דרוש מידע פרצו לי לסלאק?

פררו רושה · 22/9/19

שבוע שעבר אני רואה שמישהו התכתב בסלאק תחת שמי.
אין לי מושג מי כתב את זה, אבל זה וודאי לא אני או מישהו מבני הבית, כי המחשב היה סגור וגם לא היה אינטרנט בבית.
משהו מוזר...
גם לא נכנסתי לסלאק משום מחשב אחר חוץ מהמחשב הפרטי שלי.
האם יש סיכון למידע הקיים במחשב?
האם יש סיכון כרגע להכנס לאתרים רגישים כמו בנק וכדו'?
ומה אפשר לעשות כדי שזה לא יקרה שנית?
תודה

Indigo Art · 22/9/19

מה זה סלאק?

פררו רושה · 22/9/19

נכתב ע"י Indigo Art:
מה זה סלאק?

ברעיון - כמו ג'ימייל

5127109 · 22/9/19

כן. מאוד יכול להיות שפרצו לך לסלאק.
הפתרון לזה זה TFA שקצת קשה לממש בציבור שלנו.
מומלץ, להתנתק מכל המכשירים, לשנות את כל הססמסאות ויפה שעה אחת קודם לסיסמאות חזקות וטובות. בלי לחץ, סלאק זה לא הבנק.

פררו רושה · 22/9/19

נכתב ע"י 5127109:
הפתרון לזה זה TFA .

?

5127109 · 22/9/19

https://tech.b48.club/2018/03/14/what-is-2fa-otp.html
ולחסומים:

וככה בעצם עובד “אימות דו שלבי” (2 Factor Authentication, או לעיתים אפילו Multi Factor Authentication): השיטה הזו דורשת “משהו שאתה יודע”, בשילוב עם “משהו שיש לך” (טלפון, כרטיס, וכו’) או “משהו שאתה” (טביעת אצבע, רשתית, וכו’). שאלות אבטחה כמו “מה היה שם נעוריו של הכלב הראשון שלך” לא נחשבות אימות דו שלבי כי הן נופלות תחת אותה קטגוריה של “משהו שאתה יודע”.

כך גם אם מצליחים ארגוני פשיעה לגנוב למשתמש את הסיסמה באמצעות קי-לוגרים (רושעות השומרות כל הקשה על המקלדת) או אמצעי ציתות אחרים, אלא אם ישיגו גישה פיזית לטלפון הנייד של המשתמש לא יצליחו להיכנס לחשבונו.

בנוסף, משתמשים רבים (וכן, אני מסתכל עליך, ועל מעל 80% מכם) נוטים להשתמש באותה סיסמה במספר אתרים. מספיק שאתר אחד יפרץ, ותוך זמן קצר (עד שעות ספורות) ינסו ההאקרים את אותה סיסמה בשלל שירותים ברשת. הפעלה של אימות דו-שלבי תמנע את כניסתם אפילו אם יש ברשותם את הסיסמה שלכם.

ברשת השימוש באימות דו שלבי הפך נפוץ מאוד, ומומלץ מאוד להפעיל אותו בכל מקום שרק אפשר. בחשבונות הגוגל שלכם אפשר להפעיל אותו מכאן, ובאתר הזה יש הסברים מפורטים על איך להפעיל אותו בשירותים רבים אחרים.

כל זה עבד יופי, עד שהצליחו אנשי המחתרת המתחרה לצייר את הפרח של בלעם בכשרון מרשים. אי אפשר היה להסתמך יותר על היכולת היחודית של בלעם, והיה צריך משהו נוסף. לצורך כך הטילה לודה תורנות על כמה מהחברים, ועכשיו כל מי שרצה להיכנס היה צריך להזדהות לפניהם, והם נתנו למבקש סיסמה חד פעמית. המבקש אז אומר את הסיסמה לגברתן, הגברתן בודק עם התורן, ואם הסיסמה תואמת - הוא מאפשר את הכניסה.

הפרקטיקה הזו נקראת OTP, ראשי תיבות של One Time Password, ויש כמה דרכים ליישם אותה. יש שירותים ששולחים את הסיסמה הזו לטלפון הנייד של המשתמש בהודעת SMS, יש שירותים שאותה סיסמה מיוצרת גם באפליקציה אצל הלקוח וגם בשרת ומתחלפת כל דקה, ויש שירותים שמשתמשים באלגוריתמים מורכבים של מפתחות הצפנה יחד עם מונה כדי לוודא שכניסה מתאפשרת רק למי שמחזיק במכשיר הנכון.

גם השיטה הזו אינה חסינה מבעיות. בטלגרם, למשל, אפשר “לפרוץ” לחשבונות באמצעות חטיפה של הודעות SMS. ממשלות כמו זו של רוסיה ושל אירן שולטות ברשת הטלפונים, וכך יכולות לנתב הודעות SMS שנשלחות לצורך אימות דו שלבי (או סתם “איפוס” סיסמה) ובכך להיכנס לחשבונות של אזרחיהן.

יוסף שחק · 22/9/19

נכתב ע"י פררו רושה:
ברעיון - כמו ג'ימייל

כמו וואצפ'
של מתכנתים בדרך כלל

פררו רושה · 23/9/19

נכתב ע"י 5127109:
https://tech.b48.club/2018/03/14/what-is-2fa-otp.html
ולחסומים:

וככה בעצם עובד “אימות דו שלבי” (2 Factor Authentication, או לעיתים אפילו Multi Factor Authentication): השיטה הזו דורשת “משהו שאתה יודע”, בשילוב עם “משהו שיש לך” (טלפון, כרטיס, וכו’) או “משהו שאתה” (טביעת אצבע, רשתית, וכו’). שאלות אבטחה כמו “מה היה שם נעוריו של הכלב הראשון שלך” לא נחשבות אימות דו שלבי כי הן נופלות תחת אותה קטגוריה של “משהו שאתה יודע”.

כך גם אם מצליחים ארגוני פשיעה לגנוב למשתמש את הסיסמה באמצעות קי-לוגרים (רושעות השומרות כל הקשה על המקלדת) או אמצעי ציתות אחרים, אלא אם ישיגו גישה פיזית לטלפון הנייד של המשתמש לא יצליחו להיכנס לחשבונו.

בנוסף, משתמשים רבים (וכן, אני מסתכל עליך, ועל מעל 80% מכם) נוטים להשתמש באותה סיסמה במספר אתרים. מספיק שאתר אחד יפרץ, ותוך זמן קצר (עד שעות ספורות) ינסו ההאקרים את אותה סיסמה בשלל שירותים ברשת. הפעלה של אימות דו-שלבי תמנע את כניסתם אפילו אם יש ברשותם את הסיסמה שלכם.

ברשת השימוש באימות דו שלבי הפך נפוץ מאוד, ומומלץ מאוד להפעיל אותו בכל מקום שרק אפשר. בחשבונות הגוגל שלכם אפשר להפעיל אותו מכאן, ובאתר הזה יש הסברים מפורטים על איך להפעיל אותו בשירותים רבים אחרים.

כל זה עבד יופי, עד שהצליחו אנשי המחתרת המתחרה לצייר את הפרח של בלעם בכשרון מרשים. אי אפשר היה להסתמך יותר על היכולת היחודית של בלעם, והיה צריך משהו נוסף. לצורך כך הטילה לודה תורנות על כמה מהחברים, ועכשיו כל מי שרצה להיכנס היה צריך להזדהות לפניהם, והם נתנו למבקש סיסמה חד פעמית. המבקש אז אומר את הסיסמה לגברתן, הגברתן בודק עם התורן, ואם הסיסמה תואמת - הוא מאפשר את הכניסה.

הפרקטיקה הזו נקראת OTP, ראשי תיבות של One Time Password, ויש כמה דרכים ליישם אותה. יש שירותים ששולחים את הסיסמה הזו לטלפון הנייד של המשתמש בהודעת SMS, יש שירותים שאותה סיסמה מיוצרת גם באפליקציה אצל הלקוח וגם בשרת ומתחלפת כל דקה, ויש שירותים שמשתמשים באלגוריתמים מורכבים של מפתחות הצפנה יחד עם מונה כדי לוודא שכניסה מתאפשרת רק למי שמחזיק במכשיר הנכון.

גם השיטה הזו אינה חסינה מבעיות. בטלגרם, למשל, אפשר “לפרוץ” לחשבונות באמצעות חטיפה של הודעות SMS. ממשלות כמו זו של רוסיה ושל אירן שולטות ברשת הטלפונים, וכך יכולות לנתב הודעות SMS שנשלחות לצורך אימות דו שלבי (או סתם “איפוס” סיסמה) ובכך להיכנס לחשבונות של אזרחיהן.

תודה.
אבל באמת, כמו שכתבת, אין לי אפשרות לעשות זאת.
עכשיו תכל'ס, יש סיכון להכנס לבנק?

אגב,
יש לי אפשרות לדעת אם זה רובוט או בן אדם?
כי הוא התכתב ממש לעניין...

A8A8 · 23/9/19

מעניין שהוא לא שינה סיסמא, הרי אם הוא היה פורץ, הוא לא היה משאיר עקבות קלות כל כך
ולמה בשביל להתכתב רגיל הוא צריך את הסלאק שלך. סיפור ממש מוזר

דרוש מידע פרצו לי לסלאק?

משתמש סופר מקצוען

מעצבת פנים

משתמש סופר מקצוען

מהמשתמשים המובילים!

משתמש סופר מקצוען

מהמשתמשים המובילים!

משתמש סופר מקצוען

משתמש סופר מקצוען

משתמש פעיל

אשכולות דומים

פסח כשר ופרימיום!

תגיות נפוצות