קריפטוכסף: זה רק מתדרדר

כתבתי פה לפני כ־5 שנים שהשקעה בקריפטומטבעות זו שטות שלא מקדמת את העולם. מי שנכנס מוקדם מרוויח ממי שנכנס מאוחר, ובהמון צורות זה מתנהג כמו קנונית פירמידה. אולי אין פה מפעיל מרכזי שמרוויח, אבל יש הגמוניה שקובעת את הטון (ולמי שלא נכנס לעומק חדרי הצ'אט וקבוצות הדיון נגלה שהם מתנהגים ממש כמו כתות שמפעילות לחץ חברתי ופסיכולוגי על מה שמשקיע לאט, יוצא מוקדם מדי או מעיז להעלות ספקות). יש בהחלט נכנסים מאוחרים שמפסידים, והכי הרבה מפסידה הפלנטה. כשהרווחים מהמטבעות עצמם ירדו, נכנס אלמנט ה־NFT. הרבה מתחילים להבין שיש כאן שוב פירמידה בועתית למדי, וזה עוד לפני שנדבר על זה שאם לא גנבו לכם את הטוקנים, לא עבדו עליכם עם Rug-pull או מכרו לכם יצירות ללא הרשאה של היוצר, ולא נפלתם עם בנפילה הגדולה של החודשים האחרונים, אז לא ברור אפילו מבחינה חוקית מה בכלל יש לכם ביד. לצערי בנפילות האלו נפלו גם בתי השקעות מסורתיים של פנסיות וחסכונות שהיו צריכים להיות יותר חכמים וזהירים, אבל כמות הרעש שעושה ההגמוניה מכסה על קולות הביקורת.

לפני שתשימו שקל אחד בתחום, אני ממליץ לחרוש על הסרטונים הבאים, ואז חשבו שוב אם זה נכון לכם לשים שם את הכסף.

איך ולמה להחליף ספקי מוזיקה

אני בן דור ה־X. יש לי כמעט 300 תקליטורים שמעלים היום אבק ויש לי עדיין תקליטי ויניל במחסן שעוד לא הספקתי לדגט. הרבה שנים הקשבתי לOGG ו־MP3 עד שהצטרפתי באיחור לספוטיפיי. אני עדיין קונה מוזיקה מאמנים ישירות עד כמה שאפשר, דרך שירותים כמו BandCamp, מממן חודשית אמנים בפטראון, קניתי תקליט או שניים בהורדה ישראלית, ואף דרך קיקסטרטרים והדסטארט. הבעיה – לא בא לי להסחב עם גיגבייטים בטלפון, חלק מהקבצים אבדו לי בקריסה של כונן בבית, קבצים שהעלתי לגוגל מיוזיק אבדו בדרך ליוטיוב מיוזיק (טוב, יש לי עותקים מקומיים אבל הפלייליסטים נשברו), ואז החלטתי שאצטרף להמונים ואקנה מנוי. בספוטיפיי לא מצאתי הכל אבל די הרבה, וההמלצות שלהם העשירו לי את הטעם מתוך זנבם הארוך.

למה אני עוזב

אבל החוויה לא משהו. ראיתי שדוחפים לי יותר ויותר תוכן ממומן ברשימות אוטומטיות, ומנסים לשכנע אותי בכוח להקשיב לפודקאסטים דרך יישומון שממש לא מתאים לזה. לא תודה, יש לי יישומון נפרד לזה, קניתי אותו, משתמש בו בהנאה, הוא עשה לפני 7 שנים דברים שספוטיפיי עד היום לא עושים, אז עזבו אותי בשקט. הייתי יחסית מרוצה עד שהתפוצצה לפני כשבועיים פרשת רוגן. אי שם בירכתי המוח זכרתי שהם עשו איזו עסקה עם ג'ו רוגן שעצבנה המון אנשים (שלא רצו לשלם כדי לשמוע את הפודקאסט) אבל אף פעם לא סבלתי אותו אז התעלמתי. ידעתי במעומעם שהוא מראיין בסגנון סחבקי שלא מתאים לכל אחד, שהוא היה מכחיש הנחיתה על הירח שהתרצה וירד מהקונספירציה, אבל בגדול לא מצאתי משהו מושך בכל פעם ששלחו לי לינק לראיון אצלו. לפני כמה חודשים הוא חטף קורונה והסתבר לי דרך קהילת הספקנים המדעיים שהוא כבר כמה חודשים מנהיג בפודקאסט רטוריקה בין הכחשת קורונה לבין התנגדות לחיסונים, אבל מסתבר שהוא הלך עם זה עד הסוף לכיוון של אייברמקטין, הידרוקסיכלורוקין ושאר הטירלולים של שבטי הקונספירציות מהמערב הפרוע. אחד הציטוטים שעלה בדיונים עליו "רוגן מאמין לדעה האחרונה ששמע. שום חשיבה ביקורתית. אם היום יראיין מדען הוא יהיה בעד חיסונים, מחרתיים יתהפך שוב". כך או כך זה לא קרה. המידע השגוי שהוא מפיץ נשתה בצימאון על ידי מליונים, ונכון לכתיבת שורות אלו, שני בומרים כבר ביקשו מספוטיפיי שיורידו את יצירותיהם, ג'וני מיטשל וניל יאנג. ריספקט. במקביל גיליתי שהעסקה איתו היא על לא פחות ממאה מליון דולר. זה מטורף. אני לא יודע על כמה שנים זה פרוש, אבל זה אומר שהאיש כנראה מרוויח יותר מאשר סטיבן קולבר, ג'ימי וג'ימי ביחד (אין לי מספרים על הווארד סטרן בשלוף). בצד השני של המשוואה ספוטיפיי תמיד מוזכרים בתור מי שלא משלמים הרבה לאמנים על הזרמות, שברי סנטים לזנב הארוך, ורק אם עברת איזה מינימום השמעות, מה שאומר שדרך מין "הסכם עודפים" מרושע, האמנים במיינסטרים מרוויחים הרבה יותר להשמעה בנוסף לזה שממילא יש להם יותר השמעות. משהו מאוד רקוב פה, ואני בתור אחד שתמיד מעדיף אנדרדוגים ושונא מתנגדי מדע, לא יכול כמובן להמשיך לתת לספוטיפיי כסף.

אז לאיפה הולכים?

עד כאן ההקדמה. אני רוצה לעבור לשירות אחר, אני מקווה שיותר מהכסף שלי ילך לאמנים ולא יממן פרופגנדה שקרית. כשעשיתי מנוי לספוטיפיי הם היו כמעט הספק DSP היחידי שהיה שווה להסתכל עליו, היום כבר זמינים בארץ עוד כמה. הלכתי לחפש מי משלם יותר יפה. הופתעתי לשמוע שבמקום הראשון פייסבוק עם 6 סנט להשמעה (לא רלוונטי כי אני לא אתפס מת עם חשבון פייסבוק ואני לא חושב שיש להם יישומון מוזיקה בכל מקרה). אחריהם במקום שני, תאמינו או לא, פלטון, אופני הכושר שהרגו את מיסטר ביג ואת וגנר מ"ביליונז". בהמשך הרשימות (יש כמה והן סותרות: 1, 2, 3, 4, 5) צצו אמזון (לא אוהב מונופולים מרושעים, מדלג), נפסטר/רפסודי (לא יודע עליהם מספיק, כרגע מדלג) טיידל (מייסודו והשקעתו של ג'יי זי) ודיזר הצרפתית. למרות שדיזר קושרת לעצמה כתרים שהם הכי הוגנים עם אמנים, המספרים מצביעים דווקא על טיידל בתור נדיבים יותר שגם הם מנגנים על מסר דומה. הטבלאות לעיל (וזו הכי עדכנית) מראות פערים ביחסים די קבועים. למשל טיידל ונפסטר תמיד משלמים בערך פי שתיים מדיזר, ושלושתם משלמים הרבה יותר מספוטיפיי. למה ההבדלים? כי הם יכולים. לספוטיפיי יש דימום נתח שוק מסיבות שונות אבל הם עדיין כשליש מהשוק (נתוני יולי 2021), דיזר 2% וטיידל בקושי חצי אחוז. האם זה אומר שיש מצב שיש להם הסכמים עם פחות מפיקים או רק מוזיקה יותר חדשה? את זה אני בא לבדוק.

שלב א': גיבוי והעברה

ביקשתי מספוטיפיי להוריד את כל הדאטה שלי. יש לי אולי 5-6 רשימות שבניתי לי וכמה עשרות ציבוריות שאני עוקב אחריהן. ספוטיפיי אמרו אין בעיה, יכינו לי זיפ תוך 30 יום. לקח כמעט חמישה ימים, הגיעה ערימה של JSON, כל הפלייליסטים בקובץ אחד. יש שירות צד ג' שימשוך את הפלייליסטים דרך API ויתן CSV אחד לכל פלייליסט, שאת זה טיידל מוכן לאכול.

בין אם אחכה לספוטיפיי ובין אם אשתמש ב־StreamExport הנ"ל, זה עדיין המון זמן להעלות אותם אחד-אחד לשירותים האחרים ומסתבר שיש תוכנות מקומיות (למאק וחלונות) ושירותים אונליין שיודעים ויצא וליבא בין עשרות שירותים כאלו. אין לי סיבה להריץ משהו מקומי (וממילא אני איש לינוקס) אז אני רואה שהרוב ממליצים על שני שירותים: Soundiiz ו־TuneMyMusic, שניהם יעלו כסף אם אתם רוצים לייבא יותר מאשר פלייליסט קטן אחד או שניים. אם תרצו לייבא בבת אחת את כל הפלייליסטים או השירים/אלבומים/אמנים מפוברטים או פלייליסט של יותר מ־X פריטים (200 בסאונדיז או 500 ב־TMM), תצטרכו לקנות את שירות הפרימיום לפחות לחודש אחד ($4.50, לא נוראי).

שלב ב': פתיחת חשבונות.

טיידל נותנים מספר תכניות והמחיר די שונה למדינות שונות כשבדקתי דרך VPN. תוכנית הייפיי, הייפיי פלוס ומשפחה עלו $10, $20, $15 בהתאמה לארה"ב, או 20, 40, 30₪ בישראל.
לקמצנים: יש תוכנית חינם שתדחף פרסומות ומגבילה דילוגים ביישומון אבל לא בדסקטופ, כרגע לא זמינה מחוץ לארה"ב (לא ניסיתי עם VPN). לישראלים יש מסלול "חסכנים" מיוחד בגולדה לחודש שיוריד אתכם לאיכות של MP3 של 160 Kbp/s (שזה בערך רמת דחיסה הכי מינימלית למוזיקה שאפשר, יותר מתאימה להסכתים מדוברים). תקופת ניסיון של שלושה חודשים בשקל בודד לחבילת הייפיי הבסיסית לחודש או 2₪ לפלוס ולמשפחה.
בתוכנית "הייפיי פלוס" מספרים לנו שיותר כסף יגיע לאמנים וזרמי המוזיקה יגיעו בביטרייט יותר גבוה (בכפוף לתנאי הקליטה), ובנוסף 10% שלמים יעברו לאמן הכי מושמע שלך כל חודש. כרגע בארץ הייפיי פלוס עולה רק טיפה יותר מהמנוי הבסיסי האמריקני אז יאללה ננסה. השאלה אם יש להם CDN בישראל שיאפשר את זה בכלל. השירות מייסודו של ג'יי זי, מבטיח להיות בעד אמנים, יש פודקאסטים ומגזין בנושאי מוזיקה ומוזיקאים, קליפים ולטענתם הם מעלים מוזיקה באיכות lossless מכל מפיץ שיתן להם ולא מסתפקים בדחיסה lossy באיכות גבוהה. נו, נגיד. זה לא שזה משנה הרבה ברגע שזה מושמע דרך אוזניות בלוטות' או מגבר של טלפון לאוזניות ב50₪. לדעתי ההבדל באיכות יורגש רק עם ציוד בייתי איכותי (DAC ייעודי שיתמוך 24 ביט ו־96 קילוהרץ) ואוזן מאוד מאוד אנינה. בנוסף מבטיחים חוויות של מיקסים לדולבי אטמוס, שמע 360 מעלות ושאר באזז שאני לא יודע אם זה נפנופי ידיים שיווקיים או שיש מי שמחפש את זה באמת. אני בתור משתמש ששומע מוזיקה ברקע בנסיעה או באוזניות למיסוך רעש המשרד כנראה לא אבדיל, אז השדרוג לפלוס בשביל רוב האנשים זה יותר בשביל לדאוג שיותר כסף יגיע לאמנים.
פרטים אישיים: לא שאלו מגדר, כן ביקשו גיל, מאפשרים תשלום באשראי או פייפל. הסכם הפרטיות שלהם ארוך ומתיש ומכיל הכנות לשינויים בעתיד אבל סביר במתכונת הנוכחית. הם מאוד מעודדים לחבר את החשבון לפייסבוק כדי שישפך לשני הכיוונים ידע עליך. לא בדקתי למה זה טוב כי אני לא אוהב את איך שזה נשמע וממילא אין לי פייסבוק.

דיזר נותנים חודש חינם ואח"כ $11 לחודש פרימיום או $18 למשפחה (אם אתם באירופה יתווסף מע"מ ויגבה באירו, אבל שם מוצעים גם מסלולים מוזלים באיכות ולסטודנטים שלא מוצעים בישראל). יקר יותר מטיידל ואף מספוטיפיי.
לקמצנים: יש מסלול חינם עם פרסומות ומוגבל לאיכות 128kb/s. המפרסמים ידעו עליך גיל ומגדר ומזהה מכשיר ייחודי אלא אם תחסום קוקיז בדפדפן (מה יקרה ביישומון בטלפון? אלוהים יודעת).
פרטים אישיים: שואלים גיל וג'נדר (מוגבל לזכר, נקבה או א-בינארי בלבד) ומשם עוברים למסך בחירת אמנים. הסכם פרטיות סביר לאדם רגיל, בעיני טיפה חודרני יותר מהדרוש (למרות שהם תחת חוק ה־‏GDPR האירופי שאמור לשמור עלינו). מקבלים כרטיסי אשראי בלבד.

שלב ד': יבוא מוזיקה

אני בוחר פה כמה פלייליסטים מגוונים כדי לראות מה מופיע או לא מופיע בשירותים האחרים. אני מעביר עם TMM מקבצים עד 500 שירים לפי סוגות, בערך. רשימות של יותר מ-500 שירים (יש לי כמה) הייתי חייב לפרק לא רק בשביל העברה, זה גם המקסימום אצל טיידל.

מקבץ ראשון: "שרמוטות מרימות" מייסודן של צעדת השרמוטות. 250 שירי פופ והיפ-הופ משני העשורים האחרונים, קצת ישראלי.
טיידל: הכל עבר מלבד "תרקדי את זה" של דניאלה ספקטור. הזמרת שם, אבל השיר חסר.
דיזר: הכל עבר חלק.

מקבץ שני: שירי טהרלב, ריח של סתיו, סבנטיז ישראלי ופולק+רוק ישראלי. 211 שירים סה"כ.
טיידל: חסרו 3 שירים: "אתה לי ארץ" (ירדנה ארזי), "רק היום" (אורי רווח), "ללכת עמך" (יפה ירקוני).
דיזר: חסרו 3 שירים: "לפעמים אני מרגיש שאני צריך כנפיים" (שרעבי), "רק היום" (אורי רווח), "ללכת עמך" (יפה ירקוני).

מקבץ שלישי: New Orleans Funk, Jazz Vibes, סה"כ 485 שירים.
טיידל: חסרו 8 שירים»
דיזר: הכל עבר.

מקבץ רביעי: Funky Disco Party, Instrumental Funk, Blues R&B and beyond, Funk Outta Here, Blues Origins, סה"כ 336 שירים.
טיידל: חסרו 7 שירים»
דיזר: הכל עבר. בגלל השיר האחד לעיל גיליתי להפתעתי שיש להם אכן 300 שירים של פומפלאמוס (כל הקטלוג?) ולטיידל כלום. אני מתאר לי אבל שיהיו עוד כמה וכמה אמני אינדי/פטראון שזה יהיה המצב אצלם.

מקבץ חמישי: שירי העבודה שלי, ועוד רשימה של מישהו אחר. סה"כ 426 שירים.
טיידל: חסרו 13 שירים»
דיזר: חסרו 3 שירים»

מקבץ שישי לטיני: Portuguese, Nostalgia, Tom Jobim, סה"כ 226 שירים.
טיידל: נפל אחד בדרך – Banda Carnaval Do Rio – Xibom Bombom
דיזר: הכל עבר.

מקבץ שביעי מצברוח: Relaxing Work Music(200 tracks), Brain Food(100 tracks), Deep Focus(152 tracks), Atmospheric Sci-fi Soundtracks(41 tracks)
טיידל: חסרו 25 שירים»
דיזר: בול אותם 25 שירים חסרים.

לצד הפלייליסטים, ספוטיפיי נתנו לי לסמן יוצרים מועדפים, שירים מועדפים ואלבומים מועדפים.
טיידל: חסרים ארבעה אמנים מתוך 313:
Emahoy Tsegué-Maryam Guébrou
Tom Petty and the Heartbreakers
Alina Gingertail
Dreaming Elephants
אלבומים: חסרו 20 מתוך 95, למרות שאת רוב השירים מתוכם אפשר למצוא. אמנים ברשימה: פומפלמוס (גם אין את השירים), הדורבנים, The Art of Noise, Regina Spektor ועוד.

דיזר: כל 313 האמנים עברו.
חסרים שבעה אלבומים מתוך 95: שוב ארט אוף נויז וכל מיני תקליטי אוסף.

שונות: חוסרים אחרים שהפתיעו אותי בפלייליסטים אחרים –
עוד כמה שירי ג'אז, בעיקר ביגבאנד ישנים כולל לואי ארמסטרונג ושמות מוכרים שנמצאו בדיזר הצרפתית וחסרו דווקא בטיידל האמריקנית.
שירי סדרות אנימה כוסו 90% בטיידל, 96% בדיזר.
רשימת אמני אינדי מכנס פרטיות דיגיטלית: 78% כיסוי בטיידל, 95% בדיזר.
רשימת שירים ישראליים במימון הדסטארט: 89% כיסוי בטיידל, 100%(!!) בדיזר.

הייתי יכול להמשיך עוד הרבה אבל אתם מבינים את הרעיון.

מסקנות ראשוניות

  • גם אם ספוטיפיי שולטים בנתח השוק הכי גדול, ההפרש בספריה של המתחרים הוא מזערי וסביר.
  • אין בעיה עם מוזיקה עכשיווית או ישראלית, יש טיפה חוסרים במוזיקאים אינדי, קצת ג'אז ישן וכדומה, אבל הרוב מיתרגם די חלק.
  • חסר פה ושם מידע מטא על אלבומים, גם אם יש את השירים עצמם.
  • התאכזבתי לגלות שבספוטיפיי הרבה יותר קל למצוא פלייליסטים ציבוריים של משתמשים אחרים מאשר בטיידל.
  • משהו שלא מיפיתי – היו לא מעט שירים ברשימות שלי בספוטיפיי שהוספתי אבל סומנו עם הזמן כלא זמינים במדינה שלי (משתנה בהתאם לאיפה שאתה מתחבר עם ה-VPN). שמחתי לגלות שחלקם פתאום זמינים בשירותים החדשים אבל אחרים פתאום חסומים גאוגרפית. יתרה על כך יש מעט מאוד חפיפה בין השירותים בנושא השירים הקיימים-אבל-חסומים. כל שירות וההסכמים שלו, אני מניח.

לא בדקתי עדיין:

  • חוויית משתמש ביישומון
  • הגבלות (כמו 500 שירים לפלייליסט)
  • תוכן נודניק (תוכן נדחף של אמנים מקודמים?)
  • ז'אנרים שלא מיוצגים אצלי באוסף (למשל ים תיכוני, מזרחי, אירופאי, קיי-פופ וכולי)
  • רשימות ההשמעה שיוצרים האוצרים של ספוטיפיי (יהונתן קוטנר ביניהם למי שמכיר מטוויטר) מול אלו של המתחרים.
  • את דיזר בכלל עוד לא התחלתי לבדוק לעומק.

ולסיכום ביניים, כרגע נראה לי שאשאר עם טיידל (ולו רק כי לי זה עולה פחות ועדיין משלם יותר לאמנים) אבל מי יודע מה יהיה בהמשך. עכשיו שאני רואה כמה קל יחסית לעבור משירות לשירות, אולי אעשה זאת שוב אם אראה צורך. בינתיים יד לי גם חשבון חינמי בדיזר וכבר סינכרנתי אליו את הרשימות, אז "יש גיבוי". בערך.

עדכון 28.3.2022

אחרי כמה חודשי שימוש אני יכול להוסיף:

  • מספוטיפיי אפשר לשתף עם העולם לינק שיעבוד גם למי שאין חשבון ספוטיפיי, אין אופציה כזו עם טיידל.
  • הנגינה של טיידל לא חלקה באנדרואיד. לפחות אצלי כשאני מנגן בנהיגה עם וייז מופעל, הנגן לעיתים משתהה לשברירי שניה פה ושם, ופוגם בהנאה. הוא גם כל כך כבד בזיכרון ומשאבים שהוא לא יכול לרוץ על האנדרואיד של האוטו. ספוטיפיי עובד לאט שם אבל ללא בעיות.
  • אופציית חשבון החינם של דיזר תסגר בישראל עוד שלושה שבועות.

The Gaturs – Swivel Your Hips (Parts 1 and 2)
Chuck Carbo – Out On A Limb
June Gardner – Hot Seat
Clemon Smith – Brotherman, Sister Ann
Mary Jane Hooper – I've Got What You Need
Leo Motta – Into the Night
Hoffy Beats – Neon
Wataru Fujiwara – Tequila at midnight
Powered by Hackadelic Sliding Notes 1.6.5
Scary Goldings – Bruise Cruise
Scary Pockets – 1am Funk Dance Party
Scary Goldings – Cornish Hen
Pomplamoose – Uptown Funk
Hot Butter – Space Walk
Liberace – The Old Piano Roll Blues
Big Bill Broonzy – Mean Old World (Tk. 1)Powered by Hackadelic Sliding Notes 1.6.5
Francesco Bonporti – Concerto In F Major For Violin & Strings, Op. 11 No. 5: Rezitativo – Adagio assai
Claude Debussy – Petite Suite For Piano, L65: En Bateau
Wolfgang Amadeus Mozart – Serenade No. 5 In D Major, K204
Rentaro Taki – Blossoms
Ottorino Respighi – Ancient Airs And Dances Suite No. 3: Siciliano Ignoto
LaBelle – Moonshadow
Lafayette Afro Rock Band – Ozan Kouklé – Remastered
Colleen – Soul Alphabet
The Karminsky Experience Inc. – Exploration
Chinese Man – Calling Bombay
Colleen – Lighthouse
Tranquility Bass – Sometimes I Lose My Soul
Colleen – Captain Of NonePowered by Hackadelic Sliding Notes 1.6.5
Tranquility Bass – Cantamilla
Tranquility Bass – Sometimes I Lose My Soul
Kinobe – Chasing CloudsPowered by Hackadelic Sliding Notes 1.6.5
NYMK – Roundabout, Axione – In Every Heartbeat, Nova Explora – Mount Soul, Jacob Yoffee – With Resolve, Jacob Yoffee – Will to Live, Yolta – Falling Rivers, Beau Projet – Curiosity, 12dust – Rectifier, Bon Bruit – Beginnings, Ygor Ghensev – Dreamer, Chris Burrink – Fire Fly, Jacob Yoffee – Projections, Monocle Twins – Momentum, Tom Kalani – Bull’s Eye, Lucas Delphy – Limitless, Search For Atlantis – Los Feliz, 12dust – Big Sleep Estado De Calma – Placidity, Lucas Delphy – In This Moment, Toledo Rains – Sunbleached Memory, William Keats – L'anniversaire, Fukase Junichiro – Yatta, Orchestrate the Universe – Timeless, Symon van Gent – Saoirse, Howard Shore – BennoPowered by Hackadelic Sliding Notes 1.6.5

כואב אבל נדרש – לחתוך עניינים עם צוקרברג

אני סוגר חשבון עם פייסבוק ובנותיה, בפוסט הזה אני נותן לכם חומר למחשבה אם הצעד מתאים גם לכם.

יש מעצמות תקשורת שם בחוץ. שאני מקווה שקצת יגוועו. פוקס ניוז מגיעה לבתים בישראל ובארה"ב הם אפילו לא הקיצוניים ביותר. אבל הסכנה הגדולה בעיני באה דווקא לא מאלו ששם בחוץ אלא אלו שאנחנו מזמינים אלינו הביתה, לתוך הנייד.

פייסבוק במוקד כוח. הם מנצלים אותו לרעה בכך שהם נותנים שימוש בכוח הזה למי שיש לו כסף ואידאולוגיה אגרסיביים יותר. אסור להמשיך ולתמוך בזה.

עד פייסבוק, אף חברה עוד לא סיכנה כל כך, לבדה לגמרי, את הדמוקרטיה, השיח הציבורי התרבותי, החשיבה הביקורתית ואולי את עתיד האנושות. האם אני מגזים? יש הוכחות שהמידע הזה עזר להטות בחירות בבריטניה, ארה"ב וחלק ממדינות אירופה. לך תדע מה מעוללים בעולם השלישי, שם בקלות זה נותן יותר כוח ביד של שליט טוטליטרי. בעזרת זה משתיקים את רצח הרוהינגה, האויגורים ועוד זוועות בעולם, ועכשיו זה עוזר למתנגדי חיסונים לבטל את היכולת של ממשלות לדאוג לבריאות הציבור. פייסבוק במוקד כוח, והם מנצלים אותו לרעה, ע"י זה שהם נותנים שימוש בכוח הזה למי שיש לו כסף ואידאולוגיה אגרסיביים יותר. אסור לתמוך בזה.

וכמובן שיש הרבה מה לדבר על פרטיות וביטחון אישי ולא רק ברמה הבינלאומית, אבל אין לי הרבה מה להוסיף הרבה על מה שכבר נאמר, אז אני מרכז פה בעצלנות רבה כמה לינקים בהמשך לקריאה נוספת. אני רק כותב כדי להודיע שאידאולוגית, וממגוון סיבות טכניות שונות, החלטתי שלהמנע מפייסבוק זה לא מספיק. אני צריך לצאת מכל הכלים של הקונגלומרט הזה. אני סוגר השבוע את החשבון שלי גם באינסטגרם (ממילא שימש רק להשתתף בהגרלות ופיתויי צרכנות) וגם ואטסאפ (כן, למי ששכח, מדובר בכלי שאנחנו רואים היום כחלק מהטלפון כמו SMS בעבר, אבל הוא עדיין נשלט בידיים של חברה אחת, ובבעלות פייסבוק). אני רק אזגיר בהקשר הזה, ש"מי שאומר שהוא לא צריך פרטיות כי אין לו מה להסתיר, שווה ערך למי שמוותר על חופש הביטוי כי כרגע אין לו מה לומר". פרטיות, כמו שכתבתי כאן הרבה בעבר, היא משהו שקשה להגדיר, אבל יכול לכאוב מאוד ובצורה ברורה כשהוא נלקח.

מה זה אומר פרקטית? זה אומר שאת כל הקבוצות החברתיות והמשפחתיות שלי העברתי אל סיגנל. יצרתי לי גם חשבון טלגרם אבל זה כלי בעייתי אחר ולא תומך ברוב יכולות הפרטיות שאני רוצה מכלי מודרני. נשארו לי למעשה רק קבוצת ועד הבית (אשתי עוד שם, ואני מקווה שיעברו), קבוצה משפחתית אחת (שהרבה מחבריה בסיגנל אז אני מאמין שבסוף תעבור) ומועדון העטים הישראל, שיהיה לי עצוב לנתק איתם תקשורת, אבל אני מקווה שיום אחד יעברו גם הם לסיגנל.

יש לא מעט שאלות טכנולוגיות וערכיות בלמה לעזוב, למה דווקא לסיגנל, למה עדיף לא טלגרם, ולמה פייסבוק כן וגוגל לא (גם את גוגל נטשתי כמעט לגמרי, וזה לפוסט אחר) ואולי אני אכתוב על כל אלו ביום מן הימים, אבל אסתפק בזה שאני ממליץ לכם לבדוק את הכלים האלו, לראות אם אולי ממילא הרבה מאנשי הקשר שלכם כבר נמצאים שם, ואז אולי כמוני לעשות את הקפיצה. אני מאמין שאם מספיק קבוצות ושיחות יעברו לשם, עם הזמן יהיה מספיק סחף כדי לעזוב את פייסבוק וזרועות התמנון שלה.

לצפייה: The Social Dilemma, ושלל סרטונים משלימים, כולל ביקורת נגד. כמו כן The Great Hack על שערוריית קיימברידג' אנליטיקה ספציפית.

לקריאה:

עוד פרויקט שלא אגיע אליו: עוזר חכם ובית חכם

האם אתם רוצים מערכת כזו? התשובה מורכבת.

כן, זה נחמד לשבת בעצלנות על הספה ולהגיד "הי גוגל, תדליק לי דוד", או אפילו להדליק אוטומטית את הדוד ברגע שיצאתי מהעבודה ע"י נתינת קואורדינטות של המשרד ליישומון IFTTT ולתת לו להקשיב לGPS.

לא, זה לא נחמד שכל מילה שנאמרת בבית מוקלטת ונשלחת לשרתים של גוגל או אמאזון (אלקסה) או מוקרוסופט (קורטנה) וכולי. זה גם לא חכם להשקיע בציוד שמייקר את החיים בבית והופך אותך תלוי ביצרן או משהו. למשל זו הסיבה שלא אקנה נורת פיליפס HUE בעשרות דולרים כי כשהיא נשרפת אני צריך למעשה לקנות נורה ומחשב קטן. אני מעדיף לחבר ממסרי SONOFF ולשלוט בהם בעצמי. כמו כן, אני לא אחבר בקרוב את מנעול הדלת למערכת ממוחשבת. אני לא ממליץ לסמוך עליה בנקודות אבטחה, אבל אפשר להסתפק במגע בנקודות הנוחיות.

אני לוקח רגע ומפרק מערכת ממוצעת כדי לסבר את האוזן למי שלא מכיר את הטכנולוגיה שמאחורה. בגדול יש כאן כמה רכיבי תוכנה תפורים ביחד כדי לגרום לקסם לקרות:

  1. יש מיקרופון והמחשב שמאזין לו, מנסה לבטל רעשי רקע ולהתמקד במה שעלול להיות דיבור.
  2. אח"כ תוכנה אחרת שבודקת אם זה אכן דיבור ומתרגמת אותו לטקסט. זה אולי הרכיב הכי מתוחכם במערכת ונחמד שיש אופציה או שתיים ברישיון חופשי (אבל כרגע אני די בטוח שזה עובד רק באנגלית, ולא יעבוד בעברית בקרוב. מקווה שלא תהיה בעיה עם זיהוי מבטא לא ילידי :)
  3. אחרי שיש לנו טקסט אפשר לפענח ממנו את הפקודה גם אם לא נאמרה בצורה תקנית אחת. כלומר "התראה עוד שעה" או "בבקשה כוון לי תזכורת בעוד שעה מעכשיו, תודה" הם שני משפטים שונים למדי אבל המחשב צריך לזהות את שניהם. הרכיב הזה והרכיב הקודם הם הרכיבים שקורים בענן של גוגל או אמאזון או מיקרוסופט שאותם אני רוצה להביא אל תוך הבית.
  4. בשלב הזה אפשר להפעיל מיני תוכנות וסקריפטים (מייקרופט למשל קוראים לזה "כשרונות" והקהילה פיתחה כבר כ-140 כאלו), כאן מגיעה ההתממשקות עם MQTT ורכיבי חומרת Sonoff השונים, או גישה לרשת כדי לדבר עם חשבון הגוגל שלכן כדי לבדוק איש קשר או לדחוף ארוע ליומן, וכיוצא באלו.
  5. לבסוף לאשר או להחזיר משוב למשתמש בצורת רכיב אחר שהופך תשובת טקסט לדיבור, מסנטזים כאלו יש הרבה בשוק – היה לי אפילו על אפפל ][ עם 64K זכרון, לצערי האיכות התפתחה מעט מאוד מאז בתוכנה פתוחה. מקווה שישתפר בעתיד.

התכוונתי (וויתרתי בגלל סיבות) לשחק עם עוזרים חכמים פתוחים. נתקלתי באינדיגוגו של מייקרופט (גיבוי עסקי לא יכול להזיק). כמו כן גיליתי שיש פרויקט בשם Jasper שכבר לא זז שנה ועוד אחת מליסה, כנראה גם אחרים.

מה דרוש? כרגע סבלנות וחוש טכני. כמו שלא לכולם מתאים לפרמט את האנדרואיד ולהתקין LineageOS, או ללמוד לקנפג קודי, וכולי. זה פרויקט לסקרנים, עקשנים, שאין להם בעיה לבנות ולהלחים כמה דברים לבד. הנה המידע שאספתי והפרמטרים שהייתי בוחר להתחיל איתם אם הייתי הולך על הפרויקט.

  • יש ארגז כלים נאה (וחופשי! ופתוח!) ללינוקס, זה אומר שזה יכול לרוץ על התחנה הביתית שלי (שהיא גם שרת המדיה) או על מכשיר שיבנה סביב Raspberry Pi וישב עם מיקרופונים בסלון, מטבח, חדר שינה וכיוצא באלו. בצד המנשק האנושי יש את מייקרופט וכלים אחרים, בצד השליטה על Sonoff ורכיבים אחרים של בית חכם יש את Home Assistant, שיודע לעבוד גם עם גוגל הום, אלקסה ודומיהם.
  • עוד לא ברור לי אם הרספי מספיק חזק לנתח דיבור או שהוא צריך להיות מגובה במחשב חזק יותר או שרות מקוון. המטרה שלי בפרויקט היא כמובן לא להוציא פיפס מהבית לשרתים של אחרים, אז אני מתמקד ביכולות שנשארות על הרספי והמחשב הביתי.
  • אני אשמח אם המערכת תדע לזהות קולות שונים של בני הבית ולתת לכל אחד את התזכורות והתשובות שרלוונטיות אליו.
  • מלבד שליפת תשובות מהרשת ולענות על שעה ומזג אוויר, רצוי לבדוק התממשקות לבית חכם. השם הפופולארי בתחום הוא Sonoff, ששולט על כיבוי והדלקה של קווי חשמל 220V, 10A או 16A. יש מכשירים עם דימר, חיישן חום ולחות או הרחבות אחרות. יש התקנים ששולחים IR כדי לשלוט על טלוויזיה או מזגן וכולי.
  • למה Sonoff? הם זולים, זמינים בעלי אקספרס ובכל מקום, ויש להם כמה וכמה קושחות פתוחות ברשת. כשקונים אותם מקבלים אותם עם קושחה שמכוונת לדבר עם שרתי החברה, שזה כמובן BIG nono בסיסי בשבילי, אבל עם קצת מאמץ צורבים קושחה חלופית ותופסים פיקוד.
  • יש פרויקט הפצת עדכוני קושחה לכל הבית החכם בעזרת כלי בשם Resin, אם אתם עוסקים באוטומציה לעננים, אומרים לי שזו המקבילה לPuppet או Chef לעולם ה־IOT.
  • כדי לדבר עם כל ההתקנים האלו, קיים תקן MQTT, שזה מעין שרת תורים מפושט. הפיקוד משאיר להתקן הודעה בתיבת הדואר וההתקן בא לאסוף. שרת MQTT שכזה יכול לרוץ מקומית (למשל בשרת Home-Assistant על הרספי) או ברשת למי שרוצה לעשות את כל זה בממשק על Google Home בלי להתקין סייען פתוח.

קריאה לעומק של תשובות מייקרופט לתומכי הקיקסטארטר ושל תנאי הפרטיות שלהם שכנעה אותי שהם לא עומדים בדרישות הפרטיות שלי בתצורה הנוכחית שלהם. בגדול הם "מתכננים" גרסא מקומית של רכיב ה־STT (דיבור לטקסט) שתרוץ על מחשב לינוקס או חלונות אבל זה עוד לא שם, ובתלות ברכיב שיבחרו, יכול להיות שזה ידרוש GPU חזק כדי לבצע את הניתוח בצורה מהירה ככל הניתן. מנתח ה־STT הנוכחי שלהם לא מספיק טוב והחדש שיכנס בסוף החודש צריך הרבה יותר כוח מחשוב. אז  כדאי לחכות. בעתיד זו תהיה אפליקציה או תמונת Docker מוכנה שנוכל להריץ על שרת PC כעזר לרספברי בלי להסתמך על שרתי החברה.

כאמור, בפוסט המקורי כתבתי שאני בודק את המערכת לביתי אבל הוטל ווטו משפחתי. אני עדיין אנסה לראות איך זה להתקין עוזר AI שכזה על הלאפטופ או הדסקטופ, ואוסיף דיווחים כשיהיו.

קריפטוכסף זו לא השקעה טובה

אמ;לק: לא ממליץ על השקעה בקריפטומטבעות, אבל אני לא כלכלן וגו'.

אני מנסה ב4-5 שנים האחרונות לעקוב אחרי עולם הקריפטוקוינז כדי להבין אם זה טוב או רע למין האנושי. חבר אצלי בעבודה קנה 100 מטבעות לפי מחיר $0.75 ומכר ביום הקפיצה הגדולה ל$1200. כשנפל חזרה ל$600 אמרנו לו כל הכבוד אבל מאז מחיר הביטקוין טיפס לטווחי $4000-$5000. לכאורה זה ימשיך לטפס. ערך המטבע לא יציב בלשון המעטה, אבל ב־8+ שנות קיומו של הבלוקצ'יין הוא טיפס יפה ובהתמדה בממוצע לאורך זמן. נראה שהטכנולוגיה מוכיחה את עצמה כאמינה מספיק כדי לעורר ענין אצל חברות פינטק ובנקים מהעולם השמרני הממוסד.

אז מה הביקורת? ובכן, כל מי שניסה לכרות בבית מטבעות בעצמו גילה שלPC הכי חזק שתוכלו להרכיב אין ממש כוח חישוב מתאים. רוב המטבעות היום עוברים כרייה ע"י כרטיסים ייעודיים מאוד מאוד ספציפיים לסוג המשימה הזה, שלקנות אותם הביתה זה יקר (ואולי תופס מקום ומרעיש), ורבים פשוט שוכרים זמן מיחשוב בחדרי שרתים אי שם במקומות בעולם שבהם החשמל או לפחות הקירור יותר זול, וגם אז לא כולם מצליחים להשאר בעסק – היום קראתי למשל שזירופונד, אולי חוות הכרייה הידועה ביותר בתחום כריית זיקאש, סוגרים את הדלתות אחרי שנה של פעילות כי זה פשוט לא משתלם כלכלית. הם יכולים להסב את הציוד או למכור אותו למשתמשים ביתיים, והם החליטו שהם מעדיפים לצאת מהעסק לגמרי. הרווח השולי זניח מדי.

אם נחשוב על זה, לחתיכות הנייר והמספרים בבנק היה פעם ערך רק כי לממשלה היה זהב לגבות אותו, אח"כ רק כי לממשלה היה כוח פוליטי, ואילו לקריפטומטבעות יש ערך רק כי אלפי אנשים ברחבי העולם מריצים מכונות חישוב חזקות ייעודיות, לא זולות או יעילות מאוד בחשמל, כדי לרוץ כל הזמן על קצה היכולת בפול גז ולהדביק את האינפלציה הטכנולוגית והאנרגטית של ציוד הכרייה.

אם אתם מסתכלים על זה אגואיסטית-קפיטליסטית, אולי זה נתיב השקעה נחמד, אבל לטווח בינוני בלבד. בטווח הרחוק כמות האנרגיה המתבזבזת על תחזוקת הרשת הזו לא שווה את הברדק. גם אם ערך המטבע הוירטואלי הזה עולה, גם המחיר הסביבתי עולה איתו. הציוד הייעודי שמתיישן ונזרק והחשמל שמאכיל את כל הפעולות החשבוניות האלו שלא מייצרות הרבה מלבד "הוכחות עבודה", במירוץ חימוש שלא ייגמר בצורה זולה ואפילו לא ממש משתלם.

כפתור פראנויה לכל כיס

אמ;לק: סקירת מוצר שיוסיף לכם שכבת הגנה על חשבונות מקוונים וגם על המחשב האישי. זו תהיה כתבה ראשונה בסדרת פוסטים על אבטחת מידע בסיסית לישראלי המצוי, למרות שהפוסט הספציפי הזה אולי לא מיועד ממש לכולם כי הוא עוסק בחומרה יעודית שעולה בסביבות $50 (כולל משלוח) ולא תוכנה זמינה וזולה/חינם.

יותר מחצי שנה לא כתבתי פוסט, למעשה כמעט 8 חודשים אני חושב. המון חדשות חולפות בקצב מסחרר ואי אפשר להתעמק בכלום, וגם החלפת מקום עבודה מוריד מהזמן הפנוי לכתיבה של יותר מציוצים בטוויטר. אם אתם לא עוקבים, חוק הזיהוי הביומטרי עבר והחל מיוני כולם חייבים לתת טביעות אצבע ופנים. מי שישלם כופר מיוחד יוכל להשאר מחוץ למאגר (אם אתם באמת מאמינים שלא ישמרו לכם את תביעת האצבע אחרי שיכתבו אותה לשבב בתעודה), אבל יצטרך לעשות את זה פעמיים בעשור במקום פעם אחת. ההמשך עכשיו יכול להיות אחד משלושה עיקריים: או שהפניה שלנו לבג"צ תצליח והמאגר יבוטל מתישהו ב-2018, או שיהיה מהפך בחירות וקואליציה חדשה תחליט למחוק את השרץ, או שהגזרה תשאר, ועד 2022 (2027 למי שרץ להחליף תיעוד במאי) כל הישראלים שישארו פה יאלצו להשתדרק למאגר. בינתיים כבר היו דליפות בהודו וסיפורים מסוכנים אחרים, אז נחיה ונראה. על עדכונים של פאדיחות הבית הלבן אני גם לא ארחיב, אתם בטח צופים כמוני בסטיבן קולבר ביוטיוב.

היום אני רוצה לספר לכם על הצעצוע החדש שלי, יוביקי 4. כל מי שמכיר אותי, יודע שככל שנכנסתי בשנים האחרונות לתחום הזכויות הדיגיטליות, אני יותר ויותר מתעניין בתחומי הצפנה, זיהוי והזדהות, סיסמאות חזקות וכדומה. זה רק אספקט קטן מהעולם הזה, וכמובן לא משנה כמה חזקה הסיסמא שלכם לפיכסבוק אתם עדיין צריכים להיות אחראים למה שאתם מפרסמים שם. בכל מקרה כדאי גם שלא יגנבו לכם את החשבון עצמו, ולכן אני ממליץ תמיד:

  • סיסמאות ארוכות וקשות, ושונות לכל אתר.
  • כמה ארוכות וקשות? כאלו שבחיים לא תזכרו, בשביל זה יש מנהלי סיסמאות. על זה כנראה פוסט נפרד בעתיד.
  • אם השירות מציע אימות כפול, הפעילו אותו תמיד! יוצא דופן – אימות באמצעות סמס, זה כנראה חלש ובעייתי מדי, ומאלץ אתכם לתת לשירות את מספר הטלפון שלכם, אז לשיקולכם. חפשו בהגדרות המשתמש שלכם, יש אלפי אתרים שתומכים.
  • כדאי להחליף סיסמאות פעם בשנה, אבל אפילו אני לא עד כדי כך קדוש. החליפו כשיוצא לכם.
  • אפשר לסנכרן סיסמאות ושאר מידע בין דפדפנים באמצעות Chrome Sync או Firefox Sync/Weave אבל לבחור במקרים כאלו סיסמת הצפנה ארוכה וקשה, אפילו 64 תווים, שתשמר כמובן מוצפנת במנהל הסיסמאות שלכם.

כמה מילים על אימות כפול, או אימות בשני פקטורים: אחד הדברים הראשונים שמוגדרים בפרוטוקול זיהוי (ולא משנה אם אנחנו מדברים על סיסמא לאתר או כשאתם מתיישבים מול הפקיד בבנק) הוא הגדרת שיטת הזיהוי, כששיטות אימות הזיהוי מתחלקות ל3 קטגוריות כלליות: מי אתה, מה אתה יודע, ומה יש לך.

מי אתה – זה לרוב זיהוי ביומטרי, הבעיות איתו שאת חלק מהמדידות הביומטריות יקר למדוד או קל לזייף, ובמיוחד זה לא שונה מול כל גורם, ולכן אם היכולת להתאמת במקום אחד דלפה, הרי שהיא טובה לאחרים שסומכים על אותה השיטה. זה שווה ערך לסיסמא לא חזקה, שכתובה בצורה לא מוצפנת בכל מיני מקומות שאתה מסתובב בהם, שניתן לזייף ואי אפשר להחליף. רעיון גרוע. הצעתי היא שאם ספק השירות נותן בחירה, אל תסתפקו לעולם בזיהוי ביומטרי כאמצעי זיהוי ראשי. לא מול משרד הפנים או רשויות המס, לא טביעת האצבע לפתיחת הטלפון, לא להפעיל חתימה אלקטרונית במחשב, לא טביעה קולית מול השירות הטלפוני של הבנק, כל אחת מהשיטות האלו כבר הוכחה כקלה לזיוף.

משהו שאתה יודע – זו לרוב סיסמא, ובמקרים הפחות מוצלחים: תאריך יום הולדת, קוד סודי מגב כרטיס האשראי, תאריך ההוצאה של תעודת הזהות האחרונה שלך, מספר תעודת הזהות, שם הנעורים של אימא, שם חיה או מורה או בי"ס ראשון וכיוצא באלו דברים שקל לגלות עליכם ע"י בילוש או כיוס.

משהו שיש לך – תעודה בלתי ניתנת לזיוף, אם ע"י שימוש בשיטות ייצור סודיות וייחודיות ואם ע"י חתימה דיגיטלית, או אולי מפתח כלשהו שלא ניתן לשכפל. כשאני אומר מפתח עולה לכם אולי בראש מפתח פלדלת או ייל, אבל את אלו כבר שכפלו כי הופיעו בטעות בתמונה. הסיפור הכי מצחיק היה כשסוכני TSA הצטלמו ברוב היבריס עם צרור המפתחות שלהם שפותח כל מנעול מזוודות בשוק, ואנשים מיהרו להעתיק את המבנה מהתמונות, וכמזה שנתיים אפשר להוריד את כל המפתחות מגיטהאב להדפסה בתלתפסת ביתית. לא, אני מתכוון למפתחות הצפנה פיזיים, כלומר מעין התקן USB עם מעבד קטן וזכרון שאי אפשר לקרוא, וניסיון למעקף פיזי של ההגנות אמור להרוס אותו ללא שוב. כאלו יש מספר מוצרים בשוק ואחד היצרנים הבולטים הוא Yubico. אני סוקר את המוצר שלהם כאן כי אחרי שלמדתי את הנושא ברשת הגעתי למסקנה שזה אחד משניים-שלושה הכי מעניינים, מגוונים ונגישים, ואין לי שום קשר איתם מעבר לזה (וכמובן לא קיבלתי מהם מוצר או טובות), ולכן קניתי אותו. יש להם אפילו יבואן רשמי בארץ אבל אחרי שקיבלתי מהם ספאם, העדפתי לשלם את המחיר המלא של הזמנה מחו"ל (אמזון או הריסלר הזה). שווה להציץ, לפעמים יש להם סייל 50% הנחה ליום-יומיים.

אימות כפול, או אימות מרובה, הוא כזה שמשתמש ביותר משיטה אחת מאלו שפירטתי, ובמיוחד עדיף שלפחות משתי קטגוריות שונות.1

המוצר עליו אדבר פה הוא חד פעמי ולא ניתן לגיבוי או העתקה, ולכן הוא בגדר משהו שיש לי. לא אכנס כאן לכל הפרטים הטכניים הקטנים, אבל רשימת הדברים שעושה הכרטיסון הקטן הזה היא מרשימה:

  • מול אתרי ווב יש לי את שירות U2F שמזכיר את יישומון Google Authenticator רק שלא צריך להעתיק שישיות ספרות ולא ניתן להעתיק את הסודות ע"י יישומון זדוני (מצד שני, אי אפשר לגבות, לטוב ולרע…)
  • משמש לפתיחת כספות סיסמאות כמו Keepass או LastPass.
  • הוא יודע לעבוד במוד challenge-response מכמה סוגים, שמאפשרים לי למשל לאבטח את הלפטופ שלי כך שלוגין פשוט (בקונסול, GDM או מנעילת מסך) ללא הכרטיס תיחסם (מודול PAM ששולח לו צ'אלנג' ורואה שהוא מחשב אותו נכון ואז מאשר גם לפי הסיסמא). לחלונות ומאק יש אפשרות דומה.
  • בשיטה אחרת גם פתיחת ההצפנה של הדיסק (root on LUKS) לא תתאפשר בלי שהסיסמא תעבור פיענוח דרך הכרטיס.
  • הוא יודע להצפין ולפתוח מסרים עם מפתח RSA של GPG עד 4069 ביט (2048 בלבד בגרסת Yubikey NEO של ההתקן, לצערי).
  • משמש אמצעי אימות לחיבור SSH, אם ע"י שמירת המפתח הסודי או דרך אימות PGP שעד לאחרונה לא הכרתי אפילו שקיים.
  • הוא יודע לחתום על Docker Images (לא בגרסת NEO) למי שזה מעניין אותו.
  • הוא יודע לייצר קודים חד פעמיים מסוג HOTP (אין לו שעון פנימי, אז אין TOTP בלי תוכנה מסייעת).
  • האתרים שכרגע אני עובד איתם בעזרתו: חשבונות גוגל השונים, גיטהאב, בלוגים מבוססים וורדפרס.
  • אתרים בהם אני לא משתמש אבל תומכים: סיילזפורס, פיכסבוק ודרופבוקס.
  • אתרים שהייתי רוצה לעבוד אתם אבל לא תומכים (בינתיים): פייפאל, בנקים ישראליים, חברות ביטוח ובריאות, אמאזון, טוויטר, ובעצם כל אתר אחר שאני נכנס אליו עם סיסמא.
  • רוב התוכנות והדרייברים פתוחים וברישיון חופשי, אפשר גם לבנות שרת אותנטיקציה משלך לשרתים אחרים ועוד המון אפשרויות לאנשים פרטיים וללקוחות תאגידיים.

שו"ת

זה לא פרנואידי?
למשתמש פרטי כיום, קצת. בעתיד אולי כבר לא. כדאי להתחיל להכיר או להתרגל.

להצפין את הדיסק? זה לא מעמיס את המערכת?
עם LUKS זה מובנה בקרנל, לחלונות ומאק יש משהו דומה, המחיר אחוז או שניים. אני לא ממליץ על ecryptfs שאובונטו מציעה להצפין אתה רק את ספריית הבית, זה פוגע בביצועים הרבה יותר. התחלתי לעשות את זה כשעבדתי בחברות שעסקו במידע רגיש, אצל מעסיקים אחרים הסתכלו עלי כמשוגע ובסוף באו להתייעץ איתי כשהמחשב הראשון נגנב מהמשרד או כשנציגים התחילו לצאת לשטח ולתערוכות ועלה הפחד שיגנבו סודות מקצועיים. אז כאמור לדעתי היום זו חובה שלא עולה הרבה לממש.

אני בונה היום אתר, להשקיע באימות כזה למשתמשים שלי?
גם TOTP-2FA וגם U2F – לדעתי כן, במיוחד אם האתר שומר פרטים אישיים של כרטיסי אשראי, בריאות מטופלים ועוד כיוצא באלו. יש ספריות חופשיות שקל לשלב, ולמערכות כמו וורדפרס, דג'נגו, ג'ומלה, רובי-או-ריילז ואחרות יש כבר מודולים מוכנים לקטיפה מהעץ, אז חבל להתעצל!

למה יוביקי 4 ולא גרסת הנאו?
טעם אישי. היוביקי 4 תומך במפתחות טיפה יותר גדולים, הוא טיפה יותר זול, קוד ה-PGP שלו פתוח בגיטהאב. לרוב האנשים גם הנאו יהיה מצוין, והיתרון הגדול שלו הוא NFC שעובד עם אנדרואידים שיש להם רכיב תקשורת תואם. אם רוצים להשתמש ביוביקי 4 (ללא NFC) על אנדרואיד, אפשר בעזרת כבל OTG, או לטלפונים חדשים, חיבור ישיר USB-C בדקם יוביקי החדש).

יש מתחרים ראויים?
יש כמה. חלקם יתנו U2F בלבד בפחות מ$10-$20, חלקם יקרים מאוד אבל עושים דברים נוספים כמו לשמש כארנק קריפטומטבעות (למשל Trezor ואחרים) ויש גם אופציות "האקריות" פתוחות כגון OnlyKey שמוסיף שכבות הגנה כמו סיסמא, פיצ'רים כמו השמדה עצמית וכדומה. יש מצב שאקנה כזה בעתיד, למרות שהוא נראה פחות עמיד מכנית לשבירה ושפשופים.

התוכנה צרובה ולא ניתנת להחלפה? אז מה אם יתגלה באג אבטחה?
כבר קרה פעם אחת, וכל הלקוחות קיבלו מפתח חדש עם קושחה מעודכנת. זה חלק מהשירות (והמחיר). אי האפשרות לעדכן את הקושחה זה פיצ'ר מתוכנן במכוון, כדי לא לאפשר החלפה לתוכנה שתגלה את המפתחות הסודיים ששמורים על המפתח.

כבר יש לי כזה מהמעסיק
אם המעסיק נתן לכם התקן כזה שישאר שלכם לשימוש אישי גם אחרי שתעזבו – כיף לכם! גוגל, פייסבוק וחברות טכנולוגיה אחרות עושות את זה. השתמשו בזה חופשי גם לחשבונות פרטיים!

אבל זה בעצם כרטיס חכם! יש לי כזה מרשות המסים ובתעודת הזהות החכמה החדשה!
כן ולא. יש על הכרטיסים האלו מעבד מספיק חזק לכל אלו ככל הנראה, ויכולות להזדהות בפרוטוקול כלשהו מול הממשלה יום אחד, אבל לא קושחה פתוחה שמאפשרת את כל הטוב שעליו כתבתי לעיל. אם הייתי שר הפנים, אחרי שהייתי מבטל את המאגר הביומטרי, הייתי מעביר נותן לכל הציבור תעודות חכמות עם היכולות האלו מובנות שישמרו עליהם ביום-יום. לצערי לא נראה לי שזה יקרה בזמן הקרוב.

למה לא כתבת פוסט כבר המון זמן?!
כי הייתי עסוק, וכי אף אחד לא שאל למה לא כתבתי כבר המון זמן, אז אולי מסתפקים בפרסונה הטוויטרית שלי…

אם יש לכן עוד שאלות, שתפו בבקשה בתגובות. אם זה מספיק מעניין לכלל הקהל, אולי אענה פה בגוף הפוסט.-------

  1. אפשר לדון פה פילוסופית אם ה־‏Google Authenticator שלי, שמגובה כל יום וניתן לשחזור במקום אחר הוא באמת משהו שיש לי או שהוא מידע ולכן משהו שאני יודע, אבל לצורך הפשטות, לרוב המוחץ של האוכלוסייה, זה נופל תחת משהו שיש לי.[^]