Как безопасно использовать защищенные паролем веб-сайты на компьютерах интернет-кафе

Если безопасность заключается только в пароле, ответ таков, что вы не можете : если они регистрируют ваши нажатия клавиш, ваш пароль будет скомпрометирован, и точка.

Однако лучшая система двухфакторной аутентификации в дороге — это не SMS, а аутентификация на основе приложений, такая как Google Authenticator. Все, что вам нужно, это ваш мобильный телефон для генерации кодов, и он даже не должен быть в сети / Wi-Fi.

Конечно, лучший вариант — взять с собой собственный ноутбук, так что все, о чем вам нужно беспокоиться, — это скомпрометированный Wi-Fi.

Правильное поведение - НЕ доверять компьютеру.

Когда я вхожу в систему в одном из них, если я не могу вставить USB-накопитель с моей собственной копией Firefox для просмотра, я загружу их, но сначала удостоверюсь, что он обновлен до последней версии в целях безопасности (или любой другой браузер, который они могут использовать).

Затем я проверю запущенные задачи на машине и посмотрю, не выглядит ли что-нибудь подозрительным. Это труднее сделать для тех, кто не является техническим специалистом, поскольку вы можете не знать, какие процессы являются частью Windows и т. д., но это шаг.

Для вашего фактического пароля, если вы беспокоитесь о кейлоггинге, вы всегда можете просто набрать букву, затем в открытом блокноте набрать кучу мусора, затем следующую букву и повторить. Если, конечно, их кейлоггер не достаточно сложен, чтобы быть специфичным для приложения.

В этот момент вы захотите рассмотреть двухфакторную аутентификацию. Получите либо SMS, либо сообщение в приложении с кодом, который вы вводите (для этого можно настроить Gmail и другие сервисы), или QR-код, который ваш телефон сканирует на экране (это делает Whatsapp Web).

Если вам действительно интересно, вы можете записать операционную систему на USB-накопитель, предварительно созданную с помощью браузера по вашему выбору и т. Д., А затем загрузить машину с этим, но это зависит от того, сможете ли вы войти в BIOS или что-то еще. ограничения администратора, которые они наложили на компьютер (или если вы даже можете добраться до USB-порта).

После этого очистите кеш, файлы cookie и т. д. в браузере, и я, как правило, перезагружаю компьютер, когда ухожу, так как некоторые интернет-кафе настроены на переустановку всего с нуля при перезагрузке, стирая все следы моего пребывания там (я однажды работал в интернет-кафе, где мы этим занимались).

Как я могу безопасно использовать защищенные паролем веб-сайты (например, GMail) на компьютерах интернет-кафе?

Вы не можете, по крайней мере, без использования двухфакторной аутентификации (или какого-либо другого токена, независимого от локальной машины). Вы должны рассматривать все, что печатается или просматривается на общедоступной машине, как общедоступная информация.

Если вы не осуществляли полный контроль над машиной и программным обеспечением на ней с момента ее создания, вы не можете быть уверены, что машина не перехватит ваш пароль и все другие нажатия клавиш. Без второго фактора аутентификации этого будет достаточно для доступа ко всем вашим данным в режиме реального времени или позже.

Этот перехват может происходить на программном уровне (который в большинстве случаев можно обойти, имея при себе USB-накопитель с вашей собственной операционной системой) или на аппаратном уровне.

Все говорят о двухфакторной аутентификации. В большинстве случаев они ошибаются, поскольку в большинстве случаев два фактора — это пароль и что-то еще, и это определенно рискует скомпрометировать пароль и может скомпрометировать что-то еще. Два фактора могут быть полезны, но лучшее решение — одноразовые учетные данные. Если у вас есть надежное устройство, такое как мобильный телефон, которое вы можете использовать для смены пароля, вы можете изменить пароль, использовать ненадежный компьютер, а затем снова изменить свой пароль. Это представляет собой ограниченное окно, в котором пароль уязвим, но он может быть слишком длинным. Одноразовые пароли являются лучшим решением для этого варианта использования. Существует несколько реализаций одноразовых паролей, варьирующихся от книг до TOTP (аутентификатор Google). Единственная проблема заключается в том, что все они требуют поддержки на стороне сервера, которая в лучшем случае несовершенна.

Альтернативой 2FA является использование устройства USB Armory . Он подключается к вашему USB-порту и запускает независимую ОС. Вы можете взаимодействовать с устройством любым удобным для вас способом, например, используя его в качестве веб-сервера, клиента ssh или сервера VNC/RDP, чтобы устройство само вызывало безопасный сеанс с целевым сервером. Ключи/пароли могут оставаться на устройстве и быть недоступными для главного компьютера.

Используйте двухфакторную аутентификацию. Это когда в дополнение к паролю вы вводите последовательность символов, которую вам присылают (будь то по смс или иным образом). Я так настроил без так как в роуминге СМС не всегда работает.

1. Установите Google Authenticator для магазина Android или IOS.
2. Следуйте инструкциям здесь, чтобы настроить его.
3. Настройте свою учетную запись Google для использования двухэтапной аутентификации с помощью приложения Authenticator. Инструкции здесь

Теперь каждый раз, когда вам нужно войти в систему, при появлении запроса просто откройте Аутентификатор и вставьте ключ. Не волнуйтесь, ключ меняется каждые 15 секунд, так что даже если кто-то попытается войти в систему с записанными им ключами, это не сработает. Позже вы сможете проверить доступ, щелкнув историю доступа в правом нижнем углу страницы Gmail.

Вы можете узнать больше об Authenticator в Википедии, просто введите Google Authenticator.

Googe Mail и Fastmail.fm поддерживают U2F , поэтому вы можете использовать их с помощью этого ключа, если место, где вы находитесь, позволяет подключать случайные USB-устройства. Я не уверен, какие другие веб-сайты поддерживают это. Если у вас есть собственный контроль, вы можете вместо этого получить Yubikey Neo и внедрить аутентификацию Yubikey для своего сайта. Увы редко.

Если вы используете два чередующихся пароля, это обеспечивает некоторую защиту, когда у вас есть только один сеанс в каждом интернет-кафе: в первом интернет-кафе вы входите с паролем 1 , а в конце сеанса вы меняете пароль на пароль 2 . Во втором интернет-кафе вы выполняете вход с паролем 2 , а в конце сеанса снова меняете пароль на пароль 1 . Если злоумышленник анализирует только первый введенный вами пароль (тот, который вы использовали для входа), то он не может использовать этот пароль для входа, поскольку он был изменен вами в конце сеанса.

Этот подход не поможет, если злоумышленник проанализирует полный протокол, написанный кейлоггером, но, возможно, он не настолько терпелив или не догадается, что вы просто сменили пароль в конце сеанса.

Как уже упоминалось, существует очень мало правил безопасности, которые вы можете применить к машине, которой вы не управляете.

Лучшим решением будет носить с собой собственный ноутбук, планшет, смартфон и просто одолжить подключение к Интернету.

Как только вы получите подключение к Интернету, используйте провайдера VPN для защиты вашего соединения. Есть много способов сделать это, используя браузер со встроенным , или VPN-клиент на вашем мобильном телефоне. Вы можете получить бесплатную пожизненную подписку у некоторых провайдеров VPN за символическую сумму.

VPN обеспечивает определенный уровень конфиденциальности через (общедоступное) подключение к Интернету.

Затем вы можете выполнить обычные шаги по обеспечению безопасности, такие как включение двухфакторной аутентификации в вашей учетной записи.

Связанные размышления о возможной ценности. Или нет.
'cafe' = интернет-кафе или эквивалент.

Comodo продает продукт, который позволяет зашифрованное соединение https с их сайтом, а затем подключение к любому месту. Это относится к большинству эксплойтов на ПК и за их пределами. Однако обратите внимание на комментарий jpatokal о кейлоггерах. (Мои единственные отношения с Comodo — это то, что я иногда платю, а иногда пользуюсь бесплатным продуктом.)

Я видел интернет-кафе, где НЕТ доступа к самой машине - кабели проходят через физическую стену. (Это мог быть Дублин или Прага (или оба)).

Достаточно распространено, чтобы запретить пользователям кафе доступ к USB или DVD / CD.

Я использовал программное обеспечение для удаленного доступа Team Viewer из Китая к домашней компьютерной системе в Новой Зеландии. Это, вероятно, хуже, поскольку у него есть потенциал, чтобы дать им доступ к моей системе Новой Зеландии, но это дает возможность реализовать систему вызова и ответа, где «второй фактор» может быть мысленно простой, но «достаточно неочевидной» системой. Соедините это с системой Comodos, и вам будет очень сложно разобраться в данных кейлоггера. ... Вы можете, например, навести указатель мыши на удаленный экран и, если вы достаточно увлечены, сделать что-то подобное вслепую с отключенным удаленным экраном, пока вы это делаете, но мышь все еще жива.

В моем случае я также мог бы общаться со своей женой по ссылке - добавление какой-либо третьей стороны, которая осуществляет «аутентификацию личного фактора» из далекой страны, может быть достаточно эффективным.

Мой доступ был скомпрометирован только один раз, насколько мне известно, когда я находился «за границей». Публичный сеанс Wi-Fi в аэропорту Гонконга привел к тому, что (насколько мне известно) я был заблокирован в GMail из Китая всего через несколько часов (до того, как китайцы запретили GMail), но система восстановления учетной записи вернула меня.

________________________________________

Только забава: я сидел в шэньчжэньском кафе рядом с большой командой китайских парней, увлеченно играющих в одну и ту же игру. Не моя территория, но мой сын задавался вопросом на экранах, видимых на фотографиях, которые я сделал, были ли это некоторые из легендарных майнеров из Китая, которые зарабатывают реальные деньги, приобретая и продавая игровой продукт для этой конкретной игры. Неизвестное и непознаваемое - но забавная мысль.

Видеть :-) -

Верх - часть команды Shenzhen. Внизу — интернет-мем.

Вы должны понимать, насколько опасен на самом деле небезопасный компьютер.

Предположим, что они:

• Записывают каждое нажатие клавиши, которое вы делаете.
• Вы пытаетесь ввести пароли, защищенные двухфакторным или нет, на другие веб-сайты, поскольку вы, конечно, можете повторно использовать пароли.
• Записывайте все, что появляется на экране, включая все, что открыто в вашей электронной почте, на вашем Facebook и так далее.
• Знайте свои контакты и, возможно, сможете украсть вашу личность.

Итак, достаточно ли распространены общедоступные компьютеры, которые собирают пароли к обычным веб-сайтам, но не делают ничего другого, что они могли бы сделать? Я понятия не имею. Но мне очень странно доверять компьютеру его использование, если вы можете защитить от него свой пароль.

Чтобы защитить свой пароль на общедоступном компьютере (или любом устройстве в этом отношении), используйте менеджер паролей, такой как Password Maker , который генерирует для вас уникальный пароль для каждого веб-сайта.

Вы используете мастер-пароль (который на самом деле не используется ни для одного веб-сайта) и целую кучу другой информации для создания пароля для определенного веб-сайта, к которому вы хотите получить доступ. Затем вы копируете + вставляете пароль для входа в систему, поэтому никогда не вводите свой пароль и поэтому он не может быть захвачен кейлоггером.

Объедините это с другими предложениями в этом вопросе и ответе (используйте VPN, двухфакторную аутентификацию, не используйте общедоступный компьютер, а используйте свое собственное устройство и т. д.)

Я собирался держаться подальше от этого, но видеть все эти ответы, предполагающие, что двухфакторная аутентификация и куча наивных уловок против кейлоггеров каким-то образом исправят ситуацию, просто невероятно.

Поймите это: единственный безопасный способ использования защищенных веб-сайтов на скомпрометированном компьютере — не использовать их . С того момента, как вы заставили удаленный сервер (GMail, ваш банк и т. д.) доверять компьютеру, который вы используете, они будут доверять всему, что этот компьютер им отправляет, и у вас мало контроля над этим.

Некоторые банковские сайты знают об этой проблеме и требуют, чтобы вы аутентифицировали каждое действие, которое вы пытаетесь выполнить , чтобы убедиться, что все действия исходят от реального пользователя. Многие другие этого не делают. GMail, конечно, нет. Как только вы войдете в систему, он с радостью отдаст ваш почтовый архив хакерам, пока вы читаете новое полученное электронное письмо.

Если это звучит удивительно, откройте GMail на двух вкладках и представьте, что вы используете одну, а хакеры контролируют другую, а вы этого не видите. Это должно дать вам хорошее представление о том, что происходит на скомпрометированном компьютере.

Вы можете использовать VPN и 2FA вместе с USB-накопителем Windows-To-Go x86 (32-разрядная версия). Таким образом, вам не нужно будет носить с собой огромный список паролей или кодов безопасности ИЛИ вы можете просто использовать постоянный накопитель Linux (конечно, с VPN)

Официальный VPN
WTG Можно также использовать неофициальный WTG.

Один важный трюк, который здесь никто не обсуждал!

Кейлоггеры записывают ваши нажатия клавиш в последовательности ... и точка!

Вы можете обмануть их , набрав первую букву пароля, затем несколько последних букв, затем поместите курсор ровно в то место, где вы остановились, и напишите оставшиеся символы.

вы можете рандомизировать его еще больше, продолжая переключать положение курсора. Помните, что не используйте клавиши со стрелками на клавиатуре для переключения курсора, используйте мышь;)

Этот трюк обманет любой кейлоггер, даже тот, который специфичен для приложения.

Конечно, это только для кейлоггеров, у общедоступных компьютеров тоже может быть много других проблем.