¿El wifi público representa un riesgo de seguridad para los inicios de sesión existentes?

1

Voy a hacer un viaje pronto y quiero descubrir qué tan seguro es usar el wifi público para los servicios. Un consejo común sobre seguridad que he encontrado sobre wifi público ( ejemplo ) es no iniciar sesión en las cosas, porque es fácil para otros husmear en lo que estás haciendo. Más específicamente, dicen que no escribas tu nombre de usuario / contraseña en un formulario de inicio de sesión y presionas el botón de envío, ni accedes a ningún dato confidencial como cuentas bancarias.

¿Pero qué sucede si inicié sesión en un servicio en mi red doméstica privada, nunca borré la sesión y quiero continuar usando el servicio de wifi pública después de salir de casa? Estoy pensando como Dropbox o Pandora o Netflix. Si no necesito ingresar mi contraseña y hacer clic en enviar, ¿es eso lo suficientemente seguro? ¿Haría una diferencia si está pasando por un navegador o una aplicación dedicada?

EDITAR:
Aunque aprecio las respuestas, hasta ahora parecen estar orientadas a computadoras reales y quiero aclarar que estoy pensando en mi teléfono con Android. Por lo tanto, mi pregunta sobre las aplicaciones, porque no tengo idea de cómo saber si una aplicación está utilizando HTTPS o qué.

    
pregunta Traveler 15.04.2016 - 05:43
fuente

2 respuestas

2

Si el sitio que está visitando usa HTTPS para todo el sitio (no solo la página de inicio de sesión) y usted verifica que realmente esté usando HTTPS, con un certificado válido (por ejemplo, no hay advertencias sobre un certificado incorrecto) y es el URL a la que quieres ir, entonces estás a salvo.

(Excepto en contra de adversarios extremadamente fuertes como los gobiernos que tienen la capacidad de obligar a las Autoridades de Certificación a firmar certificados fraudulentos o darles la capacidad de firmarlos. Pero en este punto, estos adversarios fuertes pueden hacer estos cambios maliciosos a nivel de ISP, por lo que se atornillan de cualquier manera).

Si el sitio no usa HTTPS, cualquier información que envíe o reciba puede ser escuchada o modificada por un atacante.

También debes ser extremadamente cuidadoso al descargar e instalar cualquier cosa que no haya sido transmitida por HTTPS cuando estés en una wifi pública (aunque probablemente deberías tener cuidado al respecto). Por ejemplo, si instala un complemento de navegador o instrucciones de línea de comando que se encuentran en HTTP regular, sería posible que un atacante modifique el complemento (por ejemplo, se ejecute en todas las páginas web y envíe cada envío de formulario a algún dominio aleatorio que controle). robar sus contraseñas / información de la tarjeta de crédito / etc).

  

EDITAR: Aunque aprecio las respuestas, hasta ahora parecen estar orientadas a computadoras reales y quiero aclarar que estoy pensando en mi teléfono Android. Por lo tanto, mi pregunta sobre las aplicaciones, porque no tengo idea de cómo saber si una aplicación está utilizando HTTPS o qué.

Puedes intentar usar un receptor de paquetes de red (como wireshark) para ver si las aplicaciones se están comunicando usando solo cifrado (por ejemplo, busca el protocolo HTTPS). La mayoría de los proveedores principales deberían usar HTTPS para sus aplicaciones si usan HTTPS para su sitio web en cualquier otro lugar, pero no puede estar seguro (y es más seguro asumir que no lo hace). Mencionó Dropbox, y Dropbox, por ejemplo, indica que usan el cifrado de red (TLS) en todas partes entre sus aplicaciones, por lo que es seguro usar Dropbox (suponiendo que estén verificando los certificados correctamente).

Si no está seguro de una aplicación móvil, a menudo puede usar el sitio HTTPS móvil en su navegador web.

    
respondido por el dr jimbob 15.04.2016 - 05:59
fuente
0
  

Pero, ¿qué sucede si inicié sesión en un servicio en mi red doméstica privada, nunca borré la sesión y quiero continuar usando el servicio de wifi pública después de salir de casa?

No, no haría mucha diferencia.

Sin embargo, lo que marca la diferencia es asegurarse de que el sitio que está visitando use HTTPS y que su cliente de correo electrónico (si usa un cliente de correo de escritorio o móvil) esté configurado para usar TLS para acceder a su servidor de correo.

Aprenda cómo verificar el certificado SSL (no es necesario ir a las matemáticas, solo la verificación según lo que el navegador le dice cuando hace clic en el icono de candado en la barra de direcciones). Siempre verifique el certificado del servidor y que tenga el nombre de dominio correcto antes de ingresar sus credenciales.

Además, esto debería ser obvio, pero no ignore las advertencias de seguridad que el navegador o el sistema operativo le están diciendo. Si el navegador dice que no puede establecer una conexión TLS segura, deje su negocio hasta más tarde.

No use servicios que manejen información personal que no admita HTTPS / TLS mientras usa una red que no es de confianza, ni siquiera los usa.

También desea asegurarse de no reutilizar la contraseña entre diferentes sitios web. Especialmente peligroso es reutilizar la contraseña entre los sitios que usan https y los que no.

También quiere asegurarse de que su sistema esté actualizado antes de salir de casa. Si desea actualizar o instalar software, asegúrese de descargar el software a través de una conexión segura. Hay formas de verificar la autenticidad del software / archivos descargados a través de una conexión insegura, verificando su firma criptográfica, pero si tiene que hacer esta pregunta, entonces le recomendaré que no intente hacerlo porque es fácil de obtener. este mal y compromete tu seguridad.

Debería asegurarse de escribir https: // al acceder a sitios web confidenciales, para evitar el tipo de ataque sslstrip. Alternativamente, marque el sitio o use HTTPSEverywhere.

Todos los anteriores son difíciles de hacer constantemente, y es fácil cometer errores. Para mayor seguridad, es posible que desee habilitar la autenticación de dos factores TOTP (por ejemplo, la aplicación Google Authenticator) para los servicios que los proporciona, de modo que incluso si se desliza y alguien ha borrado su contraseña, aún no podrán acceder a su cuenta sin robar también. Su segundo factor, generalmente su teléfono móvil. Muchos servicios web importantes ahora admiten 2FA, por ejemplo, Dropbox, Google.

    
respondido por el Lie Ryan 15.04.2016 - 06:14
fuente

Lea otras preguntas en las etiquetas