• אזהרה: פורום זה מיועד להחלפת דעות בין משקיעים חובבים בנושאים תאורטיים בלבד. חל איסור מוחלט על מתן ייעוץ השקעות פרטי. אין לראות בדיונים בפורום בבחינת יעוץ השקעות או תחליף לייעוץ פיננסי מקצועי המותאם אישית וספציפית למשקיע תוך התחשבות בנתוניו, צרכיו המיוחדים והאחרים, מצבו הכספי, נסיבותיו ומטרותיו. אין להסתמך או לפעול על פי הנאמר בפורום ללא קבלת יעוץ מקצועי אישי מבעל הרישיון המתאים, וכל הנוהג אחרת עושה זאת על אחריותו בלבד. האחריות לאמור בכל הודעה היא על מחבר/ת ההודעה בלבד.

שיקולי אבטחת מידע בבחירת בית השקעות / ברוקר

  • פותח הנושא sogi
  • פורסם בתאריך

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
3,213
דירוג
2,387
[פוצל לכאן משרשור אחר - מתכנת]
6) רמת הביטחון בכניסה לחשבון: ב-IB יש בדיקה של Multi factory authentication, ואפשרות להזמין כרטיס פיזי. ייתכן וגם לברוקרים הישראליים יש (לא בדקתי). אבל אני מרוצה מרמת האבטחה שיש לחשבון בIB

מישהו יכול לאשר את זה ? האם אין אפילו ברוקר ישראלי אחד שיש לו את זה ?
אני יכול לאשר שבבנק הפועלים וב-IBI אין Multi-factor authentication בכניסה לאתר.
בבנק הפועלים יש זיהוי ב-SMS בחלק מהפעולות אבל לא בכניסה לאתר.

זה קצת מצחיק, כי בכל בורסת קריפטו סוג ז' יש את זה (שם בדרך כלל משתמשים ב-google authenticator) וכאן מדובר במוסדות פיננסיים ותיקים ששומרים על טריליוני דולרים. למה הם לא מממשים טכניקות אבטחה פשוטות ?
 
נערך לאחרונה ע"י מנהל:

wa11a

משתמש ותיק
הצטרף ב
31/1/15
הודעות
730
דירוג
746
מישהו יכול לאשר את זה ? האם אין אפילו ברוקר ישראלי אחד שיש לו את זה ?
אני יכול לאשר שבבנק הפועלים וב-IBI אין Multi-factor authentication בכניסה לאתר.
בבנק הפועלים יש זיהוי ב-SMS בחלק מהפעולות אבל לא בכניסה לאתר.

זה קצת מצחיק, כי בכל בורסת קריפטו סוג ז' יש את זה (שם בדרך כלל משתמשים ב-google authenticator) וכאן מדובר במוסדות פיננסיים ותיקים ששומרים על טריליוני דולרים. למה הם לא מממשים טכניקות אבטחה פשוטות ?
כי זה מעניין להם את ה***.
גם במיטב אין.
והכי מצחיק שהססמא מוגבלת לבדיוק 8 תווים. לא יותר ולא פחות. היו דיונים בעבר על האבטחה באורדרנט.
עוד סיבה לעזוב, אני כבר בתהליכי מעבר מתקדמים.
 

tdc

משתמש ותיק
הצטרף ב
25/8/17
הודעות
489
דירוג
627
הם לא מממשים טכניקות אבטחה פשוטות
הבנק שלי מחייב סיסמה באורך 6 עד 8 (!!!) תווים. אפילו פניתי אליהם בנושא הזה, נפנפו אותי עם תשובה בסגנון "אורך הסיסמה עומד בתקנים הנדרשים".
לא נראה ש-2FA (ואבטחה בכלל) בסדר העדיפויות שלהם.
 

Oringa

משתמש ותיק
הצטרף ב
19/2/16
הודעות
710
דירוג
1,369
מישהו יכול לאשר את זה ? האם אין אפילו ברוקר ישראלי אחד שיש לו את זה ?
אתה יודע איך מתבצעת תמיכה טכנית בברוקר ישראלי אחד שלא נזכיר את שמו? "תן לנו את הסיסמה שלך רגע ונסדר לך את החשבון".
 

adamshalev

מודרטור
הצטרף ב
24/1/15
הודעות
12,214
דירוג
22,905
אתה יודע איך מתבצעת תמיכה טכנית בברוקר ישראלי אחד שלא נזכיר את שמו? "תן לנו את הסיסמה שלך רגע ונסדר לך את החשבון".
מוסד פיננסי נוסף שלא נזכיר את שמו מאבטח מידע ככה:
אני: שלום, אני צריך לעשות משהו עם הכסף שלי
הם: מה ת.ז.?
אני: 123456789
הם: שלום אדון ישראל ישראל, במה אפשר לעזור?
אני: אני צריך לשנות את המייל, ססמא ומספר בנק להעברת כספים.
הם: אין שום בעיה.
אני: [בפה פעור]

למזלי הכספים שלי כבר לא שם.
אבטחת מידע במוסדות ישראלים זה פח.

זה בד״כ לא מופיע ברשימת היתרונות של ברוקר זר, אבל ללא שום ספק - רמת האבטחה הגבוהה של IB זה יתרון גדול מאד.

@Jackl56 תודה על הכנת המדריך המעולה!
 

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
3,213
דירוג
2,387
@Oringa @adamshalev
אשמח אם תרשמו את השמות של הברוקרים האלה (כי לציבור יש זכות לדעת).

הבנק שלי מחייב סיסמה באורך 6 עד 8 (!!!) תווים. אפילו פניתי אליהם בנושא הזה, נפנפו אותי עם תשובה בסגנון "אורך הסיסמה עומד בתקנים הנדרשים".
לא נראה ש-2FA (ואבטחה בכלל) בסדר העדיפויות שלהם.
להגביל את אורך הסיסמה זו דרישה מוזרה. יכול להיות שיש להם מגבלות אחסון עבור קובץ הסיסמאות ?
 

wa11a

משתמש ותיק
הצטרף ב
31/1/15
הודעות
730
דירוג
746
@Oringa @adamshalev
אשמח אם תרשמו את השמות של הברוקרים האלה (כי לציבור יש זכות לדעת).


להגביל את אורך הסיסמה זו דרישה מוזרה. יכול להיות שיש להם מגבלות אחסון עבור קובץ הסיסמאות ?
זה אומר שהם לא מימשו את המערכת כמו שצריך. אסור להם לשמור ססמאות. הם צריכים לשמור רקראת ה hash של הססמא. וכל ה hashes יהיו באותו אורך.
 

adamshalev

מודרטור
הצטרף ב
24/1/15
הודעות
12,214
דירוג
22,905
אשמח אם תרשמו את השמות של הברוקרים האלה (כי לציבור יש זכות לדעת).
הסולידית ביקשה במפורש להמנע מהכפשת שמות של אנשים וחברות.
כל מי שעובד עם חברה כזאת או אחרת צריך לדאוג ולבדוק את נהלי האבטחה שלהם. זה לא נגמר בגוף אחד או אחר או בפורום הסולידית. זה המצב החדש בעולם, וצריך לפתח מודעות לזה.

אני מבין שלא יצא לך לעבוד עם מפתחי SQL יותר מדי. אני אתן לך תמצית:
שנת 2004. מפתח זוטר קיבל את המשימה המשמימה של לכתוב סכמה לטבלאות של מערכת חדשה שאף אחד לא צריך. מידת החשיבה שהוא משקיע בזה מסתכמת בלהחליט אם השדה צריך להיות int או string. והוא לא אוהב מחרוזות כי הוא יודע מהשיעור SQL שמחזורות ב SQL הן באורך קבוע וצריך לבחור את האורך מראש. ״8 נשמע טוב״ הוא מחליט אחרי 2 שניית מחשבה בנושא וממשיך הלאה במלאכה מרסקת הנשמה שלו.
14 שנים אחרי והמערכת ״עובדת״ ו״במה שעובד לא נוגעים״. לשכתב סכמה של SQL זה מטלה מרסקת חיים עוד יותר ואף נושאת בסיכון אמיתי להשמיד את כל המידע בטבלא, וכמובן שנהלי הגיבוי ושחזור מעולם לא נבדקו על אמת אז אין נשמה מסכנה שמוכנה לקחת על הראש שלה את האחריות הזאת. וככה אתה מגיע לאמירות מטומטמות כמו ״8 תווים עומד בכל תקני האבטחה המחמירים ביותר״. זה לא.
שלא לדבר על זה שהססמאות בטח שמורות בטבלא כ plain text ואתם תוהים ברצינות למה אין להם תמיכה ב 2 factor auth :lol:
 

roneng

משתמש בכיר
הצטרף ב
21/2/17
הודעות
15,734
דירוג
13,581
אתה יודע איך מתבצעת תמיכה טכנית בברוקר ישראלי אחד שלא נזכיר את שמו? "תן לנו את הסיסמה שלך רגע ונסדר לך את החשבון".
נתקלתי בדיוק באותו דבר כשניסיתי לפתוח חשבון בIB דרך מתווך ישראלי (שלא אזכיר את שמו). זאת הסיבה שהחלטתי לפתוח חשבון ישירות בib למרות התשלום החודשי.
 

המתמיד

משתמש ותיק
הצטרף ב
25/7/15
הודעות
277
דירוג
402
אני מבין שלא יצא לך לעבוד עם מפתחי SQL יותר מדי. אני אתן לך תמצית:
שנת 2004. מפתח זוטר קיבל את המשימה המשמימה של לכתוב סכמה לטבלאות של מערכת חדשה שאף אחד לא צריך. מידת החשיבה שהוא משקיע בזה מסתכמת בלהחליט אם השדה צריך להיות int או string. והוא לא אוהב מחרוזות כי הוא יודע מהשיעור SQL שמחזורות ב SQL הן באורך קבוע וצריך לבחור את האורך מראש. ״8 נשמע טוב״ הוא מחליט אחרי 2 שניית מחשבה בנושא וממשיך הלאה במלאכה מרסקת הנשמה שלו.
14 שנים אחרי והמערכת ״עובדת״ ו״במה שעובד לא נוגעים״. לשכתב סכמה של SQL זה מטלה מרסקת חיים עוד יותר ואף נושאת בסיכון אמיתי להשמיד את כל המידע בטבלא, וכמובן שנהלי הגיבוי ושחזור מעולם לא נבדקו על אמת אז אין נשמה מסכנה שמוכנה לקחת על הראש שלה את האחריות הזאת. וככה אתה מגיע לאמירות מטומטמות כמו ״8 תווים עומד בכל תקני האבטחה המחמירים ביותר״. זה לא.
שלא לדבר על זה שהססמאות בטח שמורות בטבלא כ plain text ואתם תוהים ברצינות למה אין להם תמיכה ב 2 factor auth
@adamshalev תעשה לי צופן :lol::lol::lol:
 

sogi

משתמש בכיר
הצטרף ב
4/2/15
הודעות
3,213
דירוג
2,387
@adamshalev
אני לא מומחה במסדי נתונים. למה אי אפשר לבנות מסדר נתונים עם אותם פרמטרים אבל עם גודל סיסמה hardcoded אבל גדול יותר מ-8 (למשל 20) ואז להעתיק את המסד הישן לתוך החדש? למה "לשכתב סכמה של SQL זה מטלה מרסקת חיים" ? הרי מדובר בבניה של מסדר נתונים ריק, אבל עם פרמטרים אחרים...

בנוסף, כמו ש- @wa11a אמר, אם רק ההאש נשמר, אז זה בכלל לא אמור להיות תלוי בגודל הסיסמא, לא ? אז כנראה שזה באמת plain text...
 

Yesmad

משתמש ותיק
הצטרף ב
3/3/17
הודעות
578
דירוג
752
למה אי אפשר לבנות מסדר נתונים עם אותם פרמטרים אבל עם גודל סיסמה hardcoded אבל גדול יותר מ-8 (למשל 20) ואז להעתיק את המסד הישן לתוך החדש?
אין צורך לבנות מחדש אפילו, זה סתם לשנות את הדטאטייפ של העמודה. התשובה ללמה זה לא נעשה הוסברה מראש. אם זה עובד לא נוגעים. במיוחד באירגונים גדולים ומסואבים. חשיבה (לא רק) ישראלית טיפוסית.
 

מתכנת

מודרטור
הצטרף ב
10/2/16
הודעות
9,383
דירוג
8,582
למה אי אפשר לבנות מסדר נתונים עם אותם פרמטרים אבל עם גודל סיסמה hardcoded אבל גדול יותר מ-8 (למשל 20)
כי גם בכמה מקומות בקוד יש בדיקה hardcoded מה אורך הסיסמה.

תשמע סיפור, במוסד פיננסי ישראלי כלשהו החלפתי סיסמה שכללה בין היתר תו מיוחד נגיד אחד מאלה: !@#$%^&*)(
הסיסמה עודכנה אבל לא הצלחתי לעשות לוגין עם אותה סיסמה, איפסתי את הסיסמה מספר פעמים ולא הלך, עד שעלה בדעתי להשמיט את התווים המיוחדים.
כלומר, היה איזשהו סינון של תווים אלו רק בזמן בדיקת הסיסמה ולא בשמירה שלה.
 

tdc

משתמש ותיק
הצטרף ב
25/8/17
הודעות
489
דירוג
627
רגע, לא הכל אבוד! אמנם יש הגבלה של 8 תווים (ללא סימנים מיוחדים כמובן) אבל גם יש מד חוזק סיסמה!
ViYPRhV.jpg

למי שתוהה איזו סיסמה "מורכבת ולא צפויה המחזקת את רמת האבטחה ל-טוב" הצלחתי ליצור - password. :lol:
 

adamshalev

מודרטור
הצטרף ב
24/1/15
הודעות
12,214
דירוג
22,905
למי שתוהה איזו סיסמה "מורכבת ולא צפויה המחזקת את רמת האבטחה ל-טוב" הצלחתי ליצור - password.
:lol::lol::lol::lol::lol::lol::lol::lol:
ענק!

אהבתי גם את המינוח ״המחזקת את רמת האבטחה על חשבונך״

אין ספק שהבדיחה היא על חשבוננו :'(
 

משקיע מתחיל

משתמש בכיר
הצטרף ב
25/4/16
הודעות
1,130
דירוג
673
וואו. בתחילת השרשור חשבתי "כרגיל בישראל, הכל חפיף" אבל עכשיו אני באמת פוחד o_o.
 

roneng

משתמש בכיר
הצטרף ב
21/2/17
הודעות
15,734
דירוג
13,581
וואו. בתחילת השרשור חשבתי "כרגיל בישראל, הכל חפיף" אבל עכשיו אני באמת פוחד o_o.
זה לא רק בישראל. יש בעיה כללית שהמון גופים לא מודעים לאבטחת מידע, וגם אם הם מודעים לזה שצריך לאבטח הם לא באמת יודעים איך ועושים סתם שטויות.

למשל פרצו לי לאחרונה לחשבון ברשת מלונות עולמית גדולה וגנבו לי משם מעל 200,000 נק.
איך הצליחו לפרוץ? נורא פשוט - האתר מגביל אותך לבחור ססמא של 4 ספרות (שוב, לא 4 תווים אלא 4 ספרות!).
מסתבר שכבר לפחות 3 שנים יש להם מכה של פריצות ואנשים מתחננים שהם ישנו את מדיניות הסיסמאות שלהם, אבל החברה מעדיפה כנראה לספוג את הנזקים במקום לשנות מנגנון כלכך מורכב כמו אורך סיסמא...
לזכותם יאמר שהם לפחות החזירו לי את הנקודות תוך שבועיים מרגע שפניתי אליהם.
 

מתכנת

מודרטור
הצטרף ב
10/2/16
הודעות
9,383
דירוג
8,582
אני רק אניח את זה כאן (הדגשות שלי)
mobileTWS for Android FAQs
‪"Invalid username or password" message received.
‪The mobileTWS login does not support passwords longer than eight characters. If your password is longer, please enter only the first eight ‪characters. Or, reset your TWS password to eight characters or less through Account Management.
 

Yesmad

משתמש ותיק
הצטרף ב
3/3/17
הודעות
578
דירוג
752
please enter only the first eight ‪characters
הזוי... פשוט הזוי. לכל הפחות, זה אומר שהם שומרים האש נפרד של 8 האותיות הראשונות בססמה, בנוסף להאש של הססמה המלאה. זה יכול להיות יותר גרוע כמובן, הם אולי משתמשים בפונקציית האש מיושנת (סטייל block cipher) שמעבדת 8 או 16 בייטים מהססמה בכל סיבוב ומחברת את התוצאות. אני מסרב להאמין שהם שומרים פליינטקסט.

אם תוקפים משיגים את הדטבייס, כמובן שכל מה שהם צריכים לעשות זה לפצח רק את ההאש של 8 כדי להשיג כניסה (בהתעלם מ-2FA ומיטגציות פוסט-ססמה). עצוב מאוד, נתתי להם יותר קרדיט משהגיע להם.
 

adamshalev

מודרטור
הצטרף ב
24/1/15
הודעות
12,214
דירוג
22,905
אני רק אניח את זה כאן (הדגשות שלי)
this-one-deserves-a-double-facepalm-photo-u2


אני לא מבין את הרציונל.
אני עם אייפון ואין לי שום בעיה להזין 30 תווים כססמא בחיבור לאפליקציית TWS.
למה שתהיה מגבלה באנדרויד, ועוד כזאת שתגרום להם לשמור (במקרה הטוב) האש חלש יותר?
 
נושאים דומים
פותח הנושא כותרת פורום תגובות תאריך
N שיקולי מיסוי במכירת דירה נדל"ן 23
M שיקולי מיסוי בשילוב תיק השקעות ונדל"ן בארה"ב עבור זוג ישראלי-אמריקאי מיסים 10
Z שיקולי ירושה ומיסוי בנישואים של ישראלי ואמריקאית מיסים 1
S כדאיות\שיקולי מס ב"הסבת" הדירה הראשונה כדירה להשקעה נדל"ן 19
O דעתכם על תיק השקעות ראשון + שאלות לגבי חלקו הסולידי + שיקולי ברוקר,IRA שוק ההון 2
M שיקולי הקצאת נכסים שוק ההון 1
Oracle פיצויים מוגדלים - שאלת שיקולי מס וותק שוק ההון 5
ל מבקש עזרה - שיקולי כדאיות בבחירת קרן בנוסף לד.נ שוק ההון 12
M תגמול עובדים באמצעות אופציות מול RSU - שיקולי מס שוק ההון 4
ל עזרה - שיקולי עמלת מינימום שוק ההון 10
flower שיקולי חברה - הנפקת אג"ח\מניות נוספות שוק ההון 0
ד ברוקר שהעביר פעילות לחברה בחו"ל - שיקולי המשקיע הפסיבי שוק ההון 74
S שוקולד מריר - שיקולי פלח מנייתי שוק ההון 45
הק995 כדאיות ההשקעה במניות בתיק פגום בגלל שיקולי מס צרכנות פיננסית 2
כ שינוי מדיניות השקעה- שיקולי מס שוק ההון 1
nils שיקולי מס קרן מחקה ישראלית לעומת ETF אמריקאי. מיסים 21
ה שיקולי מס ברכישת אג"ח ממשלתיות לא צמודות במישרין או דרך קרן שוק ההון 4
J אבטחת מידע ומיסוי ריאלי צמוד מדד לצרכן שוק ההון 3
ת מבחינת אבטחת מידע עדיפה סיסמה או שלא תהיה סיסמה? אוף טופיק 4
Yuvalbuz3 אבטחת מידע - מבוקש? או נישה ועבודה תשתיתית לא מוערכת ? התפתחות אישית 10
flower Phishing - אבטחת מידע אוף טופיק 5
N [אבטחת מידע ב-Interactive Brokers] ברוקרים ופלטפורמות מסחר 22
flower אבטחת תיבות מייל ע"י התקן חיצוני Universal 2nd Factor authentication אוף טופיק 20
L כניסה לעולם אבטחת המידע התפתחות אישית 17
ח payme עם icredit - בעיה של אבטחת מידע? צרכנות פיננסית 4
de dud אבטחת מידע אוף טופיק 9
X עזרה לימודים קורס: מגן סייבר או מומחי אבטחת מידע התפתחות אישית 3
א אבטחת מידע- כדאיות קורס התפתחות אישית 15
J אבטחת מידע באורדרנט [ו- ספארק] צרכנות פיננסית 70
ח מידע על אחוזי השווקים שוק ההון 1
G שליפת מידע עבור קרן השתלמות תשואה שנתית - דרך api או קובץ פנסיה, גמל וקרנות השתלמות 0
א איפה אפשר למצוא מידע לגבי התשואה הפנימית והמח"מ של קרנות כספיות ? שוק ההון 2
N מידע רציף ברוקרים ופלטפורמות מסחר 1
N מנהל עסקים כלכלה עם התמחות במערכות מידע התפתחות אישית 18
Y מידע פיננסי שוק ההון שוק ההון 8
A יש למישהו מידע על מדדים שונים שוק ההון 3
ט יש מידע על דמי הניהול הממוצעים (פנסיה, ביטוח מנהלים) שמשלמים הישראלים? פוסטים מאיכות נמוכה 3
הסולידית הערה כללית על פרסום מידע אישי ופיננסי באינטרנט יומני מסע אישיים 0
א מידע על החזר מס שהתקבל מיסים 9
P מידע על ishares floating rate bond etf שוק ההון 4
GoldenFace מקורות מידע על נדלן נדל"ן 3
מ הסבה מקצועית למדעי הנתונים / מערכות מידע התפתחות אישית 5
F מיצוי מידע מהלינקדין אוף טופיק 1
וינסנט מידע רגיש במכתבים עם טפסי מס מארה"ב שנשלחים בדואר אוף טופיק 2
DiverGirl מקורות מידע על תעשיות/ענפים שוק ההון 6
L שאלה על מידע פנים שוק ההון 24
N מערכות מידע עכשיו במכללה או באוקטובר הבא באוניברסיטה? התפתחות אישית 8
I קניית נדלן בחול מקורות מידע נדל"ן 3
E מידע על מיסוי בישראל וארץ המקור ממכירת דירה בחו"ל פוסטים מאיכות נמוכה 1
א מידע על מניה שוק ההון 5

נושאים דומים

למעלה