Slik lurer du passord-tyven

Du er ikke engang trygg hjemme i din egen stue.

«Om noen snapper opp tegnene du skriver inn gjør ingenting (...)»


Er du sikker på at PC-en du sitter på nå ikke kjører en keylogger i bakgrunnen?

I takt med at stadig flere bruker Internett i sin hverdag, blir svindlerne også smartere i sin jakt på penger, passord og hva det måtte være. Vi har tidligere skrevet om hvor enkelt de kan snappe opp Facebook-passordet ditt, og vi har blant annet tatt for oss PwdHash som hjelper mot phishing, som denne typen svindel kalles.

En annen måte å svindle på er via en såkalt keylogger. En keylogger er et program som kjører i bakgrunnen, og som sørger for å snappe opp alle tastetrykk. Disse kan igjen lagres i en fil på harddisken, eller kanskje enda verre - sendes direkte til en tjener. Deretter kan svindleren for eksempel søke etter strengen "gmail.com" og sjekke de neste linjene i loggen for å finne ut brukernavnet og passordet ditt.

>> Les også: Blir du spionert på?

Artikkelen over er obligatorisk lesning for de fleste og tar for seg hva du bør ty til for å sikre at PCen du har hjemme ikke er infisert av såkalt spyware. Spyware er en fellesbetegnelse for programmer som "spionerer" på deg, deriblant keyloggerne. Hvis du kjører en full sjekk av PCen med et par av programmene som er nevnt i den artikkelen, bør du være rimelig sikker.

Hva med nettcafé-PCen?

Når du sitter på nettcafé er situasjonen imidlertidig annerledes. Der har du kanskje hverken rettigheter eller tid til å kjøre en full sjekk av PCen, og ligger det en keylogger i bakgrunnen (kanskje til og med installert av han tvilsomme fyren med bart bak disken) har du få muligheter til å finne ut det før det er for seint.

Det finnes imidlertid en liten omvei som gjør at du kan sjekke e-posten din uten at du noen gang trenger å gi fra deg passordet ditt. Ønsk velkommen: kyps.net.

Kyps.net er en nettjeneste fra tyskeren Andreas Pashalidis og er en forkortelse for "keep your passwords secret". Tjenesten fungerer med en håndfull nettjenester, deriblant Gmail, Windows Live Mail og MySpace (ingen Facebook ennå, dessverre).

Slik fungerer det:

Registrering

Registreringsprosessen gjør du når du IKKE sitter på en nettcafé-maskin. Når du registrerer deg, må du angi brukernavnet ditt og hvilken tjeneste du ønsker å bruke, f.eks. Gmail. Du velger selv om du vil dele passordet ditt med kyps.net - hvis du gjør det får du tilbake en PDF-fil med en haug av engangspassord - du velger selv hvor mange. Denne kan du skrive ut og putte i lommeboka.

Hvis du ikke vil dele passordet ditt med kyps.net lar du feltet stå åpent. På neste side får du da en java applet der du kan angi passordet. Denne fungerer også uten nettilgang, så hvis du virkelig vil være på den sikre siden kan du kutte nettilgangen etter at siden er ferdig lastet.

Når du taster inn passordet ditt i denne appleten og trykker på knappen, får du opp alle engangskodene, samt en kode for å slette kontoen din. Engangskodene må du klippe og lime til et annet program, skrive ut eller lignende.

Eksempel på koder fra Kyps (jeg har selvsagt slettet dem, så bare glem det) Vis mer


Hva har skjedd?

På kyps.net sin server er det nå generert x antall engangsnøkler tilknyttet din bruker, og når disse krysses med engangsnøklene du har fått, genereres passordet ditt og sendes direkte til den aktuelle tjenesten - fra kyps' tjener.

Når du så vil logge inn, går du inn på kyps.net, velger hvilken tjeneste du vil logge på og angir brukernavnet ditt. Deretter blir du spurt om å angi én av engangsnøklene du har fått tilsendt. Om noen snapper opp tegnene du skriver inn gjør ingenting, siden det er en engangsnøkkel - den vil ikke kunne brukes igjen.

Kyps fungerer også som en proxyserver, og innholdet kommer kryptert til maskinen du sitter på, noe som betyr at alle lenker etc. også er krypterte. Følgende bilde illustrerer hva som skjer når du logger på:

Vis mer


Hva er risikoen?

Hvis du registrerer deg uten passord og aldri bruker kyps igjen vil risikoen være den samme som om du har en keylogger installert på PCen du bruker for å registrere deg.

Hvis du mister lappen med engangspassord og den som finner den vet at den tilhører deg, hvilken nettjeneste du har registrert deg for og brukernavnet ditt der, kan han logge seg inn (svært lite sannsynlig, eller hva?).

Hvis Andreas og Kyps plutselig går over til "the dark side" kan kyps ta vare på det genererte passordet når du gir fra deg en engangsnøkkel. Det skal dog sies at i motsetning til de fleste svindlere, står Andreas frem med fullt navn og adresse, så det er nok heller tvilsomt at han finner på noe sprell på den fronten. Det lover han for øvrig på tro og ære på personvern-siden.

URL: http://kyps.net/index.htm