מי שומר על המידע שלכם? תגובות אתרים שנפרצו וטיפים לאבטחה
מאת אילנה ברודו, יולי 18, 2010. 17 תגובות. שייך לקטגוריות אבטחת מידע, אינטרנט
במהלך סוף השבוע התפשטה כמו אש בשדה קוצים הודעתו של ארז וולף בבלוג We-CMS, שפורסם גם אצלנו, בנושא גניבת פרטי המשתמשים ממספר אתרים מוכרים בישראל. תחילה אמנם נראה כי מדובר בכ-30 אלף משתמשים מאתר שהתברר כאתר מודעות הומלס, אך לאחר חיפוש ותחקיר מקיפים יותר, התברר שמדובר במספר הנע סביב 120,000 כתובות דואר אלקטרוני וסיסמאות של משתמשי אינטרנט בישראל מאתרים כמו החב"ד, פיצה האט ואתר המאמרים Articles. רשימה של כל שמות וכתובות האתרים שנפרצו ניתן למצוא באתר וואלה! TECH.
הבוקר (א') החלו להגיע לתיבת הדואר האלקטרוני של משתמשי אתרים אלו ועיתונאי טכנולוגיה מכתבי הסברים מפי אותם אתרים על מחדל גניבת הסיסמאות מהם. להלן ההודעה מאתר פיצה האט:
לאחר בדיקה שערכנו הבוקר, מסתבר שאומנם האקרים תורכים פרצו לאתר האינטרנט של פיצה האט וגנבו את רשימת כתובת המייל והסיסמאות. יש לציין שאנו לא שומרים מספרי כרטיסי אשראי לא באתר האינטרנט, ולא בשום מקום אחר, ועל כן, אין סיכון לאובדן כספי כלשהו. החשיפה היחידה הינה לשם המשתמש , כתובת האימייל וסיסמת הכניסה לפיצה האט.
כמובן שאצלנו אין להאקר מה לעשות עם הסיסמה, מלבד להזמין פיצה בשמכם. ולשלם עליה מכספו הוא. ואולם, אנו מצטערים ומתנצלים על עוגמת הנפש שעלולה להיגרם מעצם החשיפה של הנתונים, ופועלים מייד לסגור פרצה זו.
אנו ממליצים לאילו שמשתמשים בסיסמא זו גם לאתרים אחרים, להחליף אותה.
ושוב סליחה.
צוות פיצה האט ישראל
אתר הומלס שלח הודעה ובה נכתב:
שלום רב,כידוע לך, בימים האחרונים האתרים המובילים בישראל נמצאים תחת מתקפה בלתי פוסקת מצד האקרים מוסלמיים בניסיון לפגוע במשק הישראלי בכלל ובמשתמשי האינטרנט בפרט.כחלק מניסיונות אלו, הייתה פריצה טורקית למאגר הנתונים של "טבלת ההמלצות" באתר הומלס, אשר כלל שם משתמש וסיסמה של חלק מן המשתמשים.מעבר לשם המשתמש והסיסמא, לא הכיל המאגר כל מידע נוסף.אתר הומלס הינו אחד מהאתרים המאובטחים ביותר ופועל בהתאם לתקן המחמיר ביותר.אתר הומלס אינו שומר נתונים כספיים – כל הרכישות מבוצעות באמצעות אתר ייעודי מאובטח. מודגש כי לאף צד שלישי אין גישה לפרטי כרטיס האשראי שלכם.כחלק מתהליך האבטחה, הנכם מתבקשים להיכנס לאיזור האישי שלכם באתר הומלס ולשנות את הסיסמא הקיימת שלכם בסיסמא חדשה במקביל, אם הנכם משתמשים באותה הסיסמא באתרים אחרים שאתם גולשים בהם, יש לשנות את הסיסמא באתרים אלה.
מי אשם פה?
בראש ובראשונה ובניגוד למה שכותבים מאתר הומלס, האשמים הם מנהלי האתרים שאפשרו את הפריצה. אילו פעל האתר בהתאם לתקנים המחמירים עליהם הוא כותב, לא סביר שפורצים טורקים החובבנים מספיק לפרסם באינטרנט קישור לרשימות שצדו, היו מגיעים למידע זה. שמות המשתמשים שהגיעו לידי קבוצת ההאקרים כוללים לא פעם גם את כתובת הדואר האלקטרוני של המשתמש, המהווה את אותו שם משתמש לכניסה.
יתרה מכך, הומלס כותבים שמדובר בתקיפות מהימים האחרונים, אך קישור בפורום הטורקי בו נמצא הקובץ המדובר פורסם שם כבר בתחילת יוני (לפני יותר מחודש) וקשה לנחש כמה זמן הסתובב טרם לכן בקרב פורצים מיומנים מעט יותר שלא חשפו את ממצאיהם בפורום הפתוח לעולם המקוון כולו. יתרה מכך, אם חושבים על מספר הקבצים שאותרו (כשלושה) לעומת אלו המסתתרים בפורומים סגורים המוגנים בסיסמא או אף במחשבים אישיים של פורצים, מדובר במספר עצום של משתמשים שפרטיהם נחשפו.
עורכי הדין יעסקו עוד לא מעט זמן בהטחת האשמות ובירור זהות האחראי ללקויות באבטחת האתרים שגרמו לפריצות, אך שאלה חשובה עולה כאן והיא אחריות האתר מול המשתמשים בעת פריצה או גניבה של פרטיהם. ההודעות שנשלחו הבוקר ללקוחות האתרים הן הודעות שהיו צריכות להישלח כשהפריצות התגלו על ידי מנהלי האתרים ולא שבועות מאוחר יותר כשהנושא הגיע לכותרות בזכות פוסט בבלוג של ארז וולף. אילו טרחו בחברות השונות לזהות שהיתה פריצה לאתרם ולעדכן את המשתמשים בצורך בהחלפת הסיסמא באתרים נוספים בהם הם השתמשו בה, אולי מספר חשובונות הפייסבוק וההוטמייל שנפרצו בחודש יוני היה קטן בהרבה. הניסיון של החברות לטאטא את גניבת פרטי המשתמשים מתחת לשטיח גרמה נזק ישיר למשתמשי אותם אתרים, שכעת יחשבו פעמיים לפני שיבחרו לצרוך מוצרים או שירותים של אותה חברה.
אמנם, גם המשתמשים משחקים פה תפקיד חשוב. מאות משתמשים נרשמו לאתר באמצעות כתובת הדואר האלקטרוני האישית שלהם ממקום העבודה או ספקית האינטרנט. במקרה הטוב, כתובות אלה ימצאו את עצמן בבסיסי הנתונים של ספאמרים שונים ובמקרה הרע, הסיסמא שבחרו המשתמשים עבור אתר הומלס או פיצה האט ושימשה אותם במקומות אחרים, יכולה לסכן לא רק פרטיות המשתמשים עצמם, אלא גם את הארגונים בהם אלו עובדים. מספר הכתובות בקובץ השייך לעובדי מוסדות מדינה ואף צבא הינו מדאיג מאוד. בעצם, הפיצה שהזמינו או הדירה ששכרו, עשויות לסכן את ביטחון המדינה. הזוי, לא?
האתרים שנפגעו דואגים להדגיש כי הפרטים שנגנבו בפריצות אינם יכולים לשמש להפרה של פרטיות המשתמשים באתרים בהם נגנבו כי אלו אינם מאכסנים את פרטי התשלום של לקוחות. גם אם כך הדבר, אין זה אומר שאותם פרטים אינם משמשים את הלקוחות לכניסה לאתרים ושרותים אחרים שכוללים פרטי תשלום ואך מאפשרים העברת כספים כדוגמת PayPal שצילום מסך ממנו עיטר את אחת ההודעות בשרשור בפורום הטורקי.
מה עושים כעת?
אם אתם משתמשים ולא מנהלי אתרים יש מספר חוקי ברזל שיש לשמור עליהם בעת רישום לשרותים מקוונים ושימוש בהם:
- דואר זבל: הקפידו על שימוש בכתובת דואר יעודית וחינמית לצורך הרשמה לשירותים מקוונים ואתרים שונים. אם אתם מתקשים לעקוב אחר מספר תיבות דואר, רוב ספקי הדואר האלקטרוני יאפשרו לכם להגדיר העברה אוטומטית לכתובת האישית שלכם שתישאר חבויה מהשולח.
- בחירת סיסמאות: בואו נודה בזה – לא קל לשמור על סיסמא ייחודית עבור כל אתר שנשמים אליו ואף לזכור אותה. מדובר לפעמים במאות או אלפי סיסמאות שונות שפשוט חבל לבזבז עליהן שטח איחסון במוח. קיימים מספר פתרונות כדוגמת תוכנות מנעול שונות השומרות את כל סיסמאותיכם תחת סיסמא אחת לאישור השימוש ביישום. איננו ממליצים על פיתרון זה כי תקלה קטנה בתוכנה זו – ונשארתם בחוץ. ההמלצה הרווחת היא בחירה של סיסמא מורכבת בת שישה תווים לפחות בה אותיות, מספרים וסמלים ושינוי של אות או שתיים עבור כל אתר בהתאם לשמו, למשל. כך תיאלצו לזכור רק פונקציה ליציאת הסיסמא ולא מאות סיסמאות שונות. אפשר גם להחזיק סיסמת זבל המיועדת לאתרים בהם אינכם מאכסנים מידע אישי, כגון אתר פיצה האט ואפילו הומלס. אם ברצונכם לדעת אם הסיסמא שבחרתם הינה מורכבת מספיק ומאובטחת, תוכלו לבדוק זאת באתר בדיקת חוזק סיסמאות שגם יגלה לכם כמה ימים ייקח למחשב שולחני לפצח את הסיסמא באמצעות תקיפת מילון.
- שינוי סיסמאות: על אף שהוכח כבר ששינוי תדיר של סיסמאות אינו תורם כלל לאבטחת המידע של גולש או ארגון, בעת ריבוי דיווחים על פריצות, אולי כדאי לכם בכל זאת לבצע עדכון של הסיסמאות באתרים המחזיקים עבורכם מידע אישי חשוב. עם זאת, אם הסיסמא אינה עומדת בתנאים בסעיף מעלה, אז בעצם לא עשיתם כאן הרבה.
למפתחי אתרים ומפעיליהם נמליץ ליישם מדיניות אבטחה מוגדרת ומדוייקת, גם אם זו באה על חשבון נוחות המשתמשים:
- בחירת ספק וטכנולוגיה: בעת בחירת ספק עבור פיתוח האתר שלכם או התקנת פלטפורמת ניהול זו או אחרת, הקפידו לוודא שאלה שמים דגש על אבטחת המידע והגנה על בסיס הנתונים של האתר הכולל את המידע הרגיש של משתמשים. במקרים רבים נוצר פער בין המפתחים ומנהלי האתרים כשהמפתח אינו מטפל בהגדרות האבטחה הנחוצות ומנהל האתר כלל אינו מודע להן.
- עדכוני אבטחה: שלל היישומים והתוכנות הפועלים על השרת שלכם ידרשו לא אחת עדכוני אבטחה וגירסאות בשביל לשמור על המידע שלכם בטוח. הקפידו לבדוק על בסיס קבוע את זמינות העדכונים אם לא קיימת אפשרות של עדכון אוטומטי ביישומים המדוברים.
- הצפנה: זה אולי יישמע קצת בנאלי וברור מעליו, אבל חשוב להצפין את בסיס הנתונים של האתר אם אינכם רוצים להקל יתר על המידה על פורצים המתדפקים על דלת לוח הבקרה של השרת שלכם. אם יש לכם אפשרות להסתיר את קרביו של האתר מאחורי חיבור המחייב VPN, מומלץ שתעשו זאת.
- דרישת סיסמא מורכבת: המשתמשים לא יאהבו את זה, אבל הם בטוח יאהבו את זה יותר מאשר את כתובת המייל שלהם בידי טורקים הרוצים ברעתה של מדינת ישראל ותושביה. חייבו את הגולשים לבחור סיסמא הכוללת לכל הפחות שני אותיות קטנות שונות באנגלית, שתיים גדולות ושתי ספרות והקפידו לרשום בעמוד ההרשמה שמומלץ לבחור סיסמא השונה מזו שבחרתם באתרים אחרים.
אילנה ברודו
אשת המילה הכתובה וחובבת טכנולוגיה. גרפומנית, גיקית, גיימרית, בשלנית, ואפילו משוררת לעת מצוא. בימים עיתונאית רשת נעימת הליכות ובלילות לוחמת צדק דיגיטלי חסרת רחמים ובעלת לשון מושחזת היטב. לשעבר כתבת טכנולוגיה ב-ynet ו-walla!.
פוסטים נוספים בנושא אבטחת מידע
17 תגובות לפוסט "מי שומר על המידע שלכם? תגובות אתרים שנפרצו וטיפים לאבטחה"
-
מאת ליטל:
התגובה של פיצה האט מרתיחה. הם מריצים דאחקות על הפיצה שתשלח הביתה, תוך התעלמות ממידע נוסף שעלול להיות בחשבון (כתובת? טלפון? הסטורית הזמנות? תעודת זהות?), מכך שהססמא אולי בשימוש במקומות אחרים, ומכך שהם שברו אמון וחשפו ברשלנות פרטים של אנשים. מן טפיחה על הראש עם "לא באמת אכפת לך, נכון?-מצויין".
-
מאת אורח:
I WANT TO SEE REVENGE !!!
הלוואי שכל ההאקרים בישראל יתאחדו ויפילו את כל השרתים השרתים בטורקיה.. -
מאת אור:
צריך להכניס את האתרים האלו לרשימות האתרים החסומים ב stopbadware.org עד שהם יוכיחו שהם מצפינים את הסיסמאות…
-
מאת אריה:
נראה לי חשוב לציין שהאתרים הנ"ל התנהלו באפן רשלני ביותר – לשמור ססמאות כמו שהן המסד הנתונים זה ממש רשלנות לשמה. זהה אחד העצות הראשונות שלומד כל מתכנת מתחיל בנושא אבטחה – אין סיבה שבעולם שלמישהו תוכל להיות גישה לססמה שלי. ססמאות צריכות להשמר כהאש חד-כיווני, עדיף עם מלח. זה ממש א-ב, והעובדה שאתרים בסדר גודל כזה לא דואגים לאמצעים כאלה בסיסיים זה פשוט מביך.
הסיבה העיקרית ד"א היא שאי דבר כזה מערכת מאובטחת לחלוטין, ולכן המינימום שצריך לדאוג לו זה שבמקרה שפרצו אליך אין איך לנצל זאת כדי לפגוע במשתמשים.
כמו כן – ההמלצה להכריח משתמשים להכניס ססמאות חזקות אינה קשורה – אם אתה ממליח את הססמאות לפני ההצפנה מראש רוב התקפות המילון לא יעבדו עליהן.-
מאת יגאל:
צודק 100%. הצפנה של סיסמה במאגר נתונים אפילו לא דורשת הצפנה באמת.
כל מה שצריך הוא לשמור אותה בפורמט SHA1 שכל בסיס נתונים תומך (string). ככה שגם אם מישהו גונב את בסיס הנתונים כולו ולא הוא ולא אתה יכולים לדעת מה הסיסמא באמת.בתור מפתח אתרים זה סטנדרטי אצלי בטבלאות משתמשים, וחשוב שכולם ידעו שכל אתר שאינו עושה את זה, לא באמת מאבטח את הסיסמא שלכם.
-
מאת אבנר:
אם כבר הצפנה אז SH2 שכן SH1 נחשבת פרוצה ומיושנת
מה עם penetration tests שחייבים להיעשוב באופן יום יומי
שלא לדבר על ארכיטקטרת FW ראויההחלמאות פה חגגה
-
-
-
מאת אבי:
הגיע הזמן שגם כמשתמשים וגם כבעלי אתרים נפסיק את הנוהל המטופש של להרשם לכל שטות ברשת. כל אתר וכל בעל עסק קטן וחמדן רוצה מאגר מידע, מאגר לקוחות ונתונים סטטיסטיים כדי לעשות בהם שימוש (לרוב לרעת הלקוח) הגיע הזמן שנתעורר ונפסיק להרשם לכל שירות "בחינם" כי החינם הזה תמיד עולה ביוקר, במיוחד כשמדובר בשירותים שברור לנו שהם ממש לא חינם, כבר עדיף לשלם כסף על שירות מאשר לתת לעסקים וסוכנים מפוקפקים מידע פרטי ורגיש כמו ת.ז וכל מיני נתונים פרטיים!
ואם אתם נרשמים לשירותים לא חשובים כמו פיצה?!? (מה יש להרשם לאתר של פיצה נגיד? מה יש מבצעים? שידחפו אותם ל*** את מי זה מעניין? עשו חיפוש ברשת תזמינו פיצה ספונטני לא חסר החנות!).
בקיצר חלאס להרשם לכל שטות, חייבים להגמל מזה! מידע אישי שייך רק לכם, לא לפזר אותו!
ואם מפזרים לדאוג ולדעת מה פיזרתם ואיפה בדיוק. ואם גם את המינימום הזה לא נעשה, אז אלו שנגעו שלא יבכו. חייבים להעביר חוק נוקשה למאגרי מידע במדינה הזו ובעולם בכלל, נהיה באופנה לאגור מידע על כל אחד ועל כל דבר, מאגרים עם פרטים אישיים וקריטיים זה פצצה מתקתקת! חייבים להפנים את זה!-
אני לא חושב שצריך להעביר חוק או להכריח מישהו לעשות משהו בניגוד לרצונו.
לפי דעתי צריכים לעורר את המודעות ל OpenID, ובכך למנוע את העניין אחת ולתמיד. שאנשים לא ירשמו לאתר שלא מאפשר כניסה באמצעות OpenID.
המקסימום שיגנבו זה את הOpenID שלך, שגם ככה להשיג אותו זה לא יותר מידי קשה
-
אני לא מסכים עם זה כ"כ ידידי, טוב שלא הצעת שהזדהות מול אתרים תהיה עם "תעודת זהות חכמה" או ע"י טביעת אצבע (שאני מניח שבשלב מאוחר יותר לצערנו תהיה משולבת גם בת.ז החכמה) כי אבטחת מידע כבר מזמן הפכה להפקר, במיוחד בעידן שבו מרשם האוכלוסין של מדינה שלמה דולף כמעט כל שנה והפרטיות של האזרחים הפכה להפקר.
אין לתת יד בשום צורה שהיא לעוד מאגרי מידע ובטח שלא לאמצעי זיהוי חד ערכיים ברשת, כמו שאמרת קל נורא לגנוב ולזייף זהות של מישהו, ברגע שיהיה סטנדרט או מקום אחד שירכז את כל הזהויות שלך בכל האתרים, במקרה של גניבה הלכה כל הזהות שלך ברשת, תחשוב מה קורה אם זה נופל בידי יריב \ אוייב שלך או איזה נוכל או חלילה גוף עויין.חוץ מזה ששיטת זיהוי אינדיבידואלים ברשת תואמת למשטרים אפלים ולא לרשת הפתוחה.
וכן אני מודע לזה שבגלל טיפשות של אנשים כיום פייסבוק היא סוג של ת.ז של המשתמש ברשת, מאז האופן גרף שלהם, אבל בדיוק בגלל זה האיחוד האירופי, גרמניה והקונגרס האמריקאי שלחו מכתבי אזהרה ואמרו לפייסבוק לחזור למציאות. זה פשוט לא יעבוד, רשת פתוחה ודמוקרטית זה דבר חשוב, זה שיש בעיות ופרשיות אבטחה זה משהו שבעלי האתרים עצמם צריכים לדאוג להם בצורה שוטפת, ברגע שמשהו כזה מוזנח, אין להתפלא מדוע יש פרצה. "הפרצה קוראת לגנב"כל טוב.
-
הטיעונים שאתה מעלה הם מאוד פופוליסטים (או שאין לך מושג מה זה OpenID) ולא מתחשבים ביתרון מאוד ספציפי שיש ל OpenID.
אף אחד לא מכריח אותך לבחור בשירות ספציפי של OpenID (מה שאתה לא יכול לעשות עם תעודות זהות). אתה יכול לבצע Delegation, ואם אתה ממש פרנואיד תחזיק שרת OpenID משלך ותזדהה איתו, ואז אתה תהיה האחראי הבלעדי על ה"תעודה" שלך.מה יותר מאובטח? שהסיסמה שלך יושבת ב50 אתרים (שהאבטחה שלהם מוטלת בספק) או שהסיסמה שלך יושבת במקום אחד שאתה יודע מה רמת האבטחה שלו?
יותר מזה, ישנם שירותי OpenID שמאפשרים לך להשתמש בתעודה אלקטרונית. ככה בכלל אין לך סיסמה ובשביל להשיג את התעודה צריך לפרוץ למחשב האישי שלך.
-
-
-
-
מאת שחר:
אני אישית מסכים עם אריה – זו באמת בושה שסיסמאות של משתמשים מסתובבות במסד נתונים ללא שום הצפנה. זה באמת דבר בסיסי.
אני אחזק את דבריו ואוסיף שאם אתר (כמו הומלס) רוצה להצהיר שהוא עומד בתקנים המחמירים ביותר – הוא לפחות צריך להצפין גם את כתובות המייל של המשתמשים. מבחינת "עלות" של תכנות וזמן מעבד – זה זניח יחסית להגנה שהוא מספק במקרים כאלו.
ישנן מספיק פתרונות התפורים בדיוק לנושא הזההצפנה בסיסית היתה חוסכת המון עוגמת נפש, זמן, כסף ומוניטין של אתרים ושירותי HOSTING ובשאיפה מונעת (לפחות מעכבת) את חשיפת הפרטים עצמם.
-
מאת שמואל:
תגובת אתר חבד לפריצה :
כלי התקשורת דיווחו בסוף השבוע כי האקרים טורקים פרצו למספר אתרי אינטרנט גדולים, וגנבו מהם למעלה ממאה אלף כתובות אימייל וסיסמאות, לפי הדיווח נפרץ גם "אתר חב"ד".
עם קבלת הדיווח החל הצוות הטכני של האתר לבדוק את הנושא לעומקו, וכעת מתברר כי האתר המדווח הינו אתר חב"ד אינפו.
הטורקים אכן פרצו לשרת הישן של האתר, והצליחו לשים את ידם על רשימת כתובות האימיילים הישנה של שירות הדואר הישן שהיה פעיל באתרנו עד לפני מספר שנים, ביחד עם הסיסמאות לכתובות האימייל הלא פעילות.
הבעיה איננה נסיון הכניסה לחשבון דואר שאינו פעיל, שהרי התיבות סגורות, אלא שהטורקים השתמשו בנתונים שבידיהם בערמה רבה. כך למשל כל מי שהותיר כתובת אימייל שניה בחשבון הישן, ניסו הטורקים לפרוץ לכתובת החדשה, מתוך הנחה שהסיסמא הינה אותה סיסמא בשתי תיבות הדואר. באם הם הצליחו – הם המשיכו גם לחשבונות נוספים כגון פייסבוק ועוד.
אשר על כן, הצוות הטכני מציע לכל מי שהיה מנוי על שירות הדואר הישן של חב"ד אינפו, להחליף את הסיסמאות שלו בכל השירותים באינטרנט, באם הסיסמא תואמת לסיסמא בתיבת הדואר הישנה.
יש לציין כי למרות שלפי הדיווחים מדובר בשבעת אלפים כתובות אימייל, הרי שבפועל מתוך שבעת אלפים תיבות שהיו פתוחות באתר, רק כמה מאות בודדות מופיעות עם כתובת אימייל נוספת וחשופות באופן עקרוני לפריצה.
-
מאת דני:
אני מנהל פרוייקטים בחברת הייטק בינלאומית, ולארחונה הבחנתי כי גם המייל הפרטי שלי מופיע ברשימת הכתובות שנפרצו (אגב, עד לכתיבת שורות אלו לא הבחנתי בשום ניסיון השתלטות על המייל שלי ובינתיים החלפתי סיסמא). אני יכול להעיד כי מעולם לא עשיתי שימוש במייל זה בשום אתר מהמוזכרים בכתבה, ובטח שלא מסרתי את הסיסמא שלי ובכל זאת המייל שלי הגיע לידי ההאקרים הטורקיים. מה שכן, הייתי בשנה האחרונה בטורקיה מספר פעמים ונכנסתי לחשבון הדואר שלי בעת שימוש באינטרנט במלון (דבר שעושה כל אדם שנמצא בחו"ל אני מניח..). מה שמעיד הוא שנגד סניפינג על תעבורת הרשת במלון שאתם מתאכסנים לא יעזור אף מנגנון הבטחה, וחשבונכם פשוט עלול להיפרץ!
-
אתה באמת חושב שהם פרצו את החשבון שלך דרך שכבת SSL?
-
-
מאת ענת:
מזעזע מה שקרה עם כל הפלישה המוסלמית הזו… אני הייתי עדה להשתלטות של האקרים תורכיים על הפייסבוק של אחת מהחברות שלי… כמעט לכל אחד מאיתנו יש מידע חשוף כזה או אחר שרץ ברשת וזה בהחלט מעלה חששות רבים, מה גם שככל שאנו מתקדמים עם הטכנולוגיה, כמות השימוש וכתוצאה מכך המידע שאנו חושפים ברשת, רק הולך וגדל…
-
מאת שימי:
טיפ יותר טוב בעניין הסיסמאות…
תרגמתי לעברית מוצר חביב שנקרא SuperGenPass – הוא מאפשר לזכור סיסמה אחת בלבד, ומפיק ממנה סיסמאות *שונות לחלוטין* עבור כל אתר ואתר – והדבר היפה – לא צריך להתקין אותו בכלל, והוא גם לא שומר את הסיסמאות בשום מקום: הוא פשוט מרכיב את הסיסמה מצירוף של הסיסמה הקבועה + הכתובת של האתר, דרך אלגוריתם Hash. כך שאפילו אם נפרצת הסיסמה באתר כלשהוא, ולא משנה באיזו דרך, לא ניתן להסיק ממנה את הסיסמאות של האתרים האחרים שבהם השתמשו ביוצר הסיסמאות.
כל התהליך קורה בתוך בוקמרק / סימניה בדפדפן. הסיסמה שלכם כלל לא עוברת באינטרנט (אתם מוזמנים לבדוק את קוד המקור של הדף ולהיווכח בעצמכם
)נשמע מעניין? אתם מוזמנים לנסות:
ושיהיה בהצלחה!
כמובן, שאם המחשב עצמו (שבו משתמשים ביוצר הסיסמאות) נפרץ, והותקן keylogger, זה לא יעזור (כי ה keylogger ילכוד את הסיסמה הראשית…). הפתרון הכי טוב נגד keylogger-ים הוא פשוט לוודא שהמחשב לא נדבק בהם (אני באופן אישי לא מאמין שזה באמת אפשרי תחת "חלונות", ולכן לא משתמש במערכת זו…)
![בלוגיק נבחרי השבוע מהבלוגספירה הישראלית [03-09-10]](http://www.newsgeek.co.il/wp-content/themes/newsgeek/scripts/timthumb.php?zc=1&w=40&h=40&src=http://www.newsgeek.co.il/wp-content/uploads/2010/09/blogeek-logo-new3.jpg){kind=logo}
מאגר של 102 אלף מיילים שיבדוק אם הסיסמה שלכם נחשפה
http://www.lucid.co.il/exposed/