נדמה לי שבשועל אתה יכול להגן על כל המנגנון של הסיסמאות עם סיסמא ראשית, דבר שבטח יהפוך את האחזור שלהן ליותר קשה. ועדיין, אם מישהו מספיק קרוב הוא בטח יכול גם לראות את המקלדת שלך.
מאחר שאני משתמש במחשב בעיקר בבית שלי אני לא רואה כמעט שום ערך בסיסמאות וזה לפעמים מטריף אותי כשאני לא מצליח להכנס לאתר/FTP ולא יכול לדעת אם זה בגלל שהקשתי סיסמא לא נכונה.
במהלך העבודה שלי יוצא לי לא פעם (לפחות 3 פעמים בשבוע שעבר) להקליד סיסמאות שונות בנוכחות של אנשים אחרים. בדרך כלל כאשר אני צריךלגשת למערכות מסויימות מהמחשב שלהם דרך הרשאות אחרות.
ובמקרה של מערכת production ולקוח עצבני אז אני מוצא את עצמי מול חלון login ומאחורי נמצאים עוד 3-4 זוגות עיניים.
ומה אני אמור לעשות עכשיו? להסתובב ולבקש מכולם להפנות את העיניים שלהם למקום אחר?
הפיתרון שנילסן הציע אינו לבטל לגמרי את מיסוך הסיסמאות, אלא להוסיף checkbox ליד התיבה בה מכניסים את הסיסמא שדרכו המשתמש יוכל להחליט האם הוא מעונין במיסוך. אצלי רוב העבודה נעשית בבית ואם מישהו התקין מצלמה שמצלמת את המסך באותה מידה הוא יכל לשים אותה בזוית בה היא תקלוט גם את המקלדת.
וכן, אני מבקש שאנשים יסובבו את הראש, למרות שאני מסכים שזה יכול להיות בעיתי לבקש דבר כזה. שים לב שאם הם לא מסובבים את הראש יש סיכוי שעדיין הם רואים את המקלדת.
אני מודע מאוד למסתכלי מקלדות כשאני עושה login. הפיתרון (המעפן) שלי הוא לקרב את המקלדת אלי ככול האפשר, לרכון עליה ולהקליד במהירות.
היה לי פעם רעיון לסטארט-אפ.
ברדס מקלדת; יריעת ברזנט שחורה, עבה (סיכוך קולות) ושזורה בגידי אלומיניום (סיכוך אותות אלקטרונים) שנשלפת מהחלק העליון של המקלדת וניתן לכסות איתה את המקלדת ואת כל הפלג גוף העליון של המקליד.
משום מה אף אחד לא השתכנע.
הבחור שאתה מציג את מאמרו טועה ובגדול.
נכון – וגם אתה טענת כך – שרוב העבודה נעשית מהבית בלי אף אחד מאחורי הכתף, אבל מספיק פעם בשבוע שכן יושב לידך מישהו ומביט עליך עושה לוגין בשביל להפוך את עניין המיסוך לכדאי.
לגבי הדוגמה שלו להעתקת סיסמה, גם אם היא ממוסכת – להביט במקלדת ולזכור את המקשים שנלחצו – אני מזין אותו לבוא ולהסתכל עלי כשאני מקליד את הסיסמה שלי – חוץ ממקש האנטר הוא לא יקלוט כלום. בדקתי את זה כבר כמה פעמים על אנשים שונים – לא הצלחתי לראות כלום.
ולגבי ההצעה לשים צ'קבוקס ליד שדה הסיסמה… ובכן, באת להקל ויצאת מקלקל.
הרבה פחות נוח לדעתי.
עדיף להתאמץ קצת בשביל להגן על הפרטיות שלנו שגם ככה נמצאת בסכנה כל הזמן.
גל, אני מסכים שהתוצאה של הוספת checkbox בודאי שתהיה פחות יפה אבל גם יותר נוחה לשימוש משדות הסיסמא הנוכחיים. מה הסיבה שאתה צריך להקיש סיסמא פעמיים כשאתה רוצה לשנות אותה? כי אתה אף פעם לא יכול לראות מה אתה באמת מקיש, ואני מאוד מקווה שאף אחד לא מחליף סיסמאות במקום פומבי.
מעבר לזה הדעה האישית שלי היא שברוב המקרים המיסוך הוא אמצעי פסיכולוגי שמסתיר עד כמה שהסיסמאות שלנו גלויות כשהן עוברות ברשת ובזכותו/בגללו אנחנו מוכנים להשתמש בסיסמא במקומות שבהן פשוט אסור.
נניח שיש לך בלוג ואתה כותב בבלוג כשאתה יושב בבית קפה. האם הבלוג שלך משתמש בSSL? כי אם לא אז ברגע ששלחת את הסיסמא שלך בשביל להכנס לבלוג כל מי שמחובר לרשת של הבית קפה יכל היה לראות אותה.
אבל נניח שכן יש לך SSL בבלוג – האם הסיסמא שלך עכשיו בטוחה בבית קפה? גם לא, מאחר שמי שמפעיל את הרשת האלחוטית יכול לנהל מתקפה שמבוססת על "הרעלת DNS" כנגד הדומיין של הבלוג שלך. נכון שלא סביר להניח שמישהו ירצה לתקוף את הבלוג שלך, אבל דברים כמו גימייל ואתרים של הבנקים הם מטרות מאוד קורצות.
בשביל להשתמש בסיסמא אתה צריך להיות בטוח שכל הנתיב עד השרת מוגן ואף אחד לא יכול להאזין לו, או לחילופין שהסיסמא אינה וידוי ההרשאה היחידי. לדעתי למשל כרגע כל החשבונות בבנקים הישראלים פרוצים ורק מחכים שמישהו מתוחכם יצליח להוסיף רכיב האזנה לסיסמאות באחד הISP בשביל שמישהו יתעורר ויבין שסיסמא שעוברת על רשת לא מאובטחת לא יכולה להיות מנגנון הגנה מספק.
דרך אגב, היתי לפני שבוע בכנס אבטחה בו הראו כלי אשר מציג את כל הסיסמאות שמתחבאות תחת הכוכביות.
נדמה לי שבשועל אתה יכול להגן על כל המנגנון של הסיסמאות עם סיסמא ראשית, דבר שבטח יהפוך את האחזור שלהן ליותר קשה. ועדיין, אם מישהו מספיק קרוב הוא בטח יכול גם לראות את המקלדת שלך.
מאחר שאני משתמש במחשב בעיקר בבית שלי אני לא רואה כמעט שום ערך בסיסמאות וזה לפעמים מטריף אותי כשאני לא מצליח להכנס לאתר/FTP ולא יכול לדעת אם זה בגלל שהקשתי סיסמא לא נכונה.
במהלך העבודה שלי יוצא לי לא פעם (לפחות 3 פעמים בשבוע שעבר) להקליד סיסמאות שונות בנוכחות של אנשים אחרים. בדרך כלל כאשר אני צריךלגשת למערכות מסויימות מהמחשב שלהם דרך הרשאות אחרות.
ובמקרה של מערכת production ולקוח עצבני אז אני מוצא את עצמי מול חלון login ומאחורי נמצאים עוד 3-4 זוגות עיניים.
ומה אני אמור לעשות עכשיו? להסתובב ולבקש מכולם להפנות את העיניים שלהם למקום אחר?
הפיתרון שנילסן הציע אינו לבטל לגמרי את מיסוך הסיסמאות, אלא להוסיף checkbox ליד התיבה בה מכניסים את הסיסמא שדרכו המשתמש יוכל להחליט האם הוא מעונין במיסוך. אצלי רוב העבודה נעשית בבית ואם מישהו התקין מצלמה שמצלמת את המסך באותה מידה הוא יכל לשים אותה בזוית בה היא תקלוט גם את המקלדת.
וכן, אני מבקש שאנשים יסובבו את הראש, למרות שאני מסכים שזה יכול להיות בעיתי לבקש דבר כזה. שים לב שאם הם לא מסובבים את הראש יש סיכוי שעדיין הם רואים את המקלדת.
אני מודע מאוד למסתכלי מקלדות כשאני עושה login. הפיתרון (המעפן) שלי הוא לקרב את המקלדת אלי ככול האפשר, לרכון עליה ולהקליד במהירות.
היה לי פעם רעיון לסטארט-אפ.
ברדס מקלדת; יריעת ברזנט שחורה, עבה (סיכוך קולות) ושזורה בגידי אלומיניום (סיכוך אותות אלקטרונים) שנשלפת מהחלק העליון של המקלדת וניתן לכסות איתה את המקלדת ואת כל הפלג גוף העליון של המקליד.
משום מה אף אחד לא השתכנע.
זה כי כבר יש מכשיר דומה שסטיב גובס משתמש בו. נדמה לי שקוראים לו מכשיר עיוות המציאות, ומשתמשים בו המון בתצוגות של אפל….
הבחור שאתה מציג את מאמרו טועה ובגדול.
נכון – וגם אתה טענת כך – שרוב העבודה נעשית מהבית בלי אף אחד מאחורי הכתף, אבל מספיק פעם בשבוע שכן יושב לידך מישהו ומביט עליך עושה לוגין בשביל להפוך את עניין המיסוך לכדאי.
לגבי הדוגמה שלו להעתקת סיסמה, גם אם היא ממוסכת – להביט במקלדת ולזכור את המקשים שנלחצו – אני מזין אותו לבוא ולהסתכל עלי כשאני מקליד את הסיסמה שלי – חוץ ממקש האנטר הוא לא יקלוט כלום. בדקתי את זה כבר כמה פעמים על אנשים שונים – לא הצלחתי לראות כלום.
ולגבי ההצעה לשים צ'קבוקס ליד שדה הסיסמה… ובכן, באת להקל ויצאת מקלקל.
הרבה פחות נוח לדעתי.
עדיף להתאמץ קצת בשביל להגן על הפרטיות שלנו שגם ככה נמצאת בסכנה כל הזמן.
גל, אני מסכים שהתוצאה של הוספת checkbox בודאי שתהיה פחות יפה אבל גם יותר נוחה לשימוש משדות הסיסמא הנוכחיים. מה הסיבה שאתה צריך להקיש סיסמא פעמיים כשאתה רוצה לשנות אותה? כי אתה אף פעם לא יכול לראות מה אתה באמת מקיש, ואני מאוד מקווה שאף אחד לא מחליף סיסמאות במקום פומבי.
מעבר לזה הדעה האישית שלי היא שברוב המקרים המיסוך הוא אמצעי פסיכולוגי שמסתיר עד כמה שהסיסמאות שלנו גלויות כשהן עוברות ברשת ובזכותו/בגללו אנחנו מוכנים להשתמש בסיסמא במקומות שבהן פשוט אסור.
נניח שיש לך בלוג ואתה כותב בבלוג כשאתה יושב בבית קפה. האם הבלוג שלך משתמש בSSL? כי אם לא אז ברגע ששלחת את הסיסמא שלך בשביל להכנס לבלוג כל מי שמחובר לרשת של הבית קפה יכל היה לראות אותה.
אבל נניח שכן יש לך SSL בבלוג – האם הסיסמא שלך עכשיו בטוחה בבית קפה? גם לא, מאחר שמי שמפעיל את הרשת האלחוטית יכול לנהל מתקפה שמבוססת על "הרעלת DNS" כנגד הדומיין של הבלוג שלך. נכון שלא סביר להניח שמישהו ירצה לתקוף את הבלוג שלך, אבל דברים כמו גימייל ואתרים של הבנקים הם מטרות מאוד קורצות.
בשביל להשתמש בסיסמא אתה צריך להיות בטוח שכל הנתיב עד השרת מוגן ואף אחד לא יכול להאזין לו, או לחילופין שהסיסמא אינה וידוי ההרשאה היחידי. לדעתי למשל כרגע כל החשבונות בבנקים הישראלים פרוצים ורק מחכים שמישהו מתוחכם יצליח להוסיף רכיב האזנה לסיסמאות באחד הISP בשביל שמישהו יתעורר ויבין שסיסמא שעוברת על רשת לא מאובטחת לא יכולה להיות מנגנון הגנה מספק.