⬅ חזרה לאינדקס

מבחינת אבטחת מידע עדיפה סיסמה או שלא תהיה סיסמה?

🕒 פורסם בתאריך: 23/06/2022 18:50
הכותרת לא מספיק ארוכה. כעת אסביר בבקשה:



באתר של ישראכרט ניתן להתחבר בכל פעם עם ספרות האשראי+מספר זהות. מקבלים קוד לנייד - מחוברים.



יש אפשרות גם ליצור סיסמה קבועה ולהתחבר עם הסיסמה.



מבחינת אבטחת מידע מה עדיף? אני מניח שהיוזר הוא התז שלי. (כי על תז אחד יכולים להיות כמה כרטיסי אשראי)



עדיף שליוזר לא תהיה סיסמה וכך אף פעם אי אפשר לפרוץ לו - כל עוד אין לפורץ את הנייד שלי? (כי אם אין סיסמה אז מתחברים באמצעות קוד לנייד)



או להפך אם אין סיסמה אז המערכת עושה סיסמת ברירת מחדל?



כן אולי הניסוח קצת לא הכי משהו. אבל מקווה שהשאלה ברורה?



מה עדיף באתרים שמאפשרים לך לבחור סיסמה קבועה. לבחור או להמשיך להתחבר באמצעות פרט מזהה וקוד לנייד?
🕒 פורסם בתאריך: 23/06/2022 19:00
גם ככה יש תמיד את האפשרות להתחבר בלי ססמה, אז הססמה לא יכולה לעזור.

זה לא מדויק. בשווקים אחרים יש בעיה של ניוד לסים אחר רק בשביל לקבל את הססמה החד-פעמית כדי להשתלט על חשבונות. אפשר גם להערים על מי שמקבל את הססמה בכל מיני סוגי הונאות, כגון התחזות לנציג חברת האשראי שרוצה לברר לגבי עסקה שזה עתה בוצעה.
🕒 פורסם בתאריך: 23/06/2022 20:15
אז עשיתי טעות שיצרתי סיסמה?



עד היום, שנים, שהייתי מתחבר פשוט בהקשת ת.ז. כמה ספרות מהאשראי - מקבל קוד לנייד > מחובר.



עכשיו אמרתי לעצמי - אין לך סיסמה. לך תדע? אולי המערכת יוצרת סיסמה ברירת מחדל (למורשים בלבד, עובדים פנימים נניח)



כל עוד לא יצרת - ואתה סתם חשוף? בעצם אם אני יוצר אני סוג של דורס את הברירת מחדל (או שסתם, ואין דבר כזה בכלל?)



וחשבתי שעצם זה שיצרתי סיסמה - זה הוסיף איזו שכבה לאבטחה.



בקיצור, אני מבין שלא עשיתי שום דבר טוב? היה עדיף להשאיר את המצב כפי שהוא? שבמערכת אין סיסמה



בעצם עכשיו יש במסד נתונים קובץ סיסמה שלי. מה שלפני לא היה, נכון? זה פשוט סותר את כל ההיגיון שלי



ההיגיון שלי עדיין חושב שעדיף שתהיה סיסמה, גם אם אמשיך להתחבר באמצעות "קוד לנייד" מאשר שלא תהיה סיסמה



אם יש פה אנשי אבטחת מידע יהיה מעניין לקרוא מה דעתם על זה. איך הגישה שלכם איך אתם מתנהלים באתרים כאלה



שמאפשרים לכם להתחבר ללא סיסמה



תיצרו סיסמה בכל זאת? לא תיצרו?
🕒 פורסם בתאריך: 23/06/2022 20:49
אם זאת אותה ססמה שאתה משתמש בה בעוד אתרים, או שהיא קלה לניחוש, זאת אכן טעות.

אמור להיות לארגון מנגנון אחר עבור עובדים לגשת לחשבון שלך, לכן הם הרבה פעמים מבקשים קוד.

ההגיון אומר שאם האפשרות להתחבר באמצעות קוד לנייד עדיין מאופשרת גם אחרי הגדרת ססמה, אין שום תועלת בהגדרת ססמה מבחינת אבטחה.

אני מייצר ססמה כי יש לי מנהל ססמאות וזה מפשט לי את התהליך, אבל אין לזה יתרון מבחינת אבטחה.
🕒 פורסם בתאריך: 23/06/2022 21:40
אם הם עובדים לפי תקני אבטחה בסיסיים, אסור להם לשמור את הסיסמה שלך אצלם, אלא רק איזשהו hash שלה.