Bảo vệ password chống keylogger

Posted on by

Trong bài này có nói vài cách phòng chống bị lấy trộm password để đột nhập Gmail. Như đã nói trong đó, cái khó đề phòng nhất là keylogger (phần mềm ghi lại các phím đã gõ). Keylogger có thể được bí mật cài vào máy của bạn bằng nhiều cách và từ đó nó ghi lại mọi phím bạn đã gõ ghi vào một file log, định kỳ gửi về cho hacker. Hacker đọc file log có thể tìm ra username và password của bạn.

Tôi vừa tìm được một bài viết hay, nêu vài cách bảo vệ password chống keylogger xin trình bày lại ở đây có bổ xung thêm chút ít:

Cách 1: dùng chen phím Home và End khi gõ password

Giả sử password thật là yeuanhem, khi gõ đảo thứ tự các cụm ký tự và chen vào các phím Home, End như sau:

anh[Home]yeu[End]em

Khi đó máy tính sẽ hiểu là những cụm ký tự đằng sau phím Home (yeu) đặt ở đầu, những ký tự sau phím End (em) đặt ở cuối, các ký tự còn lại (anh) đặt tiếp sau cụm ký tự của Home. Do đó password mà máy tính hiểu sẽ đúng là pass thật: yeuanhem.

Trong khi đó, keylogger sẽ ghi lại đúng thứ tự các phím đã gõ: anhyeuem hoặc là ghi cả hai phím Home và End dưới dạng: anhyeuem{Numpad.Return}{Numpad.Return} mà không ghi rõ vị trí phím Home, End trong chuỗi ký tự đó. Vì vậy hacker đọc hai cách ghi nói trên không tìm ra password thật.

(Cũng có nguy cơ là bây giờ keylogger đã được cải tiến, ghi được vị trí phím Home và End thì cách này không dùng được).

Cách 2: nhập ký tự qua bộ mã

Mỗi ký tự đều có một bộ mã tương ứng. Ví dụ chữ a hoa “A” có mã là u+0041, chữ a thường là u+0061. Muốn xem mã, trong Ubuntu vào Applicatios -> Accessories -> Character Map, trong Mandriva cài gói gucharmap rồi vào Menu -> Tools -> More -> Character Map. Nhấn vào ký tự rồi đọc mã ở bên dưới như hình sau:


Thay cho việc gõ trực tiếp phím a ta nhập ký tự a bằng cách nhấn và giữ hai phím Ctrl,  Shift rồi lần lượt nhấn  u và 0061 sau đó thả hai phím Ctrl, Shift ra. (Trong Windows, thay cho tổ hợp phím Ctrl+Shift là phím Alt).

Khi nhập password, mỗi ký tự trong password đều nhập theo cách này thì keylogger không ghi được.

Cách này hơi mất thì giờ, phức tạp.

Cách 3: dùng một đoạn ký tự dài có sẵn

Một trong những nguyên tắc chọn password mạnh là password càng dài, càng rắc rối càng tốt. Nhưng dài và rắc rối thì lại khó nhớ, ghi ra đâu đó thì có nguy cơ bị xem trộm. Cách này làm như sau:

Chọn một trang web tương đối ổn định, chọn một hoặc vài đoạn chữ cố định, không bị thay đổi trên trang web đó. Các đoạn chữ đã chọn phải là cố định tức là không bị thay đổi thường xuyên theo nội dung website. Copy cả đoạn chữ đó rồi Paste (hoặc Ctrl+V) nó vào ô khai password. Khi cần nhập password, lại copy/paste vào ô password.

Hoặc dùng một phần mềm tạo password, tạo một password ngẫu nhiên thật dài. Ghi nó vào một file rồi cất file đó bằng TrueCrypt (xem cách làm ở đây). Khi cần, mở file ra cũng copy/paste để nhập password.

Khi dùng cách này, lúc copy từ trang web phải tránh không để người khác nhìn thấy.

Cách 4: phối hợp các cách trên

Có thể dùng một password phối hợp cả 3 cách trên: một phần password thì dùng Home, End; một phần thì dùng mã và phần còn lại dùng cách copy/paste. Password kiểu đó sẽ tránh được nhược điểm của từng cách đã nói ở trên.

Tôi xem xuống dưới bài viết nói trên mới biết cái này cần cho các cao thủ chơi game. Account game online hóa ra là cái hay bị hack nhất.

8 thoughts on “Bảo vệ password chống keylogger

  1. Cho đến bây giờ , mình chỉ dùng TrueCrypt để nhớ Pass bằng cách ghi ra 1 tập tin rồi cất đi .
    Còn mấy cách kia thì mình chưa thử , rắc rối quá

    Reply

  3. Pingback: Không tìm thấy trang này « ZXC232-Phần mềm tự do nguồn mở – Free and opensource software

  4. Pingback: Ghi chép: Theo dõi bàn phím (keylogger) và cách phòng chống. « ZXC232-Phần mềm tự do nguồn mở – Free and opensource software

  5. Pingback: Theo dõi bàn phím (keylogger) và cách phòng chống. « Blog Company

Bình luận về bài viết này