W dniu 2016-05-13 o 17:30, Robert Tomasik pisze:
> W dniu 13-05-16 o 07:52, kapitalikk pisze:
>> W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:
>>> W dniu 12-05-16 o 12:56, kapitalikk pisze:
>>>
>>>> Nie ma tutaj żadnej koordynacji, współpracy.
>>> Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
>>> Wzory są podawane na szkoleniach dla administratorów.
>>
>> Czy mam rozumieć, że wzory są tajne?
>
> Nie są tajne, ale nie ja je opracowywałem i nie czuję się upoważniony do
> ich rozpowszechniania.
>
>> Chciałbym jednak zrozumieć czasami, czym, jakimi podstawami kierują się
>> istoty, które tworzą te rządowe programy.
>> Ciągle u nich zauważam przerosty formy, nad treścią przy tworzeniu
>> oprogramowania.
>
> Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
> Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim certyfikatem.

Robercie ... nie muszę się zwracać do kogokolwiek.
Ty i ja żyjemy w kraju, gdzie co jakiś czas wybucha bomba!!!!
Dane firmy ubezpieczeniowej wyciekły!!!!
Jakieś tam zabezpieczenia baz danych firm komercyjnych ... złamano.
Czytałem w internecie, że są do kupienia różne bazy danych (z pewnością
wszystkie legalne:)), po 20 gr za rekord.
Poczekam, będę miał bazę, jaką będę chciał.
Pytanie: A po co mi?
Czasami spotykam specjalistów od zabezpieczeń baz danych, którzy na
zapytanie o skuteczność zabezpieczeń uśmiechają się dwuznacznie,
zamawiając "piwo bezalkoholowe" i stwierdzają, że zabezpieczenia
stosowane przez urzędowych programistów są skuuuteczne.

do góry

Użytkownik "A. Filip"

...
A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
---
Skąd takie przekonanie ? Banki oczywiście piszą i utrzymują swoje
oprogramowanie. Mają też działy bezpieczeństwa, które badają podatności
używanego oprogramowania na ataki różnego rodzaju. I te systemy pewnie
bywają bardziej dziurawe od systemów, które kupują od firm zewnętrznych.

To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe". To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".
---
I co z tego ?

do góry

Użytkownik "Tomasz Kaczanowski"

>
> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
>
> A co do zabezpieczania sobie dupy masz sporo racji IMHO.
>

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
zakodowane w postaci stratnej...
---
To nie jest kwestia sposobu przechowywania hasła tylko używania dobrego
systemu uwierzytelniania. Techniki kryptograficzne używane w takich
systemach z reguły dają pewność, z kim mamy do czynienia. Np. szyfrowanie
asymetryczne.

do góry

Użytkownik "Wojciech Bancer"

[...]

>> Postuluję aby klient nie musiał za każdym razem logować się do części
>> systemu PAŃSTWA podając inne hasło, inny login.
>
> No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
> kluczem kwalifikowanym. Z moim własnym, nadanym PINem.
> ---
> Pokaż tę większość.

epuap (sprawy różne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie
formularzy nie ujętych w eDeklaracji. Chyba tylko NFZ wymaga osobnego
loginu / hasła, przy czym rejestrację się przeprowadzało kluczem.
---
Nie całkiem uważam ZUS i NFZ za systemy państwowe, ale ... jakby tak uznać
to to jest znakomity przykład na ich bezużyteczność.

Kiedyś raczyłem nie zgodzić się ze stanowiskiem ZUS w mojej sprawie i
wniosłem o wstrzymanie postępowania do czasu otrzymania odpowiedzi na moje
pismo do ministerstwa w temacie skorygowania pewnego rejestru. ZUS
oczywiście nie przejął się i podjął decyzję bez tego skorygowania, więc
poskarżyłem się w sądzie administracyjnym. Tym też się nie przejął i nim
postępowanie w sądzie zakończyło się w ramach szykanowania mnie zlecił
kontrolę NFZ. NFZ zwrócił się więc do mnie pisemnie o wyjaśnienia że taką
kontrolę ZUS zlecił i oni teraz pytają się mnie o to samo co już ZUSowi
jasno napisałem, ale nic konkretnego nie napisali na jakiej podstawie więc
... stwierdziłem, że czas na użycie ... a jakże ePuap. Wyjaśniłem, że
zupełnie nie wiem o co pytają, żadnego pisma do którego luźno odwołują się w
sprawie kontroli nie widziałem, więc nie wiem o co chodzi a oni tego w swoim
zapytaniu nie zawarli bym mógł się wypowiedzieć. Zaptaszyłem oczywiście by
odpowiedzi były nadsyłane za pomocą ePuap. No i co ... NFZ zupełnie tym się
nie przejął, nadesłał odpowiedź zwykłym listem poleconym, więc ... ponownie
użyłem ePuap wysłając tym razem skargę na niezastosowanie się do złożonej
dyspozycji. I tyle. O sprawie zapomniałem bo wiadomo było, że toczy się
postępowanie sądowe, więc i tak nie ma sensu wypowiadać się w tej sprawie i
... trzeba wiedzieć, że ePuap jest tak bezsensownym systemem, że ... o
uzyskaniu odpowiedzi dowiesz się tylko logując się do niego, żadnych
powiadomień (pisałem swego czasu o tym tutaj). Bo wyobraźmy sobie ... NFZ
może mi wyśle swoją odpowiedź a może nie wyśle i nie wiadomo czy za miesiąc
czy za rok, to ja nie będę codziennie logował się by to sprawdzać ? Więc
nie. Tak sobie czas leciał aż sprawa w sądzie z mojej skargi na ZUS doszła
do skutku. Sąd przychylił się do moich argumentów i ZUS musiał decyzję
zmienić. Wszystko skończyło się i .. jakoś mnie naszło by zalogować się do
ePuap a tam ... znalazłem zaległe pisma w mojej sprawie po skardze złożonej
na nieużycie ePuap.

Ale to nie wszystko w temacie korzystania z ePuap :-) Otóż niedawno... w
pewnej sprawie braku reakcji policji doniosłem na nią w prokuraturze. Jak ?
No wysłałem za pomocą ePuap oczywiście zaptaszając by odpowiedzi tak
przychodziły. Co zrobiła prokuratura ? Odmówiła wszczęcia. Jak ? Ano zwykłym
listem poleconym :-) Więc ... wysłałem zażalenie na odmowę ... ePuap. I co ?
Otrzymałem potwierdzenie złożenia w sądzie ... zwykłym listem poleconym. Jak
dowiedziałem się, że moja sprawa będzie przez sąd rozpatrywana. Ano ...
dostałem zwykły list polecony :-)

A ePuap mamy już z 10 lat...

do góry

W dniu 13-05-16 o 19:07, kapitalikk pisze:

>> Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
>> Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim
>> certyfikatem.
>
> Robercie ... nie muszę się zwracać do kogokolwiek.
> Ty i ja żyjemy w kraju, gdzie co jakiś czas wybucha bomba!!!!
> Dane firmy ubezpieczeniowej wyciekły!!!!
> Jakieś tam zabezpieczenia baz danych firm komercyjnych ... złamano.

T wzory są oparte na obliczeniach statystycznych. Nie ma 100%
zabezpieczenia.

> Czytałem w internecie, że są do kupienia różne bazy danych (z pewnością
> wszystkie legalne:)), po 20 gr za rekord.
> Poczekam, będę miał bazę, jaką będę chciał.

Ale co to ma wspólnego z hasłami i ich zmianami?

> Pytanie: A po co mi?
> Czasami spotykam specjalistów od zabezpieczeń baz danych, którzy na
> zapytanie o skuteczność zabezpieczeń uśmiechają się dwuznacznie,
> zamawiając "piwo bezalkoholowe" i stwierdzają, że zabezpieczenia
> stosowane przez urzędowych programistów są skuuuteczne.
>
Bo są skuteczne z jakimś tam założonym prawdopodobieństwem.

do góry

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>
>> Wytyczne GIODO:
>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>> się co najmniej z 6 lub 8 znaków – w zależności od tego, czy w systemie
>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>
> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
> nie trzeba zmieniać haseł.


Zupełnie bez sensu.
Zwłaszcza, że do takiego Płatnika wymuszanie hasła można obejść
w prymitywny sposób. pewnie i w tych innych
systemach da się coś wymyśłić.

do góry

Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>
> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
> nie trzeba zmieniać haseł.

Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
numer rachunku bankowego uznają za daną osobową.

--
Borys Pogoreło
borys(#)leszno,edu,pl

do góry

Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):

> Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):
>
>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>
>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>> nie trzeba zmieniać haseł.
>
> Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
> osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
> klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
> numer rachunku bankowego uznają za daną osobową.

Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
drzwiach tabliczkę z nazwiskiem.
--
Jacek
"Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
jej owoc jest gorzki" - Frank Herbert

do góry

Jacek Maciejewski <j...@g...pl> pisze:
> Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):
>
>> Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):
>>
>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>
>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>> nie trzeba zmieniać haseł.
>>
>> Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
>> osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
>> klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
>> numer rachunku bankowego uznają za daną osobową.
>
> Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
> osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
> drzwiach tabliczkę z nazwiskiem.

Sam o _swoje_ pieniądze nie zadbasz (bez GIODO)? :-)

"Dane osobowe" w przeciwieństwie do "własnych (sporawych) pieniędzy" to
coś o co w większości przypadków tylko "pieniacze" by indywidualnie walczyli.

--
A. Filip
Jak Kuba Bogu, tak Bóg Kubie. (Przysłowie polskie)

do góry

On Fri, 13 May 2016 10:16:05 +0200
Jacek Maciejewski <j...@g...pl> wrote:



> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
> nie trzeba zmieniać haseł.

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.


--
pozdrawiam
szerszeń

do góry