So verwenden Sie passwortgeschützte Websites auf Internetcafé-Computern sicher

Wie kann ich passwortgeschützte Webseiten (z. B. GMail) möglichst sicher auf Internetcafe-Rechnern nutzen?

Ich habe Leute sagen hören, dass es nicht wirklich sicher ist, passwortgeschützte Websites auf Internetcafé-Computern zu verwenden, weil sie möglicherweise Malware installiert haben, die eingegebene Passwörter stehlen kann.

Eine Möglichkeit wäre, Ihre Website mit Zwei-Faktor-Authentifizierung zu versehen, aber das erscheint mir nicht praktikabel, da sie mir nicht unbedingt eine SMS senden können, da ich nicht in meinem Heimatland bin, und ich auch nicht eine Liste mit Sicherheitscodes mit mir führen möchte.

Ich stimme dafür, diese Frage als nicht zum Thema gehörend zu schließen, da dies ein Duplikat von webapps.stackexchange.com/questions/30721/… und security.stackexchange.com/questions/30149/… ist.
@chx Es kann nicht als Duplikat geschlossen werden, da es sich um ein Cross-Site-Duplikat handelt . Diese Duplikate können nur als Duplikat geschlossen werden, wenn die Frage auf eine dieser Seiten verschoben wird. Die Frage sollte als Off-Topic geschlossen werden.
Ich weiß, dass es nicht als Duplikat geschlossen werden kann, ich habe es als Off-Topic markiert, tut mir leid, wenn der Wortlaut nicht perfekt ist. Vielleicht hätte ich sagen sollen "es wurde bereits bei X und Y beantwortet".
Ich würde nicht sagen, dass es hier kein Thema ist, da dies ein tatsächliches Problem ist, mit dem Reisende konfrontiert sind, aber security.SE ist voll von sehr sachkundigen Leuten auf diesem Gebiet. Ich habe das internationale Reise-Tag entfernt, da dasselbe in Ihrem örtlichen Internetcafé in Ihrer Stadt passieren kann.
@chx: Ähm Aktualität und Duplizierung sind nicht dasselbe, selbst von Stack Exchanges durcheinandergebrachte Terminologiestandards.
Dies ist für Travel.SE absolut relevant und sollte offen bleiben. Beiträge in anderen SEs eignen sich jedoch als Referenzen in Antworten.
Comodo verkauft ein Produkt, das eine verschlüsselte Verbindung zu ihrer Website und dann eine Verbindung zu überall ermöglicht. Das adressiert die meisten Exploits auf dem PC und darüber hinaus - Beachten Sie jedoch den Kommentar von jpatokal zu Keyloggern.
Ich werde dies hier einfügen, da es sich auf Kommentare zu mehreren Antworten bezieht: Ich habe Internetcafés gesehen, in denen KEIN Zugriff auf die eigentliche Maschine verfügbar war - Sie haben Kabel durch eine physische Wand geführt. (Das kann Dublin oder Prag (oder beides) gewesen sein). | Es ist üblich genug, Benutzern den Zugriff auf USB oder DVD/CD || zu verweigern Die Fernzugriffssoftware von Comodo (meiner Meinung nach überteuert) gibt Ihnen https-Zugriff von Ihrem Café-PC, adressiert jedoch nicht die Keylogger. || ...
... Ich habe die Fernzugriffssoftware "Team Viewer" von China auf ein Heimcomputersystem in Neuseeland verwendet. Das ist wahrscheinlich noch schlimmer, da es das Potenzial hat, ihnen Zugang zu meinem NZ-System zu verschaffen – aber es gibt die Möglichkeit, ein Challenge-and-Response-System zu implementieren, bei dem der „2. Faktor“ ein mental einfaches, aber „unauffälliges“ System sein könnte. Kombinieren Sie das mit dem Comodos-System und Sie würden es sehr schwer machen, Keylogger-Daten zu verstehen. ... Sie können zB einen Mauszeiger über einen entfernten Bildschirm bewegen und wenn Sie ...
... sind scharf genug, so etwas blind mit einem deaktivierten Remote-Bildschirm zu tun, während Sie es tun, aber die Maus noch am Leben ist. In meinem Fall könnte ich auch mit meiner Frau über den Link kommunizieren - das Hinzufügen eines Drittanbieters, der eine "persönliche Faktorauthentifizierung" aus einem fernen Land erreicht, dürfte einigermaßen effektiv sein. | Ich habe meinen aaccess nur einmal AFAIK im "Ausland" kompromittiert. Eine öffentliche WiFi-Sitzung am Flughafen von Hongkong führte (AFAIK) dazu, dass ich nur wenige Stunden später von GMail aus China ausgesperrt wurde (bevor die Chinesen GMail sperrten), aber das Kontowiederherstellungssystem brachte mich wieder hinein.
Die sehr einfache Antwort ist "Sie können nicht". Vergiss es einfach.
Für Leute, die keine Sicherheitsfirmen besitzen, empfehle ich, NIEMALS KEINE PASSWÖRTER ZU VERWENDEN . Verwenden Sie nur weit geöffnete E-Mails, Banking usw. Dies ist das einzige, was Sie an einen Ort bringen wird, an dem Sie erkennen, dass Sie keine unsicheren Maschinen verwenden können. Beachten Sie, dass der Ausdruck „kann keine unsicheren Maschinen verwenden“ bedeutet „kann keine unsicheren Maschinen verwenden“. Dieser Satz bedeutet also "unsichere Maschinen können nicht verwendet werden". Eine andere Möglichkeit, dies auszudrücken, ist "unsichere Maschinen können nicht verwendet werden". Die 1000 Wörter auf dieser Seite zum Thema Zugriffsschutz (who cares?) sind ein Beispiel für dieses Problem.
Darauf kommen viele Antworten. Ist das ein schlechtes Zeichen?
@AndrewGrimm - die vielen Antworten auf diese Frage sind ein Zeichen für den aktuellen (eher schlechten) Zustand der Computersicherheit und das allgemeine Verständnis davon. Es ist kein Zeichen für ein Problem mit dieser Frage.
@MichaelKohne Es ist ein gutes Zeichen, dass die Frage nicht in der richtigen SE gepostet wurde (vg, eine mit IT-Sicherheitsexperten). Nächste Frage: Wie man einen platten Reifen wechselt, während man sich in einem anderen Land aufhält!
@Olielo Was hat meine Frage mit Gepäck zu tun?
AndrewGrimm Ich LOLd, als ich diesen betrügerischen Vorschlag in der Überprüfungswarteschlange sah. Abstimmung offen zu lassen, offensichtlich. Wenn sie das schließen wollen, müssen sie sich einen besseren Grund einfallen lassen als Champagnerflaschen. @Olielo, hast du dich verklickt oder ein paar Drinks getrunken? Eventuell Champagner?

Antworten (15)

Wenn die Sicherheit nur ein Passwort ist, lautet die Antwort, dass Sie das nicht können : Wenn sie Ihre Tastatureingaben protokollieren, wird Ihr Passwort kompromittiert, Punkt.

Das beste Zwei-Faktor-Authentifizierungssystem für unterwegs ist jedoch nicht SMS, sondern App-basierte Authentifizierung wie Google Authenticator. Alles, was Sie zum Generieren der Codes benötigen, ist Ihr Mobiltelefon, und es muss nicht einmal mit dem Netzwerk/WLAN verbunden sein.

Natürlich ist es am besten, Ihren eigenen Laptop mitzubringen, sodass Sie sich nur um ein kompromittiertes WLAN kümmern müssen.

Wenn Sie Google Authenticator verwenden können, warum sollten Sie dann nicht Google Mail auf Ihrem Telefon verwenden?
@Berwyn Es ist möglicherweise nicht möglich, das Telefon online zu bekommen. Oder die eingeschränkte Benutzeroberfläche des Telefons reicht möglicherweise nicht für das aus, was Sie online tun müssen.
@kasperd Ich habe vergessen, dass Google Auth zeitbasiert ist. Ich dachte an Duo Mobile, das ich kürzlich benutzt hatte. Guter Punkt
TOTP ist großartig, aber es erfordert eine synchronisierte Uhr, was bedeutet, dass Sie mindestens einmal eine Verbindung zu einem Mobilfunk- oder WLAN-Netzwerk herstellen müssen, damit das Telefon das aktuelle Datum und die aktuelle Uhrzeit lernen kann, und gelegentlich noch einmal, damit eine Abweichung der Uhr korrigiert werden kann . Als ich mein altes Telefon das letzte Mal gelöscht habe, kam es (ohne Netzzugriff) mit dem bizarren Datum 21. April 1972 ....
Wie bereits an anderer Stelle erwähnt, hilft eine App-basierte Authentifizierung wie TOTP nicht , wenn jemand das sendet, was Sie an einer anderen Stelle live eingeben (z. B. um Ihre Tastatureingabe auf einem anderen Computer wiederzugeben) . Das einzige, was mir einfällt (was ich noch nirgendwo gesehen habe), wäre, wenn Sie eine App hätten, die eine Meldung anzeigt, in der Sie gefragt werden, ob sich ein einzelner Computer anmelden darf.
Eine VPN-Verbindung zu einem vertrauenswürdigen Endpunkt (dies könnte ein Server bei Ihnen zu Hause sein, ein dediziertes VPN oder etwas, das mit einem VPS eingerichtet wurde) hilft bei dem Problem „kompromittiertes WLAN“. Ich würde nicht im Traum daran denken, ein öffentliches WLAN ohne VPN zu verwenden.
@l0b0 Wenn Sie Spione haben, die jede Ihrer Bewegungen in Echtzeit verfolgen, haben Sie wahrscheinlich größere Probleme. Außerdem bin ich mir ziemlich sicher, dass die meisten großen Websites mehrere gleichzeitige Anmeldungen mit demselben 2FA-Code als verdächtig kennzeichnen würden.
@MichaelHampton Wenn TOTP verwendet wird, wird normalerweise ein Versatz von wenigen Minuten toleriert. Sie sollten in der Lage sein, die Uhr Ihres Telefons innerhalb weniger Minuten manuell einzustellen. Das Einzige, was Sie beachten sollten, ist, die Zeitzone richtig einzustellen (andernfalls sieht die Uhrzeit auf dem Telefon richtig aus, ist aber tatsächlich ein paar Stunden daneben!)
@Berwyn Google Authenticator ist offline. Es funktioniert ziemlich genau wie ein RSA-Token
@njzk2 Ja. Ich benutze es. Habe es mit etwas anderem verwechselt, das ich verwende
SMS ist immer so schlecht wie 2FA, oder?
Aus Sicht der Reisenden ist SMS nicht wirklich toll, da Sie Roaming aktivieren müssen (obwohl eingehende Nachrichten in den meisten Fällen nicht berechnet werden) und Nachrichten einige Minuten dauern können, bis sie ankommen.
Sie können den Google-Authentifikator so einrichten, dass ein sofortiger Replay-Angriff fehlschlägt. Die Folge für Sie ist, dass Sie bei einem falschen Passwort auf den nächsten Token warten müssen, bevor Sie es erneut versuchen können. digitalocean.com/community/tutorials/… (Suche nach „replay“)
2FA würde die Wiederverwendung von Passwörtern verhindern, denn solange die Sitzung geöffnet bleibt, gibt es wenig Kontrolle über die Aktionen, die ein kompromittierter Computer ausführen kann.

Das richtige Verhalten besteht darin, dem Computer NICHT zu vertrauen.

Wenn ich mich bei einem anmelde und keinen USB-Stick mit meiner eigenen Kopie von Firefox darauf zum Surfen einstecken kann, lade ich ihren auf, stelle aber sicher, dass er aus Sicherheitsgründen zuerst auf die neueste Version aktualisiert wird (bzw welchen anderen Browser sie auch verwenden mögen).

Ich überprüfe dann die laufenden Tasks auf dem Computer und schaue, ob irgendetwas verdächtig aussieht. Dies ist für jemanden ohne Technik schwieriger, da Sie möglicherweise nicht wissen, welche Prozesse Teil von Windows usw. sind, aber es ist ein Schritt.

Wenn Sie sich wegen Keylogging Sorgen machen, können Sie für Ihr tatsächliches Passwort immer nur einen Buchstaben eingeben, dann in einem offenen Notizblock einen Haufen Müll, dann den nächsten Buchstaben und wiederholen. Es sei denn, ihr Keylogger ist natürlich hoch entwickelt genug, um anwendungsspezifisch zu sein.

An diesem Punkt sollten Sie die Zwei-Faktor-Authentifizierung in Betracht ziehen. Erhalten Sie entweder eine SMS oder In-App-Nachricht mit einem Code, den Sie eingeben (Google Mail und mehr können dafür eingerichtet werden), oder einen QR-Code, den Ihr Telefon auf dem Bildschirm scannt (Whatsapp Web tut dies).

Wenn Sie wirklich Lust bekommen, können Sie ein Betriebssystem auf einen USB-Stick stecken, der mit dem Browser Ihrer Wahl usw. vorkonfiguriert ist, und dann die Maschine damit booten, aber es hängt davon ab, ob Sie in das BIOS oder was anderes gelangen können Admin-Einschränkungen, die sie dem Computer auferlegt haben (oder ob Sie sogar den USB-Anschluss erreichen können).

Löschen Sie danach den Cache, Cookies usw. des Browsers, und ich neige dazu, den Computer neu zu starten, wenn ich ihn verlasse, da einige Internetcafés so eingestellt sind, dass sie beim Neustart alles von Grund auf neu installieren und jede Spur von mir, dass ich dort gewesen bin, verwischen (ich einmal in einem Internetcafe gearbeitet, wo wir das gemacht haben).

dann tippe in einen offenen Notizblock einen Haufen Müll , der heutzutage nutzlos ist. Viele Keylogger haben Screenshot-Funktionen.
@JanDoggen ja, aber es ist nur zusätzlicher Aufwand, wenn sie sich durchgraben müssen - offensichtlich ist das eigentliche Passwortfeld immer noch unsichtbar. Sie werden nach dir auf die Person losgehen, die sich nicht die Mühe gemacht hat, stattdessen Sachen zu verstecken :/
@MarkMayo Eine Anwendung, die im selben Benutzerkontext auf einem Windows-Computer ausgeführt wird, kann den Inhalt eines Kennwortfelds abrufen, unabhängig davon, ob es auf dem Bildschirm angezeigt wird oder nicht. Ich bin mir sicher, dass es Apps im Keylogger-Stil gibt, die dies automatisch tun, da das Durchkämmen von Tastenanschlägen, um ein Passwort zu finden, bereits langweilig ist. Fakt ist, Sie können dem Angreifer das Leben etwas erschweren, aber wenn er die Maschine kontrolliert, sind Ihre Bemühungen weitgehend sinnlos.
@Calchas stimmte zu, ähnlich wie wenn eine Videokamera subtil auf den Benutzer gerichtet wäre. Nichts ist jemals absolut sicher, aber 2FA leistet heutzutage einen großen Beitrag dazu.
Das einzige, was Sie erreichen, wenn Sie Ihren USB-Stick mit tragbarem Firefox einstecken, ist, ihn mit Viren zu infizieren. Das Ausführen von Software von der eigenen Festplatte auf einem kompromittierten Computer macht ihn nicht weniger kompromittiert.
Was nützt die Verwendung Ihrer eigenen Kopie von Firefox auf einem kompromittierten Computer?
Nun, ein kompromittierter Firefox verbreitet sich nicht unbedingt auf eine eigenständige Kopie. Es kann helfen. Zu erwarten, dass dies sicherlich der Fall ist, wäre jedoch falsch.
Überprüfen Sie die installierten Root-Zertifikate?
Ich würde meinen LiveUSB-Stick einstecken und mein Betriebssystem booten ... dies sollte einen gewissen Schutz bieten (aber sie könnten immer noch die Firmware infiziert oder ein Hardwaregerät direkt angeschlossen haben), aber dies ist möglicherweise nicht möglich.
Ich entschuldige mich, aber aus technischer Sicht ist diese Antwort weitgehend nutzlos.

Wie kann ich passwortgeschützte Webseiten (z. B. GMail) möglichst sicher auf Internetcafe-Rechnern nutzen?

Sie können dies nicht, zumindest ohne die Zwei-Faktor-Authentifizierung (oder eine andere Art von Token, die unabhängig vom lokalen Computer ist). Sie sollten alles, was auf einem öffentlichen Computer eingegeben oder angezeigt wird, als öffentliche Information betrachten.

Solange Sie die Maschine und die darauf installierte Software nicht seit ihrer Erstellung vollständig überwacht haben, können Sie sich nicht darauf verlassen, dass die Maschine Ihr Passwort und alle anderen Tastenanschläge nicht abfängt. Ohne einen zweiten Authentifizierungsfaktor reicht dies aus, um entweder in Echtzeit oder später auf alle Ihre Daten zuzugreifen.

Dieses Abfangen kann auf Softwareebene (die Sie in den meisten Fällen umgehen können, indem Sie einen USB-Stick mit Ihrem eigenen Betriebssystem mit sich führen) oder auf Hardwareebene erfolgen.

Wenn die Bediener überhaupt eine Kompetenz haben, wird das Booten von USB deaktiviert. Und wenn sie über durchschnittliche Kompetenz verfügen, wird das Ausführen von Apps über USB oder das Installieren von VMs deaktiviert. Und selbst wenn Sie Zwei-Faktoren verwenden, gibt es keine Garantie, dass sie keine Screenshots speichern oder einen modifizierten Browser verwenden, um Text von den von Ihnen abgerufenen Seiten und den anderen (nicht passwortgeschützten) Text, den Sie eingeben, zu erfassen.
@WGroleau, aber warum würden Sie davon ausgehen, dass die Bediener kompetent sind? :)
Wenn Sie sich Sorgen um Spione machen, warum nehmen Sie an, dass sie es nicht sind? Ich war an Orten, an denen diese einfachen Schutzmaßnahmen installiert wurden, als andere Dinge auf IT-Inkompetenz hindeuteten.
Auf der anderen Seite wird der Versuch, USB zu booten, entweder erfolgreich sein oder fehlschlagen, es wird kein Schaden angerichtet. Es sei denn, sie sind WIRKLICH talentiert und wissen, wie man den Versuch erkennt und Ihren Stick löscht. Ich habe vor kurzem einen Artikel über einen Exploit gelesen, bei dem es um ein modifiziertes Boot-ROM ging, das USB-Geräte infizierte, sobald sie angeschlossen wurden.

Alle sagen Zwei-Faktor-Authentifizierung. Sie liegen meistens falsch, da zwei Faktoren in den meisten Fällen ein Passwort und etwas anderes sind, und dies riskiert definitiv, das Passwort zu gefährden und etwas anderes zu gefährden. Zwei Faktoren können nützlich sein, aber die beste Lösung sind Einweg-Anmeldeinformationen. Wenn Sie ein vertrauenswürdiges Gerät wie ein Mobiltelefon haben, mit dem Sie Ihr Passwort ändern können, können Sie das Passwort ändern, den nicht vertrauenswürdigen Computer verwenden und dann Ihr Passwort wieder ändern. Dies stellt ein begrenztes Fenster dar, in dem das Passwort angreifbar ist, aber es kann zu lang sein. Einmalpasswörter sind eine bessere Lösung für diesen Anwendungsfall. Es gibt mehrere Implementierungen von Einmalpasswörtern, die von Büchern bis TOTP (Google Authenticator) reichen. Die einzige Herausforderung besteht darin, dass all dies eine serverseitige Unterstützung erfordert, die bestenfalls lückenhaft ist.

Du sagst also, 1FA ist besser als 2FA? ;)
Ja, in gewisser Weise ist 1F besser als 2F, weil das überwältigende Problem der menschliche Faktor ist. Wenn Sie im Begriff sind, MITM auf dem Weg zu Ihrer luxemburgischen Bank für naive Benutzer zu sein (dh 99,99999999999999999999999999999999999999999999999999999 % der lebenden Menschen), ist die 2F eine Illusion. Einfacher gesagt, 2F überzeugt die Leute davon, dass es in Ordnung ist, wirklich unsichere physische Geräte zu verwenden. Das ganze Gerede über die Erfassung von Passwörtern hier von Nicht-Experten ist ein gutes Beispiel: Es gibt jede Menge Schlimmes, das Ihnen passieren kann, wenn Sie sich mit Ihrer Bank (oder auch nur mit einer E-Mail) verbinden und sie Ihre Passwörter NICHT erhalten; es ist alles ein bisschen albern.
@Berwyn, der Vorteil von 2fa besteht darin, dass die Kompromittierung mehrerer Anmeldeinformationen keine vollständige Kompromittierung darstellt. Für diesen speziellen Anwendungsfall ist jedoch jede Authentifizierungsmethode anfällig für Kompromittierungen. Daher möchten Sie für diesen Fall nur Anmeldeinformationen verwenden, die wegwerfbar sind, damit die Kompromittierung der Anmeldeinformationen keine Rolle spielt. Deshalb empfehle ich OTP nur für diesen Anwendungsfall. Ein zweiter Ausweis eines anderen Typs wäre von Wert, wenn wir einen anderen finden könnten, der nicht anfällig für eine sofortige Kompromittierung wäre. Der einzige andere Kandidat, den ich kenne, ist eine Challenge Response (Forts.)
(Forts.), aber die sichere Implementierung von Challenge Response ist in diesem Anwendungsfall ziemlich kompliziert, da der öffentliche Computer nicht verwendet werden kann, um eine der beteiligten Berechnungen durchzuführen.

Eine Alternative zu 2FA ist die Verwendung eines USB-Armory -Geräts. Dieser wird an Ihren USB-Anschluss angeschlossen und führt ein unabhängiges Betriebssystem aus. Sie können mit dem Gerät auf beliebige Weise interagieren, z. B. indem Sie es als Webserver, SSH-Client oder VNC/RDP-Server verwenden, sodass das Gerät selbst die sichere Sitzung mit dem Zielserver aufruft. Die Schlüssel/Passwörter könnten auf dem Gerät verbleiben und dem Host-Computer nicht zugänglich gemacht werden.

Jede softwarebasierte Lösung ist nicht gut genug – was ist, wenn die Tastatur verwanzt ist? Erinnern Sie sich noch daran, als Andy Davis einen RasPi in ein Dell-Dock stopfte, Ethernet-VGA und -Tastatur anzapfte und den Datenstrom an ein HSDPA-Modem schickte? Das hat Spaß gemacht...
@chx Es spielt keine Rolle, ob die Tastatur verwanzt ist, weil Sie Ihr Passwort nicht darauf eingeben
Angesichts der Anzahl positiver Stimmen für den Kommentar von @chx bin ich mir nicht sicher, ob die Leute verstehen, was dieses Gerät ist. Sie können es sich als ein HSM vorstellen, das die Authentifizierung in Ihrem Namen durchführt. Sie würden es nicht verwenden, um ein Passwort einzugeben, da dies sinnlos wäre
Ist es dann ein U2F-Gerät?
Es ist nicht U2F an sich. Sie könnten damit U2F implementieren. Es unterstützt TrustZone und Sie können Ihre eigenen Secureboot-Schlüssel in Sicherungen brennen.
Nun, das Problem liegt sozusagen auf der Serverseite: Die überwiegende Mehrheit der Websites besteht hartnäckig darauf, Passwörter zu verwenden. Das ist ein Problem.
@chx Als Beispiel vnc in die USB-Waffenkammer und verwenden Sie einen Browser, um auf einen Webmail-Dienst zuzugreifen. Der Browser auf der USB-Armory kann so konfiguriert werden, dass er das Passwortfeld automatisch ausfüllt. Das Passwort würde das Gerät niemals verlassen, außer über SSL an den Webmail-Dienst. Ihr Passwort würde nicht offengelegt.
Dies sollte in der Antwort bearbeitet und die Kommentare gelöscht werden, ich werde meine löschen.
Angenommen, Sie sprechen davon, den Browser auf dem Gerät der Waffenkammer auszuführen, ist dies nicht im Grunde gleichbedeutend mit der Aussage "Benutzen Sie nicht den Computer des Internetcafés, bringen Sie Ihren eigenen mit"?
@ Ajedi32 Die Waffenkammer hat kein Netzwerk oder Display, daher müssen die Ressourcen des Internetcafé-Computers genutzt, aber sensible Aufgaben in der Waffenkammer ausgeführt werden. Es ist sogar sinnvoll, wenn Sie es mit Ihrem eigenen Laptop verwenden, da die Angriffsfläche für den eigenen Computer viel größer ist als die der Armory

Verwenden Sie die Zwei-Faktor-Authentifizierung. Hier geben Sie zusätzlich zu einem Passwort eine Zeichenfolge ein, die Ihnen zugesendet wird (entweder per SMS oder anderweitig). So richte ich es ein, weil SMS beim Roaming nicht immer funktioniert.

  1. Installieren Sie Google Authenticator für den Android- oder IOS-Store
  2. Befolgen Sie die Anweisungen hier , um es einzurichten.
  3. Richten Sie Ihr Google-Konto für die Verwendung der zweistufigen Authentifizierung mit Ihrer Authenticator-App ein. Die Anleitung ist hier

Öffnen Sie jetzt jedes Mal, wenn Sie sich anmelden müssen, wenn Sie dazu aufgefordert werden, den Authenticator und geben Sie den Schlüssel ein. Keine Sorge, der Schlüssel ändert sich alle 15 Sekunden. Selbst wenn jemand versucht, sich mit den aufgezeichneten Schlüsseln anzumelden, funktioniert es nicht. Und Sie können den Zugriff später überprüfen, indem Sie ganz unten rechts auf Ihrer Google Mail-Seite auf Zugriffsverlauf klicken.

Sie können mehr über Authenticator auf Wikipedia nachlesen, geben Sie einfach Google Authenticator ein.

Googe Mail und Fastmail.fm unterstützen beide U2F , sodass Sie diese über diesen Schlüssel verwenden können, wenn der Ort, an dem Sie sich befinden, das Anschließen zufälliger USB-Geräte erlaubt. Ich bin mir nicht sicher, welche anderen Websites es unterstützen. Wenn Sie Ihre eigene Kontrolle haben, können Sie sich stattdessen einen Yubikey Neo besorgen und die Yubikey-Authentifizierung für Ihre Website implementieren. Es ist leider selten.

+1. Ich habe einen Yubikey und er enthält meinen privaten SSH-Schlüssel. Ich kann mich bei meinem VPS anmelden, um meine E-Mails damit zu lesen.
Dies ist ein vollkommen gutes Gerät, um Ihren eigenen Computer anzuschließen. Das Anschließen an einen kompromittierten Computer unterscheidet sich dagegen nicht so sehr von der Eingabe Ihres Passworts.

Wenn Sie zwei abwechselnde Passwörter verwenden, bietet dies einen gewissen Schutz, wenn Sie in jedem Internetcafé nur eine Sitzung haben: Im ersten Internetcafé melden Sie sich mit Passwort 1 an und ändern am Ende der Sitzung das Passwort in Passwort 2 . Im zweiten Internetcafé melden Sie sich mit Passwort 2 an und ändern am Ende der Sitzung das Passwort wieder auf Passwort 1 . Analysiert der Angreifer nur das erste von Ihnen eingegebene Passwort (das Sie für die Anmeldung verwendet haben), dann kann er dieses Passwort nicht für eine Anmeldung verwenden, da es von Ihnen am Ende der Sitzung geändert wurde.

Dieser Ansatz hilft nicht, wenn der Angreifer das vollständige Protokoll des Keyloggers analysiert, aber vielleicht nicht so geduldig ist oder nicht auf die Idee kommt, dass Sie am Ende der Sitzung einfach das Passwort geändert haben.

Dies setzt voraus, dass Hacker das Passwort abfangen können, das Sie zu Beginn der Sitzung eingeben, aber nicht das am Ende. Wie würde das passieren?
Wie ich im letzten Satz meiner Antwort geschrieben habe: Diese Vorgehensweise hilft nur, wenn der Angreifer so "schlampig" ist, dass er das Ende der vom Keylogger aufgezeichneten Daten nicht nach Passwörtern durchsucht. Wenn Sie sich anmelden, einige E-Mails schreiben, dann das Passwort ändern und weitere E-Mails schreiben, wird es ziemlich schwierig sein, das zweite Passwort in den vom Keylogger aufgezeichneten Daten zu erkennen.
Da das Ändern des Passworts normalerweise erfordert, dass Sie das alte wiederholen, wäre es ziemlich einfach zu erkennen. Moderne Keylogger neigen auch dazu, alle paar Sekunden Screenshots zu machen.

Wie andere bereits erwähnt haben, gibt es nur sehr wenige Sicherheitsregeln, die Sie auf einer Maschine durchsetzen können, die Sie nicht kontrollieren.

Am besten eigenen Laptop, Tablet, Smartphone mitnehmen und den Internetanschluss einfach ausleihen.

Sobald Sie die Internetverbindung erhalten haben, verwenden Sie einen VPN-Anbieter, um Ihre Verbindung zu sichern. Es gibt viele Möglichkeiten, dies zu tun, indem Sie einen Browser mit einem integrierten , oder einen VPN-Client auf Ihrem Handy verwenden. Bei einigen VPN-Anbietern können Sie für einen geringen Betrag kostenlose lebenslange Abonnements erhalten.

Das VPN bietet ein gewisses Maß an Privatsphäre über die (öffentliche) Internetverbindung.

Als Nächstes können Sie die normalen Sicherheitsschritte ausführen, z. B. die Aktivierung der Zwei-Faktor-Authentifizierung für Ihr Konto.

Ein VPN schützt Sie nicht vor Keyloggern
Wir gehen natürlich davon aus, dass sich auf Ihrem eigenen Laptop/Computer/Tablet keine Keylogger befinden.

Verwandte Überlegungen von möglichem Wert. Oder nicht.
„cafe“ = Internetcafé oder Äquivalent.

Comodo verkauft ein Produkt, das eine https-verschlüsselte Verbindung zu ihrer Website und dann eine Verbindung zu einem beliebigen Ort ermöglicht. Das adressiert die meisten Exploits auf dem PC und darüber hinaus - Beachten Sie jedoch den Kommentar von jpatokal zu Keyloggern. (Meine einzige Beziehung zu Comodo besteht darin, dass ich gelegentlich ein zahlendes und manchmal ein kostenloses Produkt verwende.)

Ich habe Internetcafés gesehen, in denen KEIN Zugang zum eigentlichen Gerät verfügbar war - Sie haben Kabel durch eine physische Wand geführt. (Das kann Dublin oder Prag (oder beides) gewesen sein).

Es ist üblich genug, Café-Benutzern den Zugriff auf USB oder DVD/CD zu verweigern

Ich habe die Fernzugriffssoftware „Team Viewer“ von China auf ein Heimcomputersystem in Neuseeland verwendet. Das ist wahrscheinlich noch schlimmer, da es das Potenzial hat, ihnen Zugang zu meinem NZ-System zu verschaffen – aber es gibt die Möglichkeit, ein Challenge-and-Response-System zu implementieren, bei dem der „2. Faktor“ ein mental einfaches, aber „unauffälliges“ System sein könnte. Kombinieren Sie das mit dem Comodos-System und Sie würden es sehr schwer machen, Keylogger-Daten zu verstehen. ... Sie können zB einen Mauszeiger über einen entfernten Bildschirm bewegen und wenn Sie genug Lust haben, tun Sie so etwas blind mit einem deaktivierten entfernten Bildschirm, während Sie es tun, aber die Maus lebt noch.

In meinem Fall könnte ich auch mit meiner Frau über den Link kommunizieren - das Hinzufügen eines Drittanbieters, der eine "persönliche Faktorauthentifizierung" aus einem fernen Land erreicht, dürfte einigermaßen effektiv sein.

Ich habe meinen Zugang AFAIK nur einmal im "Ausland" kompromittiert. Eine öffentliche WiFi-Sitzung am Flughafen von Hongkong führte (AFAIK) dazu, dass ich nur wenige Stunden später von GMail aus China ausgesperrt wurde (bevor die Chinesen GMail sperrten), aber das Kontowiederherstellungssystem brachte mich wieder hinein.

________________________________________

Nur Spaß: Ich saß in einem Café in Shenzhen neben einem großen Team von Chinesen, die aufmerksam dasselbe Spiel spielten. Nicht mein Territorium, aber mein Sohn fragte sich auf den Bildschirmen, die auf den Fotos zu sehen waren, die ich gemacht hatte, ob dies einige der sagenumwobenen Bergleute aus China waren, die echte $ verdienten, indem sie In-Game-Produkte für dieses bestimmte Spiel beschafften und verkauften. Unbekannt und unerkennbar – aber ein lustiger Gedanke.

Sehen :-) -

Top - Teil des Shenzhen-Teams. Unten - internetbezogenes 'Mem'.

Sie sollten verstehen, wie unsicher ein unsicherer Computer wirklich ist.

Angenommen sie:

  • Zeichnen Sie jeden Tastendruck auf, den Sie machen.
  • Versuchen Sie, Passwörter, die Sie eingeben – mit oder ohne Zwei-Faktor-Schutz – auf anderen Websites einzugeben, da Sie Passwörter natürlich recyceln können.
  • Zeichnen Sie alles auf, was auf dem Bildschirm angezeigt wird, einschließlich alles, was in Ihrer E-Mail oder auf Ihrem Facebook-Konto usw. geöffnet ist.
  • Kennen Sie Ihre Kontakte und können wahrscheinlich Ihre Identität stehlen.

Nun, sind öffentliche Computer, die Passwörter für gemeinsame Websites kratzen, aber vor allem anderen zurückschrecken, was sie tun könnten, üblich genug? Ich habe keine Ahnung. Aber es ist sehr seltsam für mich, einem Computer zu vertrauen, dass er ihn benutzt, solange Sie Ihr Passwort davor schützen können.

Um Ihr Passwort auf einem öffentlichen Computer (oder einem anderen Gerät) zu schützen, verwenden Sie einen Passwort-Manager wie Password Maker , der für Sie pro Website ein eindeutiges Passwort generiert.

Sie verwenden ein Master-Passwort (das eigentlich für keine Website verwendet wird) und eine ganze Reihe anderer Informationen, um ein Passwort für eine bestimmte Website zu generieren, auf die Sie zugreifen möchten. Sie kopieren dann das Passwort und fügen es ein, um sich anzumelden, sodass Sie Ihr Passwort niemals eingeben müssen und es daher nicht von einem Keylogger erfasst werden kann.

Kombinieren Sie dies mit den anderen Vorschlägen in diesen Fragen und Antworten (verwenden Sie ein VPN, 2-Faktor-Authentifizierung, verwenden Sie keinen öffentlichen Computer, sondern verwenden Sie Ihr eigenes Gerät usw.).

Ich wollte mich aus diesem heraushalten, aber all diese Antworten zu sehen, die auf Zwei-Faktor-Authentifizierung und ein paar naive Anti-Keylogger-Tricks hindeuten, wird die Dinge irgendwie richtig machen, ist einfach unglaublich.

Machen Sie sich klar: Die einzige sichere Möglichkeit, gesicherte Websites auf einem kompromittierten Computer zu verwenden, besteht darin, sie nicht zu verwenden . Von dem Moment an, an dem Sie einen Remote-Server (GMail, Ihre Bank usw.) dazu gebracht haben, dem von Ihnen verwendeten Computer zu vertrauen, vertrauen sie dem, was auch immer dieser Computer an sie sendet, und Sie haben wenig Kontrolle darüber.

Einige Banking-Websites sind sich dieses Problems bewusst und verlangen, dass Sie jede einzelne Aktion, die Sie ausführen möchten, authentifizieren , um sicherzustellen, dass alle Aktionen vom tatsächlichen Benutzer stammen. Viele andere nicht. GMail sicherlich nicht. Sobald Sie eingeloggt sind, gibt es Ihr Mail-Archiv gerne an die Hacker weiter, während Sie die neue E-Mail lesen, die Sie erhalten haben.

Wenn das überraschend klingt, öffnen Sie GMail in zwei Tabs und stellen Sie sich vor, Sie verwenden einen, während Hacker den anderen kontrollieren, ohne dass Sie es sehen. Das sollte Ihnen eine gute Vorstellung davon geben, was auf einem kompromittierten Computer passiert.

Welche der vielen hier erwähnten Möglichkeiten, sich bei einem anderen Computer anzumelden? Ich dachte, es ist viel schwieriger, böswillige Dinge so zu tun, wie Sie es mit VNC beschreiben, da es nur einen Thread gibt.
Hm? VNC benötigt kein USB?
VNC verhindert immer noch nicht das Keylogging, und wenn Sie es verwenden, wird davon ausgegangen, dass Sie dem Computer USB-Hardware hinzufügen können (Sie müssen es von irgendwoher zum Laufen bringen). An diesem Punkt würde ich in Betracht ziehen, das Ethernet-Kabel zu trennen und es an meinen eigenen PC anzuschließen.
Gehen Sie davon aus, dass die VNC-Software auf dem öffentlichen Computer vorinstalliert ist? An diesem Punkt könnte es modifiziert werden, um so viele Threads bereitzustellen, wie seine Autoren es für richtig halten.

Sie können VPN und 2FA zusammen mit einem Windows-To-Go x86 (32-Bit) USB-Laufwerk verwenden. Auf diese Weise müssen Sie nicht wirklich eine riesige Liste von Passwörtern oder Sicherheitscodes mit sich führen ODER Sie könnten einfach ein dauerhaftes Linux-Speicherlaufwerk verwenden (natürlich mit VPN).

VPN
Official WTG
Inoffizielle WTG kann ebenfalls verwendet werden

Ein wichtiger Trick, den hier niemand besprochen hat!

Keylogger zeichnen Ihre Tastenanschläge der Reihe nach auf ... Punkt!

Sie können sie zum Narren halten, indem Sie Ihren ersten Buchstaben des Passworts eingeben, dann ein paar letzte Buchstaben, dann den Cursor genau an der Stelle platzieren, an der Sie aufgehört haben, und die restlichen Zeichen schreiben.

Sie können es noch weiter randomisieren, indem Sie die Cursorposition wechseln. Denken Sie daran, verwenden Sie nicht die Pfeiltasten der Tastatur, um den Cursor zu wechseln, verwenden Sie die Maus ;)

Dieser Trick täuscht jeden Keylogger, selbst den anwendungsspezifischen.

Natürlich ist dies nur etwas für Keylogger, öffentliche Computer können auch viele andere Probleme haben.

So verwenden Sie passwortgeschützte Websites auf Internetcafé-Computern sicher
AntwortenHierDatenschutz-Bestimmungen1y, 0v