Modo sicuro per accedere a un sito Web sul computer di qualcun altro

107

Supponiamo di trovarmi in una situazione in cui sono costretto ad accedere al mio account utilizzando il computer di qualcun altro . C'è un modo sicuro per farlo in modo tale da essere sicuro che i miei dettagli di accesso (cioè la password) non sono registrati in alcun modo (ad esempio la registrazione di sequenze di tasti)? O se è impossibile, quali sono i modi per attenuare almeno i rischi?

Anche se correlati, ma nota che questo è un po 'diverso da questa domanda dato che io sono non utilizzando il mio computer per accedere.

    
posta today 29.11.2018 - 17:44
fonte

13 risposte

119

Questa è una domanda interessante!

La regola generale è che se qualcun altro ha il controllo del dispositivo (e sono sufficientemente determinati), sarà sempre in grado di monitorare e modificare tutte le tue azioni sul dispositivo.

Possiamo (in misura limitata) aggirare questo però! L'autenticazione a due fattori può essere utilizzata per garantire che anche se qualcuno ha la tua password, non possono accedere al tuo account senza avere anche accesso a un dispositivo separato (di proprietà e controllato da te).

Ricorda che una volta effettuato l'accesso, il computer ha finalmente il controllo sulla tua interazione con il sito web e, di conseguenza, potrebbe vedere banalmente tutto ciò che fai sul sito e, meno banalmente, modificare le tue richieste al sito ( incluso non effettuare il logout correttamente quando hai finito, e potenzialmente cambiare i tuoi dati di accesso per bloccarti dal tuo account).

Tutto dipende da quanto sei preoccupato di essere attaccato - se ti stai solo collegando a Facebook su un computer di amici, probabilmente puoi fidarti che quando fai clic su "Esci", in realtà ti disconnette. Se stai effettuando il login in qualcosa di veramente importante, tuttavia, potresti voler attaccare ai dispositivi che controlli.

Inoltre, considera quanto segue, tramite l'utente TemporalWolf

Some websites allow for the generation of single-use one time passwords which sidesteps any sort of password logging... as you mentioned, this doesn't stop them from mucking with the now authenticated session.

    
risposta data 29.11.2018 - 17:55
fonte
38

Nella mia pratica, quando ho bisogno di ulteriore sicurezza, di solito cambio la password sul mio telefono (o su un altro dispositivo fidato), quindi accedo al computer non affidabile e, dopo aver fatto tutto, cambio la mia password (se possibile).

Questo dipende dal fatto che la modifica della password ti consente di accedere ovunque, per la maggior parte dei siti web. È piuttosto pratico.

In alternativa, alcuni siti web offrono un "controllo di sessione" in cui puoi forzare il distacco / interruzione delle sessioni se lo desideri.

Oltre a quello che ho detto sopra, ho anche un SSD portatile da 128 GB con me, formattato in GPT e con 3 partizioni: EFI System Partition, Ubuntu e Windows To Go.

Mentre la sicurezza del software non era la mia preoccupazione durante la creazione di questo SSD portatile, è indubbiamente un buon gadget da avere per lo scopo. Teoricamente e praticamente, l'esecuzione di sistemi operativi su tali pezzi di memoria self-made fornisce un ambiente software completamente affidabile e può eliminare al 100% qualsiasi thread software sulla macchina esterna.

Come altri hanno risposto, questi gadget di solito non sono efficaci contro le intrusioni basate sull'hardware, ad esempio un keylogger (a meno che alcuni stupidi richiedano driver per funzionare, quindi puoi LOL). Per queste cose, è meglio controllarli guardando le porte hardware. Se c'è qualcosa di malvagio nella cassa, allora sei sfortunato.

Ma ancora una volta, è una domanda interpersonale. Se stai effettuando l'accesso sul computer del tuo amico fidato e l'amico non è un tecnico, probabilmente non avrai bisogno di più azioni rispetto all'avvio del browser in modalità in incognito o InPrivate (Internet Explorer).

    
risposta data 30.11.2018 - 04:28
fonte
24

Se incontri questa situazione regolarmente, prova quanto segue:

  1. Crea una croce live stick USB. Tails è un sistema operativo Linux progettato per funzionare da USB, che può essere avviato sulla maggior parte dei computer. Usare Tails significa che non è necessario preoccuparsi di alcun software che il computer ostile potrebbe aver installato. Perché lo stai bypassando completamente dall'inizio.

  2. Utilizza la tastiera su schermo . Dovresti coprirlo con la mano mentre scrivi, per impedire a chiunque di osservarlo. Questo difende dai key-logger basati su hardware. Nota che non devi preoccuparti del software di registrazione dello schermo, perché stai usando Tails , il che significa che hai il pieno controllo su tutto il software in esecuzione sul sistema.

Modifica:

Come @ Xen2050 menzionato nei commenti, è possibile ottenere questo risultato anche con altri sistemi operativi che potrebbero essere più user friendly. Ad esempio, ecco le istruzioni per creare un Ubuntu Linux USB attivo su Windows , Mac o Ubuntu . Ed ecco le istruzioni per accedere alla tastiera su schermo su Ubuntu.

Potenziali punti deboli di questo metodo:

Questo metodo è vulnerabile a quanto segue:

  • Registrazione dello schermo basata su hardware. È possibile inserire un dispositivo tra il computer e lo schermo che registrerà tutto ciò che viene inviato sullo schermo. Ad esempio, questo . Per proteggerlo, ispezionare il cavo e assicurarsi che non vi siano dispositivi tra il computer e lo schermo. Si noti tuttavia che è possibile installare dispositivi di registrazione dello schermo interni che sarebbero molto più difficili da rilevare. Se sospetti ciò, potresti essere in grado di eluderli scollegando lo schermo dal retro del computer e ricollegandolo a una porta diversa.
  • Firmware dannoso, BIOS, rootkit , ecc. Questa è probabilmente la vulnerabilità più difficile da difendersi. Se si sospetta che il computer in uso abbia firmware dannoso, non utilizzarlo! Trova un altro modo per accedere al sito web o non accedere ad esso.
risposta data 30.11.2018 - 08:00
fonte
17

Usa SQRL

Se un sito web supporta SQRL ( link ), allora hai la possibilità di visualizzarlo con un codice QR il browser del computer che hai lasciato leggere l'app SQRL nel tuo telefono cellulare e quindi negoziare l'autenticazione fuori banda.

SQRL non è ancora ampiamente adottato, ma questo preciso caso d'uso è stato progettato fin dall'inizio. (L'altro caso d'uso principale è un'app SQRL sul tuo computer che funziona di concerto con il browser). In nessuno dei due casi viene trasmessa una password; SQRL utilizza la tecnologia a chiave pubblica / privata Elliptic Curve per firmare un nonce presentato dal server per dimostrare che l'utente ha la chiave privata associata alla chiave pubblica memorizzata sul server nelle informazioni sull'account dell'utente.

EDIT: poiché così pochi siti supportano SQRL, questa è probabilmente non una buona risposta a partire dal Nov / dic 2018, ma potrebbe essere una buona risposta in futuro . Non credo che sia un modo sicuro per accedere a un sito Web su un computer sotto il controllo di qualcun altro (che potrebbe avere un key / click-logger installato), che era uno dei motivi per cui SQRL era creato in primo luogo. L'approccio di accesso fuori banda, che non si basa sul computer potenzialmente compromesso per preservare un segreto come una password, che si tratti del modulo specifico preso dal protocollo SQRL o di uno schema concorrente che utilizza la stessa idea generale, è una componente essenziale di ogni buona risposta.

    
risposta data 29.11.2018 - 22:40
fonte
5

È un PIA importante, ma relativamente sicuro rispetto alla protezione della tua password. Soprattutto perché è una tale PIA che nessuno è in grado di mettere insieme ciò che è necessario per catturarlo. Il che significa che l'avvertimento sulla sicurezza attraverso l'oscurità probabilmente si applica qui ...

  1. Apri editor di testo di scelta.
  2. Digita l'alfabeto completo in maiuscolo e minuscolo.
  3. digitare l'intera gamma di numeri e simboli disponibili.
  4. Copia e incolla lettera per lettera per inserire la tua password nel modulo web.
  5. Come ulteriore livello di offuscamento, non afferrare le lettere nello stesso ordine della password finale

Posso pensare ad alcune tecniche in cui potrei essere in grado di catturare la password di qualcuno che usa questa tecnica, ma nessuna di queste è quella che considererei facile o diretta.

Vale anche la pena notare che questa tecnica è stata inizialmente suggerita come contromossa dal mio istruttore CEH. Non è perfetto, ma è un'opzione semi-decente che non richiede molto in termini di preparazione preliminare.

    
risposta data 29.11.2018 - 21:15
fonte
5

C'è una cosa che puoi fare su siti che lo consentono (essendo Google uno): usa un fattore di autenticazione "avere", come TOTP o un'app mobile per approvare gli accessi. Non devi usare 2FA - questo può essere il tuo unico fattore. Ho alcuni dei miei server non critici impostati per consentire la password O totp, quindi posso accedere con uno o l'altro, senza bisogno di entrambi. Mentre, come altri hanno sottolineato, questo non ti rende completamente sicuro (dopo aver effettuato l'accesso, l'utente malintenzionato può disabilitare l'input e fare ciò che vuole ora che hai effettuato l'accesso), impedisce di rivelare qualsiasi password.

    
risposta data 29.11.2018 - 21:26
fonte
4

Se è necessario accedere utilizzando il computer di qualcun altro, non esiste un modo sicuro per sapere se esiste una qualche forma di software di spionaggio. Anche se si tratta di qualcuno di cui ti fidi, potrebbero essere infettati da un virus o da un dispositivo nefasto simile e potrebbe essere difficile sapere se è infetto. Presuma sempre che un'entità malvagia sarà ancora in grado di visualizzare / accedere a qualsiasi cosa avvenga sul computer. Ecco alcuni modi in cui puoi provare a mitigare i rischi.

Non c'è modo di garantire che il sistema operativo della persona non sia compromesso. È possibile esaminare i processi in esecuzione, esaminare stack di chiamate, richieste di rete o altro, ma i programmi spyware possono essere estremamente mascherati. La migliore soluzione possibile è l'avvio da una chiavetta USB attiva utilizzando una distribuzione Linux come Ubuntu, puppy linux o Kali linux. Ciò significa che dovresti avere il pieno controllo del software in esecuzione sul computer, sebbene un hacker determinato possa inserire codice dannoso nel BIOS o nel bootloader del computer, modificando il codice effettivo del sistema operativo.

Attenuazione delle vulnerabilità basate sull'hardware

  • Controllare il cavo tra il computer e il display. Un dispositivo può essere inserito tra di loro consentendo ad un hacker di vedere l'output dello schermo.
  • Evita di utilizzare una tastiera o un mouse wireless. Il segnale può essere intercettato tra il trasmettitore e il ricevitore, mostrando tasti e movimenti del mouse, anche tramite un dispositivo separato.
  • Collega qualsiasi dispositivo USB direttamente alla scheda madre. Non utilizzare uno slot PCIe, in quanto il dispositivo potrebbe memorizzare / trasmettere sequenze di tasti / comandi. Lo stesso vale per i connettori del pannello frontale.
  • Utilizza una tastiera diversa, se possibile. I dispositivi possono prendere il suono dei singoli tasti che vengono premuti per decifrare quale tasto fosse. Scollega tutti i microfoni collegati al computer, per ogni evenienza.
  • Guarda se ci sono altri dispositivi PCIe o porta seriale aggiuntivi collegati. Accertati solo che siano inseriti i connettori necessari, per ogni evenienza.

Metodi software per ridurre il rischio

  • Assicurati di connetterti a una rete WiFi sicura, o Ethernet, se sai che è sicuro. Probabilmente è meglio usare i dati mobili e un hotspot mobile, se possibile, in modo da non dover fare affidamento sulla loro connessione Internet. Utilizzare anche un cavo USB, se possibile, in modo da non correre il rischio di una connessione WiFi alternativa che intercetta il segnale.
  • Utilizza SSL. Questo è ovvio, ma è necessario assicurarsi che l'autorità di certificazione sia quella che ci si aspetterebbe di vedere, poiché è possibile che un'entità inserisca un certificato autofirmato nella catena.

L'ultima cosa è che dovresti, se possibile, cambiare temporaneamente la tua password (magari usando il tuo telefono) mentre accedi con quel computer, poi cambialo di nuovo in seguito, quindi se la password è compromessa, non sarà utilizzabile dopo è cambiato di nuovo.

    
risposta data 01.12.2018 - 11:12
fonte
4

Il modo migliore per proteggersi è dire alla persona che non si è sicuri di inserire la password sul proprio computer.

Se hai una probabile causa o paranoia generale, allora non eseguire azioni non sicure.

L'aspettativa di rilevare e / o mitigare accuratamente tutti i modelli di minacce in pochi secondi è ridicolo.

Qual è il modello di minaccia comunque?

  • Non ti fidi della persona?
  • Non ti fidi del computer?
  • Stai tentando di impedirne l'accesso dal particolare sito web al quale stai effettuando l'accesso?
  • Stai cercando di impedire la scoperta della tua password perché la riutilizzi per un centinaio di altri servizi come i servizi bancari personali?
  • Stai semplicemente cercando di capire un modo universale per non essere compromesso, a prescindere dal computer straniero che incontri in futuro?
  • Stai tentando di impedire la registrazione dei dettagli della schermata di post-login? Potresti voler spazzare l'area per eventuali dispositivi di registrazione video nascosti nel soffitto.
risposta data 30.11.2018 - 15:01
fonte
2

Non specifichi se devi accedere tramite il computer di qualcuno perché:

  1. Hai bisogno del loro sistema operativo / software, ad es. stai configurando / aggiustando il computer di qualcuno e hai bisogno di recuperare alcuni dati dal tuo server privato.
  2. Serve il proprio hardware (ad esempio, è consentito l'accesso alla rete in base al proprio indirizzo MAC o ad altri fattori presenti solo sulla macchina che si desidera utilizzare.
  3. Hai bisogno della loro rete (ad esempio, devi essere all'interno della loro LAN, ma con il tuo dispositivo)
  4. Non hanno bisogno della loro rete o dispositivo, è solo conveniente per te usare il loro computer.

Il modo ottimale per affrontare questi problemi è, nell'ordine inverso:

Caso 4. Porta il tuo laptop / telefono / tablet e utilizza la connessione 3G / 4G per accedere a Internet. Fatto.

Caso 3. Porta il tuo laptop, proteggilo correttamente (antivirus, firewall, ecc.), collegalo alla rete. Fatto.

Caso 2. Controlla il loro hardware per eventuali logger hardware, avvia il tuo sistema operativo (una sorta di distribuzione live). Se hai dimenticato il logger hardware, hai il problema.

Caso 1. Aiuta anche con Case 2.

  • a) Richiedi l'accesso come amministratore / root.

  • b) Abilita il firewall, impostalo in modalità paranoidly strict, consenti solo le connessioni al tuo server di destinazione.

  • c) Cambia la password di accesso tramite il tuo telefono 3G / 4G in qualcosa di temporaneo,

  • d) Accedi al server, usa 2FA

  • e) eliminare le tracce (cookie, eventuali file temporanei che potrebbero nascondere credenziali, ID univoci, tc)

  • f) Cambia password con il tuo telefono 3G / 4G

  • g) Ripristina il firewall alla normalità.

Ora il firewall potrebbe essere compromesso anche da un rootkit, quindi per più paranoico, o in caso non ottieni l'accesso Admin / root :

  • a) Costruisci il tuo router personalizzato usando Raspberry Pi o un dispositivo simile, aggiungi un'ulteriore porta Ethernet usando l'adattatore Ethernet2USB. (ovviamente, pro molto attento alla sicurezza avrebbe comunque Linux sul proprio laptop, quindi basta aggiungere la porta Ethernet2USB e procedere senza Raspberry.

  • b) Collega il computer al tuo Raspberry, prendi l'indirizzo MAC, clonalo all'altro lato (in uscita).

  • c) Imposta il routing e il firewall rigorosi su Linux, consenti solo l'accesso al tuo server e instradi una scheda NIC su un'altra.

  • d) Configura MITM sniffing e installa il tuo certificato sul tuo server sul loro computer. Il tuo certificato è certificato MITM, il falso che hai generato!

  • e) Procedere come descritto in precedenza in 1c) e su.

  • f) Registra qualsiasi byte sanguinante che attraversi il tuo mini router in modo da poterli confrontare se provano qualcosa di brutto.

Il ragionamento dietro questo suggerimento è che il computer host probabilmente non ha la suite completa di strumenti per attaccare il tuo account. Keylogger registra le chiavi sulla tua password temporanea, ma non sarà in grado di inoltrare i dati al cattivo seduto nell'altra stanza. Se lo fa e tenta di hackerare il tuo server, avrai qualsiasi tentativo di hacking loggato in testo in chiaro, qualsiasi puoi affrontarli o annullare il danno (hanno cambiato il testo in chiaro, ma hai registrato la modifica! ). Nota che solo il tuo server sarà disponibile per il loro computer nel momento critico, quindi il loro computer prova l'hacking da solo o non accadrà nulla.

Apprezzerei il feedback su quella rotta, se forse mi fossi perso qualcosa.

    
risposta data 03.12.2018 - 19:32
fonte
1

In teoria, se il sito non ti offre un modo migliore per farlo, c'è ancora un modo: accedi a un dispositivo che è sotto il tuo controllo e trasferisci il cookie di sessione che ricevi da quel dispositivo a quello non attendibile computer. Ciò consentirà al computer non attendibile di eseguire qualsiasi operazione che è possibile eseguire sul sito una volta effettuato l'accesso, ma a meno che il sito non abbia fatalmente una cattiva progettazione di sicurezza, non consentirà al computer non affidabile di modificare la password, modificare l'indirizzo email associato all'account o eseguire altre operazioni di acquisizione dell'account.

Una volta terminato, puoi utilizzare il dispositivo fidato che controlli per disconnettere il suo cookie di sessione (che hai copiato da esso) eseguendo l'operazione di disconnessione, oppure eseguire un'operazione di "disconnessione di tutti i dispositivi" se il sito fornisce tale caratteristica.

Si noti che in questo schema, la password non viene mai inserita nel computer non attendibile, e quindi non ha alcun modo di registrarla / catturarla. Nel migliore dei casi può acquisire il cookie di sessione, che invalida effettuando la disconnessione utilizzando il dispositivo attendibile una volta terminato.

    
risposta data 03.12.2018 - 04:29
fonte
0

Se ti fidi di quella persona, vai avanti e usa il loro computer. Prendi in considerazione la possibilità di creare un profilo browser separato che puoi cancellare dopo aver finito senza cancellare i cookie / le impostazioni di quella persona. Prendi nota di eventuali allegati scaricati in modo da poterli rimuovere. Non aprire solo i file allegati, a meno che non si desideri giocare a un detective per scoprire quale delle possibili posizioni "temporanee" è stata utilizzata per memorizzarli. Evita di manipolare dati sensibili che non sono correlati allo scopo forzare a utilizzare il computer di qualcun altro.

Se non ti fidi della persona, non usare il loro computer. Non c'è modo di proteggere un computer sconosciuto al 100%, e ancor meno senza fare cose che faranno sospettare l'altra persona che stai cercando di hackerarle. A quel punto probabilmente ti verrà negato di utilizzare comunque il loro computer.

    
risposta data 03.12.2018 - 13:45
fonte
-1

Anche se ci sono una serie di buone e fantastiche risposte, credo che questa "risposta" radicale manchi:

Se sei preoccupato per la sicurezza, probabilmente utilizzi anche un gestore di password. Genero sempre una password casuale e molto difficile. Su altri computer probabilmente non ho il software né il file in cui sono archiviate le mie password (io uso keepass). Ho questo file archiviato in una soluzione cloud ma al momento della registrazione richiede anche un file separato che ho localmente solo sui miei dispositivi fidati.

Quindi potresti capire quale problema devo affrontare prima di essere effettivamente connesso all'altro dispositivo non attendibile. Che in realtà mi impedisce di farlo in primo luogo.

Quindi, se sono obbligato ad accedere: "Non conosco la mia password".

    
risposta data 04.12.2018 - 10:00
fonte
-2

Se si sospetta che il sistema sia protetto da key key, sarà necessario essere in grado di interrompere quel processo per fare ciò che si sta chiedendo.

Potrebbe essere un processo visibile, quindi se è mission-critical prova a trovare quel processo o crea un altro account utente con un terminale crittografato in una sandbox per vedere se puoi evitare la registrazione in questo modo, cioè Linux con cartella home & amp crittografata; scambia come esempio.

    
risposta data 30.11.2018 - 08:03
fonte

Leggi altre domande sui tag