ריכזנו כאן כמה שאלות נפוצות על התוסף Password Alert (התראה על שינוי סיסמה), שמשמש למניעת התקפות פישינג. הוראות להתקנת Password Alert זמינות במאמרים מניעת התקפות פישינג על המשתמשים או איך מונעים פישינג באמצעות Password Alert.
מהו Password Alert?
Password Alert הוא תוסף ל-Chrome שעוזר למשתמשי Google Workspace ו-Cloud Identity להימנע ממתקפות פישינג. התוסף מזהה מקרים שבהם המשתמשים מזינים את הסיסמה שלהם לחשבון Google באתרים שאינם דף הכניסה של Google.
אדמינים יכולים גם לפרוס את Password Alert Server כדי לאפשר ביקורת על התראות סיסמה, לשלוח התראות באימייל ולחייב משתמשים לשנות את הסיסמה שלהם ל-Google אם הם מזינים אותה באתר לא מהימן.
מהי מדיניות Password Alert ב-Chrome ומה ההבדל בינה לבין מדיניות אחרת?
אתם יכולים לקבל רבות מהתכונות של התוסף Password Alert ל-Chrome באמצעות המדיניות של Password Alert ב-Chrome. היא מיושמת באופן מקורי ב-Chrome ומאפשרת פריסה אחידה של מדיניות ודיווח בכל הפלטפורמות שתומכות ב-Chrome.
הארגון שלכם לא צריך Google Workspace או Cloud Identity כדי להשתמש במדיניות 'התראה על סיסמה' ב-Chrome. נכון לעכשיו, למדיניות Password Alert ב-Chrome אין שרת Password Alert לביקורת ולבקרה של התראות.
אם הגדרתם גם את התוסף ל-Chrome וגם את מדיניות Password Alert ל-Chrome, אתם והמשתמשים שלכם יכולים לקבל 2 סוגים של התראות. כדי להימנע מהתראות כפולות, צריך להשבית את התוסף.
האם אפשר להשתמש שוב בסיסמה של חשבון Google מנוהל בחשבונות אחרים?
לא. הזנת הסיסמה לחשבון Google מנוהל (לדוגמה, Google Workspace או Cloud Identity) באתר שאינו של Google מפעילה את Password Alert. תקבלו התראה בכל פעם שתשתמשו בסיסמה הזו בפעם הראשונה בחשבונות אחרים. אתם יכולים לבחור לאפס את הסיסמה או להתעלם מההתראה לגבי החשבון הספציפי.
למשתמשי Gmail יש אפשרות להשתיק את כל ההתראות באתר. אם אתם משתמשים באותה סיסמה בכמה חשבונות, ואחד מהחשבונות נפרץ, תוקפים לרוב ינסו להשתמש בסיסמה כדי לקבל גישה לחשבונות האחרים שלכם באמצעות אישורים שנעשה בהם שימוש חוזר.
מה קורה אם אני לא משתמש ב-Chrome?
התוסף Password Alert מיועד למשתמשי Google Workspace ו-Cloud Identity, ובשלב הזה הוא פועל רק כתוסף ל-Chrome בדפדפן Chrome. אדמינים יכולים לפרוס את Password Alert בכל הדומיינים שלהם באמצעות מדיניות Chrome, ולהגדיר מופע של Google App Engine כדי לעקוב אחרי ההתראות בכל הדומיינים. אם אתם משתמשים בדפדפנים מדור קודם, כדאי לכם לעיין בתמיכה בדפדפנים מדור קודם ב-Chrome.
האם Password Alert פועל עם כניסה מרובה לחשבונות?
התוסף Password Alert משתמש בפרופיל הפעיל ב-Chrome כדי לקבוע על איזה חשבון הוא מגן. לכן, אם רוצים להתקין את Password Alert לכמה חשבונות Google, צריך להשתמש בכמה פרופילים ב-Chrome.
מתי התוסף Password Alert נכנס לתוקף?
אחרי שמתקינים את התוסף, Password Alert מתחיל לפעול בפעם הבאה שמתחברים אל accounts.google.com. צריך להפעיל את Javascript, ומשתמשים עם חשבונות Google מנוהלים צריכים להיות מחוברים ל-Chrome.
איך Password Alert יודע את הסיסמה שלכם?
בכל פעם שאתם נכנסים לחשבון Google, ל-Password Alert יש גישה זמנית לסיסמה הנכונה שלכם, והוא שומר תמונה ממוזערת של הסיסמה שלכם בפורמט מופחת-ביטים עם ערך מלח באחסון המקומי של Chrome. לאחר מכן, התמונה הממוזערת מושווית לכל סיסמה שמזינים באתר כלשהו, מלבד accounts.google.com (או אתרים שהאדמין הוסיף לרשימת ההיתרים בדומיינים של Google Cloud).
באילו כלים נוספים אפשר להשתמש כדי להגן על הסיסמה?
למשתמשי Gmail, מפתח אבטחה FIDO Universal 2nd Factor (U2F) הוא כלי שימושי מאוד שעוזר למנוע פישינג של סיסמאות.
מה ההבדל בין Password Alert לבין תכונות הגלישה הבטוחה המובנות של Chrome?
דפדפן Chrome מנסה לזהות מראש דפי פישינג, אבל יכול להיות שהוא לא יזהה דף כניסה מזויף. התוסף Password Alert אמור לזהות כל פעם שאתם מזינים את הסיסמה שלכם באתר שאינו accounts.google.com (או, בדומיינים של Google Cloud, באתרים שהאדמין הוסיף לרשימת ההיתרים).
האם Password Alert תומך בסיסמאות של Google עם פחות מ-8 תווים?
לא, התוסף Password Alert דורש שהסיסמאות יכילו 8 תווים לפחות. תצטרכו לשנות סיסמאות קודמות של Google שמכילות פחות מ-8 תווים.
האם Password Alert הוא כלי לרישום הקשות?
לא. Password Alert לא שומר הקשות מקשים בדיסק, והוא לא שולח הקשות מקשים למערכת מרוחקת כלשהי.
האם אפליקציית Password Alert נדרשת ללקוחות Google Cloud?
לא, האפליקציה Password Alert נדרשת רק כדי לבדוק את ההתראות, לשלוח התראות באימייל ולחייב את המשתמש לשנות את הסיסמה שלו לחשבון Google אם הוא מזין אותה באתר לא מהימן.
הגדרתי את Password Alert לשליחת דוחות לאפליקציית Password Alert. למה המשתמשים שלי כבר לא מקבלים התראות בבאנר?
אחרי שמגדירים את Password Alert לשליחת דוחות לאפליקציה, כל ההתראות נשלחות רק לקבוצת האבטחה או למשתמש באימייל. לפרטים נוספים, אפשר לעיין בקטע Enforcement (אכיפה) בקובץ ההגדרות של אפליקציית Password Alert.
מה ההבדל בין האפליקציה Password Alert לבין מופע App Engine?
אפליקציית Password Alert מנוהלת על ידי Google, ואילו מופע App Engine מנוהל על ידי הצוות שלכם.
מה ההבדל בין 'השתקה' לבין 'יש לו הרשאה' בסטטוס המארח במסוף Admin?
מותר – לא מפעיל התראה על אבטחה ולא מבטל את הסיסמה של המשתמש. אתם משתמשים במצב הזה כדי להוסיף מארח לרשימת ההיתרים לשימוש חוזר בסיסמאות.
השתקה – לא מתקבלת התראה לגבי אבטחה, אבל הסיסמה של המשתמש פגה. בדרך כלל משתיקים שמות מארחים כשמזוהה שימוש חוזר בסיסמה באתר לגיטימי (לדוגמה, login.yahoo.com).
לא ידוע – מוצגת התראה על אבטחה והסיסמה של המשתמש פגה. זהו מצב ברירת המחדל לכל המארחים, מלבד accounts.google.com וכתובת ה-URL של ה-SSO שמוגדרת ב-managed_policy_values.txt (SSO_URL).
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.