如果可能的話,我如何才能在網吧計算機上安全地使用受密碼保護的網站?
我聽說人們說,在網吧計算機上使用受密碼保護的網站並不是很安全網吧計算機,因為它們可能安裝了惡意軟件,可以竊取鍵入的密碼。
一種選擇是讓您的網站使用兩因素身份驗證,但這對我來說並不實際,因為我出國在外,所以他們不一定能向我發送SMS,並且我也不想隨身攜帶安全代碼列表。
如果可能的話,我如何才能在網吧計算機上安全地使用受密碼保護的網站?
我聽說人們說,在網吧計算機上使用受密碼保護的網站並不是很安全網吧計算機,因為它們可能安裝了惡意軟件,可以竊取鍵入的密碼。
一種選擇是讓您的網站使用兩因素身份驗證,但這對我來說並不實際,因為我出國在外,所以他們不一定能向我發送SMS,並且我也不想隨身攜帶安全代碼列表。
如果安全性僅是密碼,那麼答案是您不能:如果他們正在記錄擊鍵,則密碼將被洩露。 ,旅途中最好的兩因素身份驗證系統不是SMS,而是基於應用的身份驗證,例如Google Authenticator。您所需要做的就是用手機生成代碼,甚至不必在網絡/ wifi上。
當然,最好的選擇是攜帶自己的筆記本電腦,因此,需要擔心的是wifi受損。
正確的行為是不信任計算機。
當我一次登錄時,如果無法插入帶有我自己的Firefox副本的USB記憶棒進行瀏覽,我會加載它們,但是為了確保安全(或他們可能使用的其他任何瀏覽器),請確保先將其更新為最新版本。
然後我將檢查計算機上正在運行的任務,看是否有任何問題看起來很可疑。對於非技術人員而言,這樣做比較困難,因為您可能不知道Windows等操作系統中包含哪些進程,但這是一個步驟。
對於您的實際密碼,如果您擔心鍵盤記錄,可以總是只輸入一個字母,然後在打開的記事本中輸入一堆垃圾,然後輸入下一個字母,然後重複。當然,除非他們的鍵盤記錄器足夠複雜以至於特定於應用程序。
在那時,您將需要考慮兩因素身份驗證。通過輸入的代碼(可以為此設置Gmail和更多代碼)或手機在屏幕上掃描的QR碼獲取短信或應用內消息。
如果您真的很喜歡,可以將操作系統粘貼在USB記憶棒上,並使用您選擇的瀏覽器預先構建,然後將其引導至該記憶棒,但這取決於您能否進入BIOS,或他們在計算機上設置的其他管理員限制(或者甚至可以訪問USB端口)。
然後,清除瀏覽器的緩存,Cookie等,我傾向於重新啟動計算機當我也離開時,由於某些網吧將重新啟動時從頭開始重新安裝所有內容,從而消除了我去過那裡的任何痕跡(我曾經在網吧工作過,我們是在這樣做的。)
如果可能的話,如何才能在網吧計算機上安全地使用受密碼保護的網站(例如GMail)?
至少在沒有使用兩因素驗證的情況下,您不能(或其他與本地計算機無關的令牌)。您應該將在公共計算機上鍵入或查看的任何內容視為公共信息。
除非自構建以來對計算機及其上的軟件進行了全面監督,否則您不能相信計算機不會被截獲您的密碼和所有其他按鍵。沒有第二個身份驗證因素,這將足以實時或稍後訪問您的所有詳細信息。
這種攔截可能發生在軟件級別(在大多數情況下,您可以通過攜帶包含您自己的操作系統的USB記憶棒來破壞)或在硬件級別進行。
每個人都在說兩步驗證。它們大多是錯誤的,因為在大多數情況下,這兩個因素是密碼和其他密碼,這肯定會損害密碼的風險,並可能損害其他密碼。有兩個因素可能有用,但是最好的解決方案是一次性憑證。如果您擁有可用於更改密碼的受信任設備(例如手機),則可以更改密碼,使用不受信任的計算機,然後再更改密碼。這提供了一個有限的窗口,在該窗口中,密碼容易受到攻擊,但是可能太長了。一次性密碼是此用例的更好解決方案。一次性密碼的幾種實現方式從書籍到TOTP(Google身份驗證器)不等。一個挑戰是,所有這些都需要服務器端的支持,而這種支持充其量是最多的。目前,對用戶的最佳實踐建議不是。
2FA的替代方法是使用 USB Armory設備。這將插入您的USB端口並運行獨立的OS。您可以以任何希望的方式與設備進行交互,例如將其用作Web服務器,ssh客戶端或VNC / RDP服務器,以便設備本身調用與目標服務器的安全會話。密鑰/密碼可以保留在設備上,而不能由主機訪問。
使用兩因素身份驗證。在這種情況下,除了密碼之外,您還要輸入要發送的字符序列(通過SMS或其他方式)。這是我設置它的方式,因為漫遊SMS並不總是有效。
Googe Mail和Fastmail.fm都支持 U2F,因此您可以通過該鍵 if 在允許插入隨機USB設備的位置使用它們。我不確定其他網站是否支持它。如果您擁有自己的控件,則可以改為獲取Yubikey Neo並為您的網站實現Yubikey auth。真可惜。
如果您使用兩個交替的密碼,則在每個網吧只有一個會話時,這將提供一些保護:在第一個網吧中,您使用 password 1 登錄,並在會話中,您將密碼更改為 password 2 。在第二個網吧中,您使用 password 2 登錄,並在會話結束時將密碼更改回 password 1 。如果攻擊者僅分析您輸入的第一個密碼(用於登錄的密碼),則他無法使用此密碼進行登錄,因為該密碼在會話結束時由您更改。
如果攻擊者分析了鍵盤記錄程序編寫的完整協議,這種方法將無濟於事,但也許他不是那麼耐心或沒有想到您只是在會話結束時更改了密碼。
正如其他人所提到的,在不受控制的機器上可以執行的安全規則很少。
最好的解決方案是攜帶自己的筆記本電腦,平板電腦,智能手機並簡單地借用
獲得Internet連接後,請使用VPN提供商保護您的連接。使用內置一個瀏覽器的瀏覽器或移動設備上的VPN客戶端,可以通過多種方式來實現此目的。您可以按名義金額在某些VPN提供商處獲得終身免費訂閱。
VPN通過(公共)Internet連接提供一定程度的隱私。
接下來,您可以按照正常的安全步驟,例如在您的帳戶上啟用兩因素身份驗證。
可能有價值的相關想法。
'cafe'=網吧或同等水平。
Comodo銷售一種產品,該產品允許https加密連接到其站點,然後再連接到任何地方。這解決了大多數PC內和其他漏洞利用方法-但是請注意jpatokal對鍵盤記錄器的評論。 (我與Comodo的唯一關係是作為付費用戶,有時是免費使用產品的用戶。)
我已經看到網吧的機器無法正常訪問-您可以通過物理方式獲得電纜壁。 (可能是都柏林或布拉格(或兩者都有))。
常見的是不允許咖啡館用戶訪問USB或DVD / CD
我已經使用“ Team Viewer”遠程訪問軟件從中國運用於NZ的家用計算機系統。這可能更糟,因為它有可能使他們能夠使用我的NZ系統-但它確實具有實施挑戰和共鳴系統的能力,其中“第二要素”可能在心理上很簡單,但“足夠令人討厭”。再加上Comodos系統,您將很難理解鍵盤記錄器數據。 ...例如,您可以將鼠標指針移到遠程屏幕上,如果您足夠熱衷,可以在執行此操作的同時關閉遠程屏幕,但該盲目功能仍然可用,但是您仍然可以使用。
就我而言,我還可以通過該鏈接與我的妻子進行交流-添加一些來自遙遠國家/地區的獲得“個人因素認證”的第三者可能會相當有效。
“出國”時,一次AFAIK只會影響我的訪問權限。在香港機場的一次公共WiFi會話中,導致(AFAIK)我僅在幾個小時後(在中國禁止使用GMail之前)就被中國從GMail鎖定,但是帳戶恢復系統使我重新進入了。
________________________________________
僅用於娛樂:我坐在深圳的一家咖啡館裡,旁邊有一群中國人,他們專心玩同一遊戲。不是我的領土,而是我的兒子,從我拍攝的照片中看到的屏幕不知道這些照片是否是傳說中的中國礦工,他們通過為特定遊戲購買和銷售遊戲產品賺取實際收入。
請參閱:-)-
您可以將VPN和2FA與Windows-To-Go x86(32位)USB驅動器一起使用。這樣一來,您實際上無需攜帶大量密碼或安全代碼,也可以只使用Linux永久性存儲驅動器(當然還有VPN)
您應該了解一台不安全的計算機到底有多不安全。
假設它們:
現在,這是一台公用計算機,可以將密碼收集到常見網站,但沒有其他任何用途他們能做到,足夠普遍嗎?我不知道。但是,只要您可以保護自己的密碼,對我來說,信任一台計算機就可以使用它是很奇怪的。
要保護公用計算機(或與此有關的任何設備)上的密碼,請使用密碼管理器(例如 Password Maker),該密碼管理器會為每個網站為您生成唯一的密碼。
您使用主密碼(實際上未用於任何網站)和大量其他信息為您要訪問的特定網站生成密碼。然後,您複製並粘貼密碼以登錄,這樣就永遠不會鍵入密碼,因此密鑰記錄程序無法捕獲它。
將此與Q&A上的其他建議結合使用(使用VPN,2認證因素,不要使用公用計算機,而要使用自己的設備等)
我本來不會參加的,但是看到所有這些答案都暗示了雙重身份驗證和一堆幼稚的反鍵盤記錄器技巧將以某種方式使事情變得令人難以置信。
沉沒它在:在受感染計算機上使用受保護網站的唯一安全方法就是不使用它們。從您使遠程服務器(GMail,銀行等)信任所用計算機的那一刻起,他們就會信任計算機向其發送的任何內容,而您對此幾乎沒有控制權。
某些銀行網站已意識到此問題,要求您對要執行的每個操作進行身份驗證,以確保所有操作均來自實際用戶。許多其他人沒有。 GMail當然不會。登錄後,當您閱讀收到的新電子郵件時,它將很樂意將您的郵件存檔分發給黑客。
如果這聽起來令人驚訝,請在兩個選項卡中打開GMail ,並假設您正在使用其中一個,而黑客卻控制了另一個,而您卻沒有看到它。那應該使您對受感染計算機上正在發生的事情有個好主意。
這裡沒有人討論過的一個重要技巧!
按鍵記錄器會以順序 ..時間段記錄您的擊鍵!
通過輸入密碼的第一個字母,然後輸入最後幾個字母,然後將光標放在您剛離開的中間位置來愚弄,並寫下其餘字符。
您可以通過不斷切換光標位置來進一步將其隨機化。請記住,不要使用鍵盤上的箭頭鍵來切換光標,使用鼠標;)
此技巧將欺騙任何鍵盤記錄器,甚至是特定於應用程序的鍵盤記錄器。
當然,這僅適用於關鍵記錄器,公用計算機也可能有很多其他問題。