אבטחת חשבונות
-
@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
תלוי איזה מנהל סיסמאות ואיזה מחשב (לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os), לכן מומלץ כמו שכתב חגי להפעיל אימות דו שלבי,
אבל זה יכול להיות גם keylogger שמקליט את הסיסמה שאתה מקליד בזמן אמת, או אפילו גניבה של הסשן מהדפדפן אחרי שאתה מחובר כברלכן בשקלול של הסיכון מצד אחד ומהצד השני הסיכון בשימוש בסיסמה חלשה/משותפת והסיכון להינעל מחוץ לחשבון, מנהל סיסמאות אמין עדיף
@צדיק-תמים כתב באבטחת חשבונות:
לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os
לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@צדיק-תמים כתב באבטחת חשבונות:
לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os
לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה. -
שאלה לגבי אימות דו שלבי
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
-
שאלה לגבי אימות דו שלבי
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
@n123456 כתב באבטחת חשבונות:
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
אם אתה מתכוון לאפליקציית אימות, אז הרבה פעמים מופיע ליד הברקוד לחצן שמאפשר להעתיק את הקוד הראשוני שהאתר יצר, בלי צורך לסרוק את הברקוד.
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
-
שאלה לגבי אימות דו שלבי
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
@n123456 כתב באבטחת חשבונות:
האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
לכן זה נחשב קצת פחות טוב מ-TOTP, אבל זה מספיק טוב לרוב אנשים, זה נכון שיש דרך להשתלט על מספר פלאפון, אבל זה סוג התקפה ממקודת וזה דורש משאבים, אם אתה לא אישיות מפורסמת או עובד בתפקיד רגיש לא צריך לדאוג יותר מדי מזה
לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
זה נקרא TOTP
דרך עבודת המנגנון הוא שסורקים ברקוד לאפליקציה, התוכן של הברקוד הוא קוד סודי, האפליקציה משתמשת בקוד ובשעה הנוחכית כדי לחולל קוד בן שש ספרות
המנגנון לא דורש אינטרנט כלל, כל המידע שצריך כדי לחולל את הקוד הוא הקוד הסודי שהיה בברקוד והשעה הנוכחית
זה גם לא דורש פלאפון עם מצלמה או אפליקציה
יש תוסף לדפדפן שיכול לסרוק את הברקוד ולחולל את הקודים
יש גם מנהלי סיסמאות שיודעים לעשות את זה
לפעמים האתר מסכים להעביר את הקוד הסודי כטקסט במקום ברקוד ואפשר להזין את הטקסט לאפליקציה במקום דרך הברקודהנה לדוגמה תמונה מאתר סלאק:
אם לוחצים על "Can"t scan this barcode?" מבקלים את הקוד הסודי כטקסט - האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
-
קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS
-
קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS
@n123456 כתב באבטחת חשבונות:
קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS
הברקוד הוא סודי, ומוצג לך ביצירת החשבון,
האפליקציה מייצרת לך על פי אלגוריתם שלוקח את הזמן הנוכחי, + הברקוד קוד מספרי שאותו אתה מכניס לאתר,וככה האתר יודע שזה אתה שמנסה , כי ביצירת החשבון אתה קיבלת את הברקוד, ולא סתם גונב סיסמאות.
אם הפורץ השתלט על הפלאפון, הוא באמת יוכל לקחת גם את האפלקיציה, אבל במקרה כזה כל אימות דו שלבי לא יועיל..
זה עדיף מאשר SMS כי SMS אפשר ליירט גם בלי לקחת פיזית את המכשיר. -
אני מנסה להבין איך זה עובד
אם דרך הפורצים זה רק על ידי התמקדות על מישהו מסויים וחקירה אחריו וכו' אז מי שלא כזה אז דומה למי שגר באי בודד שהוא יכול להשאיר את הדלת פתוחה חופשי בדרך המשל שכתבת,אך אם יש אופן שזה אקראי במזדמן וזה מצוי, אז כל אחד צריך להרגיש כמו מישהו מוכר שצריך לחפש את מיטב אמצעי הזהירות
-
אתה קופץ מן הקצה אל הקצה.
במשל של הבית, הפורצים מבצעים את זה באקראי וזה מצוי? לא נראה לי, זה דוקא בדרך כלל עם התמקדות וחקירה וגם זה לא "מצוי" (תלוי בהגדרה כמובן).
בכל אופן במייל זה לא מצוי, אבל זה עלול להיות אקראי (לפחות בעיניך), וזה מספיק בשביל לא להרגיש באי בודד. -
@n123456 כתב באבטחת חשבונות:
בסדר לפתוח אותם על המייל שמשתמשים בו לשאר דברים
זה בסדר. אין שום בעיה שאנשים יודעים מה כתובת המייל שלך
מה שחשוב מאוד זה לשמור על "הגיינה" נכונה בנוגע לסיסמאותועוד כיוצא בזה המלצות לאבטחת חשבון
אני כותב את הכללים לפי סדר חשיבות (לענ"ד)
הכלל הכי חשוב:
חשבון המייל הוא החשבון הכי חשוב! זה המפתח לכל שאר החשבונות, ולכן צריך לשמור עליו בצורה נכונהאסור בשום פנים ואופן להשתמש בסיסמת המייל עבור שום חשבון אחר!
סיסמת חשבון המייל חייב להיות משהו שקשה לנחש. סיסמה ארוכה יחסית ולא לפי תבנית שקל לניחוש (כמו 123456 או תאריך הלידה שלך, או "סיסמה123" וכדומה)
והכי טוב שתגדיר אימות דו שלבי
(גוגל דורשים אימות נוסף בכל מקרה כאשר אתה נכנס ממחשב לא מוכר, כדאי שאתה תשלוט על זה ותגדיר את זה בהגדרות החשבון)הכלל השני בחשיבותו - אבל גם חשוב מאוד:
לא להשתמש באותו סיסמה עבור שום שני אתרים. לכל אתר סיסמה משלו!
אפשר להתפשר לגבי כלל זה לגבי אתרים לא חשובים. אבל באתרים חשובים כדאי מאוד להקפיד על זהכלל שלישי:
כדאי שכל סיסמה יהיה סיסמה חזקה, שזה אומר קשה לניחושכלל רביעי:
המחמירים (או ברוח הזמן
המהדרין) מגדירים אימות דו שלבי בכל מקום שמוצעת אפשרות כזאת
זה לא הכרחי בהרבה מקרים אבל כדאי עבור אתרים ששומרים מידע רגישאם תשמור על כללים אלו תהיה חייב להשתמש במנהל סיסמאות, שזה תוכנה שיוצרת ושומרת בשבילך סיסמאות
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בואני אישית שומר אצלי בזכרון רק שתי סיסמאות
הסיסמה של המייל שלי שהוא גם הסיסמה של מנהל הסיסמאות שלי אבל בשום פנים ואופן לא סיסמה של שום דבר אחר
(אני מאפשר לעצמי קולא זו להשתמש באותו סיסמה עבור מייל ומנהל סיסמאות, כי אני סומך על בטיחות מנהל הסיסמאות ושהסיסמה לא שמורה בשום מקום ברשת או במחשב, אם אתה רוצה להחמיר גם בזה, מה טוב)
סיסמה שנייה: סיסמה (קשה לניחוש אבל) קל לי לזכרון, אני משתמש בו רק עבור אתרים ממש לא חשובים
בשום פנים אני לא משתמש בו עבור אתרים חשובים
כל שאר הסיסמאות הם מחרוזות רנדומליים לגמרי ונשמרים במנהל הסיסמאות (הם נראים ככה:LUn2n.BV6oואין שום דרך לזכור אותם לבד)
(אני משתמש ב-1password עבור ניהול סיסמאות. אבל זה מוצר בתשלום אבל אפשר לגמרי להסתדר עם מוצרים חינמיים, פשוט החוויה שם הכי טובה)@yossiz כתב באבטחת חשבונות:
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בולפחות נכון ללפני כשנה-שנתיים, כרום היה שומר את הסיסמאות בקובץ לא מגובב.
(ככה אמרו בפודקאסט CyberCyber, לא בדקתי בעצמי).
זו חתיכת פירצה.
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....אני משתמש בKeePassXC, תוכנה חינמית, נהדרת, בקוד פתוח, כשהתחלתי להשתמש בה חקרתי קצת באינטרנט איך לפרוץ את ההצפנה של הDB שלה ולא מצאתי משהו פשוט.
אז החלטתי שזה נראה טוב.
יש בה גם אופציה לג'נרט סיסמאות לפי הגדרות, כדי שיהיה רנדומלי (המוח שלך כנראה אף פעם לא יצליח להמציא משהו רנדומלי באמת)
(ניסיתי לצלם מסך הPassword Genrator, אבל מסתבר שיש להם עוד אבטחה - ברגע שמנסים לצלם מסך התוכנה מתמעזרת.).@צבי-ש כתב באבטחת חשבונות:
@yossiz כתב באבטחת חשבונות:
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.
גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12וואלה!
תודה על הרעיון!@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
זו בדיוק הבעיה שהייתה עם מנהל הסיסמאות של כרום, וזה מה שוידאתי בתוכנה שאני משתמש בה - שהDB מוצפן.
-
@A-I-V זה שגוי, כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר) מזה עידן ועידנים. לא יודע אם תמיד אבל ודאי הרבה יותר מלפני שנתיים.
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ובמנהל סיסמאות של כרום יש גם הצעת סיסמאות.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@A-I-V זה שגוי, כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר) מזה עידן ועידנים. לא יודע אם תמיד אבל ודאי הרבה יותר מלפני שנתיים.
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ובמנהל סיסמאות של כרום יש גם הצעת סיסמאות. -
@yossiz כתב באבטחת חשבונות:
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בולפחות נכון ללפני כשנה-שנתיים, כרום היה שומר את הסיסמאות בקובץ לא מגובב.
(ככה אמרו בפודקאסט CyberCyber, לא בדקתי בעצמי).
זו חתיכת פירצה.
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....אני משתמש בKeePassXC, תוכנה חינמית, נהדרת, בקוד פתוח, כשהתחלתי להשתמש בה חקרתי קצת באינטרנט איך לפרוץ את ההצפנה של הDB שלה ולא מצאתי משהו פשוט.
אז החלטתי שזה נראה טוב.
יש בה גם אופציה לג'נרט סיסמאות לפי הגדרות, כדי שיהיה רנדומלי (המוח שלך כנראה אף פעם לא יצליח להמציא משהו רנדומלי באמת)
(ניסיתי לצלם מסך הPassword Genrator, אבל מסתבר שיש להם עוד אבטחה - ברגע שמנסים לצלם מסך התוכנה מתמעזרת.).@צבי-ש כתב באבטחת חשבונות:
@yossiz כתב באבטחת חשבונות:
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.
גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12וואלה!
תודה על הרעיון!@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
זו בדיוק הבעיה שהייתה עם מנהל הסיסמאות של כרום, וזה מה שוידאתי בתוכנה שאני משתמש בה - שהDB מוצפן.
@A-I-V כתב באבטחת חשבונות:
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....
למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה
-
@צדיק-תמים כתב באבטחת חשבונות:
שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי
כתבתי מערכת הפעלה, התמקדת בWindows. החוזק תלוי בקשיחותה של המערכת הפעלה. אתה רואה צורך לחזור על ההערה הזאת מאה פעמים?
מה שאתה מפספס זה ההיקף העצום של הנזק שיכולה לעשות תוכנה שרצה במחשב (כולל בmac). אז יש עוד נקודה ברשימה.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@A-I-V זה שגוי, כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר) מזה עידן ועידנים. לא יודע אם תמיד אבל ודאי הרבה יותר מלפני שנתיים.
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ובמנהל סיסמאות של כרום יש גם הצעת סיסמאות.@dovid כתב באבטחת חשבונות:
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ודאי.
אבל אם תוכנה לא מצפינה את הDB שלה בהצפנה מינמלית, (אם זה נגיש מאותו המשתמש בעיני זה לא מוצפן...)
זה לא תוכנה שאני אשתמש בה לניהול סיסמאות.@צדיק-תמים כתב באבטחת חשבונות:
למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה
ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות. -
@צדיק-תמים כתב באבטחת חשבונות:
שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי
כתבתי מערכת הפעלה, התמקדת בWindows. החוזק תלוי בקשיחותה של המערכת הפעלה. אתה רואה צורך לחזור על ההערה הזאת מאה פעמים?
מה שאתה מפספס זה ההיקף העצום של הנזק שיכולה לעשות תוכנה שרצה במחשב (כולל בmac). אז יש עוד נקודה ברשימה.@dovid זה שאפשר להזיק בדרכים אחרות לא אומר שצריך להתעלם מהקלות שאפשר לגשת למידע רגיש כ"כ
מכיוון שכתבת "הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר)" ראיתי צורך לציין שזה לא עניין של הצפנה יותר חלשה או פחות אלא שמערכת ההפעלה בכלל לא מנסה להגן מתוכנות רגילות שהמשתמש מריץ
