-
אזהרה: פורום זה מיועד להחלפת דעות בין משקיעים חובבים בנושאים תאורטיים בלבד. חל איסור מוחלט על מתן ייעוץ השקעות פרטי. אין לראות בדיונים בפורום בבחינת יעוץ השקעות או תחליף לייעוץ פיננסי מקצועי המותאם אישית וספציפית למשקיע תוך התחשבות בנתוניו, צרכיו המיוחדים והאחרים, מצבו הכספי, נסיבותיו ומטרותיו. אין להסתמך או לפעול על פי הנאמר בפורום ללא קבלת יעוץ מקצועי אישי מבעל הרישיון המתאים, וכל הנוהג אחרת עושה זאת על אחריותו בלבד. האחריות לאמור בכל הודעה היא על מחבר/ת ההודעה בלבד.
-
חשבון מסחר באקסלנס טרייד : סנט למניה במסחר בארה"ב (מינימום $5 לעסקה), פטור מדמי טיפול לשנתיים, קורס במתנה ובונוס 100 ש"ח למצטרפים חדשים. להצטרפות דיגיטלית לחצו כאן .
אוגורן
משתמש בכיר
- הצטרף ב
- 9/9/20
- הודעות
- 1,197
- דירוג
- 1,565
מסכים, זה דבר מצוין.
זה לא חרטא, זה פשוט כלי גס שמתמודד עם סוג אחד של התקפות (שהוא הסוג הכי נפוץ).
תוקף שמנסה להכנס פעם אחת, באמצעות סיסמה גנובה או כל דבר אחר, יכול בקלות להשתמש ב-VPN.
אבל לבצע מתקפת DDOS מעל VPN עם נקודת יציאה בישראל, בקצב גבוה ולאורך זמן, זה דבר שממש לא פשוט ולא זול לבצע.
מהם פרטי ההתחברות אם לא שם משתמש סיסמא? איך אתה חושש שהתוקף ישיג אותם?
גם בib האימות הדו שלבי הוא רק בכניסה לחשבון. מהרגע שאתה בפנים, המסחר חופשי.
משיכת כסף היא גם כך רק לחשבון יחיד שלך הברוקרים הישראליים, ולא מתבצעת דרך הספארק.
זה לא בא להגן מפני זר בחו"ל שהשיג את פרטי ההתחברות.
אאל"ט תלוי אם אתה חשבון 'סגור' או 'פתוח'.
פעם אחרונה שבדקתי ה-vpn הטוב ביותר היה TOR. בפער. הוא קוד פתוח, ועובר דרך 3 מחשבים בדרך, כל אחד מוסיף שכבת הצפנה משלו.
כדי לבקש שהמחשב האחרון יהיה במדינה מסוימת, נדרש לערוך פרמטר בקובץ. לא הכי ידידותי. אבל באופן כללי הוא מאוד גמיש.
לדוגמא, אני הפעלתי אותו כמכונה וירטואלית שתפקדה כראוטר.
.
VPN זה לא דבר יקר. ותמיד תמיד מומלץ לשימוש. משהוא כמו ,
Private Internet Access: The Best VPN Service For 10+ Years
PIA VPN is 2024's top-rated VPN service – with ultra-fast speeds, worldwide streaming servers, and 100% open-source software. Try PIA risk free for 30 days.
www.privateinternetaccess.com
עולה 80 דולר ל 3 שנים. כלומר 2 דולר לחודש. בשביל תוכנה שאתה משתמש בה 24/7. בכל המחשבים והטלפונים.
נערך לאחרונה ב:
fizban
משתמש רגיל
- הצטרף ב
- 21/2/23
- הודעות
- 134
- דירוג
- 116
סיסמא בלבד חשופה לפיצוח סיסמא (במיוחד אם היא טיפשית ולא משתמשים במנהל סיסמאות), לפישינג והנדסה חברתית.
אימות דו שלבי עם סמס חשוף לפישינג והנדסה חברתית (מתקשרים לחברת הסלולר בשמך ומבצעים ניוד לטלפון אחר).
אימות דו שלבי עם authenticator חשוף לפישינג
אימות דו שלבי עם מפתח פיזי מתגבר על בעיית הפישינג - כי המפתח עובד רק עם אתרים שתומכים בו. החיסרון הוא שזה לא נפוץ עדיין.
אני לא חושב שיש אף ברוקר בישראל שיש לו אימות דו שלבי - וזה הזוי מבחינתי להחזיק אצלם סכומים גדולים בגלל זה.
ל IB יש אימות דו שלבי עם סמס, שזה חצי נחמה. זה עדיין לא חזק מספיק.
הבעיה עם סיסמאות ששומרים ב password manager היא שאם גונבים את המחשב ומצליחים לפרוץ את הסיסמא למחשב (שבדרך כלל היא עלובה), הרבה אתרים חשובים נחשפים לפורץ. האימות הדו שלבי לא מתבקש במחשב מוכר, אלא אם אתה באמת פרנואיד ומקנפג את זה כך (שזה מאוד לא נוח).
הנקודה שלי היא שאם אתה משתמש שמודע לחשיבות של 2FA, אתה תבחר סיסמא חזקה וייחודית לאתר, המנהל סיסמאות שלך יהיה מוגן ב-2FA, ואתה לא תיפול בפישינג (שמאוד לא נפוץ, אם בכלל) שיגרום לך לחשוף את הסיסמא שלך לחשבון הברוקר.
fizban
משתמש רגיל
- הצטרף ב
- 21/2/23
- הודעות
- 134
- דירוג
- 116
דווקא פישינג נפוץ יותר כי הוא מתגבר על אימות דו שלבי. משתמש תמיד מכניס סיסמה ואת הקוד באתר מזוייף ואז להאקר יש גישה מיידית לחשבון.
זה הרבה יותר קל מלנסות לפרוץ/לנחש ססמאות או ניוד מזוייף של המספר.
זה נכון שקל יותר להתמודד עם פישינג, כל עוד מקפידים להיכנס ללינקים רשמיים ששמורים אצלנו ולא דרך הודעות אימייל וכאלה.
לגבי מנהל סיסמאות - כבר הצליחו לפרוץ לכאלה (ראה lastpass) ואז כל המשתמשים במנהל הזה חשופים לאחר זמן מה (תלוי בהצלחת ההאקרים עם ההצפנות).
זה הרבה יותר קל מלנסות לפרוץ/לנחש ססמאות או ניוד מזוייף של המספר.
זה נכון שקל יותר להתמודד עם פישינג, כל עוד מקפידים להיכנס ללינקים רשמיים ששמורים אצלנו ולא דרך הודעות אימייל וכאלה.
לגבי מנהל סיסמאות - כבר הצליחו לפרוץ לכאלה (ראה lastpass) ואז כל המשתמשים במנהל הזה חשופים לאחר זמן מה (תלוי בהצלחת ההאקרים עם ההצפנות).
כוונתי הייתה לפישינג שמטרגט לקוחות של בתי השקעות בארץ. יתכן שאם יתחיל להיות פופולרי - יוסיפו 2FA.
על כך אין מחלוקת.
אם פרצו לשירות, מן הסתם תחליף סיסמאות. אם הסיסמא שלך מספיק חזקה, היא לא תיפרץ תוך יום-יומיים.
לגבי אותה פריצה ל-lastpass אני מודה שלא הבנתי עד הסוף מה קרה. בשורה התחתונה - הם קראו למשתמשים להחליף את הסיסמא הראשית שלהם, אבל אם המאגר המוצפן כבר נגנב והיה חשש שיפרץ בסופו של יום - לא היה הגיון לקרוא למשתמשים להחליף גם את כל שאר הסיסמאות?
fizban
משתמש רגיל
- הצטרף ב
- 21/2/23
- הודעות
- 134
- דירוג
- 116
כן, אבל 2FA לא מגן מפישינג, אלא אם יש לך ubikey או משהו פיזי אחר. וזה יחסית נדיר.
אני לא יודע מה ההיגיון שלהם, אבל אתה לחלוטין צודק לדעתי - צריך להחליף את כל הסיסמאות, רק כדי להיות בטוח. פשוט בגלל ה 2FA הססמאות פחות משנות בכלליות. כי גם אם אתה פורץ סיסמא של אתרים שיש להם 2FA, לא ממש תעזור לך רק הסיסמא. אבל למשל לברוקרים בישראל איו 2FA, ולכן פריצה של הסיסמא היא הרת אסון.
אז במינימום, מי שמשתמש ב lastpass היה צריך להחליף סיסמא ראשית ואת כל הסיסמאות של אתרים ללא 2FA.
אז בשורה התחתונה, משתמש שמבין דבר או שניים - מה הסכנה שנותרה בכך שישקיע בבית השקעות ללא 2FA? שיפרצו לשרת של מנהל הסיסמאות בו הוא משתמש ויפענחו את הסיסמא? הייתי מפחד יותר לחצות כביש...
שלא תבין אותי לא נכון, 2FA הוא מאוד חשוב, אבל עיקר חשיבותו היא בהגנה על המשתמשים הלא מתוחכמים - אלו שממחזרים סיסמאות, משתמשים במחשבים ציבוריים וכו'.
fizban
משתמש רגיל
- הצטרף ב
- 21/2/23
- הודעות
- 134
- דירוג
- 116
אפשר גם לפרוץ לברוקר ישירות ולגנוב סיסמא. אפשר להתחזות למר ביגבנג מול הברוקר טלפונית, אם יש עליו קצת נתונים, ולשנות את הסיסמא - מה שנקרא הנדסה חברתית. כלומר אפשר להגיע לסיסמה שלך ללא התעסקות איתך. היתרון של 2FA הוא שלא כל הביצים בסל אחד. אתה מפזר סיכונים. צריך את הסלולרי שלך או את אפליקצית ה authenticator שלך. ולכן אתה יכול להיות רגוע יותר כשיש לך authenticator בנייד, במיוחד אם אתה מודע לענייני פישינג וכאלו.
2FA עם סמס פחות מאובטח מהנ״ל, כי עדיין אפשר לנייד את הטלפון שלך בעורמה, אבל לפחות פה צריך כבר גם להתעסק עם הברוקר כדי לפענח סיסמא וגם להתעסק עם חברת הסלולר. כמובן שאפשר להערים על הברוקר ולקבל סיסמא חדשה וגם מספר טלפון חדש, אבל זו כבר רשלנות פושעת ברמות של הברוקר - אם זה מצליח.
יש אתרים, כמו קופת חולים מכבי, שצריך רק מספר תעודת זהות ותאריך לידה פלוס סמס. ואז זה שוב פחות בטוח, כי צריך להערים על קופת החולים או חברת הסלולר כדי לשנות טלפון. לא שתיהן.
בלי קשר, אני מפחד לחצות כבישים בימינו יותר מאשר לפני 20 שנה.
נערך לאחרונה ב:
מול כל אלו 2FA לא מגן, כי הוא נגנב/מאופס במקביל.
למה שהברוקר יתן לך סיסמא חדשה בלי לאמת שהמספר שרשום אצלו נמצא בידי המתקשר? אם הוא לא עושה זאת, 2FA לא יעזור...
ואתה עדיין עושה זאת ולא קורא לאחרים להימנע מכך...בלי קשר, אני מפחד לחצות כבישים בימינו יותר מאשר לפני 20 שנה.
fizban
משתמש רגיל
- הצטרף ב
- 21/2/23
- הודעות
- 134
- דירוג
- 116
אם מישהו שינה סיסמא אצל הברוקר בעורמה, עדיין ה 2FA מחפש את הauthenticator שלך. אין סיבה לאפס את זה, ובטח לא לאפשר איפוס של זה.כנל לגבי סמס. הטלפון שלך לא משתנה ולכן גם אם יש למישהו את הסיסמה שלך, זה לא יעזור לו.
ולכן אמרתי שזו רשלנות פושעת אם דבר כזה קורה, וגם ש authenticator חזק יותר מסמס. כי גם אם הצליחו לעלות על הסיסמה ולנייד למס טלפון אחר, אין להם את ה authenticator שלך כי הוא בנייד שלך.
לא קורא להם להמנע מכך, אבל בהחלט קורא להם להזהר יותר בימינו.
אם מישהו משנה סיסמא אצל הברוקר בלי גישה למייל/מס' טלפון שלך, הוא יכול באותה מידה גם לאפס את ה-2FA. ברור שזו רשלנות של הברוקר, אך זו אותה רשלנות שמאפשרת מראש את שינוי הסיסמא (שלרוב מתבצע באמצעות לינק למייל או קוד ב-SMS, זה לא שבוחרים אותה בטלפון), כך ש-2FA לא מוסיף באמת אבטחה במקרה זה.
בכל מקרה, נראה לי שגלשנו ומיצינו. דעתי היא ש-2FA מאוד חשוב, אך לא מאוד קריטי למשתמש ה"מתקדם", אלא יותר למשתמשים הלא מתוחכמים.
fizban
משתמש רגיל
- הצטרף ב
- 21/2/23
- הודעות
- 134
- דירוג
- 116
דרך הברוקר אתה מתכוון? כי גם אז זו רשלנות פושעת של הברוקר.
בד״כ איפוס 2FA מתבצע לאחר שכבר התחברת ובשביל להתחבר אתה צריך 2FA קודם.
לכן לדעתי 2FA זה משהו בסיסי בימינו לכל המשתמשים. דווקא המשתמשים הלא מתוחכמים לא טורחים להשתמש ב 2FA.
למרות הידע שלי, אני עדיין מעדיף extra layers of security, ולכן אין לי הרבה כסף בברוקרים בארץ, אלא ב IBKR.
כמובן שכל אחד יעשה כראוי בעיניו.
אתה העלית תרחיש של איפוס סיסמא דרך הברוקר. אני טוען שבתרחיש כזה, אם תצליח לאפס את הסיסמא ללא טלפון וללא מייל, אתה תצליח לאפס גם את ה-2FA.דרך הברוקר אתה מתכוון? כי גם אז זו רשלנות פושעת של הברוקר.
בד״כ איפוס 2FA מתבצע לאחר שכבר התחברת ובשביל להתחבר אתה צריך 2FA קודם.
הכל נכון ולא סותר בשום דרך את הנקודה שאני מנסה להעביר.
לחסום כתובות כדי להתמודד עם ddos זאת פעולה שביצעו פעם, התקדמנו מאז ויש כלים חכמים כמו ips שמונעים את זה. פשוט הם קמצנים כי זה עולה הון תועפות, לא הייתי רוצה לשים את כל ממוני אצל ברוקר קמצן שמתפשר על אבטחת המידע, זאת מראה לאיך הרמה של אבטחת המידע נראית אצלהם.
יש עוד דרכים, כמו גניבת הsession שלך. אני לא האקר אז אני לא מכיר, אבל דווקא פיצוח סיסמא זאת דרך קשה, לא הולכים ישר אליה שתוקפים מישהו.
יש פעמיים, פעם בהתחברות ופעם נוספת שאתה עובר מread only.
יש גם עוד פעם אם אתה עושה משיכה, בברוקר ישראלי מספיק לשלוח מייל מהמייל שלך לשירות הלקוחות ולבקש לעשות פעולות, כמו קניה משיכה וכו, כלומר אתה לא צריך אפילו את הסיסמא של הקורבן.
אפשר גם לטעון שבגלל שהם חוסכים על הפתרון ל DDOS, הם יכולים להשקיע באמצעים טובים יותר נגד התקפות יותרמ מתוחכמות.
2FA לא מגן מפני גניבת סשן.
אצלי כמעט תמיד החיבור הוא מייד עם הרשאות לבצע פעולות.
מה שאתה מתאר פה חמור מאוד ולא קשור ל-2FA...
נושאים דומים
נושאים דומים
-
-
אי.בי.איי ניהול עצמאי לעומת אינטרגמל מסלול עוקב S&P500 דמי ניהול 0.35%
- נפתח על ידי גיא3435
- תגובות: 28
-
האם באמת אי בי איי- משקיעים בחזרה את הדיבידנד ללא ניכוי במקור?- נפתח על ידי פסיוני
- תגובות: 8
-
-
-
-
-
-
-
-
איך תשפיע אי הכנסת עובדים מיו"ש לישראל ?- נפתח על ידי oferM
- תגובות: 0
-
פורסם תזכיר חוק המצמצם את אי הוודאות בנוגע לשאלה מיהו תושב ישראל לצורכי מס
- נפתח על ידי RustyJ
- תגובות: 4
-
-
-
בחירת מסלול מס להשכרה - 10% או פטור חלקי: האם ניתן לקזז הוצאות גדולות של התקנת המזגן / אי השכרה?
- נפתח על ידי סמבה
- תגובות: 4
-
-
-
-
אי שם במזרח אירופה - סיפור בדיוני בהמשכים
- נפתח על ידי ניצן המצוין
- תגובות: 24
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
הפקדת עצמאים לקרן השתלמות: אי בהירות לגבי תקרת פטור ממס רווחי הון
- נפתח על ידי אג17
- תגובות: 1
-
מישהו יודע מה העונש היום על אי שיתוף פעולה עם סוקר של הלמ"ס?
- נפתח על ידי noam23
- תגובות: 48
-
-
-
-
-
(אי) תשלום חשבון מים בתקופה הזאת (שואלת לא עבורי) - ריבית פיגורים יומית
- נפתח על ידי Lian
- תגובות: 10
-
-
-
-
-
-
-
-
