在网吧里用公共电脑如何才能更安全？

隐患2：键盘记录软件

在公共电脑上输入密码，不能保证100%安全，这也是事实。

高级的键盘记录软件不止能记录你的键盘操作，还能记录你的鼠标轨迹和Windows剪切板记录。操纵者还能随时截取你的屏幕图像，或进行实时的屏幕录像，看你正在做什么。让你的隐私信息彻底摆脱这些高级记录软件的视野相当困难，也许是不可能的。

所以最好的方法是不输密码，根本不在旅店、网吧或其他公共电脑上输入你的私人信息最安全。

但毕竟有时候还得破例。相信不止我有，大家也都会有被迫在公共电脑上输密码的时候。

所以在输入密码的时候，有什么好方法来提高安全性呢？

方法其实很多，最吸引我的方法是借助密码管理器来输入密码，比方说可以在你的优盘中运行密码管理器RoboForm2Go。

在优盘上运行RoboForm2Go提供了完美的安全性。事实上我还没有发现任何一个键盘记录软件能捕捉到它向浏览器中表单提供的信息。但这并不是说 RoboForm2Go就是100%安全了。困扰RoboForm2Go最大的因素是你必须首先输入程序主密码来激活程序，如果有人使用键盘记录软件成功 捕获到主密码，并且拷走了你优盘上的RoboForm加过密的密码文件。那么你就有大麻烦了，攻击者可以看到你密码管理器里面保存的所有密码;

所以保护RoboForm2Go主密码就显得至关重要，本文章最后会介绍保护主密码的措施，现在我们先了解一下保护密码的常用方法。

对付键盘记录软件的措施

（a）使用强密码

增加你的密码长度使其更复杂，变幻你的密码使其更随机。很明显密码”SncnGnls3Fp”比”banana”要好很多，不全是因为复杂随机的密 码更难以破解，还可以增加使用键盘记录软件破解的困难度，也许有人会说记住这些复杂的密码太困难了，这儿有很多软件和提示帮助你记录;

以刚刚提过的密码”SncnGnls3Fp”为例，其实就是 “RoboForm2Go” 应用一个简单的规律后生成的，就是第一个字母改成对应字母表中的下一个字母，如R->S;紧跟后面的字母改成字母表中上一个的字母，如 o->n;依此类推，”RoboForm2Go”就变成毫无规律可言的”SncnGnls3Fp”了。

(c)混淆输入你的密码

混淆输入就不是按常规地按密码顺序一个个敲密码，而是使用更复杂的方式。

因为键盘记录软件只是默认记录一串你的输入记录，混淆输入就派上用场了，密码窃取者需要扫描这些记录来识别你的密码，混淆输入可以有效增加识别密码难度。 尽管为了让识别更容易，已经有键盘记录软件会在用户敲回车键或鼠标点击提交时，自动标注当前窗口的名字。但是混淆输入还是规避键盘记录软件的有效方法。

混淆输入有很多方法，这里介绍几个：

（i）通常一个窗口会有两个输入框，如用户名和密码。用鼠标来回切换输入框，交替输入用户名和密码。

（ii）除了仅用键盘输入外，还可以从别处拷贝来你密码中的字母，不限当前窗口、当前程序。

（iii）不用键盘输入，可以使用拖拽的方式凑齐你的密码。

（iv）利用ALT键结合数字小键盘输入特定字母，比如字母a可以使用ALT+小键盘“97”输入。

（v）使用屏幕键盘输入一些字母。

（vi）先输入密码的后半部，后输入前半部，然后把后半部拖到前面。

（vii）输入一些随机的字母,比如我们要输入是abcdefg，按顺序输入的同时穿插输入一些无关的字母，就像 aMNbOcZdPQReSfgTUV，接着逐一删除那些无用的字母，可以使用backspace键，可以先用鼠标选择待删除的字母，然后按delete 键或在弹出右键菜单中选择删除。

混淆输入的确很有效，综合使用上述的输入技巧可以有效的迷惑各种键盘记录软件。当然也没有必要把上面的几个技巧都用上，实际上有些网站或产品还限制了你的输入方式，比如RoboForm2GO就禁止使用剪切、粘贴和拖拽字母的方式输入主密码，却允许你先输入一些无关字母再逐一删除掉，也支持使用 ALT+数字键盘输入密码。

操纵键盘记录软件的攻击者面对软件记录，要经过阅读、辨别、分析、最后重新组合一套密码破译程序，本身已经是比较繁琐，如果赶巧你不但使用了复杂随 机的密码，输密码的时候又使用了上面的一条或多条技巧，毫无疑问你让他们破译密码的工作又复杂了多倍。下面还有一种方法可以进一步增强你的安全性：使用屏幕键盘

(d)使用屏幕键盘（on-screen keyboard 简称OSK）

屏幕键盘，顾名思义，是一种映在屏幕上的键盘，靠鼠标在屏幕上点击对应的按键进行输入，Windows自身就内置了屏幕键盘，你可以从”"开始菜单/所有程序/附件/辅助工具/屏幕键盘”"打开，或者直接使用快捷键：”Windows”键+U。

也许有朋友认为使用屏幕键盘输入密码相对更安全一些，因为键盘记录软件无法捕捉到鼠标手势。不幸的是仅说对了一半。

首先一些屏幕键盘OSK(包括Windows OSK）只是简单地模拟了键盘输入，仍然能为很多键盘记录软件记录;第二，任何人都可以利用屏幕录像软件，或采用快速屏幕截图的方式看到你使用OSK都输 入了那些键;第三，靠记录鼠标点击位置，也可以推测出在屏幕键盘上具体按下了那些键;最后使用剪切板监控软件还可以检测到那些你使用屏幕键盘输入的，准备 拷贝到密码框的密码.

以上都是坏消息，但好消息是有不模拟键盘操作的屏幕键盘软件，有两个还是免费便携的，且专为安全输入设计，它们就是Neo's Safe keys和Monitor Only Keyboard（MOK）。

SafeKeys有很棒的功能，它可以设置软件每次开启后，变换虚拟键盘的键位（按键排列次序）、大小等，这可以有效摆脱鼠标记录器的跟踪，另外它还支持把输入的密码拖拽到输入框内，这样又能摆脱剪切板记录器的跟踪。

MOK也有它独到的特性，它首先自身就可以对剪切板跟踪器免疫，同样支持变换键位，虽不支持拖拽，但使用其自带的拷贝粘贴功能，也能达到和safekeys一样的安全效果.

所以公平地说，两个产品之间功能大致相同，都提供了不错的方案。不幸的是它们都逃脱不了屏幕录像的跟踪。虽然攻击者想成功捕捉到完整的密码，需要高频率的截屏或持续的屏幕录像，固然可行，但这些操作却会占用主机很大的系统资源。

这里再介绍一个简单的办法来对付这些屏幕捕捉类程序，你大可以使用虚拟键盘输入一部分密码，再使用实际键盘输入另一部分密码，搭配输入能轻易达到不俗的安全效果。