Como usar com segurança sites protegidos por senha em computadores com cibercafés

Como posso, se possível, usar com segurança sites protegidos por senha (por exemplo, GMail) nos computadores dos cibercafés?

Ouvi pessoas dizerem que não é realmente seguro usar sites protegidos por senha nos computadores dos cibercafés, porque eles podem ter um malware instalado que pode roubar senhas digitadas.

Uma opção seria fazer com que seu site use autenticação de dois fatores, mas isso não me parece prático, já que estou fora do meu país de origem e não pode necessariamente enviar um SMS para mim, e eu não deseja levar uma lista de códigos de segurança comigo.

Se a segurança for apenas senha, a resposta é que você não pode : se eles estiverem registrando suas teclas, sua senha será comprometida, ponto final.

No entanto, o melhor sistema de autenticação de dois fatores enquanto viaja não é o SMS, mas a autenticação baseada em aplicativo como o Google Authenticator. Tudo que você precisa é do seu celular para gerar os códigos, e ele nem precisa estar na rede / wifi.

Claro, a melhor opção é trazer seu próprio laptop, então tudo o que você precisa se preocupar é com o wifi comprometido.

O comportamento correto é NÃO confiar no computador.

Quando eu entro em uma, se não consigo inserir um pendrive com minha própria cópia do Firefox para navegação, carrego o deles, mas asseguro que ele seja atualizado primeiro para a versão mais recente, por segurança (ou qualquer outro navegador que eles possam usar).

Vou então verificar as tarefas em execução na máquina e ver se algo parece suspeito. Isso é mais difícil para alguém não técnico, pois você pode não saber quais processos fazem parte do Windows, etc., mas é um passo.

Para sua senha atual, se você estiver preocupado com o keylogging, sempre pode digitar uma letra e, em um bloco de notas aberto, digitar um monte de lixo, depois a próxima letra e repetir. A menos que o keylogger seja sofisticado o suficiente para ser específico da aplicação, é claro.

Nesse ponto, convém considerar a autenticação de dois fatores. Receba uma mensagem SMS ou no aplicativo com um código digitado (o Gmail e mais podem ser configurados para isso) ou um código QR que o telefone digitaliza na tela (o Whatsapp web faz isso).

Se você está realmente gostando, pode colocar um sistema operacional em um pendrive, pré-construído com o navegador de sua escolha, etc. e depois inicializar a máquina com isso, mas depende de você poder acessar o BIOS ou de que outra forma restrições de administrador que eles colocaram no computador (ou se você conseguir acessar a porta USB).

Depois, limpe o cache, os cookies etc. do navegador e eu tendem a reiniciar o computador quando sair também, pois alguns cibercafés estão configurados para reinstalar tudo do zero durante a reinicialização, limpando qualquer vestígio de ter estado lá (uma vez trabalhou em um cibercafé onde fizemos isso).

Como posso, se possível, usar com segurança sites protegidos por senha (por exemplo, GMail) nos computadores dos cibercafés?

Você não pode, pelo menos sem usar a autenticação de dois fatores (ou algum outro tipo de token que seja independente da máquina local). Você deve considerar qualquer coisa digitada ou visualizada em uma máquina pública como informação pública.

A menos que você tenha exercido uma supervisão total sobre a máquina e o software desde a sua criação, não é possível confiar na máquina para não interceptar sua senha e todas as outras teclas digitadas. Sem um segundo fator de autenticação, isso será suficiente para acessar todos os seus detalhes, em tempo real ou mais tarde.

Essa interceptação pode ocorrer no nível do software (que na maioria dos casos você pode derrotar carregando um pendrive que contém seu próprio sistema operacional) ou no nível do hardware.

Todo mundo está dizendo autenticação de dois fatores. Eles estão errados, pois dois fatores são, na maioria dos casos, uma senha e outra coisa, e isso definitivamente arrisca comprometer a senha e pode comprometer a outra coisa. Dois fatores podem ser úteis, mas a melhor solução são credenciais de uso único. Se você possui um dispositivo confiável, como um telefone celular, que pode ser usado para alterar sua senha, é possível alterar a senha, use o computador não confiável e altere sua senha novamente. Isso apresenta uma janela limitada em que a senha é vulnerável, mas pode ser muito longa. Senhas de uso único são uma solução melhor para este caso de uso. Existem várias implementações de senhas únicas que variam de livros a TOTP (autenticador do Google). O único desafio é que tudo isso exige suporte do servidor, o que é irregular na melhor das hipóteses.

Uma alternativa ao 2FA é usar um dispositivo USB Armory . Isso se conecta à sua porta USB e executa um sistema operacional independente. Você pode interagir com o dispositivo da maneira que desejar, como usá-lo como servidor da Web, cliente ssh ou servidor VNC / RDP, para que o próprio dispositivo invoque a sessão segura com o servidor de destino. As chaves / senhas podem permanecer no dispositivo e não ser acessíveis ao computador host.

Use autenticação de dois fatores. É quando, além de uma senha, você coloca uma sequência de caracteres que é enviada (por SMS ou não). É assim que eu o configuro sem porque o SMS em roaming nem sempre funciona.

1. Instale o Google Authenticator para loja Android ou IOS
2. Siga as instruções aqui para configurá-lo.
3. Configure sua conta do Google para usar a autenticação em duas etapas usando o aplicativo Authenticator. As instruções estão aqui

Agora, sempre que precisar fazer login, quando solicitado, basta abrir o Autenticador e inserir a chave. Não se preocupe, a chave muda a cada 15 segundos; mesmo que alguém tente fazer login com as chaves que gravou, isso não funcionará. Além disso, você pode verificar o acesso clicando no histórico de acesso, no canto inferior direito da sua página do Gmail.

Você pode conferir mais informações sobre o Authenticator na Wikipedia, basta digitar o Google Authenticator.

O Googe Mail e o Fastmail.fm suportam U2F, para que você possa usá-los através dessa tecla se o local em que estiver permitir conectar dispositivos USB aleatórios. Não tenho certeza de que outros sites o suportam. Se você tiver seu próprio controle, poderá obter um Yubikey Neo e implementar a autenticação Yubikey para o seu site. É quase raro.

Se você usar duas senhas alternadas, isso fornecerá um pouco de proteção quando você tiver apenas uma sessão em cada cibercafé: na primeira cibercafé, efetue login com a senha 1 e, no final da sessão, altere a senha para a senha 2 . No segundo cibercafé, faça o login com a senha 2 e, no final da sessão, altere a senha novamente para a senha 1 . Se o invasor analisar apenas a primeira senha digitada (a que você usou para o logon), ele não poderá usar essa senha para um logon, pois ela foi alterada por você no final da sessão.

Essa abordagem não ajudará se o invasor analisar o protocolo completo escrito pelo keylogger, mas talvez ele não seja tão paciente ou não tenha a ideia de que você simplesmente alterou a senha no final da sessão.

Como outros já mencionaram, existem muito poucas regras de segurança que você pode aplicar em uma máquina que você não controla.

A melhor solução seria levar seu próprio laptop, tablet, smartphone e simplesmente emprestar a conexão à Internet.

Depois de se conectar à Internet, use um provedor de VPN para proteger sua conexão. Há várias maneiras de fazer isso usando um navegador que tenha um cliente interno ou VPN no seu celular. Você pode obter assinaturas vitalícias gratuitas em alguns provedores de VPN por um valor nominal.

A VPN fornece um nível de privacidade através da conexão à Internet (pública).

Em seguida, você pode seguir as etapas normais de segurança, como ativar a autenticação de dois fatores em sua conta.

Reflexões relacionadas de valor possível. Ou não.
'cafe' = cibercafé ou equivalente.

A Comodo vende um produto que permite conexão https criptografada ao site e, em seguida, conexão para onde quer que seja. Isso aborda a maioria das explorações no PC e além dela - observe o comentário de jpatokal nos keyloggers. (Meu único relacionamento com a Comodo é como um usuário que paga algum dia e às vezes usa produtos grátis.)

Eu vi cibercafés onde NÃO havia acesso à máquina adequada - você tinha cabos através de uma parede física. (Pode ter sido Dublin ou Praga (ou ambas)).

É bastante comum não permitir que os usuários de café acessem USB ou DVD / CD

Usei o software de acesso remoto "Team Viewer" da China para um sistema de computador doméstico na Nova Zelândia. Provavelmente é pior, pois tem o potencial de fornecer acesso ao meu sistema da Nova Zelândia - mas oferece a capacidade de implementar um sistema de desafio e ressonância em que o "2º fator" poderia ser um sistema mentalmente simples, mas "suficientemente óbvio". Junte isso ao sistema Comodos e você dificultará a compreensão dos dados do keylogger. ... Você pode, por exemplo, mover o ponteiro do mouse sobre uma tela remota e, se estiver interessado o suficiente, faça algo assim cego com uma tela remota desativada enquanto o faz, mas o mouse ainda está ativo.

No meu caso, eu também poderia me comunicar com minha esposa pelo link - a adição de terceiros que obtém "autenticação de fatores pessoais" de um país distante é passível de ser razoavelmente eficaz.

Eu só tive meu acesso comprometido uma vez AFAIK quando "no exterior". Uma sessão pública de WiFi no aeroporto de Hong Kong resultou em (AFAIK) eu sendo trancado do GMail da China apenas algumas horas depois (antes dos chineses barrarem o GMail), mas o sistema de recuperação de conta me trouxe de volta.

________________________________________

Apenas diversão: Sentei-me em um café em Shenzhen, ao lado de um grande time de chineses, jogando intensamente o mesmo jogo. Não era meu território, mas meu filho se perguntava pelas telas visíveis nas fotos que tirei se esses eram alguns dos lendários mineiros da China que ganham reais ao obter e vender produtos de jogos para esse jogo específico. Desconhecido e incognoscível - mas um pensamento divertido.

Vejo :-) -

Parte superior da equipe de Shenzhen. Bottom - meme relacionado à Internet.

Você deve entender como um computador não é realmente seguro.

Suponha que eles:

• Está gravando cada pressionamento de tecla que você faz.
• Está tentando senhas que você digita - protegidas por dois fatores ou não - em outros sites, pois é claro que você pode reciclar senhas.
• Grave tudo o que aparece na tela, incluindo qualquer coisa aberta no seu email, no seu Facebook, etc.
• Conheça seus contatos e provavelmente poderá roubar sua identidade.

Agora, os computadores públicos que copiam senhas para sites comuns, mas param antes de tudo o que poderiam fazer, são comuns o suficiente? Eu não faço ideia. Mas é muito estranho para mim confiar em um computador para usá-lo, desde que você possa proteger sua senha.

Para proteger sua senha em um computador público (ou qualquer outro dispositivo), use um gerenciador de senhas como o Password Maker que gere uma senha exclusiva para você, por site.

Você usa uma senha mestra (que na verdade não é usada em nenhum site) e várias outras informações para gerar uma senha para um site específico que você deseja acessar. Você copia e cola a senha para fazer login, nunca digitando sua senha e, portanto, ela não pode ser capturada por um registrador de chaves.

Combine isso com as outras sugestões das perguntas e respostas (use uma VPN, autenticação de 2 fatores, não use um computador público, mas use seu próprio dispositivo, etc.)

Eu iria ficar de fora desta, mas ver todas essas respostas sugerindo autenticação de dois fatores e um monte de truques ingênuos de anti-keylogger, de alguma forma, tornarão as coisas certas, é simplesmente incrível.

Mergulhe: a única maneira segura de usar sites protegidos em um computador comprometido não é usá-los . A partir do momento em que você criou um servidor remoto (GMail, seu banco etc.) confia no computador que está usando, eles confiam no que quer que o computador esteja enviando para eles e você tem pouco controle sobre isso.

Alguns sites bancários estão cientes desse problema e exigem que você autentique todas as ações que você está tentando executar , para garantir que todas as ações sejam do usuário real. Muitos outros não. O GMail certamente não. Uma vez logado, o arquivo de mensagens será distribuído com prazer para os hackers enquanto você estiver lendo o novo e-mail recebido.

Se isso parecer surpreendente, abra o GMail em duas guias e imagine que você está usando uma enquanto os hackers controlam a outra, sem que você a veja. Isso deve lhe dar uma boa idéia do que está acontecendo em um computador comprometido.

Você pode usar a VPN e o 2FA em conjunto com uma unidade USB Windows-To-Go x86 (32 bits). Dessa forma, você não precisará carregar uma lista enorme de senhas ou códigos de segurança OU poderá apenas usar uma unidade de armazenamento persistente do Linux (com VPN, é claro)

O VPN
oficial WTG WTG
não oficial também pode ser usado

Um truque importante que ninguém discutiu aqui!

Os registradores de teclas gravam as teclas pressionadas em sequência .. ponto final!

Você pode enganá-los , digitando sua primeira letra da senha, depois algumas últimas, coloque o cursor no local exato do meio em que parou e escreva os caracteres restantes.

você pode randomizar ainda mais alterando a posição do cursor. Lembre-se de não usar as setas do teclado para mudar o cursor, use o mouse;)

Este truque enganará qualquer keylogger, mesmo aquele que é específico da aplicação.

É claro que isso é apenas para registradores de chaves, os computadores públicos também podem ter muitos outros problemas.