אבטחת חשבונות
-
-
@n123456 כתב באבטחת חשבונות:
ולמה לדעתך לא כדי לפתוח חשבון מייל נוסף רק לחשבונות כמו שציינתי- בנק וברוקר וכיוצא? זה לא יכול להגביר את רמת האבטחה?
כי זה בריחה מעיקר האחריות (ש@yossiz פירט) לכל מיני פתרונות זניחים שהמחיר שלהם גדול לאין ערוך על תועלת.
למשל: אם אדם ימרח סבון כל ערב על המרצפות בכניסה לביתו, רמת האבטחה של הבית שלו תעלה.
אבל הוא יבזבז על זה כל יום זמן בבוקר ובערב, חלק פעמים יחליק וישבור יד, וגם בסוף לא בטוח ינעל את הדלת כל יום כי הוא מרגיש שהוא כבר מספיק "משקיע" באבטחה. -
@n123456
אי אפשר לדבר על אבטחה בחלל ריק, כדי לדבר על אבטחה צריך לדעת מול מה אתה מתגונן
ובכן, מה הדרכים הנפוצות שפורצים מקבלים גישה לחשבונות?
נראה לי שיש שתי דרכים עקריים
א. פריצה לשרת (או הגדרה יותר גנרית: דליפת מידע באיזשהו דרך מהשרת)
ב. דיוגדרך פחות נפוצה:
ג. סתם ניחושבמקרה של פריצה לשרת, מה שקורה בד"כ הוא ש(במקרה הגרוע) מקבלים הפורצים גישה לכתובות מייל וסיסמאות "מוצפנות" (אני שם את המילה "מוצפנות" בגירשיים כי טכנית זה לא בדיוק הצפנה, אבל לצורך הענין אפשר לקרוא לזה כך)
ואז הם עוברים על כל הסיסמאות ומנסים לפצוח אותם עם תוכנה שמנסה כל צירוף תווים אפשרי ובודקים אם תוצאת הצפנת התווים מתאים לסיסמה המוצפנת שמצאו.
כדי להתגונן מפני סכנה זו, בוחרים סיסמה רנדומלית בלי תבנית, כי התוכנות שמפצחים סיסמאות מוצפנות תמיד מתחילים עם תבניות של סיסמאות הנפוצות ואז עוברים לנסות צירופי תווים רנדומליים
(אפשר לקבל פה השערה כמה זמן לוקח בכלים של היום לפצח סיסמה, רק השערה גסה, כי זה תלוי באיכות ה"הצפנה" ובאלגוריתם שבו הפורץ מנסה לנחש סיסמאות)
אם הוא הצליח לפצח את הסיסמה, הדבר הבא שהפורץ יעשה הוא לבדוק עם צירוף מייל וסיסמה זה יעבוד באתרים אחרים
לכן ההמלצה לא לעשות שימוש חוזר בסיסמאות, שאם יבוא פורץ לאתר האחד והיו האתרים האחרים לפליטהלגבי סכנת דיוג: דיוג הוא נסיון של פורצים להתחזות כאתר מסויים כדי לגרום למשתמש התמים להכניס לשם את הסיסמה שלך
אז, דבר ראשון: אם אתה משתמש בשירות סינון מבוסס רשימה לבנה כמו נטפרי, אתה בהרבה פחות סיכון, כי לרוב האתר של הדייג לא יהיה פתוח בסינון.
ב. הדרכים להתגונן:- שימוש במנהל סיסמאות, כי מנהל הסיסמאות לא יפול בפח וידע מיד שהכתובת של האתר הוא לא הכתובת הנכונה ולא יציע לך את הסיסמה של האתר האמיתי
- יש צורות אימות דו שלבי שמוגנים מפני סכנה זו - לא כולם
- זהירות על איזה קישורים אתה לוחץ ובאיזה אתרים אתה מכניס סיסמאות
לגבי סכנת "סתם ניחוש"
סיסמה חזקה הוא הגנה כמעט הרמטית נגד זהאתה רואה שאין סיכון ראשי שהפתרון המומלץ נגדו הוא הסתרת המייל שלך. זה יכול לעזור נגד "סתם ניחוש" אבל סיסמה חזקה סוגרת לגמרי את החור הזה.
כמובן, אני לא טוען שאני בקי באבטחה ושלא פיספסתי שום דבר. אשמח אם תתקנו אותי אתם חושבים שפיספסתי נקודה
-
- אין לי מושג מה ההיקף במציאות, אבל ודאי שלוירוס/רוגלה יש אפשרות לקבל גישה לסיסמאות שמורות ולעוגיות. אולי בנטפרי התוקף מתקשה לקבל את המידע?
- בהרבה אתרים הסיסמאות בשרת לא מגובבות בכלל. במקרה של גיבוב נכון כמעט בלתי אפשרי להגיע דרך הגיבוב לסיסמה אפילו בסיסמה נפוצה, בגלל המלח האישי.
- בדפדפן יש מנהל סיסמאות מובנה, והוא בסדר. אבל שימוש בלתי זהיר במחשב, כניסה במחשבים של אחרים לא זהירה, או במחשבים עם וירוסים, מביאה שוב לסעיף 1.
מנטור אישי למתכנתים (ולא רק) – להתקדם לשלב הבא!
בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@dovid כתב באבטחת חשבונות:
אין לי מושג מה ההיקף במציאות, אבל ודאי שלוירוס/רוגלה יש אפשרות לקבל גישה לסיסמאות שמורות ולעוגיות.
אני מקבל.
אבל גם אם נוסיף סכנה זו אין יתרון בשימוש במייל אחראולי בנטפרי התוקף מתקשה לקבל את המידע?
רוב הדרכים הנפוצות לייצוא מידע יהיו חסומות ברשת נטפרי
עיין למטהבהרבה אתרים הסיסמאות בשרת לא מגובבות בכלל
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
בכל מקרה, הדרכים להתגוננות זהות חוץ מסיסמה חזקה שלא יעזור מול סכנה זו -
@yossiz כתב באבטחת חשבונות:
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.
גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12 -
-
@n123456 כתב באבטחת חשבונות:
סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשבאם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידעבעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אבל זה ממש קשה לזכור לכל אתר את הסיסמה שלו אם אתה משתמש ביותר מ2 אתרים, והסיסמאות שלך מורכבות מכ 8 -15 תווים אותיות גדולות + קטנות+ מספרים +תו מיוחד - באופן אקראי ולא ITSmy100%
ולכן יש דבר שנקרא מנהל סיסמאות, הוא בעצם מציע לך סיסמאות באורך כזה רק מעורבל, וכזה שקשה לזכור בעל פה או לפרוץ אותו עם כח גס (לנסות את כל הסיסמאות עד שיצליחו), ומציע לך אותו אוטומטית בגישה לאתר ההוא בדף הLOGIN. -
-
@צבי-ש כתב באבטחת חשבונות:
בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אני לא כל כך מסכים. יש מספיק מידע רגיש שמור במחשב שלשמור גם סיסמאות לא מוסיף הרבה למדד הסיכון. אני לא מעודד לשמור סיסמאות בראש.
בנוסף לזה, ברוב מנהלי הסיסמאות הסיסמאות מוצפנים, ואם הגדרת סיסמה טובה כמעט בלתי אפשרי להגיע לסיסמאות
-
@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
תלוי איזה מנהל סיסמאות ואיזה מחשב (לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os), לכן מומלץ כמו שכתב חגי להפעיל אימות דו שלבי,
אבל זה יכול להיות גם keylogger שמקליט את הסיסמה שאתה מקליד בזמן אמת, או אפילו גניבה של הסשן מהדפדפן אחרי שאתה מחובר כברלכן בשקלול של הסיכון מצד אחד ומהצד השני הסיכון בשימוש בסיסמה חלשה/משותפת והסיכון להינעל מחוץ לחשבון, מנהל סיסמאות אמין עדיף
-
@צדיק-תמים כתב באבטחת חשבונות:
לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os
לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה. -
-
@n123456 כתב באבטחת חשבונות:
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
אם אתה מתכוון לאפליקציית אימות, אז הרבה פעמים מופיע ליד הברקוד לחצן שמאפשר להעתיק את הקוד הראשוני שהאתר יצר, בלי צורך לסרוק את הברקוד.
-
@n123456 כתב באבטחת חשבונות:
האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
לכן זה נחשב קצת פחות טוב מ-TOTP, אבל זה מספיק טוב לרוב אנשים, זה נכון שיש דרך להשתלט על מספר פלאפון, אבל זה סוג התקפה ממקודת וזה דורש משאבים, אם אתה לא אישיות מפורסמת או עובד בתפקיד רגיש לא צריך לדאוג יותר מדי מזה
לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
זה נקרא TOTP
דרך עבודת המנגנון הוא שסורקים ברקוד לאפליקציה, התוכן של הברקוד הוא קוד סודי, האפליקציה משתמשת בקוד ובשעה הנוחכית כדי לחולל קוד בן שש ספרות
המנגנון לא דורש אינטרנט כלל, כל המידע שצריך כדי לחולל את הקוד הוא הקוד הסודי שהיה בברקוד והשעה הנוכחית
זה גם לא דורש פלאפון עם מצלמה או אפליקציה
יש תוסף לדפדפן שיכול לסרוק את הברקוד ולחולל את הקודים
יש גם מנהלי סיסמאות שיודעים לעשות את זה
לפעמים האתר מסכים להעביר את הקוד הסודי כטקסט במקום ברקוד ואפשר להזין את הטקסט לאפליקציה במקום דרך הברקודהנה לדוגמה תמונה מאתר סלאק:
אם לוחצים על "Can"t scan this barcode?" מבקלים את הקוד הסודי כטקסט
