я читал этот вопрос, когда я подумал: некоторые чрезвычайные ситуации требуют, чтобы вы входили в электронную почту или другие конфиденциальные сайты на общедоступных компьютерах в Интернете. Помните, что указывает:
Я думаю, что, возможно, он-лайн сервис будет соответствовать этим требованиям ...
Вы не можете. Первым требованием будет двухфакторная аутентификация с одноразовыми паролями (OTP?), Поскольку ваши нажатия клавиш и процедура входа в систему, несомненно, будут записаны. Это затруднит злоумышленнику возможность повторно использовать что-либо в другой раз ...
... однако, даже если вы затем создадите зашифрованный туннель - конечно, нет ничего, что мешает сбрасывать всю информацию, которую вы проходите через него, поскольку вы не контролируете свою конечную точку.
Итак, пока вы защищаете только права доступа, конечно, это можно сделать прилично защищенным (хотя ничего никогда не безопасный). Но всю информацию, доступную вам во время этого сеанса, следует рассматривать как общедоступную собственность, поскольку вы не можете контролировать ее распространение, когда клиент скомпрометирован.
Это может быть аппаратное ведение журнала, поэтому даже если вы взломаете терминал и загрузите свою собственную операционную систему, вы не узнаете, безопасно ли это ^^
Я сомневаюсь, что вы можете гарантировать безопасность с общедоступного терминала. Если ваши конфиденциальные службы доступны через HTTPS, это даст вам некоторую защиту от прослушивания линии или прокси-серверов между рабочей станцией и сервером. Однако нет никакой гарантии, что на самом компьютере не будет записывающего приложения, такого как клавиатурный шпион или программное обеспечение для записи на рабочем столе, отслеживающее все, что вы делаете. Если возможно, загрузите свою собственную микро-ОС с портативного запоминающего устройства USB и работайте с ним, а также подключитесь к серверу через безопасную VPN или другое зашифрованное соединение. Однако даже это не является надежным, поскольку аппаратный регистратор ключей потенциально может быть установлен на клавиатуре или соединительном кабеле (воры даже проделали подобное с банкоматами, чтобы получить магнитную полосу вашей карты и ваш пин-код).
Во многом это зависит от того, насколько вы доверяете общедоступной машине. Кто им управляет? Если машина или сеть находятся под контролем кого-то или организации, которой вы не доверяете в компетентном решении вопросов конфиденциальности, у вас не так много вариантов, чтобы ОБЕСПЕЧИТЬ свою конфиденциальность. На машине могут быть кейлоггеры (аппаратные или программные) или другое программное обеспечение для мониторинга.
Если вы должны это сделать, или если вас больше всего беспокоят люди, которые могут использовать общедоступный терминал после вас и имеют аналогичные возможности доступа, я бы пошел следующим образом:
Я установил Java-апплет SSH на ящики Linux, к которым мне нужно перейти, и skey аутентификация (одноразовый ключ) включена как для входа, так и для sudo со списком не менее 50 действующих ключей в моем кармане (без каких-либо указаний, которые могли бы помочь вору определить, для какого ящика эти ключи действительны).
Для доступа к своей электронной почте я использую Emacs с участием Gnus с этой консоли.
Эта установка работает для меня, так как в большинстве установок Windows предустановлена какая-то Java, а с приложением SSH я работаю даже на старых версиях Java.
Я знаю, что так общение, которое я делаю во время работы, не сейф. Я в первую очередь пытаюсь защитить от попыток входа в систему и атак повторного воспроизведения, используя одноразовые пароли, предлагаемые skey.
Сначала выполните быстрое сканирование оборудования физически (найдите оборудование для кейлоггера на разъеме / кабеле клавиатуры). Для настоящих параноиков возьмите с собой собственную клавиатуру. (поскольку внутри клавиатуры могут присутствовать модификации кейлоггеров.)
Загрузитесь в свою предварительно подготовленную ОС из флешка или cd. (предотвращает воздействие на вас любого вредоносного или шпионского ПО, уже присутствующего на машине). ОС на носителе только для чтения может быть более безопасной.
Даже после всего этого вы все равно не можете доверять машине, поскольку она все еще возможно присутствие руткитов.
На этом этапе вы можете запустить ssh или vpn-соединение с вашим домашним компьютером / сетью и работать удаленно. Просто имейте в виду, что любое согласование ключей может быть перехвачено человеком в середине атаки. Вы можете положить свой ключ ssh на носителе только для чтения вместе с ОС.
Вы никогда не сможете по-настоящему доверять взаимодействию с общедоступной машиной, какие бы меры вы ни принимали.
Всегда помните о возможностях оборудования, регистрирующего ваши нажатия клавиш, злоумышленников посередине в сети и т. Д.
Как обычно бывает, когда дело касается безопасности, вы обеспечиваете слой за слоем защиты и надеетесь, что ваши уровни толще, чем решимость и изобретательность любого потенциального злоумышленника, чтобы скомпрометировать вас.
Вы можете либо пойти очень далеко со всем этим, либо решить, что достаточно простого ssh-туннеля с вашими ключами на USB-накопителе. Риск будет всегда, и насколько далеко вы готовы зайти, чтобы уменьшить этот риск, в конечном итоге зависит от вас.
(Лично я бы не стал прикасаться к общедоступному компьютеру, чтобы сделать что-нибудь важное с десятифутовым шестом, какие бы меры я ни принимал.)
Я слышал, что люди предлагают копировать пароли или другую конфиденциальную информацию по одному символу с помощью мыши. Цель состоит в том, чтобы обмануть ключевые снифферы, так как основные (вероятно, большинство keyniffers) не будут искать копирование / вставку мыши.
И вы всегда можете попытаться скопировать / вставить нечувствительные символы в другое окно или смешать копирование / вставку с помощью мыши с нажатиями клавиш, чтобы еще больше запутать изображение.
Попробовав это во время заграничных путешествий, это довольно быстро разочаровывает! :)
Вот совершенно другой способ обойти это - виртуальный рабочий стол на базе Интернета, где вы получаете кучу виртуализированных настольных приложений, таких как электронная почта, браузер и т. Д., Но на клиентской машине ничего не затрагивается, это довольно безопасно и часто бесплатно. Я играл с g.ho.st
Мы используем коммерческий сервис iPass. Основная причина, по которой мы выбрали их, была доступность почти во всем мире. Они действительно используют кулон для создания пароля с безопасным словом (брелок для ключей). Хотя ничто не является полностью безопасным, это отпугнет 99,99% людей, пытающихся украсть пароли или логины.
Можно просматривать полуанонимно и через SSL с помощью прокси-веб-службы, такой как старый nph-proxy.cgi сценарий. Поместите это на веб-хостинг и получите доступ по HTTPS. Это также поможет обойти сетевые фильтры содержимого. nph-proxy.cgi может быть медленным и не обрабатывает встроенные вещи, такие как flash, но обычно выполняет свою работу, когда нет другого метода.
Также остерегайтесь клавиатурных шпионов при использовании общедоступных компьютеров. Прочтите еще несколько советов по безопасному использованию общедоступных компьютеров в публикации ниже: http://www.etechplanet.com/post/2010/06/27/Using-a-Public-Computer-Safely-Information-Security-Awareness.aspx