Ingreso de contraseñas en computadoras públicas

Navega tus respuestas
15

A veces sucede que tengo que acceder a mi correo electrónico oa algún otro servicio web desde máquinas públicas. ¿Hay alguna opción para hacerlo seguro o al menos reducir los riesgos a niveles aceptables? Estoy más preocupado por los keyloggers. Pero incluso si se puede copiar y pegar la contraseña desde algún lugar, todavía hay herramientas para interceptar eso. ¿Así que básicamente no hay seguridad por definición? Una medida en la que puedo pensar es en la autenticación de dos factores, pero no siempre está disponible (para cada servicio). Otra posible medida es tener un servidor / máquina en algún lugar y acceder a él mediante algún tipo de acceso remoto, pero esto requiere recursos considerables.

    
pregunta Andrey 17.09.2013 - 17:36
fuente

4 respuestas

24

Las recomendaciones habituales sobre el acceso a datos privados desde una computadora pública son:

  1. No lo hagas.
  2. No lo hagas; en su lugar, use un teléfono inteligente o tableta.

  3. Si su realmente debe hacerlo, no hay otra opción, sería peligroso no leer su correo electrónico, entonces se pueden utilizar las siguientes mitigaciones:

    • Use la autenticación de dos factores (por ejemplo, con Gmail ), el segundo factor que usa su teléfono (se presume que es seguro).
    • Utilice Contraseñas de un solo uso .
    • Cambie su contraseña desde una computadora "segura" tan pronto como sea posible después del acceso.

    Las dos primeras mitigaciones suponen que puede habilitar estos métodos de autenticación adicionales en su Webmail, y que tiene algún dispositivo adicional con usted (un teléfono para enviar o recibir una contraseña por SMS, un generador para contraseñas de un solo uso, una lista impresa de sus siguientes 20 contraseñas de un solo uso ...). La tercera mitigación depende de qué tan pronto pueda acceder a una computadora segura, pero, por supuesto, si puede usar una computadora segura en los próximos cinco minutos, ¿por qué no leer sus correos electrónicos de esa manera segura? computadora?

En cualquier caso, hagas lo que hagas, estás apostando a que los posibles atacantes no secuestrarán tus conexiones automáticamente; en su lugar, que los atacantes recopilen pasivamente las contraseñas y no hagan nada más inmediatamente, lo que le deja algunos minutos u horas para "tapar agujeros". Hay algunos atacantes que actúan de esa manera; pero también hay otros atacantes que reconocen las conexiones a varios sistemas de correo web y las secuestran automáticamente. Entonces, en serio, no lo hagas .

    
respondido por el Thomas Pornin 17.09.2013 - 17:48
fuente
4

Puede iniciar la estación de trabajo utilizando una distribución en vivo o un sistema operativo instalado en una llave USB como Ubuntu. Pero asegúrese de que no haya un keylogger de hardware y cuando envíe información confidencial a través de la red, asegúrese de utilizar el cifrado mediante un certificado de confianza.

    
respondido por el fvaliquette 17.09.2013 - 21:00
fuente
1
  • Instale la edición de PortableApps de Firefox en una unidad USB. Esto asegura que está utilizando la última versión de Firefox. Supongo que la computadora pública que está utilizando está ejecutando Windows.
  • cualquier servicio de correo electrónico en línea que esté utilizando, por ejemplo, Gmail, activa la autenticación de dos factores. Gmail ahora le permite usar una aplicación de teléfono inteligente llamada Google Authenticator para generar un token, de manera similar a un llavero RSA. Esto se usa cuando se accede a su correo electrónico desde una computadora nueva (que no se había visto anteriormente).
respondido por el dodgy_coder 20.09.2013 - 03:53
fuente
0

Utilice contraseñas de un solo uso. Esto requiere que trabajes en un servicio que admite contraseñas de un solo uso. No conozco ninguna, pero no veo ninguna razón lógica por la que no puedan hacerlo.

    
respondido por el emory 17.09.2013 - 23:48
fuente

Lea otras preguntas en las etiquetas

Cómo obtener la clave privada utilizada para descifrar el tráfico HTTPS enviado y recibido desde mi propio navegador con wireshark Cuando se registra en la mayoría de los sitios web, ¿por qué necesita confirmar su dirección de correo electrónico?