אבטחת יתר = סכנת אבטחה

3 פברואר 2009

הקשחת האבטחה במערכות מידע מסרבלת לנו את החיים. זה ידוע ומוסכם. וכשמדובר במערכת ניהול חשבון הבנק שלנו, הבנק לא חס ומבקש להזדהות ע"י מספר שדות שמבחינתנו הם לפעמים כולם סיסמאות.
וסיסמאות של בנק הרי רחוקות מלהרשות סיסמה בנוסח "123456".

ואנחנו? רגועים ובטוחים. הרי לא נרצה להזדהות מול חסכונות חיינו עם openID או עם חשבון הפייסבוק. כל הכבוד לבנק. דואג לנו.

טעות! הבנק לא שומר עליך – הוא שומר עליו.

אני קורא למי שזוכר את כל פרטי ההזדהות שלו לאתר הבנק שיגיב "איל אתה מדבר שטויות. מאיפה אתה מקריץ את הזבל הזה?".
ומה עושים כל השאר, אלו שאין להם זיכרון של איש הגשם ועדיין לא רוצים לכתת רגליהם אל המסניפומט? אחד משניים:

  1. מדביקים פתק על המסך, או רושמים בפנקס במגירה. לפחות 2 מהשדות. "אבל את הסיסמה השלישית אני זוכר בראש"…
  2. משתמשים במערכת ניהול סיסמאות של הדפדפן (שכולם פרוצים בטיפשותם, בעיקר כרום), או איזה כלי שהורידו מהרשת.

אז איפה אנחנו עומדים? חשבון בנק על סף פריצה. אבל מה שחשוב – זה בגללנו. הבנק עשה את שלו, בשכל.

בפועל, כנראה שאותו חשבון פייסבוק שלנו מוגן יותר. אולי היינו באמת מוגנים יותר עם שדות שם משתמש וסיסמה סטנדרטיים, פלוס שדה מזהה אישי הידוע רק לנו ולקרובינו.

תגובות

מאת זיו:

מדוייק!
השבוע ניסיתי להכנס לחשבון הבנק שלי באתר של לאומי ולא זכרתי את הסיסמה. ולא רק שלא זכרתי, גם זכרתי בערפול שיש לי עד שלושה נסיונות לפני שהכניסה תחסם, אבל לא ידעתי את זה בוודאות, וזה הלחיץ אותי עוד יותר.

ועכשיו אני צריך לגשת לסניף הבנק שלי כדי לקבל סיסמה חדשה. אז אחלה, ממש פספסתם את המטרה – לחסוך לי את הטרחה. עכשיו אני בכל זאת צריך לגשת לבנק.

אוף, מי מסוגל בכלל לזכור את שלושת השדות הכל כך לא זכירים האלה?!
הפתרון הוא באמת לרשום את זה על פתק (שאני מקווה שהמנקה לא תמצא. אחלה אבטחת מידע!)

מאת ניצן:

הבעיה היא לא הסיסמאות
כמו שהיא מנהלי אבטחת מידע מטומטמים. למשל, לאומי-קול דורש החלפת סיסמא כל שלושה חודשים כמו גם שהסיסמא לא תהייה דומה לשתי הסיסמאות הקודמות ולא תכיל אף רצף תווים של יותר משניים צמודים. אחרי כמה פעמים אתה כבר מאבד מעקב אחרי הסיסמאות ובסוף התומך מסביר לך ש 121212 היא סיסמא תקפה. אני תוהה לכמה אנשים יש סיסמאות כמו זו.

מאת אלעד:

PassPack / RoboForm
אני אישית משתמש בשירות בשם PassPack
http://www.passpack.com

עוזר לי לשמור את כל הסיסמאות שלי ונגיש מכל מקום. ניכר שהוא מאובטח.
רק צריך לדאוג לעדכן אותו אחרי שהבנק מבקש לשנות סיסמה.

על המחשב הביתי יש לי RoboForm שעושה עבודה מעולה.

מאת איל שחר:

גמני
גם אני רכשתי את רובופורם. הוא כנראה מאובטח, אבל גם הוא בסופו של דבר מתחבא מאחורי סיסמה אחת גנרית…

מאת אלעד:

ללא נושא
סיסמה גנרית שיושבת מאחורי פלדלת (ליטרלי) :)

מאת אמיתי טויטו:

….
"איל אתה מדבר שטויות. מאיפה אתה מקריץ את הזבל הזה?"

סתם. לא זבל.
אבל אני זוכר את שלי.

אני בהחלט מתבאס על זה כל פעם מחדש ומחפד פחד מוות כשאני מפספס תו וזה מודיע לי שהסיסמא שגויה (שחס ושלום לא אאלץ לדדות לסניף ולחתום על עוד מליארד דפים בשביל סיסמא חדשה).
אבל אני לא חושב שבשלב הזה יש אפשרות אחרת.
אפשר להוריד אולי שדה אחד ולהשאיר אותנו עם שם משתמש וסיסמא כמו כל אתר אחר (בנינו? פריצה למייל או לחשבון הפייסבוק תכאיב לא פחות).

מאת אביגיל:

ממש השבוע
נתקלנו באופן אישי בגניבת לפטופ ובשליפה קלילה של מסמך ססמאות שנשמר עליו. למזלנו היינו יותר זריזים מהפורץ (השלומפר למדי) והספקנו להחליף את כל הססמאות לפניו.

ואגב, לכתת רגליים ולא לחטט רגליים :)

מאת איל שחר:

פדיחה
תודה אביגיל.
לא רוצה לדמיין מה המשמעות של גניבת הלפטופ שלי…

מאת איתי:

אז ככה
קודם כל – בכל אתר נותנים סיסמה שונה ולא בכולם את אותה סיסמה.
החצי הראשון של הסיסמה (נגיד 5-6 תווים) הוא קבוע בכל האתרים ואותו תמיד זוכרים. החצי השני של הסיסמה שונה מאתר לאתר ואותו (ורק אותו) רושמים על פתק שמוצמד למחשב (או בקובץ על הלפטופ).
חצי סיסמה לא תיתן הרבה למי שרואה אותה ואת החצי השני – קשה ככל שיהיה – תמיד זוכרים כי תמיד משתמשים בה (גם אם לא נכנסת ל-YouTube שלך כמה חודשים, הרי שהשתמשת בחצי הראשון ב-GMail או במשהו אחר).

לגבי ההערה של ניצן – חייבים להחליף את הסיסמה פעם במספר חודשים (ומעדכנים את הפתק).
סיסמה היא דבר פריץ ואפשר לאתר כל סיסמה אם מריצים מספיק נסיונות מספיק זמן (ולכן מצד המערכת חשוב שהיא תחסום את הגישה לאחר מס' נסיונות כושלים – לפחות למשך מס' שעות – כך שהפריצה תמשך יותר זמן).
יכול להיות שמישהו יחליט שהוא מנסה לאתר סיסמה בכל מקרה – גם אם זה ייקח לו 20 או 30 שנה על מספר מחשבים. במידה והסיסמה מתחלפת פעם בכמה חודשים (ולא זהה לסיסמאות האחרונות) זה לא יעבוד לו – הוא יהיה צריך להתחיל את הנסיונות בכל פעם מחדש כי אולי אחד הנסיונות שהיו שגויים בעבר הפך להיות לסיסמה הנכונה.

מאת בזנ"ט:

"איזה כלי שהורידו מהרשת"
ממליץ על KEYPASS

מאת בזנ"ט:

סליחה
keepass

מאת ---:

לאיתי
רעיון נחמד עם החצי-סיסמה
=]

מאת shimi810:

איתי, רעיון מאוד טוב עם חצי הסיסמא. ובכלל כל התגובה שלך נתנה לי עצות.

עכשיו כנראה נצטרך להיכנס לכל אתר ולהתחיל להחליף סיסמאות (כל עוד אפשרי. לא מבין למה יש אתרים שחוסמים זאת [ולא, לא הבנקים])

*לא רמזתי שום דבר לגבי הסיסמאות, אין לי סיסמא אחת לכל האתרים.

אגב, בלוג מצויין! את הבלוג הישן הכנסתי לקורא ה-RSS אך לא הספקתי לקרוא בו הרבה… עכשיו מבטיח להכניס את הבלוג החדש ל-RSS ולקרוא בו (גם אם לא אגיב לפוססטים).

מאת יותם לאופר:

גם אני צריך להחליף סיסמא כל 3 חודשים. אין פרצת אבטחה גדולה מזה בעיני. אומנם אני זוכר את הסיסמא שלי, אבל זה מיותר. הנה תהליך ההזדהות שלי מול חשבון הבנק הישן שלי באנגליה:

התהליך מורכב מ 3 רכיבים: לוגין שאתה מקבל מהבנק ולא ניתן לשינוי, תאריך יומולדת, סיסמא מספרית בלבד.

קודם אתה צריך להקיש את הלוגין ואז אתה עובר לעמוד שבו אתה צריך להקיש את היומולדת ואת הסיסמא. העניין המעניין הוא שאתה לעולם לא מקיש את כל הסיסמא. המערכת בוחרת 3 תווים מהסיסמא ומבקשת אותם. כלומר, היא יכולה לבקש את המספר הראשון, השלישי ואחד לפני אחרון.

ככה אין דרך אינקרמנטלית לעלות על הסיסמא שלך.

מאת אש:

ניתן לקנות במחיר די סימלי USB סטיק עם הגנה ביומטרית (טביעת אצבע)
עליו שים את הרובופורם ודומיו ואתה מסודר ומאובטח.

מאת שמואל:

הרעיון של חצי סיסמה מאד יצירתי
אני פועל לפיו מזה מספר שנים אבל בלי פתקים

השיטה שלי היא חצי סיסמה + אלגוריתם פשוט מאד מאד שאני מצליח לחשב בשניה שבו אני מקודד חלק משם האתר כך שבכל אתר יש סיסמה שונה

למשל [לא הצורה שבה אני משתמש]
אני קובע כסיסמה 123456
ואז לפייסבוק זה יהיה 123f45k6m
שמתם לב? אחרי 3 מספרים [שמתרגלים אליהם במהירות] שמתי את האות הראשונה של האתר, אחרי עוד 2 את האות האחרונה, ואחרי המספר האחרון את האות האחרונה של סיומת הדומיין.

כך אני יכול להכנס לכל אתר גם אחרי המון זמן שלא הייתי בו.

[אני עושה את זה מסובך יותר כי כך פייסבוק "ידעו" שהסיסמה שלי בג'ימייל היא 123g45l6m אז יש לי איזה אלגוריתם שמחליף עוד קצת, אבל תנו לדמיון שלכם להמציא ותתרגלו מהר]

[…] כדאי גם לקרוא: 1 – הסיסמה-האוניברסלית-שלך-5-טיפים 2 – אבטחת יתר = סכנת אבטחה […]

תודה מאמר מיוחד תודה

מאת משה:

אש…
זאת בדיוק הבעיה. ונניח שנכווית באצבע הביומטרית שלך? אתה תקוע בלי אפשרות להכנס לאף אתר..

מאת דן בידנר:

ממליץ על התוכנה הזאת:Keepass

http://keepass.info/
חינמית, אופן סורס, ונוחה.

מאת יקיר:

אני ממליץ על Lastpass.com
הסיסמה האחרונה שתצטרך!

היא באמת מעולה ומשתלבת מדהים במחשב.

מאת propecia:

[…] propecia propecia […]