it-swarm.it

Come posso evitare che la mia password venga raccolta dai keylogger dagli internet café?

Durante i viaggi, specialmente nei paesi poveri, a volte dovrai usare Internet in un internet café e non puoi davvero essere sicuro che qualcuno abbia installato qualcosa per ascoltare i tuoi tasti.

Mi è stato detto questo metodo, anche se non sono sicuro che funzioni, ma se sei in un internet café, un modo per ingannare qualsiasi registratore di chiavi è quello di evitare di digitare la password in una volta sola. Digita invece parte della tua password, quindi inserisci alcune lettere casuali, quindi usa il mouse per evidenziare le lettere casuali e quindi sovrascriverle. Questo presumibilmente ingannare i keylogger nel pensare che la tua password contenga quelle lettere casuali.

Quindi mi chiedo, funziona davvero? Ci sono altri metodi migliori che potrei usare?

70
stickman

se non ti fidi del supporto: non inserire informazioni sensibili. digitando la password in qualche modo oscuro è proprio questo: sicurezza attraverso l'oscurità , che non funziona mai.

diverso da quello: potresti essere in grado di raggiungere un certo livello di sicurezza in tali luoghi aperti se la password che hai inserito cambia per il prossimo accesso, vedi one-time-password . (nota: "l'autenticazione a 2 fattori è uno schema ibrido in cui conosci già metà della password (che mantiene costante/statica) e quindi ottieni l'altra metà tramite sms o qualsiasi altro mezzo; quella seconda metà è una- time-password)

49
akira

Se non si è certi che le sequenze di tasti non vengano acquisite (e non è possibile), utilizzare qualsiasi tipo di autenticazione a due fattori.

Assicurati che la tua password non sia utile da sola!

L'unico modo per essere sicuri che i tuoi dati siano al sicuro è evitare di inserire "tutto" nella macchina sospetta.


Dato che i keylogger sono la tua unica preoccupazione (cioè nessun sofisticato software di tracciamento):

Ad esempio, è possibile trasportare un'unità USB con tutte le password importanti in un contenitore KeePass , insieme a KeePass Portable. Dopo aver aperto KeePass Portable, utilizzare una password principale per il contenitore KeePass. Sì, rischierai che venga catturato, ma per sbloccare il contenitore, puoi anche configurare KeePass per usare anche un file di chiavi. Senza questo file di chiavi, la password principale è inutile. Questo file di chiavi potrebbe essere archiviato sulla stessa chiavetta USB o su un'altra che porti separatamente dalla chiavetta originale.

Dopo aver aperto il contenitore KeePass, puoi utilizzare le funzionalità di KeePass che ti consentono di inserire le password senza digitare :

  • KeePass può minimizzare se stesso e digitare le informazioni della voce attualmente selezionata in finestre di dialogo, moduli web, ecc. Naturalmente, la sequenza di digitazione è personalizzabile al 100% dall'utente, leggi il file di documentazione per ulteriori informazioni.
  • KeePass presenta un tasto di scelta rapida di tipo automatico globale. Quando KeePass è in esecuzione in background (con database aperto) e si preme il tasto di scelta rapida, cerca la voce corretta ed esegue la sequenza di tipo automatico.

Questo, tuttavia, non imbroglia un keylogger che ascolta il buffer della tastiera. Un keylogger integrato nella connessione della tastiera sarebbe comunque inutile.

Un'alternativa migliore:

  • Tutti i campi, titolo, nome utente, password, URL e note possono essere trascinati in altre finestre.

In questo modo, elimini la necessità di digitare any password ad eccezione della tua password principale, che puoi sempre "buttare via" e modificare se necessario.

22
slhck

Posso vedere due modi:

  1. Usa alcuni soluzione per tastiera virtuale . È possibile digitare la password con clic del mouse, eviterà il logger della tastiera (ma potrebbe non evitare il logger basato sul clic del mouse). Tuttavia, sarebbe un livello di sicurezza.

  2. Dovresti semplicemente digitare una password errata nella casella della password, selezionarla con il mouse (sostituendo le chiavi sbagliate con la vera); digitare i primi 3 caratteri della password vera, digitare 3 chiavi errate, selezionare gli ultimi 3 caratteri non validi e quindi digitare le 3 chiavi corrette sostituendo le chiavi non valide.

18
Diogo

Ci sono diverse minacce con cui hai a che fare; ma fondamentalmente quello che stai chiedendo - utilizzando hardware potenzialmente dannoso - non è sicuro e dovrebbe essere evitato per scopi sensibili. (Ad esempio, cerca di non controllare il tuo conto bancario in vacanza). Tuttavia, se sei disposto a correre quel rischio ma vuoi minimizzarlo, ecco le tue minacce:

  1. Keylogger hardware. Un semplice allegato sul retro della tastiera acquistato per meno di $ 30 può memorizzare ogni pressione dei tasti; così vedresti qualcuno andare su un sito, digitando un login, e quindi digitando una password e potresti decifrarla facilmente in un secondo momento. Non sarebbe difficile modificare una tastiera standard per farlo automaticamente internamente; quindi non credere di essere al sicuro perché non vedi un allegato nella parte posteriore.

  2. Keylogger software. Il sistema operativo potrebbe eseguire una routine keylogger/mouse-logger/cattura schermo che in linea di principio potrebbe riprodurre ogni azione eseguita.

  3. Un DNS falsificato/danneggiato con certificati falsi installati sul browser per un MITM, anche su siti SSL.

  4. Un'estensione/hack del browser che registra tutto il testo digitato nel campo del modulo html (comprese le password).

  5. Qualcuno che controlla il traffico di rete non crittografato, in cui i tuoi cookie di password/autenticazione sono inviati in chiaro - assicurati di utilizzare SSL (con certificati adeguati per prevenire MITM).

Di questi # 5 è il più semplice da prevenire; utilizzare un tunnel ssh/vpn per siti non crittografati o utilizzare HTTPS (con SSL) per i siti firmati da un certificato adeguato.

La tua migliore opzione è di usare il tuo hardware (porta uno smartphone; netbook/tablet economico con te) - che elimina le minacce # 1- # 4; e le buone pratiche standard impediscono il n. 5.

La tua seconda opzione migliore sarebbe quella di avviare un SO guest a tua scelta dal tuo live cd, e quindi usare un metodo come il tuo per oscurare la tua password a un keylogger. Questo è forse digitare metà dei caratteri (non necessariamente in ordine; e tagliare e incollare l'altra metà dalle lettere sulla pagina Web/URL - preferibilmente farlo solo usando il mouse - ad esempio, in gnome se selezioni un carattere che puoi incollalo con un clic centrale del mouse). Usando un cd live, impedisce # 2 & # 3 & # 4. Sei ancora vulnerabile al n. 1, ma probabilmente puoi oscurare opportunamente la tua password per un normale keylogger che mentre potrebbero aver recuperato una password parziale, non avrebbero tutto (anche io non farei l'intera password dal taglio e incolla nel caso in cui stiano registrando/clonando il video che viene visualizzato sul monitor). Consiglio comunque di cambiare la password una volta tornata a casa.

Se si ricorre a non essere in grado di avviare un sistema operativo guest; Considererei qualsiasi dato inserito compromesso. Potresti fare qualcosa per renderlo un po 'più difficile (ad esempio, scaricare ed eseguire un nuovo browser Web; provare a oscurare la password digitandola fuori servizio/tagliare e incollare parti; ecc.), Ma in linea di principio potrebbero ottenere i dati se volessero.

16
dr jimbob

Soluzione possibile, anche se forse non molto pratica.

Prendi il tuo PC, avvia in Linux e usa la connessione di rete del cyber café

Non molti ti permetterebbero di farlo, ma alcuni lo fanno

6
Akash

È possibile avviare un USB live Linux. A meno che il key-logger non sia basato su hardware, questo sarà sicuro. L'Air Force ha una distribuzione progettata proprio per questo scopo. Non monta i dischi rigidi locali quindi nulla può essere salvato localmente. La distro si chiama LPS (sicurezza portatile leggera). Lo uso quotidianamente. Puoi scaricarlo qui

5
Kevin

Vorrei andare con una volta le password. Alcuni siti forniscono tastiere virtuali su schermo (che cambiano la posizione ogni volta che si fa clic), ma se sono presenti registratori di chiavi, è molto probabile che vi siano spyware presenti.

Quindi, non sceglierei di usare una chiavetta USB che memorizza le informazioni sensibili come password e SSN.

3
Sairam

Oltre a quanto già detto, potresti considerare di portare con te una piccola chiavetta USB contenente il bootable TAILS OS (abbreviazione di The Amnesic Incognito Live System) che instrada tutto il tuo traffico Internet attraverso Tor per impostazione predefinita, e non non archiviare nulla sull'hardware locale poiché tutto ciò che viene fatto viene cancellato dopo un riavvio.

Se preferisci che il fatto che tu stia utilizzando Tor rimane sconosciuto all'amministratore/ISP/governo della rete locale; dovresti configurare Tor/Tails per usare la modalità Bridge

Nota tuttavia Tor non è una soluzione di proiettile d'argento per tutto e dovresti leggere la documentazione appropriata prima di affidarti a qualsiasi software con informazioni sensibili.

Inoltre, a causa dell'architettura di Tor, le informazioni su nome utente/password possono essere osservate dal terzo hop nella sua rete di offuscamento (in quello che è chiamato un nodo di uscita), quindi dovresti usare HTTPS per impedirlo. [*] Prova l'estensione HTTPS Everywhere di EFF a renderlo più facile.

[*] Per un esempio: wired dot com/policy/security/news/2007/09/embassy_hacks? CurrentPage = all

2
Deniz

Porta il tuo dispositivo e usa una connessione crittografata.

2
steampowered

Quello che faccio di solito è caricare Ubuntu live su flash USB, scegliere un computer nell'angolo in cui il proprietario del caffe non può vedere, inserire il flash USB e riavviare in Ubuntu. Quello che ottengo è un ambiente sicuro.

2
Dani

Ci sono alcuni buoni suggerimenti qui.

A loro, aggiungerei il suggerimento di cambiare la password usando una connessione Internet affidabile alla prossima occasione. Anche se qualcuno riesce a ottenere la tua password, è possibile che tu possa cambiarla prima che possa essere utilizzata. Ciò è particolarmente vero se stanno utilizzando un keylogger hardware che devono tornare e recuperare in un secondo momento.

Una volta che ero in un aeroporto lontano da casa, e ho realizzato che la rete Wi-Fi a cui ero collegato potrebbe non essere stata legittima. Avevo effettuato l'accesso a GMail mentre ero connesso alla rete, quindi solo per essere al sicuro, ho chiamato un membro della mia famiglia sul mio cellulare, ho detto loro la mia password GMail e li avevo cambiati in qualcos'altro. Hanno scritto la nuova password che hanno scelto (senza dirmelo per telefono) e l'ho ricevuta da loro quando sono tornata a casa.

2
Joshua Carmody

Se usi openid e qualcosa di simile a un yubikey che usa una password di una volta anche se prendono la tua password non possono riutilizzarla

il problema è l'accesso alla porta USB

yubikey si presenta come una tastiera usb, quindi non sono necessari driver a livello di amministratore

2
Crash893

Vedo molte banche fare questo. I loro campi password possono essere popolati solo digitando su una tastiera su schermo posizionata casualmente sulla pagina. Quindi non viene cliccato nessun tasto, ma solo clic del mouse. Inoltre, se la password è lunga 8 caratteri, ti chiedono solo di digitare determinati caratteri in modo che tu possa vedere qualcosa come X00XXX0 dove solo i caratteri della password rappresentati dagli 0 devono essere digitati sulla tastiera dello schermo.

La combinazione di posizionamenti casuali sulla tastiera dello schermo e clic del mouse e caratteri selezionati casualmente da digitare ha reso inutili le posizioni dei clic del mouse che potrebbero essere state registrate.

Saluti,

2
Ali

Puoi inoltrare tutta la tua e-mail a un account temporaneo, che poi elimini al tuo ritorno. Ciò limiterà la possibile esposizione all'intercettazione delle e-mail inviate mentre eri via e al dirottamento dell'account temporaneo.

Poiché è possibile disattivare l'inoltro dal proprio account reale, è possibile disabilitare l'account temporaneo non appena si nota che è stato compromesso.

Questa non è una soluzione perfetta, ma ti offre una certa protezione anche se l'attaccante riesce a rubare la tua password.

2
Zach

Password monouso o autorizzazione a 2 fattori

Tutte le informazioni inviate al sito Web (non solo le sequenze di tasti) possono essere compromesse se non si controlla l'hardware. È possibile recuperare i dati da qualsiasi dispositivo collegato (ad es. Una chiave USB con file KeePass).

L'unico modo corretto per proteggersi è quello di assicurarsi che tutto ciò che hai fatto su quel computer sia stato utile per accedere na volta ma non è sufficiente per accedere di nuovo, che il prossimo il tempo avrà bisogno di qualcosa di diverso. Ciò significa un'altra autenticazione oltre a una password riutilizzabile.

Un modo per farlo è un elenco di password monouso, ma che ha un supporto limitato. Tuttavia, i servizi più sensibili, in particolare i principali provider di posta elettronica, consentono un'autorizzazione a 2 fattori, dove oltre alla password è richiesto un codice generato da un dispositivo che si controlla o, ad esempio, un SMS to il tuo numero di telefono. Questo è un modo ragionevole per proteggerti dai keylogger, poiché la cattura di tutte le informazioni della tua sessione corrente non consentirà all'aggressore di accedere una seconda volta a meno che non rubino il dispositivo o il numero di telefono richiesti.

0
Peteris

Stai combinando due problemi non correlati. Un keylogger è un programma che è stato installato sul tuo computer per monitorare le sequenze di tasti effettive mentre le esegui. Non ha nulla a che fare con un bar o un'altra rete pubblica. Se il tuo computer è stato violato, allora hai maggiori preoccupazioni, ma il metodo che menzioni potrebbe confondere un semplice keylogger.

Ciò di cui devi preoccuparti su una rete Wi-Fi pubblica sono altre macchine che fiutano i tuoi pacchetti di rete e vedono quello che stai inviando. È possibile proteggersi utilizzando solo siti Web sicuri abilitati SSL in modo che la connessione sia crittografata.

0
psusi

Se la caffetteria non utilizza la crittografia wireless nel router, non è sicuro utilizzare alcun sistema operativo, stick di avvio o altro, scegliere una caffetteria che utilizza la crittografia wireless e una password per connettersi al proprio router hotspot.

Le connessioni wireless non crittografate possono essere facilmente sniffate da chiunque all'interno o vicino al bar, questo rivelerà tutto ciò che invii sulla connessione, inclusi accessi e password che inserisci in un browser.

0
Moab

I Key Logger vengono eseguiti sul tuo computer locale e funzioneranno indipendentemente dalla connessione Internet che stai utilizzando,

Il problema che hai in un internet café è l'attacco man in the middle, in cui altri peer di rete possono intercettare il tuo traffico di rete.

Assicurati di usare HTTPS siti dove puoi, tutto il traffico viene crittografato prima che lasci il tuo computer, la maggior parte degli accessi su siti "decenti" useranno HTTPS e alcuni siti ti consentirà di navigare in tutto il sito in HTTPS ma verificherai sempre che prima di entrare in qualcosa non vorresti che un'altra persona vedesse che la pagina è effettivamente HTTPS, e se mai vai a un sito che ha un certificato SSL autofirmato quindi fai molta attenzione perché potrebbe anche essere un uomo in mezzo all'attacco Conosco firefox e IE ti segnala se la pagina ha un certificato autofirmato.

0
squareborg

Se accedi a un sito di social network come Facebook, assicurati che la barra degli indirizzi contenga facebook.com e non facebook-home.com o simili, è il caso del phishing. Se stai usando Mozilla Firefox, vai su Strumenti quindi su Opzioni di sicurezza: da lì puoi verificare che la tua password sia rimossa dalla memoria o meno dopo aver chiuso il tuo account.

0
manpreet dhillon

Ho un vecchio metodo che è molto semplice, ma efficace. Ottieni un pendrive e apri un file .txt sul tuo pendrive.Questo file di testo conterrà le password del tuo account online. Utilizza sempre uno strumento di generazione password per generare la tua password, quindi copia la password nel file .txt con il metodo copia + incolla Nell'Internet Cafe, basta collegare il tuo pendrive e copiare + incollare le password necessarie. Con questo semplice metodo la tua password rimane al sicuro dai keylogger.

0
kefe