אבטחת חשבונות
-
סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשבאם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידע@n123456 כתב באבטחת חשבונות:
סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשבאם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידעבעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אבל זה ממש קשה לזכור לכל אתר את הסיסמה שלו אם אתה משתמש ביותר מ2 אתרים, והסיסמאות שלך מורכבות מכ 8 -15 תווים אותיות גדולות + קטנות+ מספרים +תו מיוחד - באופן אקראי ולא ITSmy100%
ולכן יש דבר שנקרא מנהל סיסמאות, הוא בעצם מציע לך סיסמאות באורך כזה רק מעורבל, וכזה שקשה לזכור בעל פה או לפרוץ אותו עם כח גס (לנסות את כל הסיסמאות עד שיצליחו), ומציע לך אותו אוטומטית בגישה לאתר ההוא בדף הLOGIN. -
@n123456 כתב באבטחת חשבונות:
סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשבאם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידעבעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אבל זה ממש קשה לזכור לכל אתר את הסיסמה שלו אם אתה משתמש ביותר מ2 אתרים, והסיסמאות שלך מורכבות מכ 8 -15 תווים אותיות גדולות + קטנות+ מספרים +תו מיוחד - באופן אקראי ולא ITSmy100%
ולכן יש דבר שנקרא מנהל סיסמאות, הוא בעצם מציע לך סיסמאות באורך כזה רק מעורבל, וכזה שקשה לזכור בעל פה או לפרוץ אותו עם כח גס (לנסות את כל הסיסמאות עד שיצליחו), ומציע לך אותו אוטומטית בגישה לאתר ההוא בדף הLOGIN.@צבי-ש כתב באבטחת חשבונות:
בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אני לא כל כך מסכים. יש מספיק מידע רגיש שמור במחשב שלשמור גם סיסמאות לא מוסיף הרבה למדד הסיכון. אני לא מעודד לשמור סיסמאות בראש.
בנוסף לזה, ברוב מנהלי הסיסמאות הסיסמאות מוצפנים, ואם הגדרת סיסמה טובה כמעט בלתי אפשרי להגיע לסיסמאות
-
@dovid כתב באבטחת חשבונות:
אין לי מושג מה ההיקף במציאות, אבל ודאי שלוירוס/רוגלה יש אפשרות לקבל גישה לסיסמאות שמורות ולעוגיות.
אני מקבל.
אבל גם אם נוסיף סכנה זו אין יתרון בשימוש במייל אחראולי בנטפרי התוקף מתקשה לקבל את המידע?
רוב הדרכים הנפוצות לייצוא מידע יהיו חסומות ברשת נטפרי
עיין למטהבהרבה אתרים הסיסמאות בשרת לא מגובבות בכלל
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
בכל מקרה, הדרכים להתגוננות זהות חוץ מסיסמה חזקה שלא יעזור מול סכנה זו -
@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
תלוי איזה מנהל סיסמאות ואיזה מחשב (לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os), לכן מומלץ כמו שכתב חגי להפעיל אימות דו שלבי,
אבל זה יכול להיות גם keylogger שמקליט את הסיסמה שאתה מקליד בזמן אמת, או אפילו גניבה של הסשן מהדפדפן אחרי שאתה מחובר כברלכן בשקלול של הסיכון מצד אחד ומהצד השני הסיכון בשימוש בסיסמה חלשה/משותפת והסיכון להינעל מחוץ לחשבון, מנהל סיסמאות אמין עדיף
-
@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
תלוי איזה מנהל סיסמאות ואיזה מחשב (לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os), לכן מומלץ כמו שכתב חגי להפעיל אימות דו שלבי,
אבל זה יכול להיות גם keylogger שמקליט את הסיסמה שאתה מקליד בזמן אמת, או אפילו גניבה של הסשן מהדפדפן אחרי שאתה מחובר כברלכן בשקלול של הסיכון מצד אחד ומהצד השני הסיכון בשימוש בסיסמה חלשה/משותפת והסיכון להינעל מחוץ לחשבון, מנהל סיסמאות אמין עדיף
@צדיק-תמים כתב באבטחת חשבונות:
לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os
לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה.- מנטור אישי בתכנות והמסתעף – להתקדם לשלב הבא!
- בכל נושא אפשר ליצור קשר dovid@tchumim.com
-
@צדיק-תמים כתב באבטחת חשבונות:
לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os
לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה. -
שאלה לגבי אימות דו שלבי
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
-
שאלה לגבי אימות דו שלבי
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
@n123456 כתב באבטחת חשבונות:
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
אם אתה מתכוון לאפליקציית אימות, אז הרבה פעמים מופיע ליד הברקוד לחצן שמאפשר להעתיק את הקוד הראשוני שהאתר יצר, בלי צורך לסרוק את הברקוד.
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
-
שאלה לגבי אימות דו שלבי
- האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
@n123456 כתב באבטחת חשבונות:
האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
לכן זה נחשב קצת פחות טוב מ-TOTP, אבל זה מספיק טוב לרוב אנשים, זה נכון שיש דרך להשתלט על מספר פלאפון, אבל זה סוג התקפה ממקודת וזה דורש משאבים, אם אתה לא אישיות מפורסמת או עובד בתפקיד רגיש לא צריך לדאוג יותר מדי מזה
לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?
זה נקרא TOTP
דרך עבודת המנגנון הוא שסורקים ברקוד לאפליקציה, התוכן של הברקוד הוא קוד סודי, האפליקציה משתמשת בקוד ובשעה הנוחכית כדי לחולל קוד בן שש ספרות
המנגנון לא דורש אינטרנט כלל, כל המידע שצריך כדי לחולל את הקוד הוא הקוד הסודי שהיה בברקוד והשעה הנוכחית
זה גם לא דורש פלאפון עם מצלמה או אפליקציה
יש תוסף לדפדפן שיכול לסרוק את הברקוד ולחולל את הקודים
יש גם מנהלי סיסמאות שיודעים לעשות את זה
לפעמים האתר מסכים להעביר את הקוד הסודי כטקסט במקום ברקוד ואפשר להזין את הטקסט לאפליקציה במקום דרך הברקודהנה לדוגמה תמונה מאתר סלאק:
אם לוחצים על "Can"t scan this barcode?" מבקלים את הקוד הסודי כטקסט - האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
-
קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS
-
קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS
@n123456 כתב באבטחת חשבונות:
קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS
הברקוד הוא סודי, ומוצג לך ביצירת החשבון,
האפליקציה מייצרת לך על פי אלגוריתם שלוקח את הזמן הנוכחי, + הברקוד קוד מספרי שאותו אתה מכניס לאתר,וככה האתר יודע שזה אתה שמנסה , כי ביצירת החשבון אתה קיבלת את הברקוד, ולא סתם גונב סיסמאות.
אם הפורץ השתלט על הפלאפון, הוא באמת יוכל לקחת גם את האפלקיציה, אבל במקרה כזה כל אימות דו שלבי לא יועיל..
זה עדיף מאשר SMS כי SMS אפשר ליירט גם בלי לקחת פיזית את המכשיר. -
אני מנסה להבין איך זה עובד
אם דרך הפורצים זה רק על ידי התמקדות על מישהו מסויים וחקירה אחריו וכו' אז מי שלא כזה אז דומה למי שגר באי בודד שהוא יכול להשאיר את הדלת פתוחה חופשי בדרך המשל שכתבת,אך אם יש אופן שזה אקראי במזדמן וזה מצוי, אז כל אחד צריך להרגיש כמו מישהו מוכר שצריך לחפש את מיטב אמצעי הזהירות
-
אתה קופץ מן הקצה אל הקצה.
במשל של הבית, הפורצים מבצעים את זה באקראי וזה מצוי? לא נראה לי, זה דוקא בדרך כלל עם התמקדות וחקירה וגם זה לא "מצוי" (תלוי בהגדרה כמובן).
בכל אופן במייל זה לא מצוי, אבל זה עלול להיות אקראי (לפחות בעיניך), וזה מספיק בשביל לא להרגיש באי בודד. -
@n123456 כתב באבטחת חשבונות:
בסדר לפתוח אותם על המייל שמשתמשים בו לשאר דברים
זה בסדר. אין שום בעיה שאנשים יודעים מה כתובת המייל שלך
מה שחשוב מאוד זה לשמור על "הגיינה" נכונה בנוגע לסיסמאותועוד כיוצא בזה המלצות לאבטחת חשבון
אני כותב את הכללים לפי סדר חשיבות (לענ"ד)
הכלל הכי חשוב:
חשבון המייל הוא החשבון הכי חשוב! זה המפתח לכל שאר החשבונות, ולכן צריך לשמור עליו בצורה נכונהאסור בשום פנים ואופן להשתמש בסיסמת המייל עבור שום חשבון אחר!
סיסמת חשבון המייל חייב להיות משהו שקשה לנחש. סיסמה ארוכה יחסית ולא לפי תבנית שקל לניחוש (כמו 123456 או תאריך הלידה שלך, או "סיסמה123" וכדומה)
והכי טוב שתגדיר אימות דו שלבי
(גוגל דורשים אימות נוסף בכל מקרה כאשר אתה נכנס ממחשב לא מוכר, כדאי שאתה תשלוט על זה ותגדיר את זה בהגדרות החשבון)הכלל השני בחשיבותו - אבל גם חשוב מאוד:
לא להשתמש באותו סיסמה עבור שום שני אתרים. לכל אתר סיסמה משלו!
אפשר להתפשר לגבי כלל זה לגבי אתרים לא חשובים. אבל באתרים חשובים כדאי מאוד להקפיד על זהכלל שלישי:
כדאי שכל סיסמה יהיה סיסמה חזקה, שזה אומר קשה לניחושכלל רביעי:
המחמירים (או ברוח הזמן
המהדרין) מגדירים אימות דו שלבי בכל מקום שמוצעת אפשרות כזאת
זה לא הכרחי בהרבה מקרים אבל כדאי עבור אתרים ששומרים מידע רגישאם תשמור על כללים אלו תהיה חייב להשתמש במנהל סיסמאות, שזה תוכנה שיוצרת ושומרת בשבילך סיסמאות
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בואני אישית שומר אצלי בזכרון רק שתי סיסמאות
הסיסמה של המייל שלי שהוא גם הסיסמה של מנהל הסיסמאות שלי אבל בשום פנים ואופן לא סיסמה של שום דבר אחר
(אני מאפשר לעצמי קולא זו להשתמש באותו סיסמה עבור מייל ומנהל סיסמאות, כי אני סומך על בטיחות מנהל הסיסמאות ושהסיסמה לא שמורה בשום מקום ברשת או במחשב, אם אתה רוצה להחמיר גם בזה, מה טוב)
סיסמה שנייה: סיסמה (קשה לניחוש אבל) קל לי לזכרון, אני משתמש בו רק עבור אתרים ממש לא חשובים
בשום פנים אני לא משתמש בו עבור אתרים חשובים
כל שאר הסיסמאות הם מחרוזות רנדומליים לגמרי ונשמרים במנהל הסיסמאות (הם נראים ככה:LUn2n.BV6oואין שום דרך לזכור אותם לבד)
(אני משתמש ב-1password עבור ניהול סיסמאות. אבל זה מוצר בתשלום אבל אפשר לגמרי להסתדר עם מוצרים חינמיים, פשוט החוויה שם הכי טובה)@yossiz כתב באבטחת חשבונות:
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בולפחות נכון ללפני כשנה-שנתיים, כרום היה שומר את הסיסמאות בקובץ לא מגובב.
(ככה אמרו בפודקאסט CyberCyber, לא בדקתי בעצמי).
זו חתיכת פירצה.
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....אני משתמש בKeePassXC, תוכנה חינמית, נהדרת, בקוד פתוח, כשהתחלתי להשתמש בה חקרתי קצת באינטרנט איך לפרוץ את ההצפנה של הDB שלה ולא מצאתי משהו פשוט.
אז החלטתי שזה נראה טוב.
יש בה גם אופציה לג'נרט סיסמאות לפי הגדרות, כדי שיהיה רנדומלי (המוח שלך כנראה אף פעם לא יצליח להמציא משהו רנדומלי באמת)
(ניסיתי לצלם מסך הPassword Genrator, אבל מסתבר שיש להם עוד אבטחה - ברגע שמנסים לצלם מסך התוכנה מתמעזרת.).@צבי-ש כתב באבטחת חשבונות:
@yossiz כתב באבטחת חשבונות:
אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.
גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12וואלה!
תודה על הרעיון!@n123456 כתב באבטחת חשבונות:
אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?
זו בדיוק הבעיה שהייתה עם מנהל הסיסמאות של כרום, וזה מה שוידאתי בתוכנה שאני משתמש בה - שהDB מוצפן.
