さんより
友達リクエストがきました。
友達リクエストを承認しますか?
X
承認 無視
KeyCrypt導入検証(個人的)
2009.9.18. 14:46

先日導入されたKeyCryptについて、検証してみました。


 


用意したものは、今回の検証用に作った自作の単純なキーロガープログラミングです。
キーロガーと言っても、簡単なWinAPIを利用して非アクティブ状態でもキー入力を取得し
テキストに記録するだけの物で、プロセスを隠蔽したり、処理をフックする仕様では
ありません。



■ 結果 ■
某ページに、KeyCryptの動作についての記載があったのですが、
そこに記載されている通り英語キー(A~Zキー)の入力は全て'A'になり、
数字キー(0~9キー)の入力は全て'1'と記録されてました。
影響範囲は、ログイン用のアカウント、パスワードのエリアだけでなく・・・・
なぜか、検索ワード入力エリアも暗号化されていました。
当然ながら、他のアプリケーションなどはKeyCryptの影響範囲外でした。



■ 注意 ■
ただ、このKeyCryptにちょっとした落とし穴を発見しました。
現在、アカウント入力エリアは全角での入力が可能です。
全角で入力した場合、なぜか暗号化されないことが発覚しました。
つまり、全角入力状態で入力し半角に変換した場合・・・・入力したキーがそのまま
ログにはかれていました(パスワード入力領域は強制的に半角入力に変更されるので
このような事は起こりません)。



■ 課題 ■
アカウントって、全角で登録できたか確認する前に書いているので
調べてからにする予定ですが、運営側に上記の結果を報告しアカウントの
入力エリアも全角入力禁止にするよう依頼してみます(パスワードが暗号化されるから
別に問題ないでしょ。って思われそうですが・・・・)。



■ 個人的総評 ■
基本的にログイン時に、キーロガーでアカウント、パスワードが漏洩することは
ほぼなくなると考えています。KeyCrypt自体が、ウィルス検知機関「Virus Bulletin」が承認する
VB100%と言うのを取得しているらしく、VB100%とは"ウイルスを100%検出し、かつ、
誤検知がない製品にのみ与えられる"物らしいです。


 


信頼度はかなり高いKeyCryptですが、上記のようにホームページの作り手が
意図せぬ脆弱を作っている可能性があるので、絶対と言うのはやはりありえないのかもしれません。
が、KeyCrypt自体は現段階では信頼して問題ないというのが個人的見解です。

リスト
  • チョコバニラ@イズラフェル 2009.9.18. 15:16
     検証ご苦労様です^^

     以前に書かれていた内容でパスワードのロックがあったかどうか・・・ですけど、以前はアプリからの入力(この場合はnProが暗号化してるはず)ですが、10回とか明記はなかったと思います。

    cβの時は忘れましたけど、もっとセキュリティーに甘そうな状態だった気がします。
     最初の感想は、あれ?デカロンと同じwebでのログインだ@@です。

     正確に覚えてる人が現れればいいな (;人;) オ・ネ・ガ・イ
    って事で、曖昧なのでさらっと流してください (;^_^A アセアセ・・・
  • Poma@ジケル 2009.9.18. 15:20
    GJ(。・д・。)b

    nPro提供元は韓国企業で2bytes文字使う国なので、全角の事は考えてるはず。
    Web制作者のミスでしょうね。

    ≪推薦ボタン≫ю┐(-。-)y-゚゚゚ ポチ
  • 三明@イズラフェル 2009.9.18. 15:37
    こういう専門的な知識は無いので素人意見なんですが、
    今までIDやPASSは暗号化されて無かった可能性が有るって事ですかね?
    されてなくても漏れなければ大丈夫だとかでしたら、また別なんでしょうけども・・・。

    あ、webのログインに限定してです。
  • はたけカカシ先生 2009.9.18. 18:53
    検証、お疲れ様です。

    「注意」の部分は気になるところですが、有用なデータだと思います。
    ありがとうございました。

    どのようなプログラムでも絶対性は無いでしょうが、現時点では信頼出来るプログラムであるという事が解りました。

    これで、アカハックが減る(無くなる)事を切に祈ります。
  • マルティム@イズラフェル 2009.9.18. 21:24
    >信頼して問題ないというのが個人的見解です。
    当たり前だろw
  • koma00 2009.9.18. 22:11
    少し話がズレますけど。
    導入後、ゲーム内からパワーウィキを呼び出すと、そこからゲーム自体が少し重くなる様になりましたね。
    以前はこんな事は無かったんですが。
  • ナオ@ルミエル 2009.9.19. 01:35
    検証ご苦労様です。
    KeyCryptはAIONトップページからしかインストールできないかも?

    掲示板の書き込みする際にKeyCryptのインストールを実行しても
    プログラムの追加と削除に表示されるようなインストールはされず、
    タスクトレイにも何も表示されないのよね。
    実際にインストールされているようなHDDアクセスもないし、
    プログラムが起動している様子もない。
    そういった仕様になってるのか、HPの作りが間違ってるのか謎。
  • 月額料金高すぎナイタ@ユスティエル 2009.9.19. 04:50
    大変有益な情報を有難うございますた
  • ハイエロファント@シエル 2009.9.19. 06:06
    ○>信頼して問題ないというのが個人的見解です。
    ○当たり前だろw

    当たり前じゃないですw
  • Bee@シエル 2009.9.19. 10:18
    >チョコバニラさま
    オープンからやってるセグをハックでとめられたのはわたしです;
    関係ないですか。ないですね;

    これでキーロガー対策は万全とまでは申しませんが
    動きをみせていただけたのでほんの少しだけうれしいですね。

    最後になってしまいましたが、主様、検証お疲れ様&GJでございましたノ
  • アノエ・トエト 2009.9.19. 19:48
    安全なログインに関してはロボフォームを利用する手もあります。
    ログインできるサイト数の制限付きであればフリーで利用できます。

    オートコンプリートのようにIDとパスを記憶、それに加えてログインページのURLもセットで保存されているのでログイン先を選ぶだけでブラウザ立ち上げからログイン完了まで処理します。

    それらの記録はマスターパスワードによって暗号化され、ローカルドライブに保存されているのでアカハックするにはロボフォームのログイン帳ファイル、暗号化アルゴリズム(ユーザーがDES,3DES,AES,Blowfish,
  • アノエ・トエト 2009.9.19. 19:55
    (下の続きです)
    RC6から設定できる)、パスワードが必要なので普通にログインするよりは安全です。
    無線LANの暗号化によく使われているアルゴリズムWEPやWPAは簡単に解読されてしまうので選択肢にありません。
    問題は本人がログインIDとパスを忘れてさらにロボフォームのマスターパスワードまで忘れると誰にもわからない点でしょうかw(その場合頼みの綱はリマインダしかありません)
  • DrPepper@ジケル 2009.9.22. 20:14
    ロボフォーム使用歴は長いのですがそれでもアカウントハックの被害に私は遭っていますので絶対的な解決策はやはりないのかもしれません。そこを考え、銀行や他のサイトログインアカウントハッッキングの被害に遭ってないところをみるとキーロガーなどでのハッキングではない気がしてなりません。それはつまり...ですがこれ以上のコメントは差し控えさせていただきます^^;
  • アノエ・トエト 2009.9.23. 15:57
    より安全と思しきものはあっても絶対はないですね。
    極端な話、無限の時間があればブルートフォースアタックですべてのアカウントはハッキングされうるので・・・
Cookieの使用について
弊社が管理するサイトにおいて、サービスの利便性向上やサイトの利用状況分析などのためにCookieを使用しています。
Cookieの利用設定は、お客様がご利用中のブラウザの設定から行えます。