Come posso evitare che la mia password venga raccolta dai keylogger dagli internet cafè?

se non ti fidi del mezzo: non inserire informazioni sensibili. digitare la tua password in qualche modo oscuro è solo questo: sicurezza attraverso l'oscurità , che non funziona mai.

a parte questo: potresti essere in grado di raggiungere un certo livello di sicurezza in tali luoghi aperti se la password che hai inserito cambia per il prossimo accesso, vedi one-time-password . (nota: "L'autenticazione a 2 fattori è uno schema ibrido in cui si conosce già metà della password (che rimane costante / statica) e poi si ottiene l'altra metà con sms o altri mezzi: quella 2a metà è una sola time-password)

Se non puoi essere sicuro che i tuoi battiti non vengano catturati (e non puoi), utilizza qualsiasi tipo di autenticazione a due fattori.

Assicurati che la tua password non sia utile da sola!

L'unico modo per essere sicuri che i tuoi dati siano al sicuro è evitare di inserire "tutto" nella macchina sospetta.

Dato che i keylogger sono la tua unica preoccupazione (cioè nessun sofisticato software di monitoraggio):

Ad esempio, puoi trasportare un'unità USB con tutte le tue password importanti in un contenitore KeePass , insieme a KeePass Portable. Dopo aver aperto KeePass Portable, utilizza una password principale per il contenitore KeePass. Sì, rischierai di essere catturato, ma per sbloccare il contenitore, puoi anche configurare KeePass per usare anche un file di chiavi. Senza questo file di chiavi, la password principale è inutile. Questo file chiave potrebbe essere memorizzato sulla stessa pen drive o su un'altra che porti separati dalla pen drive originale.

Dopo aver aperto il tuo contenitore KeePass, puoi utilizzare le funzionalità di KeePass che ti consentono di inserire le password senza digitare :

• KeePass can minimize itself and type the information of the currently selected entry into dialogs, webforms, etc. Of course, the typing-sequence is 100% user-customizable, read the documentation file for more.
• KeePass features a global auto-type hot key. When KeePass is running in the background (with opened database) and you press the hot key, it looks up the correct entry and executes its auto-type sequence.

Questo però non imbroglia un keylogger che ascolta il buffer della tastiera. Un keylogger integrato nella connessione della tastiera sarebbe comunque inutile.

Un'alternativa migliore:

• All fields, title, username, password, URL and notes can be drag&dropped into other windows.

In questo modo, elimina la necessità di digitare qualsiasi password tranne la tua password principale, che puoi sempre "buttare via" e cambiare se necessario.

Posso vedere due modi:

1. Utilizza una soluzione per tastiera virtuale . È possibile digitare la password con un clic del mouse, eviterà il logger della tastiera (ma potrebbe non essere possibile evitare il logger basato sul mouse). Tuttavia, sarebbe un livello di sicurezza.

2. Basta digitare una password errata nella casella della password, selezionarla con il mouse (sostituendo le chiavi sbagliate con vero); digita i primi 3 caratteri della vera password, digita 3 chiavi sbagliate, seleziona gli ultimi 3 caratteri non validi e poi digita le 3 chiavi corrette sostituendo le chiavi non valide.

Ci sono diverse minacce con cui hai a che fare; ma fondamentalmente quello che stai chiedendo - usando hardware potenzialmente dannoso - non è sicuro e dovrebbe essere evitato per scopi sensibili. (Ad esempio, prova a non controllare sul tuo conto bancario in vacanza). Tuttavia, se sei disposto a correre questo rischio, ma vuoi ridurlo al minimo, ecco le tue minacce:

1. Registratore di tasti hardware. Un semplice allegato sul retro della tastiera acquistato per meno di $ 30 può memorizzare ogni keypress; quindi vedresti qualcuno che visita un sito, che digita un login e poi digita una password e potrebbe facilmente decifrarlo in seguito. Non sarebbe difficile modificare una tastiera predefinita per farlo automaticamente internamente; quindi non credere di essere al sicuro perché non vedi un allegato nella parte posteriore.

2. Registratore di tasti software. Il sistema operativo potrebbe eseguire una routine di keylogger / logger del mouse / cattura dello schermo che in teoria potrebbe riprodurre ogni azione eseguita.

3. Un DNS falsificato / corrotto con certificati falsi installati sul browser per un MITM, anche su siti SSL.

4. Un'estensione / modifica del browser che registra tutto il testo digitato nel campo del modulo html (comprese le password).

5. Qualcuno che monitora il traffico di rete non crittografato, dove i tuoi password / cookie di autenticazione sono inviati in chiaro - assicurati di utilizzare SSL (con certificati appropriati per prevenire il MITM).

Di questi # 5 è il più semplice da prevenire; utilizzare un tunnel ssh / vpn per i siti non crittografati o utilizzare HTTPS (con SSL) per i siti firmati da un certificato appropriato.

La tua migliore opzione è di usare il tuo hardware (portare uno smartphone, un netbook / tablet economico con te) - che elimina le minacce # 1- # 4; e le buone pratiche standard prevengono il n.

La tua seconda opzione migliore sarebbe quella di avviare un sistema operativo guest di tua scelta al di fuori del tuo cd live, e quindi utilizzare un metodo come il tuo per oscurare la tua password con un keylogger. Questo è forse digitare metà dei personaggi (non necessariamente in ordine, e tagliare e incollare l'altra metà dalle lettere sulla pagina web / URL - preferibilmente farlo solo usando il mouse - per esempio, in gnome se selezioni un personaggio puoi incollalo con un clic centrale del mouse). Usando un cd live, previene il # 2 & # 3 & # 4. Sei ancora vulnerabile al # 1, ma probabilmente puoi oscurare opportunamente la tua password con un normale keylogger che, sebbene possa recuperare una password parziale, non avrebbe il tutto (anche io non farei l'intera password da tagliare e incollare nel caso in cui stiano registrando / clonando il video visualizzato sul monitor). Ti consiglio comunque di cambiare la password una volta tornato a casa.

Se si ricorre a non essere in grado di avviare in un SO guest; Prenderò in considerazione qualsiasi dato inserito compromesso. Si potrebbe fare qualcosa per renderlo un po 'più difficile (ad esempio, scaricare ed eseguire un nuovo browser Web, provare a oscurare la password digitandola fuori ordine / taglia e incolla le parti, ecc.), Ma in linea di principio potrebbero ottenere i dati se lo volessero.

Possibile soluzione, anche se forse non molto pratica.

Porta il tuo PC, avvia in Linux e usa la connessione di rete di cyber cafe

Non molti ti consentirebbero di farlo, ma alcuni lo fanno

Potresti fare il boot con un live usb di Linux. A meno che il key-logger sia basato sull'hardware, questo sarà sicuro. L'Air Force ha una distribuzione progettata per questo scopo. Non monta i dischi rigidi locali, quindi nulla può essere salvato localmente. La distro è chiamata LPS (lighweight portable security). Lo uso quotidianamente. Puoi scaricarlo qui

Vorrei andare con password una tantum. Alcuni siti forniscono tastiere virtuali su schermo (che cambiano la posizione ogni volta che si fa clic), ma se ci sono keylogger, c'è un'alta probabilità che ci sia dello spyware presente.

Quindi, non sceglierei di utilizzare una pen drive che memorizza le informazioni sensibili come password e SSN.

Quello che faccio di solito è caricare Ubuntu live su flash USB, scegliere un computer nell'angolo in cui il proprietario del caffè non può vedere, inserire il flash USB e riavviare in ubuntu. Quello che ottengo è un ambiente sicuro.

Se usi openid e qualcosa come un yubikey che usa una password una tantum, anche se prendono la tua password non possono riutilizzarla

il problema è l'accesso alla porta USB

lo yubikey si presenta come una tastiera USB, quindi non sono necessari driver di livello admin

Vedo un sacco di banche farlo. I loro campi password possono essere compilati solo digitando una tastiera su schermo che viene posizionata casualmente sulla pagina. Quindi non si fa clic sui tasti ma solo clic del mouse. Inoltre, se la password è lunga 8 caratteri, ti chiedono solo di digitare determinati caratteri in modo che tu possa vedere qualcosa come X00XXX0 in cui solo i caratteri della password rappresentati dagli 0 devono essere digitati sulla tastiera dello schermo.

La combo posizionata casualmente sulla tastiera dello schermo e il clic del mouse e i caratteri selezionati casualmente per essere digitati hanno reso tutte le posizioni del mouse che potrebbero essere state inutilizzabili.

Saluti,

Potresti inoltrare tutta la tua email a un account temporaneo, che poi cancellerai al tuo ritorno. Ciò limiterà la possibile esposizione all'intercettazione delle e-mail inviate mentre eri via, e il dirottamento dell'account temporaneo.

Poiché puoi disattivare l'inoltro dal tuo account reale, puoi disattivare l'account temporaneo non appena noti che è stato compromesso.

Questa non è una soluzione perfetta, ma ti dà una certa protezione anche se il tuo attaccante riesce a rubare la tua password.

Porta il tuo dispositivo e utilizza una connessione crittografata.

Oltre a quanto già detto, potresti prendere in considerazione di portare in giro una piccola chiavetta USB contenente il sistema operativo TAILS di avvio (abbreviazione di The Amnesic Incognito Live System) che indirizza tutto il traffico Internet tramite Tor di default e non memorizza nulla sull'hardware locale poiché tutto ciò che viene fatto viene cancellato dopo il riavvio.

Se preferisci che il fatto che tu stia utilizzando Tor rimane sconosciuto all'amministratore della rete locale / ISP / governo; dovresti configurare Tor / Tails per utilizzare la modalità Bridge

Si noti comunque che Tor non è una soluzione di proiettili d'argento per tutto e dovresti leggere la documentazione appropriata prima di affidarti a qualsiasi software con informazioni sensibili.

Inoltre, a causa dell'architettura di Tor, le informazioni relative a nome utente / password possono essere osservate dal terzo hop nella sua rete di offuscamento (in questo caso un nodo di uscita), quindi dovresti usare HTTPS per impedirlo. [*] Prova l'HTTPS di EFF Ovunque estensione per renderlo più facile.

[*] Per un esempio: wired dot com / politics / security / news / 2007/09 / embassy_hacks? currentPage = all

Stai confondendo due problemi non correlati. Un keylogger è un programma che è stato installato sul tuo computer per monitorare i tasti effettivi mentre li fai. Non ha nulla a che fare con un caffè o altra rete pubblica. Se la tua macchina è stata compromessa, hai maggiori preoccupazioni, ma il metodo che hai menzionato potrebbe confondere un semplice keylogger.

Ciò di cui ti devi preoccupare su una rete pubblica Wi-Fi sono altre macchine che sniffano i tuoi pacchetti di rete e vedono ciò che stai inviando. Puoi proteggerti usando solo siti Web protetti che sono abilitati per SSL, quindi la connessione è crittografata.

Se il bar non utilizza la crittografia wireless nel router, non si è sicuri di utilizzare alcun sistema operativo, boot stick o altro, scegliere un caffè che utilizza la crittografia wireless e una password per connettersi al proprio router hotspot.

Le connessioni wireless non crittografate possono essere facilmente intercettate da chiunque si trovi nella caffetteria o nelle vicinanze, questo rivelerà qualsiasi cosa tu invii tramite la connessione, inclusi gli accessi e le password che inserisci in un browser.

I logger di chiavi sono eseguiti sul tuo computer locale e funzioneranno indipendentemente dalla connessione Internet che usi,

Il problema che hai in un internet cafè è l'attacco uomo nel mezzo, dove altri peer di rete possono intercettare il tuo traffico di rete.

Assicurati di utilizzare i siti HTTPS dove puoi, tutto il traffico viene crittografato prima che lasci la tua macchina, la maggior parte degli accessi su siti "decenti" utilizzeranno HTTPS e alcuni siti ti consentiranno di navigare nell'intero sito in HTTPS, ma controlla sempre che prima di inserire qualsiasi cosa tu non voglia che un'altra persona veda che la pagina è effettivamente HTTPS, e se mai andrai in un sito che ha un certificato SSL autofirmato, sii molto diffidente nei suoi confronti come potrebbe anche essere un attacco Man in the middle So firefox e IE ti segnalano se la pagina ha un certificato autofirmato.

Se stai effettuando l'accesso a un sito di social network come Facebook, assicurati che la barra degli indirizzi contenga facebook.com e non facebook-home.com o simili, è il caso del phishing. Se stai usando mozilla firefox, vai agli strumenti e poi alle opzioni di sicurezza - da lì puoi verificare che la tua password sia stata rimossa dalla memoria o meno dopo aver chiuso il tuo account.

Ho un vecchio metodo che è molto semplice, ma efficace. Ottieni una pendrive e apri un file .txt sul tuo pendrive.Questo file di testo conterrà le password del tuo account online. Usa sempre uno strumento generatore di password per generare la tua password. Dopo basta copiare la password nel file .txt con il metodo copia + incolla . Nell'internet cafe, basta collegare la penna e copiare e incollare le password necessarie. Con questo semplice metodo la password rimane al sicuro dai keylogger.

Password monouso o autorizzazione a 2 fattori

Tutte le informazioni che invii al sito web (non solo le battiture) possono essere compromesse se non controlli l'hardware. È possibile recuperare i dati da qualsiasi dispositivo collegato (ad esempio una chiave USB con il file KeePass).

L'unico modo corretto per proteggersi è quello di garantire che tutto ciò che hai fatto su quel computer sia stato utile per accedere una volta ma non è sufficiente per accedere di nuovo , che la prossima volta avrà bisogno di qualcosa di diverso. Questo significa qualche altra autenticazione rispetto a una password riutilizzabile.

Un modo per farlo è un elenco di password monouso, ma che ha un supporto limitato. Tuttavia, la maggior parte dei servizi sensibili, in particolare i maggiori provider di posta elettronica, consente l'autorizzazione di 2 fattori, in cui oltre alla password è necessario un codice generato da un dispositivo controllato o, ad esempio, un SMS al proprio numero di telefono. Questo è un modo ragionevole per proteggersi dai keylogger, poiché l'acquisizione di tutte le informazioni dalla sessione corrente non consentirà all'autore dell'attacco di accedere una seconda volta a meno che non rubi il dispositivo o il numero di telefono richiesto.

Quello che suggerisci è probabilmente il modo migliore per inserire la tua password. Il keylogger di solito sarà interpretato da un essere umano e se la tua password non ha senso (come ha fatto notare un altro utente) ma anche il tuo trucco. Ciò renderà abbastanza difficile indovinare la tua password. Farei lo stesso anche con il mio nome utente.

Tutti i keystork registrati da un keylogger sono stati digitati. Se usi qualche software o il tuo computer ricorda le tue password, queste non verranno catturate.