Як безпечно використовувати захищені паролем веб-сайти на комп’ютерах інтернет-кафе


36

Як я можу, якщо можливо, безпечно використовувати веб-сайти, захищені паролем (наприклад, GMail) на комп’ютерах інтернет-кафе?

Я чув, як люди кажуть, що користуватися захищеними паролем веб-сайтами на комп’ютерах Інтернет-кафе не дуже безпечно, тому що у них може бути встановлено зловмисне програмне забезпечення, яке може красти паролі, введені.

Одним із варіантів було б зробити так, щоб ваш веб-сайт використовував двофакторну автентифікацію, але це не здається мені практичним, оскільки, оскільки я перебуваю за межами своєї країни, вони не можуть обов'язково надсилати мені SMS, і я не хочу перенести зі мною список кодів безпеки.


9
Я голосую, щоб закрити це питання поза темою, оскільки це дублікат webapps.stackexchange.com/questions/30721/… та security.stackexchange.com/questions/30149/…
chx

22
@chx Його не можна закрити як дублікат, оскільки це дублікат між сайтом . Ці дублікати можна закрити лише як дублікат, якщо питання буде перенесено на один із цих сайтів. Питання повинно бути закритим як тематика.
AStopher

4
Я знаю, що його не можна закрити як дублікат, я позначив це як поза темою вибачення, якщо формулювання не є досконалим. Можливо, я мав би сказати, "це вже відповіли в X і Y".
chx

6
Я б не сказав, що це поза темою, оскільки це актуальна проблема, з якою стикаються мандрівники, але безпека. Я видалив міжнародний тег подорожей, оскільки те саме може трапитися у вашому місцевому інтернет-кафе у вашому місті.
hippietrail

17
Це абсолютно актуальна тема для Travel.SE, і вона повинна залишатися відкритою. Повідомлення в інших ВП є чудовими як посилання у відповідях.
jpatokal

Відповіді:


58

Якщо безпека лише паролем, відповідь полягає в тому, що ви не можете : якщо вони реєструють ваші натискання клавіш, ваш пароль буде порушений, періодично.

Однак найкраща двофакторна система аутентифікації, яка знаходиться в дорозі, - це не SMS, а автентифікація на основі додатків, як Google Authenticator. Все, що вам потрібно, це ваш мобільний телефон для генерації кодів, і він навіть не повинен бути в мережі / wifi.

Звичайно, найкращий варіант - взяти з собою власний ноутбук, тому все, що вам потрібно буде турбуватися, - це скомпрометований wifi.


3
Якщо ви можете використовувати автентифікатор Google, чому б ви не використовували gmail на своєму телефоні?
Бервін

19
@Berwyn Підключення телефону в Інтернеті може бути неможливим. Або обмеженого інтерфейсу в телефоні може бути недостатньо для того, що потрібно робити в Інтернеті.
kasperd

3
@kasperd Я забув, що auth google був заснований на часі. Я думав про Duo Mobile, яким я користувався недавно. Хороший момент
Бервін

4
@ l0b0 Якщо у вас в режимі реального часу у вас є шпигуни, які слідкують за кожним ходом, у вас, ймовірно, є більші проблеми. Крім того, я впевнений, що більшість основних сайтів позначать кілька одночасних входів з тим самим кодом 2FA як підозрілі.
jpatokal

2
@MichaelHampton, коли використовується TOTP, зазвичай допускається зміщення декількох хвилин . Ви повинні мати можливість вручну встановити годинник свого телефону протягом декількох хвилин точності. Єдине, що потрібно пам’ятати, це правильно встановити часовий пояс (інакше час виглядає правильно на телефоні, але насправді це кілька годин!)
Йозеф

10

Правильна поведінка НЕ ​​довіряти комп’ютеру.

Коли я входжу за один раз, якщо я не можу вставити USB-накопичувач із власною копією Firefox на нього для перегляду, я завантажую їх, але переконуюсь, що він спочатку оновлений до останньої версії, для безпеки (або незалежно від іншого браузера, який вони можуть використовувати).

Потім я перевірю виконуючі завдання на машині і побачу, чи є щось підозрілим. Для когось нетехнічного це зробити складніше, оскільки ви, можливо, не знаєте, які процеси є частиною Windows тощо, але це крок.

Що стосується вашого фактичного пароля, якщо ви переживаєте про блокування журналів, ви завжди можете просто набрати лист, а потім у відкритий блокнот введіть купу сміття, потім наступний лист та повторіть. Якщо, звичайно, їх кейлоггер не є достатньо складним, щоб визначити конкретні програми.

У цей момент вам потрібно буде розглянути два факторні аутентифікації. Отримайте або SMS, або повідомлення в додатку з кодом, який ви вводите (для цього можна налаштувати Gmail та інше), або QR-кодом, який ваш телефон сканує на екрані (це робить веб-сайт Whatsapp).

Якщо вам дуже цікаво, ви можете наклеїти операційну систему на USB-накопичувач, заздалегідь встановлений на вашому веб-переглядачі тощо, а потім запустити машину для цього, але це залежить від того, чи зможете ви потрапити в BIOS або інше обмеження адміністратора, які вони встановили на комп'ютері (або якщо ви навіть можете дістатися до порту USB).

Після цього очистіть кеш, файли cookie і т.д. браузера, і я схильний перезавантажувати комп’ютер, коли я виїжджаю, оскільки деякі інтернет-кафе налаштовані перевстановити все з нуля при перезавантаженні, витираючи будь-який слід про мене, що був там (я колись працювали в інтернет-кафе, де ми це робили).


8
то у відкритий блокнот наберіть купу сміття, що сьогодні марно. У багатьох кейлогерів є можливість зберігання екрана.

13
@MarkMayo Додаток, що працює в тому ж користувальницькому контексті на машині Windows, може захоплювати вміст поля пароля, незалежно від того, відображається він на екрані чи ні. Я впевнений, що існують додатки в стилі ключових реєстраторів, які роблять це автоматично, оскільки комбінування клавіш для пошуку пароля вже тьмяне. Справа в тому, що ви можете зробити дещо складнішим для нападника, але якщо він керує машиною, ваші зусилля в значній мірі безглузді.
Calchas

1
@Calchas погодився, майже так само, як якщо відеокамера тонко вказана на користувача. Ніколи ніколи не є абсолютно безпечним, але 2FA проходить довгий шлях до допомоги сьогодні.
Марк Майо підтримує Моніку

13
Єдине, чого ви досягаєте, вставляючи USB-накопичувач за допомогою портативного firefox, це зараження вірусами. Запуск програмного забезпечення з власного диска на компрометованому комп'ютері не робить його менш компрометованим.
Р ..

6
Що корисного використання вашої власної копії Firefox на компрометованій машині?
Бервін

6

Як я можу, якщо можливо, безпечно використовувати веб-сайти, захищені паролем (наприклад, GMail) на комп’ютерах інтернет-кафе?

Ви не можете, принаймні, не використовувати двофакторну автентифікацію (або якийсь інший маркер, незалежний від локальної машини). Ви повинні вважати що-небудь набране чи переглянуте на публічній машині публічною інформацією.

Якщо ви не здійснювали повний нагляд за машиною та програмним забезпеченням на ній з часу її створення, ви не можете довіряти машині не перехоплювати ваш пароль та всі інші натискання клавіш. Без другого фактора аутентифікації цього буде достатньо для доступу до всіх ваших даних або в режимі реального часу, або пізніше.

Таке перехоплення може статися на програмному рівні (який у більшості випадків ви можете перемогти, тримаючи USB-накопичувач, що містить вашу власну операційну систему) або на апаратному рівні.


Якщо оператори взагалі мають якісь компетенції, завантаження з USB буде відключено. І якщо вони мають середню компетенцію, запуск програм із USB або встановлення VM буде вимкнено. І навіть якщо ви використовуєте двофакторний, не гарантуйте, що вони не зберігають знімки екрана або використовують модифікований браузер для зйомки тексту зі сторінок, які ви отримуєте, та іншого тексту (не пароля), який ви вводите.
WGroleau

@WGroleau, але чому ви вважаєте, що оператори компетентні? :)
Calchas

Якщо ви переживаєте за шпигунів, чому б ви вважали, що їх немає? Я був у тих місцях, де були встановлені ці прості засоби захисту, коли інші речі вказували на некомпетентність ІТ.
WGroleau

3
З іншого боку, спроба завантажувати USB буде або успішною, або невдалою, шкоди не буде зроблено. Якщо вони дійсно талановиті і не знають, як виявити спробу і видалити палицю.
Нещодавно

6

Усі говорять про двофакторну автентифікацію. Вони здебільшого помиляються, оскільки два чинники в більшості випадків - це пароль і щось інше, і це, безумовно, ризикує порушити пароль і може поставити під загрозу щось інше. Два фактори можуть бути корисними, але найкращим рішенням є облікові дані для одноразового використання. Якщо у вас є надійний пристрій, як-от мобільний телефон, який ви можете використовувати для зміни свого пароля, ви можете змінити пароль, скористайтеся ненадійним комп’ютером, а потім поверніть свій пароль назад. Тут представлено обмежене вікно, де пароль вразливий, але він може бути занадто довгим. Одноразові паролі є кращим рішенням цього випадку використання. Існує кілька реалізацій одноразових паролів, які варіюються від книг до TOTP (аутентифікатор google). Одна з проблем полягає в тому, що всі вони потребують підтримки на стороні сервера, яка в кращому випадку є плямкою.


1
Отже, ви говорите, що 1FA краще, ніж 2FA тоді? ;)
Бервін

Так, у певному сенсі 1F кращий за 2F, оскільки переважна проблема - це людський фактор. Якщо ви збираєтеся бути MITM на шляху до вашого люксембурзького банку для наївних користувачів (тобто 99,99999999999999999999999999999999999999999999999999999999% живих людей), 2F - це ілюзія. Простіше кажучи, 2F переконує людей, що добре використовувати справді небезпечні фізичні пристрої. Усі розмови про захоплення паролем, які тут проводять неспеціалісти, є хорошим прикладом: є безліч негараздів, які можуть трапитися з вами, якщо ви підключитесь до свого банку (або навіть просто електронної пошти), і вони НЕ отримують ваші паролі; це все трохи нерозумно.
Fattie

@Berwyn, перевага 2fa полягає в тому, що наявність декількох облікових даних, які компромісують один, не є повним компромісом, однак для цього конкретного випадку використання кожен метод аутентифікації вразливий до компромісу. Тому в цьому випадку ви хочете використовувати лише облікові дані, які є одноразовими, щоб компроміс облікових даних не мав значення. Ось чому я рекомендую OTP тільки для цього випадку використання. Другий обліковий запис іншого типу був би корисним, якби ми могли знайти іншого, не вразливого до миттєвих компромісів. Єдиний інший кандидат, який мені відомий, - це відповідь на виклик (продовження)
hildred

(продовження), але відповідь на виклик є досить складною для надійної реалізації в цьому випадку використання в тому випадку, коли публічний комп'ютер не може бути використаний для виконання будь-якого з підрахунків.
hildred

5

Альтернативою 2FA є використання пристрою USB Armory . Це підключається до USB-порту та працює незалежною ОС. Ви можете взаємодіяти з пристроєм будь-яким способом, яким ви хочете, наприклад, використовувати його як веб-сервер, ssh-клієнт або VNC / RDP-сервер, щоб пристрій сам викликав захищений сеанс із цільовим сервером. Ключі / паролі можуть залишатися на пристрої і не бути доступними для хост-комп'ютера.


6
Кожне рішення, засноване на програмному забезпеченні, недостатньо добре - що робити, якщо клавіатура помилка? Пам’ятаєте, коли Енді Девіс забив RasPi всередині док-станції Dell і натиснув Ethernet VGA та клавіатуру та відправив потік даних на модем HSDPA? Це було весело ...
chx

2
@chx Не має значення, чи клавіатура помилена, тому що ви не вводите на ній свій пароль
Berwyn

1
Враховуючи кількість відгуків коментарів @ chx, я не впевнений, чи люди розуміють, що це за пристрій. Ви можете вважати це як HSM, який виконує аутентифікацію від вашого імені. Ви б не використовували його для введення пароля, оскільки це було б безглуздо
Бервін

Це тоді пристрій U2F?
chx

1
@chx Як приклад, ввімкніть в арсенал USB та використовуйте браузер для доступу до послуги веб-пошти. Браузер на арсеналі USB може бути налаштований для автоматичного заповнення поля пароля. Пароль ніколи не залишає пристрій, окрім SSL, для сервісу веб-пошти. Ваш пароль не буде виставлений.
Бервін

3

Використовуйте двофакторну автентифікацію. Це коли, крім пароля, ви вводите послідовність символів, які ви надсилаєте (або SMS, або іншим способом). Ось так я його налаштував без, тому що в роумінгу SMS не завжди працює.

  1. Встановіть Google Authenticator для магазину Android або IOS
  2. Дотримуйтесь тут інструкцій, щоб налаштувати його.
  3. Налаштуйте свій обліковий запис google, щоб використовувати двоетапну автентифікацію за допомогою програми Authenticator. Інструкція тут

Тепер кожного разу, коли вам потрібно буде увійти, коли з’явиться запит, просто відкрийте Генератор і введіть ключ. Не хвилюйтесь, ключ змінюється кожні 15 секунд, тому навіть якщо хтось намагався увійти за допомогою записаних клавіш, він не працюватиме. Пізніше ви можете перевірити доступ, натиснувши історію доступу в самому нижньому правому куті сторінки Gmail.

Ви можете дізнатися більше про Authenticator у Вікіпедії, просто введіть Google Authenticator.


3

І Googe Mail, і Fastmail.fm підтримують U2F, щоб ви могли використовувати їх за допомогою цього ключа, якщо місце, де ви знаходитесь, дозволяє підключати випадкові USB-пристрої. Я не впевнений, які інші веб-сайти це підтримують. Якщо у вас є власний контроль, ви можете замість цього отримати Yubikey Neo та реалізувати авторизацію Yubikey для свого сайту. На жаль це рідко.


+1. У мене є юбікей, і він тримає мій приватний ключ ssh. Я можу увійти до свого VPS, щоб прочитати електронну пошту, використовуючи його.
Бервін

1
Це ідеально хороший пристрій для підключення власного комп’ютера. Підключення його до компрометованої машини, з іншого боку, не так відрізняється від введення пароля.
Дмитро Григор’єв

2

Якщо ви використовуєте два змінних пароля, це забезпечує певний захист, коли у вас є лише один сеанс у кожному Інтернет-кафе: У першому інтернет-кафе ви входите з паролем 1, а в кінці сеансу ви змінюєте пароль на пароль 2 . У другому інтернет-кафе ви робите логін із паролем 2 , а в кінці сеансу ви повертаєте пароль на пароль 1 . Якщо зловмисник аналізує лише перший введений пароль (той, який ви використовували для входу), він не може використовувати цей пароль для входу, оскільки він був змінений вами в кінці сеансу.

Такий підхід не допоможе, якщо зловмисник проаналізує повний протокол, написаний кейлоггером, але, можливо, він не такий терплячий або не здогадується, що ви просто змінили пароль в кінці сеансу.


Це передбачає, що хакер може перехопити пароль, який ви ввели на початку сеансу, але не той, який знаходиться в кінці. Як би це сталося?
Дмитро Григор’єв

Як я писав в останньому реченні своєї відповіді: Цей підхід допомагає лише в тому випадку, якщо зловмисник настільки "неохайний", що він не сканує в кінці даних, записаних реєстратором ключа, на наявність паролів. Якщо ви ввійдете в систему, напишіть кілька електронних листів, потім змініть пароль та ще кілька електронних листів, виявити другий пароль у даних, записаних реєстратором ключів, буде досить важко.
користувач1364368

Оскільки зміна пароля вимагає повторити старий, виявити це буде досить просто. Сучасні кейлоггери також прагнуть робити знімки екрана кожні кілька секунд.
Дмитро Григор’єв

1

Як уже згадували інші, існує дуже мало правил безпеки, які можна застосувати на машині, якою ви не керуєте.

Найкращим рішенням було б носити власний ноутбук, планшет, смартфон і просто запозичити підключення до Інтернету.

Як тільки ви перестаєте з’єднуватися з Інтернетом, скористайтеся постачальником VPN, щоб забезпечити своє з'єднання. Існує багато способів зробити це за допомогою браузера, який має один вбудований або VPN-клієнт на вашому мобільному телефоні. Ви можете отримати безкоштовні довічні підписки у деяких постачальників VPN за номінальну суму.

VPN забезпечує рівень конфіденційності через (загальнодоступне) підключення до Інтернету.

Далі ви можете виконати звичайні кроки безпеки, такі як включення двофакторної автентифікації у вашому обліковому записі.


VPN не захистить вас від ключових реєстраторів
EdmundYeung99

2
Звичайно, ми припускаємо, що на вашому особистому ноутбуці / комп’ютері / планшеті немає кейлогерів.
Бурхан Халід

1

Пов'язані міркування можливої ​​цінності. Чи ні.
'кафе' = Інтернет-кафе або еквівалент.

Comodo продає продукт, який дозволяє https зашифроване підключення до свого сайту, а потім з'єднання з будь-коли. Це стосується більшості вбудованих ПК та поза їх використанням - зауважте, проте, коментар jpatokal щодо кейлогерів. (Мої єдині стосунки з Comodo - це колись користувач, який платить, а іноді і користується безкоштовним продуктом.)

Я бачив інтернет-кафе, де немає доступу до належної машини - у вас є кабелі через фізичну стінку. (Це, можливо, був Дублін чи Прага (або обидва)).

Це досить часто, щоб не дозволяти користувачам кафе доступу до USB або DVD / CD

Я використовував програмне забезпечення для віддаленого доступу "Team Viewer" з Китаю для домашньої комп'ютерної системи в NZ. Це, мабуть, гірше, оскільки він має потенціал надати їм доступ до моєї системи NZ - але це дає можливість реалізувати виклик та переосмислити систему, де "другий фактор" міг би бути розумово простою, але "недостатньо невидимою" системою. У поєднанні з системою Comodos, і вам буде дуже важко зрозуміти дані кейлоггера. ... Ви можете, наприклад, переміщувати вказівник миші на віддалений екран, і якщо ви хочете зробити щось на кшталт цього сліпого з вимкненим віддаленим екраном, поки ви це робите, але миша все ще живе.

У моєму випадку я також міг би спілкуватися зі своєю дружиною через посилання - додавання якоїсь третьої сторони, яка досягає "особистої аутентифікації факторів" з далекої країни, може бути досить ефективною.

У мене був заблокований лише один раз AFAIK, коли "за кордоном". Сеанс громадського Wi-Fi в аеропорту Гонконгу призвів до того, що (AFAIK) мене закрили з GMail з Китаю лише через кілька годин (до того, як китайці заборонили GMail), але система відновлення облікового запису повернула мене назад.

________________________________________

Тільки весело: я сидів у кафе Шеньчжень поруч із великою командою китайських хлопців, що пильно грали в ту саму гру. Не моя територія, але мій син дивувався з екранів, що видно на фотографіях, які я робив, чи це були якісь з байкових шахтарів, що базуються в Китаї, які заробляють реальні долари, отримуючи та продаючи ігровий продукт для цієї конкретної гри. Невідоме і непізнаване - але весела думка.

Побачити :-) -

Вгорі - частина команди Шеньчжень. Знизу - мем, пов'язаний з Інтернетом.


1

Ви повинні зрозуміти, наскільки насправді небезпечний комп’ютер.

Припустимо, що вони:

  • Записуйте кожен зроблений вами натискання клавіші.
  • Ви намагаєтеся ввести паролі - захищені двофакторними чи ні - на інших веб-сайтах, оскільки, звичайно, ви можете переробити паролі.
  • Запишіть усе, що з’являється на екрані, включаючи все, що відкривається у вашій електронній пошті, або у вашому Facebook тощо.
  • Знайте свої контакти та, можливо, може вкрасти вашу особу.

Тепер, чи є загальнодоступні комп’ютери, які скреблі паролі на загальних веб-сайтах, але не зупиняються ні на чому іншому, що вони могли зробити, досить поширені? Я поняття не маю. Але мені дуже дивно довіряти комп’ютеру використовувати його до тих пір, поки ви можете захистити свій пароль від нього.


1

Щоб захистити свій пароль на загальнодоступному комп’ютері (або будь-якому пристрої з цього питання), використовуйте диспетчер паролів, наприклад, Maker паролів, який генерує для вас унікальний пароль.

Ви використовуєте головний пароль (який фактично не використовується для жодного веб-сайту) та цілу купу іншої інформації для створення пароля для певного веб-сайту, до якого ви хочете отримати доступ. Потім ви копіюєте + вставляєте пароль для входу, таким чином ніколи не вводячи свій пароль, і тому він не може бути захоплений реєстратором ключів.

Поєднайте це з іншими пропозиціями щодо цього запитання (використовуйте VPN, 2-факторний аутентифікатор, не використовуйте публічний комп'ютер, а скоріше використовуйте власний пристрій тощо)


1

Я збирався залишатися осторонь цього, але побачити всі ці відповіді, що дозволяють припустити двофакторну автентичність та купу наївних анти-кейлоггерських хитрощів, якимось чином зроблять все правильно, просто неймовірно.

Потокуйте: єдиний безпечний спосіб використання захищених веб-сайтів на компрометованому комп’ютері - це не їх використання . З моменту, коли ви зробили віддалений сервер (GMail, ваш банк тощо), довіряйте комп’ютеру, який ви використовуєте, вони будуть довіряти будь-якому тому, що цей комп'ютер надсилає їм, і ви мало керуєте цим.

Деякі банківські сайти знають про цю проблему і вимагають підтвердити автентифікацію кожної дії, яку ви намагаєтеся виконати , щоб переконатися, що всі дії походять від фактичного користувача. Багато інших цього не роблять. GMail, безумовно, ні. Щойно ви ввійдете в систему, він із задоволенням передасть вашим хакерським архівам хакерів, коли ви читаєте нову електронну пошту, яку ви отримали.

Якщо це звучить дивно, відкрийте GMail на двох вкладках і уявіть, що ви використовуєте один, коли хакери контролюють інший, не бачачи цього. Це має дати вам гарне уявлення про те, що відбувається на компрометованому комп’ютері.


Який із безлічі згаданих тут варіантів входу на інший комп'ютер? Я думав, що набагато складніше робити шкідливі речі так, як ви описуєтесь з VNC, оскільки є лише одна нитка.
chx

Hrm? VNC не потребує USB?
chx

VNC все ще не перешкоджатиме блогуванню клавіш, і, використовуючи його, ви можете додати апаратне забезпечення USB до комп'ютера (ви повинні запустити його звідкись), і в цей момент я б розглядав можливість відключити його шнур Ethernet і підключити його до власного ПК.
Дмитро Григор’єв

Ви припускаєте, що програмне забезпечення VNC попередньо встановлено на загальнодоступному комп'ютері? У цей момент його можна змінити, щоб забезпечити стільки ниток, скільки вважають за потрібні його автори.
Дмитро Григор’єв

1

Можна використовувати VPN та 2FA разом із USB-накопичувачем x86 (32-бітний) Windows-To-Go. Таким чином, вам не потрібно буде містити величезний список паролів чи кодів безпеки АБО ви можете просто використовувати стійкий накопичувач Linux (з VPN, звичайно)

VPN
Official WTG
Неофіційна WTG також може бути використана


-1

Один важливий трюк, про який тут ніхто не обговорював!

Ключові реєстратори фіксують ваші натискання клавіш послідовно .. період!

Ви можете змусити їх обдурити , ввівши свою першу літеру пароля, потім кілька останніх літер, після чого помістіть курсор у точне середнє місце, де ви зупинилися, і запишіть залишилися символи.

ви можете його ще більше рандомізувати, продовжуючи перемикати положення курсору. Пам'ятайте, не використовуйте клавіші зі стрілками клавіатури для перемикання курсору, не використовуйте мишу;)

Цей трюк обдурить будь-який кейлоггер, навіть той, що стосується програми.

Звичайно, це стосується лише ключових реєстраторів, у публічних комп'ютерів також може виникнути безліч інших проблем.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.