入的记录;但还一个潜在的小风险,虽然键盘记录软件不能,但屏幕录像软件却可以记录下你的密码,毕竟你是使用靠点击屏幕上的字母完成输入的,一切都在屏幕录像中暴露无遗;
畅想一下,要是siber system公司的虚拟键盘,屏幕上不显示每个键位对应的字母,但是鼠标划过后却能自动发声,用户根据读音点击对应的键位完成输入,这样即使屏幕一直被录像,录到只是匿名键盘上的鼠标轨迹,天知道你实际都点击了那些键;
言归正传,屏幕录像软件对于虚拟键盘输入固然不利,但是值得庆幸的是攻击者使用屏幕录像软件的概率比使用键盘记录软件的概率小多了,之所以很少有人使用屏幕录像软件,是因为实时录像很占系统资源,容易拖慢系统,而键盘记录软件往往十分小巧,隐藏起来,几乎不为人察觉;
另一种定时截屏软件,使用的人相对更多些,因为它比屏幕录像少占资源,但即使你设置成每秒截一次屏,也不好100%揭示出你使用虚拟键盘点击了那些键,实际上极少有人把截屏频率设置每秒一次的,多数设成隔几分钟才截一次屏。
最后,综合比较后发现,使用RoboForm2Go的虚拟键盘才是最佳方案,虽不能保证百分百安全,也已经是很安全了,比使用键盘输入主密码强多了。在你使用虚拟键盘输入主密码的时候,可别忘了回头看看,确保身后没有人(或摄像头,译者加)在窥视你,偷窥者太喜欢大家都使用虚拟键盘哈:)
译者备注
关于https安全访问站点,国内126,qq邮箱也都支持https加密,就连译者的博客空间(散步吧)也支持https安全访问,呵呵。
2008-12-16
评论