Apakah saya aman dari perangkat lunak pemantauan jaringan jika HTTPS digunakan?

Saya akan masuk ke rekening bank saya dan akun email pribadi saya di tempat kerja. Ini tidak dilarang di tempat kerja, tapi saya hanya tidak ingin mereka menyimpan / mencatat salinan apa pun yang saya lakukan dengan layanan ini. Terutama kata sandi saya.

Jika layanan menggunakan koneksi HTTPS, apakah perusahaan saya dapat melacak / menyimpan / mencatat kata sandi saya, yang saya gunakan untuk layanan ini? bagaimana dengan isi halaman?

Sekali lagi, peraturan di perusahaan saya tidak melarang penggunaan akun email pribadi saya atau layanan internet banking, tetapi saya hanya tidak ingin mereka mengetahui informasi penting tentang ini. Tidak apa-apa jika mereka tahu saya menggunakan itu, tetapi mereka seharusnya tidak mendapatkan akses ke kata sandi saya.

Dapatkah saya menggunakannya dengan aman (mengetahui perusahaan saya tidak dapat menyimpan data itu) jika HTTPS digunakan?

PS Saya benar-benar bukan orang jaringan dan saya tidak tahu banyak tentang bagaimana hal-hal ini bekerja. Jadi tolong jangan memberikan balasan RTFM.

Sebelum menjawab: Jika browser memperingatkan Anda tentang situs yang menggunakan enkripsi yang buruk atau memberikan informasi identitas yang salah, penting untuk membaca kesalahan, memahaminya, dan berpikir keras tentang apakah Anda ingin melanjutkan.

Jawaban Singkat: Ya, jika Anda menggunakan perangkat tepercaya

Jawaban panjang:

Jika seseorang memantau koneksi Anda dari komputer lain (di suatu tempat antara Anda dan bank Anda) dan Anda menggunakan HTTPS, dan mereka menggunakan sertifikat yang ditandatangani dengan algoritma yang kuat, maka Anda berada di tempat yang jelas. (Kecuali jika mereka menyimpan data selama bertahun-tahun dan kemudian membacanya setelah algoritme rusak - tetapi mereka mungkin akan lebih baik membobol rumah Anda dan mencuri barang-barang Anda;)).

Kemungkinannya adalah, jika itu bank Anda, maka mereka menggunakan sertifikat yang ditandatangani dengan sandi yang cukup kuat. Anda dapat memverifikasi ini dengan melihat informasi SSL untuk halaman, yang harus ditampilkan jika Anda melihat info halaman, klik pada nama Biru atau Hijau di sebelah kiri di bilah alamat dengan Firefox 3.5, atau klik pada kunci untuk kanan di bilah alamat di IE8. Firefox juga akan menampilkan algoritma enkripsi yang digunakan jika Anda memilih Informasi Lainnya setelah mengklik area berwarna.

Jika Anda tidak mempercayai perangkat yang Anda gunakan untuk terhubung (seperti komputer yang bukan milik Anda yang bisa dimodifikasi oleh orang lain), maka itu menjadi perhatian yang lebih besar. Sekarang, tempat kerja Anda kemungkinan tidak akan melakukan hal ilegal seperti melihat informasi perbankan Anda; tetapi SSL mungkin bisa dirusak jika sistem Anda terganggu. Bisa jadi komputer Anda dikonfigurasikan untuk menerima sertifikat yang ditandatangani oleh proxy (pemeriksaan sertifikat atau pinning sertifikat akan menggagalkan ini). Namun, pengawasan bisa di mana saja - keylogger bahkan tidak perlu mengalahkan SSL untuk mendapatkan kredensial perbankan Anda, misalnya. SSL membuatnya sehingga Anda tidak perlu mempercayai koneksi antara dua titik akhir tepercaya, tetapi jika titik akhir itu sendiri tidak dapat dipercaya, semua taruhan dimatikan.

Tidak, tidak perlu. Perusahaan Anda dapat mengirim koneksi Anda melalui proxy yang bertindak sebagai man-in-the-middle. Yaitu: Semua lalu lintas HTTPS pergi dari mesin Anda ke proksi, didekripsi di sana, dianalisis, dienkripsi, dan dikirim ke server. Mesin Anda tidak akan menggunakan sertifikat keamanan dari server, tetapi sebaliknya proksi akan menghasilkan satu untuk situs web yang diberikan dan mengirimkannya kepada Anda, sehingga Anda benar-benar memiliki dua Koneksi HTTPS: Dari Anda ke proxy dan dari proxy ke server.

Selain itu untuk mewujudkannya, perusahaan perlu memiliki server sertifikat untuk menghasilkan sertifikat. Biasanya browser akan keberatan di sini dan mengeluh bahwa otoritas sertifikat tidak dipercaya, tetapi tentu saja itu dapat ditimpa melalui kebijakan grup dan sejenisnya.

Namun hal ini tidak harus dilakukan oleh majikan, karena ini dapat menjadi bagian dari konsep anti-virus atau karena alasan hukum.

Di browser Anda, lihat sertifikat. Terutama, lihat otoritas sertifikat. Jika sertifikat dikeluarkan oleh CA "nyata" seperti Thawte, VeriSign dll, maka itu berarti bahwa Anda menggunakan yang dari server dan Anda harus aman. Namun, jika dikeluarkan oleh sesuatu seperti "YourCompany-AV" atau sejenisnya, maka Anda memiliki proksi man-in-the-middle.

Secara umum, Anda aman. Karena ketika Anda mengunjungi situs web bank melalui koneksi https, semua data seperti nama pengguna dan kata sandi dienkripsi, sulit untuk mendekripsi dalam waktu yang sangat singkat, kecuali mereka tahu algoritma enkripsi dengan sangat baik . Namun, ada serangan lain seperti pencatat kunci, man di tengah akan bekerja jika mereka berpengetahuan luas. Selalu perhatikan lingkungan sebelum Anda memasukkan informasi sensitif.

Jika Anda menggunakan mesin milik perusahaan dan telah menyetujui kebijakan perusahaan, mungkin ada masalah yang dihadapi khusus perusahaan Anda. Tanpa mengetahui detail lebih lanjut saya katakan Anda harus aman, tapi saya harus menyeimbangkannya dengan peringatan. Secara teknis itu mungkin, tetapi jika Anda menjalani kehidupan "normal" ada banyak hal yang Anda hadapi setiap hari yang memberikan risiko yang jauh lebih besar terhadap data pribadi Anda daripada skenario yang Anda tanyakan.

Beberapa hal mendasar yang harus diperhatikan. Perusahaan masih dapat mengetahui situs mana yang Anda kunjungi dan untuk berapa lama. Data dapat dienkripsi, tetapi masih harus dirutekan sehingga alamat dari dan ke mana data tersebut diekspos.

Saran dalam jawaban lain tentang memanfaatkan fitur keamanan apa pun dari browser Anda adalah baik. Saya akan menambahkan bahwa Anda harus meluangkan waktu sejenak untuk meninjau kebijakan perusahaan Anda yang terkait dengan data pribadi pada mesin kerja.

Bank umumnya menggunakan enkripsi 128 bit, atau lebih tinggi. Periksa properti sertifikat SSL mereka, atau bahkan minta salah satu dukungan teknis mereka untuk mencari tahu apa itu. Jika di bawah 128 saya sarankan tidak menggunakannya. Tetapi jika 128 atau lebih, Anda harus baik-baik saja. Kecuali seseorang di jaringan dengan Ettercap, Wireshark, Shijack dan sebuah chip besar di bahu mereka memiliki sesuatu yang menentang Anda. Namun, jika Anda mengkhawatirkannya, maka jangan gunakan net banking di tempat kerja. Kemudian lagi, apa yang harus menghentikan seseorang meretas komputer Anda di rumah untuk mendapatkan informasi perbankan Anda? Anda mungkin lebih aman di tempat kerja. Manajer saya hampir tidak dapat memeriksa riwayat browser saya - Saya ingin melihat mereka memecahkan enkripsi SHA1-RSA yang disediakan oleh sertifikat SSL.

Secara efektif Anda aman hanya karena umumnya admin jaringan memiliki hal-hal yang lebih baik untuk dilakukan. Secara teknis, tidak, data Anda tidak aman. Anda tidak mengatakan bidang apa yang Anda masuki, tetapi pekerjaan pusat panggilan misalnya akan memiliki sistem yang sangat dipantau. Enkripsi data tidak masalah jika penekanan tombol sedang dicatat dan layar ditangkap sebagai bagian dari operasi normal. Jika Anda khawatir admin cenderung melihat informasi rekening bank Anda, maka JANGAN gunakan komputer kerja Anda untuk perbankan.

Perusahaan sering menggunakan proxy dan firewall untuk analisis jaringan, tetapi Anda dapat yakin bahwa lalu lintas https tidak dapat diendus oleh salah satu dari mereka. Itulah prinsip dasar https, untuk mencegah serangan manusia-di-tengah.

Dimungkinkan untuk menyimpan paket dan memecah enkripsi rsa nanti, meskipun karena Internet didasarkan pada packet switching, tidak mungkin penyerang memiliki substansi yang cukup untuk menyusun kembali paket TCP.

Segalanya dan segalanya adalah mungkin.