Il wifi pubblico pone un rischio per la sicurezza degli accessi esistenti?

1

Sto facendo un viaggio presto e voglio capire quanto sia sicuro usare il wifi pubblico per i servizi. Un consiglio di sicurezza comune che ho trovato sul wifi pubblico ( esempio ) non si accede alle cose, perché è facile per gli altri curiosare su quello che stai facendo. Più specificamente, dicono di non digitare il nome utente / password in un modulo di accesso e premere il pulsante di invio, o accedere a qualsiasi dato sensibile come i conti bancari.

Ma cosa succede se ho effettuato l'accesso a un servizio sulla mia rete domestica privata, non ho mai cancellato la sessione e voglio continuare a utilizzare il servizio dal Wi-Fi pubblico dopo che esco di casa? Sto pensando come Dropbox o Pandora o Netflix. Se non devo digitare la mia password e premere invio, è più sicuro / sicuro? Farebbe la differenza se passa attraverso un browser o un'app dedicata?

EDIT:
Mentre apprezzo le risposte finora sembrano orientate verso i computer reali e voglio chiarire che sto pensando al mio telefono Android. Quindi la mia domanda sulle app, perché non ho idea di come capire se un'app utilizza HTTPS o cosa.

    
posta Traveler 15.04.2016 - 05:43
fonte

2 risposte

2

Se il sito che stai visitando utilizza HTTPS per l'intero sito (non solo la pagina di accesso) e verifichi che in realtà stia utilizzando HTTPS, con un certificato valido (ad esempio, nessun avviso su un certificato errato) ed è il URL a cui vuoi andare, quindi sei al sicuro.

(Tranne che contro avversari estremamente forti come i governi che hanno la capacità di costringere le autorità di certificazione a firmare certificati fraudolenti o dare loro la possibilità di firmarli. Ma a questo punto, questi forti avversari possono fare questi cambiamenti malevoli a livello di ISP, quindi sei fregato in entrambi i casi).

Se il sito non utilizza HTTPS, i dati inviati o ricevuti potrebbero essere intercettati o facilmente modificati da un utente malintenzionato.

Dovresti anche essere estremamente cauto nel download e nell'installazione di qualsiasi cosa che non sia passata su HTTPS quando si è su un Wi-Fi pubblico (anche se probabilmente dovresti essere cauto a riguardo). Ad esempio, se installi un plug-in del browser o istruzioni della riga di comando che arrivano tramite HTTP normale, è possibile che un utente malintenzionato modifichi il plug-in (ad esempio esegua su tutte le pagine Web e invii ogni invio di moduli a un dominio casuale che controlla per rubare le tue password / informazioni sulla carta di credito / ecc.)

EDIT: While I appreciate the answers so far they seem geared towards real computers and I want to clarify I'm thinking about my Android phone. Thus my question about apps, because I have no idea how to tell if an app is using HTTPS or what.

Potresti provare a utilizzare un rilevatore di pacchetti di rete (come wireshark) per verificare se le app comunicano utilizzando solo la crittografia (ad esempio, cerca il protocollo HTTPS). La maggior parte dei principali fornitori dovrebbe utilizzare HTTPS per le proprie app se utilizzano HTTPS per il proprio sito Web in qualsiasi altro luogo, ma non si può essere sicuri (ed è più sicuro supporre che non lo sia). Hai citato Dropbox e Dropbox ad esempio dichiara di utilizzare la crittografia di rete (TLS) ovunque tra le loro app, quindi sei sicuro di usare Dropbox (presumendo che stiano verificando i certificati correttamente).

Se non sei sicuro di un'app mobile, puoi invece utilizzare il sito HTTPS mobile nel tuo browser web.

    
risposta data 15.04.2016 - 05:59
fonte
0

But what if I logged into a service on my private home network, never cleared the session and want to continue using the service from public wifi after I leave the house?

No, non farebbe molta differenza.

Ciò che fa la differenza, però, è assicurarsi che il sito che stai visitando utilizzi HTTPS e che il tuo client di posta elettronica (se usi il client di posta elettronica o mobile) sia configurato per utilizzare TLS per accedere al tuo server di posta.

Scopri come verificare il certificato SSL (non è necessario andare per i calcoli matematici, ma solo la verifica in base a ciò che il browser ti dice quando fai clic sull'icona del lucchetto sulla barra degli indirizzi). Verifica sempre il certificato del server e indica che il tuo nome di dominio è corretto prima di inserire le tue credenziali.

Inoltre, questo dovrebbe essere ovvio, ma non ignorare gli avvisi di sicurezza che il browser o il sistema operativo ti stanno dicendo. Se il browser dice che non può stabilire una connessione TLS sicura, lascia la tua attività fino a tardi.

Non utilizzare servizi che gestiscono informazioni personali che non supportano HTTPS / TLS durante l'utilizzo di una rete non affidabile, non utilizzarli affatto.

Inoltre, assicurati di non riutilizzare la password tra diversi siti web. Particolarmente pericoloso è il riutilizzo della password tra siti che utilizzano https e altri no.

Vuoi anche assicurarti che il tuo sistema sia aggiornato prima di uscire di casa. Se si desidera aggiornare o installare il software, assicurarsi di scaricare il software tramite connessione protetta. Ci sono modi per verificare l'autenticità di software / file scaricati su connessioni non sicure, controllandone la firma crittografica, ma se devi fare questa domanda, ti consiglio semplicemente di non provare nemmeno a farlo perché è facile ottenere questo è sbagliato e compromette la tua sicurezza.

Assicurati di digitare https: // quando accedi a qualsiasi sito Web sensibile, per prevenire il tipo di attacco sslstrip. In alternativa, aggiungi il sito ai segnalibri o utilizza HTTPSEverywhere.

Tutti quelli sopra indicati sono difficili da fare in modo coerente ed è facile commettere errori. Per maggiore sicurezza, potresti voler abilitare l'autenticazione TOTP Two Factor (ad esempio l'app Google Authenticator) per i servizi che li forniscono, in modo che anche se scivolassi e qualcuno passasse la password, non sarebbero comunque in grado di accedere al tuo account senza rubare il tuo secondo fattore, di solito il tuo telefono cellulare. Molti dei principali servizi Web ora supportano 2FA, ad esempio Dropbox, Google.

    
risposta data 15.04.2016 - 06:14
fonte

Leggi altre domande sui tag