אבטחת חשבונות

yossiz

@n123456 כתב באבטחת חשבונות:

האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה

לכן זה נחשב קצת פחות טוב מ-TOTP, אבל זה מספיק טוב לרוב אנשים, זה נכון שיש דרך להשתלט על מספר פלאפון, אבל זה סוג התקפה ממקודת וזה דורש משאבים, אם אתה לא אישיות מפורסמת או עובד בתפקיד רגיש לא צריך לדאוג יותר מדי מזה

לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

זה נקרא TOTP
דרך עבודת המנגנון הוא שסורקים ברקוד לאפליקציה, התוכן של הברקוד הוא קוד סודי, האפליקציה משתמשת בקוד ובשעה הנוחכית כדי לחולל קוד בן שש ספרות
המנגנון לא דורש אינטרנט כלל, כל המידע שצריך כדי לחולל את הקוד הוא הקוד הסודי שהיה בברקוד והשעה הנוכחית
זה גם לא דורש פלאפון עם מצלמה או אפליקציה
יש תוסף לדפדפן שיכול לסרוק את הברקוד ולחולל את הקודים
יש גם מנהלי סיסמאות שיודעים לעשות את זה
לפעמים האתר מסכים להעביר את הקוד הסודי כטקסט במקום ברקוד ואפשר להזין את הטקסט לאפליקציה במקום דרך הברקוד

הנה לדוגמה תמונה מאתר סלאק:

אם לוחצים על "Can"t scan this barcode?" מבקלים את הקוד הסודי כטקסט

n123456

תודה רבה yossiz
מה שלא מובן לי זה שלפי מה שהבנתי זה שזה בדומה לSMS אמור לשלוח את הקוד למספר הטלפון של המשתמש,
איך התוסף הזה יכול להחליף את זה? הרי במקרה הרחוק של השתלטות על הפאלפון וכו' הפורץ בעצמו יוכל לעשות זאת עם התוסף.

נשמח ליותר מידע בזה

dovid

@n123456 אתה לא קראת טוב מה ש@yossiz כתב.
תקרא טוב, אם יש מילה או שורה לא מבינים שאל עליהם.

n123456

קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.

לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS

צבי-ש

@n123456 כתב באבטחת חשבונות:

קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.

לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS

הברקוד הוא סודי, ומוצג לך ביצירת החשבון,
האפליקציה מייצרת לך על פי אלגוריתם שלוקח את הזמן הנוכחי, + הברקוד קוד מספרי שאותו אתה מכניס לאתר,וככה האתר יודע שזה אתה שמנסה , כי ביצירת החשבון אתה קיבלת את הברקוד, ולא סתם גונב סיסמאות.
אם הפורץ השתלט על הפלאפון, הוא באמת יוכל לקחת גם את האפלקיציה, אבל במקרה כזה כל אימות דו שלבי לא יועיל..
זה עדיף מאשר SMS כי SMS אפשר ליירט גם בלי לקחת פיזית את המכשיר.

n123456

למעשה מי שאינו מוכר ברשת בכלל ויש לו חשבונות כגון מייל וחשבון השקעות וכיוצא ויש לו סיסמאות טובות ואימות רק של SMS
יש אופנים שינסו לפרוץ לו?

dovid

לאחד בלתי מוכר שגר בדירה בקומה 3 ברחוב אלמוני בעיר פלונית,
יש סיכוי שינסו לפרוץ לו לבית?
אם זה סיכוי נמוך, אז האם הוא ישאיר את הדלת פתוחה בלילה, ואת"ל שכן, אז האם גם כשהוא נוסע לחופשה?

n123456

אני מנסה להבין איך זה עובד
אם דרך הפורצים זה רק על ידי התמקדות על מישהו מסויים וחקירה אחריו וכו' אז מי שלא כזה אז דומה למי שגר באי בודד שהוא יכול להשאיר את הדלת פתוחה חופשי בדרך המשל שכתבת,

אך אם יש אופן שזה אקראי במזדמן וזה מצוי, אז כל אחד צריך להרגיש כמו מישהו מוכר שצריך לחפש את מיטב אמצעי הזהירות

dovid

אתה קופץ מן הקצה אל הקצה.
במשל של הבית, הפורצים מבצעים את זה באקראי וזה מצוי? לא נראה לי, זה דוקא בדרך כלל עם התמקדות וחקירה וגם זה לא "מצוי" (תלוי בהגדרה כמובן).
בכל אופן במייל זה לא מצוי, אבל זה עלול להיות אקראי (לפחות בעיניך), וזה מספיק בשביל לא להרגיש באי בודד.

A.I.V

@yossiz כתב באבטחת חשבונות:

היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בו

לפחות נכון ללפני כשנה-שנתיים, כרום היה שומר את הסיסמאות בקובץ לא מגובב.
(ככה אמרו בפודקאסט CyberCyber, לא בדקתי בעצמי).
זו חתיכת פירצה.
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....

אני משתמש בKeePassXC, תוכנה חינמית, נהדרת, בקוד פתוח, כשהתחלתי להשתמש בה חקרתי קצת באינטרנט איך לפרוץ את ההצפנה של הDB שלה ולא מצאתי משהו פשוט.
אז החלטתי שזה נראה טוב.
יש בה גם אופציה לג'נרט סיסמאות לפי הגדרות, כדי שיהיה רנדומלי (המוח שלך כנראה אף פעם לא יצליח להמציא משהו רנדומלי באמת)
(ניסיתי לצלם מסך הPassword Genrator, אבל מסתבר שיש להם עוד אבטחה - ברגע שמנסים לצלם מסך התוכנה מתמעזרת.).

@צבי-ש כתב באבטחת חשבונות:

@yossiz כתב באבטחת חשבונות:

אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה

שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5

היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.

גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12

וואלה!
תודה על הרעיון!

@n123456 כתב באבטחת חשבונות:

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

זו בדיוק הבעיה שהייתה עם מנהל הסיסמאות של כרום, וזה מה שוידאתי בתוכנה שאני משתמש בה - שהDB מוצפן.

dovid

@A-I-V זה שגוי, כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר) מזה עידן ועידנים. לא יודע אם תמיד אבל ודאי הרבה יותר מלפני שנתיים.
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ובמנהל סיסמאות של כרום יש גם הצעת סיסמאות.

צדיק תמים

@dovid כתב באבטחת חשבונות:

כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה

שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי

צדיק תמים

@A-I-V כתב באבטחת חשבונות:

ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....

למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה

dovid

@צדיק-תמים כתב באבטחת חשבונות:

שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי

כתבתי מערכת הפעלה, התמקדת בWindows. החוזק תלוי בקשיחותה של המערכת הפעלה. אתה רואה צורך לחזור על ההערה הזאת מאה פעמים?
מה שאתה מפספס זה ההיקף העצום של הנזק שיכולה לעשות תוכנה שרצה במחשב (כולל בmac). אז יש עוד נקודה ברשימה.

A.I.V

@dovid כתב באבטחת חשבונות:

ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.

ודאי.
אבל אם תוכנה לא מצפינה את הDB שלה בהצפנה מינמלית, (אם זה נגיש מאותו המשתמש בעיני זה לא מוצפן...)
זה לא תוכנה שאני אשתמש בה לניהול סיסמאות.

@צדיק-תמים כתב באבטחת חשבונות:

למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

צדיק תמים

@dovid זה שאפשר להזיק בדרכים אחרות לא אומר שצריך להתעלם מהקלות שאפשר לגשת למידע רגיש כ"כ
מכיוון שכתבת "הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר)" ראיתי צורך לציין שזה לא עניין של הצפנה יותר חלשה או פחות אלא שמערכת ההפעלה בכלל לא מנסה להגן מתוכנות רגילות שהמשתמש מריץ

dovid

@צדיק-תמים זה נושא ישן רמת ההקשחה של מערכת הפעלה.
זה לא נכון בכלל "לא מנסה", תומכי מייקרוסופט יגידו לך שחתיכת אבן הרבה יותר מוגנת מmac, כלומר להקשיח מחשב נייח ולהפוך אותו לדומה לסמארטפון שעשוי לדפוס מאוד קבוע של שימוש ופחות גמיש למקוריות זה מצויין, אבל זה מוצר אחר.
זה נכון באמת האחוזים שלרוב משתמשי הPC היה הכי טוב סוג של סמארטפון דסקטופי. אבל בא נמליץ להם לעבור לטאבלט או לmac, כי PC זה PC = מכונה פתוחה למה בא לך לעשות.
מחשב נייח מבחינה היסטורית דומה למעבד מזון. אתה יכול להכניס בפנים גם קרקרים זה יטחון אותם. זה לא מעניין אותו כלום. סמארטפון דומה יותר למכונת גלידות, אתה בוחר מה אתה רוצה רוצה וזה מה שיוצר, אתה לא צריך וגם לא יכול להתערב יותר מידי בשלבים.

nigun

@dovid כתב באבטחת חשבונות:

ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.

כדי לגנוב מידע מKeePass צריך גישה ישירה לזכרון של התהליך בזמן שהתוכנה רצה, וכדי לגנוב סיסמאות מכרום צריך רק גישה לקבצים של כרום מתוך אותו משתמש.

nigun

@A-I-V כתב באבטחת חשבונות:

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext.......

A.I.V

@nigun כתב באבטחת חשבונות:

@A-I-V כתב באבטחת חשבונות:

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext.......

צודק.
תודה על הרעיון!
חוסם עכשיו בfirewall את KeepassXC.