איך מנהלים סיסמאות?

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #31 

ValorHeart כתב:אני לא גורר אותך לשום מקום, לא רוצה אל תגיב ואל תענה.
...
צודק. אתה לא גורר אותי - אני נגרר.
ValorHeart כתב:בשביל שמישהוא ירצה למצוא את הסיסמאות שלך הוא יצטרך לאתר איפה אתה שומר את קובץ הסיסמאות המוצפן שלך, אתה לא חייב לסנכרן בDROPBOX, זאת אופציה בלבד.

אם אתה משתמש בשירות אשר ידוע שכל הסיסמאות של כל המשתמשים נמצאים בענן מסויים יהיה הרבה יותר קל לאתר אותך במידה והוא נפרץ, ושם אין לך ברירה, אם תראה ואם לא תרצה הסיסמאות שלך נמצאות בענן.
...
אתה מתאר מימוש נאיבי: כשהשם שלי מופיע בצורה גלויה. אם השם שלי, שזה האינדקס בעזרתו שולפים את הקובץ המוצפן של הסיסמאות מופיע כמו שהוא (plain text) אתה צודק. אבל זה מימוש נאיבי. אני בטוח שלא נשלח השם שלי אלא hash של השם שלי והוא המפתח בעזרתו שולפים את הקובץ. מי שרוצה לחפש אותי באופן ספציפי - שיהיה לו בהצלחה.
ואני חוזר ואומר בפעם השלישית או הרביעית. הסטנדרטים של ההצפנה שעושים בהם שימוש: יקח נ-צ-ח בשביל לפצח אותם. גם אם למישהוא יהיה את הקובץ. זאת הסיבה היחידה ש- 1Passowrd בעצמם ממליצים על שירות כמו dropbox.
יהיה יותר קשה להגיע לקובץ הסיסמאות שלי שנמצא על השרתים של LastPass מאשר לפרוץ לי לרשת הביתית, וגם אם חו"ח זה יקרה אני אדע על זה קודם כי הם מנתרים את המערכות שלהם באופן קבוע, להבדיל ממני.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

ValorHeart
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1348
הצטרף: מרץ 2012
נתן תודות: 45 פעמים
קיבל תודות: 81 פעמים

נושא שלא נקרא #32 

אוקיי, מסכים איתך, שיהיה שבוע נפלא.

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #33 

Shed כתב:מבחינתי, לשים את קובץ הסיסמאות בענן זה כמו לשים את המפתחות של הבית אצל כל השכנים ברחוב - אם פורצים לאחד מהם - פורצים גם אלי הביתה.
רבותי - כמו שאתם לא משאירים את המפתחות של הבית והאוטו בכל מקום ("רק כדי שיהיה לכם נוח במידה ותזדקקו להם") כך לא עושים עם הסיסמאות שלכם.
...
"מבחינתי" - עם זה אני לא יכול להתווכח. אבל האנלוגיה שלך פשוט לא נכונה. עם המפתח הפיזי לבית כל אחד שמחזיק בו יכול לפתוח את הבית. עם הקובץ המוצפן, צריך עוצמת מחשוב שיש לארגונים כמו ה- NSA בשביל לפצח אותו בפרק זמן של שנים או חודשים.
Shed כתב:הערה אחרונה: אם אני שם יד על קובץ מוצפן (בין אם זה AES128 או AES256 זה רק עניין של זמן עד שאני אוכל לקרוא את התוכן שלו. באמצעים "פרימיטיביים" זה יכול לקחת שבועות, באמצעים מתוחכמים יותר זה עניין של ימים, באמצעים מתוחכמים מאוד זה עניין של דקות עד שעות.
...
באמצעים פרימיטיביים? מה, brute force? שבועות!? באמצעים מתוחכמים עניין של דקות? ידידי, תראה לי מקום אחד שטוענים שאפשר לעשות את אתה שאתה טוען פה לגבי AES-256. זאת הסיבה שכתבתי שאין לך מושג - כי אין לך מושג.
בא תקרא קצת פה: http://en.wikipedia.org/wiki/Advanced_E ... d#Security
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

baloon
חבר פעיל
חבר פעיל
הודעות: 82
הצטרף: פברואר 2013
נתן תודות: 1 פעם
קיבל תודות: 2 פעמים

נושא שלא נקרא #34 

חברים, בואו נסגור את המחלוקת בכך שהמוח האנושי הוא המקום הטוב ביותר לאחסן את הסיסמאות וכל דבר אחר, לא צריך שום תוכנה. לי יש כמה סרטי HD 1080P במוח..... :lol:

נ.ב לא צריך להשתגע.. סה"כ כמה סיסמאות פורנו...
נערך לאחרונה על ידי baloon ב 07/12/2013 23:52, נערך פעם 1 בסך הכל.

shlomiassaf
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1444
הצטרף: נובמבר 2005
מיקום: חיפה והקריות
נתן תודות: 42 פעמים
קיבל תודות: 70 פעמים

נושא שלא נקרא #35 

אני חושב שהדיון על ההצפנות ממש לא רלוונטי...

כמה עובדות פשוטות...
לא קיים קובץ "לא פריץ".
שהקובץ שלכם בענן הוא חשוף הרבה יותר מאשר הוא מאוחסן במחשב שלכם.
חברת אחסון ענן מאובטחת בכמה רמות יותר מהמחשב שלכם.
האקר חביב יכול באמצעות הפעלת מספר "זומבים" במקביל לפרוץ את ההצפנה שלכם... הזמן שלו יורד לינארית או לוגריתמית... בלי בעיות.


ועכשיו קצת דעות...
רוב הסיכויים שאף אחד לא יתעניין בקובץ שלכם וישקיע את המאמצים בלפרוץ אותו.
אין הרבה אנשים בעולם שיודעים לפרוץ AES במהירות ריאלית.
אין להם גם מחשב קוונאטום...

ובקיצור.. ענן או פרטי עניין של העדפות.
ענן הרבה יותר נוח והכל תלוי בסיכון מול התועלת... אין כן יותר/פחות טוב.

baloon
חבר פעיל
חבר פעיל
הודעות: 82
הצטרף: פברואר 2013
נתן תודות: 1 פעם
קיבל תודות: 2 פעמים

נושא שלא נקרא #36 

שלומי, תגובה עניינית מאוד, נהנתי. (Y)

shlomiassaf
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1444
הצטרף: נובמבר 2005
מיקום: חיפה והקריות
נתן תודות: 42 פעמים
קיבל תודות: 70 פעמים

נושא שלא נקרא #37 

שלגון,
יש היום הערכות רבות שקיימים מליוני מחשבים עם TROJANS שמשמשים כזומבים...
ו
אללה, אפילו שלי ושלך יכולים להיות כאלה ואנחנו לא יודעים... ולא זה לא משנה איזה פיירוול תוכנתי יש לך... כל עוד אין לך ניטור חומרה חיצוני אתה אף פעם לא יכול להיות בטוח.


אז תחשוב באמצעות כל הכוח מחשוב הזה... אפשר לצמצם משמעותית את הפעולה.

nati777
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 181
הצטרף: אוקטובר 2013
מיקום: קריית גת
נתן תודות: 4 פעמים
קיבל תודות: 4 פעמים

נושא שלא נקרא #38 

הכי טוב לכתוב את כל הסיסמאות על דף ולשמור במקום בטוח בבית. :!:

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #39 

שלומי, אנחנו מדברים על סדרי גודל כאלה של מספרים שגם עם מיליוני מחשבים הקבצים האלה לא יפוצחו בתקופת החיים שלנו.
תראה פה: http://www.eetimes.com/document.asp?doc_id=1279619
וגם פה: http://blog.agilebits.com/2013/03/09/gu ... -aes-keys/
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

Shed
גורו HTPC
גורו HTPC
הודעות: 2832
הצטרף: אפריל 2007
נתן תודות: 9 פעמים
קיבל תודות: 135 פעמים

נושא שלא נקרא #40 

שלגון כתב:Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.
...
יכול להיות שיאן לי מושג, ויכול להיות שיש לי. מהצד שלך של המקלדת אתה בטוח לא יכול לדעת בוודאות. כלל בסיסי באבטחת מידע אומר שברגע שיש לי גישה פיזית למידע - המשחק נגמר. אם הגעתי פיזית לשרת שלך - זה כבר לא משנה מה שמת עליו, המידע, בסופו של דבר, יהיה שלי. אותו כנ"ל לגבי הקובץ שלך.

לאורך כל ההודעות שלך את חושב על brute force שנעשה על ידי cpus. ישנן דרכים מתוחכמות יותר: למשל: הרצת החישובים על ידי gpus אשר מבצעים את הפעולות המתמטיות הספציפיות האלה בסדרי גודל מהר יותר מאשר cpu. תוסיף לזה את העובדה שיש לך היום כח מחשוב זול וזמין (EC2 של אמזון, CE של גוגל) ותראה שהעסק כבר מעניין יותר. כל מה שתוקף צריך לעשות זה להשקיע כמו מאות / אלפי דולרים וזה הכל.
הנה דוגמא לסטודנט, שניסה להרוויח כמה נקודות בקורס והצליח להגיע לקצב של כ2.3 מיליארד MD5 Hash בשניה. http://du.nham.ca/blog/posts/2013/03/08 ... mazon-ec2/

דרכים מתוחכמות מאוד כוללות כבר חומרה ייעודית (DSPים שנבנו ותוכננו מראש לדברים כאלה) וכאן כבר מדובר על סדרי גודל אחרים לגמרי של זמנים. בעבר - הטכנולוגיה הזו היתה נגישה רק לממשלות. היום אפשר לרכוש רכיבים כאלה בסכום של כמה מאות אלפי דולרים בשווקים כאלה ואחרים.
You are never fully dressed without a smile

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #41 

Shed כתב:
שלגון כתב:Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.
...
יכול להיות שיאן לי מושג, ויכול להיות שיש לי. מהצד שלך של המקלדת אתה בטוח לא יכול לדעת בוודאות.
...
והנה אתה חוטא במה שאתה מאשים אותי בו. לי, לפחות, יש סיבה טובה לחשוב את זה כי הדברים שכתבת רחוקים מהאמת.
Shed כתב:כלל בסיסי באבטחת מידע אומר שברגע שיש לי גישה פיזית למידע - המשחק נגמר. אם הגעתי פיזית לשרת שלך - זה כבר לא משנה מה שמת עליו, המידע, בסופו של דבר, יהיה שלי. אותו כנ"ל לגבי הקובץ שלך.
...
באבטחת מידע - יכול להיות. בהצפנה? זאת בדיוק הנחת המוצא. מה אם למישהוא יש את הקובץ. איך אני מבטיח שהוא לא יוכל לאמר דבר וחצי דבר על המידע המקודד (אני אחסוך ממך את הניסוח הפורמלי, ההיסתברותי, של ההגדרה). ותלוי בשימוש, יכולות להיות דרישות נוספות כמו: איך אני יכול לגלות אם מישהוא שינה לי את הקובץ.

והנה, בלי שאני מכיר אותך, אני לומד שאתה לא מבין בכלל במה הצפנה עוסקת.
Shed כתב:לאורך כל ההודעות שלך את חושב על brute force שנעשה על ידי cpus. ישנן דרכים מתוחכמות יותר: למשל: הרצת החישובים על ידי gpus אשר מבצעים את הפעולות המתמטיות הספציפיות האלה בסדרי גודל מהר יותר מאשר cpu. תוסיף לזה את העובדה שיש לך היום כח מחשוב זול וזמין (EC2 של אמזון, CE של גוגל) ותראה שהעסק כבר מעניין יותר. כל מה שתוקף צריך לעשות זה להשקיע כמו מאות / אלפי דולרים וזה הכל.
הנה דוגמא לסטודנט, שניסה להרוויח כמה נקודות בקורס והצליח להגיע לקצב של כ2.3 מיליארד MD5 Hash בשניה. http://du.nham.ca/blog/posts/2013/03/08 ... mazon-ec2/

דרכים מתוחכמות מאוד כוללות כבר חומרה ייעודית (DSPים שנבנו ותוכננו מראש לדברים כאלה) וכאן כבר מדובר על סדרי גודל אחרים לגמרי של זמנים. בעבר - הטכנולוגיה הזו היתה נגישה רק לממשלות. היום אפשר לרכוש רכיבים כאלה בסכום של כמה מאות אלפי דולרים בשווקים כאלה ואחרים.
...
אלה הדוגמאות שמצאתי בזריזות באינטרנט. מהצד שלך של המקלדת אתה לא יודע שעבדתי בסביבת Embedded וניהלתי צוות של מפתחי DSP. את הנושא של מעבדי ASIC יעודיים ו FPGA אני מכיר גם מכיר ואפילו יש לי ניסיון מועט, hands on, בעבודה עם CUDA של Nvidia.
מה שאתה לא מבין זה באיזה סדרי גודל של מספרים מדובר: נאמר שלבחור היה מקבל עוד עזרה ומגיע ל- 10 מיליארד Hash/sec. ונגיד שיש לו דוד עשיר וקרימינל שראה פה פוטנציאל וקנה לו טריליון מכונות כאלה (ותחנת כוח פרטית)
עכשיו בוא נעשה חישוב קצר:

קוד: בחירת הכל

2^256/(10^10*10^12) = 10^55 seconds, which is about 3*10^47 years
ועכשיו, בוא נחזור ל"כלל הבסיסי" שציינת. :roll:

והנה עוד סיבה לחשוב שאין לך מושג בעניין: אין לך תחושה על איזה סדרי גודל של מספרים אנחנו מדברים. אני לא מכיר קורס של הצפנה שלא לוקחים איזו דוגמא מספרית כזאת כדי לתרגם את המספרים העצומים האלה למונחי אנוש כמו זמן.

אז אחרי כל זה, אני עדיין לא יכול לדעת בוודאות אם יש או אין לך מושג?
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

ziv_r
סמל אישי של משתמש
עורך ראשי HTmag
עורך ראשי HTmag
הודעות: 44361
הצטרף: ינואר 2005
נתן תודות: 2084 פעמים
קיבל תודות: 4723 פעמים

נושא שלא נקרא #42 

זה יופי של דיון, רק השתדלו לדבר פחות לגופו של אדם, זה לא במקום.

wallalon
חבר ותיק
חבר ותיק
הודעות: 1924
הצטרף: נובמבר 2009
מיקום: מרכז
נתן תודות: 48 פעמים
קיבל תודות: 190 פעמים

נושא שלא נקרא #43 

ziv_r כתב:זה יופי של דיון, רק השתדלו לדבר פחות לגופו של אדם, זה לא במקום.
...
בדיוק מה שחשבתי. מאוד מעניין.

שלגון- אילו יישומים שאני מכיר מוצפנים באופן שרשמת ? (256)

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #44 

ziv_r כתב:זה יופי של דיון, רק השתדלו לדבר פחות לגופו של אדם, זה לא במקום.
...
צודק. עם זה אני לא מתווכח. להגנתי אני רוצה לטעון שאין לי בכלל בעיה עם אנשים ששואלים שאלות ושרוצים ללמוד. להיפך - כן יירבו. אבל כשאנשים קובעים עובדות שגויות, טועים ומטעים, ועוד בטון סמכותי של יודעי דבר, ובעניין שאני יודע עליו איזה דבר או שניים: I call bullshit.
נערך לאחרונה על ידי שלגון ב 08/12/2013 14:17, נערך פעם 1 בסך הכל.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

zork17
סמל אישי של משתמש
חבר פעיל במיוחד
חבר פעיל במיוחד
הודעות: 828
הצטרף: מרץ 2005
שם מלא: zork17
נתן תודות: 47 פעמים
קיבל תודות: 31 פעמים

נושא שלא נקרא #45 

אני משתמש ב dashlane. מאד מומלצת.
יש להם את כל מה שצריך. הגרסה בתשלום (חשבון פרימיום) כוללת סינכרון בין כל הקליינטים - בעבר היתה אפשרות להזמין חברים כדי לקבל חשבון פרימיום.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”