Come accedere da un computer non protetto?

59

Supponiamo che tu sia su un cybercafè, a casa di un amico o al tuo ufficio di lavoro, e devi accedere a un sito, ma ritieni che il computer non possa essere considerato attendibile (ad esempio il tuo amico non è tecnico -savviva e non sa come proteggere la sua macchina e c'è una possibilità che il suo pc contenga una sorta di malware che raccoglie le password)

In questo tipo di scenari, come saresti in grado di accedere a un sito riducendo al minimo i rischi?

    
posta naw 04.11.2012 - 19:48
fonte

12 risposte

34

Alcune ottime risposte già. Ecco quello che penso siano le migliori opzioni, in ordine di preferenza.

  1. Non farlo.
  2. Non farlo.
  3. Non farlo. Una macchina non affidabile può fare qualsiasi cosa. Cosa succede se accedi al servizio di banking online con una password unica e il malware avvia immediatamente un bonifico bancario?
  4. Utilizza solo i sistemi con password monouso (per Thomas Pornin).
  5. Utilizza solo sistemi con 2 o più fattori di autenticazione (per naw)
  6. Usa KeePass con offuscamento automatico di tipo a due canali (per naw), e modifica le password subito dopo (in pochi minuti se possibile).

Trovo che una buona opzione sia quella di dire qualcosa del tipo "Mi spiace, memorizzo solo le mie password in KeePass e non le ho con me". Questo può condurre piacevolmente a una discussione sulle buone pratiche di password - e in questo modo hai aiutato a educare alcune persone a fare la cosa giusta, senza sembrare un asino paranoico:)

    
risposta data 04.11.2012 - 22:14
fonte
31

La soluzione generica è password una tantum : la password concede l'accesso una sola volta e la password successiva non può essere ricalcolato da quella password. Questo, naturalmente, presuppone parecchie cose:

  • Il sistema in cui gli utenti desiderano accedere supporta password monouso (e molto pochi siti Web).
  • L'utente ha un elenco di password monouso successive da utilizzare, ad es. su un foglio nel suo portafoglio, o come uno specifico dispositivo che genera OTP (ad esempio una smartcard speciale o un'app sul suo smartphone).
  • L'utente malintenzionato è solo un keylogger ed è solo dopo la password.

Di solito, quando l'utente deve inserire una password, è perché desidera accedere ai dati sensibili; se il computer dell'utente è ostile, tali dati non possono più essere considerati riservati. Quindi la risposta prudente è: non farlo . Non utilizzare computer potenzialmente ostili; invece, usa il tuo dispositivo.

    
risposta data 04.11.2012 - 20:11
fonte
21

Se il sito non dispone dell'autenticazione a 2 fattori, non accedi da un PC non protetto

Se ti trovi di fronte a una situazione del genere, porta una USB live (Windows 8 può anche essere avviato da USB IIRC, quindi non sei bloccato con Ubuntu)

Riduce i rischi in questo modo

    
risposta data 04.11.2012 - 20:05
fonte
14

Non lo fai. È qualcosa che non farei mai perché non sai cosa è stato fatto al computer. Ho sempre un sistema live su USB.

    
risposta data 04.11.2012 - 20:09
fonte
6

C'è un'applicazione chiamata KeePass che sembra avere una funzionalità per bloccare i keylogger . Il software potrebbe essere su una memoria USB e essere utilizzato sul computer.

Nel caso di Google e di altri siti che supportano l'autenticazione a due fattori, sarebbe opportuno utilizzarlo in modo tale che se la password principale viene registrata, c'è ancora un codice necessario per l'aggressore. Nel caso di StackOverflow e di altri siti basati su OpenID, sembrano esserci diversi provider OpenID con autenticazione a due fattori (Google, Facebook, Verisign)

Anche se, questi metodi proteggono solo il login, non contro qualche tipo di dirottamento di sessione.

    
risposta data 04.11.2012 - 19:48
fonte
4

Utilizza un'unità flash USB o un disco ottico avviabile con qualsiasi distribuzione Linux live caricata in essa. Per usabilità e facilità d'uso, suggerirei Ubuntu ma l'Airforce degli Stati Uniti ha sviluppato e rilasciato la propria distribuzione chiamata LPS specificamente per tali casi d'uso.

Se preferisci Microsoft Windows e hai una licenza Enterprise , puoi provare Windows To Go.

Dovresti comunque controllare la presenza di keylogger (segui il cavo della tastiera sulla scheda madre e cerca il collegamento tra entrambi).

Qualcosachehofattoquandousavocomputerpubblicidicuinonmifidavo,eradidigitarepassworderrate,ovvero:Selapasswordè"password", digita "word" quindi con il mouse fai clic torna all'inizio e digita "pass". Se le chiavi vengono registrate come testo normale, che di solito è, anziché visualizzare password[enter] , la spia vedrà: word[left-click]pass[enter]

Pur andando un po 'oltre l'ambito della domanda, un gestore di password ti consentirà di utilizzare password più sicure (con una password principale) che significa che non inserirai altrettante informazioni sensibili in computer non sicuri. Tieni presente che il tuo punto più debole è la tua password principale che dovrebbe essere cambiata regolarmente.

    
risposta data 05.11.2012 - 06:18
fonte
3

Tutte le soluzioni proposte presentano alcune lacune:

1) Con l'autenticazione a due fattori sei ancora, alla fine, loggato. Qualcuno potrebbe catturare schermate dei tuoi dati personali (conto bancario) all'insaputa di te.

2) Anche quando si avvia da una chiavetta USB, qualcuno potrebbe aver impostato un keylogger hardware sul retro (o all'interno) del PC.

Un'autenticazione a due fattori + una chiavetta USB attiva potrebbe essere accettabile per dati meno riservati, ma probabilmente non vale la pena.

    
risposta data 05.11.2012 - 03:50
fonte
3

Google disponeva di una soluzione di QR-code + smartphone, ma a quanto pare era un esperimento ed è ora chiuso ..

Potresti andare a accounts.google.com/sesame e visualizzarebbe un codice QR, che puoi scansionare con il tuo telefono. Quindi puoi accedere al tuo telefono e la sessione sul tuo computer verrebbe autenticata.

Richiesto l'inserimento di dati sensibili nel computer sospetto 0, ho pensato che fosse abbastanza carino.

Non so perché l'abbiano chiuso comunque. Ma se sei interessato a sviluppare un accesso sicuro al tuo servizio web che potrebbe essere un'idea.

    
risposta data 05.11.2012 - 05:54
fonte
3

Per prima cosa apro Blocco note e digita quanto segue:

1234567890
qwertyuiop
asdfghjkl
zxcvbnm

Inutile dire che va abbastanza veloce per farlo. Quindi uso <CTRL>+<C> e <CTRL>+<V> per comporre la mia password nel campo della password (che si spera venga oscurato con ***** ).

Ora ho ostacolato la maggior parte dei keylogger che un proprietario di cybercafe malintenzionato potrebbe aver utilizzato. Non comporre nello stesso Blocco note perché un'app di acquisizione dello schermo potrebbe ottenerlo.

Lontano da perfetto (vedi le altre risposte) ma almeno hai una soluzione entry-level senza alcun tipo di preparazione.

    
risposta data 05.11.2012 - 11:24
fonte
2

Una soluzione semplice: non farlo. Accedi solo ai siti con autenticazione a 2 fattori.

    
risposta data 05.11.2012 - 02:40
fonte
2

Ci sono alcuni tipi diversi di fattori di rischio diversi quando ci si connette da un computer non sicuro (in questo caso un PC con accesso pubblico). La maggior parte dei comuni sono questi:

  • Registratore di tasti: un certo tipo di software che registra ogni tasto premuto sulla tastiera e invia questi registri in varie posizioni.
  • Network Sniffing: su una rete non sicura o con un router che ha la modalità di monitoraggio attiva, le tue richieste e le risposte del server possono essere osservate e modificate una volta raggiunta la loro portata. Conducendo a dirottamenti di sessione e attacchi da parte di un uomo medio (in determinate situazioni quando i criteri sono soddisfatti).

Per evitare tali minacce e ridurre al minimo il rischio,

  • Contro i keylogger tenta di utilizzare le tastiere virtuali sullo schermo per credenziali importanti.
  • Utilizza protocolli sicuri con SSL forniti da CA. Questo è importante dal momento che i certificati possono essere forniti a volontà, quindi prestando attenzione al proprietario di cercifica e se è registrato o meno da una CA ha una grande importanza.
  • Disabilita i cookie e gli scipts per evitare di lasciare residui digitali dei tuoi dati. Se è necessario disporre di cookie, assicurati di eliminarlo dopo l'utilizzo.
risposta data 05.11.2012 - 10:08
fonte
2

La mia soluzione di lavoro è Linux Live on USB . Per questo, davvero, mi piace Live Helper di Debian che ti consente di personalizzare la tua chiave live in base alle tue esigenze.

Ho alcune abitudini per mantenerlo al sicuro:

  1. Ho mai inserito una chiave USB simile in un sistema non funzionante in esecuzione !!!
  2. Ho sempre disattivato power per almeno 30 secondi prima di inserire la chiave su un PC sconosciuto
  3. Se non sono completamente sicuro di avere l'ultimo accesso al BIOS, spengo di nuovo l'alimentazione
  4. Se non sono completamente sicuro di avere l'ultimo accesso al BIOS dopo molti tentativi, non lo faccio.
  5. Se l'ambiente è chiaramente ostile (potrebbe contenere hard keylogger e / o hard video logger), io no!
  6. Tutti i dati sensibili sulla mia chiave sono crittografati e richiedono una password all'avvio (la nuova versione richiede il passaggio solo se montata dal secondo utente sul filesystem persistente).
  7. Tengo in tasca molte di queste chiavi USB Live. (Per la promozione Linux: solo una è mia, ma tutte sono attendibili )
  8. Una vecchia chiave USB (troppo piccola, scadente o rallentata) contenente dati sensibili viene distrutta fisicamente, mai riutilizzata.
  9. Anche le considerazioni sull'ambiente sono importanti. (niente vetro dietro, ma preferibilmente dietro i muri o anche all'aperto con una vista completa di ciò che c'è intorno) ...

Alcuni dei miei amici mi dicono che sono paranoico, ma non lo sono!

    
risposta data 05.11.2012 - 09:07
fonte

Leggi altre domande sui tag