אבטחת חשבונות
-
אתה קופץ מן הקצה אל הקצה.
במשל של הבית, הפורצים מבצעים את זה באקראי וזה מצוי? לא נראה לי, זה דוקא בדרך כלל עם התמקדות וחקירה וגם זה לא "מצוי" (תלוי בהגדרה כמובן).
בכל אופן במייל זה לא מצוי, אבל זה עלול להיות אקראי (לפחות בעיניך), וזה מספיק בשביל לא להרגיש באי בודד. -
@yossiz כתב באבטחת חשבונות:
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בולפחות נכון ללפני כשנה-שנתיים, כרום היה שומר את הסיסמאות בקובץ לא מגובב.
(ככה אמרו בפודקאסט CyberCyber, לא בדקתי בעצמי).
זו חתיכת פירצה.
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....אני משתמש בKeePassXC, תוכנה חינמית, נהדרת, בקוד פתוח, כשהתחלתי להשתמש בה חקרתי קצת באינטרנט איך לפרוץ את ההצפנה של הDB שלה ולא מצאתי משהו פשוט.
אז החלטתי שזה נראה טוב.
יש בה גם אופציה לג'נרט סיסמאות לפי הגדרות, כדי שיהיה רנדומלי (המוח שלך כנראה אף פעם לא יצליח להמציא משהו רנדומלי באמת)
(ניסיתי לצלם מסך הPassword Genrator, אבל מסתבר שיש להם עוד אבטחה - ברגע שמנסים לצלם מסך התוכנה מתמעזרת.).@צבי-ש כתב באבטחת חשבונות:
@yossiz כתב באבטחת חשבונות:
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.
גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12וואלה!
תודה על הרעיון!@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
זו בדיוק הבעיה שהייתה עם מנהל הסיסמאות של כרום, וזה מה שוידאתי בתוכנה שאני משתמש בה - שהDB מוצפן.
-
@A-I-V זה שגוי, כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר) מזה עידן ועידנים. לא יודע אם תמיד אבל ודאי הרבה יותר מלפני שנתיים.
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ובמנהל סיסמאות של כרום יש גם הצעת סיסמאות. -
@צדיק-תמים כתב באבטחת חשבונות:
שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי
כתבתי מערכת הפעלה, התמקדת בWindows. החוזק תלוי בקשיחותה של המערכת הפעלה. אתה רואה צורך לחזור על ההערה הזאת מאה פעמים?
מה שאתה מפספס זה ההיקף העצום של הנזק שיכולה לעשות תוכנה שרצה במחשב (כולל בmac). אז יש עוד נקודה ברשימה. -
@dovid כתב באבטחת חשבונות:
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ודאי.
אבל אם תוכנה לא מצפינה את הDB שלה בהצפנה מינמלית, (אם זה נגיש מאותו המשתמש בעיני זה לא מוצפן...)
זה לא תוכנה שאני אשתמש בה לניהול סיסמאות.@צדיק-תמים כתב באבטחת חשבונות:
למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה
ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות. -
@dovid זה שאפשר להזיק בדרכים אחרות לא אומר שצריך להתעלם מהקלות שאפשר לגשת למידע רגיש כ"כ
מכיוון שכתבת "הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר)" ראיתי צורך לציין שזה לא עניין של הצפנה יותר חלשה או פחות אלא שמערכת ההפעלה בכלל לא מנסה להגן מתוכנות רגילות שהמשתמש מריץ -
@צדיק-תמים זה נושא ישן רמת ההקשחה של מערכת הפעלה.
זה לא נכון בכלל "לא מנסה", תומכי מייקרוסופט יגידו לך שחתיכת אבן הרבה יותר מוגנת מmac, כלומר להקשיח מחשב נייח ולהפוך אותו לדומה לסמארטפון שעשוי לדפוס מאוד קבוע של שימוש ופחות גמיש למקוריות זה מצויין, אבל זה מוצר אחר.
זה נכון באמת האחוזים שלרוב משתמשי הPC היה הכי טוב סוג של סמארטפון דסקטופי. אבל בא נמליץ להם לעבור לטאבלט או לmac, כי PC זה PC = מכונה פתוחה למה בא לך לעשות.
מחשב נייח מבחינה היסטורית דומה למעבד מזון. אתה יכול להכניס בפנים גם קרקרים זה יטחון אותם. זה לא מעניין אותו כלום. סמארטפון דומה יותר למכונת גלידות, אתה בוחר מה אתה רוצה רוצה וזה מה שיוצר, אתה לא צריך וגם לא יכול להתערב יותר מידי בשלבים. -
@dovid כתב באבטחת חשבונות:
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
כדי לגנוב מידע מKeePass צריך גישה ישירה לזכרון של התהליך בזמן שהתוכנה רצה, וכדי לגנוב סיסמאות מכרום צריך רק גישה לקבצים של כרום מתוך אותו משתמש.
-
@A-I-V כתב באבטחת חשבונות:
ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext....... -
@nigun כתב באבטחת חשבונות:
@A-I-V כתב באבטחת חשבונות:
ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext.......צודק.
תודה על הרעיון!
חוסם עכשיו בfirewall את KeepassXC. -
@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.
אם אתה מתנהג עם המחשב לפי הספר, ואתה ממושמע לכללי האבטחה הבסיסיים ש@yossiz מנה פה וליתר מה שההיגיון מכתיב, אתה מוגן ברמה סבירה מאוד. אם אתה רוצה להיות יותר מוגן, אתה צריך ללמוד אבטחת מידע או לשכור איש כזה. טיפים ועצות סבתא לא יעבדו פה. -
@dovid כתב באבטחת חשבונות:
אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.יש כל מיני גיקים מומחי אבטחה שמשתמשים בנגזרות של KeePass שרוצים להיות מוגנים גם במקרה שגוגל נפרץ (וכנראה לא סומכים על ג'ימייל אלא יש להם מייל על שרת שלהם וכדו')
לא חושב שזה להמציא את הגלגל זה פשוט לא נח ביחס לפתרונות האחרים שחיים בדפדפן (שגם עליהם מומחי אבטחה ממליצים) -
@dovid כתב באבטחת חשבונות:
@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר)
אני מניח שאם אהיה יעד למתקפה מטורגטת אישית כל זה לא יעזור,
אתה צודק.
אבל מול מתקפות רחבות, שיפילו את מי שלא נזהר מספיק, אני יותר מוגן כנראה.
אני רוצה להבין למה לדעתך זה "חמוד"?
מה לא טוב בKeePassXC?
ולמה זה מזיק?
כמובן גם על המחשב עצמו אני נזהר.
תוכנות שאני לא ודאי בהם - אני מריץ בSandbox, וכדומה. -
-
@nigun כתב באבטחת חשבונות:
אם אין לך גיבוי למסד נתונים והלך לך המחשב הלך לך על כל הסיסמאות.
כמובן שהוא מגובה.
@nigun כתב באבטחת חשבונות:
ובכל מקרה אם אתה חושש מפרצת אבטחה אצל גוגל אתה בצרות כי ברוב השירותים אפשר לשחזר סיסמה דרך המייל.
שוב,
ממתקפה מטורגטת אני פחות חושש וגם יש לי הרבה פחות איך להתגונן.
ממתקפה רוחבית?
אני עושה מה שאני יכול (סיסמא מסובכת ואימות דו שלבי).
האם אני חסין? ודאי שלא. -
@dovid כתב באבטחת חשבונות:
@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.
אם אתה מתנהג עם המחשב לפי הספר, ואתה ממושמע לכללי האבטחה הבסיסיים ש@yossiz מנה פה וליתר מה שההיגיון מכתיב, אתה מוגן ברמה סבירה מאוד. אם אתה רוצה להיות יותר מוגן, אתה צריך ללמוד אבטחת מידע או לשכור איש כזה. טיפים ועצות סבתא לא יעבדו פה.מסכים עם כל מילה אציתי להוסיף כמה מילים משלי
סליחה על השאלה, אבל האם זה רק יחידי סגולה שחושבים שלא צריך להירשם לאינספור אתרים עם אינספור סיסמאות?
לגבי הרשמה לאתרים לא מוכרים – באמת, למה זה נחוץ? כמו שאמא שלי תמיד אמרה: "לא מדברים עם זרים ברחוב." והעיקרון הזה נכון גם באינטרנט.
שמרו על עצמכם ועל המידע שלכם!
יש לך צורך להיכנס לאתר לא יודע השתמש ב-temppmailטיפ לגבי זכירת סיסמאות ללא שום צורך במנהל:
פעם אנשים היו זוכרים עשרות מספרי טלפון בעל-פה, אבל היום אף אחד לא זוכר אותם – למה? כי הפלאפון זוכר בשבילנו. זה לא אומר שאנחנו לא מסוגלים לזכור, אלא שפשוט אנחנו לא משתמשים ביכולת הזו. אותו דבר נכון גם לגבי סיסמאות. מי שחקר את תחום הזיכרון יודע שהאתגר הגדול הוא לא לזכור – אלא לשלוף את המידע. אז תיצרו לעצמכם "מפתחות" או סימנים שמובנים רק לכם, וזהו. אם תכתוב המפל הנסתר בקובץ טקסט אף אחד לא יידע שכוונתך לראובן גודלשטיין שהלכת איתו פעם אחת בישיבה גדולה למקום זה וכן הלאה (ראובן גולדשטיין בעצמו גם לא יידע).איך שאני כותב נזכרתי במשהו: יש שיר שאני ואח שלי המצאנו לעצמנו כילדים עם כל מיני קישקושים. רעיון מצויין בשבילי בשביל סיסמאות. אולי גם לכם יש משהו כזה....
-
@pcinfogmach כתב באבטחת חשבונות:
סליחה על השאלה, אבל האם זה רק יחידי סגולה שחושבים שלא צריך להירשם לאינספור אתרים עם אינספור סיסמאות?
לגבי הרשמה לאתרים לא מוכרים – באמת, למה זה נחוץ? כמו שאמא שלי תמיד אמרה: "לא מדברים עם זרים ברחוב." והעיקרון הזה נכון גם באינטרנט.
שמרו על עצמכם ועל המידע שלכם!
יש לך צורך להיכנס לאתר לא יודע השתמש ב-temppmailאו פשוט יותר מייל נפרד שלא מורכב מהמספר טלפון ועם שם אנונימי לכל הספאם.....
זה לא אומר שאנחנו לא מסוגלים לזכור, אלא שפשוט אנחנו לא משתמשים ביכולת הזו. אותו דבר נכון גם לגבי סיסמאות.
זהו שאם תשתמש רק במילים ומספרים לסיסמאות שלך הם יהיו מידי קלים ולפריצה (כי לרוב יכללו במתקפת מילון או שכבר נמצאים באיזה מאגר של סיסמאות פרוצות) ועדיין יהיה לך קשה לזכור סיסמה נפרדת לכל אתר.
למשל אם אתה רוצה לעשות סיסמה לבנק אז אתה תנסה לכתוב משהו בעברית על המקלדת באנגלית ואולי תכתוב vcbeakh123! ואז יש לך סיסמה ברמה בינונית (לא גבוה) ואז אחרי חצי שנה אתה צריך להחליף סיסמה אז אתה מבזבז חמש דקות ונסות להביא משהו יצירתי שאפשר לזכור + עומד בכללי הסיסמאות של הבנק + לא נמצא בשימוש במקום אחר.
וכל זה בשביל מה? -
@nigun כתב באבטחת חשבונות:
או פשוט יותר מייל נפרד שלא מורכב מהמספר טלפון ועם שם אנונימי לכל הספאם.....
זה הכל חלק מההרגל שאני תמה עליו - מאיפה כל הספאם הזה למה בדיוק יש לאנשים צורך להירשם לכל כך הרבה אתרים. מייל מיוחד לספאם רק מעודד התנהגות זו. יש אנשים שנהנים להירשם לכל מיני דברים להם זו אכן הצעה טובה, אבל המשתמש הפשוט - בשביל מה?
@nigun כתב באבטחת חשבונות:
תנסה לכתוב משהו בעברית על המקלדת באנגלית ואולי תכתוב vcbeakh123!
מעניין אם זה יעיל ההצעה הזו.
@nigun כתב באבטחת חשבונות:
זהו שאם תשתמש רק במילים ומספרים לסיסמאות שלך
אתה צודק במאה אחוז סיסמה חזקה לא משתשמת במילים ומספרים - "ראובן גולדשטיין" זה בחירה חלשה יחסית לסיסמה. ואם כבר אתה מזכיר את זה ראוי להדגיש את זה כי יש הרבה שעושים סיסמאות פשוט מגוכחות מבחינת הרמה שלהם.
אבל התיאוריה שלי עדיין בעינה עומדת לייצר סימן זו מסימה קלה למי שרגיל בכך. ודם מי שלא רגיל לזה עושה את זה בתת מודע - למשל: כל מי שזוכר מספר טלפון יוצר לעצמו קצב בדקלום של המספר שעוזר לו לשלוף אותו בקלות למרות שהמספר לכאורה רנדומלי. הסימנים שקל לנו לזכור משתנם מאדם לאדם - ישנם שסימן חזותי יותר מועיל להם, וישנם שסימן תחושתי, וישנם סימן דמיוני וכן הלאה. איך מחליטים מהו סימן טוב או לא? פשוט אם זה סימן שאיננו משתמש בתבנית ידועה.
רוב האנשים משתמשים במה שהזכרתי במספרי הטלפון - בקצב: כך שהסיסמה: tbd - *! - 52 - jsd מהווה דוגמא טובה לעיקרון זה (המקפים והרווחים לא חלק מהסיסמה) - לישראלים קצת יותר קשה עם האותיות אנגלית אז אפשר לעשות מה שאתה הצעת להקליד בעברית במקלדת מצב אנגלית וככה לזכור בקלות למשל: hkn - ! - pmo - !7. (ילמ - ! - פצם - 7!) פה יש גם חרוזים שעוזרים עוד יותר לזיכרון.אכן מי שבאמת קשה לו באמת אולי אין בשביל מה. לי דוקא היה מאוד מרתק להיווכח שזו מסימה קלה ביותר ושזה פשוט הכל נושא של הרגל.
הייתי ממליץ לכל אחד: צא ולמד קצת על נושא הזיכרון האנושי - זה ישנה לך את החיים בהרבה אופנים. וכשתתרגלו כבר תשאלו את עצמכם בשביל מה אני צריך תוכנה שתזכור לי מה שאני יכול לזכור בקלות בעצמי. אכן לא מתאים לכל אחד אבל בשביל מי שמתאים לו זה כלי מאוד נחמד לחיים.במאמר המוסגר: מסקרן אותי מאוד אם האקרים משתמשים היום ב-ai לניחוש סיסמאות.
