So verwenden Sie passwortgeschützte Websites sicher auf Internetcafé-Computern

Wie kann ich passwortgeschützte Websites (z. B. GMail) möglichst sicher auf Internetcafé-Computern verwenden?

Ich habe gehört, dass Leute sagen, dass es nicht wirklich sicher ist, passwortgeschützte Websites auf Internetcafé-Computern zu verwenden, weil dort möglicherweise Malware installiert ist, die eingetippte Passwörter stehlen kann.

Eine Möglichkeit wäre, Ihre Website mit einer Zwei-Faktor-Authentifizierung zu versehen, was sich für mich jedoch nicht praktisch anfühlt, da sie nicht unbedingt eine SMS an mich senden können und ich auch nicht Ich möchte eine Liste mit Sicherheitscodes bei mir haben.

Wenn es sich bei der Sicherheit nur um ein Kennwort handelt, ist die Antwort, dass dies nicht möglich ist : Wenn Ihre Tastatureingaben protokolliert werden, wird Ihr Kennwort für einen bestimmten Zeitraum gefährdet.

Das beste Zwei-Faktor-Authentifizierungssystem für unterwegs ist jedoch keine SMS -Authentifizierung , sondern eine app-basierte Authentifizierung wie Google Authenticator. Alles, was Sie brauchen, ist Ihr Handy, um die Codes zu generieren, und es muss nicht einmal im Netzwerk / WLAN sein.

Natürlich ist die beste Option, Ihren eigenen Laptop mitzubringen. Alles, worüber Sie sich Sorgen machen müssen, ist kompromittiertes WLAN.

Das richtige Verhalten ist NICHT, dem Computer zu vertrauen.

Wenn ich mich um eins einlogge und keinen USB - Stick mit meiner eigenen Kopie von Firefox zum Browsen einstecken kann, lade ich die Dateien hoch, stelle jedoch aus Sicherheitsgründen sicher, dass sie zuerst auf die neueste Version aktualisiert werden (oder was auch immer andere Browser sie verwenden könnten).

Ich werde dann die laufenden Aufgaben auf der Maschine überprüfen und feststellen, ob etwas verdächtig aussieht. Dies ist für jemanden, der nicht technisch ist, schwieriger, da Sie möglicherweise nicht wissen, welche Prozesse Teil von Windows usw. sind, aber es ist ein Schritt.

Wenn Sie sich Gedanken über das Keylogging machen, können Sie für Ihr tatsächliches Passwort immer nur einen Buchstaben eingeben, dann in einem geöffneten Notizblock einen Haufen Müll eingeben, dann den nächsten Buchstaben und wiederholen. Natürlich nur, wenn der Keylogger anwendungsspezifisch ist.

An diesem Punkt sollten Sie die Zwei-Faktor-Authentifizierung in Betracht ziehen. Erhalten Sie entweder eine SMS oder eine In-App-Nachricht mit einem Code, den Sie eingeben (hierfür können Sie Google Mail und mehr einrichten), oder einen QR-Code, den Ihr Telefon auf dem Bildschirm scannt (WhatsApp Web erledigt dies).

Wenn Sie wirklich Lust haben, können Sie ein Betriebssystem auf einen USB-Stick stecken, diesen mit einem Browser Ihrer Wahl usw. vorkonfigurieren und dann den Computer danach booten. Es hängt jedoch davon ab, ob Sie in der Lage sind, das BIOS aufzurufen oder was anderes Admin-Einschränkungen, die sie auf dem Computer platziert haben (oder wenn Sie sogar den USB-Anschluss erreichen können).

Löschen Sie anschließend den Cache, die Cookies usw. des Browsers, und ich neige dazu, den Computer neu zu starten, wenn ich den Browser verlasse, da einige Internetcafés so eingestellt sind, dass sie beim Neustart alles von Grund auf neu installieren Wir haben in einem Internetcafe gearbeitet, in dem wir das gemacht haben.

Wie kann ich passwortgeschützte Websites (z. B. GMail) möglichst sicher auf Internetcafé-Computern verwenden?

Dies ist zumindest ohne die Verwendung einer Zwei-Faktor-Authentifizierung (oder einer anderen Art von Token, die vom lokalen Computer unabhängig ist) nicht möglich. Sie sollten alles, was auf einem öffentlichen Computer eingegeben oder angezeigt wird, als öffentliche Information betrachten.

Wenn Sie seit der Erstellung des Geräts und der darauf enthaltenen Software keine vollständige Überwachung durchgeführt haben, können Sie nicht darauf vertrauen, dass das Gerät Ihr Kennwort und alle anderen Tastatureingaben nicht abfängt. Ohne einen zweiten Authentifizierungsfaktor ist dies ausreichend, um in Echtzeit oder später auf alle Ihre Daten zuzugreifen.

Dieses Abfangen kann auf Software-Ebene (die Sie in den meisten Fällen mit einem USB-Stick mit Ihrem eigenen Betriebssystem umgehen können) oder auf Hardware-Ebene erfolgen.

Jeder sagt Zwei-Faktor-Authentifizierung. Sie sind meistens falsch, da zwei Faktoren in den meisten Fällen ein Passwort und etwas anderes sind und dies definitiv das Risiko einer Gefährdung des Passworts und möglicherweise eine Gefährdung von etwas anderem birgt. Zwei Faktoren mögen nützlich sein, aber die beste Lösung sind Anmeldeinformationen für die einmalige Verwendung. Wenn Sie ein vertrauenswürdiges Gerät wie ein Mobiltelefon haben, mit dem Sie Ihr Passwort ändern können, können Sie das Passwort ändern, den nicht vertrauenswürdigen Computer verwenden und dann Ihr Passwort zurück ändern. Dadurch wird ein begrenztes Fenster angezeigt, in dem das Kennwort anfällig ist, es kann jedoch zu lang sein. Einmalpasswörter sind eine bessere Lösung für diesen Anwendungsfall. Es gibt verschiedene Implementierungen von Einmalkennwörtern, die von Büchern bis zu TOTP (Google Authenticator) variieren. Die eine Herausforderung besteht darin, dass alle diese Server-seitigen Support benötigen, der bestenfalls fleckig ist.

Eine Alternative zu 2FA ist die Verwendung eines USB-Armory- Geräts. Dieser wird an Ihren USB-Anschluss angeschlossen und führt ein unabhängiges Betriebssystem aus. Sie können auf beliebige Weise mit dem Gerät interagieren, z. B. als Webserver, SSH-Client oder VNC / RDP-Server, sodass das Gerät selbst die sichere Sitzung mit dem Zielserver aufruft. Die Schlüssel / Passwörter können auf dem Gerät verbleiben und für den Host-Computer nicht zugänglich sein.

Verwenden Sie die Zwei-Faktor-Authentifizierung. Dies ist der Fall, wenn Sie zusätzlich zu einem Kennwort eine Folge von Zeichen eingeben, die Sie senden (entweder per SMS oder auf andere Weise). So richte ich es ohne ein, weil beim Roaming SMS nicht immer funktionieren.

1. Installieren Sie den Google Authenticator für Android oder den IOS Store
2. Befolgen Sie die Anweisungen hier , um es einzurichten.
3. Richten Sie Ihr Google-Konto so ein, dass die Authentifizierung in zwei Schritten mithilfe Ihrer Authenticator-App erfolgt. Die Anleitung finden Sie hier

Jetzt müssen Sie sich jedes Mal anmelden, wenn Sie dazu aufgefordert werden. Öffnen Sie einfach den Authenticator und geben Sie den Schlüssel ein. Keine Sorge, der Schlüssel wechselt alle 15 Sekunden. Selbst wenn jemand versucht, sich mit den von ihm aufgezeichneten Schlüsseln anzumelden, funktioniert dies nicht. Sie können den Zugriff später überprüfen, indem Sie ganz unten rechts auf Ihrer Google Mail-Seite auf den Zugriffsverlauf klicken.

Sie können mehr über Authenticator auf Wikipedia erfahren, indem Sie einfach Google Authenticator eingeben.

Googe Mail und Fastmail.fm unterstützen beide U2F, sodass Sie diese über diesen Schlüssel verwenden können, wenn Sie an der gewünschten Stelle zufällige USB-Geräte anschließen können. Ich bin mir nicht sicher, welche anderen Websites dies unterstützen. Wenn Sie Ihre eigene Kontrolle haben, können Sie stattdessen ein Yubikey Neo erwerben und die Yubikey-Authentifizierung für Ihre Site implementieren. Es ist leider selten.

Wenn Sie zwei abwechselnde Kennwörter verwenden, bietet dies einen gewissen Schutz, wenn Sie in jedem Internetcafé nur eine Sitzung haben: Im ersten Internetcafé melden Sie sich mit Kennwort 1 an und am Ende der Sitzung ändern Sie das Kennwort in Kennwort 2 . Im zweiten Internetcafe melden Sie sich mit Passwort 2 an und am Ende der Sitzung setzen Sie das Passwort wieder auf Passwort 1 zurück . Wenn der Angreifer nur das erste Kennwort analysiert, das Sie eingegeben haben (das Sie für die Anmeldung verwendet haben), kann er dieses Kennwort nicht für eine Anmeldung verwenden, da es am Ende der Sitzung von Ihnen geändert wurde.

Dieser Ansatz hilft nicht, wenn der Angreifer das vom Keylogger geschriebene vollständige Protokoll analysiert, aber möglicherweise nicht so geduldig ist oder nicht den Eindruck hat, dass Sie das Kennwort am Ende der Sitzung einfach geändert haben.

Wie bereits erwähnt, gibt es nur sehr wenige Sicherheitsregeln, die Sie auf einer Maschine anwenden können, die Sie nicht kontrollieren.

Die beste Lösung wäre, Ihren eigenen Laptop, Tablet, Smartphone mitzunehmen und einfach die Internetverbindung auszuleihen.

Wenn Sie die Internetverbindung hergestellt haben, verwenden Sie einen VPN-Anbieter, um Ihre Verbindung zu sichern. Es gibt viele Möglichkeiten, dies zu tun, indem Sie einen Browser mit einem integrierten oder einen VPN-Client auf Ihrem Mobiltelefon verwenden. Bei einigen VPN-Anbietern können Sie lebenslange kostenlose Abonnements für einen Nennbetrag erhalten.

Das VPN bietet ein gewisses Maß an Datenschutz über die (öffentliche) Internetverbindung.

Als Nächstes können Sie die normalen Sicherheitsschritte ausführen, z. B. die Aktivierung der Zwei-Faktor-Authentifizierung für Ihr Konto.

Verwandte Überlegungen von möglichem Wert. Oder nicht.
'cafe' = Internetcafe oder gleichwertig.

Comodo vertreibt ein Produkt, das eine https-verschlüsselte Verbindung zu seiner Website und eine Verbindung zu jedem beliebigen Ort ermöglicht. Damit werden die meisten In-PC- und darüber hinausgehenden Exploits behoben. Beachten Sie jedoch den Kommentar von jpatokal zu Keyloggern. (Meine einzige Beziehung zu Comodo besteht darin, dass ich manchmal bezahlte und manchmal kostenlose Produkte benutze.)

Ich habe Internetcafés gesehen, in denen KEIN Zugang zu der richtigen Maschine verfügbar war - Sie haben Kabel durch eine physische Wand geführt. (Das kann Dublin oder Prag (oder beides) gewesen sein).

Es ist üblich genug, Café-Benutzern keinen Zugriff auf USB oder DVD / CD zu gewähren

Ich habe "Team Viewer" -Remotezugriffssoftware aus China für ein Heimcomputersystem in Neuseeland verwendet. Das ist wahrscheinlich noch schlimmer, da es das Potenzial hat, ihnen Zugang zu meinem NZ-System zu verschaffen - aber es gibt die Möglichkeit, ein Herausforderungs- und Reaktionssystem zu implementieren, bei dem der "2. Faktor" ein mental einfaches, aber "nicht naheliegendes" System sein könnte. Wenn Sie dies mit dem Comodos-System kombinieren, wird es Ihnen sehr schwer fallen, die Keylogger-Daten zu verstehen. ... Sie können z. B. einen Mauszeiger über einen Remote-Bildschirm bewegen und, wenn Sie scharf genug sind, so etwas wie blind mit deaktiviertem Remote-Bildschirm tun, während Sie dies tun, aber die Maus noch lebt.

In meinem Fall könnte ich auch über den Link mit meiner Frau kommunizieren. Wenn Sie einen Dritten hinzufügen, der eine "Authentifizierung mit persönlichem Faktor" von einem entfernten Land aus erzielt, ist dies wahrscheinlich einigermaßen effektiv.

Ich habe meinen Zugang nur einmal AFAIK im "Ausland" kompromittiert. Eine öffentliche WiFi-Sitzung am Flughafen von Hongkong führte dazu, dass ich (AFAIK) nur wenige Stunden später (vor dem Ausschluss der chinesischen GMail) von GMail aus China ausgeschlossen wurde, aber das System zur Kontowiederherstellung brachte mich wieder dazu.

________________________________________

Nur Spaß: Ich habe in einem Café in Shenzhen neben einem großen Team chinesischer Männer gesessen, die genau dasselbe Spiel spielten. Nicht mein Territorium, sondern mein Sohn fragte sich auf den Bildschirmen, die auf den von mir aufgenommenen Fotos zu sehen waren, ob es sich um einige der sagenumwobenen Bergleute aus China handelt, die mit dem Erwerb und Verkauf von Spielprodukten für dieses bestimmte Spiel echtes Geld verdienen. Unbekannt und unbekannt - aber ein lustiger Gedanke.

Sehen :-) -

Oberteil des Shenzhen-Teams. Unten - Internet-bezogenes 'meme'.

Sie sollten verstehen, wie unsicher ein unsicherer Computer wirklich ist.

Angenommen, sie:

• Notieren Sie jeden Tastendruck, den Sie machen.
• Versuchen Sie es mit Passwörtern, die Sie - geschützt durch zwei Faktoren oder nicht - auf anderen Websites eingeben, da Sie natürlich Passwörter recyceln können.
• Zeichnen Sie alles auf, was auf dem Bildschirm angezeigt wird, einschließlich allem, was in Ihrer E-Mail oder auf Facebook oder so weiter geöffnet ist.
• Kennen Sie Ihre Kontakte und können wahrscheinlich Ihre Identität stehlen.

Gibt es nun öffentliche Computer, die Kennwörter auf gängigen Websites kratzen, aber nicht alles tun, was sie tun könnten, was häufig genug ist? Ich habe keine Ahnung. Aber es ist sehr seltsam für mich, einem Computer zu vertrauen, wenn er verwendet wird, solange Sie Ihr Passwort davor schützen können.

Verwenden Sie zum Schutz Ihres Kennworts auf einem öffentlichen Computer (oder einem anderen Gerät) einen Kennwortmanager wie Password Maker , der für jede Website ein eindeutiges Kennwort generiert.

Sie verwenden ein Hauptkennwort (das für keine Website verwendet wird) und eine ganze Reihe anderer Informationen, um ein Kennwort für eine bestimmte Website zu generieren, auf die Sie zugreifen möchten. Anschließend kopieren Sie das Passwort und fügen es ein, um sich anzumelden. Geben Sie also niemals Ihr Passwort ein, damit es nicht von einem Schlüssel-Logger erfasst werden kann.

Kombinieren Sie dies mit den anderen Vorschlägen in dieser F & A (verwenden Sie ein VPN, 2-Faktor-Authentifizierung, verwenden Sie keinen öffentlichen Computer, sondern verwenden Sie Ihr eigenes Gerät usw.)

Ich wollte mich aus dieser heraushalten, aber wenn ich all diese Antworten sehe, die auf Zwei-Faktor-Authentifizierung und ein paar naive Anti-Keylogger-Tricks hindeuten, ist das irgendwie unglaublich.

Sink it in: Die einzige sichere Möglichkeit, gesicherte Websites auf einem kompromittierten Computer zu verwenden, besteht darin, sie nicht zu verwenden . Von dem Moment an, in dem Sie einen Remote-Server (GMail, Ihre Bank usw.) dazu gebracht haben, dem von Ihnen verwendeten Computer zu vertrauen, werden sie dem vertrauen, was auch immer der Computer an sie sendet, und Sie haben wenig Kontrolle darüber.

Einige Banken sind sich dieses Problems bewusst und verlangen, dass Sie jede einzelne Aktion, die Sie ausführen möchten, authentifizieren , um sicherzustellen, dass alle Aktionen vom tatsächlichen Benutzer stammen. Viele andere nicht. GMail sicherlich nicht. Sobald Sie angemeldet sind, wird Ihr E-Mail-Archiv an die Hacker weitergegeben, während Sie die neue E-Mail lesen, die Sie erhalten haben.

Wenn dies überraschend klingt, öffnen Sie GMail in zwei Registerkarten und stellen Sie sich vor, Sie verwenden eine, während Hacker die andere steuern, ohne dass Sie dies bemerken. Das sollte Ihnen eine gute Vorstellung davon geben, was auf einem kompromittierten Computer passiert.

Sie können VPN und 2FA zusammen mit einem Windows-To-Go x86-USB-Laufwerk (32-Bit) verwenden. Auf diese Weise müssen Sie nicht unbedingt eine große Liste an Passwörtern oder Sicherheitscodes mit sich führen, oder Sie könnten einfach ein Linux-Festplattenlaufwerk verwenden (natürlich mit VPN).

VPN
Official WTG
Inofficial WTG kann ebenfalls verwendet werden

Ein wichtiger Trick, über den hier niemand gesprochen hat!

Key Logger zeichnen Ihre Tastatureingaben der Reihe nach auf .

Sie können sie zum Narren halten indem Sie zuerst den ersten Buchstaben des Passworts und dann ein paar letzte Buchstaben eingeben. Dann platzieren Sie den Cursor genau an der mittleren Stelle, an der Sie aufgehört haben, und schreiben die restlichen Zeichen.

Sie können es noch weiter randomisieren, indem Sie die Cursorposition weiter ändern. Denk dran, benutze nicht die Pfeiltasten der Tastatur, um den Cursor zu wechseln, benutze die Maus;)

Dieser Trick täuscht jeden Keylogger, auch den, der anwendungsspezifisch ist.

Natürlich ist dies nur für Key Logger, öffentliche Computer können auch viele andere Probleme haben.