it-swarm-eu.dev

Modo sicuro per accedere a un sito Web sul computer di qualcun altro

Supponiamo che mi trovo in una situazione in cui sono costretto ad accedere al mio account utilizzando il computer di qualcun altro . Esiste un modo sicuro per farlo in modo da essere sicuro che i miei dati di accesso (ad es. Password) non vengano registrati in alcun modo (ad esempio la registrazione dei tasti)? O se è impossibile, quali sono i modi per mitigare almeno i rischi?

Anche se correlato, ma nota che questo è un po 'diverso da questa domanda dato che sono non usando il mio computer per accedere.

109
today

Questa è una domanda interessante!

La regola empirica è che se qualcun altro ha il controllo del dispositivo (e sono abbastanza determinati), saranno sempre in grado di monitorare e modificare tutte le tue azioni sul dispositivo.

Possiamo (in una misura un po 'limitata) aggirare questo però! L'autenticazione a due fattori può essere utilizzata per garantire che anche se qualcuno ha la tua password, non può accedere al tuo account senza avere anche accesso a un dispositivo separato (di proprietà e controllato da te).

Tieni presente che una volta effettuato l'accesso, il computer alla fine ha il controllo sulla tua interazione con il sito Web e, di conseguenza, potrebbe vedere banalmente tutto ciò che fai sul sito e persino modificare le tue richieste al sito (incluso non disconnetterti correttamente quando hai finito e potenzialmente modificare i dettagli di accesso per bloccare il tuo account).

Tutto dipende da quanto sei preoccupato di essere attaccato - se stai semplicemente accedendo a Facebook su un computer di amici, probabilmente puoi fidarti che quando premi "Log Out", in realtà ti disconnette. Se stai accedendo a qualcosa di veramente importante, tuttavia, potresti voler attenersi ai dispositivi che controlli.

Inoltre, considera quanto segue, tramite l'utente TemporalWolf

Alcuni siti Web consentono la generazione di password monouso una volta che elimina qualsiasi tipo di registrazione delle password ... come hai detto, questo non si ferma loro dal confondere con la sessione ora autenticata.

119
Cowthulhu

Nella mia pratica, quando ho bisogno di maggiore sicurezza, di solito cambio la password sul mio telefono (o su un altro dispositivo attendibile), quindi eseguo l'accesso sul computer non affidabile e, dopo aver fatto tutto, cambio nuovamente la mia password (se possibile).

Ciò si basa sul fatto che la modifica della password ti disconnette ovunque, per la maggior parte dei siti Web. È piuttosto pratico.

In alternativa, alcuni siti Web offrono un "controllo di sessione" in cui è possibile forzare il distacco/chiusura delle sessioni, se lo si desidera.


Oltre a quello che ho detto sopra, ho anche un SSD portatile da 128 GB con me, formattato in GPT e ha 3 partizioni: la partizione di sistema EFI, Ubuntu e Windows To Go.

Mentre la sicurezza del software non era la mia preoccupazione durante la creazione di questo SSD portatile, è senza dubbio un buon gadget da utilizzare allo scopo. Teoricamente e praticamente, l'esecuzione di sistemi operativi su tali archivi fatti da sé fornisce un ambiente software completamente affidabile e può eliminare al 100% qualsiasi thread software sulla macchina straniera.

Come altri hanno risposto, tali gadget di solito non sono efficaci contro le intrusioni basate sull'hardware, ad esempio un registratore di chiavi (a meno che alcuni stupidi non richiedano che i driver funzionino, quindi puoi LOL). Per queste cose, è meglio controllarli guardando le porte hardware. Se c'è qualcosa di dannoso all'interno della cassa, allora sei sfortunato.

Ma ancora una volta, è una domanda interpersonale. Se accedi al computer del tuo amico fidato e l'amico non è un tecnico, probabilmente non avrai bisogno di più azioni che avviare il browser in modalità di navigazione in incognito o InPrivate (Internet Explorer).

39
iBug

Se si verifica questa situazione regolarmente, provare quanto segue:

  1. Crea una Tails chiavetta USB live. Tails è un sistema operativo Linux progettato per funzionare via USB, che può essere avviato sulla maggior parte dei computer. L'uso di Tails significa che non devi preoccuparti di alcun software che il computer ostile potrebbe aver installato. Perché lo stai completamente bypassando dal boot.

  2. Utilizzare tastiera su schermo . Dovresti coprirlo con la mano mentre digiti, per impedire a chiunque di osservare. Ciò difende dai key-logger basati su hardware. Nota che non devi preoccuparti del software di registrazione dello schermo, perché stai usando Tails , il che significa che hai il pieno controllo su tutto il software in esecuzione sul sistema.

Modificare:

Come menzionato da @ Xen2050 nei commenti, è possibile farlo anche con altri sistemi operativi che potrebbero essere più facili da usare. Ad esempio, ecco le istruzioni per creare un USB Ubuntu Linux live su Windows , Mac o bunt . Ed ecco le istruzioni per accedere alla tastiera su schermo su Ubuntu.

Potenziali debolezze di questo metodo:

Questo metodo è vulnerabile a quanto segue:

  • Registrazione dello schermo basata su hardware. È possibile inserire un dispositivo tra il computer e lo schermo che registrerà tutto ciò che viene inviato allo schermo. Ad esempio questo . Per proteggerti, controlla il cavo e assicurati che non ci siano dispositivi tra il computer e lo schermo. Si noti tuttavia che è possibile installare dispositivi di registrazione dello schermo interni che sarebbero molto più difficili da rilevare. Se sospetti questo, potresti essere in grado di aggirarli scollegando lo schermo dal retro del computer e ricollegandolo a una porta diversa.
  • Firmware dannoso, BIOS, rootkit , ecc. Questa è probabilmente la vulnerabilità più difficile da difendere. Se sospetti che il computer che stai utilizzando abbia un firmware dannoso, non utilizzarlo! Trova un altro modo per accedere al sito Web o non accedere ad esso.
24
daviewales

Usa SQRL

Se un sito Web supporta SQRL ( https://www.grc.com/sqrl/sqrl.htm ), hai la possibilità di visualizzare un codice QR nel browser del computer per consentire a SQRL app nel tuo cellulare leggere e quindi negoziare l'autenticazione fuori banda.

SQRL non è ancora ampiamente adottato, ma questo preciso caso d'uso è stato progettato fin dall'inizio. (L'altro caso d'uso principale è un'app SQRL sul tuo computer che funziona di concerto con il browser). In nessun caso viene trasmessa una password; SQRL utilizza la tecnologia della chiave pubblica/privata di Elliptic Curve per firmare un nonce presentato dal server per dimostrare che l'utente ha la chiave privata associata alla chiave pubblica memorizzata sul server nelle informazioni sull'account dell'utente.

EDIT: Poiché così pochi siti supportano SQRL, questa è probabilmente no una buona risposta a novembre/dicembre 2018, ma potrebbe essere una buona risposta in futuro. Non credo che ci sia è un modo sicuro per accedere a un sito Web su un computer sotto il controllo di qualcun altro (che potrebbe avere un key/click-logger installato), che è stato uno dei motivi SQRL è stato creato in primo luogo. L'approccio di accesso fuori banda, che non si basa sul computer eventualmente compromesso per preservare un segreto come una password, sia che si tratti del modulo specifico assunto dal protocollo SQRL o di uno schema concorrente che utilizza la stessa idea generale, è una componente essenziale di ogni buona risposta.

17
Monty Harder

È un PIA importante, ma relativamente sicuro rispetto alla protezione della password. Soprattutto perché è un PIA tale che nessuno è in grado di mettere insieme ciò che è necessario per catturarlo. Il che significa che probabilmente qui si applica il avvertimento sulla sicurezza attraverso l'oscurità ...

  1. Apri l'editor di testo preferito.
  2. Digita l'alfabeto completo in maiuscolo e minuscolo.
  3. digitare l'intera gamma di numeri e simboli disponibili.
  4. Copia e incolla lettera per lettera per inserire la password sul modulo web.
  5. Come ulteriore livello di offuscamento, non afferrare le lettere nello stesso ordine della password finale

Mi vengono in mente alcune tecniche in cui potrei riuscire a catturare la password di qualcuno usando questa tecnica, ma nessuna di queste è quella che considererei facile o semplice.

Vale anche la pena notare che questa tecnica è stata originariamente suggerita come contromisura dal mio istruttore CEH. Non è perfetto, ma è un'opzione semi-decente che non richiede molto in termini di preparazione preventiva.

5
Rozwel

C'è una cosa che puoi fare sui siti che lo consentono (Google è uno): utilizzare un fattore di autenticazione "have", come TOTP o un'app mobile per approvare gli accessi. Non devi usare 2FA - questo può essere il tuo unico fattore. Ho alcuni dei miei server non critici impostati per consentire password OR totp, quindi posso accedere con l'uno o l'altro, senza bisogno di entrambi. Mentre, come altri hanno sottolineato, questo non t ti rendono completamente sicuro (dopo aver effettuato l'accesso l'aggressore potrebbe disabilitare l'input e fare tutto quello che vogliono ora che hai effettuato l'accesso), impedisce di rivelare alcuna password.

5
Duncan X Simpson

Il modo migliore per proteggerti è dire alla persona che non ti senti a tuo agio a inserire la password sul proprio computer.

Se hai una causa probabile o una paranoia generale, non eseguire azioni non sicure.

Aspettarsi di rilevare e/o mitigare completamente tutti i modelli di minaccia in pochi secondi è ridicolo.


Qual è comunque il modello di minaccia?

  • Non ti fidi della persona?
  • Non ti fidi del computer?
  • Stai cercando di impedire il loro accesso dal particolare sito web a cui stai effettuando l'accesso?
  • Stai cercando di impedire la scoperta della tua password perché la riutilizzi per un centinaio di altri servizi come il personal banking?
  • Stai semplicemente cercando di capire un modo universale per non essere compromesso, indipendentemente da quale computer straniero incontrerai in futuro?
  • Stai cercando di impedire la registrazione dei dettagli della schermata post-login? Potresti voler spazzare l'area per eventuali dispositivi di registrazione video nascosti nel soffitto.
4
MonkeyZeus

Se devi effettuare l'accesso utilizzando il computer di qualcun altro, non esiste un modo certo di sapere con certezza se esiste qualche forma di software di spionaggio. Anche se si tratta di qualcuno di cui ti fidi, potrebbe essere infettato da un virus o un dispositivo nefasto simile e può essere difficile sapere se è infetto. Supponi sempre che un'entità nefasta sia ancora in grado di visualizzare/accedere a tutto ciò che accade sul computer. Ecco alcuni modi in cui puoi provare a mitigare i rischi.

Non è possibile garantire che il sistema operativo della persona non sia compromesso. Puoi esaminare i processi in esecuzione, esaminare stack di chiamate, richieste di rete o altro, ma i programmi spyware possono essere estremamente mascherati. La migliore soluzione possibile è l'avvio da una chiavetta USB live usando una distribuzione Linux come Ubuntu, Puppy Linux o Kali Linux. Ciò significa che dovresti avere il pieno controllo di software in esecuzione sul computer, sebbene un determinato hacker possa inserire codice dannoso nel BIOS o nel bootloader del computer, modificando il codice effettivo del sistema operativo.

Mitigazione delle vulnerabilità basate sull'hardware

  • Controllare il cavo tra il computer e il display. Un dispositivo può essere inserito tra loro consentendo a un hacker di vedere l'output del display.
  • Evitare di utilizzare una tastiera o un mouse wireless. Il segnale può essere intercettato tra il trasmettitore e il ricevitore, esponendo i tasti e i movimenti del mouse, anche tramite un dispositivo separato.
  • Collegare eventuali dispositivi USB direttamente alla scheda madre. Non utilizzare uno slot PCIe, in quanto il dispositivo potrebbe archiviare/trasmettere sequenze di tasti/comandi. Lo stesso vale per i connettori del pannello frontale.
  • Utilizzare una tastiera diversa, se possibile. I dispositivi possono prendere i suoni dei singoli tasti premuti per decifrare quale tasto era. Scollegare eventuali microfoni collegati al computer, per ogni evenienza.
  • Controlla se ci sono altri dispositivi PCIe o porte seriali collegati. Assicurati che siano collegati solo quelli richiesti, per ogni evenienza.

Metodi software per ridurre il rischio

  • Assicurati di connetterti a una rete WiFi protetta o Ethernet, se sai che è sicura. Probabilmente è meglio usare i dati mobili e un hotspot mobile, se possibile, quindi non devi fare affidamento sulla loro connessione Internet. Utilizzare anche un cavo USB, se possibile, in modo da non correre il rischio che una connessione WiFi alternativa intercetti il ​​segnale.
  • Usa SSL. Ciò è ovvio, ma è necessario assicurarsi che l'autorità di certificazione sia quella che ci si aspetterebbe di vedere, poiché è possibile per un'entità inserire un certificato autofirmato nella catena.

L'ultima cosa è che, se possibile, dovresti cambiare temporaneamente la tua password (magari usando il tuo telefono) mentre effettui il login usando quel computer, quindi cambiarla in seguito, quindi se la password è compromessa, non sarà utilizzabile dopo che è stata cambiata indietro.

4
Will Dereham

Non specifichi se devi accedere tramite il computer di qualcuno perché:

  1. È necessario il loro sistema operativo/software, ad es. stai installando/riparando il computer di qualcuno e devi recuperare alcuni dati dal tuo server privato.
  2. È necessario il loro hardware (ad esempio, è consentito l'accesso alla rete in base al loro indirizzo MAC o ad altri fattori che esistono solo sulla macchina che si desidera utilizzare.
  3. Hai bisogno della loro rete (ad es. Devi essere all'interno della loro LAN, ma con il tuo dispositivo)
  4. Non necessitano affatto della loro rete o dispositivo, è solo conveniente usare il loro computer.

Il modo ottimale per affrontare queste preoccupazioni è, in ordine inverso:

Caso 4. Porta il tuo laptop/telefono/tablet e usa la connessione 3G/4G per accedere a Internet. Fatto.

Caso 3. Porta il tuo laptop, proteggilo correttamente (antivirus, firewall, ecc.), Collegalo alla loro rete. Fatto.

Caso 2. Ispeziona il loro hardware per eventuali logger hardware, avvia il tuo sistema operativo (una sorta di distribuzione live). Se hai perso il logger hardware, hai il problema.

Caso 1. Aiuta anche con il Caso 2.

  • a) Richiede l'accesso come amministratore/root.

  • b) Abilitare il firewall, impostarlo su una modalità paranoicamente rigorosa, consentire solo connessioni al server di destinazione.

  • c) Cambia la tua password di accesso tramite il tuo telefono 3G/4G in qualcosa di temporaneo,

  • d) Accedi al server, usa 2FA

  • e) eliminare le tracce (cookie, eventuali file temporanei che potrebbero nascondere credenziali, ID univoci, tc)

  • f) Ripristinare la password tramite il telefono 3G/4G

  • g) Riporta il firewall alla normalità.

Ora il firewall può essere compromesso anche da un rootkit, quindi per più paranoici, o in nel caso in cui non si ottenga Admin/root accesso:

  • a) Costruisci il tuo router personalizzato utilizzando Raspberry Pi o un dispositivo simile, aggiungi una porta Ethernet aggiuntiva utilizzando l'adattatore Ethernet2USB. (ovviamente, i professionisti attenti alla sicurezza avrebbero comunque Linux sul proprio laptop, quindi basta aggiungere la porta Ethernet2USB e procedere senza Raspberry.

  • b) Collegare il proprio computer a Raspberry, ottenere l'indirizzo MAC, clonarlo sull'altro lato (in uscita).

  • c) Configurare routing rigoroso e firewall su Linux, consentire solo l'accesso al server e instradare uno NIC a un altro.

  • d) Configurare lo sniffing MITM e installare il certificato sul server sulla propria macchina. Il tuo certificato è certificato MITM, quello falso che hai generato!

  • e) Procedere come descritto in precedenza in 1c) e successivi.

  • f) Registra qualsiasi byte sanguinante che attraversa il tuo mini router in modo da poterli confrontare se provano qualcosa di brutto.

Il ragionamento dietro questo suggerimento è che il computer Host probabilmente non ha il suite completa di strumenti per attaccare il tuo account. Keylogger registrerà le chiavi con la tua password temporanea, ma non sarà in grado di inoltrare i dati al cattivo seduto nell'altra stanza. Se lo fa e cerca di hackerare il tuo server, avrai qualsiasi tentativo di hacking registrato in testo normale, qualsiasi puoi o confrontarli o annullare il danno (hanno cambiato il testo in chiaro, ma hai registrato la modifica! ). Nota che solo il tuo server sarà disponibile per il loro computer nei momenti critici, quindi o il loro computer tenta di hackerare da solo o non accadrà nulla.

Gradirei feedback su quella rotta, se forse mi mancasse qualcosa.

2
xmp125a

In teoria, se il sito non ti fornisce un modo migliore per farlo, c'è ancora un modo: accedi a un dispositivo che è sotto il tuo controllo e trasferisci il cookie di sessione che ricevi da quel dispositivo al computer non attendibile. Ciò consentirà al computer non attendibile di eseguire qualsiasi operazione eseguibile sul sito una volta effettuato l'accesso, ma a meno che il sito non abbia un design di sicurezza fatalmente cattivo, non consentirà al computer non attendibile di modificare la password, modificare l'indirizzo e-mail associato all'account o eseguire altre operazioni di acquisizione dell'account.

Una volta terminato, puoi utilizzare il dispositivo attendibile che controlli per disconnettere il cookie di sessione (che hai copiato da esso) eseguendo l'operazione di disconnessione lì o eseguire un'operazione di "disconnessione di tutti i dispositivi" se il sito fornisce tale funzionalità .

Si noti che in base a questo schema, la password non viene mai immessa sul computer non attendibile e quindi non ha alcun mezzo per registrarla/acquisirla. Nella migliore delle ipotesi, può acquisire il cookie di sessione, che verrà invalidato eseguendo il logout una volta terminato l'utilizzo del dispositivo attendibile.

Se ti fidi di quella persona, vai avanti e usa il loro computer. Prendi in considerazione la creazione di un profilo browser separato che puoi pulire dopo aver finito senza cancellare i cookie/le impostazioni/qualunque cosa di quella persona. Prendi nota di tutti gli allegati scaricati in modo da poter rimuovere anche questi. Non limitarti ad aprire i file allegati, a meno che tu non voglia giocare a detective per capire quale delle possibili posizioni "temporanee" è stata usata per memorizzarli. Evita di manipolare i dati sensibili che non sono correlati allo scopo forzando di utilizzare il computer di qualcun altro.

Se non ti fidi della persona, non usare il suo computer. Non c'è modo di proteggere un computer sconosciuto al 100%, e ancora meno senza fare cose che inducono l'altra persona a sospettare che tu stia cercando di hackerarle. A quel punto probabilmente ti verrà negato di usare il loro computer comunque.

0