Estoy en un lugar donde hay wifi público, y quiero usarlo con cuentas comerciales que contengan algo de dinero. Tengo mi cuenta configurada con Google Authenticator, y la conexión es https. ¿Es todo esto suficiente, o debo gastar $ 100 / semana para usar el Internet (más lento) de mi teléfono por seguridad?
Un wifi público significa un enrutador no controlado y posiblemente un proxy HTTP. Eso significa que no puedes confiar en eso para conectarte de forma segura al servidor correcto, sin hablar de ningún ataque MiTM.
Pero para eso está hecho SSL / TLS: si el navegador de su cliente está configurado correctamente (debería ser ...), el certificado presentado por el servidor garantiza que ha llegado al servidor correcto, siempre que controle que la URL sea la URL correcta y que realmente use HTTPS (*). Luego, el protocolo garantiza que todo lo que se intercambie entre su cliente y el servidor esté cifrado para que pueda pasar sus credenciales allí y hacer lo que sea necesario sin riesgo de ataque MiTM.
Pero la regla adicional es que debe controlar la URL en la barra de direcciones de su navegador, lo que debería hacerse de manera consistente de todos modos ...
(*): si la URL no comienza con https:// o no es exactamente a lo que está acostumbrado, cierre la conexión de inmediato porque no se puede garantizar la seguridad ...
Solo HTTPS (con o sin 2FA) debería ser suficiente para asegurar su conexión a cualquier sitio que esté usando. (Consulte la respuesta de Serge Ballesta para obtener más detalles al respecto)
Sin embargo, otros sitios que no usan HTTPS no estarán protegidos, y si alguna vez visita un sitio de este tipo (incluso accidentalmente, o incluso si una página que está visitando simplemente carga una página HTTP o script) en el fondo) un atacante MITM en la red local podría explotar eso para hacer todo tipo de cosas desagradables; como robe sus cookies (sin marca segura) en todos los sitios que no sean de HSTS que haya visitado alguna vez , instale puertas traseras persistentes basadas en web en el caché de su navegador , o incluso tome el control remoto del enrutador de su hogar después de regresar a su hogar y conectarse a su red local .
Por este motivo, te sugiero que solo accedas a Internet a través de una VPN mientras usas WiFi pública. Los servicios comerciales de VPN son mucho más económicos que $ 100 por semana, y protegerán más que solo sus conexiones HTTP para que no sean interceptadas o fisgoneadas. (Por ejemplo, sus solicitudes de DNS también pasarán por la VPN).
Otra opción sería instalar una extensión de navegador como HTTPS Everywhere y configurarla para que bloquee todas las solicitudes sin cifrar. Eso no protegerá a otras solicitudes que no sean HTTP, como DNS, de ser interceptadas o espiadas, pero evitará los ataques que describí en el párrafo anterior.