Sicheres Anmelden an Webdiensten aus Internetcafé

daiv

AgainstAllAuthority
Hallo,

meine Mutter fährt Übernächste Woche in den Urlaub. Sie ist ca. drei Wochen unterwegs und nicht immer am gleichen Ort. Sie möchte aber Unterwegs ihre Emails lesen.

Sie würde also ins Internetcafé gehen, dort bei diversen Webdiensten einloggen und dann ihre Emails ansehen. Vielleicht sogar ihr Konto usw.

Ich allerdings habe da Bedenken. Nennt mich paranoid, aber es ist doch sehr einfach einen Keylogger zu installieren, der Passwörter abfängt bzw. im Browser die Passwörter speichern zu lassen. Muss ja noch nicht einmal böswillig sein. Ich stelle mir nur vor, sie geht in ein Internetcafé (eines bei dem der "Admin" gerade einmal Windows XP mit Firefox installieren kann - keins mit Kurzzeitprofilen oder Kioskmodus) und gibt dort ihre Daten ein. Firefox speichert alle Kennwörter, weil der Admin das irgendwann aus versehen gedrückt hat. Nach ihr kommt ein weiterer Urlauber und meldet sich an. Dieser sieht dass Firefox seine Passwörter speichert. Das gefällt ihm natürlich gar nicht. Da er sich etwas besser auskennt als meine Mutter, geht er in die Einstellungen um seine Daten zu löschen. Dort sieht er dass schon andere vor ihm Passwörter haben speichern lassen. Was dann passiert kann sich jeder selbst ausmalen.

Ich logge mich, wenn ich an einem fremden Rechner bin, immer über eine Remotedesktopverbindung (mstsc) in die Arbeit ein und surfe so. Ich denke damit bin ich auf der sicheren Seite.

Ich denke also, es wäre eine für meine Mutter einfache Lösung, wenn ich z. B. ein xfce4 auf meinem FreeBSD-Rechner installieren würde und diesen irgendwie über den mstsc zugänglich machen würde. Der mstsc ist auf jedem Windowsrechner ab 2000 installiert. Diesen muss sie auch nicht großartig suchen, da sie einfach auf Start -> Ausführen (bzw. Windowstaste + R) geht und dort mstsc eingibt.

Sie könnte wie gewohnt mit dem Firefox surfen und müsste sich nicht über die Sicherheit Gedanken machen.

Kann man so etwas auf einfachem Wege realisieren? Habt ihr andere Ideen? Es muss etwas sein, was man nicht mit sich herumtragen muss bzw. nichts downloaden muss.

Keine Alternative wäre:
- Bootmedien: USB-Stick, CD
- Virtuelle Maschine
- VNC
- Virtuelle Desktops im Internet
- VPN

Bin gespannt auf eure Antworten

David
 
und wie kommst du auf die idee, dass diese dinge (ip-adresse, hostname, kennwörter, username zum einloggen etc) dann nicht mit gespeichert oder im nachhinein missbraucht würden? denke daran, dass es von der tastatur, durch den keylogger, ins system und erst dann in die anwendung geht, falls da überhaupt noch was ankommt. bob beck hatte auf der openbsd misc-ml mal was zu dem thema gepostet, was er mit seinen neugierigen studenten anstellt, wenn sie versuchen auf seinem nfs unfug zu treiben (hatte was mit emails im namen der schüler an ihn und kopien in ihrem gesendet ordner zu tun ;)).
lange reder kurzer sinn: vertraue keinem computer, den du nicht selber installiert hast (oder andersrum: wenn sie wirklich, wirklich, wirklich sich in ihr bankkonto einloggen möchte, dann keinesfalls von fremden rechnern aus. ein notebook kostet im nachhinein weniger, als die möglichen scherereien, die damit verbunden sind)

hth.

ps: auch wenn du meinst, dass du zu paranoid bist, heisst es noch lange nicht, dass SIE nicht hinter dir her sind ;)
 
Ich logge mich, wenn ich an einem fremden Rechner bin, immer über eine Remotedesktopverbindung (mstsc) in die Arbeit ein und surfe so. Ich denke damit bin ich auf der sicheren Seite.

Wie kommst du auf die Idee?
Anstatt im worst case nur das Passwort eines Mailaccounts preiszugeben riskierst du den Zugriff auf deinen Arbeitsrechner preiszugeben.
Du maximierst das Risiko.
 
Hallo, in der Tat wäre ein eigener Laptop wohl das sicherste (solange der nicht in falsche Hände fälllt ;) )

Eine Alternative hast du vergessen, nämlich das sie einen USB Stick mit portabler Software ala Portapps

Das hilft jetzt nicht direkt gegen Keylogger, Netzwerksniffer etc, könnte aber das Problem mit fehlendem Kioskmodus im Webcafe lösen.

Falls sie unbedingt Zugriff auf ihre Bankseite braucht, kannst du ja diesen als Favoriten mit gespeicherten Zugangsdaten auf dem Portapps-Firefox speichern, so das zb nur Verfügernummer eingegeben werden muss (Ich schreib mal wie ich das bei meinem Onlinebanking möglich ist)

Ein Keylogger würde dann nur die Verfügernummer aufzeichen, sowie einen (hoffentlich https) Seitenaufruf.

Man könnte das noch verbessern, in dem man die Verfügernummer zb in einem Passwordsafe auf dem USB Stick speichert, dann müsste der Angreifer die Zwischenablage auslesen.


Es gibt auch Mailclients und auch Putty als Portapps, vielleicht kann man hier ja per ssl Traffic auf einen Rechner von dir tunneln etc.

Das alles hift natürlich nur bedingt, der "Angreifer" könnte natürlich auch USB Stick auslesen, Screenshots machen etc. Diese Gefahren wirst du aber immer haben, wenn du auf fremden Rechnern arbeitest.


Probleme bei portabler Software könnten aber gesperrte USB Ports oder ähnliches sein.

vielleicht hilft dir das als Anregung weiter ....
 
Hi daiv,

Wenn ich das richtig verstanden habe, geht es doch "nur" um den Zugriff auf ihre Mail, oder?
Ich habe mir zu dieser Verwendung einen eigenen Mailsammler eingerichtet, der die Mails meiner diversen Webaccounts abholt.
Zugang zu dem Mailsammler habe ich über Webfrontend mit https und Einmalpasswörtern.
Das finde ich persönlich sicher genug, um es aus dem Internetcafe heraus zu benutzen.

Gruss,

Ice
 
Danke für die zahlreichen Antworten. Ich denke dass ich mit Remotedesktop sicherer unterwegs bin, als z. B. die Kennwörter direkt in den Rechner einzugeben.
Leider ist eigener Laptop eher weniger eine alternative, da ich nicht glaube dass sie

1. Laptop mitschleppen möchte
2. Internetcafés WLAN-Zugang anbieten

Vom Konto muss ich ihr einfach abraten, das geht wohl nicht anders.

Bis jetzt gefällt mir die Idee von Ice am besten. So wäre nämlich nur der Sammelaccount für Missbrauch auf, wenn sich einer das Passwort holt. Vielleicht mache ich mir die Mühe und ändere das Passwort täglich und schicks ihr per SMS.

USB-Stick ist denke ich ein Problem. Wenn überhaupt ein zugänglicher USB am Rechner ist, ist der vielleicht gesperrt.

Gibt es also keine vernünftige Lösung für einen nicht Profi?
Wenn ich mir das so recht überlege, ist das ganz schön übel. Ich war ja schon lange nicht mehr hierzulande im Internetcafé, aber die haben wohl auch keine bessere Lösung, oder?

Kann ein Keylogger ALLE Tastatureingaben abfangen?
 
Die Enzige möglichkeit (die mir spontan einfällt) wären Einmalkennwörter. Dann kann "nur" das mitgelesen werden was getippt oder gelesen wird. Ich wage zwar zu bezweifeln dass Terminelsitzungen in vielen Internetläden zugänglich sind, falls doch:

Mit Kennwort dort anmelden. Solbald (!) die Sitzung offen ist wird das Kennwort automatisch im hintergrund geändert. Die Liste mit den Kennwörten in der richtigen Reihefolge hat deine Mutti dabei und meldet sich das nächste mal mit dem nächsten an.

Ich glaube einfacher geht das nicht...

am Rande: taugt die Verschlüsselung von mstc etwas?
 
Aldi hatte letzte Woche so ein kleines Notebook.
Ein Kollege kaufte es und ist total begeistert. Er brachte dort eine neue SuSE erfolgreich zum Laufen, inklusive aller HW, auch Wlan.
Viele Hotels bieten heute einen Zugang über Lan oder Wlan, dann bräuchte es nicht mal ein Internetcaffee, wobei natürlich nicht sicher ist, ob denn dem jeweiligen Hotel und den Mitarbeitern in entscheidender Position getraut werden kann.
Sicher gibt es auch sehr große Unterschiede von Land zu Land. Die Gepflogenheiten, die moralische Messlatte die jeweils angelegt wird, um etwas zu einem Vergehen werden zu lassen, kann vollkommen unterschiedlich sein. Es könnte in einem Land als nicht besonders schlimm angesehen werden, dir etwas auf den Kopf zu hauen und dein Bargeld zu nehmen, aber es könnte dir als Verbrechen angelastet werden, wenn du zur falschen Zeit in die falsche Richtung schaust.
Es ist deshalb immer gut, sich vorher zu informieren, wie das am Reiseort womöglich alles abläuft und wo es vielleicht Möglichkeiten gibt, sich in vertauter Umgebung einzuloggen (etwa die Niederlassung einer Bank oder gar eine Botschaft).
Vorsicht ist da besser und deshalb ganz generell: wer denkt, wichtige Mails zu bekommen, die niemand lesen sollte, der darf die nicht von öffentlich zugänglichen Rechnern aus ansehen. Bankkonnten sind erst recht Tabu.
Das ist auch keine Frage des Betriebssystems. Wer seine Passwörter bekannt macht, öffnet alle Tore!
Eine Möglichkeit kann hilfreich sein: die Benachrichtigung per SMS wenn bestimmte Nachrichten eingehen. So kann es wenigstens vermieden werden, unnötige Risiken einzugehen, nur um dann tausend Spams zu finden, die eh nicht interessieren.
Überhaupt, bei kritischen Aktionen kann so ein Mobiltelefon eine große Sache sein, sofern es im Jeweiligen Land auch unterstützt wird.

Und ganz nebenbei: es kann auch angenehm sein, einen Urlaub ganz ohne diese Dinge zu verbringen. Dazu empfehle ich, Andreas Eschbach, Survival Training, eine nette Kurzgeschichte zu dem Thema.
 
Mit einem eigenen Notebook kann man die Geschichte wirklich einigermassen absichern. Transparente Festplattenverschlüsselung verhindert den sofortigen Supergau bei Verlust, ein Tunneln alles Traffics via OpenVPN-Tunnel über eine vertrauenswürdige Kiste sorgt dafür, dass Internetcaffee, oder Hotelwlan nichts als verschlüsselte Pakete sehen.
Beides lässt sich so einrichten, dass es äusserst komfortabel zu bedienen ist. Nämlich ausser der Eingabe einer Passphrase für die Festplattenverschlüsselung keine zusätzliche User Interaktion.

Alles Andere ist in meinen Augen ein herrumdoktern, das die Situation eher verschärft, weil der Knackpunkt immer der Zugriff auf die Kiste ist, von der aus gearbeitet wird. Kann ihr nicht vertraut werden, kann der gesamten Verbindung nicht getraut werden.
 
@daiv

Deswegen benutze ich Einmalpasswörter. Da kann eigentlich kaum noch was passieren. Wie es funktioniert hat CMV schön erläutert.

Gruss,

Ice
 
Zurück
Oben