בדיוק החלפתי היום בבוקר מהסיסמאות הקלות יחסית שלי לססימאות חזקות

מה דעתכם על 14 תווים ,חלקם אותיות גדולות , חלקם קטנות , מספרים בודדים וקצת תווים... כמובן שזה בונה משפט אבל צריך להכיר אותה יחסית טוב וממש לנחש על איזה משפט חשבתי באותו הרגע כדי להצליח לנחש רק אותו...

אם זה מכיל מילים ממילון=סיסמא חלשה

ב-Keepass אתה זוכר רק את הסיסמא הראשית לתוכנה ואת הסיסמאות לאתרים/תוכנות/חשבונות בנק אתה שומר בתוך התוכנה. סיסמא בלי שילוב של אותיות ומספרים היא סיסמא שקל לפרוץ אותה וכמובן שרצוי להוסיף תוים לסיסמא.

חשבתי על זה אבל זה נשמע לי

א. לא כל כך בטוח- מישהו משיג קובץ אחד ומקבל 30 סיסמאות. עדיף לי לקחת את הסיכום עם סיסמא פשוטה יחסית בכל אתר מאשר סיסמא מסובכת המאוכסנת בקובץ אחד ביחד עם עוד 30 סיסמאות (חוצמזה' date=' רוב הסיסמאות הן לאינטרנט ואני מצפה מאתרים שיהיו מספיק מאובטחים בפני עצמם כך שאם ינסו לעשות ברוטפורס או אם יצליחו לשים את היד על המסדר נתונים, הסיסמאות יהיו בטוחות).

ב. בעיתי מבחינה לוגיסטית - אני בעל 2 מחשבים באופן קובע, המקבוק שלי והנייח. כאשר אני מדלג בין עוד 3 מחשבים (אבא, סלון וכ'ו). כרגע, אני זוכר את הסיסמאות שלי אז אין לי שום בעיה בכל מחשב שאהיה מולו להכנס לחשבונות שלי. במידה ואשתמש בזה ואסמוך רק על זה, אזי, אני אצטרך לקחת את קובץ המפתחות עמי, באופן קבוע (= דבר מסוכן לכשעצמו) ואם חלילה, שכחתי יום אחד לקחת את הקובץ ו;או נדפק לי הדוק (עליו אני לוקח את הקובץ), נדפקתי. כמו כן, אם חלילה נדפק לי הHD ולא עשיתי גיבוי, הלכו 30 סיסמאות.

גבע,

Encryption Algorithm:

You can set the encryption algorithm, which is used to encrypt the database. All encryption algorithms offered by KeePass are well-known standard algorithms, regarded as very secure by the cryptography community. These standards are used by banks for example. All of the algorithms are unbroken; there is no "best" algorithm. If you don't know which algorithm to choose, use the Advanced Encryption Standard (AES, Rijndael) algorithm.

http://keepass.info/help/v2/dbsettings.html

לא יכולתי להתאפק

בגדול אני שמתמש בסיסמא שאיננה מילה - משלב אותיות (אחת גדולה לפחות), מספרים, וסימן מיוחד

אבל זה הכל שטויות - אם אתם שואלים אותי האוטנטיקציה הבאמת מאובטחת זה או ONE TIME (טוקנים לדוגמא) או ביומטרי

כל השאר שטויות - וקל מאוד לפרוץ (שים KEYLOGGER פיזי ובייביי סיסמאות)

כל טוב,

גבריאל

לי יש כמה סיסמאות שלכל אתר שאני נרשם אליו אני בוחר סיסמא אחרת.

בעיקרון אני לוקח משפט או שורה של מילים קשורות שידועות רק לי, לוקח חלק מסויים מכל מילה, מערבב אותם עם רצף של מספרים שמורכב מקיצור כלשהו של מס' הרחוב+מס' בית, ת.ז. או תאריך לידה וכו' ויוצר רצף שהוא לכאורה רנדומלי.

לדוגמא:

אם תעודת הזהות שלי היא 123456789 ואני בוחר בתור מילה את השם של הרחוב שאני גר בו, נניח 'רמון'.

אני לוקח את 2 המספרים הראשונים והאחרונים מהתעודת זהות שלי ומערבב עם השם של הרחוב: r1a2m8o9n. אפשר גם לשלב אותיות גדולות/קטנות, אבל אני לא רואה בזה צורך.

חשבתי על זה אבל זה נשמע לי

א. לא כל כך בטוח- מישהו משיג קובץ אחד ומקבל 30 סיסמאות. עדיף לי לקחת את הסיכום עם סיסמא פשוטה יחסית בכל אתר מאשר סיסמא מסובכת המאוכסנת בקובץ אחד ביחד עם עוד 30 סיסמאות (חוצמזה, רוב הסיסמאות הן לאינטרנט ואני מצפה מאתרים שיהיו מספיק מאובטחים בפני עצמם כך שאם ינסו לעשות ברוטפורס או אם יצליחו לשים את היד על המסדר נתונים, הסיסמאות יהיו בטוחות).

ב. בעיתי מבחינה לוגיסטית - אני בעל 2 מחשבים באופן קובע, המקבוק שלי והנייח. כאשר אני מדלג בין עוד 3 מחשבים (אבא, סלון וכ'ו). כרגע, אני זוכר את הסיסמאות שלי אז אין לי שום בעיה בכל מחשב שאהיה מולו להכנס לחשבונות שלי. במידה ואשתמש בזה ואסמוך רק על זה, אזי, אני אצטרך לקחת את קובץ המפתחות עמי, באופן קבוע (= דבר מסוכן לכשעצמו) ואם חלילה, שכחתי יום אחד לקחת את הקובץ ו;או נדפק לי הדוק (עליו אני לוקח את הקובץ), נדפקתי. כמו כן, אם חלילה נדפק לי הHD ולא עשיתי גיבוי, הלכו 30 סיסמאות.

גבע, http://keepass.info/help/v2/dbsettings.html

א. יש לי חשבון כרטיס אשראי, חשבון בנק, חשבון PAYPAL, חשבון ב-EBAY וכמובן דוא"ל. כולם צריכים להיות סופר מאובטחים וכמובן שאין הגיון לזכור 5 או יותר סיסמאות שונות ומורכבות לכל אחד מהחשבונות הנ"ל כאשר ניתן לזכור סיסמא אחת מורכבת בשביל Keepass.

בנוסף לכך, יש אפשרות להתקין תוסף לתוכנה שמגן מ-Keyloggers למיניהם כך שלא יוכלו לגנוב לך את הסיסמא אם אתה משתמש בטעות במחשב לא מוגן או שחדר Keylogger למחשב שלך.

ב. אתה יכול לשמור גיבוי של קובץ הסיסמאות בכל אחד מהמחשבים שלך, לשמור אותו בתיבת הדוא"ל שלך או במחשוב ענן כלשהו. אין שום בעיה אם תיקח את קובץ המפתחות איתך כי גם אם הוא נופל לידי מישהו, לא ניתן לפרוץ אותו מבלי לדעת את הסיסמא הראשית (וכמובן שהתוכנה מגנה מפני נסיונות ניחוש של הסיסמא בעזרת Brute Force).

איך היא מגנה מקילוגר פיזי? הוא שקוף למערכת.

אגב, הבעיה העיקרית שאני לא משתמש בתוכנה כלשהי היא שאני עובד עם כמה סוגי מערכות הפעלה ומבדיקה מהירה, רק לוינדוס יש גרסא 2. למק ולינוקס יש גרסא 1 (נטייטיב. אני מתעב את מונו) והמסד נתונים אינו תואם אז, זה בעייתי להסתמך על תוכנה

גבע, ואיך רישום הסיסמאות באופן ידני יגן מפני קילוגר פיזי?

הוא לא. בגלל זה

אבל זה הכל שטויות - אם אתם שואלים אותי האוטנטיקציה הבאמת מאובטחת זה או ONE TIME (טוקנים לדוגמא) או ביומטרי

כל השאר שטויות - וקל מאוד לפרוץ (שים KEYLOGGER פיזי ובייביי סיסמאות)

כל טוב,

גבריאל

גם ביומטרי זה לא כזה קשה, אם אתה שם איזה צ'יפ או תוכנה שתקרא את הפלט של הסריקה - יש לך את הטביעת (תביעת?) אצבע.

חוצמזה שאם יש למישהו גישה למחשב, זה כבר הופך את כל השיטות ללא שוות

mythbusters כבר הראו כמה שהביומטרי פריץ.

ביומטרי מאד פריץ, כמעט כל הסוגים- כולל סריקות רישתית ומה לא. כבר נפלו הרבה כספות שהסתמכו עליהם.

mythbusters זה גאוני אש

איך היא מגנה מקילוגר פיזי? הוא שקוף למערכת.

ניתן לבצע שימוש ב-Keeform ובפתרון הבא שמובנה בגרסא 2 של Keepass:

http://keepass.info/help/v2/autotype_obfuscation.html

זה חוסם את האופציה להשתמש ב-Keyloggers מכל סוג שהוא מלבד אלו שמקליטים את כל מה שקורה על המסך (והם די נדירים ומחייבים גישה פיזית מלאה אל המחשב לאורך זמן, זה לא כמו התקנה של Keylogger פשוט בחיבור של המקלדת אל המחשב).

יש התקני USB פשוטים, חד כיווניים שמקליטים את המקלדת (את האות החשמלי הפיסי שלה)שניה לחבר, שניה לנתק.

אם מישהו רוצה לרדוף אחריך ספצפית הוא יצליח, ואם זה התקפה רנדומלית אז כל סיסמא שעוברת את סף הניחוש תספיק