• אזהרה: פורום זה מיועד להחלפת דעות בין משקיעים חובבים בנושאים תאורטיים בלבד. חל איסור מוחלט על מתן ייעוץ השקעות פרטי. אין לראות בדיונים בפורום בבחינת יעוץ השקעות או תחליף לייעוץ פיננסי מקצועי המותאם אישית וספציפית למשקיע תוך התחשבות בנתוניו, צרכיו המיוחדים והאחרים, מצבו הכספי, נסיבותיו ומטרותיו. אין להסתמך או לפעול על פי הנאמר בפורום ללא קבלת יעוץ מקצועי אישי מבעל הרישיון המתאים, וכל הנוהג אחרת עושה זאת על אחריותו בלבד. האחריות לאמור בכל הודעה היא על מחבר/ת ההודעה בלבד.
  • חשבון מסחר באקסלנס טרייד : סנט למניה במסחר בארה"ב (מינימום $5 לעסקה), פטור מדמי טיפול לשנתיים, קורס במתנה ובונוס 100 ש"ח למצטרפים חדשים. להצטרפות דיגיטלית לחצו כאן .

שיקולי אבטחת מידע בבחירת בית השקעות / ברוקר

  • פותח הנושא sogi
  • פורסם בתאריך

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
3,192
דירוג
2,391
[פוצל לכאן משרשור אחר - מתכנת]
6) רמת הביטחון בכניסה לחשבון: ב-IB יש בדיקה של Multi factory authentication, ואפשרות להזמין כרטיס פיזי. ייתכן וגם לברוקרים הישראליים יש (לא בדקתי). אבל אני מרוצה מרמת האבטחה שיש לחשבון בIB

מישהו יכול לאשר את זה ? האם אין אפילו ברוקר ישראלי אחד שיש לו את זה ?
אני יכול לאשר שבבנק הפועלים וב-IBI אין Multi-factor authentication בכניסה לאתר.
בבנק הפועלים יש זיהוי ב-SMS בחלק מהפעולות אבל לא בכניסה לאתר.

זה קצת מצחיק, כי בכל בורסת קריפטו סוג ז' יש את זה (שם בדרך כלל משתמשים ב-google authenticator) וכאן מדובר במוסדות פיננסיים ותיקים ששומרים על טריליוני דולרים. למה הם לא מממשים טכניקות אבטחה פשוטות ?
 
נערך לאחרונה ע"י מנהל:
מישהו יכול לאשר את זה ? האם אין אפילו ברוקר ישראלי אחד שיש לו את זה ?
אני יכול לאשר שבבנק הפועלים וב-IBI אין Multi-factor authentication בכניסה לאתר.
בבנק הפועלים יש זיהוי ב-SMS בחלק מהפעולות אבל לא בכניסה לאתר.

זה קצת מצחיק, כי בכל בורסת קריפטו סוג ז' יש את זה (שם בדרך כלל משתמשים ב-google authenticator) וכאן מדובר במוסדות פיננסיים ותיקים ששומרים על טריליוני דולרים. למה הם לא מממשים טכניקות אבטחה פשוטות ?
כי זה מעניין להם את ה***.
גם במיטב אין.
והכי מצחיק שהססמא מוגבלת לבדיוק 8 תווים. לא יותר ולא פחות. היו דיונים בעבר על האבטחה באורדרנט.
עוד סיבה לעזוב, אני כבר בתהליכי מעבר מתקדמים.
 
הם לא מממשים טכניקות אבטחה פשוטות
הבנק שלי מחייב סיסמה באורך 6 עד 8 (!!!) תווים. אפילו פניתי אליהם בנושא הזה, נפנפו אותי עם תשובה בסגנון "אורך הסיסמה עומד בתקנים הנדרשים".
לא נראה ש-2FA (ואבטחה בכלל) בסדר העדיפויות שלהם.
 
מישהו יכול לאשר את זה ? האם אין אפילו ברוקר ישראלי אחד שיש לו את זה ?
אתה יודע איך מתבצעת תמיכה טכנית בברוקר ישראלי אחד שלא נזכיר את שמו? "תן לנו את הסיסמה שלך רגע ונסדר לך את החשבון".
 
אתה יודע איך מתבצעת תמיכה טכנית בברוקר ישראלי אחד שלא נזכיר את שמו? "תן לנו את הסיסמה שלך רגע ונסדר לך את החשבון".
מוסד פיננסי נוסף שלא נזכיר את שמו מאבטח מידע ככה:
אני: שלום, אני צריך לעשות משהו עם הכסף שלי
הם: מה ת.ז.?
אני: 123456789
הם: שלום אדון ישראל ישראל, במה אפשר לעזור?
אני: אני צריך לשנות את המייל, ססמא ומספר בנק להעברת כספים.
הם: אין שום בעיה.
אני: [בפה פעור]

למזלי הכספים שלי כבר לא שם.
אבטחת מידע במוסדות ישראלים זה פח.

זה בד״כ לא מופיע ברשימת היתרונות של ברוקר זר, אבל ללא שום ספק - רמת האבטחה הגבוהה של IB זה יתרון גדול מאד.

@Jackl56 תודה על הכנת המדריך המעולה!
 
@Oringa @adamshalev
אשמח אם תרשמו את השמות של הברוקרים האלה (כי לציבור יש זכות לדעת).

הבנק שלי מחייב סיסמה באורך 6 עד 8 (!!!) תווים. אפילו פניתי אליהם בנושא הזה, נפנפו אותי עם תשובה בסגנון "אורך הסיסמה עומד בתקנים הנדרשים".
לא נראה ש-2FA (ואבטחה בכלל) בסדר העדיפויות שלהם.
להגביל את אורך הסיסמה זו דרישה מוזרה. יכול להיות שיש להם מגבלות אחסון עבור קובץ הסיסמאות ?
 
@Oringa @adamshalev
אשמח אם תרשמו את השמות של הברוקרים האלה (כי לציבור יש זכות לדעת).


להגביל את אורך הסיסמה זו דרישה מוזרה. יכול להיות שיש להם מגבלות אחסון עבור קובץ הסיסמאות ?
זה אומר שהם לא מימשו את המערכת כמו שצריך. אסור להם לשמור ססמאות. הם צריכים לשמור רקראת ה hash של הססמא. וכל ה hashes יהיו באותו אורך.
 
אשמח אם תרשמו את השמות של הברוקרים האלה (כי לציבור יש זכות לדעת).
הסולידית ביקשה במפורש להמנע מהכפשת שמות של אנשים וחברות.
כל מי שעובד עם חברה כזאת או אחרת צריך לדאוג ולבדוק את נהלי האבטחה שלהם. זה לא נגמר בגוף אחד או אחר או בפורום הסולידית. זה המצב החדש בעולם, וצריך לפתח מודעות לזה.

אני מבין שלא יצא לך לעבוד עם מפתחי SQL יותר מדי. אני אתן לך תמצית:
שנת 2004. מפתח זוטר קיבל את המשימה המשמימה של לכתוב סכמה לטבלאות של מערכת חדשה שאף אחד לא צריך. מידת החשיבה שהוא משקיע בזה מסתכמת בלהחליט אם השדה צריך להיות int או string. והוא לא אוהב מחרוזות כי הוא יודע מהשיעור SQL שמחזורות ב SQL הן באורך קבוע וצריך לבחור את האורך מראש. ״8 נשמע טוב״ הוא מחליט אחרי 2 שניית מחשבה בנושא וממשיך הלאה במלאכה מרסקת הנשמה שלו.
14 שנים אחרי והמערכת ״עובדת״ ו״במה שעובד לא נוגעים״. לשכתב סכמה של SQL זה מטלה מרסקת חיים עוד יותר ואף נושאת בסיכון אמיתי להשמיד את כל המידע בטבלא, וכמובן שנהלי הגיבוי ושחזור מעולם לא נבדקו על אמת אז אין נשמה מסכנה שמוכנה לקחת על הראש שלה את האחריות הזאת. וככה אתה מגיע לאמירות מטומטמות כמו ״8 תווים עומד בכל תקני האבטחה המחמירים ביותר״. זה לא.
שלא לדבר על זה שהססמאות בטח שמורות בטבלא כ plain text ואתם תוהים ברצינות למה אין להם תמיכה ב 2 factor auth :lol:
 
אתה יודע איך מתבצעת תמיכה טכנית בברוקר ישראלי אחד שלא נזכיר את שמו? "תן לנו את הסיסמה שלך רגע ונסדר לך את החשבון".
נתקלתי בדיוק באותו דבר כשניסיתי לפתוח חשבון בIB דרך מתווך ישראלי (שלא אזכיר את שמו). זאת הסיבה שהחלטתי לפתוח חשבון ישירות בib למרות התשלום החודשי.
 
אני מבין שלא יצא לך לעבוד עם מפתחי SQL יותר מדי. אני אתן לך תמצית:
שנת 2004. מפתח זוטר קיבל את המשימה המשמימה של לכתוב סכמה לטבלאות של מערכת חדשה שאף אחד לא צריך. מידת החשיבה שהוא משקיע בזה מסתכמת בלהחליט אם השדה צריך להיות int או string. והוא לא אוהב מחרוזות כי הוא יודע מהשיעור SQL שמחזורות ב SQL הן באורך קבוע וצריך לבחור את האורך מראש. ״8 נשמע טוב״ הוא מחליט אחרי 2 שניית מחשבה בנושא וממשיך הלאה במלאכה מרסקת הנשמה שלו.
14 שנים אחרי והמערכת ״עובדת״ ו״במה שעובד לא נוגעים״. לשכתב סכמה של SQL זה מטלה מרסקת חיים עוד יותר ואף נושאת בסיכון אמיתי להשמיד את כל המידע בטבלא, וכמובן שנהלי הגיבוי ושחזור מעולם לא נבדקו על אמת אז אין נשמה מסכנה שמוכנה לקחת על הראש שלה את האחריות הזאת. וככה אתה מגיע לאמירות מטומטמות כמו ״8 תווים עומד בכל תקני האבטחה המחמירים ביותר״. זה לא.
שלא לדבר על זה שהססמאות בטח שמורות בטבלא כ plain text ואתם תוהים ברצינות למה אין להם תמיכה ב 2 factor auth
@adamshalev תעשה לי צופן :lol::lol::lol:
 
@adamshalev
אני לא מומחה במסדי נתונים. למה אי אפשר לבנות מסדר נתונים עם אותם פרמטרים אבל עם גודל סיסמה hardcoded אבל גדול יותר מ-8 (למשל 20) ואז להעתיק את המסד הישן לתוך החדש? למה "לשכתב סכמה של SQL זה מטלה מרסקת חיים" ? הרי מדובר בבניה של מסדר נתונים ריק, אבל עם פרמטרים אחרים...

בנוסף, כמו ש- @wa11a אמר, אם רק ההאש נשמר, אז זה בכלל לא אמור להיות תלוי בגודל הסיסמא, לא ? אז כנראה שזה באמת plain text...
 
למה אי אפשר לבנות מסדר נתונים עם אותם פרמטרים אבל עם גודל סיסמה hardcoded אבל גדול יותר מ-8 (למשל 20) ואז להעתיק את המסד הישן לתוך החדש?
אין צורך לבנות מחדש אפילו, זה סתם לשנות את הדטאטייפ של העמודה. התשובה ללמה זה לא נעשה הוסברה מראש. אם זה עובד לא נוגעים. במיוחד באירגונים גדולים ומסואבים. חשיבה (לא רק) ישראלית טיפוסית.
 
למה אי אפשר לבנות מסדר נתונים עם אותם פרמטרים אבל עם גודל סיסמה hardcoded אבל גדול יותר מ-8 (למשל 20)
כי גם בכמה מקומות בקוד יש בדיקה hardcoded מה אורך הסיסמה.

תשמע סיפור, במוסד פיננסי ישראלי כלשהו החלפתי סיסמה שכללה בין היתר תו מיוחד נגיד אחד מאלה: !@#$%^&*)(
הסיסמה עודכנה אבל לא הצלחתי לעשות לוגין עם אותה סיסמה, איפסתי את הסיסמה מספר פעמים ולא הלך, עד שעלה בדעתי להשמיט את התווים המיוחדים.
כלומר, היה איזשהו סינון של תווים אלו רק בזמן בדיקת הסיסמה ולא בשמירה שלה.
 
רגע, לא הכל אבוד! אמנם יש הגבלה של 8 תווים (ללא סימנים מיוחדים כמובן) אבל גם יש מד חוזק סיסמה!
ViYPRhV.jpg

למי שתוהה איזו סיסמה "מורכבת ולא צפויה המחזקת את רמת האבטחה ל-טוב" הצלחתי ליצור - password. :lol:
 
למי שתוהה איזו סיסמה "מורכבת ולא צפויה המחזקת את רמת האבטחה ל-טוב" הצלחתי ליצור - password.
:lol::lol::lol::lol::lol::lol::lol::lol:
ענק!

אהבתי גם את המינוח ״המחזקת את רמת האבטחה על חשבונך״

אין ספק שהבדיחה היא על חשבוננו :'(
 
וואו. בתחילת השרשור חשבתי "כרגיל בישראל, הכל חפיף" אבל עכשיו אני באמת פוחד o_o.
 
וואו. בתחילת השרשור חשבתי "כרגיל בישראל, הכל חפיף" אבל עכשיו אני באמת פוחד o_o.
זה לא רק בישראל. יש בעיה כללית שהמון גופים לא מודעים לאבטחת מידע, וגם אם הם מודעים לזה שצריך לאבטח הם לא באמת יודעים איך ועושים סתם שטויות.

למשל פרצו לי לאחרונה לחשבון ברשת מלונות עולמית גדולה וגנבו לי משם מעל 200,000 נק.
איך הצליחו לפרוץ? נורא פשוט - האתר מגביל אותך לבחור ססמא של 4 ספרות (שוב, לא 4 תווים אלא 4 ספרות!).
מסתבר שכבר לפחות 3 שנים יש להם מכה של פריצות ואנשים מתחננים שהם ישנו את מדיניות הסיסמאות שלהם, אבל החברה מעדיפה כנראה לספוג את הנזקים במקום לשנות מנגנון כלכך מורכב כמו אורך סיסמא...
לזכותם יאמר שהם לפחות החזירו לי את הנקודות תוך שבועיים מרגע שפניתי אליהם.
 
אני רק אניח את זה כאן (הדגשות שלי)
mobileTWS for Android FAQs
‪"Invalid username or password" message received.
‪The mobileTWS login does not support passwords longer than eight characters. If your password is longer, please enter only the first eight ‪characters. Or, reset your TWS password to eight characters or less through Account Management.
 
please enter only the first eight ‪characters
הזוי... פשוט הזוי. לכל הפחות, זה אומר שהם שומרים האש נפרד של 8 האותיות הראשונות בססמה, בנוסף להאש של הססמה המלאה. זה יכול להיות יותר גרוע כמובן, הם אולי משתמשים בפונקציית האש מיושנת (סטייל block cipher) שמעבדת 8 או 16 בייטים מהססמה בכל סיבוב ומחברת את התוצאות. אני מסרב להאמין שהם שומרים פליינטקסט.

אם תוקפים משיגים את הדטבייס, כמובן שכל מה שהם צריכים לעשות זה לפצח רק את ההאש של 8 כדי להשיג כניסה (בהתעלם מ-2FA ומיטגציות פוסט-ססמה). עצוב מאוד, נתתי להם יותר קרדיט משהגיע להם.
 
אני רק אניח את זה כאן (הדגשות שלי)
this-one-deserves-a-double-facepalm-photo-u2


אני לא מבין את הרציונל.
אני עם אייפון ואין לי שום בעיה להזין 30 תווים כססמא בחיבור לאפליקציית TWS.
למה שתהיה מגבלה באנדרויד, ועוד כזאת שתגרום להם לשמור (במקרה הטוב) האש חלש יותר?
 
נושאים דומים
פותח הנושא כותרת פורום תגובות תאריך
R שיקולי משכנתא נדל"ן 24
O שיקולי משכנתא ותזרים נדל"ן 13
י שיקולי מיסוי בבניית תיק דיבידנדים שוק ההון 18
N שיקולי מיסוי במכירת דירה נדל"ן 23
M שיקולי מיסוי בשילוב תיק השקעות ונדל"ן בארה"ב עבור זוג ישראלי-אמריקאי מיסים 10
Z שיקולי ירושה ומיסוי בנישואים של ישראלי ואמריקאית מיסים 1
S כדאיות\שיקולי מס ב"הסבת" הדירה הראשונה כדירה להשקעה נדל"ן 19
O דעתכם על תיק השקעות ראשון + שאלות לגבי חלקו הסולידי + שיקולי ברוקר,IRA שוק ההון 2
M שיקולי הקצאת נכסים שוק ההון 1
Oracle פיצויים מוגדלים - שאלת שיקולי מס וותק שוק ההון 5
ל מבקש עזרה - שיקולי כדאיות בבחירת קרן בנוסף לד.נ שוק ההון 12
M תגמול עובדים באמצעות אופציות מול RSU - שיקולי מס שוק ההון 4
ל עזרה - שיקולי עמלת מינימום שוק ההון 10
flower שיקולי חברה - הנפקת אג"ח\מניות נוספות שוק ההון 0
ד ברוקר שהעביר פעילות לחברה בחו"ל - שיקולי המשקיע הפסיבי שוק ההון 74
S שוקולד מריר - שיקולי פלח מנייתי שוק ההון 45
הק995 כדאיות ההשקעה במניות בתיק פגום בגלל שיקולי מס צרכנות פיננסית 2
כ שינוי מדיניות השקעה- שיקולי מס שוק ההון 1
nils שיקולי מס קרן מחקה ישראלית לעומת ETF אמריקאי. מיסים 21
ה שיקולי מס ברכישת אג"ח ממשלתיות לא צמודות במישרין או דרך קרן שוק ההון 4
S בניית תיק השקעות - חשיפה לנדלן, אבטחת מידע וחשיפה למט"ח שוק ההון 0
ז אבטחת מידע - התייעצות התפתחות אישית 8
J אבטחת מידע ומיסוי ריאלי צמוד מדד לצרכן שוק ההון 3
ת מבחינת אבטחת מידע עדיפה סיסמה או שלא תהיה סיסמה? אוף טופיק 4
Yuvalbuz3 אבטחת מידע - מבוקש? או נישה ועבודה תשתיתית לא מוערכת ? התפתחות אישית 10
flower Phishing - אבטחת מידע אוף טופיק 5
flower אבטחת תיבות מייל ע"י התקן חיצוני Universal 2nd Factor authentication אוף טופיק 20
L כניסה לעולם אבטחת המידע התפתחות אישית 17
ח payme עם icredit - בעיה של אבטחת מידע? צרכנות פיננסית 4
de dud אבטחת מידע אוף טופיק 9
X עזרה לימודים קורס: מגן סייבר או מומחי אבטחת מידע התפתחות אישית 3
א אבטחת מידע- כדאיות קורס התפתחות אישית 15
J אבטחת מידע באורדרנט [ו- ספארק] צרכנות פיננסית 70
A מכירת ESPP ללא מידע על סכום מכירות מיסים 5
Finfree חסכון לכל ילד - איניפיניטי הלכה - הרהור כפירה(ע"ב מידע) פנסיה, גמל וקרנות השתלמות 1
Lag המלצות על ספרים/מקורות מידע בנושא כלכלה בארגונים אוף טופיק 1
AsherV פרטיות ואבטחת מידע אוף טופיק 3
A מידע רישום בטאבו נדל"ן 9
C האם מידע על רווח והפסד לא נכלל בטופס 1042-S? מיסים 3
341Omer מידע חסר בדוחות הכספיים של Bank Of America ?! שוק ההון 5
A מישהו יודע כיצד ניתן להשיג מידע על כמה הרוויחו המדדים המובילים שוק ההון 1
A האם מישהו מכיר מקור מידע שיראה לי בכמה עלו ממדי המניות של אירופה (stoxx600) , ארה"ב (S&P500) ומדד המניות העולמי? פוסטים מאיכות נמוכה 3
ב מקורות מידע על מינוף שוק ההון 1
ח מידע על אחוזי השווקים שוק ההון 1
G שליפת מידע עבור קרן השתלמות תשואה שנתית - דרך api או קובץ פנסיה, גמל וקרנות השתלמות 0
א איפה אפשר למצוא מידע לגבי התשואה הפנימית והמח"מ של קרנות כספיות ? שוק ההון 2
N מנהל עסקים כלכלה עם התמחות במערכות מידע התפתחות אישית 18
Y מידע פיננסי שוק ההון שוק ההון 8
A יש למישהו מידע על מדדים שונים שוק ההון 3
ט יש מידע על דמי הניהול הממוצעים (פנסיה, ביטוח מנהלים) שמשלמים הישראלים? פוסטים מאיכות נמוכה 3

נושאים דומים

Back
למעלה