לדף הכניסה של ישרא-בלוג
לדף הראשי של nana10
לחצו לחיפוש
חפש שם בלוג/בלוגר
חפש בכל הבלוגים
חפש בבלוג זה
 

יומן אבטחה

בלוג אבטחת מידע. עדכונים, עניינים, חדשות ופרסומים. הכל מכל בכל בנושא אבטחת מידע. ופרטיות.

מלאו כאן את כתובת האימייל
שלכם ותקבלו עדכון בכל פעם שיעודכן הבלוג שלי:

הצטרף כמנוי
בטל מנוי
שלח

RSS: לקטעים  לתגובות 
ארכיון:


2/2008

מדיניות הסיסמאות של בנק דיסקונט


גיא מזרחי פתח בבלוג שלו דיון בנושא מדיניות הסיסמאות של בנק דיסקונט באתר האינטרנט שלהם. כעקרון מדיניות הסיסמאות מחייבת סיסמא בת שישה תווים, לא פחות לא יותר. תווים אלו אינם יכולים להיות case sensitive ואינם יכולים להיות תווים מיוחדים. על פניו זו מדיניות סיסמאות גרועה כיוון שהיא מצמצמת את מרחב הסיסמאות האפשרי ובכך מקלה על ניחוש סיסמאות של משתמשים. עלו מספר טענות בבלוג של גיא ובתגובות - רמת אבטחה נמוכה יותר מהסיבה שציינתי, אפשרות לביצוע DoS על משתמשים והטענה כי אין קשר בין מדיניות נעילת משתמשים ומדיניות סיסמאות.
מספר הערות:
  1. אתחיל מההערה האחרונה לפיה אין ולא צריך להיות קשר בין מדיניות סיסמאות למדיניות נעילה ואחד לא יכול לכפר על השני. את טענה זו אני לא מקבל (בלשון המעטה). מדיניות אבטחה צריכה להשקל כמכלול. אם אנו מתעלמים ממדיניות נעילת משתמשים, גם סיסמאות של 8 תווים אינן ארוכות דיין בהכרח. אלא שמדיניות נעילת משתמשים היא זו שהופכת את סיסמת כרטיס האשראי שלנו למאובטחת יחסית (הכרטיס נבלע לאחר 3-5 נסיונות), למרות שמדובר בספרות בלבד ורק בארבע כאלה. בוודאות מדיניות נעילת משתמשים יכולה לפצות על מדיניות סיסמאות חלשה ולמעשה ברוב המקרים המלצתי תהיה לעשות בדיוק זאת. אני מעדיף נעילת משתמשים וסיסמא ארוכה על פני דרישה לסיסמא מורכבת, למרות שמדיניות סיסמאות שכזו לכאורה מחלישה את רמת הסיסמאות במערכת.
  2. בפועל, על מנת להעריך את מדיניות הסיסמאות של הבנק מבחינה מעשית עלינו לבחון את ההתנהלות בפועל של משתמשים בבחירת סיסמאות. כפי שמתברר מעת לעת במערכות צופן קלוקלות, העובדה שמרחב המפתחות האפשרי עצום אינה משליכה בהכרח על המימוש בפועל. הטענה הסמויה כי סיסמאות של משתמשים שמאפשרים להם לבחור סיסמאות באורך בלתי מוגבל ובעלי אפשרויות מורכבות חזקות יותר בפועל (לא בפוטנציה) מהסיסמאות של משתמשי דיסקונט היא טענה שאני לא מכיר לה סימוכין במחקרים (ואשמח לקבל כאלה סימוכין). בהחלט ייתכן שמשתמשים של מערכות סיסמאות עם דרישות מורכבות ייבחרו כולם באותו מבחר סיסמאות: Q1w2e3, Q1a1z1 וכדומה. אני מעריך שהנטיה הבסיסית של משתמשים היא לבחור בסיסמאות נוחות, כנראה רצפים מסוגים שונים.
  3. על מנת להעריך את חוזק מערך ההזדהות (להבדיל מחוזק מדיניות הסיסמאות שהוגדרה) של הבנק חסרים נתונים אודות גיל סיסמא נדרש, גיל מינימאלי, הסטוריה של סיסמאות ופתרונות נוספים (כמו מעקב סטטיסטי אחר שימוש בחשבון). אני לא אוהב את הכיוון של דיסקונט, אך קשה לטעון שהוא פתוח לפריצה.
  4. אני מעריך שאילוצים אלה נובעים ממגבלות טכנולוגיות ולא ממדיניות אבטחה ואני תוהה מה המשמעות של אמירה זו (במידה והיא נכונה).
  5. לגבי טענת ה-DoS - ציין ניב בתגובות שניתן לנעול משתמשים בכל מדיניות סיסמאות ובכך הוא צודק. זו טענה חסרת שחר.
  6. גיא מציין כי ניתן לנעול כמות רבה של משתמשים ולנצל את העומס על המוקד להנדסה חברתית - זו טענה שעשויה להיות נכונה, אך ישנן דרכים לצמצם חשיפה זו (כמו לצמצם את שיקול הדעת של המוקד הטלפוני בזיהוי לקוח לפרוצדורות מוגדרות). זו בדיוק הסיבה בגללה מערכי אבטחה בארגון צריכים להיבחן כמכלול תוך ביצוע ניתוח סיכונים שיטתי ולא בצורה נקודתית-טכנית.
סך הכל זו בהחלט נראית לי החלטה שגויה של בנק דיסקונט, אך אני לא בטוח עד כמה היא הופכת את השער הזה לפרוץ. אני חושב שישנן דרכים טובות יותר לפרוץ מאשר לנסות לנחש את סיסמאות המשתמשים אפילו בהנתן מערך סיסמאות זה. שימוש בטרויאנים לדוגמא נראה לי יותר אפקטיבי ואדיש לחלוטין למדיניות הסיסמאות.
נכתב על ידי , 26/2/2008 08:26   בקטגוריות אבטחת מידע כללי, הנדסה חברתית, Phishing ו-Pharming  
4 תגובות   הצג תגובות    הוסף תגובה   הוסף הפניה   קישור ישיר   שתף   המלץ   הצע ציטוט


כינוי: 

גיל: 49




65,157
הבלוג משוייך לקטגוריות: אינטרנט
© הזכויות לתכנים בעמוד זה שייכות לעומר טרן אלא אם צויין אחרת
האחריות לתכנים בעמוד זה חלה על עומר טרן ועליו/ה בלבד
כל הזכויות שמורות 2024 © עמותת ישראבלוג (ע"ר)