Tipps zum Schutz gegen Keylogger

Wenn man beispielsweise im Urlaub in einem Internet-Café seine E-Mails lesen will, läuft man Gefahr, dass ein heimlich installierter Keylogger die Zugangsdaten mitschneidet. Ein einfacher, aber effektiver Trick dagegen ist es, beim Eingeben des Passworts zusätzliche Zeichen einzutippen. Im Keylogger-Protokoll steht so am Schluss nur ein sinnloser Zeichensalat.

Das geht so: Man ruft seine Webmail-Seite auf und tippt den Zugangsnamen ein. Dann wechselt man mit der Maus in die Adresszeile des Browsers und beginnt damit mehrere beliebige Buchstaben und Ziffern einzugeben. Mit der Maus wechselt man dann in das Passwort-Eingabefeld und tippt das erste richtige Zeichen ein. Danach wieder zurück ins Adressfeld und mehrere falsche Zeichen eingeben. Ab jetzt mehrmals hin- und herwechseln, bis das korrekte Passwort fertig ist.

Statt dem richtigen Passwort

geheim

steht danach im Keylogger-Protokoll nur zum Beispiel der folgende Wirrwarr

POg2Aefrh19edEiJm

Es ist nicht genau bekannt, was Keylogger heute schon alles aufzeichnen können. Aber man kann davon ausgehen, dass sie einen Wechsel des aktiven Programmfensters vermerken. Deswegen auch der Trick, im aktiven Browser-Fenster zu bleiben und nicht beispielsweise zu einem Text-Editor zu wechseln.

Möglicherweise speichert der Keylogger auch Mausklicks. Es ist deswegen wahrscheinlich sinnvoll, auch während der Eingabe der falschen Zeichen in der Adresszeile das eine oder andere Mal mit der Maus zu klicken.

Von einem anderen Trick, einzelne Buchstaben auf einer Webseite zu markieren und über die Zwischenablage in das Passwortfeld einzufügen, halte ich nicht viel. Das Überwachen der Zwischenablage dürfte für die meisten Keylogger kein Problem darstellen.

Eine alternative Schutzmöglichkeit sind eingeblendete virtuelle Tastaturen bei denen das Passwort aus einer (oft zufällig wechselnden Zusammenstellung) ausgewählt wird. Aber erstens bieten die wenigsten Web-Mailer vermutlich dieses Feature an und zweitens kann ein Keylogger auch einfach Screenshots der Klicks machen und abspeichern.

Zuletzt sollte man sich aber natürlich vor jeder Eingabe persönlicher Zugangsdaten an einem öffentlichen Computer fragen, ob das wirklich nötig ist? Selbst, wer „nur“ das Passwort zu seinem Mail-Konto aufs Spiel setzt, riskiert erheblichen Schaden, da in vielen Mailboxen wiederum Zugangsdaten zu weiteren Konten gespeichert sind. Von Online-Banking oder ähnlichem in einem Internet-Café sollte man sowieso immer absehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.