אימות דו-שלבי בפורום הסולידית

הנושא בפורום 'אוף טופיק' פורסם ע"י adamshalev, ‏3/9/19.

  1. paskar

    paskar משתמש ותיק

    הצטרף ב:
    ‏5/6/16
    הודעות:
    666
    לייקים שהתקבלו:
    227
    הרבה, לא קצת. אני ממש שונא את זה. צריך לחכות שיגיע, לפעמים צריך ללכת לקחת את הטלפון, וגם לא תמיד אני רוצה שלחברה יהיה את מספר הטלפון שלי.

    בהתחלה תהיתי אם מחשש בגלל שינוי מערכת באתר. :)
     
    grimble grumble אוהב/ת את זה.
  2. yossik

    yossik מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    6,916
    לייקים שהתקבלו:
    8,172
    אם אפשר לחזור לנושא השרשור - מה החשיבות של אימות דו שלבי בפורום?
    אין מידע אישי למעט המייל שלנו ששמור על השרת, אין טרנזאקציות עם כרטיס אשראי, מה פיספסתי כאן?
    באתרים 'רגישים' יש לי אבל כאן?
     
    גילגמש אוהב/ת את זה.
  3. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,871
    כל אתר צריך לתמוך באבטחה בסטנדרטיים גבוהים. מידע שדולף מאתר אחד מתאחד עם מידע שדולף מאתר אחר וכל הפרטים הללו עוזרים כדי להשיג עוד מידע על אותו אדם. אין שום תירוץ לאבטחה חלשה.
    ובפרט באתר הזה - זה יכול לחשוף מידע פיננסי ואחר על אדם ספציפי.
     
    tdc אוהב/ת את זה.
  4. Arrow

    Arrow משתמש סולידי

    הצטרף ב:
    ‏30/8/19
    הודעות:
    44
    לייקים שהתקבלו:
    16
    אני דווקא מאוד אוהב את האפשרות להתחבר למשל לאתר האשראי, דרך SMS.
    כמובן, לא רק SMS.

    1. צריך לדעת את מספר תעודת הזהות שלך.
    2. צריך לדעת 8 ספרות של כרטיס האשראי שלך. יש כאלה מסתפקים ב 4.

    נניח שעד כאן, אפשר להשיג את זה.

    אבל 3. זה הכי חשוב.

    3. צריך את הקוד שאתה מקבל למכשיר הניד שלך.

    עכשיו מי שכבר יצליח להשיג את הודעות הSMS שלך. מראש אתה צריך לחשוש ממנו מדברים אחרים, ולא מזה שיכנס לך לאתר האשראי.
    מה שאני בא להגיד, שלא כ"כ קל לדעתי לאדם הפשוט הסביר, להשיג את אותו הקוד שאני מקבל ל SMS.
    ואם הוא כבר כ"כ טרח והשיג, כבר עדיף לי לחשוש שלא ישיג ככה את המפתחות לרכב שלי, והקוד של הקודן. אם הוא כ"כ מתוחכם.

    איפה אני טועה אדם?

    אני כן יכול לשער, שבטח יש אפשרות לגרום למישהו לעשות משהו, ולקבל שליטה על הנייד שלו.
    אבל פה אנחנו כבר מגיעים למישהו שבכוונה תחילה התלבש על מישהו.

    אני רק רציתי להסביר שלאדם הפשוט, הרגיל, אין מה לחשוש מהתחברות עם SMS. כי בינינו, לכמה מאיתנו יש אנשים שעוקבים אחרינו או שמנסים להתלבש על הנייד שלנו?
    אם אתה כבר אחד שיש לו מה להסתיר, אני מאמין שמלכתחילה אתה לא תתחבר לאתר האשראי עם SMS (זו אפשרות שניתנת לך במעמד ההתחברות, אתה יכול גם להתחבר בדרך הרגילה - עם סיסמה).

    מקווה שהצלחתי להסביר את עצמי בכל הסלט שיצרתי כאן. רואים שאני לא מהתחום, נכון? סה"כ הגיון בריא
     
  5. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,871
    @Arrow
    אתה לא צריך שמישהו ינסה לתקןף אותך אישית, אתה רק צריך ליפול במתקפת פישינג, שזה משהו שיכול לקרות מבלי שתשים לב ומבלי שזה כוון אליך ספציפית.
    למשל מייל שנראה בדיוק כמו מייל מחברת האשראי עם ״דוח חודשי״ או ״הודעה חשובה״ או ״סיום תוקף הטבות״ או כל תירוץ אחר להכנסה לאתר החברה. המייל נראה לג׳יט לחלוטין ומוביל אותך לאתר החברה. אתה מזין ת.ז. ו8 ספרות כרטיס וקוד אימות שקיבלת ב-SMS ובום - התוקף קיבל גישה לחשבון שלך מבלי שאתה יודע אפילו ומבלי שהוא ידע שאתה קיים על פני כדור הארץ, אתה פשוט נידבת לו את המידע הזה.

    מתקפות ממוקדות על SMS, על אדם ספציפי, קורות בד״כ כאשר רוצים להגיע לחשבון של אדם חשוב (כמו פרופיל טוייטר בעל השפעה) או חשבון עם כסף קל (כמו חשבון מסחר קריפטו). ובמקרים האלה לא צריך ולא רוצה לגנוב לך את הרכב או אפילו לדעת איפה אתה גר, זה הכל נעשה בשלט רחוק מחור אקראי כלשהו בכדור הארץ.
     
  6. sagilevi

    sagilevi משתמש ותיק

    הצטרף ב:
    ‏10/3/17
    הודעות:
    282
    לייקים שהתקבלו:
    131
    יש לי LastPass והם לא תומכים ב-Authy
    אתה ממליץ עליהם בגלל האפשרות של הגיבוי?
    יש חלופה אחרת כדי לגבות את המפתחות?
     
  7. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,871
    כן, בין השאר
     
  8. sagilevi

    sagilevi משתמש ותיק

    הצטרף ב:
    ‏10/3/17
    הודעות:
    282
    לייקים שהתקבלו:
    131
    איזה חלק בדיוק צריך לגבות?

    ראיתי שיש מפתחות גיבוי שניתן להשתמש בהם באופן חד פעמי. הכוונה לזה?

    האם כדאי לגבות אותם בענן או בעותק לוקלי?
    ב-authy זה אומר שאם השרתים שלהם נפרצים אז יש לפורץ גישה לקודים שלך נכון?
     
  9. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,871
    לא קשור למפתחות גיבוי.

    אימות TOTP מבוסס על קוד סודי שידוע רק לך ולשרת של האתר שאליו אתה מתחבר.
    בכל לוגין, הקוד הזה מעורבל יחד עם השעה הנוכחית ונוצר ממנו הקוד החד פעמי.
    יש לי בטלפון כמה עשרות קודים כאלו, של אתרים שונים וחשבונות שונים באותם אתרים.
    אם אאבד את הטלפון אאבד את כל הקודים הללו ואיתם את הגישה לאתרים (נכון שיש דרכים לאפס ולפעמים יש קודים חד פעמיים אבל עדיין - אני מאבד את ה TOTP).
    ב-Authy יש גיבוי של כל הקודים הללו, מוצפנים ע״י ססמא שאתה בוחר וניתנים לאחזור רק למספר הטלפון שעימו נרשמת.
     
    sagilevi אוהב/ת את זה.
  10. sagilevi

    sagilevi משתמש ותיק

    הצטרף ב:
    ‏10/3/17
    הודעות:
    282
    לייקים שהתקבלו:
    131
    למה השיטה הזו עדיפה על פני SMS? נשמע שבאופציה של SMS אין את הבעיה הזו וזה מאובטח באותה מידה(?)

    איך אפשר להגיע לקודים האלו ב-Google authenticator? מה החלופה שהם מציעים?

    האם מומלץ לשמור אותם במנהל סיסמאות? נשמע שזה לא כל כך כדאי כי אז אם פורצים לחשבון שלי שם מקבלים גם את הסיסמה וגם את הקוד ביחד.
     
  11. adamshalev

    adamshalev מודרטור

    הצטרף ב:
    ‏24/1/15
    הודעות:
    8,805
    לייקים שהתקבלו:
    14,871
    לכל שיטה יתרון וחסרון. היתרון בשיטה הזאת על פני SMS זה שב-SMS אפשר לעשות יירוט להודעות. אתה צריך להניח, ש-SMS זה ערוץ תקשורת לא מאובטח, כי הוא אכן כזה.

    ב-SMS אין את הבעיה של לאבד טלפון כי אתה תמיד יכול לקבל טלפון חדש. לכן אני ממליץ בחום להשתמש ב-Authy שמשחזר קודים (מוצפנים) למספר על בסיס מספר טלפון.
    מנגד כמובן, מישהו אחר יכול לגנוב לך את הבעלות על מספר הטלפון, ולכן הסתמכות רק על מספר טלפון (כמו שחברות ביטוח עושות, או כמו שבנקים מאמתים העברות דרך SMS) זה מחליש את האבטחה.

    אין להם למיטב ידיעתי שום אפשרות גיבוי או ייצוא. זאת לא אפליקציה שהם מתחזקים ומוסיפים לה יכולות (לעומת Authy).

    כן ולא. כן כי כל פרט מידע חשוב שאתה צריך לשמור, אתה צריך לשמור באופן מאובטח כמו מנהל ססמאות. זה עדיף על פני לשמור באופו לא מאובטח, ובד״כ עדיף על פני לא לשמור (תלוי אם יש לך דרך בטוחה לשחזר או לא).
    אני בחרתי להשתמש במנהל ססמאות של Trezor שאין לו את הבעיה של לשים את כל הביצים בסל אחד. כל רשומה מוצפנת לחוד, וכדי לפתוח כל אחת מהן צריך לאשר אותה לחוד דרך המכשיר הפיסי. לכן סודות שאני צריך לשמור למקרה שאזדקק להם מתישהו (כמו קודים חד פעמיים) לא נחשפים לעולם, אפילו אם המחשב נגוע בכל ווירוס אפשרי, כל עוד אני לא פותח אותם ספציפית.
    כיוון שאני תמיד יכול לבחור לפתוח אותם על מחשב סטרילי, וכיוון שאפילו מחשב נגוע לא נשאר נגוע לנצח (עד פורמט או החלפה פיסית שלו), אני תמיד מגביל את הנזק אך ורק לסודות שפתחתי על המחשב הספציפי.
    הערת צד - בפועל זה כאב ראש ממש לעבוד עם מחשבים מרובים. היום אני עובד על מאק ועושה הכל עליו. בעבר הייתי מפריד עם מכונות ווירטואליות.
     
    sagilevi אוהב/ת את זה.
  12. marmita

    marmita משתמש סולידי

    הצטרף ב:
    ‏2/9/19
    הודעות:
    42
    לייקים שהתקבלו:
    26
    לא חייבים סיבה, אם יש את זה בתשתית הפורומים ואפשר להפעיל בקלות, אז בכיף. אישית הייתי שמח אם כל אתר שאני רשום אליו היה מאפשר את זה, גם אם אין לי הסבר הגיוני לזה ;)

    אגב, השאלה הבאמת קשה היא למה בנקים/בתי השקעות/חברות ביטוח/קופות חולים וכו' בארץ לא תומכים בזה? :roll:
     
  13. Aizik

    Aizik משתמש סולידי

    הצטרף ב:
    ‏26/1/15
    הודעות:
    22
    לייקים שהתקבלו:
    5
    מניסיוני, זה תמיד טרייד אוף בין שימושיות לאבטחת מידע.
    נכון שבבנקים האבטחה היא השיקול המוביל, אבל גם שם להוסיף תכונה לאפליקציה מאובטחת ברמה הכי גבוהה שיהיו לה מעט מאוד משתמשים עקב הסרבול הכרוך בשימוש בה - זה משהו שנופל בשלב התכנון.
     
  14. liranviper

    liranviper משתמש בכיר

    הצטרף ב:
    ‏17/10/15
    הודעות:
    1,708
    לייקים שהתקבלו:
    1,471
    @adamshalev עברתי לAuthy בהמלצתך (לפני זה השתמשתי ב Last Pass Authenticator), ואני מאוד מרוצה. בעיקר מהיכולת לאמת מהדפדפן. אז תודה
     
    sagilevi ו-adamshalev אוהבים את זה.
מוזמנים להשתמש בקישורי השותפים הבאים כדי לקנות באמאזון , להוריד ספרי שמע, או להקים אתר אינטרנט משלכם (מדריך מפורט - כאן). תודה על תמיכתכם באתר.
טוען...
נושאים דומים פורום תאריך
כשמחפשים ומנסים לדחוף בכוח כותרות מאימות ומפחידות אוף טופיק ‏1/9/19
אימות דו שלבי לחשבון ה- PayPal. אוף טופיק ‏13/1/19
  1. אתר זה משתמש בעוגיות דפדפן. אין באמור בפורום כדי להוות ייעוץ השקעות ו/או תחליף לייעוץ השקעות המתחשב בצרכיו של כל אדם.