אבטחת חשבונות

n123456

שלום
אשמח למידע אודות אבטחת חשבונות חשובים כגון בנק, ברוקר וכיוצא
האם זה בסדר לפתוח אותם על המייל שמשתמשים בו לשאר דברים או שכדי לפתוח במייל נפרד שלא ידוע לאנשים, סיסמאות
ועוד כיוצא בזה המלצות לאבטחת חשבון

תודה רבה

yossiz

@n123456

@n123456 כתב באבטחת חשבונות:

בסדר לפתוח אותם על המייל שמשתמשים בו לשאר דברים

זה בסדר. אין שום בעיה שאנשים יודעים מה כתובת המייל שלך
מה שחשוב מאוד זה לשמור על "הגיינה" נכונה בנוגע לסיסמאות

ועוד כיוצא בזה המלצות לאבטחת חשבון

אני כותב את הכללים לפי סדר חשיבות (לענ"ד)

הכלל הכי חשוב:
חשבון המייל הוא החשבון הכי חשוב! זה המפתח לכל שאר החשבונות, ולכן צריך לשמור עליו בצורה נכונה

אסור בשום פנים ואופן להשתמש בסיסמת המייל עבור שום חשבון אחר!
סיסמת חשבון המייל חייב להיות משהו שקשה לנחש. סיסמה ארוכה יחסית ולא לפי תבנית שקל לניחוש (כמו 123456 או תאריך הלידה שלך, או "סיסמה123" וכדומה)
והכי טוב שתגדיר אימות דו שלבי
(גוגל דורשים אימות נוסף בכל מקרה כאשר אתה נכנס ממחשב לא מוכר, כדאי שאתה תשלוט על זה ותגדיר את זה בהגדרות החשבון)

הכלל השני בחשיבותו - אבל גם חשוב מאוד:
לא להשתמש באותו סיסמה עבור שום שני אתרים. לכל אתר סיסמה משלו!
אפשר להתפשר לגבי כלל זה לגבי אתרים לא חשובים. אבל באתרים חשובים כדאי מאוד להקפיד על זה

כלל שלישי:
כדאי שכל סיסמה יהיה סיסמה חזקה, שזה אומר קשה לניחוש

כלל רביעי:
המחמירים (או ברוח הזמן המהדרין) מגדירים אימות דו שלבי בכל מקום שמוצעת אפשרות כזאת
זה לא הכרחי בהרבה מקרים אבל כדאי עבור אתרים ששומרים מידע רגיש

אם תשמור על כללים אלו תהיה חייב להשתמש במנהל סיסמאות, שזה תוכנה שיוצרת ושומרת בשבילך סיסמאות
היום יש מנהל סיסמאות בסיסי מובנה בדפדפן כרום
זה מספיק לגמרי ומומלץ להשתמש בו

אני אישית שומר אצלי בזכרון רק שתי סיסמאות
הסיסמה של המייל שלי שהוא גם הסיסמה של מנהל הסיסמאות שלי אבל בשום פנים ואופן לא סיסמה של שום דבר אחר
(אני מאפשר לעצמי קולא זו להשתמש באותו סיסמה עבור מייל ומנהל סיסמאות, כי אני סומך על בטיחות מנהל הסיסמאות ושהסיסמה לא שמורה בשום מקום ברשת או במחשב, אם אתה רוצה להחמיר גם בזה, מה טוב)
סיסמה שנייה: סיסמה (קשה לניחוש אבל) קל לי לזכרון, אני משתמש בו רק עבור אתרים ממש לא חשובים
בשום פנים אני לא משתמש בו עבור אתרים חשובים
כל שאר הסיסמאות הם מחרוזות רנדומליים לגמרי ונשמרים במנהל הסיסמאות (הם נראים ככה: LUn2n.BV6o ואין שום דרך לזכור אותם לבד)
(אני משתמש ב-1password עבור ניהול סיסמאות. אבל זה מוצר בתשלום אבל אפשר לגמרי להסתדר עם מוצרים חינמיים, פשוט החוויה שם הכי טובה)

n123456

תודה רבה על ההסבר היה מאד מובן

ולמה לדעתך לא כדי לפתוח חשבון מייל נוסף רק לחשבונות כמו שציינתי- בנק וברוקר וכיוצא? זה לא יכול להגביר את רמת האבטחה?

dovid

@n123456 כתב באבטחת חשבונות:

ולמה לדעתך לא כדי לפתוח חשבון מייל נוסף רק לחשבונות כמו שציינתי- בנק וברוקר וכיוצא? זה לא יכול להגביר את רמת האבטחה?

כי זה בריחה מעיקר האחריות (ש@yossiz פירט) לכל מיני פתרונות זניחים שהמחיר שלהם גדול לאין ערוך על תועלת.
למשל: אם אדם ימרח סבון כל ערב על המרצפות בכניסה לביתו, רמת האבטחה של הבית שלו תעלה.
אבל הוא יבזבז על זה כל יום זמן בבוקר ובערב, חלק פעמים יחליק וישבור יד, וגם בסוף לא בטוח ינעל את הדלת כל יום כי הוא מרגיש שהוא כבר מספיק "משקיע" באבטחה.

yossiz

@n123456
אי אפשר לדבר על אבטחה בחלל ריק, כדי לדבר על אבטחה צריך לדעת מול מה אתה מתגונן
ובכן, מה הדרכים הנפוצות שפורצים מקבלים גישה לחשבונות?
נראה לי שיש שתי דרכים עקריים
א. פריצה לשרת (או הגדרה יותר גנרית: דליפת מידע באיזשהו דרך מהשרת)
ב. דיוג

דרך פחות נפוצה:
ג. סתם ניחוש

במקרה של פריצה לשרת, מה שקורה בד"כ הוא ש(במקרה הגרוע) מקבלים הפורצים גישה לכתובות מייל וסיסמאות "מוצפנות" (אני שם את המילה "מוצפנות" בגירשיים כי טכנית זה לא בדיוק הצפנה, אבל לצורך הענין אפשר לקרוא לזה כך)
ואז הם עוברים על כל הסיסמאות ומנסים לפצוח אותם עם תוכנה שמנסה כל צירוף תווים אפשרי ובודקים אם תוצאת הצפנת התווים מתאים לסיסמה המוצפנת שמצאו.
כדי להתגונן מפני סכנה זו, בוחרים סיסמה רנדומלית בלי תבנית, כי התוכנות שמפצחים סיסמאות מוצפנות תמיד מתחילים עם תבניות של סיסמאות הנפוצות ואז עוברים לנסות צירופי תווים רנדומליים
(אפשר לקבל פה השערה כמה זמן לוקח בכלים של היום לפצח סיסמה, רק השערה גסה, כי זה תלוי באיכות ה"הצפנה" ובאלגוריתם שבו הפורץ מנסה לנחש סיסמאות)
אם הוא הצליח לפצח את הסיסמה, הדבר הבא שהפורץ יעשה הוא לבדוק עם צירוף מייל וסיסמה זה יעבוד באתרים אחרים
לכן ההמלצה לא לעשות שימוש חוזר בסיסמאות, שאם יבוא פורץ לאתר האחד והיו האתרים האחרים לפליטה

לגבי סכנת דיוג: דיוג הוא נסיון של פורצים להתחזות כאתר מסויים כדי לגרום למשתמש התמים להכניס לשם את הסיסמה שלך
אז, דבר ראשון: אם אתה משתמש בשירות סינון מבוסס רשימה לבנה כמו נטפרי, אתה בהרבה פחות סיכון, כי לרוב האתר של הדייג לא יהיה פתוח בסינון.
ב. הדרכים להתגונן:

• שימוש במנהל סיסמאות, כי מנהל הסיסמאות לא יפול בפח וידע מיד שהכתובת של האתר הוא לא הכתובת הנכונה ולא יציע לך את הסיסמה של האתר האמיתי
• יש צורות אימות דו שלבי שמוגנים מפני סכנה זו - לא כולם
• זהירות על איזה קישורים אתה לוחץ ובאיזה אתרים אתה מכניס סיסמאות

לגבי סכנת "סתם ניחוש"
סיסמה חזקה הוא הגנה כמעט הרמטית נגד זה

אתה רואה שאין סיכון ראשי שהפתרון המומלץ נגדו הוא הסתרת המייל שלך. זה יכול לעזור נגד "סתם ניחוש" אבל סיסמה חזקה סוגרת לגמרי את החור הזה.

כמובן, אני לא טוען שאני בקי באבטחה ושלא פיספסתי שום דבר. אשמח אם תתקנו אותי אתם חושבים שפיספסתי נקודה

dovid

@yossiz

1. אין לי מושג מה ההיקף במציאות, אבל ודאי שלוירוס/רוגלה יש אפשרות לקבל גישה לסיסמאות שמורות ולעוגיות. אולי בנטפרי התוקף מתקשה לקבל את המידע?
2. בהרבה אתרים הסיסמאות בשרת לא מגובבות בכלל. במקרה של גיבוב נכון כמעט בלתי אפשרי להגיע דרך הגיבוב לסיסמה אפילו בסיסמה נפוצה, בגלל המלח האישי.
3. בדפדפן יש מנהל סיסמאות מובנה, והוא בסדר. אבל שימוש בלתי זהיר במחשב, כניסה במחשבים של אחרים לא זהירה, או במחשבים עם וירוסים, מביאה שוב לסעיף 1.

yossiz

@dovid כתב באבטחת חשבונות:

אין לי מושג מה ההיקף במציאות, אבל ודאי שלוירוס/רוגלה יש אפשרות לקבל גישה לסיסמאות שמורות ולעוגיות.

אני מקבל.
אבל גם אם נוסיף סכנה זו אין יתרון בשימוש במייל אחר

אולי בנטפרי התוקף מתקשה לקבל את המידע?

רוב הדרכים הנפוצות לייצוא מידע יהיו חסומות ברשת נטפרי
עיין למטה

בהרבה אתרים הסיסמאות בשרת לא מגובבות בכלל

אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה
בכל מקרה, הדרכים להתגוננות זהות חוץ מסיסמה חזקה שלא יעזור מול סכנה זו

צבי-ש

@yossiz כתב באבטחת חשבונות:

אני מקווה שאתה טועה. אתרים אלו אמורים להיות בפח הזבל של ההיסטוריה

שניכם צודקים, הוא שזה קיים, ואתה שהם צריכות להיות בפח הזבל של ההיסטוריה..
וזה למה אני מעדיף בכל אתר שיש התחברות עם חשבון גוגל, לעשות ככה, גם כי זה מהיר ויעיל יותר, וגם כי אף אחד לא שומר את הסיסמאות לא מוצפנות או עם MD5

היות ומדובר באבטחה, עדיף בלי קשר להוסיף "מלח" לכל סיסמה ואת המלח לא לשמור בשום מקום, אלא רק בראש, ואסביר.

גם המנהל סיסמאות של הדפדפן שניתן לגשת יחסית בקלות לסיסמאות השמורות שלו, וגם מנהלי סיסמאות שאם ח"ו ייפרצו, בשניהם אם אתה תוסיף אחרי התווים הרנדומלים שהוא מייצר אתה תוסיף את הספרות 12 (כדוגמא) ואותם לא תשמור בשום מנהל סיסמאות, אלא תדע שזה הסיסמה המובנית של המנהל + 12,
ככה בכל מצב שיפרצו לך, בין אם זה למנהל סיסמאות בדפדפן, בין להוא בתשלום שבנוי נורמלי, את הסיסמה שלך לא יהיה להם לשום אתר, גם אם הם יראו את הPLANTEXT עצמו, כי הוא לא שלם, אלא חסר בו 12

צדיק תמים

פוסט זה נמחק!

n123456

סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשב

אם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידע

צבי-ש

@n123456 כתב באבטחת חשבונות:

סליחה על הבורות אבל לגבי מנהל סיסמאות תמיד חשבתי שזה לא בטיחותי,למה לי שהסיסמאות יהיו שמורות איפה שהוא.
חשבתי תמיד שעדיף לשמור אותם בראש אם אפשר או בדרכים אחרות לא במחשב

אם אפשר הסבר על זה, נשמח
תודה רבה לכולם על המידע

בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ
אבל זה ממש קשה לזכור לכל אתר את הסיסמה שלו אם אתה משתמש ביותר מ2 אתרים, והסיסמאות שלך מורכבות מכ 8 -15 תווים אותיות גדולות + קטנות+ מספרים +תו מיוחד - באופן אקראי ולא ITSmy100%
ולכן יש דבר שנקרא מנהל סיסמאות, הוא בעצם מציע לך סיסמאות באורך כזה רק מעורבל, וכזה שקשה לזכור בעל פה או לפרוץ אותו עם כח גס (לנסות את כל הסיסמאות עד שיצליחו), ומציע לך אותו אוטומטית בגישה לאתר ההוא בדף הLOGIN.

n123456

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

yossiz

@צבי-ש כתב באבטחת חשבונות:

בעיקרון אתה צודק, עדיף שהכל יהיה לך בראש מאשר בקובץ

אני לא כל כך מסכים. יש מספיק מידע רגיש שמור במחשב שלשמור גם סיסמאות לא מוסיף הרבה למדד הסיכון. אני לא מעודד לשמור סיסמאות בראש.

בנוסף לזה, ברוב מנהלי הסיסמאות הסיסמאות מוצפנים, ואם הגדרת סיסמה טובה כמעט בלתי אפשרי להגיע לסיסמאות

חגי

@yossiz כתב באבטחת חשבונות:

רוב הדרכים הנפוצות לייצוא מידע יהיו חסומות ברשת נטפרי

טכנית נטפרי לא חוסמת את המידע שיוצא מהמחשב שלך, רק את התשובה מהשרת, אז כמובן שזה תלוי בצורה שבא המידע מיוצא, אבל זה ייתכן שזה לא ייחסם.

חגי

@n123456 המנהל סיסמאות עצמו יצטרך אישור שלך עם סיסמה\טביעת אצבע או כל מה שהגדרת בשביל להציג את הסיסמה עצמה. בשביל להשתמש בסיסמה הוא לא יבקש, ואז תסמוך על האימות דו שלבי.

צדיק תמים

@n123456 כתב באבטחת חשבונות:

אין דבר כזה שפורצים למחשב ואז כל הסיסמאות פתוחות לפורץ על ידי המנהל סיסמאות?

תלוי איזה מנהל סיסמאות ואיזה מחשב (לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os), לכן מומלץ כמו שכתב חגי להפעיל אימות דו שלבי,
אבל זה יכול להיות גם keylogger שמקליט את הסיסמה שאתה מקליד בזמן אמת, או אפילו גניבה של הסשן מהדפדפן אחרי שאתה מחובר כבר

לכן בשקלול של הסיכון מצד אחד ומהצד השני הסיכון בשימוש בסיסמה חלשה/משותפת והסיכון להינעל מחוץ לחשבון, מנהל סיסמאות אמין עדיף

dovid

@צדיק-תמים כתב באבטחת חשבונות:

לדוגמה במק המצב יותר טוב https://github.com/AlessandroZ/LaZagne#mac-os

לא יודע מה קורה בmac,
אבל אם הדפדפן יודע לקחת סיסמה שמורה, אז גם תוכנה אחרת יכולה.

yossiz

@dovid גם אני התקשיתי בזה עד שזכרתי שב-keychain במק הם בודקים את הזהות של התהליך שמבקש גישה (נראה לי לפי חתימה דיגיטלית של הבינארי) ותהליך שלא יצר את הסוד לא יכול לגשת בלי סיסמת המשתמש

n123456

שאלה לגבי אימות דו שלבי

1. האם גם אימות בSMS נחשב טוב לזה? זכור לי ששמעתי שזה פחות בטוח כי אקרים יודעים להשתלט על זה
   2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

קומפיונט

@n123456 כתב באבטחת חשבונות:

2.לגבי האימות שנהיה נפוץ היום דרך אפליקציה שמקבלים מספר. האם למשתמשי נטפרי בעלי טלפון ללא אינטרנט יש אפשרות איך שהוא לעשות את זה?

אם אתה מתכוון לאפליקציית אימות, אז הרבה פעמים מופיע ליד הברקוד לחצן שמאפשר להעתיק את הקוד הראשוני שהאתר יצר, בלי צורך לסרוק את הברקוד.