Come utilizzare in modo sicuro siti Web protetti da password su computer con internet café


36

Come posso, se possibile, utilizzare in modo sicuro siti Web protetti da password (ad es. GMail) su computer con internet café?

Ho sentito la gente dire che non è davvero sicuro usare siti Web protetti da password sui computer di internet cafe, perché potrebbero avere malware installato che può rubare le password che vengono digitate.

Un'opzione potrebbe essere quella di fare in modo che il tuo sito Web utilizzi l'autenticazione a due fattori, ma ciò non mi sembra pratico, poiché dal momento che sono fuori dal mio paese di origine non possono necessariamente inviarmi un SMS e non voglio portare con me un elenco di codici di sicurezza.


9
Sto votando per chiudere questa domanda come fuori tema perché si tratta di un duplicato di webapps.stackexchange.com/questions/30721/… e security.stackexchange.com/questions/30149/…
chx

22
@chx Non può essere chiuso come duplicato poiché è un duplicato su più siti . Questi duplicati possono essere chiusi come duplicati solo se la domanda viene spostata in uno di questi siti. La domanda dovrebbe essere chiusa come offf-topic.
Dopo il

4
So che non può essere chiuso come duplicato, l'ho contrassegnato come fuori tema scusate se la formulazione non è perfetta. Forse avrei dovuto dire "ha già risposto a X e Y".
chx,

6
Non direi che è fuori tema qui dato che questo è un vero problema che i viaggiatori affrontano, ma la sicurezza.SE è piena di persone molto competenti in questo regno. Ho rimosso il tag di viaggio internazionale poiché lo stesso può accadere nel tuo internet café locale nella tua città.
hippietrail,

17
Questo è assolutamente in argomento per Travel.SE e dovrebbe rimanere aperto. I post in altri SE vanno bene come riferimenti nelle risposte però.
jpatokal,

Risposte:


58

Se la sicurezza è solo password, la risposta è che non puoi : se stanno registrando i tasti premuti, la tua password sarà compromessa, punto.

Tuttavia, il miglior sistema di autenticazione a due fattori in viaggio non è SMS, ma un'autenticazione basata su app come Google Authenticator. Tutto ciò di cui hai bisogno è il tuo cellulare per generare i codici e non deve nemmeno essere sulla rete / wifi.

Naturalmente, l'opzione migliore è quella di portare il tuo laptop, quindi tutto ciò di cui devi preoccuparti è il wifi compromesso.


3
Se puoi usare Google Authenticator, perché non dovresti usare Gmail sul tuo telefono?
Berwyn,

19
@Berwyn Potrebbe non essere possibile mettere il telefono online. Oppure l'interfaccia utente limitata sul telefono potrebbe non essere sufficiente per quello che devi fare online.
Kasperd,

3
@kasperd Ho dimenticato che google auth era basato sul tempo. Stavo pensando a Duo Mobile che avevo usato di recente. Un buon punto
Berwyn,

4
@ l0b0 Se hai spie che seguono ogni tua mossa in tempo reale, probabilmente hai problemi più grandi. Inoltre, sono abbastanza sicuro che la maggior parte dei siti principali contrassegnerebbe più accessi simultanei con lo stesso codice 2FA sospetto.
jpatokal,

2
@MichaelHampton quando si utilizza TOTP, di solito è tollerato un offset di pochi minuti . Dovresti essere in grado di impostare manualmente l'orologio del tuo telefono in pochi minuti con precisione. L'unica cosa da tenere a mente è impostare correttamente il fuso orario (altrimenti l'ora sembra proprio al telefono ma in realtà è di qualche ora libera!)
Josef

10

Il comportamento corretto NON è fidarsi del computer.

Quando accedo a uno, se non riesco a inserire una chiavetta USB con la mia copia di Firefox su di essa per la navigazione, caricherò la loro, ma assicurerò che sia aggiornato prima all'ultima versione, per sicurezza (o qualunque altro browser possano usare).

Controllerò quindi le attività in esecuzione sulla macchina e vedrò se qualcosa sembra sospetto. Questo è più difficile da fare per qualcuno non tecnico poiché potresti non sapere quali processi fanno parte di Windows ecc., Ma è un passo.

Per la tua vera password, se sei preoccupato per il keylogging, puoi sempre semplicemente digitare una lettera, quindi in un blocco note aperto digitare un mucchio di immondizia, quindi la lettera successiva e ripetere. A meno che il loro keylogger non sia abbastanza sofisticato da essere specifico per l'applicazione, ovviamente.

A quel punto, ti consigliamo di prendere in considerazione l'autenticazione a due fattori. Ricevi un SMS o un messaggio in-app con un codice digitato (Gmail e altri possono essere configurati per questo) o un codice QR che il tuo telefono scansiona sullo schermo (Whatsapp Web lo fa).

Se stai diventando davvero fantasioso potresti attaccare un sistema operativo su una chiavetta USB, pre-costruito con il browser di tua scelta ecc. E quindi avviare la macchina su quello, ma dipende dal fatto che sei in grado di accedere al BIOS o quale altro restrizioni amministrative che hanno posto sul computer (o se riesci persino a raggiungere la porta USB).

Successivamente, svuoto la cache, i cookie ecc. Del browser e tendo a riavviare il computer quando esco, poiché alcuni internet café sono impostati per reinstallare tutto da zero al riavvio, cancellando ogni traccia di me che sono stato lì (una volta ha lavorato in un internet café dove lo abbiamo fatto).


8
quindi in un blocco note aperto digitare un mucchio di immondizia che è inutile al giorno d'oggi. Molti keylogger hanno funzionalità di screenshot.

13
@MarkMayo Un'applicazione in esecuzione nello stesso contesto utente su un computer Windows può acquisire il contenuto di un campo password, che sia visualizzato sullo schermo o meno. Sono sicuro che ci sono app in stile key logger che lo fanno automaticamente, poiché la combinazione di tasti per trovare una password è già noiosa. Il fatto è che puoi rendere le cose un po 'più difficili per l'attaccante, ma se controlla la macchina i tuoi sforzi sono in gran parte inutili.
Calchas,

1
@Calchas concorda, più o meno come se una videocamera fosse puntata sottilmente sull'utente. Niente è mai totalmente sicuro, ma 2FA aiuta molto in questi giorni.
Mark Mayo supporta Monica

13
L'unica cosa che ottieni inserendo la tua chiavetta USB con firefox portatile è infettarla con virus. L'esecuzione del software dal proprio disco su un computer compromesso non lo rende meno compromesso.
R ..

6
A che serve usare la tua copia di Firefox su una macchina compromessa?
Berwyn,

6

Come posso, se possibile, utilizzare in modo sicuro siti Web protetti da password (ad es. GMail) su computer con internet café?

Non è possibile, almeno senza utilizzare l'autenticazione a due fattori (o qualche altro tipo di token indipendente dal computer locale). Dovresti considerare qualsiasi informazione digitata o visualizzata su una macchina pubblica come informazione pubblica.

A meno che non abbia esercitato una supervisione totale sulla macchina e sul software da quando è stata costruita, non ci si può fidare della macchina per non intercettare la password e tutte le altre combinazioni di tasti. Senza un secondo fattore di autenticazione, questo sarà sufficiente per accedere a tutti i tuoi dati, in tempo reale o in seguito.

Questa intercettazione potrebbe avvenire a livello di software (che nella maggior parte dei casi è possibile sconfiggere portando una chiavetta USB contenente il proprio sistema operativo) o a livello di hardware.


Se gli operatori hanno qualche competenza, l'avvio da USB sarà disabilitato. E se hanno una competenza media, l'esecuzione di app da USB o l'installazione di macchine virtuali sarà disabilitata. E anche se usi due fattori, nessuna garanzia non sta salvando schermate o usando un browser modificato per catturare il testo dalle pagine che recuperi e l'altro testo (senza password) che digiti.
WGroleau,

@Groleau, ma perché dovresti presumere che gli operatori siano competenti? :)
Calchas,

Se sei preoccupato per le spie, perché pensi che non lo siano? Sono stato in luoghi in cui sono state installate queste semplici protezioni quando altre cose hanno indicato l'incompetenza IT.
WGroleau,

3
D'altra parte, il tentativo di avviare USB avrà esito positivo o negativo, senza alcun danno. A meno che non siano DAVVERO talentuosi e sappiano come rilevare il tentativo e cancellare il tuo bastone. Ho letto un articolo non molto tempo fa su un exploit che riguardava una ROM di avvio modificata che avrebbe infettato i dispositivi USB non appena fossero stati collegati.
WGroleau,

6

Tutti dicono un'autenticazione a due fattori. Sono per lo più sbagliati, in quanto due fattori sono nella maggior parte dei casi una password e qualcos'altro, e questo rischierà sicuramente di compromettere la password e potrebbe compromettere qualcos'altro. Due fattori possono essere utili, ma la soluzione migliore sono le credenziali monouso. Se si dispone di un dispositivo affidabile come un cellulare che è possibile utilizzare per modificare la password, è possibile modificare la password, utilizzare il computer non attendibile e quindi modificare nuovamente la password. Questo presenta una finestra limitata in cui la password è vulnerabile, ma potrebbe essere troppo lunga. Le password una volta sono una soluzione migliore a questo caso d'uso. Esistono diverse implementazioni di password singole che variano dai libri al TOTP (autenticatore di Google). L'unica sfida è che tutti questi richiedono un supporto lato server che è al meglio chiazzato.


1
Quindi stai dicendo che 1FA è meglio di 2FA allora? ;)
Berwyn,

Sì, in un certo senso 1F è meglio di 2F, perché la questione schiacciante è il fattore umano. Se stai per diventare MITM in viaggio verso la tua banca lussemburghese per utenti ingenui (ad esempio, 99.9999999999999999999999999999999999999999999999999999999999% degli esseri umani viventi) la 2F è un'illusione. Per dirla più semplicemente, 2F sta convincendo le persone che va bene usare dispositivi fisici davvero insicuri. Tutti i discorsi sull'acquisizione della password qui da parte di non esperti sono un buon esempio: ci sono un sacco di cattiverie che possono succedere a te se ti connetti alla tua banca (o anche solo e-mail) e non ottengono le tue password; è tutto un po 'sciocco.
Fattie,

@Berwyn, il vantaggio di 2fa è che avere più credenziali compromettendone una non è un compromesso totale, tuttavia per questo caso d'uso specifico ogni metodo di autenticazione è vulnerabile al compromesso. Pertanto, in questo caso, si desidera utilizzare solo le credenziali usa e getta in modo che il compromesso delle credenziali non abbia importanza. Questo è il motivo per cui raccomando OTP solo per questo caso d'uso. Una seconda credenziale di un tipo diverso sarebbe utile se ne trovassimo un'altra non vulnerabile a un compromesso immediato. l'unico altro candidato di cui sono a conoscenza è una risposta alla sfida (cont)
hildred

(cont) ma la risposta alla sfida è abbastanza complicata da implementare in modo sicuro in questo caso d'uso in quanto il computer pubblico non può essere utilizzato per eseguire nessuno dei calcoli coinvolti.
hildred,

5

Un'alternativa a 2FA è utilizzare un dispositivo USB Armory . Questo si collega alla porta USB ed esegue un sistema operativo indipendente. È possibile interagire con il dispositivo in qualsiasi modo si desideri, ad esempio utilizzandolo come un server Web, un client SSH o un server VNC / RDP in modo che il dispositivo stesso invii la sessione protetta con il server di destinazione. Le chiavi / password potrebbero rimanere sul dispositivo e non essere accessibili al computer host.


6
Ogni soluzione basata su software non è abbastanza buona: cosa succede se la tastiera è difettosa? Ricordi quando Andy Davis ha stipato un RasPi all'interno di un dock Dell e ha toccato Ethernet VGA e tastiera e ha inviato il flusso di dati su un modem HSDPA? È stato divertente ...
chx,

2
@chx Non importa se la tastiera è difettosa, perché non inserisci la password su di essa
Berwyn

1
Dato il numero di voti del commento di @ chx, non sono sicuro che le persone capiscano cos'è questo dispositivo. Puoi pensarlo come un HSM che esegue l'autenticazione per tuo conto. Non la useresti per digitare una password in quanto sarebbe inutile
Berwyn,

Quindi è un dispositivo U2F?
chx,

1
@chx Ad esempio, vnc nell'armeria USB e utilizzare un browser per accedere a un servizio di webmail. Il browser sull'armeria USB può essere configurato per riempire automaticamente il campo della password. La password non lascerebbe mai il dispositivo se non tramite SSL al servizio webmail. La tua password non verrebbe esposta.
Berwyn,

3

Usa l'autenticazione a due fattori. Questo è quando, oltre a una password, inserisci una sequenza di caratteri che ti vengono inviati (tramite SMS o altro). Questo è il modo in cui l'ho impostato senza perché su SMS in roaming non sempre funziona.

  1. Installa Google Authenticator per lo store Android o IOS
  2. Segui le istruzioni qui per configurarlo.
  3. Configura il tuo account Google per utilizzare l'autenticazione in due passaggi utilizzando l'app Authenticator. Le istruzioni sono qui

Ora, ogni volta che è necessario accedere, quando richiesto, è sufficiente aprire l'Autenticatore e inserire la chiave. Non preoccuparti, la chiave cambia ogni 15 secondi, quindi anche se qualcuno ha tentato di accedere con le chiavi registrate, non funzionerà. E in seguito puoi controllare l'accesso facendo clic sulla cronologia degli accessi nella parte in basso a destra della tua pagina Gmail.

Puoi scoprire di più su Authenticator su Wikipedia, basta digitare Google Authenticator.


3

Googe Mail e Fastmail.fm supportano entrambi U2F in modo da poterli utilizzare tramite quella chiave se il posto in cui ti trovi consente il collegamento di dispositivi USB casuali. Non sono sicuro di quali altri siti Web lo supportino. Se hai il tuo controllo, potresti invece ottenere uno Yubikey Neo e implementare l'autenticazione Yubikey per il tuo sito. È purtroppo raro.


+1. Ho un yubikey e contiene la mia chiave privata ssh. Posso accedere al mio VPS per leggere la mia e-mail utilizzandola.
Berwyn,

1
Questo è un dispositivo perfettamente valido per collegare il tuo computer. Collegarlo a una macchina compromessa, d'altra parte, non è così diverso dal digitare la password.
Dmitry Grigoryev,

2

Se si utilizzano due password alternate, ciò fornisce un po 'di protezione quando si ha una sola sessione in ciascun internet café: Nel primo internet café si accede con la password 1 e alla fine della sessione si cambia la password in password 2 . Nel secondo internet café si effettua il login con la password 2 e alla fine della sessione si cambia la password in password 1 . Se l'attaccante analizza solo la prima password che hai inserito (quella che hai usato per il login), allora non può usare questa password per un login perché è stata cambiata da te alla fine della sessione.

Questo approccio non aiuta se l'attaccante analizza il protocollo completo scritto dal keylogger, ma forse non è così paziente o non ha l'idea che tu abbia semplicemente cambiato la password alla fine della sessione.


Ciò presuppone che l'hacker possa intercettare la password inserita all'inizio della sessione, ma non quella alla fine. Come sarebbe potuto succedere?
Dmitry Grigoryev,

Come ho scritto nell'ultima frase della mia risposta: questo approccio aiuta solo se l'attaccante è così "sciatto" che non scansiona la password dei dati registrati dal keylogger. Se accedi, scrivi alcune e-mail, quindi cambia la password e scrivi altre e-mail, sarà piuttosto difficile rilevare la seconda password nei dati registrati dal key logger.
user1364368

Poiché la modifica della password richiede in genere di ripetere quella precedente, sarebbe abbastanza facile da rilevare. I keylogger moderni tendono anche a fare screenshot ogni pochi secondi.
Dmitry Grigoryev,

1

Come altri hanno già detto, ci sono pochissime regole di sicurezza che puoi applicare su una macchina che non controlli.

La soluzione migliore sarebbe quella di trasportare il tuo laptop, tablet, smartphone e semplicemente prendere in prestito la connessione Internet.

Dopo aver bloccato la connessione Internet, utilizzare un provider VPN per proteggere la connessione. Esistono molti modi per farlo utilizzando un browser con un client integrato o un client VPN sul tuo dispositivo mobile. È possibile ottenere abbonamenti gratuiti a vita presso alcuni provider VPN per un importo nominale.

La VPN fornisce un livello di privacy tramite la connessione (pubblica) a Internet.

Successivamente, puoi seguire i normali passaggi di sicurezza come abilitare l'autenticazione a due fattori sul tuo account.


una VPN non ti proteggerà dai keylogger
EdmundYeung99

2
Naturalmente, supponiamo che non ci siano keylogger sul proprio laptop / computer / tablet.
Burhan Khalid,

1

Riflessioni correlate di possibile valore. O no.
'cafe' = internet cafe o equivalente.

Comodo vende un prodotto che consente la connessione crittografata https al proprio sito e quindi la connessione ovunque. Risolve la maggior parte degli exploit su PC e oltre - Nota comunque il commento di jpatokal sui keylogger. (La mia unica relazione con Comodo è come un utente che paga qualche volta e talvolta utilizza un prodotto gratuito.)

Ho visto internet cafe dove NON era disponibile l'accesso alla macchina propria - hai cavi attraverso un muro fisico. (Potrebbe essere stata Dublino o Praga (o entrambi)).

È abbastanza comune da non consentire agli utenti dei caffè di accedere a USB o DVD / CD

Ho usato il software di accesso remoto "Team Viewer" dalla Cina a un sistema di home computer in Nuova Zelanda. Probabilmente è peggio perché ha il potenziale per dare loro accesso al mio sistema NZ - ma dà la possibilità di implementare un sistema di sfida e risposta in cui il "2 ° fattore" potrebbe essere un sistema mentalmente semplice ma "abbastanza discreto". Abbinalo al sistema Comodos e saresti molto difficile dare un senso ai dati di Keylogger. ... Ad esempio puoi spostare il puntatore del mouse su uno schermo remoto e se sei abbastanza appassionato fai qualcosa del genere con uno schermo remoto disabilitato mentre lo fai ma il mouse continua a vivere.

Nel mio caso, potrei anche comunicare con mia moglie tramite il collegamento - l'aggiunta di alcune terze parti che ottengono "l'autenticazione del fattore personale" da un paese lontano potrebbe essere ragionevolmente efficace.

L'accesso a AFAIK è stato compromesso solo una volta "all'estero". Una sessione WiFi pubblica all'aeroporto di Hong Kong mi ha portato (AFAIK) ad essere bloccato fuori da GMail dalla Cina solo poche ore dopo (prima che la GMail cinese fosse vietata) ma il sistema di recupero dell'account mi ha riportato indietro.

________________________________________

Solo divertente: mi sono seduto in un caffè di Shenzhen accanto a una grande squadra di ragazzi cinesi intento a giocare allo stesso gioco. Non il mio territorio, ma mio figlio si è chiesto dagli schermi visibili nelle foto che ho scattato se questi fossero alcuni dei leggendari minatori con sede in Cina che guadagnano $ realizzando e vendendo prodotti di gioco per quel gioco specifico. Sconosciuto e inconoscibile, ma un pensiero divertente.

Vedi :-) -

In alto - parte del team di Shenzhen. In basso: "meme" relativo a Internet.


1

Dovresti capire quanto sia pericoloso un computer non sicuro.

Supponiamo che:

  • Stanno registrando ogni pressione di un tasto.
  • Stai provando le password che inserisci - protette da due fattori o meno - in altri siti web in quanto potresti ovviamente riciclare le password.
  • Registra tutto ciò che appare sullo schermo, incluso tutto ciò che è aperto nella tua e-mail o su Facebook o così via.
  • Conosci i tuoi contatti e probabilmente può rubare la tua identità.

Ora, i computer pubblici che scaricano password su siti Web comuni, ma si fermano a qualsiasi altra cosa che potrebbero fare, abbastanza comuni? Non ne ho idea. Ma è molto strano per me fidarmi di un computer per usarlo fintanto che puoi proteggere la tua password da esso.


1

Per proteggere la tua password su un computer pubblico (o qualsiasi altro dispositivo), utilizza un gestore di password come Password Maker che genera una password univoca per te, per sito Web.

Si utilizza una password principale (che non viene effettivamente utilizzata per alcun sito Web) e un sacco di altre informazioni per generare una password per un determinato sito Web a cui si desidera accedere. Quindi copia + incolla la password per accedere, quindi non digitare mai la password e quindi non può essere acquisita da un registratore di chiavi.

Combina questo con gli altri suggerimenti su questo D&R (usa una VPN, 2 Factor Auth, non usa un computer pubblico ma piuttosto usa il tuo dispositivo ecc.)


1

Stavo per rimanere fuori da questo, ma vedere tutte queste risposte che suggeriscono un'autenticazione a due fattori e un mucchio di ingenui trucchi anti-keylogger in qualche modo renderanno le cose giuste è semplicemente incredibile.

Affondalo: l'unico modo sicuro di utilizzare siti Web protetti su un computer compromesso non è usarli . Dal momento in cui hai fatto in modo che un server remoto (GMail, la tua banca, ecc.) Si fidasse del computer che stai usando, si fideranno di tutto ciò che quel computer gli sta inviando e avrai poco controllo su quello.

Alcuni siti bancari sono consapevoli di questo problema e richiedono di autenticare ogni singola azione che si sta tentando di eseguire , per assicurarsi che tutte le azioni provengano dall'utente reale. Molti altri no. GMail certamente no. Una volta effettuato l'accesso, darà felicemente il tuo archivio di posta agli hacker mentre stai leggendo quella nuova e-mail che hai ricevuto.

Se questo sembra sorprendente, apri GMail in due schede e immagina di usarne uno mentre gli hacker controllano l'altro, senza vederlo. Ciò dovrebbe darti una buona idea di ciò che sta accadendo su un computer compromesso.


Quale delle molte opzioni menzionate qui di accedere a un altro computer? Ho pensato che sia molto più difficile fare cose dannose nel modo in cui descrivi con VNC poiché esiste un solo thread.
chx,

Hrm? VNC non richiede USB?
chx,

VNC non impedirà ancora il keylogging e il suo utilizzo presuppone che sia possibile aggiungere hardware USB al computer (è necessario farlo funzionare da qualche parte), a quel punto prenderei in considerazione la possibilità di scollegare il suo cavo Ethernet e collegarlo al mio PC.
Dmitry Grigoryev,

Supponete che il software VNC sia preinstallato sul computer pubblico? A quel punto potrebbe essere modificato per fornire tutti i thread che i suoi autori ritengono opportuni.
Dmitry Grigoryev,

1

Puoi, utilizzare VPN e 2FA insieme a un'unità USB Windows-To-Go x86 (32 bit). In questo modo non avrai bisogno di portare con te un enorme elenco di password o codici di sicurezza O potresti semplicemente usare un'unità di archiviazione persistente Linux (con VPN ovviamente)


WTG ufficiale VPN WTG
non ufficiale può anche essere utilizzato


-1

Un trucco importante che nessuno ha discusso qui!

I keylogger registrano i tasti premuti in sequenza ... periodo!

Puoi renderli sciocchi digitando la tua prima lettera della password, quindi alcune ultime lettere, quindi posiziona il cursore nel punto esatto in cui ti eri interrotto e scrivi i caratteri rimanenti.

puoi randomizzarlo ulteriormente mantenendo la posizione del cursore. Ricorda di non usare i tasti freccia della tastiera per cambiare cursore, usa il mouse;)

Questo trucco ingannerà qualsiasi keylogger, anche quello specifico dell'applicazione.

Ovviamente questo è solo per i key logger, anche i computer pubblici possono avere molti altri problemi.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.