וִידֵאוֹ: ª (אוֹקְטוֹבֶּר 2024)
להיות מאובטח זה לא דבר לפעמים, אלא תהליך מתמשך. אינך מאובטח מכיוון שאתה משתמש בכלי מסוים - אתה מאובטח מכיוון שאתה מיישם הלך רוח אבטחה כל יום.
קח סיסמאות. אתה שומע את התזכורות כל הזמן - אל תשתמש שוב בסיסמאות באתרים, יישומים ושירותים. אל תבחר סיסמאות חלשות. השתמש במנהל סיסמאות כדי שתוכל לבחור סיסמאות סופר מסובכות ולא תצטרך לדאוג לנסות לזכור אותן. הפעל אימות דו-גורמי בכל מקום אפשרי. כל אלה הם עצות טובות שיש לזכור ולעקוב אחריהן. מוקדם יותר השבוע לקח חברי ניל רובנקינג את המלצת מנהל הסיסמאות צעד אחד קדימה ואמר כי כניסה לאתרי צד ג 'באמצעות גוגל, פייסבוק, טוויטר או תעודות מדיה חברתיות אחרות מהווה סיכון ביטחוני. אני לא קונה את הטיעון הזה.
ראית על מה אני מדבר. למרות שרוב השירותים דורשים ממך ליצור חשבון מאפס, ישנם אתרים שבהם אתה יכול להתחבר באמצעות אישורי המדיה החברתית שלך. Expedia, למשל, מאפשרת לך להתחבר באמצעות פייסבוק. או Inoreader (קורא ה- RSS שבחרתי), המאפשר לך להתחבר באמצעות Google. זה מאפשר לך לדלג על תהליך יצירת החשבון ופשוט להתחבר באמצעות חשבון שכבר יש לך. נוח, נכון? מאוד. האם זה נושא ביטחוני כמו שאמר ניל בקטע שלו? לא.
בכל פעם שאני רואה אתר שמאפשר לי להיכנס באמצעות חשבון אחר, אני בוחר באפשרות זו. אני לא משתמש בחשבון הפייסבוק שלי כדי להתחבר (סליחה, Expedia), אבל אם יש אפשרות להשתמש בחשבון Google שלי, אני כן עושה זאת. יש לי סיסמא חזקה ומורכבת והפעלתי אימות דו-גורמי. אז חשבון Google שלי בטוח ככל שאני יכול לעשות את זה, ואני סומך על גוגל שתנקוט בצעדים הדרושים כדי לשמור על אבטחת המידע שלי. שום דבר נגד פייסבוק, אבל אני חושב שעשיתי צעדים טובים יותר להגנה על חשבון גוגל שלי מאשר פייסבוק.
האם אני סומך עליך? לא
כשאני מגיע לאתר ואני צריך ליצור חשבון, המחשבה הראשונה שלי היא "האם אני סומך עליך?" האם אני סומך על האתר כדי לשמור על הנתונים שלי בטוחים? ואני לא מתכוון רק לסיסמאות ומספרי כרטיסי אשראי. האם אני סומך על האתר שביצע את הצעדים הנחוצים להגנה על מספר הטלפון, כתובת הדואר ותאריך הלידה שלי במאגר המידע שלו? בכנות? עבור רוב החברות, לא, אני לא. אבטחת יישומים קשה - רוב המפתחים עדיין לומדים רק שיטות קידוד מאובטחות - וכך גם אבטחת בסיס הנתונים. זו עבודה שמתבצעת, וחברות רבות עדיין אינן קיימות מבחינת אבטחה. מכיוון שאיני יכול להסתובב בשאלות של חברות, "האם אני סומך שתשמור על סיסמתך ולא תיגנב על ידי האקרים?" אני לוקח את הדרך הקלה ומניח שאני לא יכול.
זוכר את הפרצת גאוקקר לפני כמה שנים? כל אותם כתובות דוא"ל וסיסמאות שנחשפו מכיוון שמפתחי גאוקר לא נקטו צעדים לאבטחתם כראוי. אני לא אומר שגאוקר טעה - זו חברת מדיה ואף אחד שם לא העלה בדעתו שמישהו ילך אחרי מערכת התגובות של האתר. אבל זה קרה. כצרכן, אני לא מתכוון לנסות וטרינה אילו חברות מספיקות ביטחון כדי לסמוך על היישום שלהן ואילו לא. אני הולך להתמקד במי שעושה את העבודה כמו שצריך.
הדבר החשוב בכניסה עם אישורי גוגל שלי: האתר לא שומר על הסיסמה או מידע אחר. כשאני לוחץ על כפתור Google+, אני מנותב לדף גוגל ואני מאמת כנגד השרתים של גוגל. לאחר מכן גוגל אומרת לאתר שכן, אני מי שאני אומר ושולחת אותי חזרה לאתר. מה שאומר שהמידע שלי נשאר אצל גוגל והאתר פשוט מקבל אסימון שאומר "היא התחברה בהצלחה, תן לה לעבור".
שקול את כל הפרות האתר שראינו בשנתיים האחרונות. ישנם אתרים שאני נרשם אליהם רק כדי לראות איך זה ואז לנטוש אחרי כמה ימים כי זה לא מה שהייתי צריך. אם יצרתי חשבון באתר, המידע שלי נמצא בבסיס הנתונים של אותו אתר. גם לאחר שנטשתי את האתר הזה, החשבון שלי ממשיך להתקיים. (זו הסיבה שאני לא אוהב אתרים שמאפשרים לך למחוק חשבונות, אבל זה סיפור אחר ליום אחר.) זה הרבה מקומות פוטנציאליים לגניבת הנתונים שלי. אם אני משתמש בחשבון Google שלי כדי להתחבר, אין לאתר כל מידע אודותי לגניבה. זה מרגיע. אם אני נוטש את האתר הזה, גוגל מאפשרת לי לבטל את הרשאות החשבון כך שאף אחד אחר לא יכול להיכנס כמוני.
בואו נדבר על ביטול. כל הנקודה של מתן אפשרות לגוגל, פייסבוק וטוויטר לטפל בכניסה פירושה שתוכלו להשתמש בהן גם כדי לחסום גישה. לדוגמה, אני משתמש בגוגל כדי להתחבר ל- Inoreader. נגיד שאני כבר לא רוצה להשתמש ב- Inoreader. אני פשוט נכנס להגדרות חשבון Google שלי ולחץ על "בטל גישה." וזה הכל. זו גם הסיבה שאני משתמש בטוויטר בכניסה לאתרים מסוימים. טוויטר מקל מאוד על ניתוק יישומים לאחר שסיימתי.
המטרה שלי היא שיהיו כמה שפחות מסדי נתונים בעולם המכילים רשומה עם המידע האישי שלי.
דבר נוסף שאני אוהב להיכנס עם גוגל: סיסמאות ספציפיות לחשבון. אני מייצר סיסמא אקראית, שגוגל יודעת כעת שהיא הסיסמה לאתר זה. סיסמא זו פועלת רק עבור אתר זה ואינה נותנת גישה לשום דבר אחר. במקום ליצור סיסמאות דרך מנהל סיסמאות וליצור חשבון חדש לגמרי, אני ממשיך בתהליך עם גוגל. אני משתמש בסיסמה שאינה סיסמת הדוא"ל שלי ואני מדלג על כל התהליך של יצירת החשבון על ידי היצמדות למנגנונים של גוגל. זה די שימושי אם אני נכנס לאפליקציה לנייד, למשל. גוגל עכשיו יודעת לאמת את זהותי, וכמו הכניסה הרגילה, אני פשוט מבטלת את הסיסמה והיישום הזה כבר לא יכול להיכנס.
היצמד למי שאתה סומך עליו
ניל שאל שאלה טובה מאוד: שאלו את עצמכם האם האתר הזה צריך לדעת עליכם משהו. האם האתר אודותיך צריך לדעת את שמך, כתובת הדוא"ל, הכתובת הפיזית ומספר הטלפון שלך, או מידע פרטי אחר כלשהו? אם זה לא, אל תמסור אותו. שמור על זה עם מי שאתה סומך עליו.
אם הסיסמה שלך בפייסבוק היא "סיסמא 1" ומישהו עם כוונה נבזית מגלה זאת, אז כן, אותו אדם יכול להמשיך ולהיכנס לכל אתר אחר שקשרת לחשבונך. אבל במה זה שונה מכפי שבחרת "סיסמא 1" לאתר זה מלכתחילה? אם אתה משתמש בסיסמה שקל לזכור עבור הדוא"ל שלך או אתר המדיה החברתית, סביר להניח שאתה לא משתמש במחרוזת של תווים שקשה לזכור אותם עבור חשבון הדולר הקבוע שלך, נכון? אז זו אותה סיסמא חלשה שזועקת "האק לי!" לא את העובדה שנכנסת לחשבון אחר. ואם מישהו הבין את סיסמת Google שלך, אני לא חושב שהדאגה הגדולה ביותר שלך היא האם אותו אדם יכול כעת להתחבר לחשבונות המקושרים שלך. לא כאשר קל כל כך פשוט לבקש דוא"ל לאיפוס סיסמה.
לאבטחה אין כדור קסם. ניתן להשתמש בכלי נתון לטוב ולרע. הכל איך שאתה ניגש אליו. העדפה שלי היא להישאר מחוץ למאגרי מידע. מה שלך?
