Questa è una domanda interessante!

La regola pratica è che se qualcun altro ha il controllo del dispositivo (ed è abbastanza determinato), sarà sempre in grado di monitorare e modificare tutto le tue azioni sul dispositivo.

Possiamo (in misura piuttosto limitata) aggirare questo problema! L'autenticazione a due fattori può essere utilizzata per garantire che, anche se qualcuno ha la tua password, non può accedere al tuo account senza avere anche accesso a un dispositivo separato (di tua proprietà e controllato da te).

Tieni presente che una volta effettuato l'accesso, il computer alla fine ha il controllo sulla tua interazione con il sito Web e di conseguenza potrebbe vedere banalmente tutto ciò che fai sul sito e persino modificare le tue richieste al sito (incluso non disconnetterti correttamente quando sei fatto, e potenzialmente modificare i tuoi dati di accesso per escluderti dal tuo account).

Tutto dipende da quanto sei preoccupato per essere attaccato: se stai semplicemente accedendo a Facebook sul computer di un amico, puoi probabilmente fidarti che quando premi "Log Out", in realtà ti disconnetti. Se stai accedendo a qualcosa di veramente importante, tuttavia, potresti voler restare fedele ai dispositivi che controlli.

Inoltre, considera quanto segue, tramite l'utente TemporalWolf

Alcuni siti web consentono la generazione di password una tantum monouso che eludono qualsiasi tipo di registrazione delle password ... come hai detto, questo non impedisce loro di perdere tempo con il sessione autenticata.

Nella mia pratica, quando ho bisogno di maggiore sicurezza, di solito cambio la password sul mio telefono (o su un altro dispositivo attendibile), quindi accedo al computer non attendibile e, dopo aver completato tutto, cambio nuovamente la password (se possibile).

Ciò si basa sul fatto che la modifica della password ti disconnette ovunque, per la maggior parte dei siti web. È piuttosto pratico.

In alternativa, alcuni siti Web offrono un "controllo della sessione" in cui puoi forzare il distacco / terminare le sessioni se lo desideri.

Oltre a quanto detto sopra, io ho anche un SSD portatile da 128 GB con me, formattato in GPT e ha 3 partizioni: la partizione di sistema EFI, Ubuntu e Windows To Go.

Anche se la sicurezza del software non era la mia preoccupazione durante la creazione di questo SSD portatile, è senza dubbio un buon gadget da avere allo scopo. Teoricamente e praticamente, l'esecuzione di sistemi operativi su tali pezzi di archiviazione autocostruiti fornisce un ambiente software completamente affidabile e può eliminare al 100% qualsiasi thread software sulla macchina esterna.

Come altri hanno risposto, tali gadget di solito non sono efficaci contro le intrusioni basate su hardware, ad esempio un key logger (a meno che alcuni stupidi non richiedano che i driver funzionino, allora puoi LOL). Per queste cose, è meglio controllarle guardando le porte hardware. Se c'è qualcosa di dannoso all'interno della cassa, sei sfortunato.

Ma ancora una volta, è una domanda interpersonale. Se stai accedendo al computer del tuo amico fidato e l'amico non è un tecnico, probabilmente non hai bisogno di altre azioni oltre all'avvio del browser in modalità di navigazione in incognito o InPrivate (Internet Explorer).

Se incontri questa situazione regolarmente, prova quanto segue:

1. Crea una chiavetta USB live Tails. Tails è un sistema operativo Linux progettato per funzionare tramite USB, che può essere avviato sulla maggior parte dei computer. Usare Tails significa che non devi preoccuparti di alcun software che il computer ostile potrebbe aver installato. Perché stai ignorando completamente l'avvio.

2. Usa la tastiera su schermo. Dovresti coprirlo con la mano mentre digiti, per impedire a chiunque di osservare. Questo difende dai key-logger basati su hardware. Nota che non devi preoccuparti del software di registrazione dello schermo, perché stai eseguendo Tails , il che significa che hai il pieno controllo su tutto il software in esecuzione sul sistema.

Modifica:

Come menzionato da @ Xen2050 nei commenti, puoi ottenere questo risultato anche con altri sistemi operativi che potrebbero essere più facili da usare. Ad esempio, ecco le istruzioni per creare una USB Ubuntu Linux live su Windows, Mac o Ubuntu. Ed ecco le istruzioni per accedere alla tastiera su schermo su Ubuntu.

Potenziali punti deboli di questo metodo:

Questo metodo è vulnerabile a quanto segue:

• Registrazione dello schermo basata su hardware. È possibile inserire un dispositivo tra il computer e lo schermo che registrerà tutto ciò che viene inviato sullo schermo. Ad esempio, questo. Per proteggersi da ciò, ispezionare il cavo e assicurarsi che non vi siano dispositivi tra il computer e lo schermo. Si noti tuttavia che è possibile installare dispositivi di registrazione dello schermo interni che sarebbero molto più difficili da rilevare. Se lo sospetti, potresti essere in grado di aggirarli scollegando lo schermo dal retro del computer e ricollegandolo a una porta diversa.
• Firmware dannoso, BIOS, rootkit e così via. Questa è probabilmente la vulnerabilità più difficile da difendere. Se sospetti che il computer che stai utilizzando abbia un firmware dannoso, non usarlo! Trova un altro modo per accedere al sito web o non effettuare il login.

Usa SQRL

Se un sito web supporta SQRL ( https://www.grc.com/sqrl/sqrl.htm), hai la possibilità di visualizzarlo un codice QR nel browser del computer che si lascia leggere all'app SQRL nel telefono cellulare e quindi negoziare l'autenticazione fuori banda.

SQRL non è ancora ampiamente adottato, ma questo preciso caso d'uso è stato progettato in dall'inizio. (L'altro caso d'uso principale è un'app SQRL sul tuo computer che funziona insieme al browser). In nessun caso viene trasmessa una password; SQRL utilizza la tecnologia della chiave pubblica / privata Elliptic Curve per firmare un nonce presentato dal server per dimostrare che l'utente ha la chiave privata associata alla chiave pubblica memorizzata sul server nelle informazioni sull'account dell'utente.

EDIT: Poiché così pochi siti supportano SQRL, questa probabilmente non è una buona risposta a partire da novembre / dicembre 2018, ma potrebbe essere una buona risposta in futuro. Non credo che ci sia un modo sicuro per accedere a un sito web su un computer sotto il controllo di qualcun altro (che potrebbe avere un key / click-logger installato), che era uno dei motivi per cui SQRL era creato in primo luogo. L'approccio di accesso fuori banda, che non fa affidamento sul computer eventualmente compromesso per preservare un segreto come una password, sia che si tratti della forma specifica presa dal protocollo SQRL o di qualche schema concorrente che utilizza la stessa idea generale, è una componente essenziale di qualsiasi buona risposta.

È un PIA importante, ma relativamente sicuro per quanto riguarda la protezione della password. Soprattutto perché è un PIA tale che è probabile che nessuno metta insieme ciò che è necessario per catturarlo. Il che significa che l'avvertenza sulla sicurezza attraverso l'oscurità probabilmente si applica qui ...

1. Apri l'editor di testo preferito.
2. Digita l'intero alfabeto sia in maiuscolo che in minuscolo.
3. digita l'intera gamma di numeri e simboli disponibili.
4. Copia e incolla lettera per lettera per inserire la tua password nel modulo web.
5. Come ulteriore livello di offuscamento, non afferrare le lettere nello stesso ordine della password finale

Mi vengono in mente alcune tecniche in cui potrei essere in grado di catturare la password di qualcuno che utilizza questa tecnica, ma nessuna di esse è ciò che considererei facile o diretto.

Vale anche la pena notare che questa tecnica è stata originariamente suggerita come contromisura dal mio istruttore CEH. Non è perfetto, ma è un'opzione semi-decente che non richiede molto in termini di preparazione preliminare.

C'è una cosa che puoi fare sui siti che lo consentono (Google è uno di questi): utilizza un fattore di autenticazione "have", come TOTP o un'app per dispositivi mobili per approvare gli accessi. Non devi usare 2FA: questo può essere il tuo unico fattore. Alcuni dei miei server non critici sono impostati per consentire password OPPURE totp, quindi posso accedere con uno o l'altro, senza bisogno di entrambi. Anche se, come altri hanno sottolineato, ciò non ti rende completamente sicuro (dopo aver effettuato l'accesso, l'attaccante potrebbe disabilitare l'input e fare quello che vuole ora che sei connesso), impedisce la divulgazione di password.

Il modo migliore per proteggerti è dire alla persona che non ti senti a tuo agio a inserire la password sul suo computer.

Se hai una causa probabile o una paranoia generale, non eseguire azioni non sicure.

Aspettarsi di rilevare e / o mitigare accuratamente tutti i modelli di minaccia in pochi secondi è ridicolo.

Qual è comunque il modello di minaccia?

• Non ti fidi della persona?
• Non ti fidi del computer?
• Stai cercando di impedire il suo accesso dal particolare sito web a cui stai effettuando l'accesso?
• Stai cercando di impedire il rilevamento della tua password perché la riutilizzi per un centinaio di altri servizi come il personal banking?
• Stai semplicemente cercando di trovare un modo universale per non essere compromesso a prescindere di quale computer straniero incontrerai in futuro?
• Stai cercando di impedire che i dettagli della schermata di post-login vengano registrati? Potresti voler pulire l'area alla ricerca di dispositivi di registrazione video nascosti nel soffitto.

Se è necessario accedere utilizzando il computer di qualcun altro, non esiste un modo sicuro per sapere con certezza se esiste una qualche forma di software di spionaggio. Anche se si tratta di qualcuno di cui ti fidi, potrebbero essere infettati da un virus o da un dispositivo nefasto simile e può essere difficile o impossibile sapere se è infetto. Presumi sempre che un'entità malvagia sarà ancora in grado di visualizzare / accedere a tutto ciò che accade sul computer. Ecco alcuni modi in cui puoi provare a mitigare i rischi.

Non esiste un modo possibile per garantire che il sistema operativo della persona non sia compromesso. È possibile esaminare i processi in esecuzione, esaminare stack di chiamate, richieste di rete o altro, ma i programmi spyware possono essere mascherati molto bene. La migliore soluzione possibile è avviare da una chiavetta USB live utilizzando una distribuzione Linux come Ubuntu, puppy linux o Kali linux. Ciò significa che dovresti avere il pieno controllo del software in esecuzione sul computer, anche se un determinato hacker potrebbe inserire codice dannoso nel BIOS o nel bootloader del computer, modificando il codice effettivo del sistema operativo.

Mitigazione delle vulnerabilità basate sull'hardware

• Controlla il cavo tra il computer e lo schermo. È possibile inserire un dispositivo tra di loro consentendo a un hacker di vedere l'output del display.
• Evita di utilizzare una tastiera o un mouse wireless. Il segnale può essere intercettato tra il trasmettitore e il ricevitore, esponendo le battiture e i movimenti del mouse, anche tramite un dispositivo separato.
• Collega qualsiasi dispositivo USB direttamente alla scheda madre. Non utilizzare uno slot PCIe, poiché il dispositivo potrebbe memorizzare / trasmettere sequenze di tasti / comandi. Lo stesso vale per i connettori del pannello frontale.
• Utilizza una tastiera diversa, se possibile. I dispositivi possono prendere i suoni dei singoli tasti premuti per decifrare quale tasto fosse. Scollega tutti i microfoni collegati al computer, per ogni evenienza.
• Controlla se ci sono altri dispositivi PCIe o porta seriale collegati. Assicurati che siano collegati solo quelli necessari, per ogni evenienza.

Metodi software per ridurre il rischio

• Assicurati di connetterti a una rete WiFi protetta, o Ethernet, se sai che è sicura. Probabilmente è meglio utilizzare i dati mobili e un hotspot mobile, se possibile, in modo da non dover fare affidamento sulla loro connessione Internet. Utilizza anche un cavo USB, se possibile, in modo da non correre il rischio che una connessione WiFi alternativa intercetti il ​​segnale.
• Usa SSL. Questo è ovvio, ma devi assicurarti che l'autorità di certificazione sia quella che ti aspetteresti di vedere, poiché è possibile che un'entità inserisca un certificato autofirmato nella catena.

L'ultima cosa è che dovresti, se possibile, cambiare temporaneamente la tua password (magari usando il tuo telefono) mentre accedi usando quel computer, quindi cambiarla di nuovo in seguito, quindi se la password è compromessa, non sarà utilizzabile dopo che è stata modificata indietro.

Non specifichi se devi accedere tramite il computer di qualcuno perché:

1. Hai bisogno del loro sistema operativo / software, ad es. stai configurando / riparando il computer di qualcuno e devi recuperare alcuni dati dal tuo server privato.
2. Hai bisogno del suo hardware (ad es. ti è consentito l'accesso alla rete in base al suo indirizzo MAC o ad altri fattori che esistono solo sul macchina che desideri utilizzare.
3. Hai bisogno della loro rete (ad esempio devi essere all'interno della loro LAN, ma con il tuo dispositivo)
4. Non hanno bisogno della loro rete o dispositivo, è solo comodo per te usare il loro computer.

Il modo ottimale per affrontare queste preoccupazioni è, nell'ordine inverso:

Caso 4. Porta il tuo laptop / telefono / tablet e utilizza la connessione 3G / 4G per accedere a Internet. Fatto.

Caso 3. Porta il tuo laptop, proteggilo adeguatamente (antivirus, firewall, ecc.), collegalo alla loro rete. Fatto.

Caso 2. Ispeziona il loro hardware per eventuali logger hardware, avvia il tuo sistema operativo (una sorta di distribuzione live). Se ti sei perso il logger hardware, hai il problema.

Caso 1. Aiuta anche con il caso 2.

• a) Richiedi l'accesso come amministratore / root.

• b) Abilita il firewall, impostalo in modalità paranoica rigorosa, consenti solo le connessioni al tuo server di destinazione.

• c) Cambia la tua password di accesso tramite il tuo telefono 3G / 4G con qualcosa di temporaneo,

• d) Accedi al server, utilizzare 2FA

• e) eliminare le tracce (cookie, eventuali file temporanei che potrebbero nascondere credenziali, ID univoci, tc)

• f) Cambia nuovamente la password tramite il tuo telefono 3G / 4G

• g) Ripristina il firewall alla normalità.

Ora il firewall potrebbe essere compromesso anche da un rootkit, quindi per essere più paranoici o nel caso in cui non si ottenga l'accesso amministratore / root :

• a) Costruisci il tuo router personalizzato utilizzando Raspberry Pi o un dispositivo simile, aggiungi una porta Ethernet aggiuntiva utilizzando l'adattatore Ethernet2USB. (ovviamente, un professionista veramente attento alla sicurezza avrebbe comunque Linux sul proprio laptop, quindi aggiungi semplicemente la porta Ethernet2USB e procedi senza Raspberry.

• b) Collega il loro computer al tuo Raspberry, prendi l'indirizzo MAC, clonalo sull'altro lato (in uscita).

• c) Configura un instradamento rigoroso e un firewall su Linux, consenti solo l'accesso al tuo server e instradane uno NIC a un altro.

• d) Configura lo sniffing MITM e installa il tuo certificato sul tuo server sulla loro macchina. Il tuo certificato è il certificato MITM, quello falso che hai generato!

• e) Procedi come descritto in precedenza in 1c) e via.

• f) Registra qualsiasi byte insanguinato che attraversa il tuo mini router in modo da poterlo affrontare se prova qualcosa di brutto.

Il ragionamento dietro questo suggerimento è che il computer host probabilmente non dispone della suite completa di strumenti per attaccare il tuo account. Keylogger registrerà le chiavi della tua password temporanea, ma non sarà in grado di inoltrare i dati al malintenzionato seduto nell'altra stanza. Se lo fa e tenta di hackerare il tuo server, avrai qualsiasi tentativo di hacking registrato in testo normale, qualsiasi puoi affrontarli o annullare il danno (hanno cambiato il testo in chiaro, ma hai registrato la modifica! ). Nota che solo il tuo server sarà disponibile per il loro computer nel momento critico, quindi o il loro computer tenterà di hackerare da solo o non succederà nulla.

Apprezzerei un feedback su questo percorso, se forse mi sono perso qualcosa.

In teoria, se il sito non ti fornisce un modo migliore per farlo, c'è ancora un modo: accedere a un dispositivo che è sotto il tuo controllo e trasferire il cookie di sessione che ricevi da quel dispositivo al non attendibile computer. Ciò consentirà al computer non attendibile di eseguire qualsiasi operazione che è possibile eseguire sul sito una volta effettuato l'accesso, ma a meno che il sito non abbia un design di sicurezza fatalmente cattivo, non consentirà al computer non attendibile di modificare la password, modificare l'indirizzo e-mail associato all'account o eseguire altre operazioni di controllo dell'account.

Una volta terminato, puoi utilizzare il dispositivo affidabile che controlli per disconnettere il suo cookie di sessione (che hai copiato da esso) eseguendo l'operazione di logout lì, oppure eseguire un'operazione di "disconnessione di tutti i dispositivi" se il sito fornisce tale funzionalità.

Nota che in questo schema, la tua password non viene mai inserita sul computer non attendibile, e quindi non ha mezzi di registrazione / acquisizione esso. Nella migliore delle ipotesi può acquisire il cookie di sessione, che invaliderai disconnettendoti utilizzando il dispositivo attendibile una volta terminato.

Se ti fidi di quella persona, vai avanti e usa il suo computer. Prendi in considerazione la creazione di un profilo del browser separato che puoi cancellare dopo aver finito senza cancellare i cookie / le impostazioni / qualsiasi altra cosa. Prendi nota di eventuali allegati scaricati in modo da poter rimuovere anche questi. Non limitarti ad aprire i file allegati, a meno che tu non voglia giocare al detective per capire quale delle possibili posizioni "temporanee" è stato utilizzato per memorizzarli. Ed evita di manipolare dati sensibili non correlati allo scopo di costringerti a utilizzare il computer di qualcun altro.

Se non ti fidi della persona, non usare il suo computer . Non c'è modo di proteggere un computer sconosciuto al 100%, e ancor meno senza fare cose che faranno sospettare l'altra persona che stai cercando di hackerarlo. A quel punto probabilmente ti verrà negato comunque di usare il loro computer.

Sebbene ci siano un certo numero di risposte buone e fantastiche, credo che questa "risposta" radicale manchi:

Se sei preoccupato per la sicurezza, probabilmente usi anche un gestore di password. Genero sempre una password casuale e molto difficile. Su altri computer probabilmente non ho il software né il file in cui sono memorizzate le mie password (uso keepass). Ho questo file memorizzato in una soluzione cloud ma all'accesso richiede anche un file separato che ho solo localmente sui miei dispositivi fidati.

Quindi potresti capire quale seccatura devo affrontare prima di essere effettivamente loggato sull'altro dispositivo non affidabile. Il che in realtà mi impedisce di farlo in primo luogo.

Quindi, se sono costretto ad accedere: "Non conosco la mia password".

Quando sospetti che il sistema abbia un keylogging, dovresti essere in grado di interrompere il processo per fare ciò che stai chiedendo.

Potrebbe essere un processo visibile, quindi se è fondamentale prova a trovarlo elaborare o creare un altro account utente con un terminale crittografato in una sandbox per vedere se è possibile evitare di accedere in questo modo, ad esempio Linux con la cartella home crittografata & swap come esempio.