Prijava v javna/odprta omrežja in varnost

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #1

Če predpostavimo, da je računalnik, ki ga uporabljam, relativno varen (FW, antivirus...), kako varno je surfanje po internetu preko odprtih ali javnih omrežij? Katere podatke se dejansko da prestrezati, kateri pa so skriti zaradi SSL/HTTPS (ne vem, če je to enako) povezave?

Kako varna so prijavna gesla na razne servise (Gmail, Alter...)?


Včasih bi si zelo želel, da bi Google na primer ponujal možnost one-time-password-ov. Si zgeneriraš par gesel, sprintaš in daš v denarnico. Potem pa uporabiš na raznih javnih računalnikih popolnoma brez skrbi, da bi bilo kaj narobe (npr. keylogger).

 

A

ales85

Guru

9. nov 2007

3.596

1.214

113

• 24. okt 2010

• #2

Če pri prijavi spletni servis uporablja šifrirano povezavo potem ne bi smelo biti nobenih težav in problematičnih prestrezanj. Alter tega ne počne in zato mislim, da je prestrezanje precej enostavno. Če pa te slučajno skrbi zaradi Facebooka, pa mislim, da so ravno oni uvedli enkratna gesla preko mobilnega aparata.

http://www.sophos.com/pressoffice/news/articles/2010/10/one-time-password.html

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #3

Citat:
Facebook’s new feature allows you to simply text “otp” to 32665 from your mobile phone (the one associated with your Facebook account) and you’ll immediately receive a temporary password that can only be used once and will expire in 20 minutes. Brilliant.

Klikni za razširitev

Samo kako naj bi to delalo v Sloveniji?

Pa za Facebook mi je itak precej vseeno... dosti bolj pomemben se mi zdi Google Account.

 

D

doto

Fizikalc

25. jul 2007

3.175

0

36

• 24. okt 2010

• #4

Vse kar ni kriptirano se da prestreči. SSL, oz naslednik TLS, poskrbi da se podatki med odjemalcem in strežnikom prenašajo v kriptirani obliki. S tem preprečiš, da nekdo vmes prestreza podatke. Pred key loggerjem te pa to ne reši.

SSL(TLS) je standard, kako se kriptira TCP/IP povezava. HTTP je standard, ki določa kako je mogoče preko TCP/IP prenašati dokumente (html, css, slike,...). HTTPS je HTTP preko SSL povezave.

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #5

Hvala za pojasnilo!

 

P

philips

Guru

Osebje foruma

Administrator

17. avg 2007

9.878

698

113

• 24. okt 2010

• #6

Tudi https se da prestrezat...

En način je da napadalec zgenerira fake certifikat in ti ga podturi (na kar te browser opozori - ampak itak vsi kliknejo OK in jih spusti naprej) in potem lahko nemoteno dešifrira vsebino. Rešitev: ne sprejemat neveljavnih certifikatov

Drugi način pa je SSL strip. Tukaj te napadalec preusmeri iz http://domain.com/krneki/url in doseže da povezava več ni kriptirana (in jo posledično lahko prebere). Rešitev: bodi pozoren na https v URL vrstici

Pri obeh načinih pa povezava od napadalca do strežnika poteka preko nespremenjenega https, tako da na strežniški strani tega ni mogoče ugotoviti.

EDIT: najbolj elegantna rešitev je, da si doma postaviš VPN strežnik in se na nezaščitenih omrežjih povežeš tja. Potem je tu še uporaba TOR omrežja.

 

Nazadnje urejeno: 24. okt 2010

blazko

Majstr

21. sep 2007

7.479

449

83

• 24. okt 2010

• #7

Gugl ima login proces vedno preko enkripcije. Geslo je torej precej varno.

Samo delo, branje mejlov etc. pa ne nujno. Lahko gre preko http ali https, odvisno od tvojih nastavitev, info tukaj

Če pa želiš enkripcijo na vseh povezavah (tudi ne-varnih) bi bila rešitev lahko vpn. Kar je načeloma domena poslovne uporabe, je pa ekipa na ltfe postavila ciscovo ipsec vstopno točko. Sicer primarno za applove iGrače, ki imajo že vgrajenega clienta, ampak verjetno bi moralo delati tudi na pcju. Rabiš samo cisco vpn client (dobavljiv s pomočjo gugla, pred časom ni deloval na 64 bit, do danes so upam že uredili)

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #8

Citat:
Uporabnik blazko pravi:
Gugl ima login proces vedno preko enkripcije. Geslo je torej precej varno.

Klikni za razširitev

Razen za client-side prestrezanje. Tam nimaš kaj, razen enkratnih gesel (pa še tisto ni 100%).

VPN je pa zanimiva ideja. Ampak večina pomembnejših strani ima tako ali tako povezavo preko SSL.

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #9

Pa če recimo malo razširimo temo s konkretnim primerom.


Prideš na kraj X, kjer je računalnik, ki ga prvič vidiš. Pač klasičen work computer, kjer se izmenjuje par deset oseb, na namizju kraljuje okoli 50 ikon, v taskbaru je 10 ikon, od katerih jih polovico prvič vidiš, vsak klik pa je povezan z dolgotrajnim mletjem trdega diska.

Želiš pogledati maile. What do you do? Meni je enostavno neprijetno na take računalnike tipkat kakršnekoli osebne podatke (uporabniška imena in gesla).

 

der_Alte

Fizikalc

21. jul 2007

2.063

10

38

Zemlja

alte.aufbix.org

• 24. okt 2010

• #10

Ali OTP, ki ga dobiš po neki drugi poti, ali pa se prijaviš v webmail, ki ima možnost uporabe zaslonske tipkovnice, kjer naklikaš uporabniško ime in geslo. Pomaga, če preveriš kateri certifikat je v uporabi za HTTPS povezavo in da je zaslonska tipkovnica vsakič drugje in črke drugače postavljene.

Nekateri logirajo tudi koordinate klikov z miško, ne samo pritiskov na tipke.

 

Numy

Majstr

1. jan 2008

9.861

395

83

• 24. okt 2010

• #11

Jaz se vzdržim. Preverjanje mailov imam naštimano na telefonu, raje plačam tistih nekaj centov.

 

DJ_Beat

Dacar

23. jul 2007

4.206

4

38

Kranj

rener.info

• 24. okt 2010

• #12

Mogoce portable klient na USB kljucku?

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #13

Citat:
Uporabnik der_Alte pravi:
Ali OTP, ki ga dobiš po neki drugi poti, ali pa se prijaviš v webmail, ki ima možnost uporabe zaslonske tipkovnice, kjer naklikaš uporabniško ime in geslo.

Klikni za razširitev

Je kaj od tega sploh možno uporabiti pri Gmailu?

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #14

Portable klient kot portable brskalnik nima smisla, saj je spet problem varnost.

Portable OS je druga pesem, ampak ni dostopa do BIOS-a.

 

DJ_Beat

Dacar

23. jul 2007

4.206

4

38

Kranj

rener.info

• 24. okt 2010

• #15

Kaj pa ce za pop3/imap dostop uporabljas SSL?

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 24. okt 2010

• #16

Citat:
Uporabnik Jernej pravi:

Pa če recimo malo razširimo temo s konkretnim primerom.


Prideš na kraj X, kjer je računalnik, ki ga prvič vidiš. Pač klasičen work computer, kjer se izmenjuje par deset oseb, na namizju kraljuje okoli 50 ikon, v taskbaru je 10 ikon, od katerih jih polovico prvič vidiš, vsak klik pa je povezan z dolgotrajnim mletjem trdega diska.

Želiš pogledati maile. What do you do? Meni je enostavno neprijetno na take računalnike tipkat kakršnekoli osebne podatke (uporabniška imena in gesla).

Klikni za razširitev

Vse kar vtipkaš/kliknaš in se ti prikaže na ekranu, lahko nekdo beleži.
Če drugo ne, kelner z ostrim vidom in fotografskim spominom. (ali kamera na stropu)

 

der_Alte

Fizikalc

21. jul 2007

2.063

10

38

Zemlja

alte.aufbix.org

• 24. okt 2010

• #17

Google Authenticator.

Jaz sicer ne uporabljam Gmaila, itd... za svoje webmaile pa se da poskrbet.

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #18

Tole je samo za Apps, pa še to samo za Premier. Pa to vseeno ni OTP, ampak še vedno tipkaš svoje primarno geslo.

 

Jernej

Fizikalc

18. avg 2007

7.124

0

36

• 24. okt 2010

• #19

Recimo zaenkrat, da lahko geslo tipkam hitreje in bolj skrito kot povprečne kamere ali Rain Mani gledajo.

 

S

stein

Fizikalc

16. sep 2007

19.575

1

36

• 24. okt 2010

• #20

Ja, pa metki se odbijajo od tvojih prsi...