אבטחת חשבונות

צדיק תמים

פוסט זה נמחק!

n123456

סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשב

אם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידע

צבי-ש

@n123456 כתב באבטחת חשבונות:

סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשב

אם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידע

בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אבל זה ממש קשה לזכור לכל אתר את הסיסמה שלו אם אתה משתמש ביותר מ2 אתרים, והסיסמאות שלך מורכבות מכ 8 -15 תווים אותיות גדולות + קטנות+ מספרים +תו מיוחד - באופן אקראי ולא ITSmy100%
ולכן יש דבר שנקרא מנהל סיסמאות, הוא בעצם מציע לך סיסמאות באורך כזה רק מעורבל, וכזה שקשה לזכור בעל פה או לפרוץ אותו עם כח גס (לנסות את כל הסיסמאות עד שיצליחו), ומציע לך אותו אוטומטית בגישה לאתר ההוא בדף הLOGIN.

n123456

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

yossiz

@צבי-ש כתב באבטחת חשבונות:

בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ

אני לא כל כך מסכים. יש מספיק מידע רגיש שמור במחשב שלשמור גם סיסמאות לא מוסיף הרבה למדד הסיכון. אני לא מעודד לשמור סיסמאות בראש.

בנוסף לזה, ברוב מנהלי הסיסמאות הסיסמאות מוצפנים, ואם הגדרת סיסמה טובה כמעט בלתי אפשרי להגיע לסיסמאות

חגי

@yossiz כתב באבטחת חשבונות:

רוב הדרכים הנפוצות לייצוא מידע יהיו חסומות ברשת נטפרי

טכנית נטפרי לא חוסמת את המידע שיוצא מהמחשב שלך, רק את התשובה מהשרת, אז כמובן שזה תלוי בצורה שבא המידע מיוצא, אבל זה ייתכן שזה לא ייחסם.

חגי

@n123456 המנהל סיסמאות עצמו יצטרך אישור שלך עם סיסמה\טביעת אצבע או כל מה שהגדרת בשביל להציג את הסיסמה עצמה. בשביל להשתמש בסיסמה הוא לא יבקש, ואז תסמוך על האימות דו שלבי.

צדיק תמים

@n123456 כתב באבטחת חשבונות:

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

תלוי איזה מנהל סיסמאות ואיזה מחשב (לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os), לכן מומלץ כמו שכתב חגי להפעיל אימות דו שלבי,
אבל זה יכול להיות גם keylogger שמקליט את הסיסמה שאתה מקליד בזמן אמת, או אפילו גניבה של הסשן מהדפדפן אחרי שאתה מחובר כבר

לכן בשקלול של הסיכון מצד אחד ומהצד השני הסיכון בשימוש בסיסמה חלשה/משותפת והסיכון להינעל מחוץ לחשבון, מנהל סיסמאות אמין עדיף

dovid

@צדיק-תמים כתב באבטחת חשבונות:

לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os

לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה.

yossiz

@dovid גם אני התקשיתי בזה עד שזכרתי שב-keychain במק הם בודקים את הזהות של התהליך שמבקש גישה (נראה לי לפי חתימה דיגיטלית של הבינארי) ותהליך שלא יצר את הסוד לא יכול לגשת בלי סיסמת המשתמש

n123456

שאלה לגבי אימות דו שלבי

1. האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
   2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

קומפיונט

@n123456 כתב באבטחת חשבונות:

2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

אם אתה מתכוון לאפליקציית אימות, אז הרבה פעמים מופיע ליד הברקוד לחצן שמאפשר להעתיק את הקוד הראשוני שהאתר יצר, בלי צורך לסרוק את הברקוד.

yossiz

@n123456 כתב באבטחת חשבונות:

האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה

לכן זה נחשב קצת פחות טוב מ-TOTP, אבל זה מספיק טוב לרוב אנשים, זה נכון שיש דרך להשתלט על מספר פלאפון, אבל זה סוג התקפה ממקודת וזה דורש משאבים, אם אתה לא אישיות מפורסמת או עובד בתפקיד רגיש לא צריך לדאוג יותר מדי מזה

לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

זה נקרא TOTP
דרך עבודת המנגנון הוא שסורקים ברקוד לאפליקציה, התוכן של הברקוד הוא קוד סודי, האפליקציה משתמשת בקוד ובשעה הנוחכית כדי לחולל קוד בן שש ספרות
המנגנון לא דורש אינטרנט כלל, כל המידע שצריך כדי לחולל את הקוד הוא הקוד הסודי שהיה בברקוד והשעה הנוכחית
זה גם לא דורש פלאפון עם מצלמה או אפליקציה
יש תוסף לדפדפן שיכול לסרוק את הברקוד ולחולל את הקודים
יש גם מנהלי סיסמאות שיודעים לעשות את זה
לפעמים האתר מסכים להעביר את הקוד הסודי כטקסט במקום ברקוד ואפשר להזין את הטקסט לאפליקציה במקום דרך הברקוד

הנה לדוגמה תמונה מאתר סלאק:

אם לוחצים על "Can"t scan this barcode?" מבקלים את הקוד הסודי כטקסט

n123456

תודה רבה yossiz
מה שלא מובן לי זה שלפי מה שהבנתי זה שזה בדומה לSMS אמור לשלוח את הקוד למספר הטלפון של המשתמש,
איך התוסף הזה יכול להחליף את זה? הרי במקרה הרחוק של השתלטות על הפאלפון וכו' הפורץ בעצמו יוכל לעשות זאת עם התוסף.

נשמח ליותר מידע בזה

dovid

@n123456 אתה לא קראת טוב מה ש@yossiz כתב.
תקרא טוב, אם יש מילה או שורה לא מבינים שאל עליהם.

n123456

קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.

לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS

צבי-ש

@n123456 כתב באבטחת חשבונות:

קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.

לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS

הברקוד הוא סודי, ומוצג לך ביצירת החשבון,
האפליקציה מייצרת לך על פי אלגוריתם שלוקח את הזמן הנוכחי, + הברקוד קוד מספרי שאותו אתה מכניס לאתר,וככה האתר יודע שזה אתה שמנסה , כי ביצירת החשבון אתה קיבלת את הברקוד, ולא סתם גונב סיסמאות.
אם הפורץ השתלט על הפלאפון, הוא באמת יוכל לקחת גם את האפלקיציה, אבל במקרה כזה כל אימות דו שלבי לא יועיל..
זה עדיף מאשר SMS כי SMS אפשר ליירט גם בלי לקחת פיזית את המכשיר.

n123456

למעשה מי שאינו מוכר ברשת בכלל ויש לו חשבונות כגון מייל וחשבון השקעות וכיוצא ויש לו סיסמאות טובות ואימות רק של SMS
יש אופנים שינסו לפרוץ לו?

dovid

לאחד בלתי מוכר שגר בדירה בקומה 3 ברחוב אלמוני בעיר פלונית,
יש סיכוי שינסו לפרוץ לו לבית?
אם זה סיכוי נמוך, אז האם הוא ישאיר את הדלת פתוחה בלילה, ואת"ל שכן, אז האם גם כשהוא נוסע לחופשה?

n123456

אני מנסה להבין איך זה עובד
אם דרך הפורצים זה רק על ידי התמקדות על מישהו מסויים וחקירה אחריו וכו' אז מי שלא כזה אז דומה למי שגר באי בודד שהוא יכול להשאיר את הדלת פתוחה חופשי בדרך המשל שכתבת,

אך אם יש אופן שזה אקראי במזדמן וזה מצוי, אז כל אחד צריך להרגיש כמו מישהו מוכר שצריך לחפש את מיטב אמצעי הזהירות