网吧的最佳安全实践

Question

在接下来的一段时间里，我会发现自己没有工作的私人无线网络连接。这给我留下了很多选择，其中之一就是使用网吧。

在网吧环境中，什么是最佳的安全实践?在这里，我无法可靠地知道计算机上已经安装或没有安装什么？我将要使用的网吧不允许我安装任何软件，而是使用Windows。

我在地球的另一边有一个VPS，网吧里的电脑安装了PuTTY --幸运的是。

我不想在网吧电脑上留下任何痕迹。把像TOR浏览器这样的东西放在钢笔驱动器上值得吗？

由于咖啡厅使用某种Windows应用程序来记录我的时间--因此也就是比尔--我无法在不激怒用户的情况下从linux笔驱动器重新启动。即使在没有完全重新启动的情况下，我仍然可以使用linux操作系统的相对安全性吗？

Answer 1

如果你不拥有硬件，你就无法控制。您可以在该Windows环境中运行的任何内容都可以记录在键盘和鼠标输入级别，如果没有其他的话。如果你不信任电脑，就不要使用它，带上你自己的设备。这是唯一的办法。

Answer 2

网吧的最佳做法是不要把它们用于任何私人场合.他们可以查看电影时刻表、地图或新闻，但任何涉及输入密码或访问私有数据的内容都是非常危险的。

您可能会接受冒着恶意软件漏洞机器的风险，这台机器对您本人没有任何不利之处，只是运行一个密钥记录器来获取大量密码。在这种情况下，您可以通过使用某种类型的一次性密码来解决问题。有许多变体，但整个想法是，密码一旦使用，就不再有价值了，因为它将不再允许输入。

这仍然是押注于攻击者缺乏兴趣和/或能力。更彻底的攻击者将主动识别到网络邮件(特别是Gmail)的连接，并在您登录时立即自动执行其恶意行为。就我个人而言，我不会这么做。

Answer 3

我看到了几个选择：

• 在每次登录时更新您的密码，或者编写一个脚本来完成此操作，并让脚本将新的密码打印到屏幕上。虽然键盘记录器可以在您输入新密码时捕获它，但如果脚本为您更新新密码，则攻击者必须在PuTTY屏幕上刮擦才能看到新密码。一旦新的传球弹出，写下来(或记住它！)并使用clear来防止偷窥者看到它。这是一个诡计多端的脚本，但它是可以做到的。在类似Debian的系统上，您可以使用mkpasswd创建散列密码，然后只需替换/etc/shadow中现有的密码即可。注意:像这样破解密码重置是非常危险的。
• 将/etc/ssh/sshd-config更改为只使用基于密钥的auth (设置PubkeyAuthentication yes和PasswordAuthentication no)。您可以使用PuTTY生成SSH密钥(记住要使用强密码！)然后将您的公钥/私钥存储在一个拇指驱动器上。告诉PuTTY这样做(参见https://wiki.amahi.org/index.php/Key-based_SSH_登录_使用_Putty#Configuring_油灰_至_使用_public.2Fprivate_关键字)。只要打开PuTTY，并且您的密码可能被记录下来，这个密钥就会存在于内存中，但是攻击者必须将两者都挖掘出来。这种或那种可能会在噪音中迷路。
• 为您的智能手机获取Google身份验证器，并在Linux上设置一个兼容的双因素身份验证系统。结合以上两个选项之一。这不是一个直截了当的过程，请参阅这里获得更多信息：http://www.tecmint.com/ssh-two-factor-authentication/。

就像其他人说过的，网吧会很不安全，也不值得信赖。我认为您最好的选择是通过VPS完成所有您需要做的私事，并使用双因素身份验证。

另外:不要使用同一台机器两次。如果可以的话，每天更换网吧。