¿Cómo puedo, si es posible, usar sitios web protegidos con contraseña (por ejemplo, GMail) en las computadoras de cibercafé?
He escuchado a personas decir que no es realmente seguro usar sitios web protegidos con contraseña en las computadoras de los cibercafés, porque pueden tener malware instalado que puede robar contraseñas que se ingresan.
Una opción sería hacer que su sitio web use autenticación de dos factores, pero eso no me parece práctico, ya que como estoy fuera de mi país de origen no necesariamente pueden enviarme un SMS, y no lo hago. quiero llevar una lista de códigos de seguridad conmigo.
Respuestas:
Si la seguridad es solo contraseña, la respuesta es que no puede : si están registrando sus pulsaciones de teclado, su contraseña se verá comprometida, punto.
Sin embargo, el mejor sistema de autenticación de dos factores mientras está de viaje no es SMS, sino una autenticación basada en aplicaciones como Google Authenticator. Todo lo que necesita es su teléfono móvil para generar los códigos, y ni siquiera tiene que estar en la red / wifi.
Por supuesto, la mejor opción es traer su propia computadora portátil, por lo que todo lo que necesita es preocuparse por el wifi comprometido.
fuente
El comportamiento correcto NO es confiar en la computadora.
Cuando inicio sesión en uno, si no puedo insertar una memoria USB con mi propia copia de Firefox para navegar, cargaré la suya, pero me aseguraré de que se actualice primero a la última versión, por seguridad (o cualquier otro navegador que puedan usar).
Luego verificaré las tareas en ejecución en la máquina y veré si algo parece sospechoso. Esto es más difícil para alguien no técnico, ya que es posible que no sepa qué procesos son parte de Windows, etc., pero es un paso.
Para su contraseña real, si le preocupa el registro de teclas, siempre puede escribir una letra, luego, en un bloc de notas abierto, escriba un montón de basura, luego la siguiente letra y repita. A menos que su keylogger sea lo suficientemente sofisticado como para ser específico de la aplicación, por supuesto.
En ese punto, querrás considerar la autenticación de dos factores. Obtenga un SMS o un mensaje en la aplicación con un código que ingrese (se puede configurar Gmail y más para esto) o un código QR que su teléfono escanea en la pantalla (la web de Whatsapp hace esto).
Si te estás volviendo realmente elegante, puedes pegar un sistema operativo en una memoria USB, preconstruido con el navegador de tu elección, etc. y luego arrancar la máquina para eso, pero depende de que puedas acceder al BIOS, o qué otro restricciones de administrador que han colocado en la computadora (o incluso si puede llegar al puerto USB).
Después, borro el caché, las cookies, etc. del navegador, y también tiendo a reiniciar la computadora cuando me voy, ya que algunos cibercafés están configurados para reinstalar todo desde cero en el reinicio, borrando cualquier rastro de que haya estado allí (una vez trabajé en un cibercafé donde hicimos esto).
fuente
No puede, al menos sin usar la autenticación de dos factores (o algún otro tipo de token que sea independiente de la máquina local). Debe considerar que todo lo escrito o visto en una máquina pública es información pública.
A menos que haya ejercido una supervisión total sobre la máquina y el software desde que fue construida, no puede confiar en que la máquina no interceptará su contraseña y todas las demás pulsaciones de teclas. Sin un segundo factor de autenticación, esto será suficiente para acceder a todos sus datos, ya sea en tiempo real o más tarde.
Esta intercepción podría ocurrir a nivel de software (que en la mayoría de los casos puede vencer al llevar una memoria USB que contenga su propio sistema operativo) o a nivel de hardware.
fuente
Todos dicen autenticación de dos factores. En su mayoría, están equivocados, ya que en la mayoría de los casos, dos factores son una contraseña y algo más, y esto definitivamente arriesgará comprometer la contraseña y puede comprometer la otra cosa. Dos factores pueden ser útiles, pero la mejor solución son las credenciales de un solo uso. Si tiene un dispositivo confiable como un teléfono celular que puede usar para cambiar su contraseña, puede cambiar la contraseña, usar la computadora no confiable y luego volver a cambiar su contraseña. Esto presenta una ventana limitada donde la contraseña es vulnerable, pero puede ser demasiado larga. Las contraseñas de un solo uso son una mejor solución para este caso de uso. Hay varias implementaciones de contraseñas de un solo uso que varían de libros a TOTP (autenticador de Google). El único desafío es que todos estos requieren soporte del lado del servidor, que es irregular en el mejor de los casos.
fuente
Una alternativa a 2FA es usar un dispositivo USB Armory . Esto se conecta a su puerto USB y ejecuta un sistema operativo independiente. Puede interactuar con el dispositivo de cualquier forma que desee, como usarlo como un servidor web, un cliente ssh o un servidor VNC / RDP para que el dispositivo invoque la sesión segura con el servidor de destino. Las claves / contraseñas pueden permanecer en el dispositivo y no ser accesibles para la computadora host.
fuente
Utilice la autenticación de dos factores. Esto es cuando, además de una contraseña, coloca una secuencia de caracteres que se le envía (ya sea por SMS o de otra manera). Así es como lo configuro sin, porque en roaming SMS no siempre funciona.
Ahora, cada vez que necesite iniciar sesión, cuando se le solicite, simplemente abra el Autenticador y coloque la clave. No se preocupe, la clave cambia cada 15 segundos, por lo que incluso si alguien intenta iniciar sesión con las claves que grabó, no funcionará. Y luego puede verificar el acceso haciendo clic en el historial de acceso en la parte inferior derecha de su página de Gmail.
Puede consultar más sobre Authenticator en Wikipedia, simplemente escriba Google Authenticator.
fuente
Googe Mail y Fastmail.fm son compatibles con U2F, por lo que puede usarlos a través de esa tecla si el lugar donde está permite conectar dispositivos USB aleatorios. No estoy seguro de qué otros sitios web lo admiten. Si tiene su propio control, podría obtener un Yubikey Neo e implementar la autenticación Yubikey para su sitio. Por desgracia es raro.
fuente
Si usa dos contraseñas alternativas, esto proporciona un poco de protección cuando solo tiene una sesión en cada cibercafé: en el primer cibercafé inicia sesión con la contraseña 1 y al final de la sesión cambia la contraseña a contraseña 2 . En el segundo cibercafé, inicia sesión con la contraseña 2 , y al final de la sesión cambia la contraseña a la contraseña 1 . Si el atacante solo analiza la primera contraseña que ingresó (la que usó para iniciar sesión), entonces no puede usar esta contraseña para iniciar sesión porque usted la cambió al final de la sesión.
Este enfoque no ayudará si el atacante analiza el protocolo completo escrito por el keylogger, pero tal vez no sea tan paciente o no tenga la idea de que simplemente cambió la contraseña al final de la sesión.
fuente
Como otros han mencionado, hay muy pocas reglas de seguridad que puede aplicar en una máquina que no controla.
La mejor solución sería llevar su propia computadora portátil, tableta, teléfono inteligente y simplemente tomar prestada la conexión a Internet.
Una vez que obtenga la conexión a Internet, use un proveedor de VPN para asegurar su conexión. Hay muchas maneras de hacerlo utilizando un navegador que tenga uno incorporado o un cliente VPN en su dispositivo móvil. Puede obtener suscripciones gratuitas de por vida en algunos proveedores de VPN por una cantidad nominal.
La VPN proporciona un nivel de privacidad a través de la conexión a Internet (pública).
A continuación, puede seguir los pasos de seguridad normales, como habilitar la autenticación de dos factores en su cuenta.
fuente
Reflexiones relacionadas de posible valor. O no.
'cafe' = cibercafé o equivalente.
Comodo vende un producto que permite la conexión encriptada https a su sitio y luego la conexión a cualquier lugar. Eso aborda la mayoría de las vulnerabilidades en la PC y más allá: tenga en cuenta sin embargo el comentario de jpatokal sobre los keyloggers. (Mi única relación con Comodo es como usuario que a veces paga y a veces usa productos gratis).
He visto cibercafés donde NO había acceso a la máquina propiamente dicha: tienes cables a través de una pared física. (Eso puede haber sido Dublín o Praga (o ambos)).
Es lo suficientemente común como para no permitir que los usuarios de café accedan a USB o DVD / CD
He utilizado el software de acceso remoto "Team Viewer" de China a un sistema informático doméstico en Nueva Zelanda. Probablemente eso sea peor, ya que tiene el potencial de darles acceso a mi sistema NZ, pero les da la capacidad de implementar un sistema de desafío y resonancia en el que el "segundo factor" podría ser un sistema mentalmente simple pero "lo suficientemente inocente". Combine eso con el sistema Comodos y le resultará muy difícil entender los datos del keylogger. ... Puede, por ejemplo, mover el puntero del mouse sobre una pantalla remota y, si está lo suficientemente interesado, haga algo como esa persiana con una pantalla remota desactivada mientras lo hace, pero el mouse aún está vivo.
En mi caso, también podría comunicarme con mi esposa a través del enlace: agregar un tercero que logre la "autenticación de factor personal" de un país distante puede ser razonablemente efectivo.
Solo tuve mi acceso comprometido una vez AFAIK cuando estaba "en el extranjero". Una sesión de WiFi pública en el aeropuerto de Hong Kong provocó que (AFAIK) me excluyera de GMail de China solo unas pocas horas después (antes de que los chinos prohibieran GMail), pero el sistema de recuperación de cuenta me devolvió.
________________________________________
Solo diversión: me he sentado en un café de Shenzhen junto a un gran equipo de chinos jugando intensamente el mismo juego. No es mi territorio, pero mi hijo se preguntó desde las pantallas visibles en las fotos que tomé si estos eran algunos de los mineros legendarios con sede en China que ganan $ reales obteniendo y vendiendo productos para ese juego específico. Desconocido e incognoscible, pero un pensamiento divertido.
Ver :-) -
Arriba: parte del equipo de Shenzhen. Abajo: 'meme' relacionado con internet.
fuente
Debe comprender cuán insegura es realmente una computadora insegura.
Supongamos que ellos:
Ahora, ¿son las computadoras públicas que raspan las contraseñas a sitios web comunes, pero se detienen ante cualquier otra cosa que puedan hacer, lo suficientemente común? No tengo idea. Pero es muy extraño para mí confiar en una computadora para usarla siempre que pueda proteger su contraseña.
fuente
Para proteger su contraseña en una computadora pública (o cualquier dispositivo), use un administrador de contraseñas como Password Maker que genera una contraseña única para usted, por sitio web.
Utiliza una contraseña maestra (que en realidad no se usa para ningún sitio web) y un montón de otra información para generar una contraseña para un sitio web en particular al que desea acceder. Luego copie y pegue la contraseña para iniciar sesión, por lo tanto, nunca escriba su contraseña y, por lo tanto, no podrá ser capturada por un registrador de claves.
Combine esto con las otras sugerencias en estas preguntas y respuestas (use una VPN, 2 Factor Auth, no use una computadora pública, sino que use su propio dispositivo, etc.)
fuente
Me iba a quedar fuera de esta, pero ver todas estas respuestas sugiriendo autenticación de dos factores y un montón de ingenuos trucos anti-keylogger de alguna manera hará las cosas bien es simplemente increíble.
Sumérjalo: la única forma segura de usar sitios web seguros en una computadora comprometida es no usarlos . Desde el momento en que hizo que un servidor remoto (GMail, su banco, etc.) confíe en la computadora que está utilizando, ellos confiarán en lo que sea que esa computadora les envíe, y usted tiene poco control sobre eso.
Algunos sitios bancarios son conscientes de este problema y requieren que autentique cada acción que intenta realizar para asegurarse de que todas las acciones procedan del usuario real. Muchos otros no lo hacen. GMail ciertamente no. Una vez que haya iniciado sesión, felizmente entregará su archivo de correo a los piratas informáticos mientras lee el nuevo correo electrónico que ha recibido.
Si esto suena sorprendente, abre GMail en dos pestañas e imagina que estás usando uno mientras los hackers controlan el otro, sin que lo veas. Eso debería darle una buena idea de lo que está sucediendo en una computadora comprometida.
fuente
Puede usar VPN y 2FA junto con una unidad USB Windows-To-Go x86 (32 bits). De esta manera, no necesitará llevar una gran lista de contraseñas o códigos de seguridad O simplemente podría usar una unidad de almacenamiento persistente de Linux (con VPN, por supuesto)
VPN
oficial WTG WTG
no oficial también se puede utilizar
fuente
¡Un truco importante que nadie discutió aquí!
Los registradores de teclas registran sus pulsaciones de teclas en secuencia ... punto
Puede hacerlos perder el tiempo escribiendo su primera letra de la contraseña, luego algunas últimas letras, luego coloque el cursor en el punto medio exacto donde lo dejó y escriba los caracteres restantes.
puedes aleatorizarlo aún más cambiando la posición del cursor. Recuerde no usar las teclas de flecha del teclado para cambiar el cursor, use el mouse;)
Este truco engañará a cualquier keylogger, incluso el que es específico de la aplicación.
Por supuesto, esto es solo para los registradores clave, las computadoras públicas también pueden tener muchos otros problemas.
fuente