To ciekawe pytanie!

Ogólna zasada jest taka, że ​​jeśli ktoś inny ma kontrolę nad urządzeniem (i jest wystarczająco zdeterminowany), zawsze będzie mógł monitorować i modyfikować wszystkie Twoje działania na urządzeniu.

Możemy (w nieco ograniczonym zakresie) obejść ten problem! Uwierzytelnianie dwuskładnikowe może służyć do zapewnienia, że ​​nawet jeśli ktoś zna Twoje hasło, nie może uzyskać dostępu do Twojego konta bez dostępu do oddzielnego urządzenia (należącego do Ciebie i kontrolowanego przez Ciebie).

Pamiętaj, że po zalogowaniu komputer ostatecznie kontroluje twoją interakcję z witryną, w wyniku czego może w trywialny sposób widzieć wszystko, co robisz w witrynie, a nawet modyfikować twoje żądania do witryny (w tym nie wylogowywać się poprawnie, gotowe i potencjalnie zmieniając dane logowania, aby zablokować Ci dostęp do własnego konta).

Wszystko zależy od tego, jak bardzo martwisz się, że zostaniesz zaatakowany - jeśli logujesz się do Facebooka na komputerze znajomego, prawdopodobnie możesz ufać, że kliknięcie „Wyloguj się” powoduje wylogowanie. Jeśli jednak logujesz się na coś naprawdę ważnego, możesz chcieć trzymać się urządzeń, które kontrolujesz.

Ponadto weź pod uwagę następujące kwestie, za pośrednictwem użytkownika TemporalWolf

Niektóre strony internetowe pozwalają na generowanie jednorazowych haseł jednorazowych, co pozwala uniknąć wszelkiego rodzaju logowania haseł ... jak wspomniałeś, nie powstrzymuje ich to przed modyfikowaniem uwierzytelniona sesja.

W mojej praktyce, gdy potrzebuję dodatkowego zabezpieczenia, zwykle zmieniam hasło w telefonie (lub innym zaufanym urządzeniu), a następnie loguję się na niezaufanym komputerze i po wszystkim zmieniam hasło z powrotem (jeśli to możliwe).

Zależy to od faktu, że zmiana hasła powoduje wylogowanie użytkownika wszędzie, w przypadku większości witryn internetowych. Jest to raczej praktyczne.

Alternatywnie, niektóre witryny oferują „kontrolę sesji”, w której można wymusić odłączenie / zakończenie sesji, jeśli chcesz.

Oprócz tego, co powiedziałem powyżej, ja mam też ze sobą przenośny dysk SSD o pojemności 128 GB, sformatowany na GPT i zawierający 3 partycje: partycję systemową EFI, Ubuntu i Windows To Go.

Podczas gdy tworzenie tego rozwiązania nie dotyczyło bezpieczeństwa oprogramowania przenośny dysk SSD, jest to niewątpliwie dobry gadżet do tego celu. Teoretycznie i praktycznie, uruchamianie systemów operacyjnych na takich samodzielnie utworzonych elementach pamięci zapewnia w pełni zaufane środowisko oprogramowania i może w 100% wyeliminować każdy wątek oprogramowania na obcym komputerze.

Jak powiedzieli inni, takie gadżety zwykle nie są skuteczne w przypadku włamań sprzętowych, na przykład rejestratora kluczy (chyba że niektóre głupie wymagają sterowników do pracy, wtedy możesz LOL). W przypadku tych rzeczy lepiej je sprawdź, patrząc na porty sprzętowe. Jeśli w skrzyni jest coś złośliwego, to nie masz szczęścia.

Ale znowu jest to kwestia interpersonalna. Jeśli logujesz się na komputerze zaufanego przyjaciela, a znajomy nie jest technikiem, prawdopodobnie nie potrzebujesz więcej czynności niż uruchomienie przeglądarki w trybie incognito lub InPrivate (Internet Explorer).

Jeśli regularnie napotykasz tę sytuację, wypróbuj następujące rozwiązania:

1. Utwórz działającą pamięć USB Tails. Tails to system operacyjny Linux zaprojektowany do pracy z USB, który można uruchomić na większości komputerów. Korzystanie z Tails oznacza, że ​​nie musisz martwić się o żadne oprogramowanie, które mógł zainstalować wrogi komputer. Ponieważ całkowicie pomijasz go podczas rozruchu.

2. Użyj klawiatury ekranowej. Podczas pisania należy zakrywać to ręką, aby nikt nie mógł tego obserwować. Chroni to przed sprzętowymi rejestratorami kluczy. Pamiętaj, że nie musisz martwić się oprogramowaniem do nagrywania ekranu, ponieważ używasz Tails , co oznacza, że ​​masz pełną kontrolę nad całym oprogramowaniem działającym w systemie.

Edycja:

Jak @ Xen2050 wspomniał w komentarzach, możesz to również osiągnąć z innymi systemami operacyjnymi, które mogą być bardziej przyjazne dla użytkownika. Na przykład tutaj znajdują się instrukcje tworzenia Live USB Ubuntu Linux na Windows, Mac lub Ubuntu. A oto instrukcje uzyskiwania dostępu do klawiatury ekranowej w systemie Ubuntu.

Potencjalne słabości tej metody:

Ta metoda jest podatna na następujące czynniki:

• Sprzętowe nagrywanie ekranu. Możliwe jest włożenie urządzenia między komputer a ekran, które będzie nagrywać wszystko, co zostanie wysłane na ekran. Na przykład ten. Aby się przed tym zabezpieczyć, obejrzyj kabel i upewnij się, że między komputerem a ekranem nie ma żadnych urządzeń. Należy jednak pamiętać, że można zainstalować wewnętrzne urządzenia do nagrywania ekranu, które byłyby znacznie trudniejsze do wykrycia. Jeśli podejrzewasz, że to możliwe, możesz je ominąć, odłączając ekran z tyłu komputera i podłączając go ponownie do innego portu.
• Złośliwe oprogramowanie układowe, system BIOS, rootkit itp. Jest to prawdopodobnie najtrudniejsza luka, przed którą należy się bronić. Jeśli podejrzewasz, że komputer, którego używasz, ma złośliwe oprogramowanie, nie używaj go! Znajdź inny sposób logowania się do witryny internetowej lub nie loguj się do niej.

Użyj SQRL

Jeśli witryna obsługuje SQRL ( https://www.grc.com/sqrl/sqrl.htm), możesz wyświetlić ją kod QR w przeglądarce komputera, który pozwalasz aplikacji SQRL w telefonie komórkowym czytać, a tym samym negocjować uwierzytelnianie poza pasmem.

SQRL nie jest jeszcze powszechnie stosowany, ale ten precyzyjny przypadek użycia od początku. (Innym głównym przypadkiem użycia jest aplikacja SQRL na komputerze działająca w zgodzie z przeglądarką). W żadnym przypadku nie jest przesyłane hasło; SQRL wykorzystuje technologię klucza publicznego / prywatnego krzywej eliptycznej do podpisania numeru jednorazowego przedstawionego przez serwer, aby udowodnić, że użytkownik ma klucz prywatny powiązany z kluczem publicznym przechowywanym na serwerze w informacjach o koncie użytkownika.

EDYTUJ: Ponieważ tak niewiele witryn obsługuje SQRL, prawdopodobnie nie jest to dobra odpowiedź na listopad / grudzień 2018 r., Ale może to być dobra odpowiedź w przyszłości. Nie sądzę, aby istniał bezpieczny sposób logowania się do witryny internetowej na komputerze znajdującym się pod kontrolą innej osoby (na którym może być zainstalowany rejestrator kluczy / kliknięć), co było jednym z powodów, dla których SQRL stworzony w pierwszej kolejności. Podejście logowania poza pasmem, które nie polega na tym, że komputer, który może zhakować zabezpieczenia, zachowuje tajemnicę, taką jak hasło, niezależnie od tego, czy jest to określona forma przyjęta przez protokół SQRL, czy inny konkurencyjny schemat, który wykorzystuje tę samą ogólną ideę niezbędny element każdej dobrej odpowiedzi.

Jest to poważna PIA, ale stosunkowo bezpieczna pod względem ochrony hasła. Przede wszystkim dlatego, że jest to taka PIA, że nikt nie jest skłonny zebrać wszystkiego, co jest potrzebne, aby ją uchwycić. Co oznacza, że ​​prawdopodobnie obowiązuje tutaj zastrzeżenie dotyczące bezpieczeństwa poprzez zaciemnienie ...

1. Otwórz wybrany edytor tekstu.
2. Wpisz pełny alfabet, używając dużych i małych liter.
3. wpisz pełny zakres dostępnych liczb i symboli.
4. Skopiuj i wklej litera po literze, aby wprowadzić hasło w formularzu internetowym.
5. Jako dodatkową warstwę zaciemniania nie chwytaj liter w tej samej kolejności, co końcowe hasło

Przychodzi mi na myśl kilka technik, w których mógłbym być w stanie przechwycić hasło osoby używającej tej techniki, ale żadna z nich nie jest tym, co uważam za łatwą lub prostą.

Warto również zauważyć, że ta technika została pierwotnie zasugerowana jako środek zaradczy przez mojego instruktora CEH. Nie jest doskonała, ale jest to opcja na wpół przyzwoita, która nie wymaga wiele wcześniejszego przygotowania.

Jest jedna rzecz, którą możesz zrobić w witrynach, które na to zezwalają (czyli Google): użyj współczynnika uwierzytelniania „mieć”, takiego jak TOTP lub aplikacja mobilna, aby zatwierdzać loginy. Nie musisz używać 2FA - to może być jedyny czynnik. Niektóre z moich niekrytycznych serwerów są ustawione tak, aby zezwalały na hasło LUB totp, więc mogę zalogować się przy użyciu jednego lub drugiego, bez potrzeby używania obu. Chociaż, jak wskazywali inni, nie zapewnia to całkowitego bezpieczeństwa (po zalogowaniu się osoba atakująca może wyłączyć wprowadzanie danych i robić, co chce, teraz, gdy jesteś zalogowany), zapobiega ujawnieniu jakichkolwiek haseł.

Najlepszym sposobem ochrony siebie jest poinformowanie osoby, że nie czujesz się komfortowo podczas wpisywania hasła na jej komputerze.

Jeśli masz prawdopodobną przyczynę lub ogólną paranoję, nie wykonuj niebezpiecznych czynności.

Oczekiwanie, że w ciągu kilku sekund dokładnie wykryje i / lub złagodzisz wszystkie modele zagrożeń, jest absurdalne.

Jaki jest w ogóle model zagrożenia?

• Czy nie ufasz tej osobie?
• Czy nie ufasz komputerowi?
• Czy próbujesz uniemożliwić jej dostęp z określonej witryny internetowej, do której się logujesz?
• Czy próbujesz zapobiec wykryciu hasła, ponieważ używasz go ponownie w stu innych usługach, takich jak bankowość osobista?
• Czy po prostu próbujesz znaleźć uniwersalny sposób, aby nie zostać zagrożonym, niezależnie od jakiego obcego komputera napotkasz w przyszłości?
• Czy próbujesz zapobiec rejestrowaniu szczegółów ekranu po zalogowaniu? Możesz zamieść ten obszar w poszukiwaniu ukrytych w suficie urządzeń do nagrywania wideo.

Jeśli musisz zalogować się przy użyciu komputera innej osoby, nie ma określonego sposobu, aby dowiedzieć się na pewno, czy istnieje jakakolwiek forma oprogramowania szpiegującego. Nawet jeśli jest to osoba, której ufasz, może zostać zainfekowana wirusem lub podobnym niecnym urządzeniem, a ustalenie, czy jest zainfekowane, może być trudne lub niemożliwe. Zawsze zakładaj, że nikczemna istota nadal będzie mogła przeglądać / uzyskiwać dostęp do wszystkiego, co dzieje się na komputerze. Oto kilka sposobów na zmniejszenie ryzyka.

Nie ma żadnego sposobu, aby upewnić się, że system operacyjny danej osoby nie jest zagrożony. Możesz przyjrzeć się działającym procesom, zbadać stosy wywołań, żądania sieciowe lub cokolwiek, ale programy szpiegowskie mogą być bardzo dobrze zamaskowane. Najlepszym możliwym rozwiązaniem jest uruchomienie z pamięci USB Live przy użyciu dystrybucji Linuksa, takiej jak Ubuntu, puppy linux lub Kali linux. Oznacza to, że powinieneś mieć pełną kontrolę nad oprogramowaniem uruchomionym na komputerze, chociaż zdeterminowany haker może wstawić złośliwy kod do systemu BIOS lub programu ładującego komputera, zmieniając rzeczywisty kod systemu operacyjnego.

Ograniczanie luk w zabezpieczeniach sprzętowych

• Sprawdź kabel między komputerem a wyświetlaczem. Pomiędzy nimi można włożyć urządzenie, aby haker mógł zobaczyć dane wyjściowe.
• Unikaj używania bezprzewodowej klawiatury lub myszy. Sygnał może zostać przechwycony między nadajnikiem a odbiornikiem, ujawniając naciśnięcia klawiszy i ruchy myszy, nawet za pośrednictwem oddzielnego urządzenia.
• Podłącz dowolne urządzenia USB bezpośrednio do płyty głównej. Nie używaj gniazda PCIe, ponieważ urządzenie może przechowywać / przesyłać naciśnięcia klawiszy / polecenia. To samo dotyczy złączy na panelu przednim.
• Jeśli to możliwe, użyj innej klawiatury. Urządzenia mogą odczytywać dźwięki naciskania poszczególnych klawiszy, aby rozszyfrować, który to był klawisz. Na wszelki wypadek odłącz wszystkie mikrofony podłączone do komputera.
• Sprawdź, czy są podłączone jakieś dodatkowe urządzenia PCIe lub portu szeregowego. Upewnij się, że na wszelki wypadek podłączone są tylko te wymagane.

Metody zmniejszania ryzyka za pomocą oprogramowania

• Upewnij się, że łączysz się z zabezpieczoną siecią Wi-Fi lub siecią Ethernet, jeśli wiesz, że jest to bezpieczne. Prawdopodobnie lepiej jest korzystać z danych mobilnych i, jeśli to możliwe, z mobilnego punktu dostępowego, więc nie musisz polegać na ich połączeniu internetowym. Jeśli to możliwe, użyj również kabla USB, aby uniknąć ryzyka przechwycenia sygnału przez alternatywne połączenie Wi-Fi.
• Używaj SSL. Jest to oczywiste, ale musisz upewnić się, że urząd certyfikacji jest tym, którego oczekujesz, ponieważ jednostka może wstawić do łańcucha certyfikat z podpisem własnym.

Ostatnią rzeczą jest to, że powinieneś, jeśli to możliwe, tymczasowo zmienić hasło (na przykład używając telefonu) podczas logowania się za pomocą tego komputera, a następnie zmienić je z powrotem, więc jeśli hasło zostanie naruszone, nie będzie można z niego korzystać po zmianie z powrotem.

Nie określasz, czy musisz logować się za pośrednictwem czyjegoś komputera, ponieważ:

1. Potrzebujesz jego systemu operacyjnego / oprogramowania, np. konfigurujesz / naprawiasz czyjś komputer i musisz pobrać niektóre dane z prywatnego serwera.
2. Potrzebujesz jego sprzętu (np. masz dostęp do sieci na podstawie adresu MAC lub innych czynników, które istnieją tylko na maszyna, której chcesz używać.
3. Potrzebujesz ich sieci (np. musisz być w ich sieci LAN, ale z własnym urządzeniem).
4. W ogóle nie potrzebujesz ich sieci ani urządzenia, po prostu wygodnie jest korzystać z ich komputera.

Optymalnym sposobem rozwiązania tych problemów jest w odwrotnej kolejności:

Przypadek 4. Przynieś laptopa / telefon / tablet i skorzystaj z połączenia 3G / 4G, aby uzyskać dostęp do Internetu. Gotowe.

Przypadek 3. Przynieś laptopa, odpowiednio go zabezpiecz (antywirus, firewall itp.), podłącz go do ich sieci. Gotowe.

Przypadek 2. Sprawdź ich sprzęt pod kątem jakichkolwiek rejestratorów sprzętu, uruchom swój własny system operacyjny (rodzaj dystrybucji na żywo). Jeśli przegapiłeś rejestrator sprzętu, masz problem.

Przypadek 1. Pomaga również w przypadku 2.

• a) Wymagaj dostępu administratora / roota.

• b) Włącz zaporę ogniową, ustaw ją w paranoidalnie ścisłym trybie, zezwalaj tylko na połączenia z serwerem docelowym.

• c) Zmień hasło dostępu za pośrednictwem telefonu 3G / 4G na tymczasowe,

• d) Uzyskaj dostęp do serwera, użyj 2FA

• e) usuń ślady (ciasteczka, wszelkie pliki tymczasowe, które mogłyby ukryć poświadczenia, unikalne identyfikatory, tc)

• f) Zmień hasło z powrotem za pomocą telefonu 3G / 4G

• g) Ustaw normalną zaporę ogniową.

Teraz zapora ogniowa może być również przejęta przez rootkita, więc dla większej paranoi lub w przypadku braku dostępu administratora / roota :

• a) Zbuduj własny router za pomocą Raspberry Pi lub podobnego urządzenia, dodaj dodatkowy port Ethernet za pomocą adaptera Ethernet2USB. (oczywiście, naprawdę świadomy bezpieczeństwa profesjonalista i tak miałby Linuksa na swoim laptopie, więc po prostu dodaj port Ethernet2USB i kontynuuj bez Raspberry.

• b) Podłącz komputer do swojego Raspberry, pobierz adres MAC, sklonuj go na drugą (wychodzącą) stronę.

• c) Skonfiguruj ścisły routing i zaporę ogniową w systemie Linux, zezwalaj tylko na dostęp do swojego serwera i kieruj jeden NIC na inną.

• d) Skonfiguruj śledzenie MITM i zainstaluj certyfikat na serwerze na ich komputerze. Twój certyfikat to certyfikat MITM, fałszywy, który wygenerowałeś!

• e) Postępuj zgodnie z wcześniejszym opisem w 1c) i dalej.

• f) Zapisz dowolny krwawy bajt, który przechodzi przez twój mini router, aby móc stawić mu czoła, jeśli spróbują czegoś paskudnego.

Uzasadnienie stojące za Sugeruje to, że komputer host prawdopodobnie nie ma pełnego zestawu narzędzi do ataku na Twoje konto. Keylogger zapisze klucze do tymczasowego hasła, ale nie będzie mógł przekazać danych złoczyńcy siedzącemu w innym pokoju. Jeśli tak się stanie i spróbuje zhakować twój serwer, każda próba włamania zostanie zarejestrowana w postaci zwykłego tekstu, możesz albo stawić im czoła , albo cofnąć szkody (zmienili zwykły tekst, ale zarejestrowałeś zmianę! ). Zwróć uwagę, że tylko twój serwer będzie dostępny dla ich komputera w krytycznym czasie, więc albo ich komputer spróbuje włamać się sam, albo nic się nie stanie.

Byłbym wdzięczny za opinie na temat tej trasy, jeśli być może coś przeoczyłem.

Teoretycznie, jeśli witryna nie zapewnia lepszego sposobu, aby to zrobić, nadal istnieje sposób: zaloguj się na urządzeniu, które jest pod Twoją kontrolą, i prześlij plik cookie sesji, który otrzymałeś z tego urządzenia, do niezaufanego komputer. Umożliwi to niezaufanemu komputerowi wykonanie dowolnej operacji, którą możesz wykonać w witrynie po zalogowaniu, ale jeśli witryna nie ma fatalnie złego projektu zabezpieczeń, nie pozwoli niezaufanemu komputerowi na zmianę hasła, zmianę adresu e-mail powiązanego z kontem lub wykonać inne operacje przejęcia konta.

Gdy skończysz, możesz użyć zaufanego urządzenia, które kontrolujesz, do wylogowania się z pliku cookie sesji (skopiowanego z niego), wykonując tam operację wylogowania, lub wykonaj operację „wyloguj wszystkie urządzenia”, jeśli witryna udostępnia taką funkcję.

Zauważ, że w tym schemacie hasło nigdy nie jest wprowadzane na niezaufanym komputerze, a tym samym nie ma możliwości nagrywania / przechwytywania to. W najlepszym przypadku może przechwycić plik cookie sesji, który unieważnisz, wylogowując się z zaufanego urządzenia, gdy skończysz.

Jeśli ufasz tej osobie, śmiało korzystaj z jej komputera. Rozważ utworzenie osobnego profilu przeglądarki, który możesz wyczyścić po zakończeniu bez usuwania plików cookie / ustawień tej osoby / czegokolwiek. Zwróć uwagę na wszystkie pobrane załączniki, aby je również usunąć. Nie otwieraj tylko załączonych plików, chyba że chcesz wcielić się w detektywa w ustalaniu, która z możliwych „tymczasowych” lokalizacji została użyta do ich przechowywania. I unikaj manipulowania wrażliwymi danymi, które nie są związane z celem zmuszenia Cię do korzystania z cudzego komputera.

Jeśli nie ufasz tej osobie, nie używaj jej komputera . Nie ma sposobu, aby zabezpieczyć nieznany komputer w 100%, a tym bardziej bez robienia rzeczy, które sprawią, że druga osoba będzie podejrzewać, że próbujesz ją zhakować. Wtedy prawdopodobnie i tak nie będziesz mógł korzystać z ich komputera.

Chociaż istnieje wiele dobrych i niesamowitych odpowiedzi, uważam, że brakuje tej radykalnej „odpowiedzi”:

Jeśli martwisz się o bezpieczeństwo, prawdopodobnie używasz również menedżera haseł. Zawsze generuję losowe i bardzo trudne hasło. Na innych komputerach prawdopodobnie nie mam oprogramowania ani pliku, w którym są przechowywane moje hasła (używam Keepass) Mam ten plik przechowywany w chmurze, ale po zalogowaniu wymaga on również oddzielnego pliku, który mam tylko lokalnie na moich zaufanych urządzeniach.

Więc możesz zrozumieć, przez jakie kłopoty muszę przejść, zanim faktycznie zaloguję się na innym niezaufanym urządzeniu. Co właściwie powstrzymuje mnie przed zrobieniem tego w pierwszej kolejności.

Więc jeśli jestem zmuszony się zalogować: „Nie znam swojego hasła”.

Gdy podejrzewasz, że system jest zapisywany w logach, musisz mieć możliwość przerwania tego procesu, aby zrobić to, o co prosisz.

Może to być jednak widoczny proces - więc jeśli jest to krytyczne dla misji, spróbuj go znaleźć przetwarzać lub tworzyć inne konto użytkownika z zaszyfrowanym terminalem w piaskownicy, aby sprawdzić, czy można uniknąć logowania w ten sposób - na przykład Linux z zaszyfrowanym folderem domowym & swap.