מאמרים אחרונים

שתף בפייסבוק שיתוף בפייסבוק
RSS - מאמריםמאמרים
RSS - פורומיםפורומים
דווח למנהל דיווח למנהל
קישור לעמוד זה קישור לעמוד זה
עוד בקבוצת HT



איך מנהלים סיסמאות?


עמוד 3 מתוך 4
עבור לעמוד הקודם  |  1  |  2  |  3  |  4  |  הבא 
   פורומים > HTPC ומחשוב > אינטרנט - ספקים, תשתית, סיבים fiber
מחבר הודעה
שלגון (שלולילולילולילולי לוליות)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 09, 2005
הבעות תודה: 340
מספר הודעות: 2118

 #31  נשלח: שבת 07/12/2013 22:28

ValorHeart כתב:
אני לא גורר אותך לשום מקום, לא רוצה אל תגיב ואל תענה.

צודק. אתה לא גורר אותי - אני נגרר.

ValorHeart כתב:
בשביל שמישהוא ירצה למצוא את הסיסמאות שלך הוא יצטרך לאתר איפה אתה שומר את קובץ הסיסמאות המוצפן שלך, אתה לא חייב לסנכרן בDROPBOX, זאת אופציה בלבד.

אם אתה משתמש בשירות אשר ידוע שכל הסיסמאות של כל המשתמשים נמצאים בענן מסויים יהיה הרבה יותר קל לאתר אותך במידה והוא נפרץ, ושם אין לך ברירה, אם תראה ואם לא תרצה הסיסמאות שלך נמצאות בענן.

אתה מתאר מימוש נאיבי: כשהשם שלי מופיע בצורה גלויה. אם השם שלי, שזה האינדקס בעזרתו שולפים את הקובץ המוצפן של הסיסמאות מופיע כמו שהוא (plain text) אתה צודק. אבל זה מימוש נאיבי. אני בטוח שלא נשלח השם שלי אלא hash של השם שלי והוא המפתח בעזרתו שולפים את הקובץ. מי שרוצה לחפש אותי באופן ספציפי - שיהיה לו בהצלחה.
ואני חוזר ואומר בפעם השלישית או הרביעית. הסטנדרטים של ההצפנה שעושים בהם שימוש: יקח נ-צ-ח בשביל לפצח אותם. גם אם למישהוא יהיה את הקובץ. זאת הסיבה היחידה ש- 1Passowrd בעצמם ממליצים על שירות כמו dropbox.
יהיה יותר קשה להגיע לקובץ הסיסמאות שלי שנמצא על השרתים של LastPass מאשר לפרוץ לי לרשת הביתית, וגם אם חו"ח זה יקרה אני אדע על זה קודם כי הם מנתרים את המערכות שלהם באופן קבוע, להבדיל ממני.

_________________
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...
| פרופיל | שלח הודעה | חפש
ValorHeart
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Mar 15, 2012
הבעות תודה: 67
מספר הודעות: 1252

 #32  נשלח: שבת 07/12/2013 22:32

אוקיי, מסכים איתך, שיהיה שבוע נפלא.
| פרופיל | שלח הודעה | חפש
שלגון (שלולילולילולילולי לוליות)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 09, 2005
הבעות תודה: 340
מספר הודעות: 2118

 #33  נשלח: שבת 07/12/2013 22:40

Shed כתב:
מבחינתי, לשים את קובץ הסיסמאות בענן זה כמו לשים את המפתחות של הבית אצל כל השכנים ברחוב - אם פורצים לאחד מהם - פורצים גם אלי הביתה.
רבותי - כמו שאתם לא משאירים את המפתחות של הבית והאוטו בכל מקום ("רק כדי שיהיה לכם נוח במידה ותזדקקו להם") כך לא עושים עם הסיסמאות שלכם.


"מבחינתי" - עם זה אני לא יכול להתווכח. אבל האנלוגיה שלך פשוט לא נכונה. עם המפתח הפיזי לבית כל אחד שמחזיק בו יכול לפתוח את הבית. עם הקובץ המוצפן, צריך עוצמת מחשוב שיש לארגונים כמו ה- NSA בשביל לפצח אותו בפרק זמן של שנים או חודשים.

Shed כתב:
הערה אחרונה: אם אני שם יד על קובץ מוצפן (בין אם זה AES128 או AES256 זה רק עניין של זמן עד שאני אוכל לקרוא את התוכן שלו. באמצעים "פרימיטיביים" זה יכול לקחת שבועות, באמצעים מתוחכמים יותר זה עניין של ימים, באמצעים מתוחכמים מאוד זה עניין של דקות עד שעות.

באמצעים פרימיטיביים? מה, brute force? שבועות!? באמצעים מתוחכמים עניין של דקות? ידידי, תראה לי מקום אחד שטוענים שאפשר לעשות את אתה שאתה טוען פה לגבי AES-256. זאת הסיבה שכתבתי שאין לך מושג - כי אין לך מושג.
בא תקרא קצת פה: http://en.wikipedia.org/wiki/Advanced_Encryption_S...

_________________
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...
| פרופיל | שלח הודעה | חפש
baloon
חבר פעיל
חבר פעיל

הצטרף בתאריך:
  Feb 24, 2013
הבעות תודה: 2
מספר הודעות: 82

 #34  נשלח: שבת 07/12/2013 23:16

חברים, בואו נסגור את המחלוקת בכך שהמוח האנושי הוא המקום הטוב ביותר לאחסן את הסיסמאות וכל דבר אחר, לא צריך שום תוכנה. לי יש כמה סרטי HD 1080P במוח.....

נ.ב לא צריך להשתגע.. סה"כ כמה סיסמאות פורנו...


נערך בפעם אחרונה על-ידי baloon בתאריך שבת 07/12/2013 23:52, נערך סך הכל פעם אחת
| פרופיל | שלח הודעה | חפש
shlomiassaf
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 21, 2005

מיקום: חיפה והקריות
הבעות תודה: 72
מספר הודעות: 1444

 #35  נשלח: שבת 07/12/2013 23:48

אני חושב שהדיון על ההצפנות ממש לא רלוונטי...

כמה עובדות פשוטות...
לא קיים קובץ "לא פריץ".
שהקובץ שלכם בענן הוא חשוף הרבה יותר מאשר הוא מאוחסן במחשב שלכם.
חברת אחסון ענן מאובטחת בכמה רמות יותר מהמחשב שלכם.
האקר חביב יכול באמצעות הפעלת מספר "זומבים" במקביל לפרוץ את ההצפנה שלכם... הזמן שלו יורד לינארית או לוגריתמית... בלי בעיות.


ועכשיו קצת דעות...
רוב הסיכויים שאף אחד לא יתעניין בקובץ שלכם וישקיע את המאמצים בלפרוץ אותו.
אין הרבה אנשים בעולם שיודעים לפרוץ AES במהירות ריאלית.
אין להם גם מחשב קוונאטום...

ובקיצור.. ענן או פרטי עניין של העדפות.
ענן הרבה יותר נוח והכל תלוי בסיכון מול התועלת... אין כן יותר/פחות טוב.

_________________
כיצד לבנות NAS ביתי
| פרופיל | שלח הודעה | חפש
baloon
חבר פעיל
חבר פעיל

הצטרף בתאריך:
  Feb 24, 2013
הבעות תודה: 2
מספר הודעות: 82

 #36  נשלח: שבת 07/12/2013 23:54

שלומי, תגובה עניינית מאוד, נהנתי.
(1) הבעות תודה: shlomiassaf
| פרופיל | שלח הודעה | חפש
shlomiassaf
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 21, 2005

מיקום: חיפה והקריות
הבעות תודה: 72
מספר הודעות: 1444

 #37  נשלח: א' 08/12/2013 0:01

שלגון,
יש היום הערכות רבות שקיימים מליוני מחשבים עם TROJANS שמשמשים כזומבים...
ו
אללה, אפילו שלי ושלך יכולים להיות כאלה ואנחנו לא יודעים... ולא זה לא משנה איזה פיירוול תוכנתי יש לך... כל עוד אין לך ניטור חומרה חיצוני אתה אף פעם לא יכול להיות בטוח.


אז תחשוב באמצעות כל הכוח מחשוב הזה... אפשר לצמצם משמעותית את הפעולה.

_________________
כיצד לבנות NAS ביתי
| פרופיל | שלח הודעה | חפש
nati777 (נתנאל)
חבר פעיל מאוד
חבר פעיל מאוד

הצטרף בתאריך:
  Oct 18, 2013

מיקום: קריית גת
הבעות תודה: 4
מספר הודעות: 181

 #38  נשלח: א' 08/12/2013 0:08

הכי טוב לכתוב את כל הסיסמאות על דף ולשמור במקום בטוח בבית.
| פרופיל | שלח הודעה | חפש
שלגון (שלולילולילולילולי לוליות)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 09, 2005
הבעות תודה: 340
מספר הודעות: 2118

 #39  נשלח: א' 08/12/2013 1:04

שלומי, אנחנו מדברים על סדרי גודל כאלה של מספרים שגם עם מיליוני מחשבים הקבצים האלה לא יפוצחו בתקופת החיים שלנו.
תראה פה: http://www.eetimes.com/document.asp?doc_id=1279619
וגם פה: http://blog.agilebits.com/2013/03/09/guess-why-wer...

_________________
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...
| פרופיל | שלח הודעה | חפש
Shed
גורו HTPC
גורו HTPC

הצטרף בתאריך:
  Apr 25, 2007
הבעות תודה: 135
מספר הודעות: 2854

 #40  נשלח: א' 08/12/2013 6:24

שלגון כתב:
Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.


יכול להיות שיאן לי מושג, ויכול להיות שיש לי. מהצד שלך של המקלדת אתה בטוח לא יכול לדעת בוודאות. כלל בסיסי באבטחת מידע אומר שברגע שיש לי גישה פיזית למידע - המשחק נגמר. אם הגעתי פיזית לשרת שלך - זה כבר לא משנה מה שמת עליו, המידע, בסופו של דבר, יהיה שלי. אותו כנ"ל לגבי הקובץ שלך.

לאורך כל ההודעות שלך את חושב על brute force שנעשה על ידי cpus. ישנן דרכים מתוחכמות יותר: למשל: הרצת החישובים על ידי gpus אשר מבצעים את הפעולות המתמטיות הספציפיות האלה בסדרי גודל מהר יותר מאשר cpu. תוסיף לזה את העובדה שיש לך היום כח מחשוב זול וזמין (EC2 של אמזון, CE של גוגל) ותראה שהעסק כבר מעניין יותר. כל מה שתוקף צריך לעשות זה להשקיע כמו מאות / אלפי דולרים וזה הכל.
הנה דוגמא לסטודנט, שניסה להרוויח כמה נקודות בקורס והצליח להגיע לקצב של כ2.3 מיליארד MD5 Hash בשניה. http://du.nham.ca/blog/posts/2013/03/08/password-cracking-on-amazon-ec2/

דרכים מתוחכמות מאוד כוללות כבר חומרה ייעודית (DSPים שנבנו ותוכננו מראש לדברים כאלה) וכאן כבר מדובר על סדרי גודל אחרים לגמרי של זמנים. בעבר - הטכנולוגיה הזו היתה נגישה רק לממשלות. היום אפשר לרכוש רכיבים כאלה בסכום של כמה מאות אלפי דולרים בשווקים כאלה ואחרים.

_________________
You are never fully dressed without a smile
| פרופיל | שלח הודעה | חפש
שלגון (שלולילולילולילולי לוליות)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 09, 2005
הבעות תודה: 340
מספר הודעות: 2118

 #41  נשלח: א' 08/12/2013 12:01

Shed כתב:
שלגון כתב:
Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.


יכול להיות שיאן לי מושג, ויכול להיות שיש לי. מהצד שלך של המקלדת אתה בטוח לא יכול לדעת בוודאות.

והנה אתה חוטא במה שאתה מאשים אותי בו. לי, לפחות, יש סיבה טובה לחשוב את זה כי הדברים שכתבת רחוקים מהאמת.

Shed כתב:
כלל בסיסי באבטחת מידע אומר שברגע שיש לי גישה פיזית למידע - המשחק נגמר. אם הגעתי פיזית לשרת שלך - זה כבר לא משנה מה שמת עליו, המידע, בסופו של דבר, יהיה שלי. אותו כנ"ל לגבי הקובץ שלך.

באבטחת מידע - יכול להיות. בהצפנה? זאת בדיוק הנחת המוצא. מה אם למישהוא יש את הקובץ. איך אני מבטיח שהוא לא יוכל לאמר דבר וחצי דבר על המידע המקודד (אני אחסוך ממך את הניסוח הפורמלי, ההיסתברותי, של ההגדרה). ותלוי בשימוש, יכולות להיות דרישות נוספות כמו: איך אני יכול לגלות אם מישהוא שינה לי את הקובץ.

והנה, בלי שאני מכיר אותך, אני לומד שאתה לא מבין בכלל במה הצפנה עוסקת.

Shed כתב:
לאורך כל ההודעות שלך את חושב על brute force שנעשה על ידי cpus. ישנן דרכים מתוחכמות יותר: למשל: הרצת החישובים על ידי gpus אשר מבצעים את הפעולות המתמטיות הספציפיות האלה בסדרי גודל מהר יותר מאשר cpu. תוסיף לזה את העובדה שיש לך היום כח מחשוב זול וזמין (EC2 של אמזון, CE של גוגל) ותראה שהעסק כבר מעניין יותר. כל מה שתוקף צריך לעשות זה להשקיע כמו מאות / אלפי דולרים וזה הכל.
הנה דוגמא לסטודנט, שניסה להרוויח כמה נקודות בקורס והצליח להגיע לקצב של כ2.3 מיליארד MD5 Hash בשניה. http://du.nham.ca/blog/posts/2013/03/08/password-cracking-on-amazon-ec2/

דרכים מתוחכמות מאוד כוללות כבר חומרה ייעודית (DSPים שנבנו ותוכננו מראש לדברים כאלה) וכאן כבר מדובר על סדרי גודל אחרים לגמרי של זמנים. בעבר - הטכנולוגיה הזו היתה נגישה רק לממשלות. היום אפשר לרכוש רכיבים כאלה בסכום של כמה מאות אלפי דולרים בשווקים כאלה ואחרים.


אלה הדוגמאות שמצאתי בזריזות באינטרנט. מהצד שלך של המקלדת אתה לא יודע שעבדתי בסביבת Embedded וניהלתי צוות של מפתחי DSP. את הנושא של מעבדי ASIC יעודיים ו FPGA אני מכיר גם מכיר ואפילו יש לי ניסיון מועט, hands on, בעבודה עם CUDA של Nvidia.
מה שאתה לא מבין זה באיזה סדרי גודל של מספרים מדובר: נאמר שלבחור היה מקבל עוד עזרה ומגיע ל- 10 מיליארד Hash/sec. ונגיד שיש לו דוד עשיר וקרימינל שראה פה פוטנציאל וקנה לו טריליון מכונות כאלה (ותחנת כוח פרטית)
עכשיו בוא נעשה חישוב קצר:
קוד:
2^256/(10^10*10^12) = 10^55 seconds, which is about 3*10^47 years	

ועכשיו, בוא נחזור ל"כלל הבסיסי" שציינת.

והנה עוד סיבה לחשוב שאין לך מושג בעניין: אין לך תחושה על איזה סדרי גודל של מספרים אנחנו מדברים. אני לא מכיר קורס של הצפנה שלא לוקחים איזו דוגמא מספרית כזאת כדי לתרגם את המספרים העצומים האלה למונחי אנוש כמו זמן.

אז אחרי כל זה, אני עדיין לא יכול לדעת בוודאות אם יש או אין לך מושג?

_________________
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...
| פרופיל | שלח הודעה | חפש
ziv_r (זיו)
חבר במועדון 10K
חבר במועדון 10K


הצטרף בתאריך:
  Jan 05, 2005
הבעות תודה: 3906
מספר הודעות: 37855

 #42  נשלח: א' 08/12/2013 13:02

זה יופי של דיון, רק השתדלו לדבר פחות לגופו של אדם, זה לא במקום.
| פרופיל | שלח הודעה | חפש
wallalon
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 14, 2009

מיקום: מרכז
הבעות תודה: 188
מספר הודעות: 1899

 #43  נשלח: א' 08/12/2013 13:53

ziv_r כתב:
זה יופי של דיון, רק השתדלו לדבר פחות לגופו של אדם, זה לא במקום.


בדיוק מה שחשבתי. מאוד מעניין.

שלגון- אילו יישומים שאני מכיר מוצפנים באופן שרשמת ? (256)
| פרופיל | שלח הודעה | חפש
שלגון (שלולילולילולילולי לוליות)
חבר ותיק
חבר ותיק

הצטרף בתאריך:
  Nov 09, 2005
הבעות תודה: 340
מספר הודעות: 2118

 #44  נשלח: א' 08/12/2013 13:54

ziv_r כתב:
זה יופי של דיון, רק השתדלו לדבר פחות לגופו של אדם, זה לא במקום.

צודק. עם זה אני לא מתווכח. להגנתי אני רוצה לטעון שאין לי בכלל בעיה עם אנשים ששואלים שאלות ושרוצים ללמוד. להיפך - כן יירבו. אבל כשאנשים קובעים עובדות שגויות, טועים ומטעים, ועוד בטון סמכותי של יודעי דבר, ובעניין שאני יודע עליו איזה דבר או שניים: I call bullshit.

_________________
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...


נערך בפעם אחרונה על-ידי שלגון בתאריך א' 08/12/2013 14:17, נערך סך הכל פעם אחת
| פרופיל | שלח הודעה | חפש
zork17
חבר פעיל במיוחד
חבר פעיל במיוחד

הצטרף בתאריך:
  Mar 09, 2005
הבעות תודה: 31
מספר הודעות: 795

 #45  נשלח: א' 08/12/2013 13:57

אני משתמש ב dashlane. מאד מומלצת.
יש להם את כל מה שצריך. הגרסה בתשלום (חשבון פרימיום) כוללת סינכרון בין כל הקליינטים - בעבר היתה אפשרות להזמין חברים כדי לקבל חשבון פרימיום.
| פרופיל | שלח הודעה | חפש
כל הזמנים הם שעון חורף - ישראל (GMT+2) הצג הודעות קודמות:    
פורומים > אינטרנט - ספקים, תשתית, סיבים fiber עבור לעמוד הקודם  |  1  |  2  |  3  |  4  |  הבא 


  
    שם משתמש:
נתוני כניסה לכל אתרי HT:

  סיסמא:
 

  


 | 

קפוץ אל: 
לא ניתן לשלוח הודעות בפורום זה
לא ניתן להגיב להודעות בפורום זה
לא ניתן לערוך את הודעותיך בפורום זה
לא ניתן למחוק את הודעותיך בפורום זה
לא ניתן להצביע לסקרים בפורום זה
לא ניתן לצרף קבצים בפורום זה
לא ניתן להוריד קבצים בפורום זה

תקנון / תנאי השימוש באתר צור קשר / contact us כל הזכויות שמורות לקבוצת ht