Bin ich vor Netzwerküberwachungssoftware geschützt, wenn HTTPS verwendet wird?

Ich werde mich bei der Arbeit bei meinem Bankkonto und meinen persönlichen E-Mail-Konten anmelden. Es ist bei der Arbeit nicht verboten, aber ich möchte nur nicht, dass sie eine Kopie von allem, was ich mit diesen Diensten mache, speichern / protokollieren. Besonders meine Passwörter.

Wenn der Dienst eine HTTPS-Verbindung verwendet, kann mein Unternehmen dann meine Kennwörter verfolgen / speichern / protokollieren, die ich für diese Dienste verwende? Was ist mit dem Inhalt der Seiten?

Auch hier verbieten die Regeln in meinem Unternehmen nicht die Nutzung meines persönlichen E-Mail-Kontos oder meiner Internetbanking-Dienste, aber ich möchte nur nicht, dass sie wichtige Informationen darüber erfahren. Es ist in Ordnung, wenn sie wüssten, dass ich diese verwende, aber sie sollten keinen Zugriff auf meine Passwörter erhalten.

Kann ich sie sicher verwenden (da ich weiß, dass mein Unternehmen keine dieser Daten speichern kann), wenn HTTPS verwendet wird?

PS Ich bin wirklich kein Netzwerk-Typ und ich weiß nicht viel darüber, wie diese Dinge funktionieren. Bitte geben Sie keine RTFM-Antworten.

Vor der Beantwortung: Wenn ein Browser Sie warnt, dass eine Site eine schlechte Verschlüsselung verwendet oder falsche Identitätsinformationen liefert, ist es wichtig, den Fehler zu lesen, zu verstehen und genau zu überlegen, ob Sie fortfahren möchten.

Kurze Antwort: Ja, wenn Sie ein vertrauenswürdiges Gerät verwenden

Lange Antwort:

Wenn jemand Ihre Verbindung von einem anderen Computer aus überwacht (irgendwo zwischen Ihnen und Ihrer Bank) und Sie HTTPS verwenden und signierte Zertifikate mit einem entsprechend starken Algorithmus verwenden, sind Sie im klaren. (Es sei denn, sie speichern die Daten jahrelang und lesen sie später, nachdem der Algorithmus defekt ist - aber sie sollten wahrscheinlich besser in Ihr Haus einbrechen und Ihre Sachen stehlen;)).

Wenn es Ihre Bank ist, verwenden sie wahrscheinlich signierte Zertifikate mit einer entsprechend starken Chiffre. Sie können dies überprüfen, indem Sie die SSL-Informationen für die Seite anzeigen, die angezeigt werden sollen, wenn Sie die Seiteninformationen anzeigen, mit Firefox 3.5 links in der Adressleiste auf den blauen oder grünen Namen klicken oder auf die Sperre für klicken das Recht in der Adressleiste in IE8. Firefox zeigt auch den Verschlüsselungsalgorithmus an, der verwendet wird, wenn Sie nach dem Klicken auf den farbigen Bereich Weitere Informationen auswählen .

Wenn Sie dem Gerät, mit dem Sie eine Verbindung herstellen, nicht vertrauen (z. B. einem Computer, der nicht Ihr eigener ist und der von anderen geändert werden könnte), ist dies von größerer Bedeutung. Jetzt wird Ihr Arbeitsplatz wahrscheinlich nichts Illegales tun, wie Ihre Bankdaten einzusehen. Es ist jedoch möglich, dass SSL untergraben wird, wenn Ihr System kompromittiert wird. Es kann sein, dass Ihr Computer so konfiguriert ist, dass er von einem Proxy signierte Zertifikate akzeptiert (eine Überprüfung des Zertifikats oder das Anheften von Zertifikaten würde dies verhindern). Die Überwachung kann jedoch überall erfolgen - ein Keylogger müsste beispielsweise SSL nicht einmal besiegen, um Ihre Bankdaten zu erfassen. Mit SSL müssen Sie der Verbindung zwischen zwei vertrauenswürdigen Endpunkten nicht vertrauen. Wenn der Endpunkt selbst jedoch nicht vertrauenswürdig ist, sind alle Wetten deaktiviert.

Nein, nicht unbedingt. Ihr Unternehmen sendet Ihre Verbindung möglicherweise über einen Proxy, der als Man-in-the-Middle fungiert. Das heißt: Der gesamte HTTPS-Verkehr geht von Ihrem Computer zum Proxy, wird dort entschlüsselt, analysiert, verschlüsselt und an den Server gesendet. Ihr Computer verwendet nicht das Sicherheitszertifikat vom Server, sondern der Proxy generiert eines für die angegebene Website und sendet es an Sie, sodass Sie wirklich zwei HTTPS-Verbindungen haben: Von Ihnen zum Proxy und vom Proxy zum Server.

Um dies zu erreichen, muss das Unternehmen über einen Zertifikatsserver verfügen, um ein Zertifikat zu generieren. Normalerweise würde der Browser hier Einwände erheben und sich beschweren, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, aber dies kann natürlich durch Gruppenrichtlinien und dergleichen überschrieben werden.

Dies ist jedoch nicht unbedingt ein schlechtes Spiel des Arbeitgebers, da dies Teil eines Antiviren-Konzepts oder aus rechtlichen Gründen sein kann.

Sehen Sie sich in Ihrem Browser das Zertifikat an. Schauen Sie sich insbesondere die Zertifizierungsstelle an. Wenn das Zertifikat von einer "echten" Zertifizierungsstelle wie Thawte, VeriSign usw. ausgestellt wird, bedeutet dies, dass Sie das Zertifikat vom Server verwenden und sicher sein sollten. Wenn es jedoch von etwas wie "YourCompany-AV" oder ähnlichem ausgegeben wird, haben Sie einen Man-in-the-Middle-Proxy.

Im Allgemeinen sind Sie sicher. Wenn Sie die Website der Bank über eine https-Verbindung besuchen, werden alle Daten wie Benutzername und Passwort verschlüsselt. Es ist schwierig, sie in sehr kurzer Zeit zu entschlüsseln, es sei denn, sie kennen den Verschlüsselungsalgorithmus sehr gut . Es gibt jedoch auch andere Angriffe wie Key Logger. Der Mann in der Mitte funktioniert, wenn er sich auskennt. Achten Sie immer auf die Umgebung, bevor Sie die vertraulichen Informationen eingeben.

Wenn Sie eine firmeneigene Maschine verwenden und den Unternehmensrichtlinien zugestimmt haben, können Probleme auftreten, die für Ihr Unternehmen spezifisch sind. Ohne weitere Details zu kennen, würde ich sagen, dass Sie sicher sein sollten, aber ich muss das mit einer Einschränkung ausgleichen. Technisch ist es möglich, aber wenn Sie ein "normales" Leben führen, gibt es viele Dinge, mit denen Sie jeden Tag konfrontiert sind und die ein viel wahrscheinlicheres Risiko für Ihre persönlichen Daten darstellen als das Szenario, nach dem Sie fragen.

Einige grundlegende Dinge zu beachten. Dem Unternehmen ist möglicherweise noch bekannt, welche Websites Sie wie lange besuchen. Die Daten können verschlüsselt sein, müssen jedoch noch weitergeleitet werden, damit die Adresse, von der die Daten übertragen werden, verfügbar ist.

Die Ratschläge in anderen Antworten zur Nutzung der Sicherheitsfunktionen Ihres Browsers sind gut. Ich möchte hinzufügen, dass Sie sich einen Moment Zeit nehmen sollten, um die Richtlinien Ihres Unternehmens zu überprüfen, die sich auf personenbezogene Daten auf Arbeitsmaschinen beziehen.

Banken verwenden im Allgemeinen eine 128-Bit-Verschlüsselung oder höher. Überprüfen Sie die Eigenschaften ihres SSL-Zertifikats oder fragen Sie einen technischen Support, um herauszufinden, um was es sich handelt. Wenn es unter 128 ist, würde ich vorschlagen, es nicht zu verwenden. Aber wenn es 128 oder älter ist, sollte es dir gut gehen. Es sei denn, jemand im Netzwerk mit Ettercap, Wireshark, Shijack und einem massiven Chip auf der Schulter hat etwas gegen Sie. Wenn Sie sich darüber jedoch Sorgen machen, nutzen Sie das Net Banking bei der Arbeit einfach nicht. Was kann Sie dagegen verhindern, dass jemand zu Hause Ihren Computer knackt, um Ihre Bankdaten zu erhalten? Sie sind wahrscheinlich sicherer bei der Arbeit. Meine Manager konnten meinen Browserverlauf kaum überprüfen. Ich würde gerne sehen, dass sie eine SHA1-RSA-Verschlüsselung knacken, die von einem SSL-Zertifikat bereitgestellt wird.

Tatsächlich sind Sie sicher, einfach weil Netzwerkadministratoren im Allgemeinen bessere Dinge zu tun haben. Technisch gesehen sind Ihre Daten nicht sicher. Sie haben nicht angegeben, in welchem ​​Bereich Sie sich befinden, aber bei der Callcenter-Arbeit werden beispielsweise Systeme überwacht, die extrem überwacht werden. Die Datenverschlüsselung spielt keine Rolle, wenn Tastenanschläge protokolliert und der Bildschirm im Rahmen des normalen Betriebs erfasst wird. Wenn Sie befürchten, dass Administratoren dazu neigen, Ihre Bankkontodaten einzusehen, verwenden Sie Ihren Arbeitscomputer NICHT für Bankgeschäfte.

Unternehmen verwenden häufig Proxys und Firewalls für die Netzwerkanalyse. Sie können jedoch sicher sein, dass der https-Verkehr von keinem von ihnen abgehört werden kann. Das ist das Grundprinzip von https, um einen Man-in-the-Middle-Angriff zu verhindern.

Es ist möglich, Pakete zu speichern und die rsa-Verschlüsselung später zu unterbrechen. Da das Internet jedoch auf Paketvermittlung basiert, ist es unwahrscheinlich, dass ein Angreifer über genügend Substanz verfügt, um TCP-Pakete wiederherzustellen.

Alles und alles ist möglich.