Como usar com segurança sites protegidos por senha em computadores com internet cafe

35

Como posso, se possível, usar com segurança sites protegidos por senha (por exemplo, GMail) em computadores com internet cafe?

Eu ouvi pessoas dizerem que não é realmente seguro usar sites protegidos por senha em computadores com lan houses, porque eles podem ter um malware instalado que pode roubar senhas digitadas.

Uma opção seria fazer com que seu site usasse autenticação de dois fatores, mas isso não parece prático para mim, já que, como estou fora do meu país, eles não podem necessariamente enviar um SMS para mim, e eu Não quero levar uma lista de códigos de segurança comigo.

    
por Andrew Grimm 18.09.2016 / 13:29

15 respostas

Se a segurança é apenas a senha, a resposta é que você não pode : se eles estão registrando suas combinações de teclas, sua senha será comprometida, ponto final.

No entanto, o melhor sistema de autenticação de dois fatores em trânsito não é o SMS, mas a autenticação baseada em aplicativo , como o Google Authenticator. Tudo o que você precisa é do seu celular para gerar os códigos, e nem precisa estar na rede / wifi.

É claro que a melhor opção é trazer seu próprio laptop, então tudo que você precisa se preocupar é comprometer o wifi.

    
18.09.2016 / 13:41

O comportamento correto NÃO é confiar no computador.

Quando eu fizer login em um, se eu não puder inserir um pendrive com minha própria cópia do Firefox para navegação, eu vou carregar o arquivo deles, mas vou ter certeza de que ele está atualizado primeiro para a versão mais recente, para segurança (ou qualquer outro navegador que eles possam usar).

Vou então verificar as tarefas em execução na máquina e ver se alguma coisa parece suspeita. Isso é mais difícil para alguém que não é técnico, pois você pode não saber quais processos fazem parte do Windows, etc., mas é um passo.

Para a sua senha real, se você estiver preocupado com o keylogging, você pode sempre digitar uma letra, depois, em um bloco de notas aberto, digitar um monte de lixo, depois a próxima letra e repetir. A menos que seu keylogger seja sofisticado o suficiente para ser específico do aplicativo, é claro.

Nesse ponto, você desejará considerar a autenticação de dois fatores. Obtenha um SMS ou uma mensagem no aplicativo com um código que você digita (o Gmail e muito mais podem ser configurados para isso) ou um código QR que o seu telefone escaneia na tela (o WhatsApp faz isso).

Se você está ficando realmente chique, pode colocar um sistema operacional em um pendrive, pré-construído com o navegador de sua escolha, etc. e depois inicializar a máquina, mas isso depende de você poder entrar no BIOS, ou que outras restrições de administração colocaram no computador (ou se você pode até mesmo acessar a porta USB).

Depois, limpe o cache, os cookies, etc. do navegador, e tento reiniciar o computador quando saio também, pois alguns cybercafés estão configurados para reinstalar tudo do zero na reinicialização, apagando qualquer sinal de que eu estava lá (Eu já trabalhei em um café internet onde fizemos isso).

    
18.09.2016 / 13:49

How can I, if possible, safely use password-protected websites (eg GMail) on internet cafe computers?

Você não pode, pelo menos, sem usar dois fatores de autenticação (ou algum outro tipo de token que seja independente da máquina local). Você deve considerar qualquer coisa digitada ou visualizada em uma máquina pública como informação pública.

A menos que você tenha exercido total supervisão sobre a máquina e o software nela desde que foi construída, você não pode confiar na máquina para não interceptar sua senha e todas as outras teclas digitadas. Sem um segundo fator de autenticação, isso será suficiente para acessar todos os seus detalhes, em tempo real ou mais tarde.

Essa interceptação pode acontecer no nível do software (que você pode, na maioria dos casos, derrotar carregando um pendrive contendo seu próprio sistema operacional) ou no nível do hardware.

    
18.09.2016 / 13:42

Todos estão dizendo a autenticação de dois fatores. Eles estão, na maioria das vezes, errados, em que dois fatores são, na maioria dos casos, uma senha e outra coisa, e isso certamente arriscará comprometer a senha e comprometer a outra coisa. Dois fatores podem ser úteis, mas a melhor solução são credenciais de uso único. Se você tiver um dispositivo confiável, como um celular, que possa usar para alterar sua senha, poderá alterar a senha, usar o computador não confiável e depois alterar sua senha novamente. Isso apresenta uma janela limitada, onde a senha é vulnerável, mas pode ser muito longa. Senhas únicas são uma solução melhor para este caso de uso. Existem várias implementações de senhas únicas que variam de livros a TOTP (google authenticator). O único desafio é que todos eles exigem suporte no lado do servidor, que é, na melhor das hipóteses, instável. No momento, o conselho de melhores práticas para os usuários é não.

    
20.09.2016 / 02:16

Uma alternativa ao 2FA é usar um dispositivo USB Armory . Isso se conecta à sua porta USB e executa um sistema operacional independente. Você pode interagir com o dispositivo da maneira que desejar, como usá-lo como um servidor da Web, um cliente ssh ou um servidor VNC / RDP para que o próprio dispositivo invoque a sessão segura com o servidor de destino. As chaves / senhas podem permanecer no dispositivo e não ficar acessíveis ao computador host.

    
18.09.2016 / 17:52

Use a autenticação de dois fatores. É quando, além de uma senha, você insere uma sequência de caracteres para os quais é enviada (por SMS ou de outra forma). É assim que eu o configuro sem porque o SMS em roaming nem sempre funciona.

  1. Instale o Google Authenticator para Android ou IOS store
  2. Siga as instruções aqui para configurá-lo.
  3. Configure sua conta do Google para usar a autenticação em duas etapas usando o aplicativo Autenticador. As instruções são aqui

Agora, toda vez que você precisar fazer o login, quando solicitado, basta abrir o Autenticador e inserir a chave. Não se preocupe, a chave muda a cada 15 segundos, portanto, mesmo que alguém tente fazer login com as chaves que gravou, não funcionará. Além disso, você pode verificar o acesso clicando no histórico de acesso no canto inferior direito da sua página do Gmail.

Você pode conferir mais sobre o Authenticator na Wikipedia, basta digitar o Google Authenticator.

    
18.09.2016 / 16:06

Googe Mail e Fastmail.fm suportam U2F para que você possa usá-los através dessa tecla se o lugar onde você está permite conectar dispositivos USB aleatórios. Não tenho certeza do que outros sites suportam. Se você tem o seu próprio controle, você pode obter um Yubikey Neo e implementar a autenticação do Yubikey para o seu site. É muito raro.

    
19.09.2016 / 17:15

Se você usa duas senhas alternadas, isso oferece um pouco de proteção quando você tem apenas uma sessão em cada cybercafé: Na primeira lan house você faz o login com a senha 1 e no final do sessão você muda a senha para senha 2 . Na segunda internet café você faz o login com senha 2 , e no final da sessão você altera a senha de volta para senha 1 . Se o atacante só analisar a primeira senha digitada (aquela que você usou para o login), ele não poderá usar essa senha para um login porque ela foi alterada por você no final da sessão.

Essa abordagem não ajudará se o atacante analisar o protocolo completo escrito pelo keylogger, mas talvez ele não seja tão paciente ou não tenha a ideia de que você simplesmente alterou a senha no final da sessão. / p>     

19.09.2016 / 09:01

Como outros já mencionaram, existem poucas regras de segurança que você pode impor em uma máquina que você não controla.

A melhor solução seria carregar seu próprio laptop, tablet, smartphone e simplesmente pedir emprestado a conexão com a Internet.

Quando você tiver acesso à conexão com a Internet, use um provedor de VPN para proteger sua conexão. Existem muitas maneiras de fazer isso usando um navegador que tenha um embutido, ou um cliente VPN em seu celular. Você pode obter assinaturas vitalícias gratuitas em alguns provedores de VPN por um valor nominal.

A VPN oferece um nível de privacidade sobre a conexão com a Internet (pública).

Em seguida, você pode seguir as etapas normais de segurança, como ativar a autenticação de dois fatores na sua conta.

    
19.09.2016 / 09:05

Reflexões relacionadas de valor possível. Ou não.
'cafe' = internet café ou equivalente.

Comodo vender um produto que permite https conexão criptografada ao seu site e, em seguida, conexão para onde quer que seja. Que aborda a maioria dos exploits no PC e além - Observe, no entanto, o comentário do jpatokal sobre keyloggers. (Meu único relacionamento com a Comodo é como um usuário que paga por algum tempo e às vezes usa produtos gratuitos.)

Eu vi o internet cafe onde não havia acesso à máquina adequada - você tem cabos através de uma parede física. (Isso pode ter sido Dublin ou Praga (ou ambos)).

É bastante comum não permitir que os usuários de café acessem USB ou DVD / CD

Eu usei o software de acesso remoto "Team Viewer" da China para um sistema de computador doméstico na Nova Zelândia. Isso é provavelmente pior, pois tem o potencial de dar-lhes acesso ao meu sistema NZ - mas dá a capacidade de implementar um sistema de desafio e ressonância onde o "2º fator" poderia ser um sistema mentalmente simples, mas "insuficiente o suficiente". Junte isso com o sistema Comodos e você estará tornando muito difícil entender os dados do keylogger. ... Você pode, por exemplo, mover um ponteiro do mouse sobre uma tela remota e, se estiver interessado, faça algo parecido com aquele cego com uma tela remota desabilitada enquanto faz isso, mas o mouse ainda está ativo.

No meu caso, eu também poderia me comunicar com minha esposa através do link - adicionar alguma terceira parte que alcança a "autenticação de fator pessoal" de um país distante é passível de ser razoavelmente efetiva.

Eu só tive meu acesso comprometido quando a AFAIK estava "no exterior". Uma sessão pública WiFi no aeroporto de Hong Kong resultou em (AFAIK) eu ser trancado fora do GMail da China apenas algumas horas depois (antes do GMail barrado na China), mas o sistema de recuperação de conta me trouxe de volta.

19.09.2016 / 12:33

Você deve entender como um computador inseguro realmente é inseguro.

Suponha que eles:

  • Está gravando cada tecla pressionada que você faz.
  • Estão tentando senhas que você insere - protegidas por dois fatores ou não - em outros sites, pois é claro que você pode reciclar senhas.
  • Grave tudo o que aparece na tela, incluindo qualquer coisa aberta no seu e-mail, no seu Facebook ou assim por diante.
  • Conheça seus contatos e provavelmente poderá roubar sua identidade.

Agora, os computadores públicos que coletam senhas de sites comuns, mas não têm mais nada que possam fazer, são comuns o suficiente? Eu não faço ideia. Mas é muito estranho confiar em um computador para usá-lo, desde que você possa proteger sua senha dele.

    
20.09.2016 / 03:33

Para proteger sua senha em um computador público (ou em qualquer dispositivo), use um gerenciador de senhas, como o Criador de senhas que gera uma senha exclusiva para você, por site.

Você usa uma senha mestra (que não é realmente usada para qualquer site) e um monte de outras informações para gerar uma senha para um site específico que você deseja acessar. Você então copia + cola a senha para logar assim nunca digitando sua senha e então ela não pode ser capturada por um keylogger.

Combine isso com as outras sugestões sobre este Q & A (use uma VPN, 2 Factor Auth, não use um computador público, mas use seu próprio dispositivo, etc.)

    
20.09.2016 / 05:21

Eu ia ficar de fora desta, mas ver todas estas respostas sugerindo autenticação de dois fatores e um monte de truques ingênuos anti-keylogger vai de alguma forma fazer as coisas certas é simplesmente incrível.

Associe: a única forma segura de usar sites seguros em um computador comprometido é não usá-los . A partir do momento que você fez um servidor remoto (GMail, seu banco, etc.) confiar no computador que está usando, eles irão confiar em qualquer coisa que o computador esteja enviando para eles, e você terá pouco controle sobre isso.

Alguns sites de bancos estão cientes desse problema e exigem que você autentique todas as ações que está tentando executar , para garantir que todas as ações sejam do usuário real. Muitos outros não. GMail certamente não. Uma vez que você estiver logado, ele irá entregar seu arquivo de e-mails aos hackers enquanto você estiver lendo o novo e-mail que você recebeu.

Se isso soa surpreendente, abra o Gmail em duas guias e imagine que você está usando uma, enquanto os hackers controlam a outra, sem que você a veja. Isso deve dar uma boa ideia do que está acontecendo em um computador comprometido.

    
20.09.2016 / 14:31

Você pode usar VPN e 2FA juntamente com uma unidade USB x86 (32 bits) do Windows-To-Go. Dessa forma, você não precisará realmente carregar uma lista enorme de senhas ou códigos de segurança, ou você pode simplesmente usar uma unidade de armazenamento persistente do Linux (com a VPN, é claro)

VPN
WTG Oficial
WTG não oficial também pode ser usado

    
19.09.2016 / 16:09

Um truque importante que ninguém discutiu aqui!

Key loggers registram seus pressionamentos de tecla na seqüência .. período!

Você pode fazê-los enganar digitando sua primeira letra da senha, depois algumas últimas letras, depois coloque o cursor no ponto médio exato de onde parou e escreva os caracteres restantes.

você pode randomizá-lo ainda mais, mantendo a posição do cursor. Lembre-se de não usar as teclas de seta do teclado para alternar o cursor, use mouse;)

Este truque irá enganar qualquer keylogger, mesmo aquele que é específico da aplicação.

Claro que isso é apenas para key loggers, computadores públicos podem ter muitos outros problemas também.

    
20.09.2016 / 09:33