Question:
Moyen sécurisé de se connecter à un site Web sur l'ordinateur de quelqu'un d'autre
today
2018-11-29 22:44:30 UTC
view on stackexchange narkive permalink

Supposons que je me trouve dans une situation où je suis obligé de me connecter à mon compte en utilisant l'ordinateur de quelqu'un d'autre . Existe-t-il un moyen sécurisé de le faire afin que je sois sûr que mes informations de connexion (c'est-à-dire le mot de passe) ne sont enregistrées par aucun moyen (par exemple, l'enregistrement des touches)? Ou si c'est impossible, quelles sont les façons au moins d'atténuer les risques?

Bien que lié, mais notez que c'est un peu différent de cette question puisque je suis ne pas utiliser mon propre ordinateur pour me connecter.

Pouvez-vous créer une machine virtuelle sur leur box?
@DarkMatter Malheureusement, non.Je n'ai pas le droit de faire ça.Même si je suis autorisé, je suppose que cela prendrait un certain temps (> 15 minutes) pour le faire et ils n'ont pas assez de patience :) Cependant, je suis intéressé de savoir comment cela aide.Veuillez l'inclure comme réponse si vous le souhaitez.
tout dépend de la façon dont ils surveillent votre activité ... fonctionner à l'intérieur de votre propre VM propre sur leur boîte (en utilisant un OSK propre) contournera un certain nombre de façons dont ils pourraient surveiller votre activité.En outre, vous pouvez également supprimer la VM par la suite pour supprimer davantage les preuves de vos activités.En fin de compte, s'ils possèdent le matériel en théorie, il n'y a aucun moyen d'être à l'épreuve des balles (2FA aide certains à atténuer les ramifications de leur surveillance)
Un OS en direct (démarré via USB ou DVD) est probablement plus pratique.Cependant, cela ne vous protégera pas des keyloggers matériels par exemple.La meilleure solution semble être ce que Cowthulhu a suggéré dans la réponse, 2FA, lorsqu'elle est disponible.Peut-être aussi changer le mot de passe et forcer la déconnexion sur tous les appareils une fois que vous êtes de retour à la maison sur votre ordinateur, si le service le permet.Cela dépend aussi en grande partie de la connaissance et de la détermination de votre «ennemi».
Une option simple est une fois que vous avez fini d'utiliser votre téléphone pour changer votre mot de passe.Dans le passé, certains services avaient la capacité de générer un mot de passe de connexion à usage unique à partir de votre téléphone, mais ceux-ci semblent être tombés en disgrâce, probablement avec 2FA à leur place.
Avec un mot de passe
Je viens de penser à utiliser un gestionnaire de mots de passe, tel que lastPass, ce qui est génial, comme une atténuation supplémentaire - les enregistreurs de frappe ne fonctionneront pas contre lui, pas plus que les scanners de presse-papiers, les enregistreurs d'écran ... Mais maintenant, le mot de passe critique n'est pas pour leservice auquel vous souhaitez accéder, il protège le gestionnaire de mots de passe à la place.Cependant, un gestionnaire de mots de passe non basé sur le cloud comme keepass, vous pouvez au moins supprimer la clé USB ou le disque avec la base de données activée - mais si vous êtes vraiment paranoïaque - qu'est-ce qui empêche la machine de faire une copie silencieusement pour se fissurer plus tard?
N'oubliez pas: *** Une fois que vous avez perdu le contrôle physique de l'appareil, tous les paris sont ouverts. ***
@DarkMatter: comment vous assurer que les frappes envoyées à la machine virtuelle ne sont pas enregistrées?
@el.pescado vous ne pouvez pas être sûr.Cela dépend de la façon dont ils surveillent, mais je pense que la plus petite surface d'attaque pour ce scénario serait un OSK dans la machine virtuelle.
Vous pouvez utiliser la protection d'application d'Edge (s'ils ont une version plus récente de Windows 10) qui démarre une toute nouvelle machine virtuelle en particulier pour cette session Edge, qui une fois fermée en théorie ne laisse aucune trace.Bien sûr, vous auriez toujours le problème des frappes et des captures d'écran.
Treize réponses:
#1
+119
Cowthulhu
2018-11-29 22:55:12 UTC
view on stackexchange narkive permalink

C'est une question intéressante!

La règle de base est que si quelqu'un d'autre a le contrôle de l'appareil (et qu'il est suffisamment déterminé), il sera toujours en mesure de surveiller et de modifier tous les vos actions sur l'appareil.

Nous pouvons (dans une certaine mesure) contourner ce problème! L'authentification à deux facteurs peut être utilisée pour garantir que même si quelqu'un possède votre mot de passe, il ne peut pas accéder à votre compte sans avoir également accès à un appareil distinct (que vous possédez et que vous contrôlez).

Gardez à l'esprit que une fois que vous vous connectez, l'ordinateur a en fin de compte le contrôle de votre interaction avec le site Web et, par conséquent, il pourrait voir de manière triviale tout ce que vous faites sur le site et même modifier vos demandes sur le site (y compris ne pas vous déconnecter correctement lorsque vous êtes fait, et éventuellement modifier vos informations de connexion pour vous exclure de votre propre compte).

Tout dépend de votre inquiétude à l'idée d'être attaqué - si vous vous connectez simplement à Facebook sur l'ordinateur d'un ami, vous pouvez probablement être sûr que lorsque vous cliquez sur "Déconnexion", cela vous déconnecte. Si vous vous connectez à quelque chose de vraiment important, cependant, vous voudrez peut-être vous en tenir aux appareils que vous contrôlez.

De plus, tenez compte de ce qui suit, via l'utilisateur TemporalWolf

Certains sites Web permettent la génération de mots de passe à usage unique à usage unique qui évite toute sorte de journalisation de mot de passe ... comme vous l'avez mentionné, cela ne les empêche pas de se faufiler avec le maintenant session authentifiée.

"Vous pouvez probablement être sûr que lorsque vous appuyez sur" Déconnexion ", cela vous déconnecte." Sauf si votre ami a involontairement un logiciel malveillant sur son ordinateur.
Comme cela signifie que quelqu'un d'autre ayant le contrôle d'un appareil garantit qu'il sera toujours en mesure de surveiller les actions qui s'y déroulent, c'est la seule bonne réponse.
@NotThatGuy Je pense que si vous soumettez une demande de modification?
Le problème avec 2FA est que si l'attaquant avait effectivement un keylogger et avait effectivement modifié les requêtes adressées au (x) site (s) pour bloquer essentiellement une déconnexion, il serait alors en mesure de modifier le mot de passe de votre compte / les paramètres 2FA après avoir enregistré votre mot de passe lorsque vousconnecté. Je ne connais aucun service qui nécessite 2FA pour changer le mot de passe * une fois déjà authentifié *.C'est donc un dilemme intéressant.
C'est une bonne réponse.J'ajouterais que si l'OP est inquiet, il devrait ensuite surveiller son compte en utilisant un appareil qu'il contrôle, par exemple.lorsque vous êtes sur Facebook, vous pouvez voir une liste des appareils connectés, et vous pouvez même les forcer tous à se déconnecter / s'authentifier à nouveau.(Je ne sais pas si le site Web de contrôle de lancement de missiles SAC a la même fonctionnalité.)
+1 pour les mots de passe à usage unique.Avant l'omniprésence des réseaux de données mobiles et du wifi, j'imprimais toujours une feuille d'OTP à utiliser dans les cybercafés lors de voyages à l'étranger.
Cette réponse serait-elle meilleure si elle incluait l'utilisation d'une fenêtre de navigateur incognito et la désactivation des extensions pendant la durée de la session de connexion?Si je comprends bien, la navigation privée ne laissera pas de jeton d'authentification ni de données Web après la fermeture.
"Cependant, si vous entrez des codes de lancement de missiles, vous voudrez peut-être vous en tenir aux appareils que vous contrôlez."- ne sont-ils pas à peu près un exemple classique d'immunité aux attaques par rejeu?Vous ne pouvez pas lancer deux fois une guerre thermonucléaire mondiale.
@Qwertie's droit et vérifier votre compte depuis votre propre appareil plus tard (Facebook répertorie les sessions actives, ish) n'est pas paranoïaque
@ChrisCirefice: En l'occurrence, ma banque requiert 2FA après s'être authentifiée pour tout à l'exception de la lecture du solde du compte.Y compris, mais sans s'y limiter, le changement de mot de passe.Vous ne pouvez même pas ouvrir un ticket CS sans entrer dans un SMS-TAN (ce qui est amusant car en supposant que vous ayez des problèmes avec cela, il n'y a aucun moyen de contacter CS?).Besoin de virer une grosse somme d'argent?C'est 3 TAN à entrer pour vous.Un pour augmenter la limite de transaction, un pour la transaction et un pour restaurer la limite à la normale.C'est vraiment le seul service fonctionnant dans un tel mode paranoïa que je connaisse.
* "vous pouvez probablement être sûr que lorsque vous cliquez sur" Déconnexion ", cela vous déconnecte en fait." * Si j'essayais de vous attaquer pendant que vous utilisiez mon ordinateur, je m'assurerais * que * l'action "déconnexion" ne fonctionne pas.t travailler sur un site Web cible particulier ... tel que Facebook.
#2
+39
iBug
2018-11-30 09:28:00 UTC
view on stackexchange narkive permalink

Dans ma pratique, lorsque j'ai besoin d'une sécurité supplémentaire, je change généralement le mot de passe de mon téléphone (ou d'un autre appareil de confiance), puis je me connecte sur l'ordinateur non approuvé et une fois que tout est fait, je modifie mon mot de passe (si possible).

Cela repose sur le fait que le changement de mot de passe vous déconnecte partout, pour la plupart des sites Web. C'est plutôt pratique.

Alternativement, certains sites Web proposent un "contrôle de session" où vous pouvez forcer le détachement / la fin des sessions si vous le souhaitez.


Outre ce que j'ai dit ci-dessus, je J'ai également un SSD portable de 128 Go avec moi, formaté en GPT et dispose de 3 partitions: la partition système EFI, un Ubuntu et un Windows To Go.

Bien que la sécurité logicielle ne soit pas ma préoccupation lors de la création de ce SSD portable, c'est sans aucun doute un bon gadget à avoir pour cela. Théoriquement et pratiquement, l'exécution de systèmes d'exploitation sur de tels éléments de stockage fabriqués par vos soins fournit un environnement logiciel entièrement fiable et peut éliminer à 100% tout thread logiciel sur la machine étrangère.

Comme d'autres l'ont répondu, ces gadgets sont généralement ne sont pas efficaces contre les intrusions matérielles, par exemple un enregistreur de frappe (à moins que certains stupides nécessitent des pilotes pour fonctionner, alors vous pouvez LOL). Pour ces choses, il vaut mieux les vérifier en regardant les ports matériels. S'il y a quelque chose de malveillant dans la caisse, c'est que vous n'avez pas de chance.

Mais encore une fois, c'est une question interpersonnelle. Si vous vous connectez sur l'ordinateur de votre ami de confiance et que l'ami n'est pas un technicien, vous n'avez probablement pas besoin de plus d'actions que de lancer le navigateur en mode incognito ou InPrivate (Internet Explorer).

C'est une bonne idée, qui ne nécessite ni connaissances ni outils spéciaux, et assure une sécurité suffisante.
Avoir un SSD portable est sûrement une bonne idée, mais en regardant de l'autre côté, je ne laisserais jamais quelqu'un démarrer mon ordinateur avec son propre système d'exploitation.
@martinstoeckli Oui, mais c'est le contraire de cette question.
Je suggérerais de continuer à utiliser MBR car tout le monde n'a pas encore GPT, mais une bonne idée quand même.
@iBug Bonne solution, merci.Cependant, «Si vous vous connectez sur l'ordinateur de votre ** ami de confiance ** ...», est-ce que confiance fait référence à l'ami ou à l'ordinateur de l'ami?Puisque je peux faire confiance à mon ami mais pas à son ordinateur.
@today qui dépend de vous
"pour la plupart des sites Web" - J'aurais aimé que ce soit vrai, mais je ne suis pas sûr que ce soit en dehors des sites à fort trafic.
@MichaelMior Oui, c'est un autre problème de "dépendance".Mais d'après ce que j'ai vu, tous les sites Web m'ont déconnecté partout (terminer toutes les sessions) lorsque je change de mot de passe.
* «L'exécution de systèmes d'exploitation sur de tels éléments de stockage fabriqués par vous-même fournit un environnement logiciel entièrement fiable et peut éliminer à 100% tout thread logiciel sur la machine étrangère» * ... à l'exception d'un rootkit de micrologiciel.
#3
+24
daviewales
2018-11-30 13:00:32 UTC
view on stackexchange narkive permalink

Si vous rencontrez régulièrement cette situation, essayez ce qui suit:

  1. Créez une clé USB active Tails. Tails est un système d'exploitation Linux conçu pour fonctionner sur une clé USB, qui peut être démarrée sur la plupart des ordinateurs. L'utilisation de Tails signifie que vous n'avez pas à vous soucier des logiciels installés par l'ordinateur hostile. Parce que vous le contournez complètement du démarrage.

  2. Utilisez le clavier à l'écran. Vous devriez le couvrir avec votre main pendant que vous tapez, pour empêcher quiconque d'observer. Cela se défend contre les enregistreurs de frappe basés sur le matériel. Notez que vous n'avez pas à vous soucier des logiciels d'enregistrement d'écran, parce que vous exécutez Tails , ce qui signifie que vous avez un contrôle total sur tous les logiciels exécutés sur le système.

Edit:

Comme @ Xen2050 mentionné dans les commentaires, vous pouvez également y parvenir avec d'autres systèmes d'exploitation qui peuvent être plus conviviaux. Par exemple, voici les instructions pour créer une clé USB Ubuntu Linux sous Windows, Mac ou Ubuntu. Et voici les instructions pour accéder au clavier à l'écran sur Ubuntu.

Faiblesses potentielles de cette méthode:

Cette méthode est vulnérable aux éléments suivants:

  • Enregistrement d'écran basé sur le matériel. Il est possible d'insérer un appareil entre l'ordinateur et l'écran qui enregistrera tout ce qui est envoyé à l'écran. Par exemple, celui-ci. Pour vous protéger contre cela, inspectez le câble et assurez-vous qu'il n'y a aucun périphérique entre l'ordinateur et l'écran. Notez cependant qu'il est possible d'installer des dispositifs d'enregistrement d'écran internes qui seraient beaucoup plus difficiles à détecter. Si vous soupçonnez cela, vous pourrez peut-être les contourner en débranchant l'écran de l'arrière de l'ordinateur et en le reconnectant à un autre port.
  • Micrologiciel, BIOS, rootkit malveillants, etc. Il s'agit probablement de la vulnérabilité la plus difficile à combattre. Si vous pensez que l'ordinateur que vous utilisez possède un micrologiciel malveillant, ne l'utilisez pas! Trouvez un autre moyen de vous connecter au site Web ou ne vous y connectez pas.
Pour le matériel inconnu, et comme vous ne semblez pas avoir besoin des propriétés réseau de TAILS, utiliser une distribution plus conviviale et amorçable comme Mint ou Ubuntu ou une autre version adaptée aux débutants pourrait être beaucoup plus efficace;TAILS n'a peut-être pas autant de chance de démarrer sur de «nouveaux» appareils inconnus
@Xen2050 Windows To Go est également une bonne alternative!
Bon point @Xen2050
Sous «Enregistrement basé sur le matériel», vous pouvez en fait mentionner un enregistreur de frappe basé sur le matériel qui peut être intégré au clavier lui-même.Cela semble plus probable si la personne qui possède l'ordinateur tente de voler les mots de passe du PO.
-1
@Xen2050 Non.Windows To Go n'est légalement disponible que dans la version Entreprise et doit être légalement créé à partir d'une autre édition Entreprise de Windows en cours d'exécution.Cependant, les solutions de contournement sont partout sur Internet.
"* L'utilisation du clavier à l'écran se défend contre les enregistreurs de frappe basés sur le matériel *" - à moins qu'ils n'incluent un enregistreur de souris (pour les coordonnées de clic, etc.) :-)
Vous pouvez simplement le faire avec MacOS.Maintenez l'option enfoncée pendant que vous démarrez, elle répertorie tous les lecteurs amorçables, y compris tous les lecteurs USB connectés.Mac ne fait pas la distinction entre les disques SATA et USB et les disques Lightning concernant la capacité de démarrage.Je fais ça depuis 2003.
@Bergi Quelques défenses possibles contre les enregistreurs de souris: Déplacez le clavier à l'écran vers un emplacement aléatoire sur l'écran avant chaque pression de touche.Passez à une disposition de clavier aléatoire.Trouvez un clavier à l'écran qui brouille l'emplacement des touches.
«L'utilisation de Tails signifie que vous n'avez pas à vous soucier des logiciels que l'ordinateur hostile a pu installer. Parce que vous le contournez complètement du démarrage.»Vous ne le contournez que si la machine vous permet de le contourner.Cela peut être le comportement du matériel standard, mais cela dépend toujours du matériel pour ne pas être malveillant.
@Accumulation True.Pouvez-vous fournir des exemples spécifiques qui peuvent être ajoutés à la section «Faiblesses potentielles»?
@daviewales Même avec l'anti-keylogger / mouselogger, il y a toujours le problème d'un périphérique de capture graphique d'écran en temps réel (ou disons, par-dessus l'épaule).À ce stade, vous aurez besoin de «boutons de son» qui ne montrent rien d'autre que jouer un son (via un écouteur).Mais alors ils pourraient aussi enregistrer de l'audio ... le cycle est sans fin.
Je n'ai aucun exemple de quoi que ce soit à ma connaissance qui ait été mis en œuvre, mais il n'y a rien d'impossible physiquement dans la création d'un appareil qui lit une clé USB, émule en interne le logiciel sur l'USB, puis exécute en externe une attaque MITM.Autrement dit, l'appareil pourrait avoir une machine virtuelle interne exécutant le logiciel sur l'USB et effectuer une attaque MITM entre la machine virtuelle et l'utilisateur.
Les claviers à l'écran peuvent être lus en surfant sur l'épaule ou par une caméra.Un zoom de haute qualité peut voir votre écran à une distance trop éloignée pour être vue à l'œil nu.
@Criggie C'est vrai.C'est pourquoi vous devriez couvrir l'écran avec votre main.
#4
+17
Monty Harder
2018-11-30 03:40:04 UTC
view on stackexchange narkive permalink

Utiliser SQRL

Si un site Web prend en charge SQRL ( https://www.grc.com/sqrl/sqrl.htm), vous avez la possibilité de l’afficher un code QR dans le navigateur de l'ordinateur que vous laissez lire l'application SQRL de votre téléphone portable, et ainsi négocier l'authentification hors bande.

SQRL n'est pas encore largement adopté, mais ce cas d'utilisation précis a été conçu en Depuis le début. (L'autre cas d'utilisation principal est une application SQRL sur votre ordinateur fonctionnant de concert avec le navigateur). Dans aucun des cas, un mot de passe n'est transmis; SQRL utilise la technologie de clé publique / privée Elliptic Curve pour signer un nonce présenté par le serveur pour prouver que l'utilisateur possède la clé privée associée à la clé publique stockée sur le serveur dans les informations de compte de l'utilisateur.

EDIT: Parce que si peu de sites prennent en charge SQRL, ce n'est probablement pas une bonne réponse à partir de novembre / décembre 2018, mais cela pourrait être une bonne réponse à l'avenir. Je ne pense pas qu'il existe un moyen sécurisé de se connecter à un site Web sur un ordinateur sous le contrôle de quelqu'un d'autre (sur lequel un enregistreur de clés / clics peut être installé), ce qui était l'une des raisons pour lesquelles SQRL était créé en premier lieu. L'approche de connexion hors bande, qui ne repose pas sur l'ordinateur éventuellement compromis pour préserver un secret comme un mot de passe, qu'il s'agisse de la forme spécifique prise par le protocole SQRL ou d'un schéma concurrent utilisant la même idée générale, est un élément essentiel de toute bonne réponse.

C'est une méthode très intéressante!Je n'étais pas du tout au courant.Merci de l'avoir mentionné.
Le concept est vraiment intéressant, bien qu'il puisse nécessiter un (plus) examen par les pairs et des tests d'utilisabilité dans la pratique.Quoi qu'il en soit, cette solution n'est pas pratique aujourd'hui, et l'auteur de la question semblait se poser principalement en tant qu'utilisateur et non en tant que développeur.Essayez d'utiliser cette méthode avec Google, Amazon ou Facebook dès aujourd'hui.
Malheureusement, la question ne précise pas ce que signifie «mon compte» - sur votre propre site Web?Sur Facebook?C'est une différence car dans l'un, vous contrôlez le mécanisme de connexion et dans l'autre, vous ne le contrôlez pas.
https://security.blogoverflow.com/2013/10/debunking-sqrl/ - Une solution bien conçue comme U2F est probablement meilleure que ce que Steve Gibson (qui est en grande partie une manivelle) a réussi à faire tout seul.
Qu'en est-il de quelque chose comme l'application de bureau WhatsApp, où vous vous connectez en scannant un code QR et pouvez vous déconnecter de votre smartphone?
Alors que SQRL serait en effet une solution décente à ce problème (à peu près dans la même mesure que U2F), je ne pense pas que cette réponse soit très utile.FIDO n'est pas largement pris en charge et n'est donc pas une solution viable pour les utilisateurs dans ~ 99% des cas.
Est-ce ainsi que la connexion avec WhatsApp sur le bureau fonctionne?
** Une note d'un mod: ** SQRL n'a pas eu la meilleure réputation depuis sa sortie.Nous avons demandé aux membres d'inspecter les documents d'architecture lors de leur première publication et de les trouver insuffisants.Mais cela fait 5 ans et nous savons que les développeurs ont apporté des changements suite aux critiques, mais nous ne pouvons pas trouver de critiques récentes.Donc, * avertissement emptor * avec SQRL.Ce que l'on sait, c'est qu'il existe des options plus largement utilisées et testées.
Pour ceux qui disent "Gibson est une manivelle" ou que SQRL a une mauvaise réputation, tout ce que je peux dire, c'est que c'est une attaque _ad_hominem_.La plupart des objections que j'ai vues à l'égard de SQRL sont basées sur des idées fausses sur son fonctionnement, dans une certaine mesure en raison de la façon dont le projet SQRL s'est déroulé.L'idée de base a été annoncée, et en quelques jours, les gens qui n'aiment pas Gibson avaient décidé que c'était un protocole défectueux, bien qu'il n'ait même pas encore été formellement défini.
@vidarlo Les commentaires sur ce "démystification" font un excellent travail de démystification du démystification.Gibson n'a pas simplement enchaîné cela par lui-même.Il a eu l'idée de base, a créé un groupe de nouvelles et a commencé à en discuter avec d'autres, qui ont fait de leur mieux pour y percer des trous et aider à l'améliorer.[Divulgation: je suis l'une de ces personnes.J'étais l'un de ceux qui insistaient pour que les mécanismes de révocation et de remplacement de clé soient intégrés dans le protocole, et j'ai suggéré le changement de nom quand il est devenu évident que les gens se fixaient sur le code QR comme si c'était le tout, alors qu'en fait ce n'est qu'un modeutile.]
La raison pour laquelle c'est une réponse terrible n'a rien à voir avec les mérites de SQRL ou de son (ses) développeur (s), mais parce qu'elle suggère que l'utilisateur final a la possibilité de "simplement l'utiliser" s'il le souhaite.Ça ne marche pas comme ça.
@Beanluc C'est une situation de poule et d'oeuf.À moins que les utilisateurs n'indiquent le désir que les sites Web prennent en charge le protocole, ils ne le feront pas.Et les gens ne peuvent pas utiliser quelque chose qui n'est pas pris en charge.S'il y avait une bonne réponse largement acceptée, je n'aurais même pas publié cette réponse, mais la raison même pour laquelle la SQRL existe est qu'elle tente au moins de résoudre ce problème et d'autres problèmes.La vraie réponse est donc probablement qu'aucune bonne réponse n'est encore largement disponible, mais si les sites Web prennent en charge SQRL, cela pourrait changer dans un proche avenir.
SQLR ne résout pas le problème de l'ordinateur simulant une "déconnexion".Si vous cliquez sur "se déconnecter" du site et que le navigateur ne parvient pas intentionnellement à vous déconnecter, l'attaquant a toujours le contrôle de votre compte une fois que vous vous êtes éloigné.
@schroeder Je suis curieux de savoir ce que vous pensez de la "réputation" de SQRL puisqu'elle n'a pas encore été officiellement publiée.Il semble cependant que ce soit assez entièrement documenté sur GRC.com à ce stade.
@ChristopherSchultz Je me souviens de quelques discussions sur le groupe de nouvelles SQRL qui pourraient s'appliquer à votre scénario.Un site Web peut choisir d'exiger une authentification supplémentaire avant d'effectuer certaines opérations «de grande valeur», de la même manière que les systèmes de sécurité existants vous obligent à saisir à nouveau votre mot de passe lorsque vous le modifiez.Une banque peut demander à votre client SQRL de signer numériquement une chaîne comprenant la date, l'heure, le montant à payer et le nom du bénéficiaire avant d'autoriser une transaction par carte de crédit, même si vous étiez déjà "connecté" parsigner un nonce sans contenu.
@MontyHarder Oui, ce serait absolument la manière de faire les choses.Par exemple, sur Amazon.com, vous pouvez peut-être faire des achats et mettre des choses dans un panier, mais lorsqu'il est temps d'effectuer un paiement (avec un numéro de carte enregistré), vous devez vous authentifier de nouveau pour cette opération.Mais la plupart des sites ne vous mettent au défi qu'une seule fois lorsque vous vous connectez, puis vous êtes libre de faire tout ce que l'utilisateur est autorisé à faire sans autres vérifications.
#5
+5
Rozwel
2018-11-30 02:15:38 UTC
view on stackexchange narkive permalink

Il s'agit d'un PIA majeur, mais relativement sûr en ce qui concerne la protection de votre mot de passe. Surtout parce qu'il s'agit d'un PIA tel que personne n'est susceptible de rassembler ce qui est nécessaire pour le capturer. Ce qui signifie que la mise en garde concernant la sécurité par l'obscurité s'applique probablement ici ...

  1. Ouvrir l'éditeur de texte de votre choix.
  2. Tapez l'alphabet complet en majuscules et en minuscules.
  3. saisissez la gamme complète de nombres et de symboles disponibles.
  4. Copiez et collez lettre par lettre pour saisir votre mot de passe sur le formulaire Web.
  5. En tant que couche supplémentaire d'obfuscation, ne saisissez pas les lettres dans le même ordre que le mot de passe final

Je peux penser à quelques techniques où je pourrais être en mesure de capturer le mot de passe de quelqu'un en utilisant cette technique, mais aucune d'entre elles n'est ce que je considérerais comme facile ou simple.

Il convient également de noter que cette technique a été initialement suggérée comme contre-mesure par mon instructeur CEH. Ce n'est pas parfait, mais c'est une option semi-décente qui ne nécessite pas beaucoup de préparation préalable.

Un enregistreur d'écran prêt à l'emploi pourrait certainement contrer cela?
Solution intéressante, surtout que je vois qu'elle a été recommandée par votre moniteur CEH!En fait, je pensais à une telle solution avant de publier ça, mais j'ai pensé que c'était peut-être un peu bizarre!Bien sûr, comme @Draconis l'a mentionné, un enregistreur d'écran pourrait également être en mesure de contrer cela.
@Draconis n'avait probablement pas envisagé cette option, mais il y a de fortes chances que cela fonctionne.J'avais des doutes lorsque cela a été suggéré par l'instructeur, mais c'est mieux que rien et protège contre la plupart des enregistreurs de frappe.Mais si je voulais capturer les informations de connexion de quelqu'un pour un site Web, j'utiliserais une extension de navigateur ou un proxy pour enregistrer les données de publication.Rendre tout cela sans valeur ...
Un enregistreur de presse-papiers fonctionnerait très bien jusqu'à l'étape 5. La plupart des logiciels malveillants emballés que j'ai vus incluent un enregistreur de presse-papiers avec keylogger.
Il est intéressant de noter que le simple fait de taper le mot de passe aurait été plus sûr sur ma machine.Je n'ai pas de keylogger, mais j'ai un gestionnaire de presse-papiers qui, pour ma commodité, conserve l'historique de chaque copie effectuée.
@NathanGoings Ce n'est pas comme s'il y aurait autant de permutations.Vérifier chaque combinaison une par une semble trivial.
CEH est une sorte de blague parmi les professionnels de l'infosec.Si c'est recommandé par votre instructeur CEH, c'est juste une raison d'être sceptique.Quoi qu'il en soit, tout keylogger à moitié décent ne sera pas dupé par cela.
Vous pouvez combiner cela avec le démarrage à partir d'un live stick ubuntu (j'avais l'habitude d'en porter un dans la poche de ma veste, peut-être que je devrais reprendre l'habitude).Ensuite, vous n'avez qu'à vous soucier des keyloggers matériels et ceux-ci sont assez bien trompés par cela, surtout si vous obscurcissez également la longueur du mot de passe en copiant-collant un peu après avoir terminé.Ou est-ce que je manque un angle d'attaque ici?(Pas un professionnel infosec).Edit: Pour les angles d'attaque restants, voir la réponse de daviewales ci-dessous.
Cela protégerait uniquement contre les enregistreurs de frappe.Si j'étais le propriétaire de l'ordinateur, j'installerais des extensions JS dans tous les navigateurs qui enregistreraient et extrairaient tous les champs du formulaire, y compris le mot de passe.Facile et efficace.
Je pense que keypass a une option pour faire quelque chose comme ça - à utiliser lorsque la méthode standard de saisie du mot de passe ne fonctionne pas correctement.
#6
+5
Duncan X Simpson
2018-11-30 02:26:38 UTC
view on stackexchange narkive permalink

Il y a une chose que vous pouvez faire sur les sites qui l'autorisent (Google étant l'un d'entre eux): utilisez un facteur d'authentification "avoir", tel que TOTP ou une application mobile pour approuver les connexions. Vous n'êtes pas obligé d'utiliser 2FA - cela peut être votre seul facteur. Certains de mes serveurs non critiques sont configurés pour autoriser le mot de passe OU le totp, afin que je puisse me connecter avec l'un ou l'autre, sans avoir besoin des deux. Bien que, comme d'autres l'ont souligné, cela ne vous sécurise pas complètement (une fois que vous vous êtes connecté, l'attaquant peut désactiver l'entrée et faire ce qu'il veut maintenant que vous êtes connecté), cela empêche de divulguer des mots de passe.

Cela peut être limité à leur propre serveur où ils peuvent configurer la sécurité comme ils le souhaitent.Mais comment cela peut-il être utilisé lors de la connexion au site Web de la société X s'ils ne prennent toujours en charge que l'authentification à l'aide d'un nom d'utilisateur et d'un mot de passe simples?
@miroxlav Il ne peut pas.Mais comme je l'ai dit, au moins une grande entreprise la soutient.
#7
+4
MonkeyZeus
2018-11-30 20:01:16 UTC
view on stackexchange narkive permalink

La meilleure façon de vous protéger est de dire à la personne que vous n'êtes pas à l'aise de saisir votre mot de passe sur son ordinateur.

Si vous avez une cause probable ou une paranoïa générale, n'effectuez aucune action dangereuse.

Il est ridicule de s'attendre à détecter et / ou à atténuer complètement tous les modèles de menace en quelques secondes.


Quel est le modèle de menace de toute façon?

  • Ne faites-vous pas confiance à la personne?
  • Ne faites-vous pas confiance à l'ordinateur?
  • Essayez-vous d'empêcher son accès à partir du site Web auquel vous vous connectez?
  • Essayez-vous d'empêcher la découverte de votre mot de passe parce que vous le réutilisez pour une centaine d'autres services tels que les services bancaires personnels?
  • Essayez-vous simplement de trouver un moyen universel de ne pas être compromis malgré tout de quel ordinateur étranger que vous rencontrerez à l'avenir?
  • Essayez-vous d'empêcher l'enregistrement des détails de l'écran de post-connexion? Vous souhaiterez peut-être balayer la zone à la recherche d'appareils d'enregistrement vidéo cachés dans le plafond.
Je pense que le PO s'inquiète que les agents d'immigration étrangers lui demandent de montrer ses médias sociaux
#8
+4
Will Dereham
2018-12-01 16:12:01 UTC
view on stackexchange narkive permalink

Si vous devez vous connecter en utilisant l'ordinateur de quelqu'un d'autre, il n'y a pas de moyen sûr de savoir avec certitude s'il existe une forme quelconque de logiciel d'espionnage. Même s'il s'agit d'une personne en qui vous avez confiance, elle pourrait être infectée par un virus ou un appareil malveillant similaire, et il peut être difficile voire impossible de savoir s'il est infecté. Supposons toujours qu'une entité néfaste pourra toujours voir / accéder à tout ce qui se passe sur l'ordinateur. Voici quelques moyens d'essayer d'atténuer les risques.

Il n'y a aucun moyen de garantir que le système d'exploitation de la personne n'est pas compromis. Vous pouvez regarder les processus en cours, examiner les piles d'appels, les requêtes réseau ou quoi que ce soit, mais les logiciels espions peuvent être extrêmement bien déguisés. La meilleure solution possible est de démarrer à partir d'une clé USB en direct en utilisant une distribution Linux telle qu'Ubuntu, Puppy Linux ou Kali Linux. Cela signifie que vous devez avoir le contrôle total du logiciel exécuté sur l'ordinateur, bien qu'un pirate informatique déterminé puisse insérer un code malveillant dans le BIOS ou le chargeur de démarrage de l'ordinateur, modifiant le code réel du système d'exploitation.

Atténuation des vulnérabilités matérielles

  • Vérifiez le câble entre l'ordinateur et l'écran. Un appareil peut être inséré entre eux pour permettre à un pirate de voir la sortie d'affichage.
  • Évitez d'utiliser un clavier ou une souris sans fil. Le signal peut être intercepté entre l'émetteur et le récepteur, exposant les frappes et les mouvements de la souris, même via un périphérique séparé.
  • Branchez tous les périphériques USB directement sur la carte mère. N'utilisez pas de slot PCIe, car le périphérique pourrait stocker / transmettre des frappes / commandes. Il en va de même pour les connecteurs du panneau avant.
  • Utilisez un autre clavier, si possible. Les appareils peuvent prendre les sons des touches individuelles pressées pour déchiffrer de quelle touche il s'agissait. Débranchez tous les microphones connectés à l'ordinateur, au cas où.
  • Vérifiez si des périphériques PCIe ou port série supplémentaires sont connectés. Assurez-vous que seuls les périphériques requis sont branchés, juste au cas où.

Méthodes logicielles pour réduire le risque

  • Assurez-vous de vous connecter à un réseau WiFi sécurisé, ou Ethernet, si vous savez qu'il est sûr. Il est probablement préférable d'utiliser les données mobiles et un point d'accès mobile, si possible, afin de ne pas avoir à compter sur leur connexion Internet. Utilisez également un câble USB, si possible, afin de ne pas courir le risque qu'une connexion WiFi alternative intercepte le signal à la place.
  • Utilisez SSL. C'est évident, mais vous devez vous assurer que l'autorité de certification est celle que vous vous attendez à voir, car il est possible pour une entité d'insérer un certificat auto-signé dans la chaîne.

La dernière chose est que vous devriez, si possible, changer temporairement votre mot de passe (peut-être en utilisant votre téléphone) pendant que vous vous connectez à l'aide de cet ordinateur, puis le modifier à nouveau par la suite, donc si le mot de passe est compromis, il ne sera pas utilisable après sa modification. retour.

#9
+2
xmp125a
2018-12-04 00:32:57 UTC
view on stackexchange narkive permalink

Vous ne spécifiez pas si vous devez vous connecter via l'ordinateur de quelqu'un car vous:

  1. Vous avez besoin de son système d'exploitation / logiciel, par exemple vous configurez / réparez l'ordinateur de quelqu'un et vous devez récupérer des données sur votre serveur privé.
  2. Besoin de son matériel (par exemple, vous êtes autorisé à accéder au réseau en fonction de son adresse MAC ou d'autres facteurs qui n'existent que sur le machine que vous souhaitez utiliser.
  3. Besoin de son réseau (par exemple, vous devez être à l'intérieur de son LAN, mais avec votre propre appareil)
  4. Vous n'avez pas du tout besoin de son réseau ou de son appareil, il est simplement pratique pour vous d'utiliser leur ordinateur.

La manière optimale de répondre à ces préoccupations est, dans l'ordre inverse:

Cas 4. Apportez votre ordinateur portable / téléphone / tablette et utilisez la connexion 3G / 4G pour accéder à Internet. Terminé.

Cas 3. Apportez votre ordinateur portable, sécurisez-le correctement (antivirus, pare-feu, etc.), branchez-le à leur réseau. Terminé.

Cas 2. Inspectez leur matériel pour tout enregistreur matériel, démarrez votre propre système d'exploitation (une sorte de distribution en direct). Si vous avez manqué l'enregistreur matériel, vous avez le problème.

Cas 1. Aide également avec le cas 2.

  • a) Nécessite un accès administrateur / root.

  • b) Activez le pare-feu, réglez-le en mode paranoïaque strict, autorisez uniquement les connexions à votre serveur cible.

  • c) Changez votre mot de passe d'accès via votre téléphone 3G / 4G en quelque chose de temporaire,

  • d) Accédez au serveur, utiliser 2FA

  • e) supprimer les traces (cookies, tout fichier temporaire pouvant masquer les identifiants, identifiants uniques, tc)

  • f) Rétablissez le mot de passe via votre téléphone 3G / 4G

  • g) Remettez le pare-feu à l'état normal.

Maintenant, le pare-feu peut être compromis également par un rootkit, donc pour plus de paranoïa, ou dans le cas où vous n'obtiendrez pas l'accès Admin / root :

  • a) Construisez votre routeur personnalisé en utilisant Raspberry Pi ou un appareil similaire, ajoutez un port Ethernet supplémentaire à l'aide de l'adaptateur Ethernet2USB. (bien sûr, les professionnels vraiment soucieux de la sécurité auraient de toute façon Linux sur leur ordinateur portable, alors ajoutez simplement le port Ethernet2USB et continuez sans Raspberry.

  • b) Branchez leur ordinateur sur votre Raspberry, obtenez l'adresse MAC, clonez-la de l'autre côté (sortant).

  • c) Configurez un routage strict et un pare-feu sous Linux, autorisez uniquement l'accès à votre serveur et en acheminez un NIC vers un autre.

  • d) Configurez le reniflage MITM et installez votre certificat sur votre serveur sur leur machine. Votre certificat est le certificat MITM, le faux que vous avez généré!

  • e) Procédez comme décrit précédemment dans 1c) et sur.

  • f) Enregistrez tous les octets sanglants qui traversent votre mini-routeur afin de pouvoir les confronter s'ils essaient quelque chose de méchant.

Le raisonnement derrière cette suggestion est que l'ordinateur hôte ne dispose probablement pas de la suite complète d'outils pour attaquer votre compte. Keylogger enregistrera les clés de votre mot de passe temporaire, mais ne pourra pas transmettre les données au méchant assis dans l'autre pièce. Si c'est le cas et tente de pirater votre serveur, toute tentative de piratage sera consignée en texte brut, vous pouvez soit les confronter , soit annuler les dommages (ils ont changé le texte en clair, mais vous avez enregistré le changement! ). Notez que seul votre serveur sera disponible pour leur ordinateur dans le temps critique, donc soit leur ordinateur essaie de pirater en solo, soit rien ne se passera.

J'apprécierais des commentaires sur cette route, si j'ai peut-être manqué quelque chose.

#10
+1
R.. GitHub STOP HELPING ICE
2018-12-03 09:29:00 UTC
view on stackexchange narkive permalink

En théorie, si le site ne vous propose pas de meilleur moyen de le faire, il existe toujours un moyen: connectez-vous sur un appareil qui est sous votre contrôle, et transférez le cookie de session que vous recevez de cet appareil vers le non approuvé ordinateur. Cela permettra à l'ordinateur non approuvé d'effectuer toute opération que vous pouvez effectuer sur le site une fois connecté, mais à moins que le site n'ait une conception de sécurité fatalement mauvaise, cela ne permettra pas à l'ordinateur non approuvé de changer votre mot de passe, changer l'adresse e-mail associée au compte , ou effectuez d'autres opérations de reprise de compte.

Une fois que vous avez terminé, vous pouvez utiliser l'appareil de confiance que vous contrôlez pour déconnecter son cookie de session (que vous avez copié à partir de celui-ci) en y effectuant l'opération de déconnexion, ou effectuez une opération de "déconnexion de tous les appareils" si le site propose une telle fonctionnalité.

Notez que sous ce schéma, votre mot de passe n'est jamais entré sur l'ordinateur non fiable, et par conséquent il n'a aucun moyen d'enregistrement / capture il. Au mieux, il peut capturer le cookie de session, que vous invaliderez en vous déconnectant à l'aide de l'appareil de confiance une fois que vous aurez terminé.

#11
  0
Dmitry Grigoryev
2018-12-03 18:45:20 UTC
view on stackexchange narkive permalink

Si vous faites confiance à cette personne, allez-y et utilisez son ordinateur. Pensez à créer un profil de navigateur distinct que vous pouvez nettoyer après avoir terminé sans effacer les cookies / paramètres / quoi que ce soit de cette personne. Prenez note de toutes les pièces jointes que vous téléchargez afin de pouvoir les supprimer également. Ne vous contentez pas d'ouvrir les fichiers joints, sauf si vous voulez jouer au détective pour savoir lequel des emplacements "temporaires" possibles a été utilisé pour les stocker. Et évitez de manipuler des données sensibles qui ne sont pas liées à l'objectif de vous forcer à utiliser l'ordinateur de quelqu'un d'autre.

Si vous ne faites pas confiance à la personne, n'utilisez pas son ordinateur . Il n'y a aucun moyen de sécuriser à 100% un ordinateur inconnu, et encore moins sans faire des choses qui feront suspecter l'autre personne que vous essayez de le pirater. À ce stade, vous serez probablement refusé d'utiliser leur ordinateur de toute façon.

J'ai confiance en ma grand-mère.Je ne pense pas que son ordinateur soit propre.
#12
-1
CularBytes
2018-12-04 15:01:00 UTC
view on stackexchange narkive permalink

Bien qu'il y ait un certain nombre de bonnes et impressionnantes réponses, je pense que cette "réponse" radicale passe à côté:

Si vous êtes préoccupé par la sécurité, vous utilisez probablement aussi un gestionnaire de mots de passe. Je génère toujours un mot de passe aléatoire et très difficile. Sur d'autres ordinateurs, je n'ai probablement pas le logiciel ni le fichier dans lequel mes mots de passe sont stockés (j'utilise keepass) .J'ai ce fichier stocké dans une solution cloud, mais lors de la connexion, il nécessite également un fichier séparé que je n'ai que localement sur mes appareils de confiance.

Vous comprendrez peut-être les tracas que je dois endurer avant de me connecter sur l'autre appareil non approuvé. Ce qui m'empêche en fait de le faire en premier lieu.

Donc, si je suis obligé de me connecter: "Je ne connais pas mon mot de passe".

Vous pouvez avoir votre gestionnaire de mots de passe sur le téléphone et taper ce mot de passe sur un ordinateur.Nécessite plus d'étapes mais ce n'est pas impossible.
C'est une anti-réponse.Le principe est que l'utilisateur doit se connecter.
#13
-2
user192527
2018-11-30 13:03:29 UTC
view on stackexchange narkive permalink

Lorsque vous soupçonnez que le système est enregistré au clavier, vous devez être en mesure d'interrompre ce processus pour faire ce que vous demandez.

Cela peut être un processus visible - donc si c'est essentiel à la mission, essayez de le trouver traiter ou créer un autre compte utilisateur avec un terminal chiffré dans un bac à sable pour voir si vous pouvez éviter de vous connecter de cette façon - par exemple, Linux avec le dossier de départ chiffré & swap comme exemple.

Comment un processus sandbox ou un répertoire personnel chiffré vaincrait-il l'enregistrement de frappe?
J'ai suggéré d'interrompre le processus d'enregistrement de frappe - Si le processus surveillait un compte d'utilisateur et un autre compte était crypté - il pourrait obtenir le résultat souhaité de ne pas être connecté.Tenter cela dans un environnement en bac à sable plutôt que de le faire simplement réduit le risque au cas où ce ne serait pas le cas.
Si vous exécutez sous un autre utilisateur, il n'est pas nécessaire de chiffrer quoi que ce soit ou d'utiliser des sandbox.Pour Linux (puisque vous avez mentionné Linux), les utilisateurs individuels sont isolés les uns des autres et les keyloggers basés sur X11 ne fonctionneront pas.Cependant, si le matériel est contrôlé par une personne malveillante, même le cryptage et un terminal en bac à sable n'aideraient pas.
J'ai suggéré de tester l'idée dans un bac à sable.L'objectif principal est d'interrompre le keylogger si possible et sinon d'essayer de masquer en utilisant d'autres comptes, etc.
Malheureusement, le sandboxing n'isole pas le protocole X11.
Il est intéressant de noter que les dossiers de départ cryptés peuvent avoir des effets sur les clés ssh - ce que je n'ai découvert que récemment.
Il existe des enregistreurs de frappe matériels.Cette réponse suppose qu'il existe un «processus» à «interrompre», ce qui est totalement faux.Il peut atténuer un risque très spécifique, mais il ignore complètement d'autres risques graves.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...