אבטחת חשבונות

n123456

אני מנסה להבין איך זה עובד
אם דרך הפורצים זה רק על ידי התמקדות על מישהו מסויים וחקירה אחריו וכו' אז מי שלא כזה אז דומה למי שגר באי בודד שהוא יכול להשאיר את הדלת פתוחה חופשי בדרך המשל שכתבת,

אך אם יש אופן שזה אקראי במזדמן וזה מצוי, אז כל אחד צריך להרגיש כמו מישהו מוכר שצריך לחפש את מיטב אמצעי הזהירות

dovid

אתה קופץ מן הקצה אל הקצה.
במשל של הבית, הפורצים מבצעים את זה באקראי וזה מצוי? לא נראה לי, זה דוקא בדרך כלל עם התמקדות וחקירה וגם זה לא "מצוי" (תלוי בהגדרה כמובן).
בכל אופן במייל זה לא מצוי, אבל זה עלול להיות אקראי (לפחות בעיניך), וזה מספיק בשביל לא להרגיש באי בודד.

A.I.V

@yossiz כתב באבטחת חשבונות:

היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בו

לפחות נכון ללפני כשנה-שנתיים, כרום היה שומר את הסיסמאות בקובץ לא מגובב.
(ככה אמרו בפודקאסט CyberCyber, לא בדקתי בעצמי).
זו חתיכת פירצה.
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....

אני משתמש בKeePassXC, תוכנה חינמית, נהדרת, בקוד פתוח, כשהתחלתי להשתמש בה חקרתי קצת באינטרנט איך לפרוץ את ההצפנה של הDB שלה ולא מצאתי משהו פשוט.
אז החלטתי שזה נראה טוב.
יש בה גם אופציה לג'נרט סיסמאות לפי הגדרות, כדי שיהיה רנדומלי (המוח שלך כנראה אף פעם לא יצליח להמציא משהו רנדומלי באמת)
(ניסיתי לצלם מסך הPassword Genrator, אבל מסתבר שיש להם עוד אבטחה - ברגע שמנסים לצלם מסך התוכנה מתמעזרת.).

@צבי-ש כתב באבטחת חשבונות:

@yossiz כתב באבטחת חשבונות:

אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה

שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5

היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.

גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12

וואלה!
תודה על הרעיון!

@n123456 כתב באבטחת חשבונות:

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

זו בדיוק הבעיה שהייתה עם מנהל הסיסמאות של כרום, וזה מה שוידאתי בתוכנה שאני משתמש בה - שהDB מוצפן.

dovid

@A-I-V זה שגוי, כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר) מזה עידן ועידנים. לא יודע אם תמיד אבל ודאי הרבה יותר מלפני שנתיים.
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ובמנהל סיסמאות של כרום יש גם הצעת סיסמאות.

צדיק תמים

@dovid כתב באבטחת חשבונות:

כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה

שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי

צדיק תמים

@A-I-V כתב באבטחת חשבונות:

ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....

למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה

dovid

@צדיק-תמים כתב באבטחת חשבונות:

שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי

כתבתי מערכת הפעלה, התמקדת בWindows. החוזק תלוי בקשיחותה של המערכת הפעלה. אתה רואה צורך לחזור על ההערה הזאת מאה פעמים?
מה שאתה מפספס זה ההיקף העצום של הנזק שיכולה לעשות תוכנה שרצה במחשב (כולל בmac). אז יש עוד נקודה ברשימה.

A.I.V

@dovid כתב באבטחת חשבונות:

ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.

ודאי.
אבל אם תוכנה לא מצפינה את הDB שלה בהצפנה מינמלית, (אם זה נגיש מאותו המשתמש בעיני זה לא מוצפן...)
זה לא תוכנה שאני אשתמש בה לניהול סיסמאות.

@צדיק-תמים כתב באבטחת חשבונות:

למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

צדיק תמים

@dovid זה שאפשר להזיק בדרכים אחרות לא אומר שצריך להתעלם מהקלות שאפשר לגשת למידע רגיש כ"כ
מכיוון שכתבת "הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר)" ראיתי צורך לציין שזה לא עניין של הצפנה יותר חלשה או פחות אלא שמערכת ההפעלה בכלל לא מנסה להגן מתוכנות רגילות שהמשתמש מריץ

dovid

@צדיק-תמים זה נושא ישן רמת ההקשחה של מערכת הפעלה.
זה לא נכון בכלל "לא מנסה", תומכי מייקרוסופט יגידו לך שחתיכת אבן הרבה יותר מוגנת מmac, כלומר להקשיח מחשב נייח ולהפוך אותו לדומה לסמארטפון שעשוי לדפוס מאוד קבוע של שימוש ופחות גמיש למקוריות זה מצויין, אבל זה מוצר אחר.
זה נכון באמת האחוזים שלרוב משתמשי הPC היה הכי טוב סוג של סמארטפון דסקטופי. אבל בא נמליץ להם לעבור לטאבלט או לmac, כי PC זה PC = מכונה פתוחה למה בא לך לעשות.
מחשב נייח מבחינה היסטורית דומה למעבד מזון. אתה יכול להכניס בפנים גם קרקרים זה יטחון אותם. זה לא מעניין אותו כלום. סמארטפון דומה יותר למכונת גלידות, אתה בוחר מה אתה רוצה רוצה וזה מה שיוצר, אתה לא צריך וגם לא יכול להתערב יותר מידי בשלבים.

nigun

@dovid כתב באבטחת חשבונות:

ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.

כדי לגנוב מידע מKeePass צריך גישה ישירה לזכרון של התהליך בזמן שהתוכנה רצה, וכדי לגנוב סיסמאות מכרום צריך רק גישה לקבצים של כרום מתוך אותו משתמש.

nigun

@A-I-V כתב באבטחת חשבונות:

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext.......

A.I.V

@nigun כתב באבטחת חשבונות:

@A-I-V כתב באבטחת חשבונות:

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext.......

צודק.
תודה על הרעיון!
חוסם עכשיו בfirewall את KeepassXC.

dovid

@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.
אם אתה מתנהג עם המחשב לפי הספר, ואתה ממושמע לכללי האבטחה הבסיסיים ש@yossiz מנה פה וליתר מה שההיגיון מכתיב, אתה מוגן ברמה סבירה מאוד. אם אתה רוצה להיות יותר מוגן, אתה צריך ללמוד אבטחת מידע או לשכור איש כזה. טיפים ועצות סבתא לא יעבדו פה.

nigun

@dovid כתב באבטחת חשבונות:

אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.

יש כל מיני גיקים מומחי אבטחה שמשתמשים בנגזרות של KeePass שרוצים להיות מוגנים גם במקרה שגוגל נפרץ (וכנראה לא סומכים על ג'ימייל אלא יש להם מייל על שרת שלהם וכדו')
לא חושב שזה להמציא את הגלגל זה פשוט לא נח ביחס לפתרונות האחרים שחיים בדפדפן (שגם עליהם מומחי אבטחה ממליצים)

A.I.V

@dovid כתב באבטחת חשבונות:

@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר)

אני מניח שאם אהיה יעד למתקפה מטורגטת אישית כל זה לא יעזור,
אתה צודק.
אבל מול מתקפות רחבות, שיפילו את מי שלא נזהר מספיק, אני יותר מוגן כנראה.
אני רוצה להבין למה לדעתך זה "חמוד"?
מה לא טוב בKeePassXC?
ולמה זה מזיק?
כמובן גם על המחשב עצמו אני נזהר.
תוכנות שאני לא ודאי בהם - אני מריץ בSandbox, וכדומה.

nigun

@A-I-V כתב באבטחת חשבונות:

מה לא טוב בKeePassXC?

אם אין לך גיבוי למסד נתונים והלך לך המחשב הלך לך על כל הסיסמאות.
ובכל מקרה אם אתה חושש מפרצת אבטחה אצל גוגל אתה בצרות כי ברוב השירותים אפשר לשחזר סיסמה דרך המייל.

A.I.V

@nigun כתב באבטחת חשבונות:

אם אין לך גיבוי למסד נתונים והלך לך המחשב הלך לך על כל הסיסמאות.

כמובן שהוא מגובה.

@nigun כתב באבטחת חשבונות:

ובכל מקרה אם אתה חושש מפרצת אבטחה אצל גוגל אתה בצרות כי ברוב השירותים אפשר לשחזר סיסמה דרך המייל.

שוב,
ממתקפה מטורגטת אני פחות חושש וגם יש לי הרבה פחות איך להתגונן.
ממתקפה רוחבית?
אני עושה מה שאני יכול (סיסמא מסובכת ואימות דו שלבי).
האם אני חסין? ודאי שלא.

pcinfogmach

@dovid כתב באבטחת חשבונות:

@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.
אם אתה מתנהג עם המחשב לפי הספר, ואתה ממושמע לכללי האבטחה הבסיסיים ש@yossiz מנה פה וליתר מה שההיגיון מכתיב, אתה מוגן ברמה סבירה מאוד. אם אתה רוצה להיות יותר מוגן, אתה צריך ללמוד אבטחת מידע או לשכור איש כזה. טיפים ועצות סבתא לא יעבדו פה.

מסכים עם כל מילה אציתי להוסיף כמה מילים משלי

סליחה על השאלה, אבל האם זה רק יחידי סגולה שחושבים שלא צריך להירשם לאינספור אתרים עם אינספור סיסמאות?
לגבי הרשמה לאתרים לא מוכרים – באמת, למה זה נחוץ? כמו שאמא שלי תמיד אמרה: "לא מדברים עם זרים ברחוב." והעיקרון הזה נכון גם באינטרנט.
שמרו על עצמכם ועל המידע שלכם!
יש לך צורך להיכנס לאתר לא יודע השתמש ב-temppmail

טיפ לגבי זכירת סיסמאות ללא שום צורך במנהל:
פעם אנשים היו זוכרים עשרות מספרי טלפון בעל-פה, אבל היום אף אחד לא זוכר אותם – למה? כי הפלאפון זוכר בשבילנו. זה לא אומר שאנחנו לא מסוגלים לזכור, אלא שפשוט אנחנו לא משתמשים ביכולת הזו. אותו דבר נכון גם לגבי סיסמאות. מי שחקר את תחום הזיכרון יודע שהאתגר הגדול הוא לא לזכור – אלא לשלוף את המידע. אז תיצרו לעצמכם "מפתחות" או סימנים שמובנים רק לכם, וזהו. אם תכתוב המפל הנסתר בקובץ טקסט אף אחד לא יידע שכוונתך לראובן גודלשטיין שהלכת איתו פעם אחת בישיבה גדולה למקום זה וכן הלאה (ראובן גולדשטיין בעצמו גם לא יידע).

איך שאני כותב נזכרתי במשהו: יש שיר שאני ואח שלי המצאנו לעצמנו כילדים עם כל מיני קישקושים. רעיון מצויין בשבילי בשביל סיסמאות. אולי גם לכם יש משהו כזה....

nigun

@pcinfogmach כתב באבטחת חשבונות:

סליחה על השאלה, אבל האם זה רק יחידי סגולה שחושבים שלא צריך להירשם לאינספור אתרים עם אינספור סיסמאות?
לגבי הרשמה לאתרים לא מוכרים – באמת, למה זה נחוץ? כמו שאמא שלי תמיד אמרה: "לא מדברים עם זרים ברחוב." והעיקרון הזה נכון גם באינטרנט.
שמרו על עצמכם ועל המידע שלכם!
יש לך צורך להיכנס לאתר לא יודע השתמש ב-temppmail

או פשוט יותר מייל נפרד שלא מורכב מהמספר טלפון ועם שם אנונימי לכל הספאם.....

זה לא אומר שאנחנו לא מסוגלים לזכור, אלא שפשוט אנחנו לא משתמשים ביכולת הזו. אותו דבר נכון גם לגבי סיסמאות.

זהו שאם תשתמש רק במילים ומספרים לסיסמאות שלך הם יהיו מידי קלים ולפריצה (כי לרוב יכללו במתקפת מילון או שכבר נמצאים באיזה מאגר של סיסמאות פרוצות) ועדיין יהיה לך קשה לזכור סיסמה נפרדת לכל אתר.

למשל אם אתה רוצה לעשות סיסמה לבנק אז אתה תנסה לכתוב משהו בעברית על המקלדת באנגלית ואולי תכתוב vcbeakh123! ואז יש לך סיסמה ברמה בינונית (לא גבוה) ואז אחרי חצי שנה אתה צריך להחליף סיסמה אז אתה מבזבז חמש דקות ונסות להביא משהו יצירתי שאפשר לזכור + עומד בכללי הסיסמאות של הבנק + לא נמצא בשימוש במקום אחר.
וכל זה בשביל מה?