W dniu 2016-05-13 10:35, A. Filip pisze:
> Liwiusz<l...@b...tego.poczta.onet.pl> pisze:
>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>>
>>>> Wytyczne GIODO:
>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>
>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>> nie trzeba zmieniać haseł.
>>
>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
>> w dodatku tak proste, jak się tylko da.
>
> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
>
> A co do zabezpieczania sobie dupy masz sporo racji IMHO.
>

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
zakodowane w postaci stratnej...

--
Kaczus
http://kaczus.ppa.pl