web-dev-qa-db-fra.com

Comment éviter que mon mot de passe ne soit récupéré par les enregistreurs de frappe des cybercafés?

Pendant les voyages, en particulier dans les pays pauvres, vous devrez parfois utiliser Internet dans un cybercafé et vous ne pouvez vraiment pas être sûr que quelqu'un ait installé quoi que ce soit pour écouter vos frappes.

On m'a dit cette méthode, bien que je ne sois pas sûr que cela fonctionne, mais si vous êtes dans un cybercafé, une façon de tromper les enregistreurs de frappe est d'éviter de taper votre mot de passe en une seule fois. Au lieu de cela, tapez une partie de votre mot de passe, puis insérez des lettres aléatoires, puis utilisez votre souris pour mettre en surbrillance les lettres aléatoires, puis remplacez-les. Cela trompe soi-disant les enregistreurs de frappe en pensant que votre mot de passe contient ces lettres aléatoires.

Je me demande donc, est-ce que cela fonctionne réellement? Y a-t-il d'autres meilleures méthodes que je pourrais utiliser?

70
stickman

si vous ne faites pas confiance au support: n'entrez pas d'informations sensibles. taper votre mot de passe d'une manière obscure, c'est juste que: la sécurité par l'obscurité , qui ne fonctionne jamais.

autre que cela: vous pourriez être en mesure d'atteindre un certain niveau de sécurité dans ces endroits ouverts si le mot de passe que vous avez entré change pour la prochaine connexion, voir mots de passe à usage unique . (Remarque: `` l'authentification à 2 facteurs est un schéma hybride où vous connaissez déjà la moitié du mot de passe (qui reste constant/statique), puis vous obtenez l'autre moitié par sms ou par tout autre moyen; cette seconde moitié est une- mot de passe)

49
akira

Si vous ne pouvez pas être sûr que vos frappes ne sont pas capturées (et vous ne pouvez pas), utilisez une sorte d'authentification à deux facteurs.

Assurez-vous que votre mot de passe n'est pas utile en soi!

La seule façon d'être sûr que vos données sont sécurisées est d'éviter de saisir "tout" dans la machine suspecte.


Étant donné que les enregistreurs de frappe sont votre seule préoccupation (c'est-à-dire aucun logiciel de suivi sophistiqué):

Par exemple, vous pouvez transporter une clé USB avec tous vos mots de passe importants dans un conteneur KeePass , avec KeePass Portable. Une fois que vous avez ouvert KeePass Portable, utilisez un mot de passe principal pour le conteneur KeePass. Oui, vous risquez qu'il soit capturé, mais pour déverrouiller le conteneur, vous pouvez également configurer KeePass pour utiliser également un fichier de clés. Sans ce fichier de clés, le mot de passe principal est inutile. Ce fichier clé peut être stocké sur la même clé USB ou sur une autre que vous transportez séparément de la clé USB d'origine.

Une fois que vous avez ouvert votre conteneur KeePass, vous pouvez utiliser les fonctionnalités de KeePass qui vous permettent de saisir des mots de passe sans taper :

  • KeePass peut se minimiser et taper les informations de l'entrée actuellement sélectionnée dans les boîtes de dialogue, les formulaires Web, etc. Bien sûr, la séquence de frappe est 100% personnalisable par l'utilisateur, lisez le fichier de documentation pour en savoir plus.
  • KeePass dispose d'un raccourci clavier global de type automatique. Lorsque KeePass s'exécute en arrière-plan (avec la base de données ouverte) et que vous appuyez sur la touche de raccourci, il recherche l'entrée correcte et exécute sa séquence de saisie automatique.

Cependant, cela ne trompe pas un enregistreur de frappe qui écoute le tampon du clavier. Un enregistreur de frappe intégré à la connexion du clavier serait cependant inutile.

Une meilleure alternative:

  • Tous les champs, titre, nom d'utilisateur, mot de passe, URL et notes peuvent être glissés et déposés dans d'autres fenêtres.

En faisant cela, vous éliminez le besoin de taper le mot de passe any à l'exception de votre mot de passe principal, que vous pouvez toujours "jeter" et changer si vous en avez besoin.

22
slhck

Je peux voir deux façons:

  1. Utilisez un peu solution de clavier virtuel . Vous pouvez taper votre mot de passe avec des clics de souris, cela évitera l'enregistreur de clavier (mais ne peut pas éviter l'enregistreur basé sur un clic de souris). Cependant, ce serait un niveau de sécurité.

  2. Vous devez simplement taper un mauvais mot de passe dans la boîte de mot de passe, le sélectionner avec la souris (remplacer les mauvaises clés par le vrai); tapez les 3 premiers caractères du vrai mot de passe, tapez 3 mauvaises clés, sélectionnez les 3 derniers caractères invalides, puis tapez les 3 clés correctes en remplaçant les clés invalides.

18
Diogo

Il y a plusieurs menaces auxquelles vous faites face; mais fondamentalement, ce que vous demandez - en utilisant du matériel potentiellement malveillant - n'est pas sûr et doit être évité à des fins sensibles. (Par exemple, essayez de ne pas vous enregistrer sur votre compte bancaire en vacances). Cependant, si vous êtes prêt à prendre ce risque mais que vous voulez le minimiser, voici vos menaces:

  1. Enregistreurs de frappe matériels. Un simple accessoire à l'arrière du clavier acheté pour moins de 30 $ peut stocker chaque pression de touche; vous verriez donc quelqu'un aller sur un site, taper une connexion, puis taper un mot de passe et vous pourriez facilement le déchiffrer plus tard. Il ne serait pas difficile de modifier un clavier standard pour le faire automatiquement en interne; alors ne croyez pas que vous êtes en sécurité parce que vous ne voyez pas d'attachement dans le dos.

  2. Enregistreurs de frappe logiciels. Le système d'exploitation pourrait exécuter une routine d'enregistreur de frappe/enregistreur de souris/capture d'écran qui pourrait en principe rejouer chaque action que vous faites.

  3. Un DNS usurpé/corrompu avec de faux certificats installés sur le navigateur pour un MITM, même sur des sites SSL.

  4. Une extension/hack de navigateur qui enregistre tout le texte tapé dans le champ du formulaire html (y compris les mots de passe).

  5. Quelqu'un surveillant le trafic réseau non chiffré, où vos mots de passe/cookies d'authentification sont envoyés en texte brut - assurez-vous que vous utilisez SSL (avec les certificats appropriés pour empêcher le MITM).

Parmi ceux-ci, le n ° 5 est le plus simple à éviter; utilisez un tunnel ssh/vpn pour les sites non chiffrés ou utilisez HTTPS (avec SSL) pour les sites signés par un certificat approprié.

Votre meilleure option est encore d'utiliser votre propre matériel (apportez un smartphone; netbook/tablette bon marché avec vous) - ce qui élimine les menaces # 1- # 4; et les bonnes pratiques standard empêchent # 5.

Votre deuxième meilleure option serait de démarrer dans un système d'exploitation invité de votre choix à partir de votre propre CD live, puis d'utiliser une méthode comme la vôtre pour masquer votre mot de passe vers un enregistreur de frappe. C'est peut-être taper la moitié des caractères (pas nécessairement dans l'ordre; et couper et coller l'autre moitié des lettres sur la page Web/URL - de préférence ne le faire qu'avec la souris - par exemple, dans gnome si vous sélectionnez un caractère, vous pouvez collez-le avec un clic du milieu de la souris). L'utilisation d'un cd live empêche les # 2 & # 3 & # 4. Vous êtes toujours vulnérable à # 1, mais vous pouvez probablement obscurcir votre mot de passe à un enregistreur de frappe ordinaire que même s'ils peuvent récupérer un mot de passe partiel, ils n'auraient pas le tout (je ne ferais pas non plus le mot de passe entier depuis cut et collez-les au cas où ils enregistreraient/cloneraient la vidéo affichée sur le moniteur). Je recommanderais toujours de changer votre mot de passe une fois de retour chez vous.

Si vous ne parvenez pas à démarrer sur un système d'exploitation invité; Je considérerais toutes les données saisies comme compromises. Vous pourriez faire quelque chose pour le rendre un peu plus difficile (par exemple, télécharger et exécuter un nouveau navigateur Web; essayez de masquer votre mot de passe en le tapant dans le désordre/couper et coller des parties; etc.), mais en principe, ils pourraient obtenir les données s'ils le voulaient.

16
dr jimbob

Solution possible, mais peut-être pas très pratique.

Prenez votre propre PC, démarrez sous Linux et utilisez la connexion Internet du cybercafé

Pas beaucoup vous permettraient de le faire, mais certains le font

6
Akash

Vous pouvez démarrer sur un usb live Linux. Sauf si l'enregistreur de frappe est basé sur le matériel, cela sera sûr. L'Air Force a une distribution qui est conçue à cet effet. Il ne monte pas les disques durs locaux, donc rien ne peut être enregistré localement. La distribution est appelée LPS (sécurité portable légère). Je l'utilise quotidiennement. Vous pouvez le télécharger ici

5
Kevin

J'irais avec des mots de passe uniques. Certains sites fournissent des claviers virtuels à l'écran (qui changent l'emplacement à chaque fois que vous cliquez), mais s'il y a des enregistreurs de frappe, il y a de fortes chances qu'il puisse y avoir des logiciels espions.

Donc, je ne choisirais pas d'utiliser une clé USB qui stocke les informations sensibles comme les mots de passe et le SSN.

3
Sairam

En plus de ce qui a déjà été dit, vous pourriez envisager de transporter une petite clé USB contenant le bootable TAILS OS (abréviation de The Amnesic Incognito Live System) qui achemine tout votre trafic Internet via Tor par défaut, et ne fait pas 'ne stockez rien sur le matériel local car tout ce qui y est fait est effacé après un redémarrage.

Si vous préférez que le fait que vous utilisiez Tor reste inconnu de l'administrateur du réseau local/FAI/gouvernement; vous devez configurer Tor/Tails pour utiliser le mode Bridge

Notez cependant que Tor n'est pas une solution miracle pour tout et que vous devriez lire la documentation appropriée avant de faire confiance à un logiciel avec des informations sensibles.

De plus, en raison de l'architecture de Tor, les informations sur le nom d'utilisateur/mot de passe peuvent être observées par le troisième saut de son réseau d'obscurcissement (dans ce qui est appelé un nœud de sortie), vous devez donc utiliser HTTPS pour éviter cela. [*] Essayez l'extension HTTPS Everywhere de l'EFF pour rendre plus facile.

[*] Pour un exemple: point d'accès câblé/politique/sécurité/actualités/2007/09/embassy_hacks? CurrentPage = all

2
Deniz

Apportez votre propre appareil et utilisez une connexion cryptée.

2
steampowered

Ce que je fais habituellement, c'est charger ubuntu en direct sur une clé USB, choisir un ordinateur dans un coin où le propriétaire de caffe ne peut pas voir, insérer la clé USB et redémarrer dans ubuntu. Ce que j'obtiens, c'est un environnement sûr.

2
Dani

Il y a de bonnes suggestions ici.

À eux, j'ajouterais la suggestion de changer votre mot de passe en utilisant une connexion Internet de confiance à la prochaine occasion. Même si quelqu'un parvient à obtenir votre mot de passe, il est possible que vous puissiez le changer avant de l'utiliser. Cela est particulièrement vrai s'ils utilisent un enregistreur de frappe matériel qu'ils doivent revenir et récupérer à une date ultérieure.

Une fois dans un aéroport loin de chez moi, j'ai réalisé que le réseau Wi-Fi auquel j'étais connecté n'était peut-être pas légitime. Je m'étais connecté à GMail alors que j'étais connecté au réseau, donc juste pour être sûr, j'ai appelé un membre de la famille sur mon téléphone portable, je leur ai dit mon mot de passe GMail et je leur ai demandé de le changer pour autre chose. Ils ont écrit le nouveau mot de passe qu'ils ont choisi (sans me le dire par téléphone), et je l'ai obtenu d'eux à mon retour à la maison.

2
Joshua Carmody

Si vous utilisez openid et quelque chose comme un yubikey qui utilise un mot de passe unique même s'ils prennent votre mot de passe, ils ne peuvent pas le réutiliser

le problème est l'accès au port USB

le yubikey apparaît comme un clavier USB, donc aucun pilote de niveau administrateur n'est nécessaire

2
Crash893

Je vois que beaucoup de banques font ça. Leurs champs de mot de passe ne peuvent être remplis qu'en tapant sur un clavier à l'écran qui est positionné au hasard sur la page. Donc, aucune touche n'est cliquée à la place, seulement des clics de souris. De plus, si le mot de passe comporte 8 caractères, ils vous demandent seulement de taper certains caractères afin que vous puissiez voir quelque chose comme X00XXX0 où seuls les caractères du mot de passe représentés par les 0 doivent être saisis sur le clavier de l'écran.

La combinaison de caractères positionnés au hasard sur le clavier et le clic de l'écran et les caractères sélectionnés au hasard à taper rendait inutiles toutes les positions de clic de souris.

Cordialement,

2
Ali

Vous pouvez transférer tous vos e-mails vers un compte temporaire, que vous supprimez ensuite à votre retour. Cela limitera l'exposition possible à l'interception des e-mails envoyés pendant votre absence et au détournement du compte temporaire.

Parce que vous pouvez désactiver le transfert depuis votre compte réel, vous pouvez désactiver le compte temporaire dès que vous remarquez qu'il a été compromis.

Ce n'est pas une solution parfaite, mais cela vous donne une certaine protection même si votre attaquant parvient à voler votre mot de passe.

2
Zach

Mots de passe à usage unique ou autorisation à 2 facteurs

Toutes les informations que vous envoyez au site Web (pas seulement les frappes) peuvent être compromises si vous ne contrôlez pas le matériel. Les données de tous les appareils que vous connectez (par exemple une clé USB avec un fichier KeePass) peuvent être récupérées.

La seule façon appropriée de se protéger contre cela est de s'assurer que tout ce que vous avez fait sur cet ordinateur a été utile pour vous connecter ne fois mais n'est pas suffisant pour vous connecter à nouvea, que le prochain le temps aura besoin de quelque chose de différent. Cela signifie une autre authentification qu'un mot de passe réutilisable.

Une façon de le faire est une liste de mots de passe à usage unique, mais qui a un support limité. Cependant, la plupart des services sensibles, en particulier les principaux fournisseurs de messagerie, permettent une autorisation à 2 facteurs - où, en plus du mot de passe, vous avez besoin d'un code généré par un appareil que vous contrôlez ou, par exemple, un SMS to votre numéro de téléphone. C'est un moyen raisonnable de se protéger contre les enregistreurs de frappe, car la capture de toutes les informations de votre session en cours ne permettra pas à l'attaquant de se connecter une seconde fois à moins qu'il ne vole l'appareil ou le numéro de téléphone requis.

0
Peteris

Vous confondez deux problèmes sans rapport. Un enregistreur de frappe est un programme qui a été installé sur votre ordinateur pour surveiller les frappes réelles au fur et à mesure que vous les effectuez. Cela n'a rien à voir avec un café ou un autre réseau public. Si votre machine a été piratée, vous avez de plus gros soucis, mais la méthode que vous mentionnez peut confondre un simple enregistreur de frappe.

Ce dont vous devez vous soucier sur un réseau wifi public, ce sont d'autres machines qui reniflent vos paquets réseau et voient ce que vous envoyez. Vous pouvez vous protéger contre cela en utilisant uniquement des sites Web sécurisés qui sont compatibles SSL afin que la connexion soit cryptée.

0
psusi

Si le café n'utilise pas le cryptage sans fil dans le routeur, vous n'êtes pas en sécurité d'utiliser un système d'exploitation, une clé de démarrage ou autre, choisissez un café qui utilise le cryptage sans fil et un mot de passe pour se connecter à son routeur de point d'accès.

Les connexions sans fil non cryptées peuvent être facilement détectées par quiconque dans le café ou à proximité, cela révèlera tout ce que vous envoyez via la connexion, y compris les identifiants et les mots de passe que vous entrez dans un navigateur.

0
Moab

Les enregistreurs de frappe sont exécutés sur votre ordinateur local et fonctionneront quelle que soit la connexion Internet que vous utilisez,

Le problème que vous avez dans un cybercafé est l'homme au milieu des attaques, où d'autres homologues du réseau peuvent intercepter votre trafic réseau.

Assurez-vous d'utiliser HTTPS sites où vous pouvez, tout le trafic est crypté avant qu'il ne quitte votre machine, la plupart des connexions sur des sites "décents" utiliseront HTTPS et certains sites vous permettra de parcourir tout le site en HTTPS mais vérifiez toujours qu'avant de saisir quelque chose, vous ne voudriez pas qu'une autre personne voie que la page est bien HTTPS, et si jamais vous allez sur un site qui a un certificat SSL auto-signé alors soyez très très méfiant car il pourrait aussi s'agir d'un homme au milieu attaque Je connais firefox et IE vous informe si la page a un certificat auto-signé.

0
squareborg

Si vous vous connectez à un site de réseautage social comme Facebook, assurez-vous que la barre d'adresse contient facebook.com et non facebook-home.com ou similaire, c'est le cas du phishing. Si vous utilisez Mozilla Firefox, accédez aux outils puis aux options de sécurité - à partir de là, vous pouvez vérifier que votre mot de passe est supprimé de la mémoire ou non après avoir fermé votre compte.

0
manpreet dhillon

J'ai une ancienne méthode qui est très simple mais efficace. Obtenez une clé USB et ouvrez un fichier .txt sur votre clé USB.Ce fichier texte contiendra les mots de passe de votre compte en ligne.Utilisez toujours un outil générateur de mot de passe pour générer votre mot de passe.Après cela, copiez simplement le mot de passe dans le fichier .txt avec la méthode copier-coller Dans le café Internet, branchez simplement votre clé USB et copiez-collez les mots de passe dont vous avez besoin. Avec cette méthode simple, votre mot de passe reste à l'abri des enregistreurs de frappe.

0
kefe