Come utilizzare in modo sicuro siti Web protetti da password su computer con internet café

Come posso, se possibile, utilizzare in modo sicuro siti Web protetti da password (ad es. GMail) su computer con internet café?

Ho sentito la gente dire che non è davvero sicuro usare siti Web protetti da password sui computer di internet cafe, perché potrebbero avere malware installato che può rubare le password che vengono digitate.

Un'opzione potrebbe essere quella di fare in modo che il tuo sito Web utilizzi l'autenticazione a due fattori, ma ciò non mi sembra pratico, poiché dal momento che sono fuori dal mio paese di origine non possono necessariamente inviarmi un SMS e non voglio portare con me un elenco di codici di sicurezza.

Se la sicurezza è solo password, la risposta è che non puoi : se stanno registrando i tasti premuti, la tua password sarà compromessa, punto.

Tuttavia, il miglior sistema di autenticazione a due fattori in viaggio non è SMS, ma un'autenticazione basata su app come Google Authenticator. Tutto ciò di cui hai bisogno è il tuo cellulare per generare i codici e non deve nemmeno essere sulla rete / wifi.

Naturalmente, l'opzione migliore è quella di portare il tuo laptop, quindi tutto ciò di cui devi preoccuparti è il wifi compromesso.

Il comportamento corretto NON è fidarsi del computer.

Quando accedo a uno, se non riesco a inserire una chiavetta USB con la mia copia di Firefox su di essa per la navigazione, caricherò la loro, ma assicurerò che sia aggiornato prima all'ultima versione, per sicurezza (o qualunque altro browser possano usare).

Controllerò quindi le attività in esecuzione sulla macchina e vedrò se qualcosa sembra sospetto. Questo è più difficile da fare per qualcuno non tecnico poiché potresti non sapere quali processi fanno parte di Windows ecc., Ma è un passo.

Per la tua vera password, se sei preoccupato per il keylogging, puoi sempre semplicemente digitare una lettera, quindi in un blocco note aperto digitare un mucchio di immondizia, quindi la lettera successiva e ripetere. A meno che il loro keylogger non sia abbastanza sofisticato da essere specifico per l'applicazione, ovviamente.

A quel punto, ti consigliamo di prendere in considerazione l'autenticazione a due fattori. Ricevi un SMS o un messaggio in-app con un codice digitato (Gmail e altri possono essere configurati per questo) o un codice QR che il tuo telefono scansiona sullo schermo (Whatsapp Web lo fa).

Se stai diventando davvero fantasioso potresti attaccare un sistema operativo su una chiavetta USB, pre-costruito con il browser di tua scelta ecc. E quindi avviare la macchina su quello, ma dipende dal fatto che sei in grado di accedere al BIOS o quale altro restrizioni amministrative che hanno posto sul computer (o se riesci persino a raggiungere la porta USB).

Successivamente, svuoto la cache, i cookie ecc. Del browser e tendo a riavviare il computer quando esco, poiché alcuni internet café sono impostati per reinstallare tutto da zero al riavvio, cancellando ogni traccia di me che sono stato lì (una volta ha lavorato in un internet café dove lo abbiamo fatto).

Come posso, se possibile, utilizzare in modo sicuro siti Web protetti da password (ad es. GMail) su computer con internet café?

Non è possibile, almeno senza utilizzare l'autenticazione a due fattori (o qualche altro tipo di token indipendente dal computer locale). Dovresti considerare qualsiasi informazione digitata o visualizzata su una macchina pubblica come informazione pubblica.

A meno che non abbia esercitato una supervisione totale sulla macchina e sul software da quando è stata costruita, non ci si può fidare della macchina per non intercettare la password e tutte le altre combinazioni di tasti. Senza un secondo fattore di autenticazione, questo sarà sufficiente per accedere a tutti i tuoi dati, in tempo reale o in seguito.

Questa intercettazione potrebbe avvenire a livello di software (che nella maggior parte dei casi è possibile sconfiggere portando una chiavetta USB contenente il proprio sistema operativo) o a livello di hardware.

Tutti dicono un'autenticazione a due fattori. Sono per lo più sbagliati, in quanto due fattori sono nella maggior parte dei casi una password e qualcos'altro, e questo rischierà sicuramente di compromettere la password e potrebbe compromettere qualcos'altro. Due fattori possono essere utili, ma la soluzione migliore sono le credenziali monouso. Se si dispone di un dispositivo affidabile come un cellulare che è possibile utilizzare per modificare la password, è possibile modificare la password, utilizzare il computer non attendibile e quindi modificare nuovamente la password. Questo presenta una finestra limitata in cui la password è vulnerabile, ma potrebbe essere troppo lunga. Le password una volta sono una soluzione migliore a questo caso d'uso. Esistono diverse implementazioni di password singole che variano dai libri al TOTP (autenticatore di Google). L'unica sfida è che tutti questi richiedono un supporto lato server che è al meglio chiazzato.

Un'alternativa a 2FA è utilizzare un dispositivo USB Armory . Questo si collega alla porta USB ed esegue un sistema operativo indipendente. È possibile interagire con il dispositivo in qualsiasi modo si desideri, ad esempio utilizzandolo come un server Web, un client SSH o un server VNC / RDP in modo che il dispositivo stesso invii la sessione protetta con il server di destinazione. Le chiavi / password potrebbero rimanere sul dispositivo e non essere accessibili al computer host.

Usa l'autenticazione a due fattori. Questo è quando, oltre a una password, inserisci una sequenza di caratteri che ti vengono inviati (tramite SMS o altro). Questo è il modo in cui l'ho impostato senza perché su SMS in roaming non sempre funziona.

1. Installa Google Authenticator per lo store Android o IOS
2. Segui le istruzioni qui per configurarlo.
3. Configura il tuo account Google per utilizzare l'autenticazione in due passaggi utilizzando l'app Authenticator. Le istruzioni sono qui

Ora, ogni volta che è necessario accedere, quando richiesto, è sufficiente aprire l'Autenticatore e inserire la chiave. Non preoccuparti, la chiave cambia ogni 15 secondi, quindi anche se qualcuno ha tentato di accedere con le chiavi registrate, non funzionerà. E in seguito puoi controllare l'accesso facendo clic sulla cronologia degli accessi nella parte in basso a destra della tua pagina Gmail.

Puoi scoprire di più su Authenticator su Wikipedia, basta digitare Google Authenticator.

Googe Mail e Fastmail.fm supportano entrambi U2F in modo da poterli utilizzare tramite quella chiave se il posto in cui ti trovi consente il collegamento di dispositivi USB casuali. Non sono sicuro di quali altri siti Web lo supportino. Se hai il tuo controllo, potresti invece ottenere uno Yubikey Neo e implementare l'autenticazione Yubikey per il tuo sito. È purtroppo raro.

Se si utilizzano due password alternate, ciò fornisce un po 'di protezione quando si ha una sola sessione in ciascun internet café: Nel primo internet café si accede con la password 1 e alla fine della sessione si cambia la password in password 2 . Nel secondo internet café si effettua il login con la password 2 e alla fine della sessione si cambia la password in password 1 . Se l'attaccante analizza solo la prima password che hai inserito (quella che hai usato per il login), allora non può usare questa password per un login perché è stata cambiata da te alla fine della sessione.

Questo approccio non aiuta se l'attaccante analizza il protocollo completo scritto dal keylogger, ma forse non è così paziente o non ha l'idea che tu abbia semplicemente cambiato la password alla fine della sessione.

Come altri hanno già detto, ci sono pochissime regole di sicurezza che puoi applicare su una macchina che non controlli.

La soluzione migliore sarebbe quella di trasportare il tuo laptop, tablet, smartphone e semplicemente prendere in prestito la connessione Internet.

Dopo aver bloccato la connessione Internet, utilizzare un provider VPN per proteggere la connessione. Esistono molti modi per farlo utilizzando un browser con un client integrato o un client VPN sul tuo dispositivo mobile. È possibile ottenere abbonamenti gratuiti a vita presso alcuni provider VPN per un importo nominale.

La VPN fornisce un livello di privacy tramite la connessione (pubblica) a Internet.

Successivamente, puoi seguire i normali passaggi di sicurezza come abilitare l'autenticazione a due fattori sul tuo account.

Riflessioni correlate di possibile valore. O no.
'cafe' = internet cafe o equivalente.

Comodo vende un prodotto che consente la connessione crittografata https al proprio sito e quindi la connessione ovunque. Risolve la maggior parte degli exploit su PC e oltre - Nota comunque il commento di jpatokal sui keylogger. (La mia unica relazione con Comodo è come un utente che paga qualche volta e talvolta utilizza un prodotto gratuito.)

Ho visto internet cafe dove NON era disponibile l'accesso alla macchina propria - hai cavi attraverso un muro fisico. (Potrebbe essere stata Dublino o Praga (o entrambi)).

È abbastanza comune da non consentire agli utenti dei caffè di accedere a USB o DVD / CD

Ho usato il software di accesso remoto "Team Viewer" dalla Cina a un sistema di home computer in Nuova Zelanda. Probabilmente è peggio perché ha il potenziale per dare loro accesso al mio sistema NZ - ma dà la possibilità di implementare un sistema di sfida e risposta in cui il "2 ° fattore" potrebbe essere un sistema mentalmente semplice ma "abbastanza discreto". Abbinalo al sistema Comodos e saresti molto difficile dare un senso ai dati di Keylogger. ... Ad esempio puoi spostare il puntatore del mouse su uno schermo remoto e se sei abbastanza appassionato fai qualcosa del genere con uno schermo remoto disabilitato mentre lo fai ma il mouse continua a vivere.

Nel mio caso, potrei anche comunicare con mia moglie tramite il collegamento - l'aggiunta di alcune terze parti che ottengono "l'autenticazione del fattore personale" da un paese lontano potrebbe essere ragionevolmente efficace.

L'accesso a AFAIK è stato compromesso solo una volta "all'estero". Una sessione WiFi pubblica all'aeroporto di Hong Kong mi ha portato (AFAIK) ad essere bloccato fuori da GMail dalla Cina solo poche ore dopo (prima che la GMail cinese fosse vietata) ma il sistema di recupero dell'account mi ha riportato indietro.

________________________________________

Solo divertente: mi sono seduto in un caffè di Shenzhen accanto a una grande squadra di ragazzi cinesi intento a giocare allo stesso gioco. Non il mio territorio, ma mio figlio si è chiesto dagli schermi visibili nelle foto che ho scattato se questi fossero alcuni dei leggendari minatori con sede in Cina che guadagnano $ realizzando e vendendo prodotti di gioco per quel gioco specifico. Sconosciuto e inconoscibile, ma un pensiero divertente.

Vedi :-) -

In alto - parte del team di Shenzhen. In basso: "meme" relativo a Internet.

Dovresti capire quanto sia pericoloso un computer non sicuro.

Supponiamo che:

• Stanno registrando ogni pressione di un tasto.
• Stai provando le password che inserisci - protette da due fattori o meno - in altri siti web in quanto potresti ovviamente riciclare le password.
• Registra tutto ciò che appare sullo schermo, incluso tutto ciò che è aperto nella tua e-mail o su Facebook o così via.
• Conosci i tuoi contatti e probabilmente può rubare la tua identità.

Ora, i computer pubblici che scaricano password su siti Web comuni, ma si fermano a qualsiasi altra cosa che potrebbero fare, abbastanza comuni? Non ne ho idea. Ma è molto strano per me fidarmi di un computer per usarlo fintanto che puoi proteggere la tua password da esso.

Per proteggere la tua password su un computer pubblico (o qualsiasi altro dispositivo), utilizza un gestore di password come Password Maker che genera una password univoca per te, per sito Web.

Si utilizza una password principale (che non viene effettivamente utilizzata per alcun sito Web) e un sacco di altre informazioni per generare una password per un determinato sito Web a cui si desidera accedere. Quindi copia + incolla la password per accedere, quindi non digitare mai la password e quindi non può essere acquisita da un registratore di chiavi.

Combina questo con gli altri suggerimenti su questo D&R (usa una VPN, 2 Factor Auth, non usa un computer pubblico ma piuttosto usa il tuo dispositivo ecc.)

Stavo per rimanere fuori da questo, ma vedere tutte queste risposte che suggeriscono un'autenticazione a due fattori e un mucchio di ingenui trucchi anti-keylogger in qualche modo renderanno le cose giuste è semplicemente incredibile.

Affondalo: l'unico modo sicuro di utilizzare siti Web protetti su un computer compromesso non è usarli . Dal momento in cui hai fatto in modo che un server remoto (GMail, la tua banca, ecc.) Si fidasse del computer che stai usando, si fideranno di tutto ciò che quel computer gli sta inviando e avrai poco controllo su quello.

Alcuni siti bancari sono consapevoli di questo problema e richiedono di autenticare ogni singola azione che si sta tentando di eseguire , per assicurarsi che tutte le azioni provengano dall'utente reale. Molti altri no. GMail certamente no. Una volta effettuato l'accesso, darà felicemente il tuo archivio di posta agli hacker mentre stai leggendo quella nuova e-mail che hai ricevuto.

Se questo sembra sorprendente, apri GMail in due schede e immagina di usarne uno mentre gli hacker controllano l'altro, senza vederlo. Ciò dovrebbe darti una buona idea di ciò che sta accadendo su un computer compromesso.

Puoi, utilizzare VPN e 2FA insieme a un'unità USB Windows-To-Go x86 (32 bit). In questo modo non avrai bisogno di portare con te un enorme elenco di password o codici di sicurezza O potresti semplicemente usare un'unità di archiviazione persistente Linux (con VPN ovviamente)

WTG ufficiale VPN WTG
non ufficiale può anche essere utilizzato

Un trucco importante che nessuno ha discusso qui!

I keylogger registrano i tasti premuti in sequenza ... periodo!

Puoi renderli sciocchi digitando la tua prima lettera della password, quindi alcune ultime lettere, quindi posiziona il cursore nel punto esatto in cui ti eri interrotto e scrivi i caratteri rimanenti.

puoi randomizzarlo ulteriormente mantenendo la posizione del cursore. Ricorda di non usare i tasti freccia della tastiera per cambiare cursore, usa il mouse;)

Questo trucco ingannerà qualsiasi keylogger, anche quello specifico dell'applicazione.

Ovviamente questo è solo per i key logger, anche i computer pubblici possono avere molti altri problemi.