¿Estoy seguro del software de monitoreo de red si se usa HTTPS?

Voy a iniciar sesión en mi cuenta bancaria y mis cuentas de correo electrónico personales en el trabajo. No está prohibido en el trabajo, pero simplemente no quiero que guarden / registren una copia de lo que haga con estos servicios. Especialmente mis contraseñas.

Si el servicio utiliza una conexión HTTPS, ¿podrá mi empresa rastrear / guardar / registrar mis contraseñas que uso para estos servicios? ¿Qué pasa con el contenido de las páginas?

Una vez más, las reglas de mi empresa no prohíben el uso de mi cuenta de correo electrónico personal o servicios de banca por Internet, pero no quiero que sepan ninguna información importante sobre estos. Está bien si supieran que los estoy usando, pero no deberían tener acceso a mis contraseñas.

¿Puedo usarlos de manera segura (sabiendo que mi empresa no puede guardar ninguno de esos datos) si se usa HTTPS?

PD: Realmente no soy un chico de la red y no sé mucho sobre cómo funcionan estas cosas. Así que por favor no des respuestas RTFM.

Antes de responder: si un navegador le advierte que un sitio está utilizando un cifrado deficiente o que proporciona información de identidad incorrecta, es importante leer el error, comprenderlo y pensar detenidamente si desea continuar.

Respuesta corta: Sí, si está utilizando un dispositivo confiable

Respuesta larga:

Si alguien está monitoreando su conexión desde otra computadora (en algún lugar entre usted y su banco) y usted está utilizando HTTPS, y está utilizando certificados firmados con un algoritmo adecuadamente adecuado, entonces está en claro. (A menos que guarden los datos durante años y luego los lean después de que se rompa el algoritmo, pero probablemente sería mejor irrumpir en su casa y robar sus cosas;)).

Lo más probable es que, si se trata de su banco, estén utilizando certificados firmados con un cifrado adecuado. Puede verificar esto mirando la información SSL de la página, que debe mostrarse si mira la información de la página, hace clic en el nombre Azul o Verde a la izquierda en la barra de direcciones con Firefox 3.5, o hace clic en el candado para a la derecha en la barra de direcciones en IE8. Firefox también mostrará el algoritmo de cifrado utilizado si selecciona Más información después de hacer clic en el área coloreada.

Si no confía en el dispositivo que está utilizando para conectarse (como una computadora que no es la suya que podría haber sido modificada por otros), entonces es motivo de mayor preocupación. Ahora, es probable que su lugar de trabajo no haga nada ilegal como mirar su información bancaria; pero es posible que se debilite SSL si su sistema se ve comprometido. Podría ser que su computadora esté configurada para aceptar certificados firmados por un proxy (la inspección del certificado o la fijación del certificado lo frustraría). Sin embargo, la vigilancia podría estar en cualquier lugar: un keylogger ni siquiera necesitaría vencer a SSL para capturar sus credenciales bancarias, por ejemplo. SSL lo hace para que no necesite confiar en la conexión entre dos puntos finales confiables, pero si el punto final no es confiable, todas las apuestas están desactivadas.

No, no necesariamente. Su empresa puede enviar su conexión a través de un proxy que actúa como un intermediario. Es decir: todo el tráfico HTTPS va de su máquina al proxy, se descifra allí, se analiza, se cifra y se envía al servidor. Su máquina no usará el certificado de seguridad del servidor, sino que el proxy generará uno para el sitio web dado y se lo enviará, por lo que realmente tiene dos conexiones HTTPS: desde usted al proxy y desde el proxy al servidor.

En otro para que eso suceda, la empresa necesita tener un servidor de certificados para generar un certificado. Normalmente, el navegador se opondría aquí y se quejaría de que la autoridad de certificación no es de confianza, pero, por supuesto, eso puede anularse a través de políticas de grupo y similares.

Sin embargo, esto no es necesariamente un juego sucio por parte del empleador, ya que puede ser parte de un concepto antivirus o por razones legales.

En su navegador, mire el certificado. Especialmente, mire a la autoridad de certificación. Si el certificado es emitido por una CA "real" como Thawte, VeriSign, etc., eso significaría que está utilizando uno del servidor y debe estar seguro. Sin embargo, si es emitido por algo como "YourCompany-AV" o similar, entonces tiene un proxy man-in-the-middle.

En términos generales, está seguro. Debido a que cuando visita el sitio web del banco a través de la conexión https, todos los datos como el nombre de usuario y la contraseña están encriptados, es difícil descifrarlos en muy poco tiempo, a menos que conozcan muy bien el algoritmo de encriptación . Sin embargo, hay otro ataque, como el registrador de teclas, el hombre en el medio funcionará si están bien informados. Siempre preste atención al medio ambiente antes de ingresar la información confidencial.

Si está utilizando una máquina propiedad de la compañía y ha aceptado las políticas de la compañía, puede haber problemas específicos que sean específicos para su compañía. Sin conocer más detalles, diría que deberías estar seguro, pero tengo que equilibrar eso con una advertencia. Técnicamente es posible, pero si lleva una vida "normal", hay muchas cosas que enfrenta todos los días que presentan un riesgo mucho más probable para sus datos personales que el escenario sobre el que está preguntando.

Algunas cosas básicas a tener en cuenta. La compañía aún podría saber qué sitios está visitando y durante cuánto tiempo. Los datos pueden estar encriptados, pero aún deben enrutarse para que la dirección de la que van los datos esté expuesta.

El consejo en otras respuestas sobre aprovechar cualquier característica de seguridad de su navegador es bueno. Agregaré que debe tomarse un momento para revisar las políticas de su empresa relacionadas con los datos personales en las máquinas de trabajo.

Los bancos generalmente usan un cifrado de 128 bits o superior. Verifique las propiedades de su certificado SSL, o incluso solicite a uno de su soporte técnico para saber qué es. Si es inferior a 128, sugeriría no usarlo. Pero si es 128 o más, debería estar bien. A menos que alguien en la red con Ettercap, Wireshark, Shijack y un chip masivo en su hombro tenga algo en tu contra. Sin embargo, si le preocupa tanto, simplemente no use la banca neta en el trabajo. Por otra parte, ¿qué puede evitar que alguien descifre su computadora en casa para obtener su información bancaria? Probablemente estés más seguro en el trabajo. Mis gerentes apenas podían verificar el historial de mi navegador; me gustaría verlos descifrar un cifrado SHA1-RSA proporcionado por un certificado SSL.

De hecho, está a salvo simplemente porque, en general, los administradores de red tienen mejores cosas que hacer. Técnicamente, no, sus datos no son seguros. No dijo en qué campo se encontraba, pero el trabajo del centro de atención telefónica, por ejemplo, tendrá sistemas extremadamente monitoreados. El cifrado de datos no importa si las pulsaciones de teclas se registran y la pantalla se captura como parte del funcionamiento normal. Si le preocupa que los administradores puedan ver la información de su cuenta bancaria, NO use su computadora de trabajo para realizar operaciones bancarias.

Las empresas suelen utilizar servidores proxy y firewalls para el análisis de red, pero puede estar seguro de que ninguno de ellos puede detectar el tráfico https. Ese es el principio básico de https, para evitar un ataque de hombre en el medio.

Es posible guardar paquetes y romper el cifrado rsa más adelante, aunque dado que Internet se basa en la conmutación de paquetes, es poco probable que cualquier atacante tenga suficiente sustancia para reconstituir los paquetes TCP.

Todo y cualquier cosa es posible.