אבטחה באתרי בנקים, ביתי השקעות וכדומה בישראל

[vigaror]

אז אחרי האירוע עם שירביט, אני עושה מעבר על החשבונות שלי באתרי פינסיים בישראל
ואני רואה שבחלק מהאתרים צורת ההזדהות היא דרך שם משתמש וסיסמה ללא מנגנונים יותר חזקים(כמו וידוא בSMS או 2FA) ובחלק מהאתרים שכן יש תמיכה במנגנון חזק יותר ניתן לעקוף אותו על ידי התחברות בעזרת שם משתמש וסיסמה

זה די מאכזב, מישהו יודע אם יש מנגנונים שאני לא רואה ואולי משפרים את המצב?

 

[M.B]

אתה צודק , המצב על הפנים

 

[חתול לילה]

זה די מאכזב, מישהו יודע אם יש מנגנונים שאני לא רואה ואולי משפרים את המצב?

אני הבהרתי לבנק שכל הפעולות באינטרנט הן רק לצורך קבלת מידע ולא תתאפשר כל פעולה אחרת.

כשאני רוצה לקנות ניירות אני הולך פיזית לסניף או מתקשר ליועץ שמכיר אותי. אז הם חושבים שאני מוזר ופרנואיד. אין לי בעיה עם זה.

מהמעט שאני מכיר את תחום הסייבר, הנחת העבודה צריכה להיות שהמחשב של כל אחד מאיתנו פרוץ, אנטיוירוס או לא.

 

[טרטליה]

טוב זה נשמע לי קצת מוגזם.
גם באשראי יש גניבות, אבל חברת האשראי מבטחת
רוצה לומר - לדעתי זה יהיה ככה גם בבנק
ולגבי להתקשר ליועץ - זה קצת יותר עתידי - אבל, מהמעט ש*אני* מכיר מתחום הסייבר, כבר יש כלים שמאפשרים לזייף את הקול על סמך דאטא
למשל בפריצה לשירביט דלפו מלא שיחות מוקלטות
ברגע שיש לך שיחה מוקלטת של פלוני, יש לך את טביעת הקול שלו
לפות"ש - ניוד טלפון ללא ידיעת הבעלים שכיח יותר משנדמה

 

[the_newbie]

אני הבהרתי לבנק שכל הפעולות באינטרנט הן רק לצורך קבלת מידע ולא תתאפשר כל פעולה אחרת.

כשאני רוצה לקנות ניירות אני הולך פיזית לסניף או מתקשר ליועץ שמכיר אותי. אז הם חושבים שאני מוזר ופרנואיד. אין לי בעיה עם זה.

מהמעט שאני מכיר את תחום הסייבר, הנחת העבודה צריכה להיות שהמחשב של כל אחד מאיתנו פרוץ, אנטיוירוס או לא.

נראלי שיותר קל לעבור לברוקר מאובטח כמו ib ולחסוך את כל כאב הראש הזה

 

[1337justme]

אתה צודק , המצב על הפנים

העיקר שאנחנו startup nation, איך בבנקים הכי גדולים אצלינו אין 2fa? פשוט ביזיון.

 

[annona]

העיקר שאנחנו startup nation, איך בבנקים הכי גדולים אצלינו אין 2fa? פשוט ביזיון.

דווקא בשני הגדולים בישראל יש 2fa

 

[Ehud]

דווקא בשני הגדולים בישראל יש 2fa

יש בלאומי?

 

[optimum]

העיקר שאנחנו startup nation, איך בבנקים הכי גדולים אצלינו אין 2fa? פשוט ביזיון.

בבנק הפועלים אתה מקבל קוד ב SMS אחרי שאתה מכניס משתמש וסיסמא (אלא אם רשמת את המחשב/טלפון שלך ב white list של מחשבים שלא דורשים זיהוי סמס)

 

[Meni Adam]

בבנק הפועלים אתה מקבל קוד ב SMS אחרי שאתה מכניס משתמש וסיסמא (אלא אם רשמת את המחשב/טלפון שלך ב white list של מחשבים שלא דורשים זיהוי סמס)

רק בביצוע פעולות כמו העברת כספים.
עדיין הכניסה לאתר עם שמ משתמש וסיסמה בלבד

 

[roneng]

יש בלאומי?

כן. בביצוע פעולות מסויימות.

רק בביצוע פעולות כמו העברת כספים.
עדיין הכניסה לאתר עם שמ משתמש וסיסמה בלבד

למה שתרצה 2fa רק בשביל להיכנס ולהסתכל? זה סתם לא נוח ומיותר.

 

[M.B]

למה שתרצה 2fa רק בשביל להיכנס ולהסתכל? זה סתם לא נוח ומיותר.

למה לפתוח פירצה לגנב ?
כל פרט מיותר שיודעים עלייך יכול להקל על משהו לעקוץ אותך

 

[yossik]

רק בביצוע פעולות כמו העברת כספים.
עדיין הכניסה לאתר עם שמ משתמש וסיסמה בלבד

אכן, כניסה עם שם/סיסמא ואישור ביצוע פעולות עם קוד SMS.

 

[roneng]

למה לפתוח פירצה לגנב ?

למה לסבך משתמשים?
ככל שההגנה פחות נוחה למשתמש הקצה ככה הוא ישתמש בה פחות. (ראה ערך ססמאות פשוטות או הדבקה של הסיסמא על המסך).

כל פרט מיותר שיודעים עלייך יכול להקל על משהו לעקוץ אותך

לא אמרתי להשאיר את האתר פתוח לגמרי. עדיין צריך שם משתמש וססמא

 

[M.B]

למה לסבך משתמשים?
ככל שההגנה פחות נוחה למשתמש הקצה ככה הוא ישתמש בה פחות. (ראה ערך ססמאות פשוטות או הדבקה של הסיסמא על המסך).

לא אמרתי להשאיר את האתר פתוח לגמרי. עדיין צריך שם משתמש וססמא

אז שיתנו את האופציה למי שרוצה לאבטח את החשבון טוב יותר
מה אומר ? הכי טוב לדעתי

 

[roneng]

אז שיתנו את האופציה למי שרוצה לאבטח את החשבון טוב יותר
מה אומר ? הכי טוב לדעתי

עכשיו אתה כבר דורש יותר מידי מהבנק

 

[sogi]

אני הבהרתי לבנק שכל הפעולות באינטרנט הן רק לצורך קבלת מידע ולא תתאפשר כל פעולה אחרת.

כשאני רוצה לקנות ניירות אני הולך פיזית לסניף או מתקשר ליועץ שמכיר אותי. אז הם חושבים שאני מוזר ופרנואיד. אין לי בעיה עם זה.

מהמעט שאני מכיר את תחום הסייבר, הנחת העבודה צריכה להיות שהמחשב של כל אחד מאיתנו פרוץ, אנטיוירוס או לא.

תעבור ל-IB, יש שם 2FA. שיחות טלפון בשביל ביצוע פעולות זה משהו שכולנו כבר שכחנו ממנו בשנות התשעים העליזות.

זה בערך המוסד הפיננסי היחיד שיש בו 2FA והוא נגיש לישראלים
https://www.hasolidit.com/kehila/threads/שיקולי-אבטחת-מידע-בבחירת-בית-השקעות-ברוקר.7331/

נראלי שיותר קל לעבור לברוקר מאובטח כמו ib ולחסוך את כל כאב הראש הזה

אם יהיה ל-IB כרטיס אשראי לישראלים אז אנשים פשוט הולכים לכתוב את חשבון הבנק של IB בסיטיבנק תל אביב בטופס 101...

 

[חתול לילה]

תעבור ל-IB

תודה, אבל אני לא מאוד נהנה מלמלא דוחות מס שנתיים.

 

[annona]

יש בלאומי?

הייתי שם לפני שנה.
למיטב זכרוני שלחו לי סמס שרציתי לעשות העברות ודברים כאלה.

 

[בוקר טוב אליהו]

מדבר על 2FA ומנגנוני אבטחה מתקדמים והכל טוב ויפה, אבל בלאומי אפילו את אורך הסיסמה מגבילים (מלמעלה) ל-12 תווים וללא סימנים מיוחדים. חייב להודות שזה מטריד אותי.
מצרף את הגדרת דרישות הסיסמה לפי האתר של לאומי:

בחר סיסמה חדשה, השונה מהסיסמה הנוכחית. הנחיות לבחירת סיסמה חוקית:

• הסיסמה חייבת להכיל בין 6 ל-12 תווים, ולהיות מורכבת מאותיות לועזיות וספרות בלבד ללא רווחים.
  שים לב! בששת התוים הראשונים יש לשלב אותיות וספרות.
• לא ניתן לכלול רצף של ספרות או אותיות שהן זהות (למשל, 111), עוקבות (למשל, 123), או סמוכות על המקלדת (למשל, QWE).
• לא ניתן לכלול סימנים שאינם אותיות לועזיות או ספרות, כגון: %, $, * וכדומה.

דוגמה לסיסמה לא תקינה: ABC123
דוגמה לסיסמה תקינה: DEMO15