כשאני מגיע לאתר שרוצה להציע לי שירות אישי – אני יכול להבין למה אני צריך להירשם, ואפילו לתת את המייל שלי כדי לקבל התראות ושטויות אחרות. אבל לא חסרים ברשת אתרים שמבקשים שארשם, וגם אתן להם את המייל שלי, כאשר אין בזה שום צורך. סתם כדי שיוכלו להטריד אותי כשמגרד להם. זה מציק, זה מעכב, ובהמשך לפרשיית הנבלות מטורקיה – זה גם מסכן את החשבונות האחרים של מי שמשתמש באותם סיסמאות תמיד.
אז הנה שני כלים שאני משתמש בהם כבר שנים, שיחסכו לך הרשמה מיותרת.
עשרות אלפי חשבונות (מיילים וסיסמאות) נגנבו מאתרים ישראלים ע"י האקרים טורקים. מאילו אתרים? זה עדיין לא ברור. יש מספר שמועות, והשם הומלס עלה באופן רשמי
רשימת הכתובות שנפרצו הופצה, ובהמלצתה החכמה של אורלי פיתחתי כלי קטן שיעזור לך לבדוק אם המייל שלך מופיע ברשימת הפרוצים:
הבהרות:
1 – שום מידע לא נשמר כאן באתר, פרט למדידת תעבורה ע"י וורדפרס וגוגל אנאליטיקס. המיילים המוזנים לא נשמרים בשום מקום.
2- הבדיקה נעשית מול רשימות המיילים שהופצו ברשת. אם למישהו יש עדכון על רשימות נוספות – אשמח אם תעדכנו אותי לטובת כולם (eyal(at)shahar.co.il)
3 – לא כדאי להסתמך על הרשימות שהופצו ו/או על הכלי הזה כאמת מוחלטת. אם יש ספק – לכו תחליפו סיסמאות.
עדכונים:
1 – האתרים שפורסמו כפרוצים בינתיים: הומלס, פיצה האט, מאמרים, ועוד כמה קטנים יותר
2 – 20/7/2010 17:22 – נוספו עוד כ-700 כתובות. חלקן הגדול הופצו עם סיסמאות לחשבונות המייל עצמם. סה"כ ברשימה קצת מעל 100 אלף כתובות מייל.
3 – ראיון שהענקתי לגלי צהל המתאר בקצרה את הבעיה
4 – פורסם היום בתכנית היום שהיה: לצפייה (החל מדקה 4 בערך) וכן בלילה כלכלי – לצפייה (החל מדקה 3)
כדאי גם לקרוא:
1 – הסיסמה-האוניברסלית-שלך-5-טיפים
2 – אבטחת יתר = סכנת אבטחה
oAuth (אוֹ-אוֹת') היא מילה מביכה לביטוי בשיחת סלון, אבל היא מתארת מתודולוגיה שכמעט כולנו כבר נתקלנו בה – אותנטיקציה ע"י API, או במילים אחרות – הזדהות ע"י צד שלישי.
זה התחיל עם OpenID לפני כ-3 שנים, והיה מופשט ומסובך מדי להסברה לקהל הרחב. אבל היום כבר פזורים ברשת כפתורי "התחבר באמצעות חשבון הפייסבוק/יאהו/טוויטר/גוגל שלך", וזה כבר יותר פשוט ויותר נעים. במקם ליצור עוד חשבון ברשת – נשתמש בחשבון קיים כדי "להירשם" לאתר.
המימוש אל השיטה אינו פשוט, והיא עדיין צעירה מכדי להיחשב מאד בטוחה. מוקדם יותר השנה נתגלתה פרצה שגרמה לטוויטר וליאהו לסגור את האותנטיקציה עד לסגירת הפרצה, ומדובר בתהליך מורכב מול כל האתרים שאיפשרו את האותנטיקציה מולם, ופתאום נשארו מושבתים.
אני אופטימי מטבעי, ומתייחס ל-oAuth כטכנולוגיה בטוחה מספיק כדי שלא תדאיג אותי. אבל משהו אחד כן מטריד אותי, והוא האפשרות הקלה כל כך להתחזות ולגנוב את החשבונות שלנו. המשך
הקשחת האבטחה במערכות מידע מסרבלת לנו את החיים. זה ידוע ומוסכם. וכשמדובר במערכת ניהול חשבון הבנק שלנו, הבנק לא חס ומבקש להזדהות ע"י מספר שדות שמבחינתנו הם לפעמים כולם סיסמאות.
וסיסמאות של בנק הרי רחוקות מלהרשות סיסמה בנוסח "123456".
ואנחנו? רגועים ובטוחים. הרי לא נרצה להזדהות מול חסכונות חיינו עם openID או עם חשבון הפייסבוק. כל הכבוד לבנק. דואג לנו.
טעות! הבנק לא שומר עליך – הוא שומר עליו.
(נערך 17-12-08)
אדובי הטמיעו בנגן הפלאש שרץ על הדפדפן שלך יכולת עדכון פשוטה, נוחה ומפתה. ברגע שהם מוציאים גרסה חדשה יותר של הנגן, מופיעה
הודעה קטנה כזו בתוך הדפדפן שדורשת לחיצת כפתור, וזהו. בלי הרשאות, בלי אתראות, ובלי הפתעות.
אבל הם הלכו רחוק מדי ומישהו צריך לעצור אותם. בעצם פתחנו דלת לאדובי להעביר לנו תוכנות להתקנה מאתה ואילך, בלי לעבור דרך ההגנות של הדפדפן. ובסה"כ התקנו פלגאין נפוץ לדפדפן.
יש באינטרנט טופס הרשמה לכל פועל. רוצה להגיב? תירשם. רוצה להוריד? תירשם. רוצה להעלות? תירשם. רוצה לקרוא? אה, זה עלינו. אל תירשם.וכולם, ללא יוצא מהכלל, דואגים לספק לנו כלים לגבי אחזור הסיסמה שלנו. אבל בינינו - ככה כשאף אחד לא שומע – נכון שהסיסמה שלך זהה בכל האתרים כמעט?
הבעיה היא בד"כ למצוא שם משתמש שלא תפוס ולא נראה כמו שם קוד של מבצע. לאט לאט עוברים שירותים להשתמש ב-email כאמצעי מזהה, וגם זה לא פתור, כך שנראה לי שכולם צריכים לעבור מ-"שכחת סיסמה?" ל-"שכחת שם משתמש?". אבל זה לא העניין אז אני חוזר לסיסמה.
מי שעדיין מחפש אחרי סיסמה שיוכל להישבע לה אמונים, הנה כמה טיפים, ובסופם טיפ מיוחד לישראלים עצלנים:
