החלפת סיסמה? ייתכן ופגעת באבטחת החשבון שלך

[Milford Cubicle]

תמיד ממליצים לנו בשירותים השונים להחליף סיסמה לעתים קרובות, בחשבונות מסויימים כגון בנקים זו אפילו חובה לביצוע כל מספר חודשים. אבל וועדת הסחר הפדרלית בארה"ב הצהירה שהדבר לא בהכרח מבטיח את ביטחון החשבון שלנו ואף מזיק לו. כיצד?

לכתבה

[1stcowgirl]

ציטוט " ואף מזיק לו." ? ? ? ? ? ? מה לךא עושים בכדי לפרוץ לטרוריסטים....... ההיגיון הישר אומר שההגיון של ה FBI התעקם! נכון זה נוגע למי שמפחד מסיסמאות ומחליף רק תו אחד וכדומה. מי ששומר את הפרטיות שלו על סיסמא לייט שלא יבכה כשהיא תחשף. אהבתי את העצה של HWZ לבחור ארבע מילים... (הכי פשוט הכי קשה, לא משנה באיזה שקט יארבו לי... לעולם לא יהיה להם מספיק זמן בכדי להאזין לי)! תודה.

[jackhammer]

למה לא להשתמש במנהל סיסמאות?? זה הכי בטוח.... מה שאני עושה זה שסיסמת המאסטר של התוכנה היא בת 80 תווים. 50 מהם זה סתם טקסט רנדומלי שאני מעתיק ממקום כלשהוא בענן (כן כן הוא גלוי... אין יותר מידי מה לעשות איתו) וצמוד אליו אני מוסיף את הסיסמה שלי (מהראש) של 30 תווים שזה בעצם משפט קטן מופרד בתווים מיוחדים ומספרים משהו כמו "אני_שונא_סיסמאות@חלשות$מידי12" גם אם מישהו משיג את החצי של ה50 תווים, אין לו מה לעשות איתו וכנ"ל גם לגבי החצי של ה30 תווים. ולהריץ ברוט פורס על סיסמה בת 80 תווים...... בהצלחה

[Nital Ruzin]

כמה דברים: ה50 תווים שנתתה נקראים salt וזה נחמד ויעיל (רק שתדע זה השם של השיטה הזו ומבחינת מנהל ססמאות זה עוד נקודת פריצות (לדוגמה lastpass נפרצו שנה שעברה ונגנבו כל הססמאות) זה במונח מקצועי יוצר שוב מצב של single point of failure עוד הפעם נוצא נקודה שבה כל הססמאות שלך ידועות (זה כמו להשתמש באותה ססמה לכל האתרים) ומשם הדרך למידע שלך קצר... מקווה שהסברתי היטב בהצלחה

[Shahar Levi]

אפשר להשתמש בשירות של נורטון יצירת סיסמא רנדומלית אפשר לבחור תווים מיוחדים אותיות גדולות מיקס ועוד https://identitysafe.norton.com/password-generator/

[jackhammer]

לא ממש הבנתי למה זה SPOF?? גם אם מישהו משיג את הסטרינג של ה50 תווים, הוא לא יודע מה הסיסמה שלי (30 תווים) וגם אם כן, הוא לא יודע באיזה נקודה לחבר אותם (יכול להיות 1+2 יכול להיות 2+1 יכול להיות 1 בתוך 2....). ואם מישהו רוצה להריץ ברוט פורס (בהנחה שהוא השיג את אחת מהסיסמאות) זה עדיין ברוט פורס של 30 תווים במקרה הטוב. אודה לך אם תגיד לי מה אני מפספס...

[jackhammer]

.

[jackhammer]

וכל זה בהנחה שיש לו גם גישה לDB של התוכנה

[jackhammer]

ממש לא נוח.... יש את זה, יותר נוח לדעתי: http://passwordsgenerator.net/

[Shahar Levi]

האמת שגם מצאתי את זה https://xkpasswd.net/s/

[Nital Ruzin]

אני מדבר על מנהל ססמאות ברגע שיש לך מקום אחד שבו כל הססמאות שלך שמורות יצרתה נקודה שבה אם משהו מקבל גישה יש לו באצם גישה לכל האתרים שלך כיאלו כולם אם אותה סיסמה ובזה פספסתה את היתרון של סיסמה שונה לכל אתר כמאט לחלוטין... צריך לזכור שכאשר פורצים עליך הסיסמה היא לא הדרך היחידה להגיע לפרטים שלך הוא יכול גם לעבוד בצורה עקיפה (בתור דוגמה הפירצה לאתר lastpass מנהל הסיסמאות) ברגע שהם פרצו לאתר הם ידעו את כל הסיסמאות של כולם... מצטער על שגיאות כתיב נכתב דרך הפלאפון..

[jackhammer]

כן ברור, זה נכון. בגלל זה אתה תדאג שהסיסמה הראשית של התוכנה הזאת תהיה סופר סופר חזקה ועדיף שתהיה מורכבת מ2 (או אפילו יותר) חלקים (או "salt"). אפילו שזה מסרבל את העבודה למשתמש הלגיטימי (אני), אני מוכן לקחת את ה"סבל" הזה בחשבון בתמורה ליותר אבטחה.