אבטחת חשבונות

dovid

@צדיק-תמים זה נושא ישן רמת ההקשחה של מערכת הפעלה.
זה לא נכון בכלל "לא מנסה", תומכי מייקרוסופט יגידו לך שחתיכת אבן הרבה יותר מוגנת מmac, כלומר להקשיח מחשב נייח ולהפוך אותו לדומה לסמארטפון שעשוי לדפוס מאוד קבוע של שימוש ופחות גמיש למקוריות זה מצויין, אבל זה מוצר אחר.
זה נכון באמת האחוזים שלרוב משתמשי הPC היה הכי טוב סוג של סמארטפון דסקטופי. אבל בא נמליץ להם לעבור לטאבלט או לmac, כי PC זה PC = מכונה פתוחה למה בא לך לעשות.
מחשב נייח מבחינה היסטורית דומה למעבד מזון. אתה יכול להכניס בפנים גם קרקרים זה יטחון אותם. זה לא מעניין אותו כלום. סמארטפון דומה יותר למכונת גלידות, אתה בוחר מה אתה רוצה רוצה וזה מה שיוצר, אתה לא צריך וגם לא יכול להתערב יותר מידי בשלבים.

nigun

@dovid כתב באבטחת חשבונות:

ואם פורצים למחשב יש בעיות בכל מערכת הפעלה ובכל תוכנה, כולל התוכנה שאתה משתמש בה.

כדי לגנוב מידע מKeePass צריך גישה ישירה לזכרון של התהליך בזמן שהתוכנה רצה, וכדי לגנוב סיסמאות מכרום צריך רק גישה לקבצים של כרום מתוך אותו משתמש.

nigun

@A-I-V כתב באבטחת חשבונות:

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext.......

A.I.V

@nigun כתב באבטחת חשבונות:

@A-I-V כתב באבטחת חשבונות:

ת'אמת, על גוגל אני יחסית סומך. הם חברת ענק ולא שווה להם לעבור על החוק.
אבל מטבע הדברים, השרתים שלהם נתונים לניסיונות פריצה.
תגיד לי שהקובץ מוצפן? שיהיה, כל דבר כמעט ניתן לעקיפה, גם אם א"א לפרוץ את ההצפנה, לא מופרך שיש מעקפים וחולשות.

יתכן גם מתקפה על הקוד מקור של KeePassXC
ואתה תעדכן את התוכנה והפורץ יקבל את כל הסיסמאות ישירות לשרת שלו בplantext.......

צודק.
תודה על הרעיון!
חוסם עכשיו בfirewall את KeepassXC.

dovid

@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.
אם אתה מתנהג עם המחשב לפי הספר, ואתה ממושמע לכללי האבטחה הבסיסיים ש@yossiz מנה פה וליתר מה שההיגיון מכתיב, אתה מוגן ברמה סבירה מאוד. אם אתה רוצה להיות יותר מוגן, אתה צריך ללמוד אבטחת מידע או לשכור איש כזה. טיפים ועצות סבתא לא יעבדו פה.

nigun

@dovid כתב באבטחת חשבונות:

אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.

יש כל מיני גיקים מומחי אבטחה שמשתמשים בנגזרות של KeePass שרוצים להיות מוגנים גם במקרה שגוגל נפרץ (וכנראה לא סומכים על ג'ימייל אלא יש להם מייל על שרת שלהם וכדו')
לא חושב שזה להמציא את הגלגל זה פשוט לא נח ביחס לפתרונות האחרים שחיים בדפדפן (שגם עליהם מומחי אבטחה ממליצים)

A.I.V

@dovid כתב באבטחת חשבונות:

@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר)

אני מניח שאם אהיה יעד למתקפה מטורגטת אישית כל זה לא יעזור,
אתה צודק.
אבל מול מתקפות רחבות, שיפילו את מי שלא נזהר מספיק, אני יותר מוגן כנראה.
אני רוצה להבין למה לדעתך זה "חמוד"?
מה לא טוב בKeePassXC?
ולמה זה מזיק?
כמובן גם על המחשב עצמו אני נזהר.
תוכנות שאני לא ודאי בהם - אני מריץ בSandbox, וכדומה.

nigun

@A-I-V כתב באבטחת חשבונות:

מה לא טוב בKeePassXC?

אם אין לך גיבוי למסד נתונים והלך לך המחשב הלך לך על כל הסיסמאות.
ובכל מקרה אם אתה חושש מפרצת אבטחה אצל גוגל אתה בצרות כי ברוב השירותים אפשר לשחזר סיסמה דרך המייל.

A.I.V

@nigun כתב באבטחת חשבונות:

אם אין לך גיבוי למסד נתונים והלך לך המחשב הלך לך על כל הסיסמאות.

כמובן שהוא מגובה.

@nigun כתב באבטחת חשבונות:

ובכל מקרה אם אתה חושש מפרצת אבטחה אצל גוגל אתה בצרות כי ברוב השירותים אפשר לשחזר סיסמה דרך המייל.

שוב,
ממתקפה מטורגטת אני פחות חושש וגם יש לי הרבה פחות איך להתגונן.
ממתקפה רוחבית?
אני עושה מה שאני יכול (סיסמא מסובכת ואימות דו שלבי).
האם אני חסין? ודאי שלא.

pcinfogmach

@dovid כתב באבטחת חשבונות:

@A-I-V אתה חי באשליה שהטכניקות (החמודות במקרה הטוב, והמזיקות ביתר) האלו מגינות עליך.
אני יכול להמליץ על זה את המאמר "אין בור ירא חטא". כל עוד אינך מומחים באבטחה, עדיף להיות ילד טוב מאשר אויבער חוכעם.
אם אתה מתנהג עם המחשב לפי הספר, ואתה ממושמע לכללי האבטחה הבסיסיים ש@yossiz מנה פה וליתר מה שההיגיון מכתיב, אתה מוגן ברמה סבירה מאוד. אם אתה רוצה להיות יותר מוגן, אתה צריך ללמוד אבטחת מידע או לשכור איש כזה. טיפים ועצות סבתא לא יעבדו פה.

מסכים עם כל מילה אציתי להוסיף כמה מילים משלי

סליחה על השאלה, אבל האם זה רק יחידי סגולה שחושבים שלא צריך להירשם לאינספור אתרים עם אינספור סיסמאות?
לגבי הרשמה לאתרים לא מוכרים – באמת, למה זה נחוץ? כמו שאמא שלי תמיד אמרה: "לא מדברים עם זרים ברחוב." והעיקרון הזה נכון גם באינטרנט.
שמרו על עצמכם ועל המידע שלכם!
יש לך צורך להיכנס לאתר לא יודע השתמש ב-temppmail

טיפ לגבי זכירת סיסמאות ללא שום צורך במנהל:
פעם אנשים היו זוכרים עשרות מספרי טלפון בעל-פה, אבל היום אף אחד לא זוכר אותם – למה? כי הפלאפון זוכר בשבילנו. זה לא אומר שאנחנו לא מסוגלים לזכור, אלא שפשוט אנחנו לא משתמשים ביכולת הזו. אותו דבר נכון גם לגבי סיסמאות. מי שחקר את תחום הזיכרון יודע שהאתגר הגדול הוא לא לזכור – אלא לשלוף את המידע. אז תיצרו לעצמכם "מפתחות" או סימנים שמובנים רק לכם, וזהו. אם תכתוב המפל הנסתר בקובץ טקסט אף אחד לא יידע שכוונתך לראובן גודלשטיין שהלכת איתו פעם אחת בישיבה גדולה למקום זה וכן הלאה (ראובן גולדשטיין בעצמו גם לא יידע).

איך שאני כותב נזכרתי במשהו: יש שיר שאני ואח שלי המצאנו לעצמנו כילדים עם כל מיני קישקושים. רעיון מצויין בשבילי בשביל סיסמאות. אולי גם לכם יש משהו כזה....

nigun

@pcinfogmach כתב באבטחת חשבונות:

סליחה על השאלה, אבל האם זה רק יחידי סגולה שחושבים שלא צריך להירשם לאינספור אתרים עם אינספור סיסמאות?
לגבי הרשמה לאתרים לא מוכרים – באמת, למה זה נחוץ? כמו שאמא שלי תמיד אמרה: "לא מדברים עם זרים ברחוב." והעיקרון הזה נכון גם באינטרנט.
שמרו על עצמכם ועל המידע שלכם!
יש לך צורך להיכנס לאתר לא יודע השתמש ב-temppmail

או פשוט יותר מייל נפרד שלא מורכב מהמספר טלפון ועם שם אנונימי לכל הספאם.....

זה לא אומר שאנחנו לא מסוגלים לזכור, אלא שפשוט אנחנו לא משתמשים ביכולת הזו. אותו דבר נכון גם לגבי סיסמאות.

זהו שאם תשתמש רק במילים ומספרים לסיסמאות שלך הם יהיו מידי קלים ולפריצה (כי לרוב יכללו במתקפת מילון או שכבר נמצאים באיזה מאגר של סיסמאות פרוצות) ועדיין יהיה לך קשה לזכור סיסמה נפרדת לכל אתר.

למשל אם אתה רוצה לעשות סיסמה לבנק אז אתה תנסה לכתוב משהו בעברית על המקלדת באנגלית ואולי תכתוב vcbeakh123! ואז יש לך סיסמה ברמה בינונית (לא גבוה) ואז אחרי חצי שנה אתה צריך להחליף סיסמה אז אתה מבזבז חמש דקות ונסות להביא משהו יצירתי שאפשר לזכור + עומד בכללי הסיסמאות של הבנק + לא נמצא בשימוש במקום אחר.
וכל זה בשביל מה?

pcinfogmach

@nigun כתב באבטחת חשבונות:

או פשוט יותר מייל נפרד שלא מורכב מהמספר טלפון ועם שם אנונימי לכל הספאם.....

זה הכל חלק מההרגל שאני תמה עליו - מאיפה כל הספאם הזה למה בדיוק יש לאנשים צורך להירשם לכל כך הרבה אתרים. מייל מיוחד לספאם רק מעודד התנהגות זו. יש אנשים שנהנים להירשם לכל מיני דברים להם זו אכן הצעה טובה, אבל המשתמש הפשוט - בשביל מה?

@nigun כתב באבטחת חשבונות:

תנסה לכתוב משהו בעברית על המקלדת באנגלית ואולי תכתוב vcbeakh123!

מעניין אם זה יעיל ההצעה הזו.

@nigun כתב באבטחת חשבונות:

זהו שאם תשתמש רק במילים ומספרים לסיסמאות שלך

אתה צודק במאה אחוז סיסמה חזקה לא משתשמת במילים ומספרים - "ראובן גולדשטיין" זה בחירה חלשה יחסית לסיסמה. ואם כבר אתה מזכיר את זה ראוי להדגיש את זה כי יש הרבה שעושים סיסמאות פשוט מגוכחות מבחינת הרמה שלהם.

אבל התיאוריה שלי עדיין בעינה עומדת לייצר סימן זו מסימה קלה למי שרגיל בכך. ודם מי שלא רגיל לזה עושה את זה בתת מודע - למשל: כל מי שזוכר מספר טלפון יוצר לעצמו קצב בדקלום של המספר שעוזר לו לשלוף אותו בקלות למרות שהמספר לכאורה רנדומלי. הסימנים שקל לנו לזכור משתנם מאדם לאדם - ישנם שסימן חזותי יותר מועיל להם, וישנם שסימן תחושתי, וישנם סימן דמיוני וכן הלאה. איך מחליטים מהו סימן טוב או לא? פשוט אם זה סימן שאיננו משתמש בתבנית ידועה.
רוב האנשים משתמשים במה שהזכרתי במספרי הטלפון - בקצב: כך שהסיסמה: tbd - *! - 52 - jsd מהווה דוגמא טובה לעיקרון זה (המקפים והרווחים לא חלק מהסיסמה) - לישראלים קצת יותר קשה עם האותיות אנגלית אז אפשר לעשות מה שאתה הצעת להקליד בעברית במקלדת מצב אנגלית וככה לזכור בקלות למשל: hkn - ! - pmo - !7. (ילמ - ! - פצם - 7!) פה יש גם חרוזים שעוזרים עוד יותר לזיכרון.

אכן מי שבאמת קשה לו באמת אולי אין בשביל מה. לי דוקא היה מאוד מרתק להיווכח שזו מסימה קלה ביותר ושזה פשוט הכל נושא של הרגל.
הייתי ממליץ לכל אחד: צא ולמד קצת על נושא הזיכרון האנושי - זה ישנה לך את החיים בהרבה אופנים. וכשתתרגלו כבר תשאלו את עצמכם בשביל מה אני צריך תוכנה שתזכור לי מה שאני יכול לזכור בקלות בעצמי. אכן לא מתאים לכל אחד אבל בשביל מי שמתאים לו זה כלי מאוד נחמד לחיים.

במאמר המוסגר: מסקרן אותי מאוד אם האקרים משתמשים היום ב-ai לניחוש סיסמאות.

yossiz

@pcinfogmach כתב באבטחת חשבונות:

טיפ לגבי זכירת סיסמאות ללא שום צורך במנהל:

טיפ יפה למקרה שצריך לזכור סיסמה, אבל עדיין ההמלצה הכללית הוא להשתמש במנהל סיסמאות
ואם זה מנהל הסיסמאות של כרום, לא עברת על אחד משלושת החמורות
אם זה מנהל אחר, מה טוב
לגבי keepassxc: אין שם גיבוי מובנה לענן, צריך ליזהר כאשר נותנים עצה לאדם פחות טכני/זהיר/מכיר

nigun

@pcinfogmach כתב באבטחת חשבונות:

אבל התיאוריה שלי עדיין בעינה עומדת לייצר סימן זו מסימה קלה למי שרגיל בכך. ודם מי שלא רגיל לזה עושה את זה בתת מודע - למשל: כל מי שזוכר מספר טלפון יוצר לעצמו קצב בדקלום של המספר שעוזר לו לשלוף אותו בקלות למרות שהמספר לכאורה רנדומלי. הסימנים שקל לנו לזכור משתנם מאדם לאדם - ישנם שסימן חזותי יותר מועיל להם, וישנם שסימן תחושתי, וישנם סימן דמיוני וכן הלאה. איך מחליטים מהו סימן טוב או לא? פשוט אם זה סימן שאיננו משתמש בתבנית ידועה.
רוב האנשים משתמשים במה שהזכרתי במספרי הטלפון - בקצב: כך שהסיסמה: tbd - *! - 52 - jsd מהווה דוגמא טובה לעיקרון זה (המקפים והרווחים לא חלק מהסיסמה) - לישראלים קצת יותר קשה עם האותיות אנגלית אז אפשר לעשות מה שאתה הצעת להקליד בעברית במקלדת מצב אנגלית וככה לזכור בקלות למשל: hkn - ! - pmo - !7. (ילמ - ! - פצם - 7!) פה יש גם חרוזים שעוזרים עוד יותר לזיכרון.

אכן מי שבאמת קשה לו באמת אולי אין בשביל מה. לי דוקא היה מאוד מרתק להיווכח שזו מסימה קלה ביותר ושזה פשוט הכל נושא של הרגל.

הכל נחמד אם אתה צריך לזכור 3 סיסמאות
אבל אם יש לך חשבונות ב10-20 אתרים (בלי ספאם) זה נהיה אתגר לזכור את הכל בלי מהל סיסמאות, ומהר מאוד ימצא את עצמו משתמש באותו סיסמה לשני אתרים

A.I.V

@yossiz כתב באבטחת חשבונות:

לגבי keepassxc: אין שם גיבוי מובנה לענן, צריך ליזהר כאשר נותנים עצה לאדם פחות טכני/זהיר/מכיר

כתבתי בפירוש, ובעיני זה יתרון...