A veces necesito usar una computadora pública para acceder a mi cuenta de Gmail, ¿hay alguna forma segura de iniciar sesión y mantener mi contraseña segura en caso de que haya un keylogger o un troyano en esa computadora? ¿Hay herramientas que podrían ayudar en ese caso?
Habilite autenticación de dos factores . Considere la contraseña recordada comprometida para cualquier usuario de la computadora pública.
EDITAR: Mi respuesta se refiere a cómo evitar que su contraseña sea registrada. Con la autenticación de dos factores, su contraseña es ahora la combinación de un código de uso único generado aleatoriamente (obtenido a través de un teléfono celular o lista pre-obtenida), así como la contraseña recordada; por lo tanto, un keylogger no le da a un atacante la capacidad de iniciar sesión como usted para un ataque futuro.
Sin embargo, definitivamente estoy de acuerdo con TomLeek y Nic que de verdad - ataque en tiempo (no un keylogger visto después del hecho) que captura su token de sesión aleatorio (que indica que gmail ha iniciado sesión antes de realizar cualquier acción), un atacante puede usar completamente su cuenta de gmail (enviar correos electrónicos a medida que busca) a través de correos electrónicos enviados a usted; elimine sus correos electrónicos; etc). Concedido, una vez que cierre sesión, su token de sesión se invalidará y los sacará de su cuenta. Concedido, un atacante inteligente podría escribir un complemento de navegador para recopilar sus tokens de sesión, enviárselos y luego redirigir la página de cierre de sesión para no invalidar su token. Aunque siempre puede volver a iniciar sesión en gmail, vea el enlace "Última actividad de la cuenta [Detalles]" y cierre la sesión de todos los demás.
Accedo a mi gmail desde mi teléfono, pero ocasionalmente necesito acceder a un correo electrónico desde una computadora pública. Un ejemplo sería imprimir boletos desde un centro de negocios del hotel.
Mantengo una cuenta de "buzón" de gmail separada para este propósito ... Simplemente reenvío el correo electrónico relevante usando mi teléfono a mi cuenta de correo electrónico "buzón" y luego accedo a esa cuenta desde una computadora pública.
No me preocupo por exponer la contraseña de mi cuenta de correo electrónico de Dropbox ya que casi siempre está vacía.
... Pero sigo usando la autenticación de 2 factores de Google para mi cuenta principal.
Stricto sensu, la única forma de mantener la privacidad de sus datos privados mientras accede a ellos en una PC pública potencialmente comprometida es rezar . Si la PC está realmente comprometida, el villano que la controla ahora sabe todo lo que usted escribió y vio, descargó y cargó a través de esa PC, y eso incluye, por supuesto, su contraseña. Estarás a salvo solo si el atacante, por pereza o incompetencia, elige no molestarte con tu cuenta. La verificación de dos pasos de Gmail, que menciona el Dr. jimbob, de alguna manera contendrá el daño porque la contraseña robada no será suficiente para volver a conectarse fácilmente en Gmail; pero durante la duración de su sesión, su cuenta de Gmail fue sin embargo una feria gratuita para todos.
Además, si puede usar la verificación de dos pasos de Gmail, entonces tiene un teléfono: conviértalo en un teléfono inteligente y podrá acceder a sus correos electrónicos solo desde el teléfono, sin pasar por alto el PC de dudosa limpieza.
Iniciar sesión en un correo electrónico (o cualquier otro servicio) desde una PC pública es riesgoso. Por supuesto que necesitas usar autenticación fuerte. Pero también, debe considerar si el anfitrión es un actor confiable. Cuando se autentica, está delegando efectivamente el acceso al host que está usando. Considere estos ataques posibles en un host no confiable.
Entonces, ¿qué puedes hacer con una PC pública en la que no se puede confiar? Debe decidir en qué partes del sistema puede confiar. Probablemente pueda confiar en la CPU y la memoria en una PC pública tanto como puede confiar en su propia computadora personal. Pero el sistema operativo y el navegador son mucho más fáciles de atacar, por lo que confía menos en ellos. Aquí hay algunas formas de mitigar los riesgos comunes.
Y para obtener puntos de bonificación, aquí hay algunas cosas que los desarrolladores pueden hacer para mejorar la seguridad de la aplicación.
Hay algunos riesgos inherentes a considerar, incluso si puede usar una contraseña de un solo uso. Las cuentas de Google son grandes e importantes, por lo que existe el riesgo de que Google esté orientado específicamente.
Espero que un sistema comprometido pueda cambiar la configuración de GMail para reenviar una copia de cada correo que reciba a partir de ese momento. (Además de leer todo su correo electrónico anterior mientras está conectado allí). Entonces podría tener acceso a otras cuentas, por ejemplo. Facebook (creo), o una cuenta de blog. Al utilizar la función "olvidé mi contraseña" para solicitar a la otra cuenta que envíe una nueva contraseña a la dirección de correo electrónico registrada. Que el atacante podría leer.
Espero que incluso puedan cambiar tu configuración de Gmail para definir un filtro, que elimina los correos electrónicos de "aquí está tu nueva contraseña" después de que se hayan reenviado, por lo que no te darás cuenta de esos correos electrónicos. (Solo notaría que cuando intentó iniciar sesión en la otra cuenta, su contraseña original no funcionó y no puede usar la función "Olvidé mi contraseña" porque los correos electrónicos de "aquí está su nueva contraseña" son todavía se está filtrando).
El ataque "olvidé mi contraseña" probablemente no sea un gran problema. Probablemente será spam, como los trucos de las cuentas de facebook / yahoo que ocurren, y el dolor es más por tener que limpiar el desastre, en lugar de cualquier daño significativo.
Google podría mitigar esto también. P.ej. para la variante más sigilosa: si un usuario cambia su configuración de reenvío mientras está conectado desde una nueva computadora / navegador (o tal vez incluso una antigua), entonces el siguiente inicio de sesión en cada otra computadora / navegador (s) podría informarle al usuario sobre la reenviando cambios.
Si activa la autenticación de 2 pasos, puede usar un código de copia de seguridad , que es básicamente una contraseña de uso único.
Mi solución a este problema en la universidad, donde las computadoras se infectaban constantemente con virus y troyanos con controladores flash. No debía utilizar el sistema instalado. Cuando ha dedicado cientos de horas a sus proyectos, no puede arriesgarse a que la computadora a la que se está conectando corrompa y destruya todo ese trabajo.
Llevaría un live cd / o unidad USB de uno de los miles de sistemas operativos Linux. Me gustaría arrancar en un sistema operativo Linux en funcionamiento y hacer todo lo que tenga que hacer sin montar / usar el disco duro interno infectado / comprometido. Esto limitó mi exposición al malware que podría encontrarse en los discos internos.
Es posible que deba pedir permiso para hacerlo en un cibercafé o biblioteca. No debería ser tan difícil de hacer. La mayoría de los discos en vivo le ofrecen un navegador web, Libra of Open office para leer y escribir la mayoría de los documentos de oficina. En las unidades USB de arranque, puede instalar el software y tenerlo allí la próxima vez que arranque.
Uno de los únicos problemas posteriores a la configuración que tuve en la universidad fue configurar la conectividad de la red para poder navegar por Internet. La universidad había configurado un servidor proxy que utilizaban todas las computadoras para acceder a Internet. Deberá encontrar cuál de estas configuraciones se aplica a los sistemas informáticos públicos a los que intenta acceder. Probablemente sería útil si usa los mismos sistemas de computadoras públicas una y otra vez para guardar estos tipos de configuraciones en un archivo de texto en una unidad flash que lleva consigo. Las unidades flash de inicio le permiten controlar qué configuraciones desea guardar en su disco. Actualmente utilizo el ubuntu 12.04 lts unidad USB de arranque.
<Ctrl>+<Shift>+N , <Ctrl>+<Shift>+P , <Ctrl>+<Shift>+P , Lea otras preguntas en las etiquetas authentication