si vous ne faites pas confiance au support: n'entrez pas d'informations sensibles. taper votre mot de passe d'une manière obscure est juste cela: la sécurité par l'obscurité, qui ne fonctionne jamais.

autre que cela: vous pourriez être en mesure d'atteindre un certain niveau de sécurité dans un tel ouvrez des emplacements si le mot de passe que vous avez entré change pour la prochaine connexion, voir mots de passe à usage unique. (note: `` L'authentification à 2 facteurs est un schéma hybride où vous connaissez déjà la moitié du mot de passe (qui reste constant / statique) et ensuite vous obtenez l'autre moitié par sms ou tout autre moyen; cette 2ème moitié est un- time-password)

Si vous ne pouvez pas être sûr que vos frappes ne sont pas capturées (et que vous ne pouvez pas), utilisez une sorte d'authentification à deux facteurs.

Assurez-vous que votre mot de passe n'est pas utile en soi!

La seule façon d'être sûr que vos données sont sécurisées est d'éviter d'entrer "tout" dans la machine suspecte.

Étant donné que les enregistreurs de frappe sont votre seule préoccupation (c'est-à-dire pas de logiciel de suivi sophistiqué):

Par exemple, vous pouvez emporter une clé USB avec tous vos mots de passe importants dans un KeePass conteneur, avec KeePass Portable. Une fois que vous avez ouvert KeePass Portable, utilisez un mot de passe principal pour le conteneur KeePass. Oui, vous risquez qu'il soit capturé, mais pour déverrouiller le conteneur, vous pouvez également configurer KeePass pour utiliser également un fichier de clés. Sans ce fichier de clés, le mot de passe principal est inutile. Ce fichier de clé peut être stocké sur la même clé USB ou sur une autre que vous transportez séparée de la clé USB d'origine.

Une fois que vous avez ouvert votre conteneur KeePass, vous pouvez utiliser les fonctionnalités de KeePass qui vous permettent pour saisir les mots de passe sans taper:

• KeePass peut se minimiser et taper les informations de l'entrée actuellement sélectionnée dans des boîtes de dialogue, des formulaires Web, etc. La séquence de frappe est 100% personnalisable par l'utilisateur, lisez le fichier de documentation pour en savoir plus.
• KeePass dispose d'un raccourci clavier global de type automatique. Lorsque KeePass s'exécute en arrière-plan (avec une base de données ouverte) et que vous appuyez sur la touche de raccourci, il recherche l'entrée correcte et exécute sa séquence de type automatique.

Ceci cependant ne trompe pas un keylogger qui écoute le tampon du clavier. Un keylogger intégré à la connexion clavier serait cependant inutile.

Une meilleure alternative:

• Tous les champs, titre, nom d'utilisateur, mot de passe, URL et notes peuvent être drag&dropped dans d'autres fenêtres.

En faisant cela, vous évitez d'avoir à taper n'importe quel mot de passe à l'exception de votre mot de passe principal, que vous pouvez toujours «jeter» et changer si nécessaire.

Je peux voir deux façons:

1. Utilisez une solution de clavier virtuel. Vous pouvez taper votre mot de passe avec des clics de souris, cela évitera l'enregistreur de clavier (mais peut ne pas éviter l'enregistreur basé sur un clic de souris). Cependant, ce serait un niveau de sécurité.

2. Il vous suffit de taper un mot de passe erroné dans la case du mot de passe, de le sélectionner avec la souris (en remplaçant les mauvaises touches par les vraies) ; tapez les 3 premiers caractères du vrai mot de passe, tapez 3 mauvaises clés, sélectionnez les 3 derniers caractères invalides puis tapez les 3 clés correctes en remplaçant les clés invalides.

Vous êtes confronté à plusieurs menaces; mais fondamentalement, ce que vous demandez - utiliser du matériel potentiellement malveillant - est dangereux et doit être évité à des fins sensibles. (Par exemple, essayez de ne pas vous enregistrer sur votre compte bancaire en vacances). Cependant, si vous êtes prêt à prendre ce risque mais que vous voulez le minimiser, voici vos menaces:

1. Enregistreurs de frappe matériels. Une simple pièce jointe à l'arrière du clavier achetée pour moins de 30 $ peut stocker chaque pression de touche; Ainsi, vous verrez quelqu'un se rendre sur un site, saisir un identifiant, puis taper un mot de passe et le déchiffrer facilement plus tard. Il ne serait pas difficile de modifier un clavier standard pour le faire automatiquement en interne; alors ne croyez pas que vous êtes en sécurité parce que vous ne voyez pas de pièce jointe à l'arrière.

2. Keyloggers logiciels. Le système d'exploitation peut exécuter une routine de capture d'écran / enregistreur de frappe / souris / écran qui pourrait en principe rejouer chaque action que vous faites.

3. Un DNS usurpé / corrompu avec de faux certificats installés sur le navigateur pour un MITM, même pour les sites SSL.

4. Une extension de navigateur / hack qui enregistre tout le texte saisi dans le champ de formulaire html (y compris les mots de passe).

5. Quelqu'un qui surveille le trafic réseau non chiffré, où votre mot de passe / cookies d'authentification sont envoyés en texte clair - assurez-vous que vous utilisez SSL (avec des certificats appropriés pour empêcher MITM).

Parmi ceux-ci, le # 5 est le plus simple à éviter; utilisez un tunnel ssh / vpn pour les sites non chiffrés ou utilisez HTTPS (avec SSL) pour les sites signés par un certificat approprié.

Encore une fois, votre meilleure option est d'utiliser votre propre matériel (apportez un smartphone; netbook / tablette bon marché avec vous) - qui élimine les menaces # 1- # 4; et les bonnes pratiques standard empêchent # 5.

Votre deuxième meilleure option serait de démarrer dans un OS invité de votre choix à partir de votre propre live cd, puis d'utiliser une méthode comme la vôtre pour masquer votre mot de passe à un keylogger. C'est peut-être tapez la moitié des caractères (pas nécessairement dans l'ordre; et coupez et collez l'autre moitié à partir des lettres de la page Web / URL - de préférence, faites-le uniquement à l'aide de la souris - par exemple, dans gnome si vous sélectionnez un caractère, vous pouvez collez-le avec un clic du milieu de la souris). L'utilisation d'un live cd empêche # 2 & # 3 & # 4. Vous êtes toujours vulnérable au n ° 1, mais vous pouvez probablement masquer convenablement votre mot de passe à un keylogger ordinaire qui, bien qu'ils aient récupéré un mot de passe partiel, ne l'auraient pas non plus (je ne ferais pas non plus le mot de passe entier de cut et coller au cas où ils enregistreraient / cloneraient la vidéo affichée sur le moniteur). Je recommanderais toujours de changer votre mot de passe une fois de retour à la maison.

Si vous ne parvenez pas à démarrer dans un OS invité; Je considère que toutes les données saisies sont compromises. Vous pouvez faire quelque chose pour rendre les choses un peu plus difficiles (par exemple, télécharger et exécuter un nouveau navigateur Web; essayez d'obscurcir votre mot de passe en le tapant dans le désordre / couper et coller des pièces; etc.), mais en principe, ils pourraient obtenir les données s'ils le voulaient.

Solution possible, mais peut-être pas très pratique.

Prenez votre propre PC, démarrez sous Linux et utilisez la connexion Internet du cybercafé

Peu de gens vous permettraient de le faire , mais certains le font

Vous pouvez démarrer sur une clé USB Linux live. À moins que l'enregistreur de frappe ne soit basé sur le matériel, cela sera sûr. L'Air Force a une distribution conçue à cet effet. Il ne monte pas les disques durs locaux, donc rien ne peut être enregistré localement. La distribution s'appelle LPS (sécurité portable légère). Je l'utilise quotidiennement. Vous pouvez le télécharger ici

J'irais avec des mots de passe uniques. Certains sites fournissent des claviers virtuels à l'écran (qui changent d'emplacement à chaque fois que vous cliquez), mais s'il y a des enregistreurs de frappe, il y a de fortes chances que des logiciels espions soient présents.

Je ne choisirais donc pas d'utiliser une clé USB qui stocke les informations sensibles telles que les mots de passe et le SSN.

Ce que je fais habituellement est de charger ubuntu live sur une clé USB, de choisir un ordinateur dans le coin où le propriétaire du café ne peut pas voir, d'insérer la clé USB et de redémarrer dans ubuntu. Ce que j'obtiens, c'est un environnement sûr.

Il y a quelques bonnes suggestions ici.

À eux, j'ajouterais la suggestion que vous changiez votre mot de passe en utilisant une connexion Internet de confiance à la prochaine occasion. Même si quelqu'un parvient à obtenir votre mot de passe, il est possible que vous puissiez le modifier avant qu'il ne puisse être utilisé. C'est particulièrement vrai s'ils utilisent un keylogger matériel qu'ils doivent revenir et récupérer plus tard.

Une fois, j'étais dans un aéroport loin de chez moi, et j'ai réalisé le réseau wi-fi J'étais connecté à pourrait ne pas avoir été légitime. Je m'étais connecté à GMail tout en étant connecté au réseau, donc par sécurité, j'ai appelé un membre de la famille sur mon téléphone portable, leur ai dit mon mot de passe GMail et je leur ai demandé de le changer pour autre chose. Ils ont noté le nouveau mot de passe qu'ils ont choisi (sans me le dire par téléphone), et je l'ai obtenu d'eux quand je suis rentré chez moi.

Si vous utilisez openid et quelque chose comme un yubikey qui utilise un mot de passe unique, même s'ils prennent votre mot de passe, ils ne peuvent pas le réutiliser

le problème est l'accès au port USB

le yubikey apparaît comme un clavier USB, donc aucun pilote de niveau administrateur n'est nécessaire

Je vois beaucoup de banques faire cela. Leurs champs de mot de passe ne peuvent être remplis qu'en tapant sur un clavier à l'écran qui est placé de manière aléatoire sur la page. Ainsi, aucune touche n'est cliquée au lieu de clics de souris uniquement. De plus, si le mot de passe comporte 8 caractères, ils vous demandent uniquement de taper certains caractères afin que vous puissiez voir quelque chose comme X00XXX0 où seuls les caractères du mot de passe représentés par les 0 doivent être tapés sur le clavier à l'écran .

La combinaison de caractères positionnés au hasard sur le clavier à l'écran et de clic de souris et de caractères sélectionnés au hasard à saisir rendait toutes les positions de clic de souris qui auraient pu être enregistrées inutiles.

Cordialement,

Vous pouvez transférer tous vos e-mails vers un compte temporaire, que vous supprimez ensuite à votre retour. Cela limitera l'exposition possible à l'interception des e-mails envoyés pendant votre absence et au détournement du compte temporaire.

Comme vous pouvez désactiver le transfert depuis votre compte réel, vous pouvez désactiver le compte temporaire dès que vous remarquez qu'il a été compromis.

Ce n'est pas une solution parfaite, mais cela vous donne une certaine protection même si votre attaquant parvient à voler votre mot de passe.

Apportez votre propre appareil et utilisez une connexion cryptée.

En plus de ce qui a déjà été dit, vous pouvez envisager de transporter une petite clé USB contenant le TAILS OS amorçable (abréviation de The Amnesic Incognito Live System) qui achemine tout votre trafic Internet via Tor par défaut. , et ne stocke rien sur le matériel local car tout ce qui est fait dessus est effacé après un redémarrage.

Si vous préférez le fait que vous utilisez Tor reste inconnu de l'administrateur du réseau local / FAI / gouvernement; vous devriez configurer Tor / Tails pour utiliser le mode Bridge

Notez cependant que Tor n'est pas une solution miracle pour tout et vous devriez lire la documentation appropriée avant de faire confiance à tout logiciel contenant des informations sensibles .

De plus, en raison de l'architecture de Tor, les informations de nom d'utilisateur / mot de passe peuvent être observées par le troisième saut dans son réseau d'obscurcissement (dans ce qu'on appelle un nœud de sortie), vous devriez donc utiliser HTTPS pour éviter cela. ] Essayez l'extension HTTPS Everywhere de l'EFF pour vous faciliter la tâche.

[*] Par exemple: wired dot com / politique / security / news / 2007/09 / embassy_hacks? CurrentPage = all

Vous confondez deux problèmes non liés. Un keylogger est un programme qui a été installé sur votre ordinateur pour surveiller les frappes réelles au fur et à mesure que vous les faites. Cela n'a rien à voir avec un café ou un autre réseau public. Si votre machine a été piratée, vous avez de plus gros soucis, mais la méthode que vous mentionnez peut confondre un simple keylogger.

Ce dont vous devez vous soucier sur un réseau wifi public, ce sont d'autres machines qui reniflent vos paquets réseau et voient ce que vous envoyez. Vous pouvez vous protéger contre cela en utilisant uniquement des sites Web sécurisés qui sont activés SSL afin que la connexion soit cryptée.

Si le café n'utilise pas de cryptage sans fil dans le routeur, alors vous n'êtes pas en sécurité en utilisant un système d'exploitation, une clé de démarrage ou autre, choisissez un café qui utilise le cryptage sans fil et un mot de passe pour vous connecter à leur routeur hotspot.

Les connexions sans fil non chiffrées peuvent être facilement détectées par n'importe qui dans ou à proximité du café, cela révélera tout ce que vous envoyez via la connexion, y compris les identifiants et les mots de passe que vous entrez dans un navigateur.

Les enregistreurs de frappe sont exécutés sur votre machine locale et fonctionneront quelle que soit la connexion Internet que vous utilisez,

Le problème que vous rencontrez dans un cybercafé est des attaques de type homme au milieu, où d'autres pairs du réseau peuvent intercepter votre trafic réseau.

Assurez-vous d'utiliser les sites HTTPS là où vous le pouvez, tout le trafic est chiffré avant qu'il ne quitte votre machine, la plupart des connexions sur des sites "décents" utiliseront HTTPS et certains sites vous le permettront parcourez tout le site en HTTPS mais vérifiez toujours qu'avant de saisir quoi que ce soit, vous ne voudriez pas qu'une autre personne voie que la page est bien HTTPS, et si jamais vous allez sur un site qui a un certificat SSL auto-signé, soyez très très méfiant car cela pourrait aussi être une attaque Man in the middle Je sais que Firefox et IE vous signalent si la page a un certificat auto-signé.

Si vous vous connectez à un site de réseau social comme Facebook, assurez-vous que la barre d'adresse contient facebook.com et non facebook-home.com ou similaire, c'est le cas du phishing.Si vous utilisez mozilla firefox, allez sur outils puis options de sécurité - à partir de là, vous pouvez vérifier que votre mot de passe est supprimé de la mémoire ou non après avoir fermé votre compte.

J'ai une ancienne méthode qui est très simple, mais efficace. Obtenez une clé USB et ouvrez un fichier .txt sur votre clé USB. Ce fichier texte contiendra les mots de passe de votre compte en ligne. Utilisez toujours un outil générateur de mot de passe pour générer votre mot de passe. Après cela, copiez simplement le mot de passe dans le fichier .txt avec la méthode copier + coller.Dans le café Internet, branchez simplement votre clé USB et copiez + collez les mots de passe dont vous avez besoin.Avec cette méthode simple, votre mot de passe reste à l'abri des enregistreurs de frappe.

Mots de passe à usage unique ou autorisation à 2 facteurs

Toutes les informations que vous envoyez au site Web (pas seulement les frappes) peuvent être compromises si vous ne contrôlez pas le matériel. Les données de tous les appareils que vous connectez (par exemple, une clé USB avec un fichier KeePass) peuvent être récupérées.

La seule bonne façon de se protéger contre cela est de s'assurer que tout ce que vous avez fait sur cet ordinateur était utile pour vous connecter une fois mais ce n'est pas suffisant pour se connecter à nouveau , car la prochaine fois aura besoin de quelque chose de différent. Cela signifie une autre authentification qu'un mot de passe réutilisable.

Une façon de faire est une liste de mots de passe à usage unique, mais qui a un support limité. Cependant, la plupart des services sensibles, en particulier les principaux fournisseurs de messagerie, permettent une autorisation à 2 facteurs - où, en plus du mot de passe, vous avez besoin d'un code généré par un appareil que vous contrôlez ou, par exemple, d'un SMS sur votre numéro de téléphone. C'est un moyen raisonnable de se protéger contre les enregistreurs de frappe, car la capture de toutes les informations de votre session actuelle ne permettra pas à l'attaquant de se connecter une seconde fois à moins qu'il ne vole l'appareil ou le numéro de téléphone requis.

Ce que vous avez suggéré est probablement la meilleure façon de saisir votre mot de passe. Le keylogger sera généralement interprété par un humain et si votre mot de passe n'a pas de sens en lui-même (comme l'a souligné un autre utilisateur), mais vous le trompez aussi. Cela rendra difficile de deviner votre mot de passe. Je ferais la même chose avec mon nom d'utilisateur.

Toutes les frappes enregistrées par un keylogger sont saisies. Si vous utilisez un logiciel ou que votre ordinateur se souvient de vos mots de passe, ils ne seront pas capturés.