רשומהאבטחת יתר = סכנת אבטחה

 

הקשחת האבטחה במערכות מידע מסרבלת לנו את החיים. זה ידוע ומוסכם. וכשמדובר במערכת ניהול חשבון הבנק שלנו, הבנק לא חס ומבקש להזדהות ע"י מספר שדות שמבחינתנו הם לפעמים כולם סיסמאות.
וסיסמאות של בנק הרי רחוקות מלהרשות סיסמה בנוסח "123456".

ואנחנו? רגועים ובטוחים. הרי לא נרצה להזדהות מול חסכונות חיינו עם openID או עם חשבון הפייסבוק. כל הכבוד לבנק. דואג לנו.

טעות! הבנק לא שומר עליך - הוא שומר עליו.

אני קורא למי שזוכר את כל פרטי ההזדהות שלו לאתר הבנק שיגיב "איל אתה מדבר שטויות. מאיפה אתה מקריץ את הזבל הזה?".
ומה עושים כל השאר, אלו שאין להם זיכרון של איש הגשם ועדיין לא רוצים לכתת רגליהם אל המסניפומט? אחד משניים:

  1. מדביקים פתק על המסך, או רושמים בפנקס במגירה. לפחות 2 מהשדות. "אבל את הסיסמה השלישית אני זוכר בראש"...
  2. משתמשים במערכת ניהול סיסמאות של הדפדפן (שכולם פרוצים בטיפשותם, בעיקר כרום), או איזה כלי שהורידו מהרשת.

אז איפה אנחנו עומדים? חשבון בנק על סף פריצה. אבל מה שחשוב - זה בגללנו. הבנק עשה את שלו, בשכל.

בפועל, כנראה שאותו חשבון פייסבוק שלנו מוגן יותר. אולי היינו באמת מוגנים יותר עם שדות שם משתמש וסיסמה סטנדרטיים, פלוס שדה מזהה אישי הידוע רק לנו ולקרובינו.

 


פורסם ב 3 בפברואר 2009 22:53 במדור ממשק | 12 תגובות

 
    

שם:
    

דואר:
    

אתר:
    

כותרת:

בעקבות ריבוי ספאמרים, נאלצנו להוסיף מנגנון שימנע מרובוטים להפציץ את המערכת בתגובות פיקטיביות. אנא העתיקו את הקוד שבתמונה, לתיבת הטקסט שמתחתיה.

קוד הפעלה:
    

העתיקו את הקוד:

מערכת התגובות נועדה לאפשר דיונים, והשימוש בה כפוף לדין הישראלי. אז אנא שמרו את תגובותיכם ענייניות ומתחשבות בקוראים האחרים, וזכרו שאתם הנושאים באחריות לתגובות שתפרסמו במסגרת באתר זה (כבכל מקום אחר). אין אפשרות להבטיח שהתגובות שתפרסמו ישמרו באתר זה, אז אנא גבו את תגובתכם בהעתק לפני שיגורה (במידה שאתם מעוניינים לשמור אצלכם העתק). וכן, הודעות שלדעתנו פוגעות או לא מתאימות בכל צורה שהיא, בהחלט עשויות להימחק... זכויות היוצרים בתגובות שיתפרסמו במסגרת אתר זה, שמורות לכותביהן. ברוכים הבאים.

התגובות מתפרסמות על דעת ובאחריות כותביהן בלבד.

זיו  [אתר]  בתאריך 2/3/2009 11:20:06 PM

מדוייק!

השבוע ניסיתי להכנס לחשבון הבנק שלי באתר של לאומי ולא זכרתי את הסיסמה. ולא רק שלא זכרתי, גם זכרתי בערפול שיש לי עד שלושה נסיונות לפני שהכניסה תחסם, אבל לא ידעתי את זה בוודאות, וזה הלחיץ אותי עוד יותר.

ועכשיו אני צריך לגשת לסניף הבנק שלי כדי לקבל סיסמה חדשה. אז אחלה, ממש פספסתם את המטרה - לחסוך לי את הטרחה. עכשיו אני בכל זאת צריך לגשת לבנק.

אוף, מי מסוגל בכלל לזכור את שלושת השדות הכל כך לא זכירים האלה?!
הפתרון הוא באמת לרשום את זה על פתק (שאני מקווה שהמנקה לא תמצא. אחלה אבטחת מידע!)

ניצן  [אתר]  בתאריך 2/3/2009 11:37:18 PM

הבעיה היא לא הסיסמאות

כמו שהיא מנהלי אבטחת מידע מטומטמים. למשל, לאומי-קול דורש החלפת סיסמא כל שלושה חודשים כמו גם שהסיסמא לא תהייה דומה לשתי הסיסמאות הקודמות ולא תכיל אף רצף תווים של יותר משניים צמודים. אחרי כמה פעמים אתה כבר מאבד מעקב אחרי הסיסמאות ובסוף התומך מסביר לך ש 121212 היא סיסמא תקפה. אני תוהה לכמה אנשים יש סיסמאות כמו זו.

אלעד  [אתר]  בתאריך 2/3/2009 11:51:17 PM

PassPack / RoboForm

אני אישית משתמש בשירות בשם PassPack
http://www.passpack.com

עוזר לי לשמור את כל הסיסמאות שלי ונגיש מכל מקום. ניכר שהוא מאובטח.
רק צריך לדאוג לעדכן אותו אחרי שהבנק מבקש לשנות סיסמה.

על המחשב הביתי יש לי RoboForm שעושה עבודה מעולה.

איל שחר  בתאריך 2/4/2009 12:01:15 AM

גמני

גם אני רכשתי את רובופורם. הוא כנראה מאובטח, אבל גם הוא בסופו של דבר מתחבא מאחורי סיסמה אחת גנרית...

אלעד  [אתר]  בתאריך 2/4/2009 12:06:24 AM

ללא נושא

סיסמה גנרית שיושבת מאחורי פלדלת (ליטרלי) :)

אמיתי טויטו  [אתר]  בתאריך 2/4/2009 7:58:16 AM

....

"איל אתה מדבר שטויות. מאיפה אתה מקריץ את הזבל הזה?"

סתם. לא זבל.
אבל אני זוכר את שלי.

אני בהחלט מתבאס על זה כל פעם מחדש ומחפד פחד מוות כשאני מפספס תו וזה מודיע לי שהסיסמא שגויה (שחס ושלום לא אאלץ לדדות לסניף ולחתום על עוד מליארד דפים בשביל סיסמא חדשה).
אבל אני לא חושב שבשלב הזה יש אפשרות אחרת.
אפשר להוריד אולי שדה אחד ולהשאיר אותנו עם שם משתמש וסיסמא כמו כל אתר אחר (בנינו? פריצה למייל או לחשבון הפייסבוק תכאיב לא פחות).

אביגיל  בתאריך 2/4/2009 8:04:51 AM

ממש השבוע

נתקלנו באופן אישי בגניבת לפטופ ובשליפה קלילה של מסמך ססמאות שנשמר עליו. למזלנו היינו יותר זריזים מהפורץ (השלומפר למדי) והספקנו להחליף את כל הססמאות לפניו.

ואגב, לכתת רגליים ולא לחטט רגליים :)

איל שחר  בתאריך 2/4/2009 8:43:52 AM

פדיחה

תודה אביגיל.
לא רוצה לדמיין מה המשמעות של גניבת הלפטופ שלי...

איתי  בתאריך 2/4/2009 10:18:33 AM

אז ככה

קודם כל - בכל אתר נותנים סיסמה שונה ולא בכולם את אותה סיסמה.
החצי הראשון של הסיסמה (נגיד 5-6 תווים) הוא קבוע בכל האתרים ואותו תמיד זוכרים. החצי השני של הסיסמה שונה מאתר לאתר ואותו (ורק אותו) רושמים על פתק שמוצמד למחשב (או בקובץ על הלפטופ).
חצי סיסמה לא תיתן הרבה למי שרואה אותה ואת החצי השני - קשה ככל שיהיה - תמיד זוכרים כי תמיד משתמשים בה (גם אם לא נכנסת ל-YouTube שלך כמה חודשים, הרי שהשתמשת בחצי הראשון ב-GMail או במשהו אחר).

לגבי ההערה של ניצן - חייבים להחליף את הסיסמה פעם במספר חודשים (ומעדכנים את הפתק).
סיסמה היא דבר פריץ ואפשר לאתר כל סיסמה אם מריצים מספיק נסיונות מספיק זמן (ולכן מצד המערכת חשוב שהיא תחסום את הגישה לאחר מס' נסיונות כושלים - לפחות למשך מס' שעות - כך שהפריצה תמשך יותר זמן).
יכול להיות שמישהו יחליט שהוא מנסה לאתר סיסמה בכל מקרה - גם אם זה ייקח לו 20 או 30 שנה על מספר מחשבים. במידה והסיסמה מתחלפת פעם בכמה חודשים (ולא זהה לסיסמאות האחרונות) זה לא יעבוד לו - הוא יהיה צריך להתחיל את הנסיונות בכל פעם מחדש כי אולי אחד הנסיונות שהיו שגויים בעבר הפך להיות לסיסמה הנכונה.

בזנ"ט  בתאריך 2/4/2009 11:30:57 AM

"איזה כלי שהורידו מהרשת"

ממליץ על KEYPASS

בזנ"ט  בתאריך 2/4/2009 11:32:06 AM

סליחה

keepass

---  בתאריך 5/23/2009 6:08:58 PM

לאיתי

רעיון נחמד עם החצי-סיסמה
=]

 
    

שם:
    

דואר:
    

אתר:
    

כותרת:

בעקבות ריבוי ספאמרים, נאלצנו להוסיף מנגנון שימנע מרובוטים להפציץ את המערכת בתגובות פיקטיביות. אנא העתיקו את הקוד שבתמונה, לתיבת הטקסט שמתחתיה.

קוד הפעלה:
    

העתיקו את הקוד:

מערכת התגובות נועדה לאפשר דיונים, והשימוש בה כפוף לדין הישראלי. אז אנא שמרו את תגובותיכם ענייניות ומתחשבות בקוראים האחרים, וזכרו שאתם הנושאים באחריות לתגובות שתפרסמו במסגרת באתר זה (כבכל מקום אחר). אין אפשרות להבטיח שהתגובות שתפרסמו ישמרו באתר זה, אז אנא גבו את תגובתכם בהעתק לפני שיגורה (במידה שאתם מעוניינים לשמור אצלכם העתק). וכן, הודעות שלדעתנו פוגעות או לא מתאימות בכל צורה שהיא, בהחלט עשויות להימחק... זכויות היוצרים בתגובות שיתפרסמו במסגרת אתר זה, שמורות לכותביהן. ברוכים הבאים.

אפשר למצוא עוד רשימות בארכיון, או לחזור לראש העמוד.