Cómo usar de forma segura sitios web protegidos con contraseña en computadoras de cibercafés

Si la seguridad es solo de contraseña, la respuesta es que no puede : si están registrando sus pulsaciones de teclas, su contraseña se verá comprometida, punto.

Sin embargo, el mejor sistema de autenticación de dos factores mientras viaja no es el SMS, sino la autenticación basada en aplicaciones como Google Authenticator. Todo lo que necesita es su teléfono móvil para generar los códigos, y ni siquiera tiene que estar conectado a la red/wifi.

Por supuesto, la mejor opción es traer su propia computadora portátil, por lo que solo debe preocuparse por el wifi comprometido.

El comportamiento correcto es NO confiar en la computadora.

Cuando inicio sesión en uno, si no puedo insertar una memoria USB con mi propia copia de Firefox para navegar, cargaré la de ellos, pero me aseguraré de que esté actualizado primero a la última versión, por seguridad (o cualquier otro navegador que puedan usar).

Luego verificaré las tareas en ejecución en la máquina y veré si algo parece sospechoso. Esto es más difícil de hacer para alguien que no sea técnico, ya que es posible que no sepa qué procesos son parte de Windows, etc., pero es un paso.

Para su contraseña real, si le preocupa el registro de teclas, siempre puede escribir una letra, luego, en un bloc de notas abierto, escriba un montón de basura, luego la siguiente letra y repita. A menos que su keylogger sea lo suficientemente sofisticado como para ser específico de la aplicación, por supuesto.

En ese momento, querrá considerar la autenticación de dos factores. Recibe un mensaje SMS o dentro de la aplicación con un código que ingresas (se puede configurar Gmail y más para esto), o un código QR que tu teléfono escanea en la pantalla (Whatsapp web hace esto).

Si se está volviendo realmente elegante, puede pegar un sistema operativo en una memoria USB, preconstruido con el navegador de su elección, etc. y luego iniciar la máquina en eso, pero depende de que pueda ingresar al BIOS, o qué otro restricciones de administrador que han puesto en la computadora (o incluso si puede acceder al puerto USB).

Luego, borre el caché, las cookies, etc. del navegador, y tiendo a reiniciar la computadora también cuando me voy, ya que algunos cibercafés están configurados para reinstalar todo desde cero al reiniciar, borrando cualquier rastro de mí haber estado allí (una vez trabajaba en un cibercafé donde hicimos esto).

¿Cómo puedo, si es posible, utilizar de forma segura sitios web protegidos con contraseña (p. ej., GMail) en los ordenadores de un cibercafé?

No puede, al menos sin usar autenticación de dos factores (o algún otro tipo de token que sea independiente de la máquina local). Debe considerar cualquier cosa que escriba o visualice en una máquina pública como información pública.

A menos que haya ejercido una supervisión total sobre la máquina y el software en ella desde que se construyó, no puede confiar en que la máquina no interceptará su contraseña y todas las demás pulsaciones de teclas. Sin un segundo factor de autenticación, este será suficiente para acceder a todos sus datos, ya sea en tiempo real o posteriormente.

Esta intercepción podría ocurrir a nivel de software (que en la mayoría de los casos puede anular llevando una memoria USB que contenga su propio sistema operativo) o a nivel de hardware.

Todo el mundo dice autenticación de dos factores. En su mayoría están equivocados, ya que dos factores son en la mayoría de los casos una contraseña y algo más, y esto definitivamente correrá el riesgo de comprometer la contraseña y puede comprometer algo más. Dos factores pueden ser útiles, pero la mejor solución son las credenciales de un solo uso. Si tiene un dispositivo confiable como un teléfono celular que puede usar para cambiar su contraseña, puede cambiar la contraseña, usar la computadora que no es confiable y luego volver a cambiar su contraseña. Esto presenta una ventana limitada donde la contraseña es vulnerable, pero puede ser demasiado larga. Las contraseñas de un solo uso son una mejor solución para este caso de uso. Hay varias implementaciones de contraseñas de un solo uso que varían desde libros hasta TOTP (autenticador de Google). El único desafío es que todos estos requieren soporte del lado del servidor, que es irregular en el mejor de los casos.

Una alternativa a 2FA es usar un dispositivo USB Armory . Esto se conecta a su puerto USB y ejecuta un sistema operativo independiente. Puede interactuar con el dispositivo de cualquier manera que desee, como usarlo como un servidor web, un cliente ssh o un servidor VNC/RDP para que el dispositivo invoque la sesión segura con el servidor de destino. Las claves/contraseñas podrían permanecer en el dispositivo y no estar accesibles para la computadora central.

Utilice la autenticación de dos factores. Esto es cuando, además de una contraseña, pones una secuencia de caracteres que te envían (ya sea por SMS o de otra manera). Así es como lo configuré sin porque en roaming SMS no siempre funciona.

1. Instale Google Authenticator para la tienda de Android o IOS
2. Siga las instrucciones aquí para configurarlo.
3. Configure su cuenta de Google para usar la autenticación de dos pasos usando su aplicación Authenticator. Las instrucciones están aquí

Ahora, cada vez que necesite iniciar sesión, cuando se le solicite, simplemente abra el Autenticador e ingrese la clave. No se preocupe, la clave cambia cada 15 segundos, por lo que incluso si alguien intenta iniciar sesión con las claves que registraron, no funcionará. Y luego puede verificar el acceso haciendo clic en el historial de acceso en la parte inferior derecha de su página de Gmail.

Puede consultar más sobre Authenticator en Wikipedia, simplemente escriba Google Authenticator.

Googe Mail y Fastmail.fm son compatibles con U2F , por lo que puede usarlos a través de esa clave si el lugar donde se encuentra permite conectar dispositivos USB al azar. No estoy seguro de qué otros sitios web lo admiten. Si tiene su propio control, puede obtener un Yubikey Neo e implementar la autenticación de Yubikey para su sitio. Es lamentablemente raro.

Si usa dos contraseñas alternas, esto proporciona un poco de protección cuando solo tiene una sesión en cada cibercafé: en el primer cibercafé, inicia sesión con la contraseña 1 y al final de la sesión cambia la contraseña a la contraseña 2 . En el segundo cibercafé, inicia sesión con la contraseña 2 y, al final de la sesión, cambia la contraseña a la contraseña 1 . Si el atacante solo analiza la primera contraseña que ingresó (la que usó para iniciar sesión), entonces no puede usar esta contraseña para iniciar sesión porque usted la cambió al final de la sesión.

Este enfoque no ayudará si el atacante analiza el protocolo completo escrito por el keylogger, pero tal vez no sea tan paciente o no se dé cuenta de que simplemente cambió la contraseña al final de la sesión.

Como han mencionado otros, hay muy pocas reglas de seguridad que puede aplicar en una máquina que no controla.

La mejor solución sería llevar su propia computadora portátil, tableta, teléfono inteligente y simplemente tomar prestada la conexión a Internet.

Una vez que obtenga la conexión a Internet, use un proveedor de VPN para asegurar su conexión. Hay muchas maneras de hacer esto usando un navegador que tenga uno integrado o un cliente VPN en tu móvil. Puede obtener suscripciones gratuitas de por vida en algunos proveedores de VPN por un monto nominal.

La VPN proporciona un nivel de privacidad sobre la conexión a Internet (pública).

A continuación, puede seguir los pasos de seguridad normales, como habilitar la autenticación de dos factores en su cuenta.

Reflexiones relacionadas de posible valor. O no.
'café' = cibercafé o equivalente.

Comodo vende un producto que permite la conexión encriptada https a su sitio y luego la conexión a cualquier lugar. Eso soluciona la mayoría de los exploits en la PC y más allá. Tenga en cuenta, sin embargo, el comentario de jpatokal sobre los registradores de pulsaciones de teclas. (Mi única relación con Comodo es como un usuario que a veces paga y a veces usa productos gratuitos).

He visto cibercafés donde NO había acceso a la máquina propiamente dicha: tenías cables a través de una pared física. (Eso pudo haber sido Dublín o Praga (o ambos)).

Es bastante común no permitir que los usuarios del café accedan a USB o DVD/CD

He usado el software de acceso remoto "Team Viewer" de China a un sistema informático doméstico en Nueva Zelanda. Probablemente sea peor, ya que tiene el potencial de darles acceso a mi sistema de Nueva Zelanda, pero les brinda la capacidad de implementar un sistema de desafío y respuesta donde el "segundo factor" podría ser un sistema mentalmente simple pero "lo suficientemente obvio". Combine eso con el sistema Comodos y le resultará muy difícil dar sentido a los datos del registrador de pulsaciones de teclas. ... Puede, por ejemplo, mover el puntero del mouse sobre una pantalla remota y, si está lo suficientemente interesado, hacer algo así a ciegas con una pantalla remota desactivada mientras lo hace, pero el mouse aún está activo.

En mi caso, también podría comunicarme con mi esposa a través del enlace: agregar un tercero que logre la "autenticación de factor personal" de un país lejano puede ser razonablemente efectivo.

Solo he tenido mi acceso comprometido una vez AFAIK cuando estaba "en el extranjero". Una sesión de WiFi pública en el aeropuerto de Hong Kong resultó en (AFAIK) que me bloquearon el acceso a GMail desde China solo unas horas más tarde (antes de que los chinos prohibieran GMail), pero el sistema de recuperación de cuenta me permitió volver.

________________________________________

Solo diversión: me he sentado en un café de Shenzhen junto a un equipo grande de chicos chinos que juegan intensamente el mismo juego. No es mi territorio, pero mi hijo se preguntó en las pantallas visibles en las fotos que tomé si estos eran algunos de los legendarios mineros con sede en China que ganan dinero real al obtener y vender productos de juegos para ese juego específico. Desconocido e incognoscible, pero un pensamiento divertido.

Ver :-) -

Arriba: parte del equipo de Shenzhen. Abajo: 'meme' relacionado con Internet.

Debe comprender cuán insegura es realmente una computadora insegura.

Suponga que ellos:

• Están grabando cada pulsación de tecla que haces.
• Están probando las contraseñas que ingresa, protegidas por dos factores o no, en otros sitios web, ya que, por supuesto, puede reciclar contraseñas.
• Grabe todo lo que aparece en la pantalla, incluido todo lo que esté abierto en su correo electrónico, en su Facebook, etc.
• Conozca a sus contactos y probablemente pueda robar su identidad.

Ahora, ¿son las computadoras públicas que extraen contraseñas de sitios web comunes, pero no hacen nada más que puedan hacer, lo suficientemente comunes? No tengo ni idea. Pero es muy extraño para mí confiar en una computadora para usarla siempre que pueda proteger su contraseña de ella.

Para proteger su contraseña en una computadora pública (o cualquier dispositivo), use un administrador de contraseñas como Password Maker que genera una contraseña única para usted, por sitio web.

Utiliza una contraseña maestra (que en realidad no se usa para ningún sitio web) y un montón de otra información para generar una contraseña para un sitio web en particular al que desea acceder. Luego copia y pega la contraseña para iniciar sesión, por lo que nunca escribe su contraseña y no puede ser capturada por un registrador de teclas.

Combine esto con las otras sugerencias en estas preguntas y respuestas (use una VPN, autenticación de 2 factores, no use una computadora pública, use su propio dispositivo, etc.)

Iba a quedarme fuera de esto, pero ver todas estas respuestas que sugieren autenticación de dos factores y un montón de trucos ingenuos contra el registrador de teclas que de alguna manera harán las cosas bien es simplemente increíble.

Híngalo: la única forma segura de usar sitios web protegidos en una computadora comprometida es no usarlos . Desde el momento en que hizo que un servidor remoto (GMail, su banco, etc.) confíe en la computadora que está usando, confiará en lo que sea que esa computadora les envíe, y usted tiene poco control sobre eso.

Algunos sitios bancarios son conscientes de este problema y requieren que autentique cada acción que intenta realizar , para asegurarse de que todas las acciones provengan del usuario real. Muchos otros no. GMail ciertamente no lo hace. Una vez que haya iniciado sesión, felizmente regalará su archivo de correo a los piratas informáticos mientras lee el nuevo correo electrónico que ha recibido.

Si esto le parece sorprendente, abra GMail en dos pestañas e imagine que está usando una mientras los piratas informáticos controlan la otra, sin que usted la vea. Eso debería darle una buena idea de lo que sucede en una computadora comprometida.

Puede usar VPN y 2FA junto con una unidad USB Windows-To-Go x86 (32 bits). De esta manera, no necesitará llevar una lista enorme de contraseñas o códigos de seguridad O simplemente podría usar una unidad de almacenamiento persistente de Linux (con VPN, por supuesto)

VPN
WTG
oficial También se puede utilizar WTG no oficial

¡Un truco importante que nadie discutió aquí!

Los registradores de teclas registran sus pulsaciones de teclas en secuencia ... ¡y punto!

Puede hacer que se engañen escribiendo la primera letra de la contraseña, luego unas pocas letras finales, luego coloque el cursor en el lugar exacto del medio donde lo dejó y escriba los caracteres restantes.

puedes aleatorizarlo aún más si sigues cambiando la posición del cursor. Recuerde que no use las teclas de flecha del teclado para cambiar el cursor, use el mouse;)

Este truco engañará a cualquier registrador de teclas, incluso al que es específico de la aplicación.

Por supuesto, esto es solo para registradores de teclas, las computadoras públicas también pueden tener muchos otros problemas.