eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoObowiązek zmiany hasła w programach
Ilość wypowiedzi w tym wątku: 51

  • 31. Data: 2016-05-13 19:07:12
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: kapitalikk <a...@g...com>

    W dniu 2016-05-13 o 17:30, Robert Tomasik pisze:
    > W dniu 13-05-16 o 07:52, kapitalikk pisze:
    >> W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:
    >>> W dniu 12-05-16 o 12:56, kapitalikk pisze:
    >>>
    >>>> Nie ma tutaj żadnej koordynacji, współpracy.
    >>> Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
    >>> Wzory są podawane na szkoleniach dla administratorów.
    >>
    >> Czy mam rozumieć, że wzory są tajne?
    >
    > Nie są tajne, ale nie ja je opracowywałem i nie czuję się upoważniony do
    > ich rozpowszechniania.
    >
    >> Chciałbym jednak zrozumieć czasami, czym, jakimi podstawami kierują się
    >> istoty, które tworzą te rządowe programy.
    >> Ciągle u nich zauważam przerosty formy, nad treścią przy tworzeniu
    >> oprogramowania.
    >
    > Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
    > Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim certyfikatem.

    Robercie ... nie muszę się zwracać do kogokolwiek.
    Ty i ja żyjemy w kraju, gdzie co jakiś czas wybucha bomba!!!!
    Dane firmy ubezpieczeniowej wyciekły!!!!
    Jakieś tam zabezpieczenia baz danych firm komercyjnych ... złamano.
    Czytałem w internecie, że są do kupienia różne bazy danych (z pewnością
    wszystkie legalne:)), po 20 gr za rekord.
    Poczekam, będę miał bazę, jaką będę chciał.
    Pytanie: A po co mi?
    Czasami spotykam specjalistów od zabezpieczeń baz danych, którzy na
    zapytanie o skuteczność zabezpieczeń uśmiechają się dwuznacznie,
    zamawiając "piwo bezalkoholowe" i stwierdzają, że zabezpieczenia
    stosowane przez urzędowych programistów są skuuuteczne.


  • 32. Data: 2016-05-13 19:55:23
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "re" <r...@r...invalid>



    Użytkownik "A. Filip"

    ...
    A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
    trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
    ---
    Skąd takie przekonanie ? Banki oczywiście piszą i utrzymują swoje
    oprogramowanie. Mają też działy bezpieczeństwa, które badają podatności
    używanego oprogramowania na ataki różnego rodzaju. I te systemy pewnie
    bywają bardziej dziurawe od systemów, które kupują od firm zewnętrznych.

    To że w systemach (hardware+software+ludzie+procedury)
    wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
    "statystycznie niemożliwe". To dla ciebie _może_ się przekładać na
    przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
    teoretyczne".
    ---
    I co z tego ?


  • 33. Data: 2016-05-13 20:03:59
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "re" <r...@r...invalid>



    Użytkownik "Tomasz Kaczanowski"

    >
    > A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
    > kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
    > Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
    >
    > A co do zabezpieczania sobie dupy masz sporo racji IMHO.
    >

    Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
    raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
    mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
    zakodowane w postaci stratnej...
    ---
    To nie jest kwestia sposobu przechowywania hasła tylko używania dobrego
    systemu uwierzytelniania. Techniki kryptograficzne używane w takich
    systemach z reguły dają pewność, z kim mamy do czynienia. Np. szyfrowanie
    asymetryczne.


  • 34. Data: 2016-05-13 21:18:20
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "re" <r...@r...invalid>



    Użytkownik "Wojciech Bancer"

    [...]

    >> Postuluję aby klient nie musiał za każdym razem logować się do części
    >> systemu PAŃSTWA podając inne hasło, inny login.
    >
    > No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
    > kluczem kwalifikowanym. Z moim własnym, nadanym PINem.
    > ---
    > Pokaż tę większość.

    epuap (sprawy różne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie
    formularzy nie ujętych w eDeklaracji. Chyba tylko NFZ wymaga osobnego
    loginu / hasła, przy czym rejestrację się przeprowadzało kluczem.
    ---
    Nie całkiem uważam ZUS i NFZ za systemy państwowe, ale ... jakby tak uznać
    to to jest znakomity przykład na ich bezużyteczność.

    Kiedyś raczyłem nie zgodzić się ze stanowiskiem ZUS w mojej sprawie i
    wniosłem o wstrzymanie postępowania do czasu otrzymania odpowiedzi na moje
    pismo do ministerstwa w temacie skorygowania pewnego rejestru. ZUS
    oczywiście nie przejął się i podjął decyzję bez tego skorygowania, więc
    poskarżyłem się w sądzie administracyjnym. Tym też się nie przejął i nim
    postępowanie w sądzie zakończyło się w ramach szykanowania mnie zlecił
    kontrolę NFZ. NFZ zwrócił się więc do mnie pisemnie o wyjaśnienia że taką
    kontrolę ZUS zlecił i oni teraz pytają się mnie o to samo co już ZUSowi
    jasno napisałem, ale nic konkretnego nie napisali na jakiej podstawie więc
    ... stwierdziłem, że czas na użycie ... a jakże ePuap. Wyjaśniłem, że
    zupełnie nie wiem o co pytają, żadnego pisma do którego luźno odwołują się w
    sprawie kontroli nie widziałem, więc nie wiem o co chodzi a oni tego w swoim
    zapytaniu nie zawarli bym mógł się wypowiedzieć. Zaptaszyłem oczywiście by
    odpowiedzi były nadsyłane za pomocą ePuap. No i co ... NFZ zupełnie tym się
    nie przejął, nadesłał odpowiedź zwykłym listem poleconym, więc ... ponownie
    użyłem ePuap wysłając tym razem skargę na niezastosowanie się do złożonej
    dyspozycji. I tyle. O sprawie zapomniałem bo wiadomo było, że toczy się
    postępowanie sądowe, więc i tak nie ma sensu wypowiadać się w tej sprawie i
    ... trzeba wiedzieć, że ePuap jest tak bezsensownym systemem, że ... o
    uzyskaniu odpowiedzi dowiesz się tylko logując się do niego, żadnych
    powiadomień (pisałem swego czasu o tym tutaj). Bo wyobraźmy sobie ... NFZ
    może mi wyśle swoją odpowiedź a może nie wyśle i nie wiadomo czy za miesiąc
    czy za rok, to ja nie będę codziennie logował się by to sprawdzać ? Więc
    nie. Tak sobie czas leciał aż sprawa w sądzie z mojej skargi na ZUS doszła
    do skutku. Sąd przychylił się do moich argumentów i ZUS musiał decyzję
    zmienić. Wszystko skończyło się i .. jakoś mnie naszło by zalogować się do
    ePuap a tam ... znalazłem zaległe pisma w mojej sprawie po skardze złożonej
    na nieużycie ePuap.

    Ale to nie wszystko w temacie korzystania z ePuap :-) Otóż niedawno... w
    pewnej sprawie braku reakcji policji doniosłem na nią w prokuraturze. Jak ?
    No wysłałem za pomocą ePuap oczywiście zaptaszając by odpowiedzi tak
    przychodziły. Co zrobiła prokuratura ? Odmówiła wszczęcia. Jak ? Ano zwykłym
    listem poleconym :-) Więc ... wysłałem zażalenie na odmowę ... ePuap. I co ?
    Otrzymałem potwierdzenie złożenia w sądzie ... zwykłym listem poleconym. Jak
    dowiedziałem się, że moja sprawa będzie przez sąd rozpatrywana. Ano ...
    dostałem zwykły list polecony :-)

    A ePuap mamy już z 10 lat...


  • 35. Data: 2016-05-13 22:04:43
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Robert Tomasik <r...@g...pl>

    W dniu 13-05-16 o 19:07, kapitalikk pisze:

    >> Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
    >> Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim
    >> certyfikatem.
    >
    > Robercie ... nie muszę się zwracać do kogokolwiek.
    > Ty i ja żyjemy w kraju, gdzie co jakiś czas wybucha bomba!!!!
    > Dane firmy ubezpieczeniowej wyciekły!!!!
    > Jakieś tam zabezpieczenia baz danych firm komercyjnych ... złamano.

    T wzory są oparte na obliczeniach statystycznych. Nie ma 100%
    zabezpieczenia.

    > Czytałem w internecie, że są do kupienia różne bazy danych (z pewnością
    > wszystkie legalne:)), po 20 gr za rekord.
    > Poczekam, będę miał bazę, jaką będę chciał.

    Ale co to ma wspólnego z hasłami i ich zmianami?

    > Pytanie: A po co mi?
    > Czasami spotykam specjalistów od zabezpieczeń baz danych, którzy na
    > zapytanie o skuteczność zabezpieczeń uśmiechają się dwuznacznie,
    > zamawiając "piwo bezalkoholowe" i stwierdzają, że zabezpieczenia
    > stosowane przez urzędowych programistów są skuuuteczne.
    >
    Bo są skuteczne z jakimś tam założonym prawdopodobieństwem.


  • 36. Data: 2016-05-13 23:55:49
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: cef <c...@i...pl>

    W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
    > Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
    >
    >> Wytyczne GIODO:
    >> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >> się co najmniej z 6 lub 8 znaków – w zależności od tego, czy w systemie
    >> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >
    > Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    > nie trzeba zmieniać haseł.


    Zupełnie bez sensu.
    Zwłaszcza, że do takiego Płatnika wymuszanie hasła można obejść
    w prymitywny sposób. pewnie i w tych innych
    systemach da się coś wymyśłić.


  • 37. Data: 2016-05-15 13:38:23
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Borys Pogoreło <b...@p...edu.leszno>

    Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

    >> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >
    > Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    > nie trzeba zmieniać haseł.

    Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
    osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
    klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
    numer rachunku bankowego uznają za daną osobową.

    --
    Borys Pogoreło
    borys(#)leszno,edu,pl


  • 38. Data: 2016-05-15 17:32:51
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: Jacek Maciejewski <j...@g...pl>

    Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):

    > Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):
    >
    >>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >>
    >> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    >> nie trzeba zmieniać haseł.
    >
    > Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
    > osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
    > klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
    > numer rachunku bankowego uznają za daną osobową.

    Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
    osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
    drzwiach tabliczkę z nazwiskiem.
    --
    Jacek
    "Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
    jej owoc jest gorzki" - Frank Herbert


  • 39. Data: 2016-05-15 17:45:24
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: "A. Filip" <a...@b...pl>

    Jacek Maciejewski <j...@g...pl> pisze:
    > Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):
    >
    >> Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):
    >>
    >>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
    >>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
    >>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
    >>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
    >>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
    >>>
    >>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    >>> nie trzeba zmieniać haseł.
    >>
    >> Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
    >> osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
    >> klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
    >> numer rachunku bankowego uznają za daną osobową.
    >
    > Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
    > osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
    > drzwiach tabliczkę z nazwiskiem.

    Sam o _swoje_ pieniądze nie zadbasz (bez GIODO)? :-)

    "Dane osobowe" w przeciwieństwie do "własnych (sporawych) pieniędzy" to
    coś o co w większości przypadków tylko "pieniacze" by indywidualnie walczyli.

    --
    A. Filip
    Jak Kuba Bogu, tak Bóg Kubie. (Przysłowie polskie)


  • 40. Data: 2016-05-16 09:34:51
    Temat: Re: Obowiązek zmiany hasła w programach
    Od: szerszen <s...@t...pl>

    On Fri, 13 May 2016 10:16:05 +0200
    Jacek Maciejewski <j...@g...pl> wrote:



    > Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
    > nie trzeba zmieniać haseł.

    Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.


    --
    pozdrawiam
    szerszeń

strony : 1 ... 3 . [ 4 ] . 5 . 6


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1