security is a function of the resources invested by an attacker. 

Nếu mà kẻ tấn công có một nguồn tài nguyên không giới hạn, thì chẳng có phương thức bảo mật nào là an toàn tuyệt đối cả.  

Không có phương thức phòng thủ nào, nếu đã được xây dựng và người dùng đã chấp nhận, là vô tác dụng cả. 

@StarGhost: hehehe ở đây mình đang nói đến việc bảo vệ các giao hoạt động trên Internet mà ta, one-time pad có thể ứng dụng thực tế để bảo vệ các hoạt động trên Internet được không bạn? nếu được, nhờ bạn starghost chỉ vài đường để mình nghiên cứu xem. bạn nhớ nghĩ đến các yếu tố chi phí, khả năng được người dùng chấp nhận luôn nha. 

xem an toàn thông tin là một hàm của tài nguyên của kẻ tấn công, mình nghĩ không những nó không bỏ qua sự phức tạp của an toàn thông tin và môi trường xung quanh, mà chính là cách nhìn nhấn mạnh nhất vào sự phức tạp và khó khăn của an toàn thông tin. bất kể bạn có đầu tư bao nhiêu, thì sự an toàn của bạn không được quyết định bởi những việc bạn làm, mà phụ thuộc vào việc kẻ tấn công bỏ ra bao nhiêu thời gian và tiền của để tấn công bạn. 

bạn thử nói vài cái tiêu chuẩn của IEEE hay IETF RFC được triển khai rộng rãi mà vô tác dụng, không đem lại hiệu quả gì hết cho việc phòng thủ? 

@levuhoang: vấn đề của bạn là bạn có thể defeat được virtual keyboard, nên bạn cho rằng nó không cần thiết. vừa rồi, ở blackhat, có thằng làm cái tool ssl-mitm (ý tưởng thì cũ nhưng cách làm có nhiều cái hay), thế thì ssl trở nên không cần thiết nữa, chuyển qua xài http hết cho rồi? nói về otp token hay matrix card, thì chúng nó cũng chẳng an toàn, khi gặp phải các loại mitm trojan, thế thì không nên xài chúng luôn?

để đánh giá về mức độ hữu dụng của một phương thức phòng thủ, thì mình nghĩ chỉ đứng nhìn ở góc độ kỹ thuật không thì sẽ chẳng thấy được gì cả. muốn đánh giá, phải đưa phương thức phòng thủ đó vào một ngữ cảnh cụ thể, chi phí triển khai, lợi ích đem đến, và một bản phân tích rủi ro cụ thể liệt kê những mối nguy nào, lỗ hổng ra sao, tần xuất xảy ra, mức độ thiệt hại...rồi từ đó mới biết được có nên triển khai hay không. bạn levuhoang với bạn starghost thử làm một cái bản phân tích như thế xem sao? 

@ham_choi: Bạn cũng vậy, Hoàng nghĩ bạn nên đọc kỹ nội dung topic. Đây là 1 dạng của PoC. Ai nói bạn tool chỉ nhận tối đa 30 lần click chuột? Bạn có thử maximize cái window lên chưa? Do chỉ là concept, nên không cần phải save xuống file làm gì, mặc dù điều này có thể làm được và làm dễ dàng. Thú thật là tui không có hứng thú lắm với những bài tranh luận chỉ xem qua loa như vậy. 

phải chăng Virtual Keyboard là một tiện ích không cần thiết? 

Hiện nay đã có 1 vài gợi ý:
ham_choi: Nhấn phím để bắt đầu nhập password. Công cụ để defeat keyboard không chụp hình theo giây mà chụp hình theo mỗi lần "click" chuột. Tool trên chỉ dùng cho mục đích đưa ra concept, giả lập trường hợp: điều này "làm được", tức bao gồm cả save, nén lại, gởi về... gì gì đó. Nên bạn không cần quan tâm đến việc mở rộng cho nó. Về vấn đề mở notepad ra gõ 26 kí tự thì keylogger có thể đoán biết được ông nào có dấu hiệu "*" để bắt đầu bẫy clipboard. Hơn nữa, gõ đủ 26 chữ để copy từng từ thì có vẻ hơi mệt quá . Như mình trông đợi ở trên, là đề xuất ra để nâng cao tính bảo mật hiện tại hoặc 1 phương án thay thế. Bạn đi đúng chủ đề ở phần sau của bài viết 

Mình không hiểu bạn ham_choi muốn làm những thứ rắc rối đó (enable bàn phím, copy paste notepad, tab 10 lần,....) để làm gì khi mà keylogger (loại siêu cường có fullscreen ) có thể ghi lại tất cả cả chụp fullscreen. 

Cũng chỉ là thao tác căn bản thôi mà các bác. Bất cứ người dùng Windows nào cũng phải biết 

mình bầu cho bạn ham_choi giải thưởng "chuyên gia từ trên trời rơi xuống" trong tháng này. 

Ý tường khác :

- Cứ hễ User click 1 ký tự thì virtual keyboard sẽ kêu click thêm 2 ký tự ngẫu nhiên khác , nhưng 2 ký tự mà keyboard kêu click thêm thì không chuyển vào password form. Làm như thế để xen kẽ lẫn lộn giữa ký tự thật (pass thật của user) và ký tự fake ấy mà . Ưu điểm cách làm này là không yêu cầu trình độ IT của user phải pro. Các bác nghĩ sao ? (cách này theo ham_choi nghĩ là tốt hơn so với cách cũ mà ham_choi đã nghĩ ra trước đây)
 

rồi thêm một ứng cử viên là seraphpl cho danh hiệu "chuyên gia từ trên trời rơi xuống". 

Mỗi lần click thì VKD loại bỏ, không ghi nhận 2 kí tự dư thì sao mà lẫn đc hè?  

@choc_ : Bạn muốn gì thì nói rõ ra đi , đừng nói theo kiểu đó , tôi dị ứng lắm. Nếu bạn không tham gia đóng góp thì có thể xem thôi , không phải reply. Bạn đồng ý chứ ?

@seraphpl:

Mỗi lần click thì VKD loại bỏ, không ghi nhận 2 kí tự dư thì sao mà lẫn đc hè?  

2 ký tự random thêm vào mà tôi đề xuất chỉ là ý tưởng thôi . Chứ thực ra lập trình viên có thể code cho nó random 4 hoặc 5 ký tự , và mỗi lần load keyboard đều khác nhau (không bao giờ cố định số ký ). Cách này là khả thi nhất rồi , và dễ sử dụng ngay cả với người dùng phổ thông. 

Nếu xài chiêu gõ vài chữ cái ra notepad rồi thực hiện copy thì keylogger không "đoán biết" nổi để mà bẫy Clipboard đâu . Nói cho rõ hơn , cái thao tác copy ký tự này có bị lộ hay không là do người dùng thôi. Nếu 1 user lão luyện và có trình IT tốt thì keylogger và ngay cả tool bác Hoàng đưa cũng bó chiếu thôi.

Tôi giả lập tình huống nếu Virtual Keyboard đã được cải tiến và trên máy có cài keylogger + Virtual Keyboard Defeat với 1 user lão luyện kinh nghiệm như sau:

- User mở notepad và gõ (không nhất thiết phải gõ hết 26 chữ cái , chỉ gõ 1 chuỗi vô nghĩa có chứa ký tự trong pass của mình thôi). Lúc này Keylogger ghi lại các chữ cái này và Virtual Keyboard Defeat chưa có tác dụng ngoại trừ việc ghi lại hình ảnh tọa độ click chuột.

- User mở trang web có chứa virtual keyboard đã được cải tiến lên(có thể là web ngân hàng chẳng hạn). Lúc này mặc định keyboard chưa được enable vì chưa nhấn tổ hợp phím Ctrl+Alt+6 ký tự captcha random. Để enable bàn phím , user này sẽ làm theo hướng dẫn của virtual keyboard. Lúc này keylogger sẽ ghi lại 2 phím Ctr+Alt do user đã bấm , còn 6 click ký tự random sẽ do virtual keyboard defeat ghi lại.

- Sau khi làm theo yêu cầu của Virtual Keyboard thì bàn phím được enable. Lúc này user click vớ vẩn vài cái trên Desktop. Tiếp theo user dùng tổ hợp phím Alt+tab (nhấn đè phím Alt và nhấn khoảng 10 lần phím tab để đánh lạc hướng keylogger) để mở chọn cửa sổ Notepad. Sau đó , user focus con trỏ chuột vào bất cứ chữ nào trong loạt ký tự trong notepad. Hắn dùng phím Ctrl+End và Ctrl+Home để trỏ con chuột vào cuối văn bản và đầu văn bản. Tiếp đó hắn dùng phím mũi tên để di chuyển dấu nháy. Đến chữ nào cần copy hắn đè shift và nhấn phím mũi tên để highlight chữ đó và nhấn Ctrl+C. Mở trang cần nhập pass dán vào. Làm lần lượt cho các ký tự còn lại . Tuy nhiên user sẽ kết hợp click chuột trên bàn phím ảo chứ ko phải chỉ có copy không thôi (chẳng hạn pass có 10 ký tự , user copy 5 ký tự , click chuột trên virtual keyboard 5 ký tự còn lại).

Đến đây là xong . Password nhập thành công , và chúng ta hãy thống kê xem keylogger và Virtual Keyboard Defeat ghi được những gì => ghi được rất nhiều thao tác nhưng đều là thao tác hết sức rời rạc nên hacker không thể nào đoán biết được password của user.

Kết luận: Với Virtual Keyboard cải tiến theo đề xuất của tôi và 1 user có ý thức bảo mật pass tốt (user này cũng phải biết IT một chút) thì Keylogger lẫn Virtual Keyboard cũng bó tay thôi . Ghi được nhiều nhưng không thể chắp nối dữ liệu được vì quá rời rạc.

Nói chung nhân tố con người quyết định phần lớn. Virtual Keyboard cải tiến chỉ giúp gia tăng các ký tự fake nhằm qua mặt Virtual Keyboard Defeat.

Cái gì cũng có cái giá của nó thôi . Nếu muốn an toàn thì sẽ gây sự mắc công + khó chịu cho người dùng