Як безпечно використовувати захищені паролем веб-сайти на комп’ютерах інтернет-кафе

Як я можу, якщо можливо, безпечно використовувати веб-сайти, захищені паролем (наприклад, GMail) на комп’ютерах інтернет-кафе?

Я чув, як люди кажуть, що користуватися захищеними паролем веб-сайтами на комп’ютерах Інтернет-кафе не дуже безпечно, тому що у них може бути встановлено зловмисне програмне забезпечення, яке може красти паролі, введені.

Одним із варіантів було б зробити так, щоб ваш веб-сайт використовував двофакторну автентифікацію, але це не здається мені практичним, оскільки, оскільки я перебуваю за межами своєї країни, вони не можуть обов'язково надсилати мені SMS, і я не хочу перенести зі мною список кодів безпеки.

Якщо безпека лише паролем, відповідь полягає в тому, що ви не можете : якщо вони реєструють ваші натискання клавіш, ваш пароль буде порушений, періодично.

Однак найкраща двофакторна система аутентифікації, яка знаходиться в дорозі, - це не SMS, а автентифікація на основі додатків, як Google Authenticator. Все, що вам потрібно, це ваш мобільний телефон для генерації кодів, і він навіть не повинен бути в мережі / wifi.

Звичайно, найкращий варіант - взяти з собою власний ноутбук, тому все, що вам потрібно буде турбуватися, - це скомпрометований wifi.

Правильна поведінка НЕ ​​довіряти комп’ютеру.

Коли я входжу за один раз, якщо я не можу вставити USB-накопичувач із власною копією Firefox на нього для перегляду, я завантажую їх, але переконуюсь, що він спочатку оновлений до останньої версії, для безпеки (або незалежно від іншого браузера, який вони можуть використовувати).

Потім я перевірю виконуючі завдання на машині і побачу, чи є щось підозрілим. Для когось нетехнічного це зробити складніше, оскільки ви, можливо, не знаєте, які процеси є частиною Windows тощо, але це крок.

Що стосується вашого фактичного пароля, якщо ви переживаєте про блокування журналів, ви завжди можете просто набрати лист, а потім у відкритий блокнот введіть купу сміття, потім наступний лист та повторіть. Якщо, звичайно, їх кейлоггер не є достатньо складним, щоб визначити конкретні програми.

У цей момент вам потрібно буде розглянути два факторні аутентифікації. Отримайте або SMS, або повідомлення в додатку з кодом, який ви вводите (для цього можна налаштувати Gmail та інше), або QR-кодом, який ваш телефон сканує на екрані (це робить веб-сайт Whatsapp).

Якщо вам дуже цікаво, ви можете наклеїти операційну систему на USB-накопичувач, заздалегідь встановлений на вашому веб-переглядачі тощо, а потім запустити машину для цього, але це залежить від того, чи зможете ви потрапити в BIOS або інше обмеження адміністратора, які вони встановили на комп'ютері (або якщо ви навіть можете дістатися до порту USB).

Після цього очистіть кеш, файли cookie і т.д. браузера, і я схильний перезавантажувати комп’ютер, коли я виїжджаю, оскільки деякі інтернет-кафе налаштовані перевстановити все з нуля при перезавантаженні, витираючи будь-який слід про мене, що був там (я колись працювали в інтернет-кафе, де ми це робили).

Як я можу, якщо можливо, безпечно використовувати веб-сайти, захищені паролем (наприклад, GMail) на комп’ютерах інтернет-кафе?

Ви не можете, принаймні, не використовувати двофакторну автентифікацію (або якийсь інший маркер, незалежний від локальної машини). Ви повинні вважати що-небудь набране чи переглянуте на публічній машині публічною інформацією.

Якщо ви не здійснювали повний нагляд за машиною та програмним забезпеченням на ній з часу її створення, ви не можете довіряти машині не перехоплювати ваш пароль та всі інші натискання клавіш. Без другого фактора аутентифікації цього буде достатньо для доступу до всіх ваших даних або в режимі реального часу, або пізніше.

Таке перехоплення може статися на програмному рівні (який у більшості випадків ви можете перемогти, тримаючи USB-накопичувач, що містить вашу власну операційну систему) або на апаратному рівні.

Усі говорять про двофакторну автентифікацію. Вони здебільшого помиляються, оскільки два чинники в більшості випадків - це пароль і щось інше, і це, безумовно, ризикує порушити пароль і може поставити під загрозу щось інше. Два фактори можуть бути корисними, але найкращим рішенням є облікові дані для одноразового використання. Якщо у вас є надійний пристрій, як-от мобільний телефон, який ви можете використовувати для зміни свого пароля, ви можете змінити пароль, скористайтеся ненадійним комп’ютером, а потім поверніть свій пароль назад. Тут представлено обмежене вікно, де пароль вразливий, але він може бути занадто довгим. Одноразові паролі є кращим рішенням цього випадку використання. Існує кілька реалізацій одноразових паролів, які варіюються від книг до TOTP (аутентифікатор google). Одна з проблем полягає в тому, що всі вони потребують підтримки на стороні сервера, яка в кращому випадку є плямкою.

Альтернативою 2FA є використання пристрою USB Armory . Це підключається до USB-порту та працює незалежною ОС. Ви можете взаємодіяти з пристроєм будь-яким способом, яким ви хочете, наприклад, використовувати його як веб-сервер, ssh-клієнт або VNC / RDP-сервер, щоб пристрій сам викликав захищений сеанс із цільовим сервером. Ключі / паролі можуть залишатися на пристрої і не бути доступними для хост-комп'ютера.

Використовуйте двофакторну автентифікацію. Це коли, крім пароля, ви вводите послідовність символів, які ви надсилаєте (або SMS, або іншим способом). Ось так я його налаштував без, тому що в роумінгу SMS не завжди працює.

1. Встановіть Google Authenticator для магазину Android або IOS
2. Дотримуйтесь тут інструкцій, щоб налаштувати його.
3. Налаштуйте свій обліковий запис google, щоб використовувати двоетапну автентифікацію за допомогою програми Authenticator. Інструкція тут

Тепер кожного разу, коли вам потрібно буде увійти, коли з’явиться запит, просто відкрийте Генератор і введіть ключ. Не хвилюйтесь, ключ змінюється кожні 15 секунд, тому навіть якщо хтось намагався увійти за допомогою записаних клавіш, він не працюватиме. Пізніше ви можете перевірити доступ, натиснувши історію доступу в самому нижньому правому куті сторінки Gmail.

Ви можете дізнатися більше про Authenticator у Вікіпедії, просто введіть Google Authenticator.

І Googe Mail, і Fastmail.fm підтримують U2F, щоб ви могли використовувати їх за допомогою цього ключа, якщо місце, де ви знаходитесь, дозволяє підключати випадкові USB-пристрої. Я не впевнений, які інші веб-сайти це підтримують. Якщо у вас є власний контроль, ви можете замість цього отримати Yubikey Neo та реалізувати авторизацію Yubikey для свого сайту. На жаль це рідко.

Якщо ви використовуєте два змінних пароля, це забезпечує певний захист, коли у вас є лише один сеанс у кожному Інтернет-кафе: У першому інтернет-кафе ви входите з паролем 1, а в кінці сеансу ви змінюєте пароль на пароль 2 . У другому інтернет-кафе ви робите логін із паролем 2 , а в кінці сеансу ви повертаєте пароль на пароль 1 . Якщо зловмисник аналізує лише перший введений пароль (той, який ви використовували для входу), він не може використовувати цей пароль для входу, оскільки він був змінений вами в кінці сеансу.

Такий підхід не допоможе, якщо зловмисник проаналізує повний протокол, написаний кейлоггером, але, можливо, він не такий терплячий або не здогадується, що ви просто змінили пароль в кінці сеансу.

Як уже згадували інші, існує дуже мало правил безпеки, які можна застосувати на машині, якою ви не керуєте.

Найкращим рішенням було б носити власний ноутбук, планшет, смартфон і просто запозичити підключення до Інтернету.

Як тільки ви перестаєте з’єднуватися з Інтернетом, скористайтеся постачальником VPN, щоб забезпечити своє з'єднання. Існує багато способів зробити це за допомогою браузера, який має один вбудований або VPN-клієнт на вашому мобільному телефоні. Ви можете отримати безкоштовні довічні підписки у деяких постачальників VPN за номінальну суму.

VPN забезпечує рівень конфіденційності через (загальнодоступне) підключення до Інтернету.

Далі ви можете виконати звичайні кроки безпеки, такі як включення двофакторної автентифікації у вашому обліковому записі.

Пов'язані міркування можливої ​​цінності. Чи ні.
'кафе' = Інтернет-кафе або еквівалент.

Comodo продає продукт, який дозволяє https зашифроване підключення до свого сайту, а потім з'єднання з будь-коли. Це стосується більшості вбудованих ПК та поза їх використанням - зауважте, проте, коментар jpatokal щодо кейлогерів. (Мої єдині стосунки з Comodo - це колись користувач, який платить, а іноді і користується безкоштовним продуктом.)

Я бачив інтернет-кафе, де немає доступу до належної машини - у вас є кабелі через фізичну стінку. (Це, можливо, був Дублін чи Прага (або обидва)).

Це досить часто, щоб не дозволяти користувачам кафе доступу до USB або DVD / CD

Я використовував програмне забезпечення для віддаленого доступу "Team Viewer" з Китаю для домашньої комп'ютерної системи в NZ. Це, мабуть, гірше, оскільки він має потенціал надати їм доступ до моєї системи NZ - але це дає можливість реалізувати виклик та переосмислити систему, де "другий фактор" міг би бути розумово простою, але "недостатньо невидимою" системою. У поєднанні з системою Comodos, і вам буде дуже важко зрозуміти дані кейлоггера. ... Ви можете, наприклад, переміщувати вказівник миші на віддалений екран, і якщо ви хочете зробити щось на кшталт цього сліпого з вимкненим віддаленим екраном, поки ви це робите, але миша все ще живе.

У моєму випадку я також міг би спілкуватися зі своєю дружиною через посилання - додавання якоїсь третьої сторони, яка досягає "особистої аутентифікації факторів" з далекої країни, може бути досить ефективною.

У мене був заблокований лише один раз AFAIK, коли "за кордоном". Сеанс громадського Wi-Fi в аеропорту Гонконгу призвів до того, що (AFAIK) мене закрили з GMail з Китаю лише через кілька годин (до того, як китайці заборонили GMail), але система відновлення облікового запису повернула мене назад.

________________________________________

Тільки весело: я сидів у кафе Шеньчжень поруч із великою командою китайських хлопців, що пильно грали в ту саму гру. Не моя територія, але мій син дивувався з екранів, що видно на фотографіях, які я робив, чи це були якісь з байкових шахтарів, що базуються в Китаї, які заробляють реальні долари, отримуючи та продаючи ігровий продукт для цієї конкретної гри. Невідоме і непізнаване - але весела думка.

Побачити :-) -

Вгорі - частина команди Шеньчжень. Знизу - мем, пов'язаний з Інтернетом.

Ви повинні зрозуміти, наскільки насправді небезпечний комп’ютер.

Припустимо, що вони:

• Записуйте кожен зроблений вами натискання клавіші.
• Ви намагаєтеся ввести паролі - захищені двофакторними чи ні - на інших веб-сайтах, оскільки, звичайно, ви можете переробити паролі.
• Запишіть усе, що з’являється на екрані, включаючи все, що відкривається у вашій електронній пошті, або у вашому Facebook тощо.
• Знайте свої контакти та, можливо, може вкрасти вашу особу.

Тепер, чи є загальнодоступні комп’ютери, які скреблі паролі на загальних веб-сайтах, але не зупиняються ні на чому іншому, що вони могли зробити, досить поширені? Я поняття не маю. Але мені дуже дивно довіряти комп’ютеру використовувати його до тих пір, поки ви можете захистити свій пароль від нього.

Щоб захистити свій пароль на загальнодоступному комп’ютері (або будь-якому пристрої з цього питання), використовуйте диспетчер паролів, наприклад, Maker паролів, який генерує для вас унікальний пароль.

Ви використовуєте головний пароль (який фактично не використовується для жодного веб-сайту) та цілу купу іншої інформації для створення пароля для певного веб-сайту, до якого ви хочете отримати доступ. Потім ви копіюєте + вставляєте пароль для входу, таким чином ніколи не вводячи свій пароль, і тому він не може бути захоплений реєстратором ключів.

Поєднайте це з іншими пропозиціями щодо цього запитання (використовуйте VPN, 2-факторний аутентифікатор, не використовуйте публічний комп'ютер, а скоріше використовуйте власний пристрій тощо)

Я збирався залишатися осторонь цього, але побачити всі ці відповіді, що дозволяють припустити двофакторну автентичність та купу наївних анти-кейлоггерських хитрощів, якимось чином зроблять все правильно, просто неймовірно.

Потокуйте: єдиний безпечний спосіб використання захищених веб-сайтів на компрометованому комп’ютері - це не їх використання . З моменту, коли ви зробили віддалений сервер (GMail, ваш банк тощо), довіряйте комп’ютеру, який ви використовуєте, вони будуть довіряти будь-якому тому, що цей комп'ютер надсилає їм, і ви мало керуєте цим.

Деякі банківські сайти знають про цю проблему і вимагають підтвердити автентифікацію кожної дії, яку ви намагаєтеся виконати , щоб переконатися, що всі дії походять від фактичного користувача. Багато інших цього не роблять. GMail, безумовно, ні. Щойно ви ввійдете в систему, він із задоволенням передасть вашим хакерським архівам хакерів, коли ви читаєте нову електронну пошту, яку ви отримали.

Якщо це звучить дивно, відкрийте GMail на двох вкладках і уявіть, що ви використовуєте один, коли хакери контролюють інший, не бачачи цього. Це має дати вам гарне уявлення про те, що відбувається на компрометованому комп’ютері.

Можна використовувати VPN та 2FA разом із USB-накопичувачем x86 (32-бітний) Windows-To-Go. Таким чином, вам не потрібно буде містити величезний список паролів чи кодів безпеки АБО ви можете просто використовувати стійкий накопичувач Linux (з VPN, звичайно)

VPN
Official WTG
Неофіційна WTG також може бути використана

Один важливий трюк, про який тут ніхто не обговорював!

Ключові реєстратори фіксують ваші натискання клавіш послідовно .. період!

Ви можете змусити їх обдурити , ввівши свою першу літеру пароля, потім кілька останніх літер, після чого помістіть курсор у точне середнє місце, де ви зупинилися, і запишіть залишилися символи.

ви можете його ще більше рандомізувати, продовжуючи перемикати положення курсору. Пам'ятайте, не використовуйте клавіші зі стрілками клавіатури для перемикання курсору, не використовуйте мишу;)

Цей трюк обдурить будь-який кейлоггер, навіть той, що стосується програми.

Звичайно, це стосується лише ключових реєстраторів, у публічних комп'ютерів також може виникнути безліч інших проблем.