Comment utiliser en toute sécurité des sites Web protégés par un mot de passe sur les ordinateurs des cybercafés

Comment puis-je, si possible, utiliser en toute sécurité des sites Web protégés par mot de passe (par exemple, GMail) sur des ordinateurs de café Internet?

J'ai entendu des gens dire que l'utilisation de sites Web protégés par un mot de passe sur des ordinateurs de cybercafés n'était pas vraiment sûre, car des logiciels malveillants pourraient installer des logiciels malveillants susceptibles de leur voler des mots de passe tapés.

Une option serait de faire en sorte que votre site Web utilise une authentification à deux facteurs, mais cela ne me semble pas pratique, car, comme je suis hors de mon pays d'origine, ils ne peuvent pas nécessairement m'envoyer de SMS, et je ne le fais pas. vouloir porter une liste de codes de sécurité avec moi.

Si la sécurité est uniquement mot de passe, la réponse est que vous ne pouvez pas : s'ils enregistrent vos frappes au clavier, votre mot de passe sera compromis, point à la ligne.

Cependant, le meilleur système d'authentification à deux facteurs sur la route n'est pas SMS, mais une authentification basée sur une application telle que Google Authenticator. Tout ce dont vous avez besoin est votre téléphone mobile pour générer les codes, et il n’a même pas besoin d’être sur le réseau / wifi.

Bien sûr, la meilleure option est d’emporter votre propre ordinateur portable. Vous ne devez donc vous soucier que du wifi compromis.

Le comportement correct n'est pas de faire confiance à l'ordinateur.

Lorsque je me connecte à une heure, si je ne peux pas insérer de clé USB avec ma propre copie de Firefox dessus pour la navigation, je vais la charger, mais je vais m'assurer qu'elle est mise à jour en premier à la dernière version, par sécurité (ou quel que soit l’autre navigateur qu’ils pourraient utiliser).

Je vais ensuite vérifier les tâches en cours sur la machine et voir si quelque chose semble suspect. C'est plus difficile pour une personne non technique, car vous ne savez peut-être pas quels processus font partie de Windows, etc., mais c'est une étape.

Pour votre mot de passe actuel, si vous êtes préoccupé par l'enregistrement au clavier, vous pouvez toujours taper une lettre, puis dans un bloc-notes ouvert, taper un tas de déchets, puis la lettre suivante et répéter. À moins que leur keylogger soit suffisamment sophistiqué pour être spécifique à une application, bien sûr.

À ce stade, vous souhaiterez envisager une authentification à deux facteurs. Recevez soit un SMS, soit un message intégré à l'application avec un code que vous entrez (vous pouvez configurer Gmail, etc.), ou un code QR que votre téléphone scanne à l'écran (c'est ce que fait Whatsapp Web).

Si vous en avez vraiment envie, vous pouvez coller un système d’exploitation sur une clé USB, préconfigurée avec le navigateur de votre choix, etc., puis démarrer la machine sur cette clé, mais cela dépend de votre capacité à accéder au BIOS ou à un autre. restrictions administratives qu’ils ont placées sur l’ordinateur (ou si vous pouvez même atteindre le port USB).

Ensuite, effacez le cache, les cookies, etc. du navigateur, et j’ai tendance à redémarrer l’ordinateur lorsque je pars, car certains cybercafés sont configurés pour tout réinstaller de nouveau lors du redémarrage, en effaçant toute trace de ma présence (une fois travaillé dans un café Internet où nous avons fait cela).

Comment puis-je, si possible, utiliser en toute sécurité des sites Web protégés par mot de passe (par exemple, GMail) sur des ordinateurs de café Internet?

Vous ne pouvez pas, du moins sans utiliser l'authentification à deux facteurs (ou un autre type de jeton indépendant de la machine locale). Vous devez considérer tout ce qui est tapé ou vu sur une machine publique comme une information publique.

Sauf si vous avez exercé une supervision totale sur la machine et sur le logiciel qu’elle contient depuis sa construction, vous ne pouvez pas faire confiance à la machine pour ne pas intercepter votre mot de passe et toutes les autres frappes au clavier. Sans un second facteur d'authentification, cela sera suffisant pour accéder à toutes vos informations, en temps réel ou ultérieurement.

Cette interception peut se produire au niveau logiciel (que vous pouvez généralement contourner en portant une clé USB contenant votre propre système d'exploitation) ou au niveau matériel.

Tout le monde dit l'authentification à deux facteurs. Ils ont généralement tort, dans la mesure où deux facteurs sont dans la plupart des cas un mot de passe et autre chose, ce qui risquerait certainement de compromettre le mot de passe et pourrait aussi compromettre la chose d'autre. Deux facteurs peuvent être utiles, mais la meilleure solution consiste à utiliser des identifiants à usage unique. Si vous avez un appareil de confiance, comme un téléphone portable, que vous pouvez utiliser pour changer votre mot de passe, vous pouvez changer de mot de passe, utiliser l'ordinateur non approuvé, puis modifier votre mot de passe. Cela présente une fenêtre limitée où le mot de passe est vulnérable, mais peut être trop long. Les mots de passe uniques sont une meilleure solution à ce cas d'utilisation. Il existe plusieurs implémentations de mots de passe à usage unique, allant de livres à TOTP (Google authentificateur). Le seul défi est que tout cela nécessite un support côté serveur, qui est au mieux irrégulier.

Une alternative à 2FA consiste à utiliser un appareil USB Armory . Cela se branche sur votre port USB et exécute un système d'exploitation indépendant. Vous pouvez interagir avec le périphérique de n'importe quelle manière, par exemple en l'utilisant comme serveur Web, client ssh ou serveur VNC / RDP, de sorte que le périphérique lui-même appelle la session sécurisée avec le serveur cible. Les clés / mots de passe peuvent rester sur le périphérique et ne pas être rendus accessibles à l'ordinateur hôte.

Utilisez une authentification à deux facteurs. C'est à ce moment que, en plus d'un mot de passe, vous insérez une séquence de caractères qui vous a été envoyée (par SMS ou autrement). C’est ainsi que je l’ai configuré sans, car les SMS en itinérance ne fonctionnent pas toujours.

1. Installer Google Authenticator pour Android ou IOS Store
2. Suivez les instructions ici pour le configurer.
3. Configurez votre compte Google pour utiliser l'authentification en deux étapes à l'aide de votre application Authenticator. Les instructions sont ici

Maintenant, chaque fois que vous devez vous connecter, lorsque vous y êtes invité, ouvrez simplement l'authentificateur et insérez la clé. Ne vous inquiétez pas, la clé change toutes les 15 secondes. Même si quelqu'un essayait de se connecter avec les clés enregistrées, cela ne fonctionnerait pas. Et vous pouvez vérifier l'accès ultérieurement en cliquant sur l'historique des accès tout en bas à droite de votre page Gmail.

Vous pouvez en savoir plus sur Authenticator sur Wikipedia, il vous suffit de taper Google Authenticator.

Googe Mail et Fastmail.fm prennent tous deux en charge U2F afin que vous puissiez les utiliser via cette clé si l'endroit où vous vous trouvez permet de brancher des périphériques USB aléatoires. Je ne suis pas sûr de savoir quels autres sites le soutiennent. Si vous avez votre propre contrôle, vous pouvez vous procurer un Yubikey Neo et implémenter l'authentification Yubikey pour votre site. C'est hélas rare.

Si vous utilisez deux mots de passe alternatifs, cela offre un peu de protection lorsque vous n’avez qu’une session dans chaque cybercafé: dans le premier cybercafé, connectez-vous avec le mot de passe 1 et à la fin de la session, changez le mot de passe en mot de passe 2 . Dans le deuxième cybercafé, vous vous connectez avec le mot de passe 2 et à la fin de la session, vous modifiez le mot de passe en mot de passe 1 . Si l'attaquant n'analyse que le premier mot de passe que vous avez entré (celui que vous avez utilisé pour la connexion), il ne peut pas utiliser ce mot de passe pour une connexion car il a été modifié par vous à la fin de la session.

Cette approche n’aidera pas si l’attaquant analyse l’ensemble du protocole écrit par le keylogger, mais il n’est peut-être pas aussi patient ou n’a pas l’idée que vous avez simplement changé le mot de passe à la fin de la session.

Comme d'autres l'ont mentionné, il existe très peu de règles de sécurité que vous pouvez appliquer à une machine que vous ne maîtrisez pas.

La meilleure solution serait de transporter votre ordinateur portable, votre tablette, votre smartphone et d'emprunter simplement la connexion Internet.

Une fois que vous avez la main sur la connexion Internet, utilisez un fournisseur de réseau privé virtuel pour sécuriser votre connexion. Pour ce faire, utilisez un navigateur doté d'un seul client ou un client VPN sur votre mobile. Vous pouvez obtenir des abonnements à vie gratuits chez certains fournisseurs de VPN pour un montant symbolique.

Le VPN offre un niveau de confidentialité via la connexion Internet (publique).

Ensuite, vous pouvez suivre les étapes de sécurité normales, telles que l'activation de l'authentification à deux facteurs sur votre compte.

Réflexions connexes de valeur possible. Ou pas.
'café' = café internet ou équivalent.

Comodo vend un produit permettant une connexion cryptée https à son site, puis une connexion où que ce soit. Cela concerne la plupart des exploits sur PC et au-delà. Notez cependant le commentaire de jpatokal sur les enregistreurs de frappe. (Ma seule relation avec Comodo est celle d'un utilisateur payant et utilisant parfois des produits gratuitement.)

J'ai vu des cafés Internet où aucun accès à la machine proprement dite n'était disponible - vous avez eu des câbles à travers un mur physique. (C'était peut-être Dublin ou Prague (ou les deux)).

Il est assez courant de ne pas autoriser les utilisateurs de café à accéder à une clé USB ou à un DVD / CD.

J'ai utilisé le logiciel d'accès à distance "Team Viewer" de Chine sur un système informatique domestique en Nouvelle-Zélande. C'est probablement pire car cela pourrait leur donner accès à mon système néo-zélandais - mais cela donne la possibilité de mettre en œuvre un système de challenge et de réponse dans lequel le "deuxième facteur" pourrait être un système simple mentalement mais "assez peu évident". Ajoutez à cela le système Comodos et vous rendriez très difficile la compréhension des données du keylogger. ... Vous pouvez, par exemple, déplacer un pointeur de la souris sur un écran distant et si vous êtes assez intéressé, faites quelque chose comme cette aveugle avec un écran distant désactivé pendant que vous le faites mais la souris est toujours vivante.

Dans mon cas, je pouvais aussi communiquer avec mon épouse par le biais du lien - l'ajout d'une tierce partie réalisant une "authentification par facteur personnel" à partir d'un pays lointain risquerait d'être raisonnablement efficace.

Mon accès n’a été compromis qu’une fois, autant que je sache, à l’étranger. Une session WiFi publique à l’aéroport de Hong Kong a permis à AFAIK de me faire verrouiller GMail par la Chine quelques heures plus tard (avant le blocage par GMail de la Chine), mais le système de récupération de compte m’y a ramené.

________________________________________

Rien que pour le plaisir: je me suis assis dans un café de Shenzhen à côté d'une grande équipe de Chinois qui jouent intensément au même jeu. Ce n’est pas mon territoire, mais mon fils s’est demandé, à partir des écrans visibles sur les photos que j’avais prises, s’il s’agissait de mineurs légendaires basés en Chine qui gagnent de l’argent en obtenant et en vendant des produits en jeu pour ce jeu en particulier. Inconnu et inconnaissable - mais une pensée amusante.

Voir :-) -

Partie supérieure de l'équipe de Shenzhen. Bottom - 'meme' lié à internet.

Vous devez comprendre à quel point un ordinateur non sécurisé est vraiment dangereux.

Supposons qu'ils:

• Enregistrez chaque frappe que vous faites.
• Essayez des mots de passe que vous entrez - protégés par deux facteurs ou non - vers d'autres sites Web, car vous pouvez bien sûr recycler les mots de passe.
• Enregistrez tout ce qui apparaît à l'écran, y compris tout élément ouvert dans votre courrier électronique, sur Facebook ou ailleurs.
• Connaissez vos contacts et peut probablement voler votre identité.

Maintenant, les ordinateurs publics qui écrivent des mots de passe sur des sites Web courants, mais ne font rien d’autre qu’ils pourraient faire, sont assez communs? Je n'ai aucune idée. Mais il m'est très étrange de faire confiance à un ordinateur pour l'utiliser aussi longtemps que vous pouvez protéger votre mot de passe.

Pour protéger votre mot de passe sur un ordinateur public (ou tout autre appareil), utilisez un gestionnaire de mots de passe tel que Password Maker, qui génère un mot de passe unique pour vous, par site Web.

Vous utilisez un mot de passe principal (qui n'est pas réellement utilisé pour un site Web) et toute une série d'informations pour générer un mot de passe pour un site Web particulier auquel vous souhaitez accéder. Vous copiez puis collez le mot de passe pour vous connecter, ce qui vous évite de taper votre mot de passe. Il ne peut donc pas être capturé par un enregistreur de frappe.

Combinez ceci avec les autres suggestions de ce Q & A (utilisez un VPN, une autorisation à 2 facteurs, n'utilisez pas d'ordinateur public, mais utilisez plutôt votre propre appareil, etc.)

J'allais rester en dehors de celui-ci, mais voir toutes ces réponses suggérant une authentification à deux facteurs et une série de trucs naïfs anti-enregistreurs de frappe permettra en quelque sorte de redresser la situation, c'est tout simplement incroyable.

Dissimulez-le: le seul moyen sûr d'utiliser des sites Web sécurisés sur un ordinateur compromis ne les utilise pas . À partir du moment où vous avez créé un serveur distant (GMail, votre banque, etc.), vous faites confiance à l'ordinateur que vous utilisez, quel que soit l'ordinateur que ce dernier lui envoie, et vous avez peu de contrôle sur cela.

Certains sites bancaires sont conscients de ce problème et vous demandent d' authentifier chaque action que vous tentez d'effectuer pour vous assurer que toutes les actions proviennent de l'utilisateur réel. Beaucoup d'autres ne le font pas. GMail ne fait certainement pas. Une fois que vous êtes connecté, il sera heureux de donner votre archive de courrier aux pirates pendant que vous lisez le nouveau courrier que vous avez reçu.

Si cela semble surprenant, ouvrez GMail en deux onglets et imaginez que vous en utilisiez un tandis que les pirates contrôlent l’autre, sans que vous ne le voyiez. Cela devrait vous donner une bonne idée de ce qui se passe sur un ordinateur compromis.

Vous pouvez utiliser VPN et 2FA avec un lecteur USB Windows-To-Go x86 (32 bits). De cette façon, vous n'aurez pas besoin de transporter une longue liste de mots de passe ou de codes de sécurité, ni de simplement utiliser un lecteur de stockage persistant Linux (avec VPN bien sûr).

VPN
Officiel WTG
Unofficial WTG peut également être utilisé

Un truc important dont personne n'a discuté ici!

Les enregistreurs de frappe enregistrent vos frappes au clavier dans l' ordre .. période!

Vous pouvez les rendre fous en tapant votre première lettre du mot de passe, puis quelques dernières lettres, puis placez votre curseur à la position médiane exacte où vous vous êtes arrêté et écrivez les caractères restants.

vous pouvez le randomiser encore plus loin en continuant de changer la position du curseur. N'oubliez pas de ne pas utiliser les flèches du clavier pour changer de curseur, utilisez la souris;)

Cette astuce va tromper n'importe quel enregistreur de frappe, même celui qui est spécifique à l'application.

Bien sûr, cela ne concerne que les enregistreurs de frappe, les ordinateurs publics peuvent également avoir beaucoup d'autres problèmes.