‏הצגת רשומות עם תוויות סיסמאות. הצג את כל הרשומות
‏הצגת רשומות עם תוויות סיסמאות. הצג את כל הרשומות

יום שישי, 19 באוגוסט 2016

כוחה של סיסמה





אני יודע. את/אתה חושבים שהאקרים לא בבית ספרי. "אין לי שום דבר חשוב במחשב. אין לי סודות פנטגון, אין להאקר מה לחפש אצלי". טעות!!!
האקרים משקיעים במכשירים לסריקת IP ,גישה ל WiFi וכדומה, ולגילוי חולשות אבטחה למחשב. אם במחשב שלך האבטחה גרועה, הוא יעד לפריצה. לא כל פריצה גלויה וסביר להניח שאם במחשב שלכם אין מערכת אבטחה רצינית - גם לא תגלו, עד שתבחינו בתוצאות. ראשית זה יכול לקחת זמן ובינתיים ההאקר עושה במחשב שלכם כבתוך שלו (תארו לעצמכם דני דין כזה, גנב רואה ואינו נראה שמסתובב חופשי בבית שלכם ובחדר המיטות שלכם). שנית, כשתגלו זה כבר עשוי להיות מאוחר מדי. לנזקים בתכנה (ששילמתם ממיטב כספכם) ולחומרה (כן, אפילו השבתת המחשב לצמיתות) שנגרמים על ידי האקרים והזדונות שהם משתילים במחשבים - על כך אקדיש מספר פוסטים בעתיד. על נזקים כמו פריצה לחשבונות החברתיים שלכם, לגנבת רשימת אנשי הקשר שלכם, התמונות האינטימיות ביותר שלכם ואפילו לחשבונות הבנק והאשראי - מיותר לדבר על הנזק.

אז אם את/ה מאלה האומרים: "לא אצלי", "האקרים פוגעים רק בפרנואידים", "לא בבית ספרי - יש לי תכנת אנטי וירוס וחומת אש" ( לא משנה שהן אינן מעודכנות, לא מוגנות בסיסמה חזקה, והן כבר מזמן פרוצות ואתם אינכם יודעים...) - אז דעו לכם,  מאוד יתכן שהמחשב שלכם כבר פרוץ ואינכם יודעים.

האקרים מאוד אוהבים:

א. סיסמה פשוטה לפיצוח
ב. סיסמה אחת לכל החשבונות שלך
ג. ראוטר לא מאובטח כראוי וכמובן על ידי סיסמה
ד. מערכת חלונות לא מעודכנת בכל העידכונים האחרונים
ה. דפדפן לא מעודכן לגירסה האחרונה (מחקר הראה כי כ-90% משתמשים בגרסאות ישנות של דפדפן).
ו. תוכנות וישומים שונים לא מעודכנים

מדוע? משום שכל אלה הם נקודות חולשה. שערי כניסה להיכל הקודש של המחשב  שלך - שערים בדרך לאובדן פרטיות, גניבת מידע, השתלטות על המחשב, פריצה לחשבונות בנק ומה לא.

הפוסט הזה מוקדש לסיסמאות וכללי זהב הקשורים בהן:

1. יש רבים שבהתקנת מערכת ההפעלה מדלגים על קביעת סיסמה עבור כניסה למחשב. בשל נוחות וחיסכון של 5 שניות בכניסה למחשב. זוהי טעות חמורה!!!
להאקר מנוסה יקח פחות מ- 2 שניות להכנס למחשב.

2. כנ"ל לגבי ראוטרים - אני רואה במחשב שלי לא מעט ראוטרים של שכנים שהם אינם מאובטחים בסיסמה. כל אחד יכול להשתמש בראוטרים שלהם לגישה לאינטרנט, ופתח לפריצה למחשבים שלהם. לאחרים - סיסמת כניסה היא מספר טלפון בזק שלהם, חחחחחח.

3. יש לנהל רשימה של סיסמאות כניסה לכל החשבונות שלך (מחשב, אנטי וירוס, חומת אש, תוכנות רגישות שונות, תיקים וקבצים  מוצפנים, חשבונות דואר, גישה לרשתות חברתיות ואנשי קשר (כמו פייסבוק, טוויטר, אינסטגרם, ווטסאפ וכדומה), כניסה לאתרי מנויים וכמובן כניסה לחשבונות בנק ואשראי. 

לכל חשבון חובה ליצור סיסמה נפרדת ולא אחת לכולם. כל האקר יחכך כפות ידיו בהנאה כשיגלה שסיסמה אחת שפיצח טובה לכל החשבונות שלך!

4. את רשימת הסיסמאות אין לשמור בשום פנים ואופן בקובץ אחד במחשב (כמסמך וורד, אקסל וכדומה)  כפי שרבים נוהגים לעשות . אפילו לא לשמור בקובץ מוצפן (הרי צפנים נועדו לפיצוח).
את רשימת הסיסמאות לשמור יש לשמור בפנקס או מחברת - hard copy.

מומלץ לשמור העתק רשימת הסיסמאות כגיבוי למקרה שהפנקס יאבד או יגנב. ומכאן מובן ההגיון שאין לרשום על הפנקס או המחברת פרטים מזהים של הבעלים ו/או שם המחשב.

אין לשמור רשימת סיסמאות בארנק!!!
כי אם יאבד או יגנב, מישהו עשוי לנצל את זה למטרות פליליות ואחרות (אאוטינג, שיימינג - שקצרה יד החוק מלהושיע).

5. תמיד מייעצים לבחור סיסמאות שקל לזכור אותן אבל קשה לנחש אותן. זה נכון רק בתיאוריה, כאשר לכולנו יש כל כך הרבה חשבונות - קשה לבנות סיסמאות כאלה לכולם ושוב, וכאמור, בשום פנים ואופן אין ליצור סיסמה אחת גלובלית לכל החשבונות. ריבוי סיסמאות - זה אמנם לא נוח, זה מסרבל כניסה לחשבונות, אבל... 

6. כדי להבטיח סיסמה חזקה הקשה לפיצוח יש לדאוג לקיום מספר עקרונות:

א. סיסמה שתכיל כל 4 סוגי תווים במשולב:
אותיות גדולות (A-Z)
אותיות קטנות (a-z)
ספרות (1-9)
וסימנים מיוחדים ( - , _ , !, @ , # , %, ^, &, * )

ב. אסור שסיסמה תכיל תאריכי לידה, שמות בני משפחה, שמות חיות מחמד (גם לא קיצור, או ראשי תיבות), רכיבי כתובת, או מספרי טלפון. האקרים יכולים לנחש מאינפורמציה מחשבונות שמגיעים אליכם לתיבת הדואר, מפריצה לחשבון מייל ואנשי קשר שלך, או ממידע גלוי שאפשר לקבל מבלוג או מדף פייסבוק שלך. למשל, אם בבלוג שלך מוזכרים שמות הכלבים שלך, גם ההאקר יודע אותם וינסה לבדוק סיסמאות עם שמם ...).

ג. סיסמה לא טובה היא צמד מילים או פרפראזה. יש תוכנות סריקה שמשלימות סיסמאות לאחר פיצוח של מספר אותיות ראשונות. סיסמאות רעות מסוג זה הן למשל:
king-david
moon-sonata
hapoel-telaviv
עם מקף או בלי.

אבל אפשר ליצור מכל אחת כזו ווריאציה קשה לפיצוח, למשל שילוב ראשי תבות של משפט או קיצורים של מילים (באותיות גדולות וקטנות) ובשילוב של ספרות ורצוי גם סימנים מיוחדים

למשל לדוגמה הראשונה (king-david):

KNG53*9dAV82iD

ניתן לבחור בספרות שאתם משרבבים בסיסמה - כאלה שיש לצרופיהן משמעות אישית עבורכם.

עדיפות יותר אותיות מאשר ספרות - לספרות יש 10 אפשרויות (ניסוי וטעיה על ידי תוכנת סריקה לפיצוח) מאשר לאותיות, שלכל אחת אפשרות ניסוי וטעיה  הן :
26 כפול 2 (מספר אותיות האלף בית האנגלי - מערכת אותיות גדולות ומערכת אותיות קטנות). מצד שני שימוש בצירופים של כל ארבעת סוגי התווים (כפי שמתואר בסעיף א') מקשה מאוד על תוכנת הפיצוח בשל קיום מספר אפשרויות מאוד גדול שדורש זמן פיצוח ארוך מאוד אם הסיסמה חזקה.

לידיעה - אין צורך שהמחשב או החשבון יהיה פתוח בכל הזמן הדרוש לפיצוח. התוכנות יודעות 'לצלם' את ההצפנה ואחר כך לפצח אותה בזמנה החופשי במחשב של ההאקר, מבלי צורך בקשר עם המחשב או החשבון בעת הפיצוח (כן, התוכנה סורקת מליארדי אפשרויות, עד לפיצוח של אלגוריתם ההצפנה).


ד. בשל האמור בסעיף הקודם: מספר תווים - כל המרבה הרי זה משובח (לחשבונות חשובים מומלצים 13 תווים לפחות)


ה. דוגמאות לסיסמאות חזקות הקשות לפיצוח:


PKbL963M-EmT#261RYV

C7429-NGv*98-BTYm426

ו. דוגמא לסיסמאות רעות: מילה קבועה לכל סיסמה והצמדה  של תאריך או מספר, למשל :

shalom0216
shalom0816
Shalom2016

וודאי תאמרו שקשה ומעצבן להקיש בכל כניסה למחשב סיסמה כמו זו:

PKbL963M-EmT#261RYV



אבל בסיסמאות חזקות כאלה כדאי להשתמש לנעילת תוכנות אבטחה כמו אנטי-וירוס וחומת אש, ובוודאי לכניסה לחשבונות בנק ואשראי.

פתרון לכניסה קלה יותר למחשב - בסעיף הבא.

ז. חשוב מאוד!!!

יש ליצור שני חשבונות כניסה למחשב האישי - 
האחד כאדמיניסטרטור (administrator) 
והשני כמשתמש (user).

בהתקנת מערכת ההפעלה ברירת המחדל היא יצירת חשבון כאדמיניסטרטור. לאדמיניסטרטור יש הרשאות לניהול מקיף של המחשב כולל עריכת שינויי מערכת.
הבעיה היא שאם את/ה נכנסים בכל פעם למחשב דרך חשבון האדמיניסטרטור, גם ההאקר הפורץ למחשב מקבל אוטומטית הרשאות של אדמיניסטרטור כדי  לערוך שינויים במערכת ההפעלה ולהשתיל זדונות.

אבל כאשר את/ה תכנסו למחשב לשימוש שוטף רגיל כ'משתמש', להאקר שיפרוץ לא תהיינה הרשאות מקיפות של אדמיניסטרטור ולכן יקשה עליו הרבה יותר לחבל במערכת ההפעלה ולהזריק זדונות RootKit (הסבר יבוא בפוסט נפרד).

כיצד פותחים חשבון נוסף כמשתמש ?

1. דרך אייקון חלונות (10) או אייקון התחל (חלונות 7,8) בסרגל התחתון נכנסים בקליק ימני ל'לוח בקרה' ויפתח החלון הבא:



















נכנסים ל'חשבונות משתמשים' ויפתח החלון הבא:






נכנסים ל 'נהל חשבון אחר' ויפתח החלון הבא:



2. הקש על 'הוסף משתמש חדש בהגדרות המחשב' ויפתח החלון הבא:




3. במשתמשים אחרים הקש על + 'הוסף מישהו אחר למחשב זה' והגדר אופן הכניסה של המשתמש בחלון הבא:





























הגדר אופן הכניסה, דואר או טלפון והמשך על פי ההוראות בחלונות הבאים.


לשימוש השוטף במחשב כ'משתמש' יש שתי יתרונות: 
ראשית, כאמור אם יש 'שותף' חדש למחשב - אתם מונעים ממנו זכויות אדמיניסטרטור 'לטיפול' במערכת ההפעלה שלכם.

שנית, הכניסה השוטפת תהייה עם סיסמה שקל לכם לזכור אותה. את הסיסמה החזקה במיוחד - השאירו עבור כניסה למחשב כאדמיניסטרטור. 



לסיכום:

כאדמיניסטרטור (לצורך תחזוקת המחשב, התקנות, הסרת התקנות וכדומה) הכנס/י עם סיסמה חזקה כפי שמתואר לעיל.

כאמור בשימוש שוטף הכנס למחשב כמשתמש ולא כאדמיניסטרטור!
כמשתמש הכניסה תהייה פשוטה יותר (כניסה דרך כתובת מייל או מספר טלפון, או סיסמה אחרת שתקבע).


7. סיסמאות חזקות כפי שתוארו למעלה קשות לפיצוח. אמנם לוקח הרבה זמן לתוכנות של האקרים לפצח סיסמאות כאלה, אבל אין סיסמה שאינה ניתנת לפיצוח (לעיתים זמן רב כמו שבוע, שבועיים חודש - תלוי בחוזק הסיסמה).

אבל אם לכל חשבון חשוב שלכם יש סיסמה חזקה מאוד  (שעקרונותיה מוסברים לעיל), ההאקר יתייאש. בוודאי לא יהיה שווה לו להשקיע כל כך הרבה מאמץ לפריצת חשבונות למחשב אישי. 
אבל, לחשבונות מפתח חשובים ורגישים במיוחד - מומלץ להחליף סיסמאות חזקות אחת לשבועיים.

8. ניסיון אישי.

לידידי בישראבלוג ובפלטפורמות אחרות: דאגו לסיסמאות חזקות לכניסה לבלוג ולהחליף אותן תדיר. הבלוג שלכם הפך ל'פרטי'? מישהו פרץ אותו או ניסה לפרוץ אותו! מדוע? הוא לא רק יכול למחק לכם פוסט/ים, למחוק רשימת קוראים ומנויים (שתסלק את הבלוג שלכם מרשימות 'החמים' ו'הפעילים'), אלא דברים חמורים הרבה יותר, כמו מידע כתובת המייל של הבלוגר, של המנויים שלו ועוד, כפי שתראו בהמשך.

לאחר פריצות לחשבון הבלוג שלי בישראבלוג, יורט המחשב שלי דרך כתובת ה-IP האמורה להיות זמינה רק לידיעת ההנהלה.
כיוון שהיירוט ננעל על כתובת ה-IP של המחשב שלי, יש לי בסיס להניח (בהתאם לדיווח של מערכת ההגנה במחשב שלי, יחד עם נתונים רבים נוספים השמורים במערכת), שהפריצה נעשתה דרך מישהו המקושר להנהלת ישראבלוג/נענע10 - ולכן בפוטנציה יש לו גישה לכתובות ה-IP של כל הבלוגרים בישרא. 


במקרה שכזה לא תעזור לכם גם הסיסמה החזקה ביותר. פריצה שניה לבלוג באותו יום נעשתה למרות החלפת שם משתמש וסיסמה חזקה לאחר הפריצה הראשונה. לפורץ מבחוץ היה לוקח זמן פיצוח סיסמה ארוך הרבה יותר, אם בכלל.
אז אפילו סיסמה חזקה לא תעזור. כי להנהלה ישראבלוג יש אפשרות כניסה עוקפת לבלוגים שלכם. בלי צורך בסיסמה.
זה לא אומר שפריצות כאלה זה מה שנעשה מעשה יומיום לכולם, אבל כדאי לקחת בחשבון שיש שם להנהלה אפשרות טכנית לכך - לחדירה לפרטיות שלכם... ואפילו למחוק לכם פוסטים מלוח העריכה שלכם, רשימת מנויים וכדומה

ושוב, אני מציין זאת רק כאפשרות טכנית (שלעיתים מתגשמת, כמו בדוגמה שלי) ואתם צריכים לסמוך על 'היושרה' של אלה שמחזיקים את המפתחות.

לעומת זאת בפלטפורמה של בלוגר (בלוגספוט) שבה מתנהל בלוג זה, לאף אחד בגוגל אין אפשרויות 'מנהל' וכניסה ללוח העריכה מלבד לבלוגר עצמו,  וללא מתן 'הרשאה כפולה ומאומתת' למישהו נוסף על ידי בעל הבלוג.

***


חשבונות מייל מאוד רגישים והאקרים נוהגים לפרוץ אותם כדי להמשיך משם בהשתלטות על המחשב וחשבונות אחרים. על חיזוק חשבונות הדואר ואיזה חשבון דואר הוא המאובטח ביותר, יוקדש פוסט נפרד.


***

אני ממליץ לקחת פוסט זה מאוד ברצינות, למרות התכונה הטבעית לחשוב "לא אצלי", "לא בבית ספרי", "יהיה בסדר"...
זה עשוי לקרות באותה קלות שמכשיר הסמרטפון שלך יצנח למי אסלה, למי האמבטיה, או למי שלולית ברחוב, בעת דיבור. 
וכשהוא נרטב...

שמירה על כללי סיסמאות חשובה מאוד, אך אינה מספיקה. על אמצעי זהירות נוספים יוקדשו פוסטים נוספים.

עריכה

זמן קצר לאחר פרסום זה סטטיסטיקת הכניסות לבלוג דיווחה לי על כך:







אז, תגידו מי זה שנכנס לבלוג עם דפדפן UNTRUSTED
                               ומערכת הפעלה COMPATIBLE?

ומי ניסה להפעיל את 'שחזור המערכת' ממש לפני פרסום העריכה?

האם אני צריך לדאוג?
           ואולי דווקא מישהו אחר?