eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoObowiązek zmiany hasła w programach
Ilość wypowiedzi w tym wątku: 51

  • 21. Data: 2016-05-13 10:35:42
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "A. Filip" <a...@b...pl>

    Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
    > W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
    >> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
    >>
    >>> Wytyczne GIODO:
    >>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >>
    >> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    >> nie trzeba zmieniać haseł.
    >
    > W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
    > trudne hasło od lat, które mam tylko w pamięci; do programu, do
    > którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
    > w dodatku tak proste, jak się tylko da.

    A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
    kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
    Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

    A co do zabezpieczania sobie dupy masz sporo racji IMHO.

    --
    A. Filip
    Syty nie myśli o głodzie. (Przysłowie abisyńskie)


  • 22. Data: 2016-05-13 10:38:25
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Liwiusz <l...@b...tego.poczta.onet.pl>

    W dniu 2016-05-13 o 10:35, A. Filip pisze:
    > Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
    >> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
    >>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
    >>>
    >>>> Wytyczne GIODO:
    >>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >>>
    >>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    >>> nie trzeba zmieniać haseł.
    >>
    >> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
    >> trudne hasło od lat, które mam tylko w pamięci; do programu, do
    >> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
    >> w dodatku tak proste, jak się tylko da.
    >
    > A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
    > kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
    > Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

    Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
    tygodnie, czy za pół roku zmienię.

    Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać pod
    uwagę, to w ogóle bym nie zakładał konta.

    Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
    wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
    wykryć patrząc na daty ostatniego logowania.

    --
    Liwiusz



  • 23. Data: 2016-05-13 10:41:45
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl>

    W dniu 2016-05-13 10:35, A. Filip pisze:
    > Liwiusz<l...@b...tego.poczta.onet.pl> pisze:
    >> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
    >>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
    >>>
    >>>> Wytyczne GIODO:
    >>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >>>
    >>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    >>> nie trzeba zmieniać haseł.
    >>
    >> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
    >> trudne hasło od lat, które mam tylko w pamięci; do programu, do
    >> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
    >> w dodatku tak proste, jak się tylko da.
    >
    > A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
    > kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
    > Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
    >
    > A co do zabezpieczania sobie dupy masz sporo racji IMHO.
    >

    Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
    raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
    mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
    zakodowane w postaci stratnej...

    --
    Kaczus
    http://kaczus.ppa.pl


  • 24. Data: 2016-05-13 11:02:20
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "A. Filip" <a...@b...pl>

    Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
    > W dniu 2016-05-13 o 10:35, A. Filip pisze:
    >> Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
    >>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
    >>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
    >>>>
    >>>>> Wytyczne GIODO:
    >>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >>>>
    >>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    >>>> nie trzeba zmieniać haseł.
    >>>
    >>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
    >>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
    >>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
    >>> w dodatku tak proste, jak się tylko da.
    >>
    >> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
    >> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
    >> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
    >
    > Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
    > tygodnie, czy za pół roku zmienię.
    >
    > Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać
    > pod uwagę, to w ogóle bym nie zakładał konta.
    >
    > Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
    > wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
    > wykryć patrząc na daty ostatniego logowania.

    Często jest właśnie tak jak piszesz ale niekoniecznie. Dość spore
    opóźnienie w wykorzystaniu pozyskanych haseł i ich nieśpieszne
    wykorzystywanie może służyć zamaskowaniu (choćby pod kątem ewentualnego
    procesu) tego kto, gdzie i jak je pozyskał tak że bank się nawet nie
    zorientował.

    A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
    trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
    To że w systemach (hardware+software+ludzie+procedury)
    wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
    "statystycznie niemożliwe". To dla ciebie _może_ się przekładać na
    przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
    teoretyczne".

    --
    A. Filip
    Jeżeli chcesz zachować przyjaciela, nie pożyczaj mu ani nie pożyczaj od
    niego. (Przysłowie arabskie)


  • 25. Data: 2016-05-13 11:04:28
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "A. Filip" <a...@b...pl>

    Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> pisze:
    > W dniu 2016-05-13 10:35, A. Filip pisze:
    >> Liwiusz<l...@b...tego.poczta.onet.pl> pisze:
    >>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
    >>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
    >>>>
    >>>>> Wytyczne GIODO:
    >>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >>>>
    >>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    >>>> nie trzeba zmieniać haseł.
    >>>
    >>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
    >>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
    >>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
    >>> w dodatku tak proste, jak się tylko da.
    >>
    >> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
    >> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
    >> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
    >>
    >> A co do zabezpieczania sobie dupy masz sporo racji IMHO.
    >>
    >
    > Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo
    > co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku,
    > to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost,
    > tylko zakodowane w postaci stratnej...

    Masz _pewność_ że korzystasz tylko z "rozsądnych systemów"? :-)

    --
    A. Filip
    Jeżeli cię wilk zaprasza, idź do niego, ale zabierz ze sobą psa.
    (Przysłowie gruzińskie)


  • 26. Data: 2016-05-13 11:37:39
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Wojciech Bancer <p...@p...pl>

    On 2016-05-13, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:

    [...]

    > Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
    > raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
    > mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
    > zakodowane w postaci stratnej...

    md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
    sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie problem zrobić
    brute-force z algorytmem równoległym.
    Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

    --
    Wojciech Bańcer
    p...@p...pl


  • 27. Data: 2016-05-13 14:54:14
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Wojciech Bancer" napisał w wiadomości grup
    dyskusyjnych:s...@p...org...
    >md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

    Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter
    i cyfr" ?
    No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

    Ale 10 znakowe haslo wymaga juz sporej hali :-)

    sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie
    problem zrobić
    brute-force z algorytmem równoległym.
    Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

    J.


  • 28. Data: 2016-05-13 17:14:05
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Wojciech Bancer <p...@p...pl>

    On 2016-05-13, J.F. <j...@p...onet.pl> wrote:
    > Użytkownik "Wojciech Bancer" napisał w wiadomości grup
    > dyskusyjnych:s...@p...org...
    >>md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
    >
    > Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter
    > i cyfr" ? No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

    Kwestia sposobu przechowywania.
    Tu: http://project-rainbowcrack.com/table.htm
    md5_mixalpha-numeric#1-9
    Counts: 13,759,005,997,841,642
    I to ma poniżej 1TB.

    > Ale 10 znakowe haslo wymaga juz sporej hali :-)

    Zawsze można zaprząc GPU do zabawy.
    https://securityledger.com/2012/12/new-25-gpu-monste
    r-devours-passwords-in-seconds/

    "The clustered GPUs clocked impressive speeds against more sturdy hashing algorithms
    as well, including MD5 (180 billion attempts per second, 63 billion/second for SHA1
    and 20 billion/second for passwords hashed using the LM algorithm. So called "slow
    hash" algorithms fared better. The bcrypt (05) and sha512crypt permitted 71,000 and
    364,000 per second, respectively."

    A odpowiedni klaster maszyn można zbudować np. w cloudzie i nie trzeba na
    to wydawać fortuny.

    --
    Wojciech Bańcer
    p...@p...pl


  • 29. Data: 2016-05-13 17:30:19
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Robert Tomasik <r...@g...pl>

    W dniu 13-05-16 o 07:52, kapitalikk pisze:
    > W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:
    >> W dniu 12-05-16 o 12:56, kapitalikk pisze:
    >>
    >>> Nie ma tutaj żadnej koordynacji, współpracy.
    >> Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
    >> Wzory są podawane na szkoleniach dla administratorów.
    >
    > Czy mam rozumieć, że wzory są tajne?

    Nie są tajne, ale nie ja je opracowywałem i nie czuję się upoważniony do
    ich rozpowszechniania.

    > Chciałbym jednak zrozumieć czasami, czym, jakimi podstawami kierują się
    > istoty, które tworzą te rządowe programy.
    > Ciągle u nich zauważam przerosty formy, nad treścią przy tworzeniu
    > oprogramowania.

    Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
    Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim certyfikatem.


  • 30. Data: 2016-05-13 18:01:06
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Wojciech Bancer <p...@p...pl>

    On 2016-05-13, J.F. <j...@p...onet.pl> wrote:

    [...]

    >>md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
    >
    > Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter
    > i cyfr" ?
    > No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

    Żeby zademonstrować. :)
    Dla 8-znakowych haseł można spróbować:
    https://hashkiller.co.uk/md5-decrypter.aspx

    np.
    44ca68613970d018becb32235b0df42e
    9013ba3cefdcdaed5de1223f07dcd2ac
    200820e3227815ed1756a6b531e7e0d2
    te hasła Ci odnajdzie bez problemu. A to była pierwsza-lepsza baza.
    Zapewne są i lepsze, niekoniecznie darmowe. ;)

    --
    Wojciech Bańcer
    p...@p...pl

strony : 1 . 2 . [ 3 ] . 4 ... 6


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1