Cómo usar sitios web protegidos con contraseña en computadoras con Internet

36

¿Cómo puedo, si es posible, usar sitios web protegidos con contraseña (por ejemplo, GMail) en las computadoras de cibercafé?

He escuchado a personas decir que no es realmente seguro usar sitios web protegidos con contraseña en las computadoras de los cibercafés, porque pueden tener malware instalado que puede robar contraseñas que se ingresan.

Una opción sería hacer que su sitio web use autenticación de dos factores, pero eso no me parece práctico, ya que como estoy fuera de mi país de origen no necesariamente pueden enviarme un SMS, y no lo hago. quiero llevar una lista de códigos de seguridad conmigo.

Andrew Grimm
fuente
99
Estoy votando para cerrar esta pregunta como fuera de tema porque es un duplicado de webapps.stackexchange.com/questions/30721/… y security.stackexchange.com/questions/30149/…
chx
22
@chx No se puede cerrar como un duplicado, ya que es un duplicado entre sitios . Estos duplicados solo se pueden cerrar como duplicados si la pregunta se traslada a uno de estos sitios. La pregunta debe cerrarse como of-topic.
AStopher
44
Sé que no se puede cerrar como un duplicado, lo marqué como fuera de tema, lo siento si la redacción no es perfecta. Quizás debería haber dicho "ya está respondido en X e Y".
chx
66
No diría que está fuera de tema aquí, ya que este es un problema real al que se enfrentan los viajeros, pero la seguridad está llena de personas muy conocedoras en este ámbito. Eliminé la etiqueta de viaje internacional ya que lo mismo puede suceder en su cibercafé local en su ciudad.
hippietrail
17
Esto es absolutamente sobre el tema de Travel.SE, y debe permanecer abierto. Sin embargo, las publicaciones en otros SE están bien como referencias en las respuestas.
jpatokal

Respuestas:

58

Si la seguridad es solo contraseña, la respuesta es que no puede : si están registrando sus pulsaciones de teclado, su contraseña se verá comprometida, punto.

Sin embargo, el mejor sistema de autenticación de dos factores mientras está de viaje no es SMS, sino una autenticación basada en aplicaciones como Google Authenticator. Todo lo que necesita es su teléfono móvil para generar los códigos, y ni siquiera tiene que estar en la red / wifi.

Por supuesto, la mejor opción es traer su propia computadora portátil, por lo que todo lo que necesita es preocuparse por el wifi comprometido.

jpatokal
fuente
3
Si puede usar el autenticador de Google, ¿por qué no usaría Gmail en su teléfono?
Berwyn
19
@Berwyn Puede que no sea posible conectar el teléfono a Internet. O la interfaz de usuario limitada en el teléfono podría no ser suficiente para lo que necesita hacer en línea.
kasperd
3
@kasperd Olvidé que la autenticación de Google estaba basada en el tiempo. Estaba pensando en Duo Mobile que había estado usando recientemente. Buen punto
Berwyn
44
@ l0b0 Si tienes espías siguiendo cada movimiento en tiempo real, probablemente tengas problemas más grandes. Además, estoy bastante seguro de que la mayoría de los sitios principales marcarían múltiples inicios de sesión simultáneos con el mismo código 2FA como sospechoso.
jpatokal
2
@MichaelHampton cuando se usa TOTP, generalmente se tolera una compensación de unos pocos minutos . Debería poder configurar manualmente el reloj de su teléfono con unos minutos de precisión. Lo único que debe tener en cuenta es configurar la zona horaria correctamente (de lo contrario, la hora se ve correctamente en el teléfono, ¡pero en realidad es un par de horas libres!)
Josef
10

El comportamiento correcto NO es confiar en la computadora.

Cuando inicio sesión en uno, si no puedo insertar una memoria USB con mi propia copia de Firefox para navegar, cargaré la suya, pero me aseguraré de que se actualice primero a la última versión, por seguridad (o cualquier otro navegador que puedan usar).

Luego verificaré las tareas en ejecución en la máquina y veré si algo parece sospechoso. Esto es más difícil para alguien no técnico, ya que es posible que no sepa qué procesos son parte de Windows, etc., pero es un paso.

Para su contraseña real, si le preocupa el registro de teclas, siempre puede escribir una letra, luego, en un bloc de notas abierto, escriba un montón de basura, luego la siguiente letra y repita. A menos que su keylogger sea lo suficientemente sofisticado como para ser específico de la aplicación, por supuesto.

En ese punto, querrás considerar la autenticación de dos factores. Obtenga un SMS o un mensaje en la aplicación con un código que ingrese (se puede configurar Gmail y más para esto) o un código QR que su teléfono escanea en la pantalla (la web de Whatsapp hace esto).

Si te estás volviendo realmente elegante, puedes pegar un sistema operativo en una memoria USB, preconstruido con el navegador de tu elección, etc. y luego arrancar la máquina para eso, pero depende de que puedas acceder al BIOS, o qué otro restricciones de administrador que han colocado en la computadora (o incluso si puede llegar al puerto USB).

Después, borro el caché, las cookies, etc. del navegador, y también tiendo a reiniciar la computadora cuando me voy, ya que algunos cibercafés están configurados para reinstalar todo desde cero en el reinicio, borrando cualquier rastro de que haya estado allí (una vez trabajé en un cibercafé donde hicimos esto).

Mark Mayo apoya a Monica
fuente
8
luego, en un bloc de notas abierto, escriba un montón de basura. Eso es inútil hoy en día. Muchos keyloggers tienen capacidades de captura de pantalla.
13
@ MarkMayo Una aplicación que se ejecuta en el mismo contexto de usuario en una máquina Windows puede capturar el contenido de un campo de contraseña, ya sea que se muestre en la pantalla o no. Estoy seguro de que hay aplicaciones de estilo de registrador de teclas que hacen esto automáticamente, ya que peinar las teclas para encontrar una contraseña ya es aburrido. El hecho es que puedes hacer las cosas un poco más difíciles para el atacante, pero si él controla la máquina, tus esfuerzos son en gran medida inútiles.
Calchas
1
@Calchas estuvo de acuerdo, casi lo mismo que si una cámara de video apuntara sutilmente al usuario. Nada es totalmente seguro, pero 2FA ayuda mucho en estos días.
Mark Mayo apoya a Monica
13
Lo único que puedes lograr al insertar tu memoria USB con Firefox portátil es infectarla con virus. Ejecutar software desde el propio disco en una computadora comprometida no lo hace menos comprometido.
R ..
66
¿De qué sirve usar su propia copia de Firefox en una máquina comprometida?
Berwyn
6

¿Cómo puedo, si es posible, usar sitios web protegidos con contraseña (por ejemplo, GMail) en las computadoras de cibercafé?

No puede, al menos sin usar la autenticación de dos factores (o algún otro tipo de token que sea independiente de la máquina local). Debe considerar que todo lo escrito o visto en una máquina pública es información pública.

A menos que haya ejercido una supervisión total sobre la máquina y el software desde que fue construida, no puede confiar en que la máquina no interceptará su contraseña y todas las demás pulsaciones de teclas. Sin un segundo factor de autenticación, esto será suficiente para acceder a todos sus datos, ya sea en tiempo real o más tarde.

Esta intercepción podría ocurrir a nivel de software (que en la mayoría de los casos puede vencer al llevar una memoria USB que contenga su propio sistema operativo) o a nivel de hardware.

Calchas
fuente
Si los operadores tienen alguna competencia, se deshabilitará el arranque desde USB. Y si tienen una competencia promedio, se deshabilitará la ejecución de aplicaciones desde USB o la instalación de máquinas virtuales. E incluso si usa dos factores, no hay garantía de que no estén guardando capturas de pantalla o que estén usando un navegador modificado para capturar texto de las páginas que busca y el otro texto (sin contraseña) que escribe.
WGroleau
@WGroleau, pero ¿por qué asumirías que los operadores son competentes? :)
Calchas
Si te preocupan los espías, ¿por qué asumirías que no lo son? He estado en lugares donde se instalaron estas protecciones simples cuando otras cosas indicaban incompetencia de TI.
WGroleau
3
Por otro lado, intentar arrancar USB tendrá éxito o fallará, sin daño. A menos que sean REALMENTE talentosos y sepan detectar el intento y borrar su palo. Leí un artículo no hace mucho sobre un exploit que involucraba una ROM de arranque modificada que infectaría los dispositivos USB tan pronto como estuvieran conectados.
WGroleau
6

Todos dicen autenticación de dos factores. En su mayoría, están equivocados, ya que en la mayoría de los casos, dos factores son una contraseña y algo más, y esto definitivamente arriesgará comprometer la contraseña y puede comprometer la otra cosa. Dos factores pueden ser útiles, pero la mejor solución son las credenciales de un solo uso. Si tiene un dispositivo confiable como un teléfono celular que puede usar para cambiar su contraseña, puede cambiar la contraseña, usar la computadora no confiable y luego volver a cambiar su contraseña. Esto presenta una ventana limitada donde la contraseña es vulnerable, pero puede ser demasiado larga. Las contraseñas de un solo uso son una mejor solución para este caso de uso. Hay varias implementaciones de contraseñas de un solo uso que varían de libros a TOTP (autenticador de Google). El único desafío es que todos estos requieren soporte del lado del servidor, que es irregular en el mejor de los casos.

hildred
fuente
1
Entonces, ¿estás diciendo que 1FA es mejor que 2FA? ;)
Berwyn
Sí, en cierto sentido, 1F es mejor que 2F, porque el problema abrumador es el factor humano. Si está a punto de ser MITM en camino a su banco de Luxemburgo para usuarios ingenuos (es decir, 99.999999999999999999999999999999999999999999999999999999% de seres humanos vivos), el 2F es una ilusión. Para decirlo de manera más simple, 2F está convenciendo a las personas de que está bien usar dispositivos físicos realmente inseguros. Toda la charla sobre la captura de contraseña aquí por parte de no expertos es un buen ejemplo: hay muchas cosas malas que pueden sucederle si se conecta a su banco (o incluso solo por correo electrónico) y NO obtienen sus contraseñas; Todo es un poco tonto.
Fattie
@Berwyn, la ventaja de 2fa es que al tener varias credenciales comprometidas, una no es un compromiso total, sin embargo, para este caso de uso específico, todos los métodos de autenticación son vulnerables. Por lo tanto, para este caso, solo desea utilizar credenciales que sean desechables, de modo que el compromiso de las credenciales no importe. Es por eso que recomiendo OTP solo para este caso de uso. Una segunda credencial de un tipo diferente sería valiosa si pudiéramos encontrar otra que no fuera vulnerable a un compromiso instantáneo. El único otro candidato que conozco es una respuesta de desafío (cont.)
hildred
(cont.) pero la respuesta de desafío es bastante complicada de implementar de manera segura en este caso de uso, ya que la computadora pública no puede usarse para realizar ninguno de los cálculos involucrados.
hildred
5

Una alternativa a 2FA es usar un dispositivo USB Armory . Esto se conecta a su puerto USB y ejecuta un sistema operativo independiente. Puede interactuar con el dispositivo de cualquier forma que desee, como usarlo como un servidor web, un cliente ssh o un servidor VNC / RDP para que el dispositivo invoque la sesión segura con el servidor de destino. Las claves / contraseñas pueden permanecer en el dispositivo y no ser accesibles para la computadora host.

Berwyn
fuente
66
Todas las soluciones basadas en software no son lo suficientemente buenas, ¿y si el teclado tiene errores? ¿Recuerdas cuando Andy Davis metió un RasPi dentro de un dock de Dell y tocó el teclado y el VGA Ethernet y envió el flujo de datos a un módem HSDPA? Eso fue divertido ...
chx
2
@chx No importa si el teclado está dañado, porque no ingresas tu contraseña en él
Berwyn
1
Dado el número de votos a favor del comentario de @ chx, no estoy seguro de si la gente entiende qué es este dispositivo. Puede considerarlo como un HSM que realiza la autenticación en su nombre. No lo usaría para escribir una contraseña, ya que eso no tendría sentido
Berwyn
¿Es un dispositivo U2F entonces?
chx
1
@chx Como ejemplo, vnc en el arsenal de USB y use un navegador para acceder a un servicio de correo web. El navegador en el arsenal USB se puede configurar para autocompletar el campo de contraseña. La contraseña nunca dejaría el dispositivo, excepto a través de SSL, al servicio de correo web. Su contraseña no estaría expuesta.
Berwyn
3

Utilice la autenticación de dos factores. Esto es cuando, además de una contraseña, coloca una secuencia de caracteres que se le envía (ya sea por SMS o de otra manera). Así es como lo configuro sin, porque en roaming SMS no siempre funciona.

  1. Instalar Google Authenticator para Android o tienda IOS
  2. Siga las instrucciones aquí para configurarlo.
  3. Configure su cuenta de google para usar la autenticación de dos pasos con su aplicación Authenticator. Las instrucciones estan aqui

Ahora, cada vez que necesite iniciar sesión, cuando se le solicite, simplemente abra el Autenticador y coloque la clave. No se preocupe, la clave cambia cada 15 segundos, por lo que incluso si alguien intenta iniciar sesión con las claves que grabó, no funcionará. Y luego puede verificar el acceso haciendo clic en el historial de acceso en la parte inferior derecha de su página de Gmail.

Puede consultar más sobre Authenticator en Wikipedia, simplemente escriba Google Authenticator.

Jangita
fuente
3

Googe Mail y Fastmail.fm son compatibles con U2F, por lo que puede usarlos a través de esa tecla si el lugar donde está permite conectar dispositivos USB aleatorios. No estoy seguro de qué otros sitios web lo admiten. Si tiene su propio control, podría obtener un Yubikey Neo e implementar la autenticación Yubikey para su sitio. Por desgracia es raro.

chx
fuente
+1. Tengo un yubikey y contiene mi clave privada ssh. Puedo iniciar sesión en mi VPS para leer mi correo electrónico usándolo.
Berwyn
1
Este es un dispositivo perfectamente bueno para conectar su propia computadora. Conectarlo a una máquina comprometida, por otro lado, no es tan diferente de escribir su contraseña.
Dmitry Grigoryev
2

Si usa dos contraseñas alternativas, esto proporciona un poco de protección cuando solo tiene una sesión en cada cibercafé: en el primer cibercafé inicia sesión con la contraseña 1 y al final de la sesión cambia la contraseña a contraseña 2 . En el segundo cibercafé, inicia sesión con la contraseña 2 , y al final de la sesión cambia la contraseña a la contraseña 1 . Si el atacante solo analiza la primera contraseña que ingresó (la que usó para iniciar sesión), entonces no puede usar esta contraseña para iniciar sesión porque usted la cambió al final de la sesión.

Este enfoque no ayudará si el atacante analiza el protocolo completo escrito por el keylogger, pero tal vez no sea tan paciente o no tenga la idea de que simplemente cambió la contraseña al final de la sesión.

usuario1364368
fuente
Esto supone que el pirata informático puede interceptar la contraseña que ingresas al comienzo de la sesión, pero no la que está al final. ¿Cómo sucedería eso?
Dmitry Grigoryev
Como escribí en la última oración de mi respuesta: este enfoque ayuda solo si el atacante es tan "descuidado" que no escanea el final de los datos registrados por el registrador de claves en busca de contraseñas. Si inicia sesión, escribe algunos correos electrónicos, luego cambia la contraseña y escribe más correos electrónicos, será bastante difícil detectar la segunda contraseña en los datos registrados por el registrador de teclas.
user1364368
Dado que cambiar la contraseña generalmente requiere que repita la anterior, sería bastante fácil de detectar. Los keyloggers modernos también tienden a tomar capturas de pantalla cada pocos segundos.
Dmitry Grigoryev
1

Como otros han mencionado, hay muy pocas reglas de seguridad que puede aplicar en una máquina que no controla.

La mejor solución sería llevar su propia computadora portátil, tableta, teléfono inteligente y simplemente tomar prestada la conexión a Internet.

Una vez que obtenga la conexión a Internet, use un proveedor de VPN para asegurar su conexión. Hay muchas maneras de hacerlo utilizando un navegador que tenga uno incorporado o un cliente VPN en su dispositivo móvil. Puede obtener suscripciones gratuitas de por vida en algunos proveedores de VPN por una cantidad nominal.

La VPN proporciona un nivel de privacidad a través de la conexión a Internet (pública).

A continuación, puede seguir los pasos de seguridad normales, como habilitar la autenticación de dos factores en su cuenta.

Burhan Khalid
fuente
una VPN no lo protegerá de los registradores clave
EdmundYeung99
2
Por supuesto, asumimos que no hay keyloggers en su computadora portátil / computadora / tableta personal.
Burhan Khalid
1

Reflexiones relacionadas de posible valor. O no.
'cafe' = cibercafé o equivalente.

Comodo vende un producto que permite la conexión encriptada https a su sitio y luego la conexión a cualquier lugar. Eso aborda la mayoría de las vulnerabilidades en la PC y más allá: tenga en cuenta sin embargo el comentario de jpatokal sobre los keyloggers. (Mi única relación con Comodo es como usuario que a veces paga y a veces usa productos gratis).

He visto cibercafés donde NO había acceso a la máquina propiamente dicha: tienes cables a través de una pared física. (Eso puede haber sido Dublín o Praga (o ambos)).

Es lo suficientemente común como para no permitir que los usuarios de café accedan a USB o DVD / CD

He utilizado el software de acceso remoto "Team Viewer" de China a un sistema informático doméstico en Nueva Zelanda. Probablemente eso sea peor, ya que tiene el potencial de darles acceso a mi sistema NZ, pero les da la capacidad de implementar un sistema de desafío y resonancia en el que el "segundo factor" podría ser un sistema mentalmente simple pero "lo suficientemente inocente". Combine eso con el sistema Comodos y le resultará muy difícil entender los datos del keylogger. ... Puede, por ejemplo, mover el puntero del mouse sobre una pantalla remota y, si está lo suficientemente interesado, haga algo como esa persiana con una pantalla remota desactivada mientras lo hace, pero el mouse aún está vivo.

En mi caso, también podría comunicarme con mi esposa a través del enlace: agregar un tercero que logre la "autenticación de factor personal" de un país distante puede ser razonablemente efectivo.

Solo tuve mi acceso comprometido una vez AFAIK cuando estaba "en el extranjero". Una sesión de WiFi pública en el aeropuerto de Hong Kong provocó que (AFAIK) me excluyera de GMail de China solo unas pocas horas después (antes de que los chinos prohibieran GMail), pero el sistema de recuperación de cuenta me devolvió.

________________________________________

Solo diversión: me he sentado en un café de Shenzhen junto a un gran equipo de chinos jugando intensamente el mismo juego. No es mi territorio, pero mi hijo se preguntó desde las pantallas visibles en las fotos que tomé si estos eran algunos de los mineros legendarios con sede en China que ganan $ reales obteniendo y vendiendo productos para ese juego específico. Desconocido e incognoscible, pero un pensamiento divertido.

Ver :-) -

Arriba: parte del equipo de Shenzhen. Abajo: 'meme' relacionado con internet.

Russell McMahon
fuente
1

Debe comprender cuán insegura es realmente una computadora insegura.

Supongamos que ellos:

  • Están grabando cada pulsación de tecla que realiza.
  • Intenta contraseñas que ingrese, protegidas por dos factores o no, en otros sitios web, ya que, por supuesto, puede reciclar contraseñas.
  • Registre todo lo que aparece en la pantalla, incluido todo lo que esté abierto en su correo electrónico o en su Facebook, etc.
  • Conozca a sus contactos, y probablemente pueda robar su identidad.

Ahora, ¿son las computadoras públicas que raspan las contraseñas a sitios web comunes, pero se detienen ante cualquier otra cosa que puedan hacer, lo suficientemente común? No tengo idea. Pero es muy extraño para mí confiar en una computadora para usarla siempre que pueda proteger su contraseña.

djechlin
fuente
1

Para proteger su contraseña en una computadora pública (o cualquier dispositivo), use un administrador de contraseñas como Password Maker que genera una contraseña única para usted, por sitio web.

Utiliza una contraseña maestra (que en realidad no se usa para ningún sitio web) y un montón de otra información para generar una contraseña para un sitio web en particular al que desea acceder. Luego copie y pegue la contraseña para iniciar sesión, por lo tanto, nunca escriba su contraseña y, por lo tanto, no podrá ser capturada por un registrador de claves.

Combine esto con las otras sugerencias en estas preguntas y respuestas (use una VPN, 2 Factor Auth, no use una computadora pública, sino que use su propio dispositivo, etc.)

EdmundYeung99
fuente
1

Me iba a quedar fuera de esta, pero ver todas estas respuestas sugiriendo autenticación de dos factores y un montón de ingenuos trucos anti-keylogger de alguna manera hará las cosas bien es simplemente increíble.

Sumérjalo: la única forma segura de usar sitios web seguros en una computadora comprometida es no usarlos . Desde el momento en que hizo que un servidor remoto (GMail, su banco, etc.) confíe en la computadora que está utilizando, ellos confiarán en lo que sea que esa computadora les envíe, y usted tiene poco control sobre eso.

Algunos sitios bancarios son conscientes de este problema y requieren que autentique cada acción que intenta realizar para asegurarse de que todas las acciones procedan del usuario real. Muchos otros no lo hacen. GMail ciertamente no. Una vez que haya iniciado sesión, felizmente entregará su archivo de correo a los piratas informáticos mientras lee el nuevo correo electrónico que ha recibido.

Si esto suena sorprendente, abre GMail en dos pestañas e imagina que estás usando uno mientras los hackers controlan el otro, sin que lo veas. Eso debería darle una buena idea de lo que está sucediendo en una computadora comprometida.

Dmitry Grigoryev
fuente
¿Qué hay de las muchas opciones mencionadas aquí de iniciar sesión en otra computadora? Pensé que es mucho más difícil hacer cosas maliciosas de la manera que describes con VNC, ya que solo hay un hilo.
chx
Hrm? ¿VNC no requiere USB?
chx
VNC aún no evitará el registro de teclas, y al usarlo se supone que puede agregar hardware USB a la computadora (debe hacerlo funcionar desde algún lugar), momento en el que consideraría desconectar su cable Ethernet y enchufarlo a mi propia PC.
Dmitry Grigoryev
¿Asume que el software VNC está preinstalado en la computadora pública? En ese momento, podría modificarse para proporcionar tantos hilos como sus autores lo consideren conveniente.
Dmitry Grigoryev
1

Puede usar VPN y 2FA junto con una unidad USB Windows-To-Go x86 (32 bits). De esta manera, no necesitará llevar una gran lista de contraseñas o códigos de seguridad O simplemente podría usar una unidad de almacenamiento persistente de Linux (con VPN, por supuesto)

VPN
oficial WTG WTG
no oficial también se puede utilizar

Devansh Parapalli
fuente
-1

¡Un truco importante que nadie discutió aquí!

Los registradores de teclas registran sus pulsaciones de teclas en secuencia ... punto

Puede hacerlos perder el tiempo escribiendo su primera letra de la contraseña, luego algunas últimas letras, luego coloque el cursor en el punto medio exacto donde lo dejó y escriba los caracteres restantes.

puedes aleatorizarlo aún más cambiando la posición del cursor. Recuerde no usar las teclas de flecha del teclado para cambiar el cursor, use el mouse;)

Este truco engañará a cualquier keylogger, incluso el que es específico de la aplicación.

Por supuesto, esto es solo para los registradores clave, las computadoras públicas también pueden tener muchos otros problemas.

Umair
fuente