Inicio de sesión del banco en un país extranjero

4

Tengo amigos y familiares que viajan / viven en países extranjeros y las redes inalámbricas no seguras y los escáneres de tarjetas de crédito siempre han sido un problema. Recientemente me hicieron una pregunta sobre cómo iniciar sesión en cuentas bancarias personales y otros sitios web seguros desde estas ubicaciones inseguras.

Tenía la impresión de que si estaba utilizando su propia máquina y se conectaba a un sitio que utiliza HTTPS desde el momento en que accedía (en comparación con algunos que solo lo utilizan en las páginas de pago o de inicio de sesión), estaba a salvo de la mayoría " "amenazas razonables asociadas con una red inalámbrica comprometida. ¿Estoy equivocado?

    
pregunta BenW301 28.01.2015 - 02:03
fuente

4 respuestas

4

En primer lugar, debe deshabilitar SSLv3 en su navegador, para evitar el ataque de POODLE ( SSL3 "PODER "Vulnerabilidad )

Entonces, no hay problema con el uso de HTTPS incluso en áreas "no seguras", porque TLS lo protege a usted del ataque Man In The Middle, con apretón de manos, cifrado de extremo a extremo y verificación de la Cadena de certificados.

Un problema común que puede encontrar es la eliminación de SSL: el proxy al que está conectado puede forzarlo a comunicarse solo con HTTP, dándole todo en texto claro y luego simular una conexión HTTPS con su sitio de destino. HSTS puede evitar este tipo de ataque, pero no está muy extendido y presenta algunas limitaciones con las solicitudes iniciales.

    
respondido por el fmgp 28.01.2015 - 10:54
fuente
1

Diría que debes decirles que utilicen una VPN de confianza.

Aunque pueden pensar que están seguros usando HTTPS, es posible que un atacante configure un punto de acceso Wi-Fi no autorizado y luego intercepte las conexiones SSL, eliminando la protección que ofrece HTTPS y viendo los datos en texto sin formato.

Si utiliza una VPN que conoce y está seguro de que nadie puede entrar en una posición de Hombre en el Medio, no debe preocuparse por esto.

    
respondido por el TimC 28.01.2015 - 10:59
fuente
1

Para mayor seguridad, debe desactivar HTTP en su navegador cuando esté en redes que no sean de confianza. A menudo, esto se puede lograr configurando una dirección proxy no válida para el tráfico HTTP (por ejemplo, 127.0.0.1 ) y dejando que el HTTPS se conecte directamente.

Esto solo es realmente un problema si alguno de los sitios que usa es vulnerable a los ataques de envenenamiento de cookies. Vea mi respuesta aquí con respecto a un ejemplo donde hay una vulnerabilidad de XSS debido al valor de la cookie que se refleja . Normalmente, esta cookie sería segura porque solo se puede navegar por HTTPS. Sin embargo, como las cookies comparten el mismo origen sobre los protocolos (es decir, la Política de igual origen para las cookies es un poco más relajada -% Las cookies de http se pueden leer bajo https en el mismo dominio), podría ser envenenado por un MITM en una red no confiable para explotar la vulnerabilidad.

Si deshabilitar HTTP es un paso demasiado lejos (ya que causaría que muchos sitios no sean accesibles), siempre es una buena opción usar un VPN.

Para evitar cualquier vulnerabilidad de CSRF en los sitios a los que navega en una red que no es de confianza, debe abrir cada sitio de confianza en una nueva sesión privada o de incógnito. Esto evitará que cualquier otro sitio web falsifique solicitudes a su sitio de confianza, ya que la cookie ya no se pasará.

Lo anterior también evitará los ataques POODLE ya que un atacante MITM no puede "ponerse en el medio" debido a que HTTP no está habilitado * , y tampoco lo hará podrá incluir cookies en cualquier tráfico entre sitios, ya que su sesión de inicio de sesión se realiza en su propia sesión privada con cookies aisladas.

También tenga en cuenta que es poco probable que el sitio web de un banco contenga vulnerabilidades que puedan aflojar la seguridad de sí mismo en una red no confiable, los consejos anteriores son realmente consejos para hacerlo más seguro en otros sitios más vulnerables que puede navegar en redes no confiables. necesita iniciar sesión en.

* Por "ponerse en el medio" me refiero a que un MITM ahora no puede interceptar una solicitud HTTP simple y usarla como plataforma para inyectar solicitudes HTTPS en el sitio vulnerable de POODLE porque HTTP simple ahora está deshabilitado. En su lugar, el atacante tendría que incitar al usuario a visitar el sitio HTTPS del atacante directamente para tener una plataforma disponible para enviar solicitudes AJAX de origen cruzado al sitio vulnerable de POODLE.

    
respondido por el SilverlightFox 29.01.2015 - 16:32
fuente
0

Utilice la fijación de certificados. ( ¿Qué es la fijación de certificados? , por ejemplo, use el complemento del navegador enlace )

Entonces puede estar 100% seguro de que está hablando con el servidor del banco sin que nadie intercepte su conversación (en la red), incluso si el atacante utiliza una CA raíz comprometida. La condición previa es que su banco no cambie su certificado con demasiada frecuencia (pero los bancos no deberían hacer eso de todos modos).

    
respondido por el fex 27.02.2015 - 15:54
fuente

Lea otras preguntas en las etiquetas