על מה אני מדבר
New member
כולנו כבר יודעים שתפוז הוא אתר לא מאובטח בעליל.
עד לא מזמן סיסמאות המשתמשים נשמרו בצורה לא מוצפנת (plain text) בדטהבייס.
איני יודע אם זה גם המצב היום, אבל גם במקרה שכבר לא, אני משוכנע שהם משתמשים באיזשהו hashing בסיסי, אולי אפילו ללא salt, ובטוח שללא KDF.
התוצאה היא לא רחוקה מלשמור את הסיסמא ב-plain text.
אי לכך החלטתי להחליף את הסיסמא שלי בסיסמא חדשה, אקראית לחלוטין כך שגם אם תיפרץ לא תשליך על חשבונות אחרים שלי בתפוז ובאתרים אחרים (רוב האנשים משתמשים באותה סיסמא או במספר מצומצם של סיסמאות זהות בכל שירותי הרשת שלהם, או לחילופין באיזושהי קומבינציית תווים דומה החוזרת על עצמה).
המחשבה שלי הגיונית עד כאן, נכון? אני עוד אשלם עליה...
הסיסמא שנבחרה לחשבון שלי היתה:
<lv`RHSM1yw1kYba&FYZ
די מסובכת לגילוי בכל סוגי הפריצות הקיימות, ועומדת בסטנדרטים המחמירים של בחירת סיסמא.
שינוי הסיסמא בחשבון עברה בצורה חלקה: הזנת הסיסמא הישנה, פעמיים הסיסמא החדשה, ואישור.
ברשותי מספר חשבונות בתפוז, כך שבשלב מסויים ביצעתי יציאה מהחשבון הזה והתחברתי לחשבון אחר.
כאשר ניסיתי לחזור לחשבון הזה - פאף! הודעת שגיאה. לא הודעה שהסיסמא שגויה, אלא ממש שגיאת מערכת! (צילום)
מסתבר שמשהו בסיסמא שלי לא מצא חן בעייני תפוז, או במילים אחרות תפוז לא יודע להתמודד עם תווים מיוחדים.
מילא לא יודע להתמודד איתם, אבל למה אישרתם אותם בסיסמא החדשה שלי?
החלפת הסיסמא עברה בצורה חלקה, אך אין אפשרות לבצע כניסה לחשבון אם הסיסמא מכילה תווים מיוחדים, במיוחד התו >.
כנראה תפוז משתמשים בבדיקה גנרית של שדות הקלט, ומעיפים תווים עם פוטנציאל לבעיות (התו > משמש פתיחת תג HTML).
לא משנה שהדרך הנכונה להתמודד עם תו כזה היא לעשות לו encoding בפלט ולא לאסור אותו כליל כי אז השימושיות נפגעת, אבל מה הבעיה בתו הזה בתור חלק מסיסמא?
מבחינת אבטחה לא רק שאין איתו שום בעיה כחלק מסיסמא, הוא אפילו מומלץ ומגביר את איכות הסיסמא.
אבל כאמור, אבטחה בתפוז היא מהם והלאה.
טוב, עכשיו אני נעול מחוץ לחשבון שלי. מה עושים?
אני מודה שיש בי רשלנות תורמת. מכיוון שכאמור יש לי מספר חשבונות בתפוז, לחלקם נרשמתי עם חשבונות דואר חד-פעמיים, כלומר במילים אחרות אין לי מושג עם איזו כתובת דואר נרשמתי לחשבון. אי לכך לא ניתן לבצע שחזור סיסמא, כך שהאופציה הזאת ירדה מהפרק.
בהודעת השגיאה ישנו קישור לפורום משוב. החלטתי לכתוב שם הודעה ולבקש עזרה. הבעיה: צריך חשבון כדי לכתוב שם... הפיתרון: יצירת עוד חשבון עם כתובת אימייל חד-פעמית. אוקיי, החשבון נוצר, כתבתי את ההודעה ושלחתי, ו... מסתבר שבפורום משוב הודעות לא מתפרסמות באופן מיידי אלא רק לאחר אישור מנהל. הבעיה: ביום חמישי בסביבות שעה 19:00 כבר אין מנהלים בתפוז. כלומר ההודעה לא תאושר עד יום ראשון במקרה הטוב, וגם אז לא בטוח בכלל שאזכה לסיוע. סביר שבמקרה הטוב אקבל תגובה שאומרת לבצע שחזור סיסמא. זה שאין לי גישה לתיבת הדואר יותר - זו בעיה שלי. בעיקרון אני מסכים חלקית עם הטענה הזאת: ידעתי בעת יצירת החשבון שלא אוכל לאחזר סיסמאות בעתיד, ולכן הייתי אחראי מספיק לזכור את הסיסמאות שלי ולא להזדקק לשירותי האחזור. הסיבה היחידה שאני זקוק לאחזור במקרה הזה היא רשלנות של תפוז.
בכל מקרה זאת כנראה לא תהיה הדרך להשיג מחדש גישה לחשבון שלי.
כמו שאתם רואים אני מפרסם הודעה זו תחת החשבון שלי, כך שבסופו של דבר הצלחתי להחזיר לעצמי גישה אליו.
האם מישהו יצליח לנחש כיצד עשיתי זאת?