Domanda:
Come si accede da un computer non protetto?
naw
2012-11-05 00:48:22 UTC
view on stackexchange narkive permalink

Supponi di essere su un Internet café, a casa di un amico o in ufficio e devi accedere a un sito, ma ritieni che il computer non possa essere considerato attendibile (ad esempio, il tuo amico non è un tecnico -savvy e non sa come proteggere la sua macchina e c'è la possibilità che il suo PC contenga qualche tipo di password per la raccolta di malware)

In questo tipo di scenari, come saresti in grado di accedere a un sito che riduce al minimo i rischi?

Se il login non è qualcosa di cruciale (ad es. Login bancario che non dovresti fare affatto da un computer non protetto) e sospetto un keylogger, di solito inserisco la mia password nell'ordine dei caratteri sbagliato, aiutato dal mouse. Non è una soluzione perfetta, ma potrebbe buttare via la maggior parte dei bambini principianti.
Se sei preoccupato ... non lo fai.
La tastiera su schermo può essere utile in questo caso, ma non è una soluzione infallibile
@vsz in realtà, dal momento che le banche di solito hanno l'autenticazione a 3 o 4 fattori per una transazione effettiva, dovrebbe essere relativamente sicuro eseguire un accesso, poiché puoi vedere solo il tuo saldo bancario, ecc. In questo modo
Sono sorpreso che nessuno lo abbia menzionato, ma consiglierei di cambiare la password subito prima e subito dopo aver effettuato l'accesso utilizzando uno smartphone. A meno che qualcuno non ti stia guardando dal vivo, non c'è alcuna possibilità per lui di assumere il controllo del tuo account. Assicurati di non utilizzare wifi non protetto btw!
Un altro aspetto interessante: come altri hanno sottolineato, * non * puoi * garantire la riservatezza su un sistema compromesso, qualunque cosa tu faccia. Tuttavia, * puoi * ancora prevenire transazioni non autorizzate: le banche tedesche hanno introdotto una forma speciale di autenticazione a due fattori negli ultimi anni, chiamata ChipTAN (http://en.wikipedia.org/wiki/Transaction_authentication_number#ciTAN_or_ChipTAN). Con ChipTAN, accedi prima al tuo conto bancario con solo nome utente + password. Tuttavia, questo ti dà solo accesso in lettura. Per qualsiasi tipo di transazione (trasferimento di denaro ecc.) È necessario un TAN. [Cont]
Questo TAN è generato da uno speciale lettore di chipcard, in base ai dettagli della transazione (che vengono trasferiti tramite un fotosensore al lettore). Il lettore funziona solo con la carta bancaria inserita. Mostra i dettagli della transazione e genera un TAN solo dopo la conferma. Lo schema impedisce le transazioni non autorizzate, * anche in presenza di malware sul computer che modifica attivamente le comunicazioni in tempo reale *, perché il lettore costituisce un canale indipendente. AFAIK, non ci sono stati attacchi riusciti, a parte l'ingegneria sociale (indurre le persone a generare TAN).
Dodici risposte:
#1
+34
scuzzy-delta
2012-11-05 03:14:14 UTC
view on stackexchange narkive permalink

Già alcune ottime risposte. Ecco quali sono secondo me le migliori opzioni, in ordine di preferenza.

  1. Non farlo.
  2. Non farlo.
  3. Non farlo. Una macchina non affidabile può fare qualsiasi cosa. Cosa succede se accedi al banking online con una password monouso e il malware avvia immediatamente un bonifico bancario?
  4. Utilizza solo sistemi con password monouso (secondo Thomas Pornin).
  5. Utilizza solo sistemi con autenticazione a 2 o più fattori (per ora)
  6. Utilizza KeePass con offuscamento automatico a due canali (per ora) E cambia le password immediatamente dopo (entro pochi minuti se possibile).

Trovo che una buona opzione sia dire qualcosa come "Mi dispiace, memorizzo solo le mie password in KeePass e non le ho con me". Questo può portare piacevolmente a una discussione sulle buone pratiche relative alle password e in questo modo hai aiutato a istruire alcune persone su come fare la cosa giusta, senza sembrare uno stronzo paranoico :)

Potresti chiedere se c'è * effettivamente * malware là fuori che avvia un trasferimento quando accedi al tuo conto bancario. La risposta è * sì *, c'è. Questo non è ipotetico.
Per quanto riguarda "Usa KeePass con offuscamento automatico a due canali", sarei _molto_ riluttante a sbloccare il mio database KeePass su un computer non sicuro.Esporre il mio intero database di password decrittografate al malware sembra _molto_ peggio che esporre la mia password per un singolo account ai keylogger.
#2
+31
Thomas Pornin
2012-11-05 01:11:22 UTC
view on stackexchange narkive permalink

La soluzione generica è password monouso: la password consente l'accesso solo una volta e la password successiva non può essere ricalcolata da quella password. Questo, ovviamente, presuppone diverse cose:

  • Il sistema a cui gli utenti vogliono accedere supporta password monouso (e pochissimi siti Web lo fanno).
  • L'utente dispone di un elenco di password monouso successive da utilizzare, ad es su un foglio nel suo portafoglio o come uno specifico dispositivo che genera OTP (ad esempio una smartcard speciale o un'app nel suo smartphone).
  • L'aggressore è solo un keylogger ed è solo dopo la password.

Di solito, quando l'utente deve inserire una password, è perché vuole accedere dati sensibili; se il computer dell'utente è ostile, tali dati non possono più essere considerati riservati. Quindi la risposta prudente è: non farlo . Non utilizzare computer potenzialmente ostili; utilizza invece il tuo dispositivo.

[non può più essere considerato confidenziale] ... o per niente attendibile
Le password monouso non sono una soluzione. Non risolvono questo problema. Le "ipotesi" elencate nella domanda non sono valide nelle impostazioni più pratiche. L'unica risposta valida a questo computer è: * non puoi accedere in modo sicuro da un computer di cui non ti fidi *.
Sono d'accordo con @D.W. - quando usavo Windows 98, era banale trovare un numero qualsiasi di programmi in grado di salvare e inviare tramite e-mail screenshot a intervalli regolari. Sono sicuro che siano ancora in giro.
@Izkata Il software sicuramente esiste ancora. L'abbiamo usato nell'ultima azienda per cui ho lavorato. Mi ha fatto sentire malissimo spiare un collega, ma era un caso molto specifico in quanto avevamo bisogno di prove concrete della visualizzazione di "contenuti per adulti" su un dispositivo aziendale. Il software era economico e difficile da rilevare per l'utente medio. Potrebbe essere facilmente installato in modo dannoso su qualsiasi computer "non sicuro".
#3
+21
Akash
2012-11-05 01:05:26 UTC
view on stackexchange narkive permalink

Se il sito non dispone dell'autenticazione a 2 fattori, non accedi da un PC non protetto

Se ti trovi spesso in una situazione del genere, porta con te una USB live (Windows 8 può anche avviarsi da USB IIRC, quindi non sei bloccato con Ubuntu)

Riduce i rischi in questo modo

+1 L'avvio USB è immediatamente quello che mi è venuto in mente. L'altra opzione per quando è il tuo computer, ma non ti fidi del loro wifi aperto o qualcosa del genere è creare un proxy SSH su una rete sicura
E se c'è un registratore di tastiera hardware?
@asmeurer è vero, il problema rimane, ma si presume che il proprietario del PC non sia dannoso, ma semplicemente non mantenga il suo software sicuro
Per quanto ne so, l'opzione di installazione USB è solo per Win8 Enterprise; quindi, a meno che tu non abbia accesso ai contratti multilicenza tramite il tuo datore di lavoro, non è un'opzione.
I keylogger hardware potrebbero essere una preoccupazione improbabile; ma per quanto riguarda i rootkit a livello di bios che lascerebbero il tuo livestick in esecuzione in un ipervisore ostile?
@DanNeely di nuovo, i rootkit a livello di bios non sono estremamente rari? Ad esempio, praticamente nessuna infezione su larga scala?
@Akash Penso che siano ancora abbastanza rari in natura; ma sono passati solo ~ 14 mesi da quando il primo è stato trovato fuori da un laboratorio di ricerca. Sono riluttante a liquidarli a priori solo perché non si sono ancora fatti strada nel tagliare e incollare kit di malware fai-da-te. La necessità di installare una presenza fisica rende improbabile che i keylogger hardware diventino mai una grave minaccia.
I keylogger hardware sono sicuramente una preoccupazione se l'hardware è accessibile al pubblico. molto più facile da fare rispetto al bios keylogger (ricorda che la sicurezza fisica prevale su quasi ogni altra protezione). [USB Keyboard Keylogger] (http://dx.com/p/usb-keyboard-keylogger-black-127262)
#4
+13
Lucas Kauffman
2012-11-05 01:09:14 UTC
view on stackexchange narkive permalink

Non lo fai. È qualcosa che non farei mai perché non sai cosa è stato fatto al computer. Ho sempre un sistema live su usb.

So che l'opzione sicura sarebbe non farlo, ma dire a qualcuno che non ti fidi di lui / lei per mantenere il suo computer al sicuro può essere offensivo e riavviare con un USB live (che porto spesso con me) è, almeno, scomodo e potrebbe non essere fattibile (ad esempio in un Internet café)
@naw, bene, hai posto una domanda tecnica e hai ottenuto una risposta tecnica. (Se alcune persone ne siano offese è oltre il punto. Alcune persone sono offese da qualsiasi suggerimento che gli umani si siano evoluti dalle scimmie; ma questo non lo rende meno vero). Se vuoi qualche consiglio su come comunicare con tatto questa risposta a un potenziale utente, questa è una domanda diversa.
Se l'hardware o il firmware sono stati incasinati con un sistema live su un'unità USB, potrebbe non aiutarti.
#5
+6
naw
2012-11-05 00:48:22 UTC
view on stackexchange narkive permalink

Esiste un'applicazione chiamata KeePass che sembra avere una funzione per contrastare i keylogger. Il software potrebbe essere su una memoria USB ed essere utilizzato sul computer.

Nel caso di Google e altri siti che supportano l'autenticazione a due fattori, sarebbe opportuno utilizzarlo, quindi se la password principale viene registrata , c'è ancora un codice necessario per l'attaccante. Nel caso di StackOverflow e di altri siti basati su OpenID, sembrano esserci diversi provider OpenID con autenticazione a due fattori (Google, Facebook, Verisign)

Anche se questi metodi proteggono solo il login, non da alcuni tipo di dirottamento della sessione.

#6
+4
Alastair
2012-11-05 11:18:55 UTC
view on stackexchange narkive permalink

Utilizza un'unità flash USB avviabile o un disco ottico con qualsiasi distribuzione Linux live caricata al suo interno. Per l'usabilità e la facilità d'uso, suggerirei Ubuntu, ma l'Airforce degli Stati Uniti ha sviluppato e rilasciato la propria distribuzione chiamata LPS appositamente per tali casi d'uso.

Se preferisci Microsoft Windows e possiedi una licenza Enterprise , potresti provare Windows To Go.

Dovresti comunque verificare la presenza di keylogger hadware (segui il cavo della tastiera fino alla scheda madre e cerca qualcosa collegato tra entrambi).

PS/2 Hardware Keylogger

Qualcosa che ho fatto quando utilizzavo computer pubblici di cui non mi fidavo era digitare password non funzionanti, ovvero: Se la tua password è "password ", digita" parola "quindi con il mouse fai clic di nuovo all'inizio e digita" passaggio ". Se le chiavi vengono registrate come testo normale, come di solito è, invece di vedere password [invio] , la spia vedrà: parola [clic sinistro] passa [invio]

Sebbene vada un po 'oltre l'ambito della domanda, un gestore di password ti consentirà di utilizzare password più sicure (con una password principale), il che significa che non avrai " Non digitare più informazioni sensibili in computer non sicuri. Tieni presente che il tuo punto debole è quindi la tua password principale che dovrebbe essere cambiata regolarmente.

Se l'hardware o il firmware sono stati incasinati con un sistema live su un'unità USB, potrebbe non aiutarti.
Per esempio. uno di questi: http://acehackware.com/products/keygrabber-usb-keylogger
@Samuel Edwin Ward Molto vero! Ho pensato di includerlo ma l'ho lasciato fuori. Aggiunti dettagli tra cui h / w-keylogger.
ATTENZIONE: Questo è troppo scarso: da `word [lckick] pass [ret]`, potresti costruire `wordpass`,` worpassd`, `wopassrd`,` wpassord` o `password`. Questo porta solo 4 tentativi senza successo max. Questo metodo è una buona pratica, ma potresti usare sempre più `click`, da un'altra finestra, come un terminale (vedi` man ascii`) o un blocco note (sotto la finestra), anche selezionando alcuni dei caratteri già incollati prima di un ennesimo ` past`, sovrascrivendo una parte ... In questo modo, il keylogger vedrà solo `lclick`` ctrl-C` `ctrl-V` con molte ripetizioni, dove quel numero potrebbe essere più lungo della lunghezza reale della password.
@f-hauri Sì, era solo un esempio; Non sto sostenendo l'uso di `` password '' come password. = P Questi sono buoni suggerimenti per quanto riguarda ASCII. L'ho già usato per l'offuscamento della posta elettronica sulla pagina (dagli scraper). Qualcosa che faccio anche è usare * NIX clic centrale incolla per selezionare e incollare rapidamente caratteri casuali da una pagina. ** Sarebbe difficile da decifrare per qualcuno che legge i log: `` `[lclick] [mclick]` ``
#7
+3
zakk
2012-11-05 08:50:21 UTC
view on stackexchange narkive permalink

Tutte le soluzioni proposte presentano alcune scappatoie:

1) Con l'autenticazione a due fattori alla fine stai comunque effettuando il login. Qualcuno potrebbe acquisire screenshot dei tuoi dati personali (conto bancario) a tua insaputa .

2) Anche durante l'avvio da una chiavetta USB live, qualcuno potrebbe aver impostato un keylogger hardware sul retro (o all'interno) del PC.

Un'autenticazione a due fattori + live La chiavetta USB potrebbe andare bene per i dati meno sensibili, ma probabilmente non vale la pena.

#8
+3
Dean Rather
2012-11-05 10:54:44 UTC
view on stackexchange narkive permalink

Google aveva una fantastica soluzione codice QR + smartphone, ma a quanto pare si trattava di un esperimento ed è ora chiuso..

Potresti andare su accounts.google .com / sesame e visualizzerebbe un codice QR, che potresti scansionare con il tuo telefono. Quindi potresti accedere sul tuo telefono e la sessione sul tuo computer verrebbe autenticata.

Obbligatorio 0 per l'inserimento di dati sensibili nel computer sospetto, ho pensato che fosse abbastanza pulito.

Non so perché l'hanno chiuso. Ma se sei interessato a sviluppare un accesso sicuro al tuo servizio web, questa potrebbe essere un'idea.

Ma se il computer fosse compromesso, ciò potrebbe inviarti a un sito falso e il codice QR potrebbe inviarti a un sito falso sul tuo telefono. Immagino che se dovessi scansionare il codice in un'app dedicata sul telefono, funzionerebbe.
#9
+3
Hugues Fontenelle
2012-11-05 16:24:26 UTC
view on stackexchange narkive permalink

Per prima cosa apro Blocco note e digito quanto segue:

  1234567890qwertyuiopasdfghjklzxcvbnm  

Inutile dire che è abbastanza veloce per farlo, quindi uso <CTRL> + <C> e <CTRL> + <V> per comporre la mia password nel campo della password (che si spera sia cancellato con ***** ).

Ora ho contrastato la maggior parte dei keylogger che un proprietario di Internet cafè malintenzionato potrebbe aver implementato. Non comporre nel Blocco note stesso perché un'app di cattura dello schermo potrebbe ottenerlo.

Lungi dall'essere perfetto (vedi le altre risposte) ma almeno hai una soluzione entry-level senza alcun tipo di preparazione.

Questa è una buona protezione contro un keylogger hardware o contro keylogger software di basso livello. Ma il malware "keylogger" spesso registra tutto ciò che viene inserito in un modulo del browser, soprattutto se contrassegnato come password.
Combinare questa strategia con l'avvio da una chiavetta USB dovrebbe essere ragionevolmente sicuro contro i keylogger. Corri ancora il rischio di registratori video hardware, quindi dovrai controllarli o non accedere a dati protetti.
questo non è sicuro. è possibile acquisire i dati utilizzando 3 o 4 righe di codice java script
#10
+2
Krishna Chaitanya
2012-11-05 07:40:51 UTC
view on stackexchange narkive permalink

Una soluzione semplice: non farlo. Accedi solo a siti che hanno l'autenticazione a 2 fattori.

#11
+2
F. Hauri
2012-11-05 14:07:40 UTC
view on stackexchange narkive permalink

La mia soluzione di lavoro è Linux Live su USB . Per questo, davvero, mi piace Live Helper di Debian che ti consente di personalizzare la tua chiave live come ti serve.

Ho alcune abitudini per tenerlo al sicuro:

  1. Non ho mai inserito una tale chiave USB in un sistema non affidabile in esecuzione !!!
  2. Ho sempre spento l'alimentazione almeno per 30 secondi prima di inserire la chiave su un PC sconosciuto
  3. Se non sono completamente sicuro di avere accesso al primo BIOS, spengo di nuovo
  4. Se non lo sono completamente sicuro di avere il primo accesso al BIOS dopo molti tentativi, non lo faccio.
  5. Se l'ambiente è chiaramente ostile (può contenere un hard keylogger e / o un hard video logger) , Non lo faccio!
  6. Tutti i dati sensibili sulla mia chiave sono crittografati e richiedono una password all'avvio (la nuova versione richiede il passaggio solo se montata dal secondo utente su un filesystem persistente).
  7. Tengo in tasca molte di queste chiavi USB Live. (Per la promozione Linux; Solo uno è mio, ma tutti sono affidabili )
  8. Una vecchia chiave USB (troppo piccola, di aspetto scadente o troppo lenta) che contiene dati sensibili viene distrutta fisicamente, mai riutilizzato.
  9. Anche le considerazioni sull'ambiente sono importanti. (nessun vetro dietro, ma preferibilmente dietro i muri o anche all'aperto con piena vista di ciò che è intorno) ...

Alcuni dei miei amici mi dicono che sono paranoico, ma sono no!

Perché non avere solo una chiave USB protetta da scrittura hardware? e una seconda chiave USB per conservare i dati.
Non conosco personalmente i costruttori di hardware, quindi non potevo fidarmi dell'hardware di base (alcune notizie non così recenti su FPGA a basso costo, mantenendo back-door sembrano confermare la mia opinione). Nell'usare cryptos da open-source * che * scrivendo dati criptati su QUALSIASI hardware, potevo fidarmi (come so e finché nessuna notizia, anche sulla fisica cantica, cambierebbe lo stato della conoscenza ...;) l'hardware nel stessa maniera.
Abbastanza giusto, ora ti sto ufficialmente incoronando paranoico;)
Vantaggio: ho potuto acquistare una chiave USB sicura (con controlli e segni per tutto) e affidabile da un hardware di base da 2 $. (Uno dei miei primi è stato un Ipod shuttle con 512Mo;). L'unica cosa che guardo ora, prima di acquistare nuove chiavi di questo tipo, è la ** velocità di lettura e scrittura **.
#12
+2
Alishex
2012-11-05 15:08:08 UTC
view on stackexchange narkive permalink

Esistono diversi tipi di diversi fattori di rischio quando ci si connette da un computer non protetto (in questo caso un PC con accesso pubblico). La maggior parte dei comuni sono questi:

  • Keylogger: un certo tipo di software che registrerà ogni tasto premuto sulla tastiera e invierà questi registri a varie posizioni.
  • Sniffing di rete: su una rete non protetta o con un router in cui è attiva la modalità di monitoraggio, le tue richieste e il server le risposte possono essere osservate e modificate una volta raggiunta la loro portata. Portare a dirottamenti di sessione e attacchi di intermediari (in determinate situazioni quando i criteri sono soddisfatti).

Per evitare tali minacce e ridurre al minimo il rischio,

  • Contro i keylogger, cerca di utilizzare tastiere virtuali su schermo per ottenere credenziali importanti.
  • Utilizza protocolli sicuri con SSL forniti da CA Questo è importante poiché i certificati possono essere forniti a piacimento quindi prestando attenzione al proprietario del cercificate e se è registrato o meno da una CA ha una grande importanza.
  • Disabilita i cookie e gli scipts per evitare di lasciare residui digitali dei tuoi dati. Se è necessario disporre di cookie, assicurati di eliminarli dopo l'utilizzo.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...