web-dev-qa-db-ja.com

安全でないコンピューターからどのようにログインしますか?

あなたがサイバーカフェ、友人の家、または職場にいるときに、サイトにログインする必要があるが、コンピュータを信頼できないと思ったとします(たとえば、友人は技術に精通しておらず、彼のマシンを保護する方法がわからず、彼のPCにパスワードを収集するマルウェアが含まれている可能性があります)

このようなシナリオで、リスクを最小限に抑えるサイトにログインするにはどうすればよいでしょうか。

59
naw

すでにいくつかの非常に良い答え。これが私が最良のオプションだと思うものです。

  1. しないでください。
  2. しないでください。
  3. しないでください。信頼されていないマシンは何でもできます。ワンタイムパスワードでオンラインバンキングにログインし、マルウェアがすぐに電信送金を開始した場合はどうなりますか?
  4. (Thomas Porninによる)ワンタイムパスワードを持つシステムのみを使用してください。
  5. 2つ以上の要素認証(Nawごと)のシステムのみを使用します
  6. KeePassを2チャネルの自動タイプ難読化(Nawごと)と共に使用し、その後すぐに(可能であれば数分以内に)パスワードを変更します。

「申し訳ありませんが、パスワードはKeePassにしか保存せず、一緒に持っていません」のように言うのが良い方法だと思います。これは良いパスワードの実践についての議論にうまく導くことができます-そして、あなたは偏執的なお尻のように聞こえることなく、正しいことをすることについて何人かの人々を教育するのを助けました:)

34
scuzzy-delta

一般的な解決策は ワンタイムパスワード です。パスワードはエントリを1回だけ許可し、次のパスワードはそのパスワードから再計算できません。もちろん、これはいくつかのことを前提としています。

  • ユーザーがログオンしたいシステムは、ワンタイムパスワードをサポートしています(サポートしているWebサイトはほとんどありません)。
  • ユーザーは、使用する一連のワンタイムパスワードのリストを持っています。彼の財布の中の紙の上、または特定のOTP生成デバイス(例: 特別なスマートカード または彼のスマートフォンのアプリ)として。
  • 攻撃者はキーロガーでonlyであり、パスワードの後に​​onlyです。

通常、ユーザーがパスワードを入力する必要があるのは、機密データにアクセスしたいためです。ユーザーのコンピューターが敵対的である場合、そのデータは機密情報と見なされなくなります。したがって、賢明な答えは次のとおりです:しないでください。悪意のある可能性のあるコンピュータは使用しないでください。代わりに、独自のデバイスを使用してください。

31
Thomas Pornin

サイトに2要素認証がない場合、セキュリティで保護されていないPCからログインしません

このような状況に頻繁に直面する場合は、ライブUSBを携帯してください(Windows 8はUSB IIRCからも起動できるので、Ubuntuにこだわっていません)

その方法でリスクを軽減

21
Akash

あなたはしません。コンピュータに何が行われたのかわからないので、私は決してそうしません。私はいつもUSBでライブシステムを持っています。

13
Lucas Kauffman

キーロガーを阻止する機能 を備えているように見えるKeePassと呼ばれるアプリケーションがあります。ソフトウェアはUSBメモリ上にあり、コンピューターで使用できます。

2要素認証をサポートするGoogleおよびその他のサイトの場合、メインパスワードがログに記録された場合でも攻撃者が必要とするコードが存在するように、それを使用することが望ましいでしょう。 StackOverflowや他のOpenIDベースのサイトの場合、2要素認証(Google、Facebook、Verisign)を備えたOpenIDプロバイダーがいくつかあるようです。

ただし、これらのメソッドはログインを保護するだけであり、セッションのハイジャックの一種ではありません。

6
naw

起動可能なUSBフラッシュドライブまたはオプティカルディスクを使用して、 ライブLinuxディストリビューション をロードします。使いやすさと使いやすさのために、Ubuntuをお勧めしますが、米国の空軍は、特にこのようなユースケース向けに [〜#〜] lps [〜#〜] という独自のディストリビューションを開発してリリースしました。

Microsoft Windowsを好み、Enterpriseライセンスがある場合は、Windows To Goを試すことができます。

ハドウェアキーロガーをチェックする必要があります(マザーボードへのキーボードケーブルをたどり、両方の間に差し込まれているものを探します)。

PS/2 Hardware Keylogger

信頼できない公共のコンピュータを使用していたときに、壊れたパスワードを入力することでした。つまり、パスワードが「password」の場合、「Word」と入力してからマウスで最初に戻り、「pass」と入力します。キーがプレーンテキストとしてログに記録されている場合、通常はpassword[enter]を表示する代わりに、スパイはWord[left-click]pass[enter]を表示します。

質問の範囲より少し進んでいますが、 password manager を使用すると、より安全なパスワード(マスターパスワードを使用)を使用できるようになります。つまり、安全でないコンピューターに機密情報をあまり入力しません。 。その場合の最も弱い点はマスターパスワードであり、定期的に変更する必要があることに注意してください。

4
Alastair

提案されたすべてのソリューションにはいくつかの抜け穴があります:

1)2要素認証を使用しても、最終的にはログインしたままです。誰かがあなたに知られていない個人データ(銀行口座)のスクリーンショットをキャプチャする可能性があります。

2)USBライブスティックから起動する場合でも、誰かがPCの背面(または内部)にハードウェアキーロガーを設定している可能性があります。

2要素認証+ライブUSBスティックcould機密性の低いデータには問題ありませんが、おそらく面倒な価値はありません。

3
zakk

グーグルはクールなQRコード+スマートフォンソリューションを持っていましたが、どうやらそれは実験であり、 現在はクローズ です。

accounts.google.com/sesameそしてそれはあなたがあなたの携帯電話でスキャンできるQRコードを表示するでしょう。それからあなたはあなたの電話でログインすることができ、あなたのコンピュータでのセッションは認証されるでしょう。

疑わしいコンピューターに機密データを入力する必要はありませんでした。

彼らがなぜそれを閉鎖したのか分からない。しかし、Webサービスへの安全なログインの開発に興味がある場合は、それがアイデアになるかもしれません。

3
Dean Rather

最初にメモ帳を開き、次のように入力します。

1234567890
qwertyuiop
asdfghjkl
zxcvbnm

言うまでもなく、そうするのはかなり高速です。次に、<CTRL>+<C>および<CTRL>+<V>を使用して、パスワードフィールドのパスワードを作成します(うまくいけば、*****で空白にしてください)。

私は今、アマチュアの悪意のあるサイバーカフェの所有者が展開した可能性があるほとんどのキーロガーを阻止しました。画面キャプチャアプリで取得できるため、メモ帳自体で作成しないでください。

完璧とはほど遠い(他の回答を参照)が、少なくとも、何の準備もしていない入門レベルのソリューションがあります。

3

簡単な解決策:しないでください。 2要素認証のあるサイトにのみログインしてください。

2

私の実用的な解決策は、Linux Live on USBです。このため、私は本当にDebianのLive Helperが好きで、必要に応じてライブキーをカスタマイズできます。

私はこれを安全に保つ習慣があります:

  1. 私はneverを実行している信頼できないシステムでこのようなUSBキーを挿入しました!!!
  2. 私は常にpowerを30秒以上オフにしてから、不明なPCにキーを挿入します
  3. 最初のBIOSアクセスがあるかどうか完全にわからない場合は、もう一度電源をオフにします
  4. 何度も試した後、最初のBIOSにアクセスできるかどうか完全にわからない場合は、そうしません。
  5. 環境が明らかに敵意がある(ハードキーロガーやハードビデオロガーを保持している可能性がある)場合、私はそうしません。
  6. 私のキーのすべての機密データは暗号化され、起動時にパスワードを要求します(新しいバージョンは、永続的なファイルシステムの2番目のユーザーからマウントされた場合にのみパスを要求します)。
  7. 私はポケットにこれらのライブUSBキーのいくつかを保管しています。 (Linuxプロモーションの場合、私のものは1つだけですが、すべて信頼されていますtrusted
  8. 機密データを保持している古いUSBキー(小さすぎる、見栄えが悪い、速度が遅い)は物理的に破壊され、再利用されることはありません。
  9. 環境への配慮も重要です。 (背後にガラスはありませんが、できれば壁の背後にあるか、屋外にいて、周囲の全景を見ることができます)...

友達の何人かは私が偏執狂だと言っていますが、私はそうではありません!

2
F. Hauri

安全でないコンピューター(この場合は、パブリックアクセスが可能なPC)から接続する場合、リスク要因にはいくつかの種類があります。最も一般的なものは次のとおりです。

  • キーロガー:キーボードで押されたすべてのキーをログに記録し、これらのログをさまざまな場所に送信する特定のタイプのソフトウェア。
  • ネットワークスニッフィング:安全でないネットワーク、または監視モードがオンになっているルーターでは、リクエストとサーバーの応答を監視し、それらに到達すると変更できます。セッションハイジャックと中間者攻撃につながる(基準が満たされた特定の状況)。

このような脅威を回避してリスクを最小限に抑えるには、

  • キーロガーに対して、重要な資格情報のために仮想の画面上のキーボードを使用しようとします。
  • CA提供のSSLで安全なプロトコルを使用します。証明書は自由に提供できるため、証明書の所有者に注意を払い、CAによって登録されているかどうかに非常に重要であるため、これは重要です。
  • CookieとSciptsを無効にして、データのデジタル残留物を残さないようにします。 Cookieが必要な場合は、使用後に削除してください。
2
Alishex