יומן אבטחה

Jeremiah Grossman מעלה נקודה מעניינת. רובנו דואגים לאבטחת סיסמאות לאתרים שונים בהם אנו מנהלים מידע פיננסי או מידע אישי אחר. בהרבה מקרים את הסיסמאות המאובטחות אנו יכולים לשחזר דרך תיבת הדואר האלקטרוני שלנו, הרבה פעמים תיבת webmail. בפועל, מי שרוצה לבלוש אחרינו לא צריך לפרוץ סיסמאות מתוחכמות באתרים השונים, הוא יכול לנסות לפרוץ ל-webmail שלנו (שברוב המקרים לא יכלול מנגנון למניעת ניסיונות bruteforce) ואז לפנות לאתרים בהם אנו מנויים ולבקש לאפס את הסיסמא מתוך הנחה שהסיסמא החדשה תישלח לכתובת שהוא פרץ.

זו דוגמא יפה לעיקרון של חוזק השרשרת כחוזק החוליה החלשה.

* עוד נקודה מעניינת היא שכל ספקי הדואר מאפשרים גם גישה ב-webmail ומרגע שמישהו פרץ את הסיסמא הזו הוא יכול להוריד את כל הדואר בלי שנרגיש. כך שמי שחשב לרגע שזה שיש לו pop3 פוטר אותו שימשיך לדאוג.