איך אתם שומרים סיסמאות?

הנושא בפורום 'אוף טופיק' פורסם ע"י Ronik, ‏15/12/17.

  1. Ronik

    Ronik משתמש רשום

    הצטרף ב:
    ‏20/7/17
    הודעות:
    12
    היי,
    באיזה אופן אתם שומרים על כמה סיסמאות בצורה בטוחה?
    אומנם אני לא מתעסק עם המון גופים, אך יש מספיק סיסמאות שעליי לזכור וזה מאוד לא נוח ומבלבל.
    המלצות?
     
  2. Yevgeny

    Yevgeny משתמש רשום

    הצטרף ב:
    ‏4/2/15
    הודעות:
    2,700
    Keepass
    זה מאובטח ומשמש אותי לכל סוגי הסיסמאות (לא רק אתרי אינטרנט אלא למשל קוד לרכב, מספרי וקוד אשראי, וכו'). גם יודע לחולל לך סיסמאות אקראיות מורכבות חדשות לכל אתר/חשבון חדש. הקובץ עצמו מסונכרן בדרופבוקס וזמין לי על כל מחשב או טלפון נייד.
    פעם אחרונה שבדקתי היו לי שם סביבות 700 סיסמאות שונות - אכן קצת קשה לנהל בכל דרך אחרת...
     
    מתכנת ו-Roi אוהבים את זה.
  3. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    4,909
    השתמשתי שנים ב KeePass.
    עברתי למנהל ססמאות מבוסס חומרה, ספציפית Trezor.
    היתרון המהותי הוא שכל פעם שאני ניגש לססמא אחת, אני מסכן רק אותה, והססמאות האחרות לא נחשפות, אפילו אם המחשב נגוע.
     
    מתכנת ו-sogi אוהבים את זה.
  4. Benjamin Willard

    Benjamin Willard משתמש רשום

    הצטרף ב:
    ‏10/8/16
    הודעות:
    3,542
    לדברים רגילים LastPass

    בנקים, וג'ימייל ססמאות ארוכות למדי שאני שומר בראש.

    ואיפה שרק אפשר 2 factor authentication

    עובד לטלפון?
     
    מתכנת אוהב/ת את זה.
  5. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    4,909
    לא. מסתדר בלי. אם אני חייב ממש ססמא בטלפון אני שולח לעצמי מהמחשב לטלפון.

    עריכה: יש לאנדרויד, אפליקציה לא רשמית (הטרזור מתחבר עם חיבור usb למכשיר אנדרויד). אני באייפון ובכל אופן לא סומך על אפליקציה לא רשמית (אם כי היא קוד פתוח ומפותחת ע״י מישהו שהוא מוכר בקרב מפתחי הטרזור).
     
    נערך לאחרונה ב: ‏15/12/17
    sogi אוהב/ת את זה.
  6. sogi

    sogi משתמש רשום

    הצטרף ב:
    ‏4/2/15
    הודעות:
    179
    בחודש שעבר עברתי לטרזור.

    לפני זה השתמשתי במחברת שבה רשמתי את הסיסמאות באופן חלקי (רשמתי רק את החלק שנחוץ כדי להיזכר בסיסמא)
     
  7. OnTheVerge

    OnTheVerge משתמש רשום

    הצטרף ב:
    ‏1/3/16
    הודעות:
    730
    כלקח מהשירות הצבאי שלי, לסיסמאות החשובות אני מקודד עם מילים וביטויים שרק אני יכול להבין את משמעותם.
    1. הקובץ עצמו נראה "תמים" ולא ככזה שמכיל סיסמה.
    2. גם מי שעקב אחריי אלקטרונית לא יבין.
    3. נשמר בענן.

    אפילו מעצמות סייבר לא תוכלנה לפצח את זה (ישירות).
     
  8. גילגמש

    גילגמש משתמש רשום

    הצטרף ב:
    ‏27/1/15
    הודעות:
    537
    גם אני ב Keepass אבל לאחרונה איזה אדם שאינני מכיר בקבוצת מתכנתים טען שזה פתרון לא מוגן והוא פרץ אותו. אינני יודע איך לאכול את זה. אם יש פה מישהו שקשור לתחום האבטחה ויכול לברר יבורך.
     
  9. Benjamin Willard

    Benjamin Willard משתמש רשום

    הצטרף ב:
    ‏10/8/16
    הודעות:
    3,542
    key logger...
     
  10. Benjamin Willard

    Benjamin Willard משתמש רשום

    הצטרף ב:
    ‏10/8/16
    הודעות:
    3,542
    לינק?
     
  11. OnTheVerge

    OnTheVerge משתמש רשום

    הצטרף ב:
    ‏1/3/16
    הודעות:
    730
    הכוונה שלי הייתה שגם מעצמת על לא תבין את פשר המסמך.
     
  12. Benjamin Willard

    Benjamin Willard משתמש רשום

    הצטרף ב:
    ‏10/8/16
    הודעות:
    3,542
    אכן. אבל זה לא וקטור תקיפה שמעניין מישהו.
     
  13. OnTheVerge

    OnTheVerge משתמש רשום

    הצטרף ב:
    ‏1/3/16
    הודעות:
    730
    אבל כך אני נמנע משימוש באחסון הסיסמה בשירות צד שלישי שבהחלט עלול להיות וקטור תקיפה.
    חוץ מזה, כולם חשופים לסיכון של key logger, לא?
     
  14. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    4,909
    קיפאס לא מגן עליך אם המחשב נגוע.
    אם גורם זדוני רק השיג את הקובץ והססמא חזקה מספיק, הוא לא פריץ.
     
  15. Tin177an

    Tin177an משתמש רשום

    הצטרף ב:
    ‏24/1/15
    הודעות:
    436
    התחלתי עם lastpass זה פתרון נוח אבל הוא דורש הרבה מאוד אמון בחברה שמחזיקה את כל הסיסמאות (לאורך כל הזמן נמנעתי להחזיק שם דברים כמו חשבונות בנק). בשלב הבא עברתי ל-Keepass שבשילוב עם פתרון סנכרון עושה די את כל מה שאפשר לקבל עם lastpass רק שמדובר בפתרון בקוד פתוח ושהמאגר המידע נמצא פיזית אצלי ואני לא צריך לסמוך על צד ג'.

    החיסרון המהותי של Keepass הוא שברגע שפותחים את מאגר המידע הוא כולו נפתח ולא רק הסיסמה הספציפית שצריכים מה שהופך את השימוש בו לבעיה בעיקר במחשבים ציבוריים או בעבודה. פלוס כל אחד יכול להעתיק את המאגר מידע מהמחשב ובעזרת keylogger להשיג את הסיסמה הראשית של המאגר.

    אני חושב שהפתרון הכי טוב לשמירת סיסמאות הוא באמת פתרון חומרתי כמו ש @adamshalev ציין כי יש מידור בין כל סיסמה וסיסמה ורק הסיסמה הדרושה בכל רגע נתון (לאחר אישור פיזי במכשיר) נשלחת למחשב. מה שהופך את הפתרון הזה הרבה יותר מאובטח מ-Keepass. הבעיה העיקרית שלי עם Trezor היא שהקוד שלו לא פתוח. לפני כמה שבועות נתקלתי בטכנאיי IT של חברה חיצונית שבא להתקין משהו בעבודה שהשתמש ב-mooltipass שמיועד רק לסיסמאות והקוד שלו לגמרי פתוח. הגישה הכלכלית לשימוש מזכירה קצת שימוש בכספומט מה שבעצם מאפשר לשלל משמשים להשתמש באותו מכשיר או לשמור כמה מאגרי מיגע על אותו מכשיר שכל אחד מהם מופרד לגמרי מהשני (בצורה כזו המכשיר יכול להיות פתוח לגמרי בבית בכל זמן רק כאשר צריכים סיסמאות בנק פותחים בצורה נפרדת את המאגר שבו הוא נמצא).
     
  16. Benjamin Willard

    Benjamin Willard משתמש רשום

    הצטרף ב:
    ‏10/8/16
    הודעות:
    3,542
    כן. בתכלס, יכול להיות שהפתרון שלך הוא יותר טוב ממנהל ססמאות... כי חולשה שם זה central point of failure
    לא.
    2factor עם קוד זמני, מוגן נגד לוגרים שלא יודעים לעבוד בזמן אמת.
    2factor עם challange מוגן לגמרי.

    השני אומר שכשאתה מנסה להכנס לאנשהו, קופצת לך אפליקציה בפלאפון ומבקשת שתאשר את הכניסה, או תכניס פין קוד ותאשר, או שמתקשרים אליך ומבקשים שתכניס פין.
     
  17. גילגמש

    גילגמש משתמש רשום

    הצטרף ב:
    ‏27/1/15
    הודעות:
    537
    לינק לאדם שטען שהוא פרץ?
     
  18. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    4,909
    מה בדיוק לא קוד פתוח? כל התוכנה והחומרה הם קוד פתוח בגיט, ואנשים בנו מכשירי טרזור בעצמם מאפס על בסיס חומרה שאתה יכול לקנות בקלות בכל מקום בעולם.
    בנוסף, ווידאתי בעצמי שניתן בהינתן קובץ הססמאות המוצפן וה seed לחלץ את כל הססמאות ללא צורך בחומרה, אז אתה לא Locked in.
     
  19. Tin177an

    Tin177an משתמש רשום

    הצטרף ב:
    ‏24/1/15
    הודעות:
    436
    אתה ככל הנראה צודק, פשוט נתקלתי במספר כתבות שעסקו בכך שלא כל הקוד היה פתוח ושהם סגרו את הקוד אבל הכתבה הכי עדכנית מציינת שהם חזרו בהם וכל הקוד פתוח.
     
    adamshalev אוהב/ת את זה.
  20. מתכנת

    מתכנת מודרטור

    הצטרף ב:
    ‏10/2/16
    הודעות:
    5,820
    כן
    אתה גם יודע קצת על המבנה הפנימי של הקובץ? ה metadata של כל entry כן נשמר חשוף? הקובץ שומר כל entry באופן שניתן לראות לספור אותם?
    לגבי המכשיר עצמו, מבחינת דרייברים וכו' זה plug&play ?
    אם יש לך לינק בשלוף, אשמח.
     
מוזמנים להשתמש בקישורי השותפים הבאים כדי לקנות באמאזון , להוריד ספרי שמע, או להקים אתר אינטרנט משלכם (מדריך מפורט - כאן). תודה על תמיכתכם באתר.
טוען...

שתפו: