איך אתם שומרים סיסמאות?

[מרק עוגיות]

זה כן בשליטתך מידת מה.

מעניין. לא רלוונטי בעיני לאף אתר (שאני משתמשת בו) שקל לשחזר בו את הסיסמא - בדרך כלל הם לא חשובים מלכתחילה. מקסימום מישהו יגלה איזה ספרים אני אוהבת או משהו כזה. אגב יש לי אתרים שאני צריכה להשתמש בהם במסגרת העבודה (ממשלתיים, לא פחות) שבהם שחזור הסיסמא שולח את הסיסמא שלי לאימייל בplain text . במקרים האלו שום אבטחה שלי לא תעזור, כי האתר עצמו הוא ברמת אבטחה מתחת לכל ביקורת. אני כמובן מקפידה לבחור שם סיסמאות שלא קשורות לכלום כדי שלא יהיה אפשר להעזר בסיסמא הזאת לנחש סיסמאות אחרות שלי.

 

[מתכנת]

@מרק עוגיות
לא יודע כמה פעמים בשבוע יוצא לך לאפס סיסמה אבל המחשבה הזו של לאפס סיסמה תכופות ממש מעיקה.
בתחילה ניסיתי להימנע משימוש במנהל סיסמאות בתירוצים שונים, כנראה סתם הייתי עצלן.
בשלב מסוים נשבר לי ומאז זה ממש ממכר, לא מצליח להבין איך אנשים מתנהלים בלעדיו.
כיום יש לי שם מאות סיסמאות ומפתחות שונים, כל שטות הכי קטנה מכניס לשם.

 

[מרק עוגיות]

לא יודע כמה פעמים בשבוע יוצא לך לאפס סיסמה אבל המחשבה הזו של לאפס סיסמה תכופות ממש מעיקה.

לא לעתים קרובות, בדרך כלל אני משתמשת באותם אתרים שוב ושוב אז אני זוכרת, וגם הדפדפן זוכר בשבילי חלק מהסיסמאות (שוב, של אתרים שלא אכפת לי מהם במיוחד)

 

[adamshalev]

יש לך ניסיון עם זה או משהו להגיד מעבר?
איך מגבים אותו למקרה שיאבד?

קניתי כמה כאלה, אחד (הפצפון) במחשב עבודה, אחד (פצפון) במחשב בבית, אחד בתיק ואחד גיבוי בבית של ההורים.
שים לב שאין לי אחד על המחזיק מפתחות, כי הטרזור על המחזיק מפתחות והוא גם U2F.
הדרך לגבות היא רק ע״י ריבוי מכשירים. הם non cloneable (זה חלק מהרעיון).
בפועל, יש לי גם שיטות אחרות ל-2 factor auth בחשבונות גוגל. אני עוד לא מרגיש נח להקשיח את החשבון באופן הזה (וזה גם סיפור עם מובייל, אתה צריך מכשיר מיוחד שמתקשר בבלוטות׳ בשביל לעשות לוגין במובייל), אז אני משאיר גם OTP.
באחד החשבונות הפחות חשובים עשיתי הקשחה מלאה לגישה עם מכשיר פיסי בלבד בשביל הניסוי.

 

[AF1k]

היי לכולם, קראתי את השרשור ומאוד מעניין אבל עדיין לא הבנתי בדיוק מה השיטה המומלצת.

יש את Yubikey ודומיו שמאפשרים בדומה ל-2 factor auth שרק אם אני מכניס את המכשיר לתוך המחשב הוא מאפשר לי להתחבר לחשבון, בנוסף או במקום הסיסמא. יש את Trezor ודומיו שמאפשרים לשמור את הסיסמאות פיזית על המכשיר, וניתן לגשת אליהם מהמחשב באופן מאובטח.

מה קורה במידה ואני מאבד את המכשיר של ה-Trezor? הרי כל הסיסמאות עליו, האם יש גיבוי כלשהו שאפשר לשמור?

ומה החיסרון בפיתרון של מנהל סיסמאות על המחשב עם Yubikey?

תודה מראש.

 

[adamshalev]

@AF1k
הססמאות לא נשמרות על הטרזור. הן נשמרות בקובץ בדרופבוקס שנותן לך את שירות הגיבוי בחינם. אני בנוסף מגבה עם עם שירות נוסף שמגבה את כל המחשב כולל הדרופבוקס לענן נפרד.
הטרזור הוא רק המכשיר שעושה את ההצפנה והפענוח של המידע בקובץ הזה. אם אתה מאבד את הטרזור אתה יכול לקנות אחד חדש ולאתחל אותו עם ה- seed הסודי שאתה שומר בצד (אתה גם יכול לחלץ את הססמאות רק עם הseed בלי המכשיר).

ה-yubikey מיועד ל2 factor auth. הוא לא עונה כלל לצורך של ניהול ססמאות. ואומנם הוא מגן עליך נגד פורץ שיודע את הססמא שלך לג’ימייל (אם הגימייל דורש גם יוביקיי) אבל מה עם שאר פרטי המידע הרגישים שלך? ססמאות לכל שירות אחר? שאלות אבטחה? קודי שחזור של 2fa? קודי pin למיניהם? מפתחות הצפנה? כרטיסי אשראי? ושלל מידע רגיש/פרטי אחר?

זה היופי במנהל ססמאות פיסי - אתה זורק לתוכו כל המידע הרגיש, גם ססמא סתמית לאתר אקראי וגם את המפתח הפרטי שמגן על הביטקוינס, וגם את הסודות שעוקפים 2fa וכד, ושימוש באחד לעולם לא חושף את האחר. אתה יכול להחליט עם עצמך שגישה לססמאות ״רגילות״ אתה מרשה לעצמך לעשות על מחשב רגיל, אבל גישה למידע סופר-דופר רגיש תעשה רק ממחשב מוקשח/נקי/סטרילי (או סתם אחד שלא התקנת עליו קראקים/האקים ונוזקות אקראיות).
קניתי לעצמי rasberry pie למטרה הזאת, אבל התעצלתי ובפועל אני ניגש למידע הרגיש ממכונה נקיה על הוסט נקי וזהו.

 

[פשוט]

אין לך שום אינפורמציה נוספת? ההוא לא סיפק שום מידע?
כי זה קצת יומרני לטעון טענה כזו בלי להצביע על כלום.

אני אמנם בתחום התוכנה אבל מבין מעט מאד באבטחה. מה שאמר זה שזה כל כך לא מוגן שהצליח לפרוץ את ה-DB של הסיסמאות מ Cmd. מי שממש רוצה לחקור שיפנה בפרטי ואפנה אותו לקבוצת ווצאפ/טלפון של אותו אדם.

 

[adamshalev]

שהצליח לפרוץ את ה-DB של הסיסמאות מ Cmd.

ניחוש שלי שהוא הריץ dictionary attack על קובץ שמוגן עם ססמא חלשה וללא ריבוי-איטרציות בהצפנה.
בתרגום חופשי - הוא לא פרץ שום דבר, אלא הוא ניחש ססמא על קובץ שמוגן עם משהו כמו "superman" או "password1234".
@גילגמש מציע שתזמין אותו להשתתף בשרשור. אם הוא אשכרה מצא פרצת אבטחה (בלתי סביר באופן אסטרונומי), הוא יזכה לתהילת עולם.

 

[פשוט]

@adamshalev
מן הסתם אתה צודק.
לא אזמין אותו כי אינני מכיר אותו. גם אינני רוצה לערב בין הישות הוירטואלית שלי לישות הווצאפית שלי באופן פעיל.

 

[מתכנת]

@גילגמש
אם זה כל כך קל, נשלח לו מפתח פרטי של כתובת ביטקוין עם 50$ בתוך בסיס נתונים של keepass
בא נראה שיפתח את זה ויוציא את הכסף

 

[שפינוזה]

סליחה על הבורות, אבל למה לא לכתוב את כל הססמאות במסמך google doc . בשביל לגשת אליו צריך את הססמא של חשבון הגוגל שלך.
זה נכון שמי שפורץ את הססמא הזאת מקבל גישה לכל הססמאות, אבל זה נכון לגבי כל מנהל סיסמאות.
לגבי keepass נראה קצת פרטץ׳. בעיקר שרוב הפלטפורמות כמו אפלקציה לסלולר הן contributed ולא רשמיות. אותי קצת מפחיד. אני יותר סומך על google מאשר על הדבר הזה.
הערה נוספת היא שרוב הססמאות לא חשובות ולא מעניינות אף אחד חוץ מססמא לאימייל ולבנק.

 

[מתכנת]

זה נכון שמי שפורץ את הססמא הזאת מקבל גישה לכל הססמאות, אבל זה נכון לגבי כל מנהל סיסמאות אפליקטיבי.

תיקנתי לך.
מנהל סיסמאות חומרתי מגן נגד זה

סליחה על הבורות, אבל למה לא לכתוב את כל הססמאות במסמך google doc .

שיטה סבירה בסך הכל, אולי קצת יותר טובה מזו.
יכול בקלי קלות לדלוף בטעות (share)
כאשר אתה פותח את הקובץ הוא חשוף ויזואלית לכל מי שרואה את המסך שלך. (וכמובן חסר את כל הפיצ'רים שתוארו קודם)

הערה נוספת היא שרוב הססמאות לא חשובות ולא מעניינות אף אחד חוץ מססמא לאימייל ולבנק.

?
טוב לא אפרט יותר מדי,
רק דוגמה אחת, יש לי חשבונות בכמה ספקי ענן, אם מישהו יפרוץ לי לחשבונות הללו ויחגוג שם אכנס לחוב כספי עצום תוך שעות בודדות.
אם תשב ותחשוב על כל החשבונות, תיזכר שהרבה מהן כן חשובות.

 

[Yevgeny]

סליחה על הבורות, אבל למה לא לכתוב את כל הססמאות במסמך google doc

בנוסף לתשובה של מתכנת, אני גם למשל רוצה גישה לסיסמאות שלי גם offline. ב-keepass אני מחזיק גם את הקוד כספומט של כל כרטיסי האשראי, את המספר לקודן של הרכב, סיסמאות לדברים כמו הראוטר או המשתמשים של מערכת הפעלה (הכוונה לא רק למחשב/ראוטר שלי, אלא כל המכשירים של המשפחה שאותם אני מנהל).

(עריכה: וזה גם סיסמאות שקשה לשחזר ע"י שיטת ה"שכחתי סיסמא" ש @מרק עוגיות הציעה קודם )

 

[adamshalev]

@שפינוזה
אם כבר אתה סומך על גוגל, אז לפחות תשתמש בפתרון ייעודי שלהם לשמירה על ססמאות ולא על מסמך גוגל, שכאמור זה רעיון רע מהרבה סיבות.
https://get.google.com/smartlock/

בסה״כ - כל מנהל ססמאות פותר 99% מהצורך.
חלקנו פארנואידים וצריכים מפתחות פיסיים למיניהם בשביל לישון טוב בלילה, אבל קובץ טקסט / מסמך גוגל זה קצת מעט מדי. זה גם מעיד לדעתי על חוסר אבטחה מספקת בדברים אחרים. למשל: האם אתה משתמש ב 2 factor auth? אם לא אתה צריך, אם כן איפה אתה שומר את ה recovery codes? האם אתה משתמש בססמאות מגונרטות ייחודיות לכל שירות? אם לא אתה צריך, אם כן אתה בטח לא זוכר אותן בעל פה אז איפה אתה שומר אותן? האם אתה עונה על שאלות אבטחה עם תשובות אמת? אם כן, אתה עושה טעות חמורה וחושף את עצמך לפריצה דרך דליפת מידע ברשת וsocial engineering, ואם לא ואתה כמוני ממציא תשובות מגונרטות אז איפה אתה שומר אותן? והרשימה ממשיכה. יש לי מאות פריטים במנהל הססמאות, והם לא כולם ססמאות, אבל הן כן צריכות להשמר בסוד.

 

[שפינוזה]

כול בקלי קלות לדלוף בטעות (share)

לא בקלי קלות. צריך לסמן את הקובץ כ-shared. זה משהו כמו 4 פעולות. לא מצליח לראות איך זה קורה בטעות.

כאשר אתה פותח את הקובץ הוא חשוף ויזואלית לכל מי שרואה את המסך שלך.

נכון, אבל לדעתי זה קורה בחלק גדול ממנהלי הססמאות. למשל, מי שרוצה את הססמא למחשב שלו, צריך לראות אותה...

בנוסף לתשובה של מתכנת, אני גם למשל רוצה גישה לסיסמאות שלי גם offline.

אוקי. זה יותר פשוט. קודם כל אין הרבה כאלו. כי רוב הססמאות שלך הן לדברים online ולכן ממילא אתה צריך חיבור. אבל אם אתה רוצה משהו offline פשוט תשים קובץ טקסט (או מסמך PDF) במכשיר הסלולרי שלך. ללא שום ססמא.
ולפני שאתם הולכים להגיד לי שאני משוגע ושזה חוסר אחריות. תקראו את זה. אני אומר: מה שקשה ל-FBI - אותי מספק. בשביל הסודות שלי לא צריך רמה של CIA

לדעתי, השאלה החשובה היא האם אתם סומכים על google שאם תשימו קובץ ססמאות שם במסמך רגיל, עובד ב-google שיש לו הרשאה לא ישתמש בזה לרעתכם.
והתשובה היא לדעתי למה הססמא. אם הססמא היא לפורום ה"סולידית" או אפילו לחשבון הבנק שלי - אני מרגיש בטוח.
לא הייתי משתמש בשיטה הזאת לקודים של הנשק הגרעיני של ישראל או אם היה לי מיליון דולר בביטקוין (ג"נ, אין לי). אבל במקרים כאלו הייתי משתמש ישירות בקוד פתוח כמו GPG (בפורמט של command line והייתי מקמפל בעצמי) ולא מוריד אפליקציות שהשד יודע מי כתב אותם. בכל מקרה, לדעתי לכל צורך מעשי של 99% מהאנשים זה מיותר. google מספיק טוב.

 

[מתכנת]

line והייתי מקמפל בעצמי) ולא מוריד אפליקציות שהשד יודע מי כתב אותם.

keepass קוד פתוח לגמרי, ואגב קיפלתי אותה בעצמי.

לא בקלי קלות. צריך לסמן את הקובץ כ-shared. זה משהו כמו 4 פעולות. לא מצליח לראות איך זה קורה בטעות.

מסכים איתך, אם כי כוונתי הייתה שהיות ולעיתים אנו משתפים קבצים מהכונן, ייתכן שנשתף קובץ אחר בטעות,
אפשר אמנם להתווכח על הסבירות, אבל כבר יצא לי לקבל במייל הארגוני תמונות אינטימיות ששלח בטעות אחד העובדים קבוצתית ואחר כך התנצל שהיו ממוענות למישהו אחר.
רק העליתי את הנקודה שבמערכת בה השיתוף מובנה הטעות הזו עלולה להתרחש.

נכון, אבל לדעתי זה קורה בחלק גדול ממנהלי הססמאות. למשל, מי שרוצה את הססמא למחשב שלו, צריך לראות אותה...

נו באמת, מצאת דוגמה פחות שכיחה ואפילו בה מנהל סיסמאות יחשוף רק את הסיסמה הבודדת, כאשר קובץ DOC פתוח חלקו הגדול גלוי.

לדעתי, השאלה החשובה היא האם אתם סומכים על google שאם תשימו קובץ ססמאות שם במסמך רגיל

משהו ששכחתי לגמרי לציין, גוגל לא חפה מפרצות אבטחה XSS וכד'**, היו להם בעבר גם פרצות שמאפשרות לקרוא ההודעות מייל של אחרים (אפרופו איפוס סיסמאות), יש שוק שחור של מסחר בפרצות zero days.
כך שבחיים לא אשמור שם קובץ סיסמאות או מידע רגיש *באמת* באופן חשוף.
**יש הטוענים כי זה נובע מתרבות deployment מסוימת ולכן גם יש bug bounty לפצות על כך.
עריכה: הנה כמה פרסומים מהשנים האחרונות, ויש לא מעט שמקבלים bounty ויושבים בשקט או גרוע מכך לא מדווחים.

קניתי לעצמי rasberry pie למטרה הזאת,

בדיוק יש לי אחד מיותר מהדור הקודם שתהיתי מה לעשות בו, תודה על הרעיון.

 

[שפינוזה]

משהו ששכחתי לגמרי לציין, גוגל לא חפה מפרצות אבטחה XSS וכד'**, היו להם בעבר גם פרצות שמאפשרות לקרוא ההודעות מייל של אחרים (אפרופו איפוס סיסמאות), יש שוק שחור של מסחר בפרצות zero days.
כך שבחיים לא אשמור שם קובץ סיסמאות או מידע רגיש *באמת* באופן חשוף.

צריך לסגור את כל ה-browsers כדי שלא תשאר logged in. נכון. אבל פרט לזה, אני לא רואה איך מישהו פורץ לזה בלי לפרוץ לחשבון ה-google שלך שזה בטוח למדי.

 

[מתכנת]

צריך לסגור את כל ה-browsers כדי שלא תשאר logged in. נכון.

זה יעזור למנוע בעיקר CSRF או CORS.

אני לא רואה איך מישהו פורץ לזה בלי לפרוץ לחשבון ה-google שלך שזה בטוח למדי.

מייל עם תוכן זדוני. (תוך ניצול פרצה)
ואם יש לך אנדרואיד ויש בו zero day אז בכלל אין לך דפדפן לסגור...?!

אבל פספסת את הנקודה, אני לא סומך עליהם בדברים רגישים *באמת* כי גם הם לא חפים מפרצות אבטחה במוצרים שלהם, וזה הוכח בעבר הקרוב.

 

[Ron B]

משתמש ב-vi. יש שם הצפנה build in של blowfish2 שהוא פחות ״פופלארי״ מ-AES, אבל הוא לא נפרץ מעולם. לפחות לא פורסם. אני לא יודע מה יש ל-CIA או למוסד. מאד נוח ומאד מהיר. הקובץ מסונכרן בין מחשבים שונים באמצעות google drive.
לפלפון שלי אני מכין גרסה מיוחדת של PDF לא מוצפן (אם כי אפשר להצפין גם PDF בצורה פשוטה), כי הקבצים על האייפון מוצפנים ובלתי נגישים.

 

[מתכנת]

משתמש ב-vi. יש שם הצפנה build in של blowfish2

רעיון יפה, לא הכרתי.
אתה יודע האם הוא שומר temp לא מוצפן וכד' תוך בזמן הכתיבה או מתישהו?

אגב, אתה משתמש בו על חלונות או לינוקס?