Jak bezpiecznie korzystać z chronionych hasłem stron internetowych na komputerach kawiarni internetowych

Jak mogę, jeśli to możliwe, bezpiecznie korzystać ze stron internetowych chronionych hasłem (np. GMail) na komputerach kawiarni internetowych?

Słyszałem, jak ludzie mówią, że korzystanie z witryn chronionych hasłem na komputerach kawiarni internetowych nie jest bezpieczne, ponieważ mogą mieć zainstalowane złośliwe oprogramowanie, które może wykraść wpisywane hasła.

Jedną z opcji byłoby użycie w Twojej witrynie uwierzytelniania dwuskładnikowego, ale nie wydaje mi się to praktyczne, ponieważ ponieważ jestem z mojego kraju, niekoniecznie muszą wysyłać mi SMS-y, a ja nie. chcę mieć przy sobie listę kodów bezpieczeństwa.

Jeśli bezpieczeństwo jest tylko hasłem, odpowiedź jest taka , że nie możesz : jeśli rejestrują twoje naciśnięcia klawiszy, hasło zostanie naruszone, kropka.

Jednak najlepszym dwuskładnikowym systemem uwierzytelniania w drodze nie jest SMS, ale uwierzytelnianie oparte na aplikacji, takie jak Google Authenticator. Do generowania kodów wystarczy telefon komórkowy, który nie musi nawet znajdować się w sieci / Wi-Fi.

Oczywiście najlepszą opcją jest zabranie własnego laptopa, więc wszystko, co musisz się martwić, to skompromitowane Wi-Fi.

Prawidłowym zachowaniem NIE jest zaufanie do komputera.

Kiedy się loguję za jednym razem, jeśli nie mogę włożyć pamięci USB z własną kopią przeglądarki Firefox do przeglądania, załaduję ją, ale upewnię się, że jest najpierw zaktualizowana do najnowszej wersji, ze względów bezpieczeństwa (lub jakiejkolwiek innej przeglądarki mogą używać).

Następnie sprawdzę uruchomione zadania na komputerze i sprawdzę, czy coś wygląda podejrzanie. Jest to trudniejsze dla osoby nietechnicznej, ponieważ możesz nie wiedzieć, które procesy są częścią systemu Windows itp., Ale to krok.

W przypadku hasła rzeczywistego, jeśli martwisz się logowaniem klawiatury, zawsze możesz po prostu wpisać literę, a następnie w otwartym notatniku wpisać kilka śmieci, a następnie następną literę i powtórzyć. Oczywiście, chyba że ich keylogger jest wystarczająco zaawansowany, aby był specyficzny dla aplikacji.

W tym momencie warto rozważyć uwierzytelnianie dwuskładnikowe. Otrzymuj SMS lub wiadomość w aplikacji z kodem, który wpisujesz (w tym celu można skonfigurować Gmaila i więcej), lub kod QR skanowany przez telefon na ekranie (robi to Whatsapp).

Jeśli naprawdę masz ochotę, możesz przykleić system operacyjny na pamięć USB, wstępnie skonfigurowaną w wybranej przeglądarce itp., A następnie uruchomić komputer do tego, ale to zależy od tego, czy możesz dostać się do BIOS-u, czy co innego ograniczenia administracyjne, które nałożyli na komputer (lub jeśli możesz nawet dotrzeć do portu USB).

Następnie wyczyść pamięć podręczną, usuń pliki cookie itp. W przeglądarce, a po wyjściu mam tendencję do ponownego uruchamiania komputera, ponieważ niektóre kafejki internetowe są ustawione na ponowne zainstalowanie wszystkiego od zera przy ponownym uruchomieniu, usuwając wszelkie ślady mojej obecności (raz pracowaliśmy w kafejce internetowej, gdzie to zrobiliśmy).

Jak mogę, jeśli to możliwe, bezpiecznie korzystać ze stron internetowych chronionych hasłem (np. GMail) na komputerach kawiarni internetowych?

Nie można, przynajmniej bez użycia uwierzytelniania dwuskładnikowego (lub innego rodzaju tokena niezależnego od komputera lokalnego). Powinieneś uważać wszystko wpisane lub wyświetlone na maszynie publicznej za informację publiczną.

O ile od czasu jego budowy nie sprawujesz pełnego nadzoru nad maszyną i oprogramowaniem na niej, nie możesz ufać maszynie, że nie przechwyci twojego hasła i wszystkich innych naciśnięć klawiszy. Bez drugiego współczynnika uwierzytelnienia wystarczy to, aby uzyskać dostęp do wszystkich danych w czasie rzeczywistym lub później.

To przechwycenie może się zdarzyć na poziomie oprogramowania (które w większości przypadków można pokonać, nosząc pamięć USB zawierającą własny system operacyjny) lub na poziomie sprzętowym.

Wszyscy mówią o uwierzytelnianiu dwuskładnikowym. W większości się mylą, ponieważ dwa czynniki to w większości przypadków hasło i coś innego, a to z pewnością ryzykuje złamanie hasła i może narazić na niebezpieczeństwo coś innego. Dwa czynniki mogą być przydatne, ale najlepszym rozwiązaniem są poświadczenia jednorazowego użytku. Jeśli masz zaufane urządzenie, takie jak telefon komórkowy, którego możesz użyć do zmiany hasła, możesz zmienić hasło, użyć niezaufanego komputera, a następnie zmienić hasło z powrotem. To stwarza ograniczone okno, w którym hasło jest podatne, ale może być za długie. Hasła jednorazowe są lepszym rozwiązaniem tego przypadku użycia. Istnieje kilka implementacji haseł jednorazowych, od książek po TOTP (Google Authenticator). Jedynym wyzwaniem jest to, że wszystkie z nich wymagają wsparcia po stronie serwera, co w najlepszym razie jest nierówne.

Alternatywą dla 2FA jest użycie urządzenia USB Armoury . To podłącza się do portu USB i działa niezależny system operacyjny. Możesz współdziałać z urządzeniem w dowolny sposób, na przykład używać go jako serwera WWW, klienta ssh lub serwera VNC / RDP, aby samo urządzenie wywoływało bezpieczną sesję z serwerem docelowym. Klucze / hasła mogą pozostać na urządzeniu i nie mogą zostać udostępnione komputerowi hostowi.

Użyj uwierzytelniania dwuskładnikowego. Dzieje się tak, gdy oprócz hasła wpisujesz ciąg znaków, które są wysyłane (SMS-em lub w inny sposób). Tak to skonfigurowałem bez, ponieważ w roamingu SMS nie zawsze działa.

1. Zainstaluj Google Authenticator na Androida lub sklep IOS
2. Postępuj zgodnie z instrukcjami tutaj, aby go skonfigurować.
3. Skonfiguruj swoje konto Google, aby korzystać z uwierzytelniania dwuetapowego za pomocą aplikacji Authenticator. Instrukcje są tutaj

Teraz za każdym razem, gdy musisz się zalogować, po wyświetleniu monitu po prostu otwórz program Authenticator i włóż klucz. Nie martw się, klucz zmienia się co 15 sekund, więc nawet jeśli ktoś spróbuje zalogować się przy użyciu zarejestrowanych kluczy, nie zadziała. Możesz później sprawdzić dostęp, klikając historię dostępu w prawym dolnym rogu strony Gmaila.

Możesz dowiedzieć się więcej o Authenticator na Wikipedii, po prostu wpisz Google Authenticator.

Zarówno Googe Mail, jak i Fastmail.fm obsługują U2F, więc możesz używać tych za pomocą tego klucza, jeśli miejsce, w którym się znajdujesz, pozwala na podłączenie losowych urządzeń USB. Nie jestem pewien, jakie inne strony internetowe to obsługują. Jeśli masz własną kontrolę, możesz zamiast tego uzyskać Yubikey Neo i zaimplementować Yubikey auth dla swojej witryny. Jest to niestety rzadkie.

Jeśli używasz dwóch naprzemiennych haseł, zapewnia to trochę ochrony, gdy masz tylko jedną sesję w każdej kafejce internetowej: W pierwszej kafejce internetowej logujesz się przy użyciu hasła 1, a pod koniec sesji zmieniasz hasło na hasło 2 . W drugiej kafejce internetowej logujesz się hasłem 2 , a pod koniec sesji zmieniasz hasło z powrotem na hasło 1 . Jeśli atakujący analizuje tylko pierwsze hasło, które wprowadziłeś (to, którego użyłeś do logowania), to nie może użyć tego hasła do logowania, ponieważ zostało ono przez Ciebie zmienione pod koniec sesji.

Takie podejście nie pomoże, jeśli atakujący przeanalizuje pełny protokół napisany przez keyloggera, ale być może nie jest on tak cierpliwy lub nie rozumie, że po prostu zmieniłeś hasło na koniec sesji.

Jak wspomnieli inni, istnieje bardzo niewiele zasad bezpieczeństwa, które można egzekwować na maszynie, której nie kontrolujesz.

Najlepszym rozwiązaniem byłoby zabranie własnego laptopa, tabletu, smartfona i po prostu pożyczenie połączenia internetowego.

Po uzyskaniu połączenia internetowego skorzystaj z usług dostawcy VPN, aby zabezpieczyć połączenie. Można to zrobić na wiele sposobów za pomocą przeglądarki z jednym wbudowanym lub klienta VPN na telefonie komórkowym. Możesz otrzymać bezpłatne dożywotnie subskrypcje u niektórych dostawców VPN za nominalną kwotę.

VPN zapewnia poziom prywatności przez (publiczne) połączenie internetowe.

Następnie możesz wykonać normalne kroki bezpieczeństwa, takie jak włączenie uwierzytelniania dwuskładnikowego na koncie.

Powiązane rozważania o możliwej wartości. Albo nie.
„cafe” = kawiarnia internetowa lub równoważna.

Comodo sprzedaje produkt, który umożliwia szyfrowane połączenie https z ich witryną, a następnie połączenie z dowolnym miejscem. Dotyczy to większości exploitów na PC i nie tylko - Zwróć jednak uwagę na komentarz jpatokal dotyczący keyloggerów. (Mój jedyny związek z Comodo to płatny, a czasem darmowy użytkownik).

Widziałem kafejki internetowe, w których NIE było dostępu do właściwego urządzenia - kable przechodzisz przez fizyczną ścianę. (Może to być Dublin lub Praga (lub oba)).

Jest to na tyle powszechne, że nie pozwala użytkownikom kawiarni na dostęp do USB lub DVD / CD

Użyłem oprogramowania do zdalnego dostępu „Team Viewer” z Chin do domowego systemu komputerowego w Nowej Zelandii. Jest to prawdopodobnie gorsze, ponieważ może zapewnić im dostęp do mojego systemu NZ - ale daje możliwość implementacji systemu wyzwania i odpowiedzi, w którym „2. czynnik” może być systemem mentalnie prostym, ale „nie dość oczywistym”. Połącz to z systemem Comodos i bardzo utrudni Ci zrozumienie danych keyloggera. ... Możesz np. Przesunąć wskaźnik myszy na zdalny ekran, a jeśli jesteś wystarczająco bystry, zrób coś takiego w ciemno z wyłączonym zdalnym ekranem, ale mysz nadal żyje.

W moim przypadku mógłbym również komunikować się z żoną za pośrednictwem linku - dodanie osoby trzeciej, która uzyska „osobiste uwierzytelnienie czynnikowe” z odległego kraju, może być dość skuteczne.

Mój dostęp został naruszony tylko raz, gdy AFAIK był „za granicą”. Publiczna sesja WiFi na lotnisku w Hongkongu spowodowała, że ​​(AFAIK) zostałem zablokowany z GMail z Chin zaledwie kilka godzin później (przed chińskim zakazem GMail), ale system odzyskiwania konta wrócił do mnie.

________________________________________

Tylko zabawa: siedziałem w kawiarni w Shenzhen obok dużej grupy Chińczyków, którzy intensywnie grają w tę samą grę. Nie moje terytorium, ale mój syn zastanawiał się na ekranach widocznych na zdjęciach, które zrobiłem, czy byli to niektórzy z legendarnych górników z Chin, którzy zarabiają prawdziwe pieniądze, zdobywając i sprzedając produkty do tej konkretnej gry. Nieznany i niepoznawalny - ale fajna myśl.

Widzieć :-) -

Top - część zespołu Shenzhen. Dół - „mem” związany z Internetem.

Powinieneś zrozumieć, jak niebezpieczny jest naprawdę niebezpieczny komputer.

Załóżmy, że:

• Rejestrujesz każde naciśnięcie klawisza.
• Próbujesz hasła, które wpisujesz - chronione dwuskładnikowo lub nie - w innych witrynach, ponieważ możesz oczywiście przetwarzać hasła.
• Nagrywaj wszystko, co pojawia się na ekranie, w tym wszystko, co jest otwierane w wiadomości e-mail, na Facebooku itp.
• Poznaj swoje kontakty i prawdopodobnie może ukraść Twoją tożsamość.

Czy komputery publiczne, które zgarniają hasła do popularnych witryn, ale powstrzymują się od wszystkiego, co mogłyby zrobić, są wystarczająco powszechne? Nie mam pojęcia. Ale to jest dla mnie bardzo dziwne, aby zaufać komputerowi, który będzie go używał, o ile będziesz w stanie chronić przed nim swoje hasło.

Aby chronić swoje hasło na komputerze publicznym (lub dowolnym innym urządzeniu), użyj menedżera haseł, takiego jak Password Maker, który generuje dla Ciebie unikalne hasło dla każdej witryny.

Używasz hasła głównego (które tak naprawdę nie jest używane w żadnej witrynie) i całej gamy innych informacji, aby wygenerować hasło do konkretnej witryny, do której chcesz uzyskać dostęp. Następnie skopiuj + wklej hasło, aby się zalogować, nigdy nie wpisując hasła, więc nie może zostać przechwycone przez rejestrator kluczy.

Połącz to z innymi sugestiami dotyczącymi pytań i odpowiedzi (skorzystaj z VPN, uwierzytelniania dwuskładnikowego, nie korzystaj z publicznego komputera, a raczej z własnego urządzenia itp.)

Chciałem trzymać się z daleka od tego, ale zobaczenie wszystkich tych odpowiedzi sugerujących uwierzytelnianie dwuskładnikowe i kilka naiwnych sztuczek przeciw keyloggerowi w jakiś sposób naprawi sytuację, jest po prostu niesamowite.

Sink it in: jedynym bezpiecznym sposobem korzystania z zabezpieczonych stron internetowych na zaatakowanym komputerze jest ich nie używanie . Od momentu, w którym zdalny serwer (Gmail, bank itp.) Zaufa komputerowi, którego używasz, zaufa wszystkim tym, co ten komputer do nich wysyła, i masz niewielką kontrolę nad tym.

Niektóre witryny bankowe są świadome tego problemu i wymagają uwierzytelnienia każdego działania, które próbujesz wykonać , aby mieć pewność, że wszystkie działania pochodzą od rzeczywistego użytkownika. Wiele innych nie. GMail na pewno nie. Gdy się zalogujesz, z przyjemnością przekaże archiwum poczty hakerom podczas czytania nowej wiadomości e-mail, którą otrzymałeś.

Jeśli brzmi to zaskakująco, otwórz Gmaila na dwóch kartach i wyobraź sobie, że używasz jednej, podczas gdy hakerzy kontrolują drugą, ale jej nie widzisz. To powinno dać ci dobry obraz tego, co dzieje się na zainfekowanym komputerze.

Możesz używać VPN i 2FA razem z dyskiem USB Windows-To-Go x86 (32-bit). W ten sposób nie będziesz musiał nosić ogromnej listy haseł lub kodów bezpieczeństwa LUB możesz po prostu użyć trwałego dysku do przechowywania w systemie Linux (oczywiście z VPN)

Można również użyć
oficjalnej sieci VPN WTG
Nieoficjalna WTG

Jedna ważna sztuczka, o której nikt tutaj nie rozmawiał!

Rejestratory kluczy rejestrują naciśnięcia klawiszy w sekwencji . Kropka!

Możesz ich oszukać , wpisując pierwszą literę hasła, a następnie kilka ostatnich liter, a następnie umieść kursor dokładnie w środkowym miejscu, w którym przerwałeś, i napisz pozostałe znaki.

możesz go jeszcze bardziej randomizować, zmieniając pozycję kursora. Pamiętaj, że nie używaj klawiszy strzałek do zmiany kursora, użyj myszy;)

Ta sztuczka oszuka każdy keylogger, nawet ten, który jest specyficzny dla aplikacji.

Oczywiście jest to tylko dla kluczowych rejestratorów, komputery publiczne mogą mieć wiele innych problemów.