在公眾電腦上如何安全地輸入密碼?
阿恆
這一篇報導跟 PHP 沒有甚麼關係,但作為技術人員我們經常都會遇到類似 PCMAG.COM 所述的難題,解決的方法也很巧妙,值得跟大家分享。
有人向 PCMAG.COM 查詢:
作為公司在坦尚尼亞的一名財務主管,我有時要在沒有手提電腦的情況下公幹,這種情況下要連繫上受密碼保護的網站,也不得不使用網吧或者酒店的商務中心,我很擔心這些公眾電腦會否有紀錄按鍵的間諜程式。
若果我使用 Windows 的螢幕鍵盤(用滑鼠點擊輸入文字)能否防止這些間諜程式紀錄我的密碼?
倘若螢幕鍵盤只是模擬鍵盤的按鍵,紀錄按鍵的程式仍然有可能截取我的密碼,那麼使用複製/貼上的方法又能否解除這個威脅?間諜程式會否紀錄剪貼薄的內容?你們有沒有在公眾電腦安全地輸入密碼的建議?」
PCMAG.COM 的回應:
螢幕鍵盤原意是給行動有困難的人輸入少量的文字,為了有最佳的兼容性,它模擬真實的按鍵送給應用程式,我嘗試了數個商用的按鍵紀錄程式,發現它們都能夠紀錄由螢幕鍵盤輸入的文字。
你可以嘗試使用字符對應程式(Character Map utility),透過連擊滑鼠來建立你的密碼,然後把密碼複製/貼上應用程式的密碼欄,不幸地間諜程式除了紀錄按鍵外,大部分也會紀錄剪貼薄的內容,甚至會擷取螢幕,所以使用字符對應程式也未必可行。
有一個較為可行的辦法:輸入密碼時加入額外的字符,然後使用滑鼠選擇及刪除這些多餘的字符,例如你輸入 passFROGword,跟著選擇和刪除中間的 FROG,又例如輸入 p1a2s3s4w5o6r7d8,然後把每隔一個字符刪除。按鍵紀錄程式仍然會記錄你的密碼,但是會和其他不是輸入密碼的按鍵混合。
話說回來,最好的做法還是避免使用不安全的電腦,即使你可以逃避按鍵紀錄程式攝取你的密碼,你仍無法避免它們擷取螢幕上重要的財務資料。你的最佳作法是提高你的手提電腦的安全性,然後面對要拖著沉重電腦上旅途的命運。