2FA e https abbastanza sicurezza per il wifi pubblico?

1

Sono in un posto dove c'è il wifi pubblico, e voglio usarlo con conti di trading che contengono un po 'di soldi. Ho impostato il mio account con google authenticator e la connessione è https. tutto questo è abbastanza, o dovrei spendere $ 100 a settimana per usare Internet (più lento) del mio telefono per sicurezza?

    
posta hedgedandlevered 14.06.2017 - 20:23
fonte

2 risposte

4

Un Wifi pubblico indica un router non controllato ed eventualmente un proxy HTTP. Ciò significa che non puoi fare affidamento su questo per connetterti in modo sicuro al server corretto, senza parlare di attacchi MiTM.

Ma questo è il significato di SSL / TLS: se il tuo browser client è configurato correttamente (dovrebbe essere ...), il certificato presentato dal server ti garantisce di aver raggiunto il server corretto, ti ha fornito controlla che l'URL sia l'URL corretto e utilizza effettivamente HTTPS (*). Quindi il protocollo garantisce che tutto ciò che viene scambiato tra il tuo client e il server sia crittografato, così puoi passare lì le tue credenziali e fare tutto ciò che devi fare senza il rischio di un attacco MiTM.

Ma la regola aggiuntiva è che devi controllare l'URL nella barra degli indirizzi del tuo browser - cosa dovrebbe comunque essere fatto in modo coerente ...

(*): se l'URL non inizia con https:// o non è esattamente quello a cui sei abituato, chiudi immediatamente la connessione perché la sicurezza non può essere garantita ...

    
risposta data 14.06.2017 - 21:01
fonte
1

HTTPS da solo (con o senza 2FA) dovrebbe essere sufficiente per garantire la connessione a qualsiasi sito che stai utilizzando. (Vedi risposta di Serge Ballesta per ulteriori dettagli su questo.)

Tuttavia, altri siti che non utilizzano HTTPS non saranno protetti e, se mai capita di visitare un sito di questo tipo (anche accidentalmente, o anche se una pagina che stai visitando, semplicemente carica una pagina o uno script HTTP sullo sfondo) un aggressore MITM sulla rete locale potrebbe sfruttarlo per fare ogni sorta di cose brutte; come ruba i tuoi cookie (non contrassegnati da segnalazioni di sicurezza) su tutti i siti non HSTS che hai visitato , install backdoor persistenti basati sul web nella cache del browser , o anche riprendi da remoto il tuo router di casa dopo il tuo ritorno a casa e connettiti alla tua rete locale .

Per questo motivo, ti suggerisco di accedere a Internet solo tramite una VPN mentre usi il WiFi pubblico. I servizi VPN commerciali sono molto, molto meno costosi di $ 100 a settimana, e proteggeranno non solo le connessioni HTTP da intercettazione o snooping. (Ad esempio, anche le tue richieste DNS passeranno attraverso la VPN.)

Un'altra opzione sarebbe quella di installare un'estensione del browser come HTTPS Everywhere e impostarla per bloccare tutte le richieste non crittografate. Ciò non proteggerà altre richieste non HTTP come il DNS dall'essere intercettato o spiato, ma eviterà gli attacchi descritti nel paragrafo precedente.

    
risposta data 14.06.2017 - 22:09
fonte

Leggi altre domande sui tag