Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>
>>> Wytyczne GIODO:
>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>
>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>> nie trzeba zmieniać haseł.
>
> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
> trudne hasło od lat, które mam tylko w pamięci; do programu, do
> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
> w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

--
A. Filip
Syty nie myśli o głodzie. (Przysłowie abisyńskie)

do góry

W dniu 2016-05-13 o 10:35, A. Filip pisze:
> Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>>
>>>> Wytyczne GIODO:
>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>
>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>> nie trzeba zmieniać haseł.
>>
>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
>> w dodatku tak proste, jak się tylko da.
>
> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
tygodnie, czy za pół roku zmienię.

Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać pod
uwagę, to w ogóle bym nie zakładał konta.

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
wykryć patrząc na daty ostatniego logowania.

--
Liwiusz

do góry

W dniu 2016-05-13 10:35, A. Filip pisze:
> Liwiusz<l...@b...tego.poczta.onet.pl> pisze:
>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>>
>>>> Wytyczne GIODO:
>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>
>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>> nie trzeba zmieniać haseł.
>>
>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
>> w dodatku tak proste, jak się tylko da.
>
> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
>
> A co do zabezpieczania sobie dupy masz sporo racji IMHO.
>

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
zakodowane w postaci stratnej...

--
Kaczus
http://kaczus.ppa.pl

do góry

Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
> W dniu 2016-05-13 o 10:35, A. Filip pisze:
>> Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
>>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>>>
>>>>> Wytyczne GIODO:
>>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>>
>>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>>> nie trzeba zmieniać haseł.
>>>
>>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
>>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
>>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
>>> w dodatku tak proste, jak się tylko da.
>>
>> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
>> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
>> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
>
> Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
> tygodnie, czy za pół roku zmienię.
>
> Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać
> pod uwagę, to w ogóle bym nie zakładał konta.
>
> Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
> wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
> wykryć patrząc na daty ostatniego logowania.

Często jest właśnie tak jak piszesz ale niekoniecznie. Dość spore
opóźnienie w wykorzystaniu pozyskanych haseł i ich nieśpieszne
wykorzystywanie może służyć zamaskowaniu (choćby pod kątem ewentualnego
procesu) tego kto, gdzie i jak je pozyskał tak że bank się nawet nie
zorientował.

A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe". To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".

--
A. Filip
Jeżeli chcesz zachować przyjaciela, nie pożyczaj mu ani nie pożyczaj od
niego. (Przysłowie arabskie)

do góry

Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> pisze:
> W dniu 2016-05-13 10:35, A. Filip pisze:
>> Liwiusz<l...@b...tego.poczta.onet.pl> pisze:
>>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>>>
>>>>> Wytyczne GIODO:
>>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>>
>>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>>> nie trzeba zmieniać haseł.
>>>
>>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
>>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
>>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
>>> w dodatku tak proste, jak się tylko da.
>>
>> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
>> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
>> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
>>
>> A co do zabezpieczania sobie dupy masz sporo racji IMHO.
>>
>
> Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo
> co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku,
> to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost,
> tylko zakodowane w postaci stratnej...

Masz _pewność_ że korzystasz tylko z "rozsądnych systemów"? :-)

--
A. Filip
Jeżeli cię wilk zaprasza, idź do niego, ale zabierz ze sobą psa.
(Przysłowie gruzińskie)

do góry

On 2016-05-13, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:

[...]

> Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
> raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
> mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
> zakodowane w postaci stratnej...

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie problem zrobić
brute-force z algorytmem równoległym.
Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

--
Wojciech Bańcer
p...@p...pl

do góry

Użytkownik "Wojciech Bancer" napisał w wiadomości grup
dyskusyjnych:s...@p...org...
>md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter
i cyfr" ?
No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Ale 10 znakowe haslo wymaga juz sporej hali :-)

sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie
problem zrobić
brute-force z algorytmem równoległym.
Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

J.

do góry

On 2016-05-13, J.F. <j...@p...onet.pl> wrote:
> Użytkownik "Wojciech Bancer" napisał w wiadomości grup
> dyskusyjnych:s...@p...org...
>>md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
>
> Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter
> i cyfr" ? No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Kwestia sposobu przechowywania.
Tu: http://project-rainbowcrack.com/table.htm
md5_mixalpha-numeric#1-9
Counts: 13,759,005,997,841,642
I to ma poniżej 1TB.

> Ale 10 znakowe haslo wymaga juz sporej hali :-)

Zawsze można zaprząc GPU do zabawy.
https://securityledger.com/2012/12/new-25-gpu-monste
r-devours-passwords-in-seconds/

"The clustered GPUs clocked impressive speeds against more sturdy hashing algorithms
as well, including MD5 (180 billion attempts per second, 63 billion/second for SHA1
and 20 billion/second for passwords hashed using the LM algorithm. So called "slow
hash" algorithms fared better. The bcrypt (05) and sha512crypt permitted 71,000 and
364,000 per second, respectively."

A odpowiedni klaster maszyn można zbudować np. w cloudzie i nie trzeba na
to wydawać fortuny.

--
Wojciech Bańcer
p...@p...pl

do góry

W dniu 13-05-16 o 07:52, kapitalikk pisze:
> W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:
>> W dniu 12-05-16 o 12:56, kapitalikk pisze:
>>
>>> Nie ma tutaj żadnej koordynacji, współpracy.
>> Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
>> Wzory są podawane na szkoleniach dla administratorów.
>
> Czy mam rozumieć, że wzory są tajne?

Nie są tajne, ale nie ja je opracowywałem i nie czuję się upoważniony do
ich rozpowszechniania.

> Chciałbym jednak zrozumieć czasami, czym, jakimi podstawami kierują się
> istoty, które tworzą te rządowe programy.
> Ciągle u nich zauważam przerosty formy, nad treścią przy tworzeniu
> oprogramowania.

Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim certyfikatem.

do góry

On 2016-05-13, J.F. <j...@p...onet.pl> wrote:

[...]

>>md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
>
> Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter
> i cyfr" ?
> No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Żeby zademonstrować. :)
Dla 8-znakowych haseł można spróbować:
https://hashkiller.co.uk/md5-decrypter.aspx

np.
44ca68613970d018becb32235b0df42e
9013ba3cefdcdaed5de1223f07dcd2ac
200820e3227815ed1756a6b531e7e0d2
te hasła Ci odnajdzie bez problemu. A to była pierwsza-lepsza baza.
Zapewne są i lepsze, niekoniecznie darmowe. ;)

--
Wojciech Bańcer
p...@p...pl

do góry