[GELÖST] Keylogger - Mit Passwort-Kopie austricksen?

T

Thinksurfer

Active member
Themenstarter
Registriert
13 Juni 2007
Beiträge
711
Hallo.
Musste erst mal googeln, was ein Keylogger genau ist. Seit ein paar Tagen betreibe ich Online Banking direkt über die Homepage meiner Bank. Die haben das HBCI Verfahren abgeschaltet und nun bin ich bei Chip TAN mit QR Code gelandet. Um auf mein Konto zugreifen zu können, muss ich zuvor auf der Homepage mein Passwort eingeben.
Keylogger protokollieren jeden Tastendruck, Lässt sich das umgeh`n. wenn ich das Passwort in einer Textdatei ablege, es kopiere und dann mit einem Rechtsklick in das PW-Eingabefeld einfüge? Falls nicht, ist das kopieren und einfügen zumindest ein klein wenig sicherer, oder tut sich da gar nichts gegenüber der manuellen Tastatureingabe?
Gruß
 
Zuletzt bearbeitet:
Es ist auf jeden Fall unsicherer, dein Passwort in einer Datei abzulegen, als wenn du es dir einfach merkst und eintippst.

Wenn du Angst hast, einen Keylogger auf deinem System zu haben, weil du z.B. komische Dateien runtergeladen und geöffnet hast, solltest du lieber die Kiste neu aufsetzen oder eine Antivirensoftware laufen lassen und deine USB-Ports auf komische Adapter überprüfen.

Banken sichern ihre Onlinezugänge durch TANs ab, weil die eben nicht so einfach zu klauen sind wie ein Passwort. Von daher passiert dir wahrscheinlich nichts, solange du nicht einem Mitarbeiter von "Microsoft" am Telefon dein Passwort verrätst und irgendwelche TANs vorliest.
 
Moin, die Zwischenablage (also der Speicher, in dem das PW nach dem Kopieren bzw. beim klassichen Copy&Paste liegt) ist nicht geschützt und kann grundsätzlich von jeder Software gelesen werden. Das ist der Sinn dieses Zwischenspeichers: Ein schneller und einfacher Austausch von Daten zwischen verschiedenen Programmen. Dementsprechend kann auch jeder Keylogger auf diesen Speicher zugreifen und lesen, was dort drin steht. Nun könnte man sich theoretisch einen Keylogger denken, der tatsächlich nur auf Tastatureingaben achtet und nicht auf die Zwischenablage schaut (in diesem Fall hätte man theoretisch einen Vorteil mit Kopieren und Einfügen). In der Praxis wäre das aber ein extrem dummer Keylogger und man darf davon ausgehen, dass es den so nicht gibt und quasi jeder Keylogger bzw. grundsätzlich jede Malware mit Interesse an deinen Daten auch den Zwischenspeicher checkt, wenn sie erst mal entsprechenden Zugriff auf dein System hat. Dazu kommt, dass Passwörter in Textdateien abzulegen grundsätzlich eine sehr schlechte Idee ist; wenn dann nutzt man hierfür einen PW-Manager.
Ergo: Aus meiner Sicht ist der Sicherheitsgewinn durch Kopieren und Einfügen nicht relevant.

Was imho relevant ist:
- Achte darauf, dass dein OS aktuell ist und bleibt
- Nutze eine AV-Software (z.B. die in Windows integrierte, diese reicht völlig)
- Bewahre dein/e PW/PIN fürs Online Banking sicher auf
- Schau, dass du dich beim Einloggen auch wirklich immer auf der Website deiner Bank befindest (nicht blind auf Links klicken)
- Bei Mails/Anrufen, bei denen nach Login-Daten jedweder Art gefragt wird, sollten sofort alle Alarmglocken läuten

Grundsätzlich ist ChipTAN ein sicheres Verfahren, bei dem man auch keine Bauchschmerzen haben muss.
 
Wenn du davon ausgehst, dass dein System von einem Keylogger befallen sein könnte, setzen irgendwelche Methoden, um den "auszutricksen" eigentlich schon viel zu spät an. Das ist wie wenn dein Auto defekte Bremsen und einen durchgerosteten Rahmen hat und du grundsätzlich mit 2 Promille fährst, aber für den Fall eines Unfalls ein Kissen aufs Lenkrad bindest.

Meines Erachtens sind simple Keylogger kein typisches Angriffszenario bei Online-Banking, eben weil dieses Chip-TAN-Verfahren relativ sicher ist. Das Passwort zu deinem Konto alleine bringt ja erstmal nicht viel. Das ist ja auch der Grund, warum sich Kriminelle inzwischen auf andere Methoden verlagern, bei denen der Besitzer "im Vollbesitz seiner geistigen Kräfte" das Geld aushändigt.
 
elarei schrieb:
Banken sichern ihre Onlinezugänge durch TANs ab, weil die eben nicht so einfach zu klauen sind wie ein Passwort. Von daher passiert dir wahrscheinlich nichts, solange du nicht einem Mitarbeiter von "Microsoft" am Telefon dein Passwort verrätst und irgendwelche TANs vorliest.
Zum Vergrößern anklicken....
Ich versuche mit meinem bescheidenen fachlichen Wissen das bestmögliche herauszuholen. So nutze ich z.B. Linux für mein Online Banking. Ich bin auch noch nie einer "Lock-mail" aufgesessen, wie z.B. gefakte paypal emails und andere. Was die TAN`s betrifft, ja stimmt, da habe ich ein großes Sicherheitsgefühl, wenn ich auch die per QR-Code ermittelte PIN wieder per Tastatur eingeben muss. In meiner Anfrage ging es auch mehr um das einloggen auf der Homepage, so wie bei amazon, Foren und anderen Seiten. Ich verstehe, was du meinst, dass man das PW nicht in einer Datei ablegen sollte.

Aber ich frage mal ganz unbedarft, wenn ich der Datei einen neutralen Namen vergebe, oder irgendwo in Thunderbird in einer "Gesendete Nachricht" verstecke, oder bleiben wir mal ruhig bei dieser neutralen Datei, in der sich noch viele andere Passwörter befinden, ich zudem noch eine "Fakezahl oder Buchstabe" vor oder hinter das PW setze, woher soll jemand von außen wissen, dass zum einen die Passwörter Beispielsweise in einem "Backordner" liegen und vor allem, für welche Onlineseite sie bestimmt sind? ER kann doch nicht wissen, ob es sich um ein gewöhnliches Foren PW handelt oder eines für paypal z.B.

Auf die anderen Antworten gehe ich gesondert ein. Ich nehme an, ihr kennt das, dass man sich nach einer gewissen Zeit wieder neu einloggen muss. Doch danach wird der komplette Text in einem anderen Schriftformat dargestellt, was die Umlaute betrifft und das ß. Da ist viel Nacharbeit angesagt, damit es für euch lesbar bleibt.

- - - Beitrag zusammengeführt - - -

cyberjonny schrieb:
(also der Speicher, in dem das PW nach dem Kopieren bzw. beim klassichen Copy&Paste liegt) ist nicht geschützt und kann grundsätzlich von jeder Software gelesen werden.
Zum Vergrößern anklicken....

Okay, das reicht mir als Antwort. :thumbup: Hätte nur weiter zu lesen brauchen. :rolleyes: Alles andere aus euren Antworten ist selbstverständlich, also das einhalten der elementaren Sicherheitsmaßnahmen.
 
Thinksurfer schrieb:
Aber ich frage mal ganz unbedarft, wenn ich der Datei einen neutralen Namen vergebe, oder irgendwo in Thunderbird in einer "Gesendete Nachricht" verstecke, oder bleiben wir mal ruhig bei dieser neutralen Datei, in der sich noch viele andere Passwörter befinden, ich zudem noch eine "Fakezahl oder Buchstabe" vor oder hinter das PW setze, woher soll jemand von außen wissen, dass zum einen die Passwörter Beispielsweise in einem "Backordner" liegen und vor allem, für welche Onlineseite sie bestimmt sind? ER kann doch nicht wissen, ob es sich um ein gewöhnliches Foren PW handelt oder eines für paypal z.B.
Zum Vergrößern anklicken....
Das wäre zwar vermutlich besser als eine passwords.txt auf dem Desktop, in der dann fein säuberlich untereinander Dienst, User und PW aufgelistet sind. Nichtsdestotrotz ist das keine wirklich empfehlenswerte Vorgehensweise und Security by obscurity (nichts anderes ist das) aus guten Gründen sehr umstritten. Genau für diesen Zweck gibt es PW-Manager, die sind deutlich sicherer als jede versteckte Textdatei oder Mail, v.a. in Kombination mit 2FA (und genau das ist auch die TAN).

Jemand mit Zugriff auf deine Daten und entsprechendem Knowhow könnte mit überschaubarem Aufwand z.B. dein System auf potenziell interessante Textdateien scannen, die Ergebnisse anhand diverser Parameter clever filtern/eingrenzen und die übrig bleibenden Files mit Erfolg versprechendem Inhalt dann bei lohnenswerten Zielen automatisiert durchprobieren (auch mit Veränderungen/Ergänzungen/Permutationen). Da kommt es dann wieder mehr auf die Sicherheitsmaßnahmen der Dienste an, wobei du dich auf andere verlassen musst. Vielleicht gab es auch schon einen "Vorfall" bei einem Dienst, von dem es dann z.B. gehashte Zugangsdaten im Netz ("Darknet") gibt, dann könnte ein Angreifer mit entsprechender Rechenleistung sehr schnell Milliarden von Kombinationen durchprobieren ("Brute Force") und wäre evtl. gar nicht von Sicherheitsmaßnahmen beim eigentlichen Login betroffen (z.B. nur eine PW-Eingabe pro Sekunde möglich).

Dann kannst du natürlich wieder sagen, dann baue ich jetzt noch ganz viele Fake-Textdateien, die gleich aufgebaut sind, und "verstecke" sie an verschiedenen Orten auf dem System. Und außerdem hänge ich an jedes Passwort noch den Geheimcode "123" dran, der vor der Eingabe wieder entfernt werden muss. Ja klar, das macht es schwieriger, aber nicht unmöglich - und es bleibt ein Katz-und-Maus-Spiel. Wenn ein Angreifer die Anzahl möglicher Passwörter signifikant eingrenzen kann, kann das Ganze im Zweifelsfall sehr schnell sehr unsicher für einen werden.

Für mich ist "Ich verstecke meinen Schlüssel unter einem Blumentopf, aber verrate den Einbrechern nicht, unter welchem" keine gute Sicherheitsstrategie.
Sicherheit sollte aus meiner Sicht möglichst immanent sein: Starke Passwörter, bewährte Krypotografie, 2FA...
 
cyberjonny schrieb:
Für mich ist "Ich verstecke meinen Schlüssel unter einem Blumentopf, aber verrate den Einbrechern nicht, unter welchem" keine gute Sicherheitsstrategie.
Sicherheit sollte aus meiner Sicht möglichst immanent sein: Starke Passwörter, bewährte Krypotografie, 2FA...
Zum Vergrößern anklicken....

Guter Vergleich und ich habe dir ja bereits zugestimmt, dass das mit dem Copy&Paste nicht der richtige Weg ist. Von diesen Passwortmanagern habe ich schon gehört. werde mich mal mithilfe google selbst einlesen.
 
Sollte auch kein "Angriff" auf dich sein, ich hab mich eher selbst in Rage geschrieben... ;)

Passwortmanager sind keine komplizierte Sache. Im Kern sind sie nichts anderes als eine etwas bessere Textdatei mit mehr Möglichkeiten für den Passwort-Zweck. Außerdem ist diese "Textdatei" verschlüsselt und man braucht ein PW um reinzukommen.

Empfehlenswert und kostenlos ist z.B. KeePass (gibt in diversen Varianten und für diverse OS).
 
cyberjonny schrieb:
Sollte auch kein "Angriff" auf dich sein, ich hab mich eher selbst in Rage geschrieben... ;)
Zum Vergrößern anklicken....

Um Gottttteswillen, habe ich auch so nicht empfunden, eher im Gegenteil. Das mit den Blumentöpfen war herzallerliebst. :thumbsup:

Dieser Junge hier

https://www.youtube.com/watch?v=75veXNi1ut4

hat eine richtige Brotkrumen Spur gelegt. Damit dürfte es selbst einem wie mir, der noch nie ein Programm per Terminal installiert hat, gelingen.
 
Wenn du auf Nummer sicher gehen willst erstell dir einfach einen Live-Linux USB-Stick und wenn du Banking machen möchtest boote vom Stick und nutze so nicht dein normales Sytem.
Dann braucht man sich keine Gedanken über irgendwelche Keylogger pp zu machen.
 
RanHoeck schrieb:
erstell dir einfach einen Live-Linux USB-Stick.
Zum Vergrößern anklicken....

Einfach ist gut. :rolleyes: Ich sitze schon seit 2 Stunden vor youtube und versuche herauszufinden, wie ich endlich die Scannereinheit meines Brother Druckers ans laufen kriege. Bis vor einigen Monaten funktionierte sie noch, doch vermutlich ein falscher Mausklick oder ähnliches und das war`s. Soll heißen, ich bin mehr der Linux-Endanwender, ein Surfer, nichts weiter. :Oldtimer:Aber versuchen werde ich es trotzdem, so einen USB Stick zu erstellen. Danke jedenfalls für den Tipp. :cool:

EDIT:

Also das wollte ich noch wissen, wie ich ins Bios meines T60p komme und ob es überhaupt eine Boot-Liste bietet. Goggle hat da ein bissken geholfen. Für euch natürlich nur ne Fingerübung, schon klar ;) aber ich hatte vor`m bios immer schon großen Respekt. Bloooß nichts verstellen. Jetzt muss ich nur noch herausfinden, wie ich dem bios beibringe, dass es demnächst USB Zuwachs bekommt und den Stick in die Bootliste packt. Wird schon klappen......
 
Zuletzt bearbeitet:
@Thinksurfer:
Den erstellten Live-Linux-Stick in einen USB-Port stecken, Rechner anschalten und beim Start des Rechners bei Erscheinen des Thinkpad Logos wenn die Aufforderung kommt, F12 drücken und aus dem sich dann öffnenden Bootmenü den USB-Stick auswählen. Fertig.
Dazu braucht man im Bios normalerweise nichts einzustellen/zu ändern, da das Bootmenü via F12 üblicherweise standardmäßig aktiviert ist.
 
Ja stimmt, so habe ich es auch bereits gemacht. Ich hatte noch einen USB Stick mit Suse drauf. War jedoch keine Live-Linux Version sondern eine zum installieren. Der Stick wurde jedenfalls mit F12 aufgeführt. :thumbup:
 
Hallo Thinksurfer,

als Paswortmanager empfehle ich dir KeepassXC.
http s://keepassxc.org/
Gibt es für Linux und Windoofs.

MfG
xsid
 
Hallo xsid.

Danke für den Tipp. In der Zwischenzeit hat sich einiges getan. Sämtliche Internetaktionen, die ein sicheres PW benötigen, wie z.B. auf paypal und anderen Verkaufsplattformen, werde ich wohl mit Linux Tails angeh`n. Und was mein Homebanking betrifft, das läuft über eine auf Windows basierte Homebanking Software und für den Login werde ich einen Passwortmanager nutzen.

Gruß

- - - Beitrag zusammengeführt - - -

Nur noch einen kleinen Absacker zum Schluss, denn schließlich habe ich ja das Thema schon längst als gelöst markiert. :rolleyes: Ich wollte nicht unnötig Staub aufwirbeln, was das Master Passwort betrifft. Es soll stark und lang sein. Okay, umständlich und man darf sich keine Tippfehler erlauben. Doch was mich misstrauisch hat werden lassen, was ist denn, wenn ein Keylogger das Master Passwort mit liest? Dann kommt er an sämtliche andere Daten ran. Wie hier ganz gut beschrieben:

https://www.security-insider.de/password-manager-nein-danke-a-689795/

Steht weiter unten unter "Verwundbare Systeme" im zweiten Textblock. Da steht genau das, was ich befürchtete. Und ein Otto Normal Surfer wie ich einer bin, versteht eh nur einen Teil. was auf der Seite geschrieben wurde, ganz zu schweigen davon, sich fachlich darauf einzulassen und entsprechend zu handeln. Ich weiß noch nicht mal, was ein Dongle ist, aber wozu gibt es google und youtube? :thumbsup:
 
Unter dem Sicherheitsaspekt hört es halt irgendwann mit der Verhältnismäßigkeit auf.
Wenn du Keylogger aussperren willst, musst du irgendeine Art "Bildschirmtastatur" verwenden. Man kann das auch noch kombinieren oder eine sich ständig verändernde Tastatur verwenden ("jeder Buchstabe wechselt alle paar Sekunden zufällig seine Position"). Dann kann man noch die Art der Passworteingabe überwachen (zwischen dem ersten und zweiten Buchstaben müssen zwischen 2 und 3 Sekunden Pause liegen"). Wenn die Schadsoftware aber deinen Bildschirm überwacht, ist auch das evtl nicht mehr ausreichend.

Meiner Meinung nach sind solche gezielten Angriffe (auch mit Keyloggern!) nicht dem typischen Angriffsszenario bei einem privaten Normaluser zuzuordnen. Sowas wird bei individuell ausgewählten Zielpersonen gemacht, aber nicht in großem Stil, um dein Ebay-Passwort abzugreifen. Nicht umsonst sind diese Verschlüsselungstrojaner so erfolgreich.
 
Phil2009 schrieb:
Unter dem Sicherheitsaspekt hört es halt irgendwann mit der Verhältnismäßigkeit auf.
Zum Vergrößern anklicken....

Das habe ich in den letzten Tagen, auch anhand eurer Postings, auch erkannt. Google hat mir noch geflüstert, dass Software-Keylogger auch Bildschirmtastaturen hacken können. Wusste gar nicht, dass da Unterschiede gemacht werden, dachte, alle Keylogger seien Software basiert. Aber das nur am Rande. Ich hatte ja schon geschrieben, dass ich nicht so viel von all dem verstehe. Ich werde es jetzt so machen. Andere sammeln Briefmarken und ich Thinkpads. Eines werde ich komplett mit einem neuen Windows aufsetzen und ausschließlich für Videoschnitt und Homebanking nutzen. Mehr nicht. Es gibt keine Browser, kein Emailprogramm, nur die beiden Genannten. Und weil ich nie Spontankäufe tätige, werde ich die wenigen geplanten Käufe mit einem Live Linux USB Stick "bezahlen". Mehr kann ich nicht tun.
 
Konsequent ist das aber auch nicht. Bei der Installation der Videosoftware oder von Plugins kann man sich auch schon was einfangen.

Wenn schon ein TP nur für Banking, dann nichts anderes drauf und immer vom Netzwerk trennen, sobald der Vorgang beendet ist.

Allerdings muss dann noch ein Konzept her, wie man Antivirus und Scanner gegen Malware aktuell hält.
 
andi.short schrieb:
Konsequent ist das aber auch nicht. Bei der Installation der Videosoftware oder von Plugins kann man sich auch schon was einfangen.
Zum Vergrößern anklicken....

So paranoisch bin ich dann doch nicht. ;) Die Homebanking Software habe ich vor Jahren auf DVD gekauft. Seit der Zeit wurden mir im Laufe der Zeit immer wieder über diese Software Upgrades eingespielt, also nicht per Browser. Bei der Videoschnittsoftware war es etwas anders. Die lag tatsächlich nur als Download vor und das zweite und letzte Update auch. Aber diese Kostenpflichtige Software bekommt von mir einen Vertrauensvorschuss, so eng sehe ich das nicht. Während ich die Filme schneide, bin ich zudem vom Netzwerk getrennt. Ich kann ja mal nach der Komplett Installation beider Programme ein paar Spürhunde drüber schicken.
 
Thinksurfer schrieb:
Die Homebanking Software habe ich vor Jahren auf DVD gekauft. Seit der Zeit wurden mir im Laufe der Zeit immer wieder über diese Software Upgrades eingespielt, also nicht per Browser.
Zum Vergrößern anklicken....
Und wo kamen die Updates her, die die Homebanking Software selber einspielt? Aus dem Internet. Wer sagt dir, daß die Server, von denen die Homebanking Software die Updates herunterlädt, nicht zwischenzeitlich von Dritten gekapert und manipulierte Updates dort bereitgelegt wurden?

Sicherheit ist immer nur so gut wie das schwächste Element in der Kette.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben