Как безопасно использовать защищенные паролем сайты на компьютерах интернет-кафе

Как я могу, если возможно, безопасно использовать защищенные паролем веб-сайты (например, GMail) на компьютерах интернет-кафе?

Я слышал, что люди говорят, что не очень безопасно использовать защищенные паролем веб-сайты на компьютерах интернет-кафе, потому что у них может быть установлено вредоносное ПО, которое может украсть пароли, которые вводятся.

Один из вариантов - заставить ваш сайт использовать двухфакторную аутентификацию, но для меня это не практично, поскольку, поскольку я не нахожусь за пределами своей страны, мне не обязательно отправлять мне СМС, а я не хочу иметь при себе список кодов безопасности.

Если безопасность - только пароль, ответ таков: вы не можете : если они регистрируют ваши нажатия клавиш, ваш пароль будет взломан, и точка.

Однако лучшая двухфакторная система аутентификации в дороге - это не SMS, а аутентификация на основе приложений, такая как Google Authenticator. Все, что вам нужно, это ваш мобильный телефон для генерации кодов, и он даже не должен быть в сети / Wi-Fi.

Конечно, лучший вариант - взять с собой собственный ноутбук, поэтому все, о чем вам нужно беспокоиться, - это скомпрометированный Wi-Fi.

Правильное поведение НЕ доверять компьютеру.

Когда я вхожу в один из них, если я не могу вставить USB-накопитель со своей собственной копией Firefox для просмотра, я загружу их, но сначала буду следить за обновлением до последней версии, для безопасности (или какой бы другой браузер они не использовали).

Затем я проверю запущенные задачи на машине и посмотрю, выглядит ли что-нибудь подозрительным. Это сложнее для тех, кто не является техническим специалистом, поскольку вы можете не знать, какие процессы являются частью Windows и т. Д., Но это шаг.

Для вашего реального пароля, если вы беспокоитесь о кейлогинге, вы всегда можете просто напечатать букву, затем в открытом блокноте набрать кучу мусора, затем следующую букву и повторить. Если, конечно, их кейлоггер не достаточно сложен, чтобы соответствовать конкретному приложению.

На этом этапе вы захотите рассмотреть двухфакторную аутентификацию. Получите либо SMS-сообщение, либо сообщение в приложении с кодом, который вы вводите (для этого можно настроить Gmail и другие), или QR-код, который ваш телефон сканирует на экране (веб-сайт Whatsapp делает это).

Если вам по-настоящему нравится, вы можете прикрепить операционную систему на USB-накопитель, предварительно скомпилировать с выбранным вами браузером и т. Д., А затем загрузить компьютер, но это зависит от того, можете ли вы войти в BIOS или что-то другое. ограничения администратора, которые они наложили на компьютер (или если вы даже можете подключиться к USB-порту).

После этого очистите кеш, куки и т. Д. Браузера, и я, как правило, перезагружаю компьютер, когда ухожу, так как некоторые интернет-кафе настроены переустанавливать все с нуля при перезагрузке, стирая все следы моего присутствия (я однажды работал в интернет-кафе, где мы это делали).

Как я могу, если возможно, безопасно использовать защищенные паролем веб-сайты (например, GMail) на компьютерах интернет-кафе?

Вы не можете, по крайней мере, без использования двухфакторной аутентификации (или какого-либо другого вида токена, который не зависит от локальной машины). Вы должны рассматривать что-либо напечатанное или просмотренное на общедоступной машине как общедоступную информацию.

Если вы не осуществляете полный контроль над машиной и программным обеспечением на ней с момента ее создания, вы не можете доверять машине, чтобы не перехватывать ваш пароль и все другие нажатия клавиш. Без второго фактора аутентификации этого будет достаточно для доступа ко всем вашим данным, в режиме реального времени или позже.

Этот перехват может происходить на программном уровне (который в большинстве случаев можно победить, если у вас есть USB-накопитель, содержащий вашу собственную операционную систему) или на аппаратном уровне.

Все говорят о двухфакторной аутентификации. Они в основном ошибочны, поскольку в большинстве случаев это пароль и что-то еще, и это определенно может поставить под угрозу пароль и может скомпрометировать что-то еще. Два фактора могут быть полезны, но лучшее решение - учетные данные одноразового использования. Если у вас есть доверенное устройство, такое как сотовый телефон, которое вы можете использовать для изменения пароля, вы можете изменить пароль, использовать ненадежный компьютер, а затем изменить свой пароль обратно. Это предоставляет ограниченное окно, где пароль уязвим, но он может быть слишком длинным. Одноразовые пароли являются лучшим решением для этого варианта использования. Существует несколько реализаций одноразовых паролей, варьирующихся от книг к TOTP (google authenticator). Одна из проблем заключается в том, что все они требуют поддержки со стороны сервера, которая в лучшем случае является пятнистой.

Альтернативой 2FA является использование устройства USB Armory . Это подключается к вашему USB-порту и работает на независимой ОС. Вы можете взаимодействовать с устройством любым удобным для вас способом, например использовать его в качестве веб-сервера, ssh-клиента или сервера VNC / RDP, чтобы само устройство вызывало безопасный сеанс с целевым сервером. Ключи / пароли могут оставаться на устройстве и не быть доступными для главного компьютера.

Используйте двухфакторную аутентификацию. Это когда в дополнение к паролю вы вводите последовательность символов, которую вы отправляете (либо по СМС, либо иным способом). Вот как я настроил это без, потому что в роуминге SMS не всегда работает.

1. Установите Google Authenticator для Android или IOS магазина
2. Следуйте инструкциям здесь, чтобы настроить его.
3. Настройте свою учетную запись Google на использование двухэтапной аутентификации с помощью приложения Authenticator. Инструкции здесь

Теперь каждый раз, когда вам нужно войти в систему, при появлении запроса просто откройте Authenticator и введите ключ. Не волнуйтесь, ключ меняется каждые 15 секунд, поэтому, даже если кто-то попытается войти с ключами, которые он записал, он не будет работать. Позже вы можете проверить доступ, щелкнув историю доступа в правом нижнем углу своей страницы Gmail.

Вы можете проверить больше на Аутентификаторе в Википедии, просто введите Google Authenticator.

Googe Mail и Fastmail.fm поддерживают U2F, так что вы можете использовать их через этот ключ, если место, где вы находитесь, позволяет подключать случайные USB-устройства. Я не уверен, что другие сайты поддерживают это. Если у вас есть собственный контроль, вы можете вместо этого получить Yubikey Neo и внедрить аутентификацию Yubikey для своего сайта. Это увы редко.

Если вы используете два чередующихся пароля, это обеспечивает некоторую защиту, когда у вас есть только один сеанс в каждом интернет-кафе: в первом интернет-кафе вы входите в систему с паролем 1, а в конце сеанса вы меняете пароль на пароль 2 . Во втором интернет-кафе вы делаете логин с паролем 2 , а в конце сеанса вы меняете пароль обратно на пароль 1 . Если злоумышленник анализирует только первый введенный вами пароль (тот, который вы использовали для входа в систему), он не может использовать этот пароль для входа в систему, поскольку он был изменен вами в конце сеанса.

Этот подход не поможет, если злоумышленник проанализирует полный протокол, написанный кейлоггером, но, возможно, он не настолько терпелив или не поймет, что вы просто изменили пароль в конце сеанса.

Как уже упоминали другие, существует очень мало правил безопасности, которые вы можете применять на машине, которую вы не контролируете.

Лучшим решением было бы носить с собой собственный ноутбук, планшет, смартфон и просто позаимствовать подключение к Интернету.

Как только вы овладеете интернет-соединением, используйте VPN-провайдера для защиты вашего соединения. Есть много способов сделать это, используя браузер с одним встроенным или VPN-клиент на вашем мобильном телефоне. Вы можете получить бесплатные пожизненные подписки у некоторых провайдеров VPN за номинальную сумму.

VPN обеспечивает уровень конфиденциальности через (общедоступное) интернет-соединение.

Затем вы можете выполнить обычные действия по обеспечению безопасности, например включить двухфакторную аутентификацию в своей учетной записи.

Связанные размышления возможной ценности. Или не.
«Кафе» = интернет-кафе или эквивалент.

Comodo продает продукт, который позволяет https зашифрованное соединение с их сайтом, а затем подключение к где-либо. Это касается большинства уязвимостей в ПК и за ее пределами - однако обратите внимание на комментарий jpatokal о кейлоггерах. (Мои единственные отношения с Comodo - это когда-то платящий, а иногда и бесплатный продукт.)

Я видел интернет-кафе, где НЕТ доступа к самой машине - вы получили кабели через физическую стену. (Это может быть Дублин или Прага (или оба)).

Это достаточно распространено, чтобы не дать пользователям кафе доступ к USB или DVD / CD

Я использовал программное обеспечение удаленного доступа «Team Viewer» из Китая к домашней компьютерной системе в Новой Зеландии. Это, вероятно, еще хуже, поскольку у него есть потенциал, чтобы дать им доступ к моей системе NZ - но это дает возможность реализовать сложную и резонансную систему, где «второй фактор» может быть умственно простой, но «достаточно неочевидной» системой. Соедините это с системой Comodos, и вам будет очень сложно разобраться в данных кейлоггера. ... Например, вы можете навести указатель мыши на удаленный экран и, если вы достаточно заинтересованы, сделать что-то подобное слепому с отключенным удаленным экраном, пока вы это делаете, но мышь все еще жива.

В моем случае я мог бы также общаться с моей женой по ссылке - добавление какой-либо третьей стороны, которая достигает «аутентификации по личному фактору» из далекой страны, может быть достаточно эффективным.

У меня только доступ был скомпрометирован один раз AFAIK, когда "за границей". Публичный сеанс Wi-Fi в аэропорту Гонконга привел (AFAIK) к тому, что меня заблокировали из GMail из Китая только через несколько часов (до того, как китайцы запретили GMail), но система восстановления аккаунта вернула меня обратно.

________________________________________

Только для удовольствия: я сидел в шэньчжэньском кафе рядом с большой командой китайских парней, которые целенаправленно играют в ту же игру. Не моя территория, а мой сын задался вопросом на экранах, видимых на фотографиях, которые я сделал, были ли они одними из легендарных китайских майнеров, которые зарабатывают реальные деньги, приобретая и продавая игровой продукт для этой конкретной игры. Неизвестный и непознаваемый - но забавная мысль.

Видеть :-) -

Верх - часть команды Шэньчжэнь. Внизу - интернет-мем "мем".

Вы должны понимать, насколько опасным на самом деле является небезопасный компьютер.

Предположим, они:

• Записывает каждое нажатие клавиши, которое вы делаете.
• Пробуете ли вы пароли, которые вы вводите - защищены двухфакторным или нет - на других сайтах, как вы, конечно, можете перерабатывать пароли.
• Запишите все, что появляется на экране, в том числе все, что открыто в вашей электронной почте, или на вашем Facebook, и так далее.
• Знайте свои контакты и, возможно, сможете украсть вашу личность.

Теперь, являются ли общедоступные компьютеры, которые взламывают пароли к обычным веб-сайтам, но не останавливаются на чем-то еще, что они могут сделать, достаточно распространены? Не имею представления. Но мне очень странно доверять компьютеру, чтобы использовать его, если вы можете защитить свой пароль от него.

Чтобы защитить свой пароль на общедоступном компьютере (или на любом другом устройстве), используйте менеджер паролей, например Password Maker, который генерирует уникальный пароль для каждого веб-сайта.

Вы используете мастер-пароль (который на самом деле не используется ни для одного веб-сайта) и целый ряд другой информации, чтобы сгенерировать пароль для определенного веб-сайта, к которому вы хотите получить доступ. Затем вы копируете и вставляете пароль для входа в систему, поэтому никогда не вводите свой пароль, и поэтому он не может быть перехвачен регистратором ключей.

Объедините это с другими предложениями по этому вопросу (используйте VPN, двухфакторную аутентификацию, не используйте общедоступный компьютер, а используйте собственное устройство и т. Д.)

Я собирался держаться подальше от этого, но увидеть все эти ответы, предлагающие двухфакторную аутентификацию и кучу наивных трюков против кейлоггера, как-то сделает все правильно, просто невероятно.

Погрузитесь в нее: единственный безопасный способ использования защищенных веб-сайтов на скомпрометированном компьютере - не использовать их . С того момента, как вы заставили удаленный сервер (GMail, ваш банк и т. Д.) Доверять компьютеру, который вы используете, они будут доверять всему, что ему посылает этот компьютер, и вы почти не можете это контролировать.

Некоторые банковские сайты знают об этой проблеме и требуют от вас аутентификации каждого отдельного действия, которое вы пытаетесь выполнить , чтобы убедиться, что все действия происходят от реального пользователя. Многие другие этого не делают. GMail конечно нет. Как только вы войдете в систему, он с радостью передаст ваш почтовый архив хакерам, пока вы читаете полученное вами новое электронное письмо.

Если это звучит удивительно, откройте GMail на двух вкладках и представьте, что вы используете одну, а хакеры контролируют другую, но вы ее не видите. Это должно дать вам хорошее представление о том, что происходит на скомпрометированном компьютере.

Вы можете использовать VPN и 2FA вместе с 32-разрядным USB-накопителем Windows-To-Go x86. Таким образом, вам не нужно будет нести огромный список паролей или кодов безопасности ИЛИ вы можете просто использовать постоянный накопитель Linux (с VPN, конечно)

VPN
Official WTG
Неофициальный WTG также можно использовать

Один важный трюк, который никто не обсуждал здесь!

Регистраторы ключей записывают ваши нажатия клавиш в последовательности .. период!

Вы можете ввести их в заблуждение , введя свою первую букву пароля, затем несколько последних букв, затем поместите курсор в то место, где вы остановились, и напишите оставшиеся символы.

Вы можете рандомизировать его еще дальше, продолжая переключать положение курсора. Помните, что не используйте клавиши со стрелками на клавиатуре для переключения курсора, используйте мышь;)

Этот трюк обманет любой кейлоггер, даже тот, который зависит от приложения.

Конечно, это только для ключевых регистраторов, на общедоступных компьютерах также может быть много других проблем.