אבטחת חשבונות

צדיק תמים

@n123456 כתב באבטחת חשבונות:

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

תלוי איזה מנהל סיסמאות ואיזה מחשב (לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os), לכן מומלץ כמו שכתב חגי להפעיל אימות דו שלבי,
אבל זה יכול להיות גם keylogger שמקליט את הסיסמה שאתה מקליד בזמן אמת, או אפילו גניבה של הסשן מהדפדפן אחרי שאתה מחובר כבר

לכן בשקלול של הסיכון מצד אחד ומהצד השני הסיכון בשימוש בסיסמה חלשה/משותפת והסיכון להינעל מחוץ לחשבון, מנהל סיסמאות אמין עדיף

dovid

@צדיק-תמים כתב באבטחת חשבונות:

לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os

לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה.

yossiz

@dovid גם אני התקשיתי בזה עד שזכרתי שב-keychain במק הם בודקים את הזהות של התהליך שמבקש גישה (נראה לי לפי חתימה דיגיטלית של הבינארי) ותהליך שלא יצר את הסוד לא יכול לגשת בלי סיסמת המשתמש

n123456

שאלה לגבי אימות דו שלבי

1. האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
   2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

קומפיונט

@n123456 כתב באבטחת חשבונות:

2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

אם אתה מתכוון לאפליקציית אימות, אז הרבה פעמים מופיע ליד הברקוד לחצן שמאפשר להעתיק את הקוד הראשוני שהאתר יצר, בלי צורך לסרוק את הברקוד.

yossiz

@n123456 כתב באבטחת חשבונות:

האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה

לכן זה נחשב קצת פחות טוב מ-TOTP, אבל זה מספיק טוב לרוב אנשים, זה נכון שיש דרך להשתלט על מספר פלאפון, אבל זה סוג התקפה ממקודת וזה דורש משאבים, אם אתה לא אישיות מפורסמת או עובד בתפקיד רגיש לא צריך לדאוג יותר מדי מזה

לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

זה נקרא TOTP
דרך עבודת המנגנון הוא שסורקים ברקוד לאפליקציה, התוכן של הברקוד הוא קוד סודי, האפליקציה משתמשת בקוד ובשעה הנוחכית כדי לחולל קוד בן שש ספרות
המנגנון לא דורש אינטרנט כלל, כל המידע שצריך כדי לחולל את הקוד הוא הקוד הסודי שהיה בברקוד והשעה הנוכחית
זה גם לא דורש פלאפון עם מצלמה או אפליקציה
יש תוסף לדפדפן שיכול לסרוק את הברקוד ולחולל את הקודים
יש גם מנהלי סיסמאות שיודעים לעשות את זה
לפעמים האתר מסכים להעביר את הקוד הסודי כטקסט במקום ברקוד ואפשר להזין את הטקסט לאפליקציה במקום דרך הברקוד

הנה לדוגמה תמונה מאתר סלאק:

אם לוחצים על "Can"t scan this barcode?" מבקלים את הקוד הסודי כטקסט

n123456

תודה רבה yossiz
מה שלא מובן לי זה שלפי מה שהבנתי זה שזה בדומה לSMS אמור לשלוח את הקוד למספר הטלפון של המשתמש,
איך התוסף הזה יכול להחליף את זה? הרי במקרה הרחוק של השתלטות על הפאלפון וכו' הפורץ בעצמו יוכל לעשות זאת עם התוסף.

נשמח ליותר מידע בזה

dovid

@n123456 אתה לא קראת טוב מה ש@yossiz כתב.
תקרא טוב, אם יש מילה או שורה לא מבינים שאל עליהם.

n123456

קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.

לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS

צבי-ש

@n123456 כתב באבטחת חשבונות:

קראתי שוב ועדיין לא הבנתי. כנראה חסר לי הבנה בנושא.
אולי לא הסברתי טוב מה קשה לי אחרי ההסבר של יוסי- על עוצמת ההגנה. נגיד מישהו פרץ למחשב ויודע את המשתמש והסיסמא והשתלט על הטלפון לקבל את הSMS. איך האימות הזה יגן על מקרה כזה, הרי הפורץ יכול לסרוק את הקוד בעצמו עם התוסף דפדפן.

לפני שיוסי כתב מה שכתב כאן, הייתי בטוח שזה קוד שנשלח לאפקליקציה של המספר פאלפון שהנה יותר איכותית מSMS

הברקוד הוא סודי, ומוצג לך ביצירת החשבון,
האפליקציה מייצרת לך על פי אלגוריתם שלוקח את הזמן הנוכחי, + הברקוד קוד מספרי שאותו אתה מכניס לאתר,וככה האתר יודע שזה אתה שמנסה , כי ביצירת החשבון אתה קיבלת את הברקוד, ולא סתם גונב סיסמאות.
אם הפורץ השתלט על הפלאפון, הוא באמת יוכל לקחת גם את האפלקיציה, אבל במקרה כזה כל אימות דו שלבי לא יועיל..
זה עדיף מאשר SMS כי SMS אפשר ליירט גם בלי לקחת פיזית את המכשיר.

n123456

למעשה מי שאינו מוכר ברשת בכלל ויש לו חשבונות כגון מייל וחשבון השקעות וכיוצא ויש לו סיסמאות טובות ואימות רק של SMS
יש אופנים שינסו לפרוץ לו?

dovid

לאחד בלתי מוכר שגר בדירה בקומה 3 ברחוב אלמוני בעיר פלונית,
יש סיכוי שינסו לפרוץ לו לבית?
אם זה סיכוי נמוך, אז האם הוא ישאיר את הדלת פתוחה בלילה, ואת"ל שכן, אז האם גם כשהוא נוסע לחופשה?

n123456

אני מנסה להבין איך זה עובד
אם דרך הפורצים זה רק על ידי התמקדות על מישהו מסויים וחקירה אחריו וכו' אז מי שלא כזה אז דומה למי שגר באי בודד שהוא יכול להשאיר את הדלת פתוחה חופשי בדרך המשל שכתבת,

אך אם יש אופן שזה אקראי במזדמן וזה מצוי, אז כל אחד צריך להרגיש כמו מישהו מוכר שצריך לחפש את מיטב אמצעי הזהירות

dovid

אתה קופץ מן הקצה אל הקצה.
במשל של הבית, הפורצים מבצעים את זה באקראי וזה מצוי? לא נראה לי, זה דוקא בדרך כלל עם התמקדות וחקירה וגם זה לא "מצוי" (תלוי בהגדרה כמובן).
בכל אופן במייל זה לא מצוי, אבל זה עלול להיות אקראי (לפחות בעיניך), וזה מספיק בשביל לא להרגיש באי בודד.

A.I.V

@yossiz כתב באבטחת חשבונות:

היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בו

לפחות נכון ללפני כשנה-שנתיים, כרום היה שומר את הסיסמאות בקובץ לא מגובב.
(ככה אמרו בפודקאסט CyberCyber, לא בדקתי בעצמי).
זו חתיכת פירצה.
ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....

אני משתמש בKeePassXC, תוכנה חינמית, נהדרת, בקוד פתוח, כשהתחלתי להשתמש בה חקרתי קצת באינטרנט איך לפרוץ את ההצפנה של הDB שלה ולא מצאתי משהו פשוט.
אז החלטתי שזה נראה טוב.
יש בה גם אופציה לג'נרט סיסמאות לפי הגדרות, כדי שיהיה רנדומלי (המוח שלך כנראה אף פעם לא יצליח להמציא משהו רנדומלי באמת)
(ניסיתי לצלם מסך הPassword Genrator, אבל מסתבר שיש להם עוד אבטחה - ברגע שמנסים לצלם מסך התוכנה מתמעזרת.).

@צבי-ש כתב באבטחת חשבונות:

@yossiz כתב באבטחת חשבונות:

אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה

שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5

היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.

גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12

וואלה!
תודה על הרעיון!

@n123456 כתב באבטחת חשבונות:

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

זו בדיוק הבעיה שהייתה עם מנהל הסיסמאות של כרום, וזה מה שוידאתי בתוכנה שאני משתמש בה - שהDB מוצפן.

dovid

@A-I-V זה שגוי, כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה (שכאמור בmac היא קשוחה יותר) מזה עידן ועידנים. לא יודע אם תמיד אבל ודאי הרבה יותר מלפני שנתיים.
ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.
ובמנהל סיסמאות של כרום יש גם הצעת סיסמאות.

צדיק תמים

@dovid כתב באבטחת חשבונות:

כרום משתמש עם הצפנת הקבצים של מערכת ההפעלה

שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי

צדיק תמים

@A-I-V כתב באבטחת חשבונות:

ובכללי, אני לא רוצה לשמור סיסמאות בצורה שיסתנכרן, שהסיסמאות שלי לא ישבו לעולם על שרת של מישהו אחר....

למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה

dovid

@צדיק-תמים כתב באבטחת חשבונות:

שמגינה רק מתוכנה שרצה במשתמש אחר ולא מתוכנה רגילה (בלי הפעלה כמנהל) שרצה במשתמש הנוכחי

כתבתי מערכת הפעלה, התמקדת בWindows. החוזק תלוי בקשיחותה של המערכת הפעלה. אתה רואה צורך לחזור על ההערה הזאת מאה פעמים?
מה שאתה מפספס זה ההיקף העצום של הנזק שיכולה לעשות תוכנה שרצה במחשב (כולל בmac). אז יש עוד נקודה ברשימה.

A.I.V

@dovid כתב באבטחת חשבונות:

ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.

ודאי.
אבל אם תוכנה לא מצפינה את הDB שלה בהצפנה מינמלית, (אם זה נגיש מאותו המשתמש בעיני זה לא מוצפן...)
זה לא תוכנה שאני אשתמש בה לניהול סיסמאות.

@צדיק-תמים כתב באבטחת חשבונות:

למנהל הססמאות של כרום יש אפשרות של הצפנה מקצה לקצה

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.