Re: Obowiązek zmiany hasła w programach - Grupy dyskusyjne w eGospodarka.pl

Data: 2016-05-13 11:02:20
Temat: Re: Obowiązek zmiany hasła w programach
Od: "A. Filip" <a...@b...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
> W dniu 2016-05-13 o 10:35, A. Filip pisze:
>> Liwiusz <l...@b...tego.poczta.onet.pl> pisze:
>>> W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
>>>> Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):
>>>>
>>>>> Wytyczne GIODO:
>>>>> "Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
>>>>> użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
>>>>> się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
>>>>> są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
>>>>> łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."
>>>>
>>>> Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
>>>> nie trzeba zmieniać haseł.
>>>
>>> W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
>>> trudne hasło od lat, które mam tylko w pamięci; do programu, do
>>> którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
>>> w dodatku tak proste, jak się tylko da.
>>
>> A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
>> kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
>> Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.
>
> Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
> tygodnie, czy za pół roku zmienię.
>
> Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać
> pod uwagę, to w ogóle bym nie zakładał konta.
>
> Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
> wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
> wykryć patrząc na daty ostatniego logowania.

Często jest właśnie tak jak piszesz ale niekoniecznie. Dość spore
opóźnienie w wykorzystaniu pozyskanych haseł i ich nieśpieszne
wykorzystywanie może służyć zamaskowaniu (choćby pod kątem ewentualnego
procesu) tego kto, gdzie i jak je pozyskał tak że bank się nawet nie
zorientował.

A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe". To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".

--
A. Filip
Jeżeli chcesz zachować przyjaciela, nie pożyczaj mu ani nie pożyczaj od
niego. (Przysłowie arabskie)