Wie kann ich passwortgeschützte Webseiten (z. B. GMail) möglichst sicher auf Internetcafe-Rechnern nutzen?
Ich habe Leute sagen hören, dass es nicht wirklich sicher ist, passwortgeschützte Websites auf Internetcafé-Computern zu verwenden, weil sie möglicherweise Malware installiert haben, die eingegebene Passwörter stehlen kann.
Eine Möglichkeit wäre, Ihre Website mit Zwei-Faktor-Authentifizierung zu versehen, aber das erscheint mir nicht praktikabel, da sie mir nicht unbedingt eine SMS senden können, da ich nicht in meinem Heimatland bin, und ich auch nicht eine Liste mit Sicherheitscodes mit mir führen möchte.
Wenn die Sicherheit nur ein Passwort ist, lautet die Antwort, dass Sie das nicht können : Wenn sie Ihre Tastatureingaben protokollieren, wird Ihr Passwort kompromittiert, Punkt.
Das beste Zwei-Faktor-Authentifizierungssystem für unterwegs ist jedoch nicht SMS, sondern App-basierte Authentifizierung wie Google Authenticator. Alles, was Sie zum Generieren der Codes benötigen, ist Ihr Mobiltelefon, und es muss nicht einmal mit dem Netzwerk/WLAN verbunden sein.
Natürlich ist es am besten, Ihren eigenen Laptop mitzubringen, sodass Sie sich nur um ein kompromittiertes WLAN kümmern müssen.
Das richtige Verhalten besteht darin, dem Computer NICHT zu vertrauen.
Wenn ich mich bei einem anmelde und keinen USB-Stick mit meiner eigenen Kopie von Firefox darauf zum Surfen einstecken kann, lade ich ihren auf, stelle aber sicher, dass er aus Sicherheitsgründen zuerst auf die neueste Version aktualisiert wird (bzw welchen anderen Browser sie auch verwenden mögen).
Ich überprüfe dann die laufenden Tasks auf dem Computer und schaue, ob irgendetwas verdächtig aussieht. Dies ist für jemanden ohne Technik schwieriger, da Sie möglicherweise nicht wissen, welche Prozesse Teil von Windows usw. sind, aber es ist ein Schritt.
Wenn Sie sich wegen Keylogging Sorgen machen, können Sie für Ihr tatsächliches Passwort immer nur einen Buchstaben eingeben, dann in einem offenen Notizblock einen Haufen Müll, dann den nächsten Buchstaben und wiederholen. Es sei denn, ihr Keylogger ist natürlich hoch entwickelt genug, um anwendungsspezifisch zu sein.
An diesem Punkt sollten Sie die Zwei-Faktor-Authentifizierung in Betracht ziehen. Erhalten Sie entweder eine SMS oder In-App-Nachricht mit einem Code, den Sie eingeben (Google Mail und mehr können dafür eingerichtet werden), oder einen QR-Code, den Ihr Telefon auf dem Bildschirm scannt (Whatsapp Web tut dies).
Wenn Sie wirklich Lust bekommen, können Sie ein Betriebssystem auf einen USB-Stick stecken, der mit dem Browser Ihrer Wahl usw. vorkonfiguriert ist, und dann die Maschine damit booten, aber es hängt davon ab, ob Sie in das BIOS oder was anderes gelangen können Admin-Einschränkungen, die sie dem Computer auferlegt haben (oder ob Sie sogar den USB-Anschluss erreichen können).
Löschen Sie danach den Cache, Cookies usw. des Browsers, und ich neige dazu, den Computer neu zu starten, wenn ich ihn verlasse, da einige Internetcafés so eingestellt sind, dass sie beim Neustart alles von Grund auf neu installieren und jede Spur von mir, dass ich dort gewesen bin, verwischen (ich einmal in einem Internetcafe gearbeitet, wo wir das gemacht haben).
Wie kann ich passwortgeschützte Webseiten (z. B. GMail) möglichst sicher auf Internetcafe-Rechnern nutzen?
Sie können dies nicht, zumindest ohne die Zwei-Faktor-Authentifizierung (oder eine andere Art von Token, die unabhängig vom lokalen Computer ist). Sie sollten alles, was auf einem öffentlichen Computer eingegeben oder angezeigt wird, als öffentliche Information betrachten.
Solange Sie die Maschine und die darauf installierte Software nicht seit ihrer Erstellung vollständig überwacht haben, können Sie sich nicht darauf verlassen, dass die Maschine Ihr Passwort und alle anderen Tastenanschläge nicht abfängt. Ohne einen zweiten Authentifizierungsfaktor reicht dies aus, um entweder in Echtzeit oder später auf alle Ihre Daten zuzugreifen.
Dieses Abfangen kann auf Softwareebene (die Sie in den meisten Fällen umgehen können, indem Sie einen USB-Stick mit Ihrem eigenen Betriebssystem mit sich führen) oder auf Hardwareebene erfolgen.
Alle sagen Zwei-Faktor-Authentifizierung. Sie liegen meistens falsch, da zwei Faktoren in den meisten Fällen ein Passwort und etwas anderes sind, und dies riskiert definitiv, das Passwort zu gefährden und etwas anderes zu gefährden. Zwei Faktoren können nützlich sein, aber die beste Lösung sind Einweg-Anmeldeinformationen. Wenn Sie ein vertrauenswürdiges Gerät wie ein Mobiltelefon haben, mit dem Sie Ihr Passwort ändern können, können Sie das Passwort ändern, den nicht vertrauenswürdigen Computer verwenden und dann Ihr Passwort wieder ändern. Dies stellt ein begrenztes Fenster dar, in dem das Passwort angreifbar ist, aber es kann zu lang sein. Einmalpasswörter sind eine bessere Lösung für diesen Anwendungsfall. Es gibt mehrere Implementierungen von Einmalpasswörtern, die von Büchern bis TOTP (Google Authenticator) reichen. Die einzige Herausforderung besteht darin, dass all dies eine serverseitige Unterstützung erfordert, die bestenfalls lückenhaft ist.
Eine Alternative zu 2FA ist die Verwendung eines USB-Armory -Geräts. Dieser wird an Ihren USB-Anschluss angeschlossen und führt ein unabhängiges Betriebssystem aus. Sie können mit dem Gerät auf beliebige Weise interagieren, z. B. indem Sie es als Webserver, SSH-Client oder VNC/RDP-Server verwenden, sodass das Gerät selbst die sichere Sitzung mit dem Zielserver aufruft. Die Schlüssel/Passwörter könnten auf dem Gerät verbleiben und dem Host-Computer nicht zugänglich gemacht werden.
Verwenden Sie die Zwei-Faktor-Authentifizierung. Hier geben Sie zusätzlich zu einem Passwort eine Zeichenfolge ein, die Ihnen zugesendet wird (entweder per SMS oder anderweitig). So richte ich es ein, weil SMS beim Roaming nicht immer funktioniert.
Öffnen Sie jetzt jedes Mal, wenn Sie sich anmelden müssen, wenn Sie dazu aufgefordert werden, den Authenticator und geben Sie den Schlüssel ein. Keine Sorge, der Schlüssel ändert sich alle 15 Sekunden. Selbst wenn jemand versucht, sich mit den aufgezeichneten Schlüsseln anzumelden, funktioniert es nicht. Und Sie können den Zugriff später überprüfen, indem Sie ganz unten rechts auf Ihrer Google Mail-Seite auf Zugriffsverlauf klicken.
Sie können mehr über Authenticator auf Wikipedia nachlesen, geben Sie einfach Google Authenticator ein.
Googe Mail und Fastmail.fm unterstützen beide U2F , sodass Sie diese über diesen Schlüssel verwenden können, wenn der Ort, an dem Sie sich befinden, das Anschließen zufälliger USB-Geräte erlaubt. Ich bin mir nicht sicher, welche anderen Websites es unterstützen. Wenn Sie Ihre eigene Kontrolle haben, können Sie sich stattdessen einen Yubikey Neo besorgen und die Yubikey-Authentifizierung für Ihre Website implementieren. Es ist leider selten.
Wenn Sie zwei abwechselnde Passwörter verwenden, bietet dies einen gewissen Schutz, wenn Sie in jedem Internetcafé nur eine Sitzung haben: Im ersten Internetcafé melden Sie sich mit Passwort 1 an und ändern am Ende der Sitzung das Passwort in Passwort 2 . Im zweiten Internetcafé melden Sie sich mit Passwort 2 an und ändern am Ende der Sitzung das Passwort wieder auf Passwort 1 . Analysiert der Angreifer nur das erste von Ihnen eingegebene Passwort (das Sie für die Anmeldung verwendet haben), dann kann er dieses Passwort nicht für eine Anmeldung verwenden, da es von Ihnen am Ende der Sitzung geändert wurde.
Dieser Ansatz hilft nicht, wenn der Angreifer das vollständige Protokoll des Keyloggers analysiert, aber vielleicht nicht so geduldig ist oder nicht auf die Idee kommt, dass Sie am Ende der Sitzung einfach das Passwort geändert haben.
Wie andere bereits erwähnt haben, gibt es nur sehr wenige Sicherheitsregeln, die Sie auf einer Maschine durchsetzen können, die Sie nicht kontrollieren.
Am besten eigenen Laptop, Tablet, Smartphone mitnehmen und den Internetanschluss einfach ausleihen.
Sobald Sie die Internetverbindung erhalten haben, verwenden Sie einen VPN-Anbieter, um Ihre Verbindung zu sichern. Es gibt viele Möglichkeiten, dies zu tun, indem Sie einen Browser mit einem integrierten , oder einen VPN-Client auf Ihrem Handy verwenden. Bei einigen VPN-Anbietern können Sie für einen geringen Betrag kostenlose lebenslange Abonnements erhalten.
Das VPN bietet ein gewisses Maß an Privatsphäre über die (öffentliche) Internetverbindung.
Als Nächstes können Sie die normalen Sicherheitsschritte ausführen, z. B. die Aktivierung der Zwei-Faktor-Authentifizierung für Ihr Konto.
Verwandte Überlegungen von möglichem Wert. Oder nicht.
„cafe“ = Internetcafé oder Äquivalent.
Comodo verkauft ein Produkt, das eine https-verschlüsselte Verbindung zu ihrer Website und dann eine Verbindung zu einem beliebigen Ort ermöglicht. Das adressiert die meisten Exploits auf dem PC und darüber hinaus - Beachten Sie jedoch den Kommentar von jpatokal zu Keyloggern. (Meine einzige Beziehung zu Comodo besteht darin, dass ich gelegentlich ein zahlendes und manchmal ein kostenloses Produkt verwende.)
Ich habe Internetcafés gesehen, in denen KEIN Zugang zum eigentlichen Gerät verfügbar war - Sie haben Kabel durch eine physische Wand geführt. (Das kann Dublin oder Prag (oder beides) gewesen sein).
Es ist üblich genug, Café-Benutzern den Zugriff auf USB oder DVD/CD zu verweigern
Ich habe die Fernzugriffssoftware „Team Viewer“ von China auf ein Heimcomputersystem in Neuseeland verwendet. Das ist wahrscheinlich noch schlimmer, da es das Potenzial hat, ihnen Zugang zu meinem NZ-System zu verschaffen – aber es gibt die Möglichkeit, ein Challenge-and-Response-System zu implementieren, bei dem der „2. Faktor“ ein mental einfaches, aber „unauffälliges“ System sein könnte. Kombinieren Sie das mit dem Comodos-System und Sie würden es sehr schwer machen, Keylogger-Daten zu verstehen. ... Sie können zB einen Mauszeiger über einen entfernten Bildschirm bewegen und wenn Sie genug Lust haben, tun Sie so etwas blind mit einem deaktivierten entfernten Bildschirm, während Sie es tun, aber die Maus lebt noch.
In meinem Fall könnte ich auch mit meiner Frau über den Link kommunizieren - das Hinzufügen eines Drittanbieters, der eine "persönliche Faktorauthentifizierung" aus einem fernen Land erreicht, dürfte einigermaßen effektiv sein.
Ich habe meinen Zugang AFAIK nur einmal im "Ausland" kompromittiert. Eine öffentliche WiFi-Sitzung am Flughafen von Hongkong führte (AFAIK) dazu, dass ich nur wenige Stunden später von GMail aus China ausgesperrt wurde (bevor die Chinesen GMail sperrten), aber das Kontowiederherstellungssystem brachte mich wieder hinein.
________________________________________
Nur Spaß: Ich saß in einem Café in Shenzhen neben einem großen Team von Chinesen, die aufmerksam dasselbe Spiel spielten. Nicht mein Territorium, aber mein Sohn fragte sich auf den Bildschirmen, die auf den Fotos zu sehen waren, die ich gemacht hatte, ob dies einige der sagenumwobenen Bergleute aus China waren, die echte $ verdienten, indem sie In-Game-Produkte für dieses bestimmte Spiel beschafften und verkauften. Unbekannt und unerkennbar – aber ein lustiger Gedanke.
Sehen :-) -
Top - Teil des Shenzhen-Teams. Unten - internetbezogenes 'Mem'.
Sie sollten verstehen, wie unsicher ein unsicherer Computer wirklich ist.
Angenommen sie:
Nun, sind öffentliche Computer, die Passwörter für gemeinsame Websites kratzen, aber vor allem anderen zurückschrecken, was sie tun könnten, üblich genug? Ich habe keine Ahnung. Aber es ist sehr seltsam für mich, einem Computer zu vertrauen, dass er ihn benutzt, solange Sie Ihr Passwort davor schützen können.
Um Ihr Passwort auf einem öffentlichen Computer (oder einem anderen Gerät) zu schützen, verwenden Sie einen Passwort-Manager wie Password Maker , der für Sie pro Website ein eindeutiges Passwort generiert.
Sie verwenden ein Master-Passwort (das eigentlich für keine Website verwendet wird) und eine ganze Reihe anderer Informationen, um ein Passwort für eine bestimmte Website zu generieren, auf die Sie zugreifen möchten. Sie kopieren dann das Passwort und fügen es ein, um sich anzumelden, sodass Sie Ihr Passwort niemals eingeben müssen und es daher nicht von einem Keylogger erfasst werden kann.
Kombinieren Sie dies mit den anderen Vorschlägen in diesen Fragen und Antworten (verwenden Sie ein VPN, 2-Faktor-Authentifizierung, verwenden Sie keinen öffentlichen Computer, sondern verwenden Sie Ihr eigenes Gerät usw.).
Ich wollte mich aus diesem heraushalten, aber all diese Antworten zu sehen, die auf Zwei-Faktor-Authentifizierung und ein paar naive Anti-Keylogger-Tricks hindeuten, wird die Dinge irgendwie richtig machen, ist einfach unglaublich.
Machen Sie sich klar: Die einzige sichere Möglichkeit, gesicherte Websites auf einem kompromittierten Computer zu verwenden, besteht darin, sie nicht zu verwenden . Von dem Moment an, an dem Sie einen Remote-Server (GMail, Ihre Bank usw.) dazu gebracht haben, dem von Ihnen verwendeten Computer zu vertrauen, vertrauen sie dem, was auch immer dieser Computer an sie sendet, und Sie haben wenig Kontrolle darüber.
Einige Banking-Websites sind sich dieses Problems bewusst und verlangen, dass Sie jede einzelne Aktion, die Sie ausführen möchten, authentifizieren , um sicherzustellen, dass alle Aktionen vom tatsächlichen Benutzer stammen. Viele andere nicht. GMail sicherlich nicht. Sobald Sie eingeloggt sind, gibt es Ihr Mail-Archiv gerne an die Hacker weiter, während Sie die neue E-Mail lesen, die Sie erhalten haben.
Wenn das überraschend klingt, öffnen Sie GMail in zwei Tabs und stellen Sie sich vor, Sie verwenden einen, während Hacker den anderen kontrollieren, ohne dass Sie es sehen. Das sollte Ihnen eine gute Vorstellung davon geben, was auf einem kompromittierten Computer passiert.
Sie können VPN und 2FA zusammen mit einem Windows-To-Go x86 (32-Bit) USB-Laufwerk verwenden. Auf diese Weise müssen Sie nicht wirklich eine riesige Liste von Passwörtern oder Sicherheitscodes mit sich führen ODER Sie könnten einfach ein dauerhaftes Linux-Speicherlaufwerk verwenden (natürlich mit VPN).
VPN
Official WTG
Inoffizielle WTG kann ebenfalls verwendet werden
Ein wichtiger Trick, den hier niemand besprochen hat!
Keylogger zeichnen Ihre Tastenanschläge der Reihe nach auf ... Punkt!
Sie können sie zum Narren halten, indem Sie Ihren ersten Buchstaben des Passworts eingeben, dann ein paar letzte Buchstaben, dann den Cursor genau an der Stelle platzieren, an der Sie aufgehört haben, und die restlichen Zeichen schreiben.
Sie können es noch weiter randomisieren, indem Sie die Cursorposition wechseln. Denken Sie daran, verwenden Sie nicht die Pfeiltasten der Tastatur, um den Cursor zu wechseln, verwenden Sie die Maus ;)
Dieser Trick täuscht jeden Keylogger, selbst den anwendungsspezifischen.
Natürlich ist dies nur etwas für Keylogger, öffentliche Computer können auch viele andere Probleme haben.
chx
AStopher
chx
Hippiepfad
Hippiepfad
Lambshaanxy
Russell McMahon
Russell McMahon
Russell McMahon
Russell McMahon
Fett
Fett
Andreas Grimm
Michael Köhne
SJuan76
Andreas Grimm
Fiksdal