Re: Obowiązek zmiany hasła w programach - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Prawo › Grupy › pl.soc.prawo › Obowiązek zmiany hasła w programach › Re: Obowiązek zmiany hasła w programach

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!goblin2!goblin1!goblin.stu.neva.ru!eternal-september.org!feeder.eterna
l-september.org!mx02.eternal-september.org!.POSTED!not-for-mail
From: "A. Filip" <a...@b...pl>
Newsgroups: pl.soc.prawo
Subject: Re: Obowiązek zmiany hasła w programach
Date: Fri, 13 May 2016 11:02:20 +0200 (CEST)
Organization: It is for me to know and for you to find out.
Lines: 53
Message-ID: <a...@b...pl>
References: <57346161$0$649$65785112@news.neostrada.pl>
<nh1qqe$k99$1@node2.news.atman.pl>
<rc6w3n6w6q48$.sgucgm4wy8v0.dlg@40tude.net>
<nh4393$ukf$1@node2.news.atman.pl> <a...@b...pl>
<nh43q3$ukf$2@node2.news.atman.pl>
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Injection-Info: mx02.eternal-september.org;
posting-host="64a432ea5f8f0de4e2bdfb0efaae15ce";
logging-data="31163";
mail-complaints-to="a...@e...org";
posting-account="U2FsdGVkX1+85braumd2t+FaqSLgQW4n"
X-Face: "L{I_^#-/~^P9lw2-B@:(%PDuXHsDOhyVQ~7_yK)jeoP*lP!^AE;BTmfiX0?8w73%G0*Hgb
#eU+r|c""StUv*+cu:">^AA3c#M)yVgt_@}}OjJF"PEi=qwv^M~-*G\^$TE`m8>s`<iur'MI+,kMX`
rB,#G@`]g%Nm]sT$#6=jzYb>_(qP
Cancel-Lock: sha1:g8iLE7TS+snOGDlQKLMO1fu030A= sha1:Qnl/BmwHj0cUSDFW5HI58b7aqZ8=
Xref: news-archive.icm.edu.pl pl.soc.prawo:755670
[ ukryj nagłówki ]
Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
> W dniu 2016-05-13 o 10:35, A. Filip pisze:
>> Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
>>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>>>
>>>>> Wytyczne GIODO:
>>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>>
>>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>>> nie trzeba zmieniać haseł.
>>>
>>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
>>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
>>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
>>> w dodatku tak proste, jak się tylko da.
>>
>> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
>> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
>> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
>
> Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
> tygodnie, czy za pół roku zmienię.
>
> Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać
> pod uwagę, to w ogóle bym nie zakładał konta.
>
> Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
> wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
> wykryć patrząc na daty ostatniego logowania.

Często jest właśnie tak jak piszesz ale niekoniecznie. Dość spore
opóźnienie w wykorzystaniu pozyskanych haseł i ich nieśpieszne
wykorzystywanie może służyć zamaskowaniu (choćby pod kątem ewentualnego
procesu) tego kto, gdzie i jak je pozyskał tak że bank się nawet nie
zorientował.

A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe". To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".

--
A. Filip
Jeżeli chcesz zachować przyjaciela, nie pożyczaj mu ani nie pożyczaj od
niego. (Przysłowie arabskie)