Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która nakazuje określoną częstotliwość zmiany haseł w programach obsługujących dane np. pracowników (Płacznik, programy księgowe), wejścia na portale rządowe.

Dam przykład:
tzw. Pułe - narzuca mi samo login. Hasło mam własne.
Płacznik to każe ustawowo zmieniać hasło co 30 dni. Ma w tym przypadku w dupie, wprowadzanie jakiś specjalnych znaków.
Portal celny też ma własne hasła.
Postal SIO - własne hasła, oczywiście poppieprzone SIO działa już w dwóch programach ale ja robię w jednym i starczy.
Stetystyka - PORAŻKA!! -bardziej idiotycznie działającego portalu nie widziałem. Pomijam tutaj, że w tym portalu jeden urzędnik pyta mnie o to, co przekazałem wcześniej innemu urzędnikowi, jakby sam nie potrafił sobie tej informacji pobrać. Co robię? w dupę powtarzam bezzsensownie te dane.
Pfrony hasła i loginy.
Jest tego więcej.
  i pytam, Kiedy skończy się bezsensowne przekazywanie danych do urzędasów, którym to na gówno potrzebne.(tak se ponarzekałem na tfurcuf programów rządowych i rządowych portali internetowych.

Nie ma tutaj żadnej koordynacji, współpracy.

Pozdrawiam

On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:

[...]

Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy, tak?

--
Wojciech Bańcer
proteus@post.pl

W dniu 2016-05-12 o 12:59, Wojciech Bancer pisze:

On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:

[...]

Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
tak?

Wojciechu chyba mało wiesz w temacie, urzędnicy mają dostęp do wszystkich Twoich danych? Znam mądrych urzędników, którzy potrafią łączyć się z danymi REGON, PESEL, ZUS, US i wszystko o kliencie wiedzą. Jak ja chcę o sobie dowiedzieć się cokolwiek, to muszę znać wiele loginów i haseł.

Postuluję aby klient nie musiał za każdym razem logować się do części
systemu PAŃSTWA podając inne hasło, inny login.
Żeby mu pieprzony programista (jeśli nie ma takiej podstawy prawnej) nie
narzucał, że muszę pieprzone specjalne znaki umieszczać w haśle i małe i
duże litery i liczby i żeby jeden pieprzony programista nie kazał mi
tworzyć hasła składającego się z 7 znaków, innego hasła z 8 znaków a
jeszcze innego hasła z 9 znakami. I że to wszystko mam zmieniac co 20
lub 30 lub 40 dni. ot takie urozmaicenie. Żebym się k...a nie zanudził
przypadkiem.
Cały czas pytam, czy są jakieś podstawy prawne narzucające mi zmianę
okresową tych haseł?

Pozrawiam

On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:

[...]

Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
tak?

Wojciechu chyba mało wiesz w temacie, urzędnicy mają dostęp do wszystkich Twoich danych?

Nie. Nie mają.

Znam mądrych urzędników, którzy potrafią łączyć się z danymi REGON, PESEL, ZUS, US i wszystko o kliencie wiedzą.

Na szczęście nie wszyscy mają takie uprawnienia.

Jak ja chcę o sobie dowiedzieć się cokolwiek, to muszę znać wiele loginów i haseł.

A w czym problem konkretnie?

Postuluję aby klient nie musiał za każdym razem logować się do części
systemu PAŃSTWA podając inne hasło, inny login.

No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
kluczem kwalifikowanym. Z moim własnym, nadanym PINem.

Żeby mu pieprzony programista (jeśli nie ma takiej podstawy prawnej) nie
narzucał, że muszę pieprzone specjalne znaki umieszczać w haśle i małe i
duże litery i liczby i żeby jeden pieprzony programista nie kazał mi

Sam jesteś to co powiedziałeś. :)

https://edugiodo.giodo.gov.pl/pluginfile.php/113/mod_resource/content/17/INF1/INF_R03_02.html
-- -
3. POZIOMY BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO
3.1. Poziom podstawowy

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

3.2. Poziom podwyższony

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
-- --

tworzyć hasła składającego się z 7 znaków, innego hasła z 8 znaków a
jeszcze innego hasła z 9 znakami. I że to wszystko mam zmieniac co 20
lub 30 lub 40 dni. ot takie urozmaicenie. Żebym się k...a nie zanudził
przypadkiem.

Nom. :)

Cały czas pytam, czy są jakieś podstawy prawne narzucające mi zmianę
okresową tych haseł?

Tak. Są.

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Wojciech Bancer"

Postuluję aby klient nie musiał za każdym razem logować się do części
systemu PAŃSTWA podając inne hasło, inny login.

No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
kluczem kwalifikowanym. Z moim własnym, nadanym PINem.
-- -
Pokaż tę większość.

On 2016-05-12, re <re@re.invalid> wrote:

[...]

Postuluję aby klient nie musiał za każdym razem logować się do części
systemu PAŃSTWA podając inne hasło, inny login.

No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
kluczem kwalifikowanym. Z moim własnym, nadanym PINem.
-- -
Pokaż tę większość.

epuap (sprawy różne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie formularzy nie ujętych w eDeklaracji. Chyba tylko NFZ wymaga osobnego
loginu / hasła, przy czym rejestrację się przeprowadzało kluczem.

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Wojciech Bancer"

[...]

Postuluję aby klient nie musiał za każdym razem logować się do części
systemu PAŃSTWA podając inne hasło, inny login.

No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
kluczem kwalifikowanym. Z moim własnym, nadanym PINem.
-- -
Pokaż tę większość.

epuap (sprawy różne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie
formularzy nie ujętych w eDeklaracji. Chyba tylko NFZ wymaga osobnego
loginu / hasła, przy czym rejestrację się przeprowadzało kluczem.
-- -
Nie całkiem uważam ZUS i NFZ za systemy państwowe, ale ... jakby tak uznać to to jest znakomity przykład na ich bezużyteczność.

Kiedyś raczyłem nie zgodzić się ze stanowiskiem ZUS w mojej sprawie i wniosłem o wstrzymanie postępowania do czasu otrzymania odpowiedzi na moje pismo do ministerstwa w temacie skorygowania pewnego rejestru. ZUS oczywiście nie przejął się i podjął decyzję bez tego skorygowania, więc poskarżyłem się w sądzie administracyjnym. Tym też się nie przejął i nim postępowanie w sądzie zakończyło się w ramach szykanowania mnie zlecił kontrolę NFZ. NFZ zwrócił się więc do mnie pisemnie o wyjaśnienia że taką kontrolę ZUS zlecił i oni teraz pytają się mnie o to samo co już ZUSowi jasno napisałem, ale nic konkretnego nie napisali na jakiej podstawie więc .... stwierdziłem, że czas na użycie ... a jakże ePuap. Wyjaśniłem, że zupełnie nie wiem o co pytają, żadnego pisma do którego luźno odwołują się w sprawie kontroli nie widziałem, więc nie wiem o co chodzi a oni tego w swoim zapytaniu nie zawarli bym mógł się wypowiedzieć. Zaptaszyłem oczywiście by odpowiedzi były nadsyłane za pomocą ePuap. No i co ... NFZ zupełnie tym się nie przejął, nadesłał odpowiedź zwykłym listem poleconym, więc ... ponownie użyłem ePuap wysłając tym razem skargę na niezastosowanie się do złożonej dyspozycji. I tyle. O sprawie zapomniałem bo wiadomo było, że toczy się postępowanie sądowe, więc i tak nie ma sensu wypowiadać się w tej sprawie i .... trzeba wiedzieć, że ePuap jest tak bezsensownym systemem, że ... o uzyskaniu odpowiedzi dowiesz się tylko logując się do niego, żadnych powiadomień (pisałem swego czasu o tym tutaj). Bo wyobraźmy sobie ... NFZ może mi wyśle swoją odpowiedź a może nie wyśle i nie wiadomo czy za miesiąc czy za rok, to ja nie będę codziennie logował się by to sprawdzać ? Więc nie. Tak sobie czas leciał aż sprawa w sądzie z mojej skargi na ZUS doszła do skutku. Sąd przychylił się do moich argumentów i ZUS musiał decyzję zmienić. Wszystko skończyło się i .. jakoś mnie naszło by zalogować się do ePuap a tam ... znalazłem zaległe pisma w mojej sprawie po skardze złożonej na nieużycie ePuap.

Ale to nie wszystko w temacie korzystania z ePuap :-) Otóż niedawno... w pewnej sprawie braku reakcji policji doniosłem na nią w prokuraturze. Jak ? No wysłałem za pomocą ePuap oczywiście zaptaszając by odpowiedzi tak przychodziły. Co zrobiła prokuratura ? Odmówiła wszczęcia. Jak ? Ano zwykłym listem poleconym :-) Więc ... wysłałem zażalenie na odmowę ... ePuap. I co ? Otrzymałem potwierdzenie złożenia w sądzie ... zwykłym listem poleconym. Jak dowiedziałem się, że moja sprawa będzie przez sąd rozpatrywana. Ano ... dostałem zwykły list polecony :-)

A ePuap mamy już z 10 lat...

W dniu 2016-05-13 o 21:18, re pisze:

A ePuap mamy już z 10 lat...

Eeeeee. Jakiś czas temu wysyłałem jakieś pisma do prokuratury, zrobiłem
to przez ePUAP (bo czemu nie), dostałem potwierdzenie odbioru, ale w
papierach sprawy nic się nie pojawiło. Dzwonię, pytam gdzie mój wniosek,
a pani z rozbrajającą szczerością mówi mi, że ona wpisuje swoje nazwisko
(chyba w login), a potem musi podać jakieś hasło i czy ja nie wiem co tu
wpisać :-> Czy nie mógłbym jej tego wysłać po prostu mailem. Na moje
pytanie jak sobie to wyobraża, bo nie będę przecież miał żadnego
potwierdzenia, znów rozbrajająco stwierdziła, że przecież mogę zaznaczyć
w programie, że chcę potwierdzenie wiadomości i ona mi kliknie, że
odsyła potwierdzenie :-D No informatyczna masakra po prostu.

--
Pozdrawiam
Maciek

W dniu 2016-05-13 o 09:46, Wojciech Bancer pisze:

Pokaż tę większość.

epuap (sprawy różne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie formularzy nie ujętych w eDeklaracji. Chyba tylko NFZ wymaga osobnego
loginu / hasła, przy czym rejestrację się przeprowadzało kluczem.

To ja w te miejsca loguję się profilem zaufanym. Hasła chyba nigdy nie
zmieniałem.

--
Pozdrawiam
Maciek

Na szczęście nie wszyscy mają takie uprawnienia.

JA ująłbym to tak:
Większość z tych co mogę mieć dostęp, nie potrafi skorzystać z możliwości, bo nie umie lub nie zna się w temacie.
Uwierz mi znam trochę to środowisko od "tyłu".

Jak ja chcę o sobie dowiedzieć się cokolwiek, to muszę znać wiele
loginów i haseł.

A w czym problem konkretnie?

Postuluję aby klient nie musiał za każdym razem logować się do części
systemu PAŃSTWA podając inne hasło, inny login.

No to sie nie loguj. Ja np. się do większości systemów PAŃSTWA loguję
kluczem kwalifikowanym. Z moim własnym, nadanym PINem.

Ehhhh ja też.

Żeby mu pieprzony programista (jeśli nie ma takiej podstawy prawnej) nie
narzucał, że muszę pieprzone specjalne znaki umieszczać w haśle i małe i
duże litery i liczby i żeby jeden pieprzony programista nie kazał mi

Sam jesteś to co powiedziałeś. :)

a gó... :)
Widać nie pracujesz m.in. na idiotycznie pierdolniętym (to skromnie napisane) edytorze Płacznik.
Masz klucz. Ja też mam. Wysyłam rozliczenia miesięczne płatników składek. Ty chyba nie.
Każdy płatnik ma dwustronną wymianę danych. Czy jak to zwą inaczej.
Zbierasz pliki do wysyłki masz ich 50.
I teraz pierdolnięty cyrk.
Nie wyślesz pliku, jeśli nie zaktualizujesz danych, więc aktualizuję dane.
Ale zanim dane zaktuwlizuję, muszą podać pin do klucza i ewentualnie inne dane płatnika. Datę założenia działalności (kurwa te dane są dostępne ogólnie w CEIDG) ale program zaputowywuje o dane. Podaję je. Następuje aktualizacja. Trwa od 5 do 15 minut. Kurwa ale ta operacja odbywa się z każdym płatnikiem. Płatników jest 50. Ja ra chuje!!
50 x 10 minut = 500 minut.
Tyle czasu trwa pierdoloenie się z ochroną danych osobowych.
Dzwonię na infonielinię ZUS i informuję o idiotyźmie Pada odpowiedź. Oni wiedzą ale nic nie zrobią.
Kurwa to program zrobiony za moje pieniądze i chyba dla mnie.
I się nie da.
Jak tu nie donieść do Kaczorów faktu, że od 17 lat nikt nie potrafił sprostać prostemu programowi?
Chyba tylko oni pomogę bu wszystkim , którym donosiłem to pomachali mądrze głowami, jak mój pies, i nic nie zrobili.
Powiem więcej, nawet bardziej spierdolili program.
Czy logowanie się po kilkadziesiąt razy podczas wysyłania plików płatników w jednej operacji to ochrona danych osobowych, czy niedoróbstwo i brak wiedzy programistów?

https://edugiodo.giodo.gov.pl/pluginfile.php/113/mod_resource/content/17/INF1/INF_R03_02.html

Cały czas pytam, czy są jakieś podstawy prawne narzucające mi zmianę
okresową tych haseł?

Tak. Są.

Odpowiedział mi na to wcześniej Krzysztof, ale dziękuję również.

Mógłbym jeszcze ponapierdalać na SIO
na ePron
na ..... w zasadzie na każdy program zrobiony za państwowe piniądze dla ludzi.
Generalnie są one spierdolone na maxa.
Pracuję na programach, za które sam płaciłem.
Dziiiwne.
Działają zupełnie inaczej. Jakoś tak jakby przyjaźnie.
Do tego wszystkiego programiści mi dupę  zawracają, pytając: Jak mogliby mi jeszcze ułatwić pracę z tym programem.
Jakieś takie kompletnie inne podejście.
I ochrona danych jakoś inaczej rozwiązana.
Czyli można?
Można
Pozdrawiam

Użytkownik "kapitalikk"

....
Czy logowanie się po kilkadziesiąt razy podczas wysyłania plików
płatników w jednej operacji to ochrona danych osobowych, czy
niedoróbstwo i brak wiedzy programistów?
-- -
Programy są kodowane przez programistów, ale nie powstają z ich inicjatywy. Programiści implementują tylko specyfikację, którą im się dostarcza.

On Thu, 12 May 2016 20:36:43 +0200, kapitalikk <aratogo@gmail.com>
wrote:

Ale zanim dane zaktuwlizuję, muszą podać pin do klucza i ewentualnie inne dane płatnika. Datę założenia działalności (kurwa te dane są dostępne ogólnie w CEIDG) ale program zaputowywuje o dane.

Ciekawie jest w przypadku urzędów/instytucji państwowych gdzie trzeba
podać tę datę startową... I za cholere nie wiadomo jaką wpisać :)

WAM
--
www.nawakacje.pl ?
pokoje w górach www.wpolskichgorach.pl
pokoje na Mazurach www.spanienamazurach.pl
pokoje nad morzem www.nadmorze.pl

Użytkownik Wojciech Bancer proteus@post.pl ...

On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:

[...]

Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy, tak?

Mysle, ze pyta, skad kazda instytucja robi po swojemu.
Przykładowo:
- deklaracje do US mozna wysłac majac tylko kwote z pit z zeszłego roku
- deklaracje do ZUS mozna wysłać majac do najmniej profil zaufany epuap ale to nie wystarcza! Trzeba jeszcze potwierdzic kazdą wysyłkę kodem z maila.
- profil epuap to potwierdzenie tozsamosci ale mimo tego nie da rady za jego posrednictwem założyc konta w NFZ - dlaczego? NFZ twierdzi ze giodo, giodo, ze nie wymagało tego...

Itd...

Użytkownik "Wojciech Bancer"

[...]

Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
tak?
-- -
Przecież napisał, że chodzi o uwierzytelnianie, czyli systemy takie jak OpenID tudzież OAuth

On 2016-05-12, re <re@re.invalid> wrote:

Użytkownik "Wojciech Bancer"

[...]

Nie ma tutaj żadnej koordynacji, współpracy.

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy,
tak?
-- -
Przecież napisał, że chodzi o uwierzytelnianie, czyli systemy takie jak OpenID tudzież OAuth

W drugim fragmencie pisał że urzędnicy ciągle proszą go o te same informacje,
zamiast je pobrać od siebie. Że nie ma "koordynacji, współpracy". To wg Ciebie chodzi tylko o uwierzytelnienie?

--
Wojciech Bańcer
proteus@post.pl

W dniu czwartek, 12 maja 2016 12:59:22 UTC+2 użytkownik Wojciech Bancer napisał:

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy, tak?

To byłoby chyba całkiem dobre rozwiązanie- oczywiście odpowiednie poziomy dostępów trzeba by poprzydszielać

Kris <kszysztofc@gmail.com> pisze:

W dniu czwartek, 12 maja 2016 12:59:22 UTC+2 użytkownik Wojciech Bancer napisał:

Czyli postulujesz zaistnienie jednej centralnej bazy danych
wszystkiego o podatniku, do której mają dostęp wszystcy urzędnicy, tak?

To byłoby chyba całkiem dobre rozwiązanie- oczywiście odpowiednie
poziomy dostępów trzeba by poprzydszielać

Dla mnie jesteś "nieuleczalnym optymistą" z twoją wizją jak by to
działało w praktyce.

--
A. Filip
Pasuje jak piąte koło u wozu.  (Przysłowie polskie)

W dniu 2016-05-12 o 12:56, kapitalikk pisze:

Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
rządowe.

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

W dniu 2016-05-12 o 13:52, Krzysztof Jodłowski pisze:

W dniu 2016-05-12 o 12:56, kapitalikk pisze:

Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
rządowe.

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Ty to Q2 umiesz pocieszyć :(

Pozdrawiam
:)

W dniu 2016-05-12 13:52, Krzysztof Jodłowski pisze:

W dniu 2016-05-12 o 12:56, kapitalikk pisze:

Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
rządowe.

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Szkoda, że wytyczne nie konsultowane z nikim, kto zna sie na bezpieczeństwie i ludzkiej psychice, takie wytyczne obniżają bezpieczeństwo, a nie je gwarantują...

--
Kaczus
http://kaczus.ppa.pl

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.
--
Jacek
"Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
jej owoc jest gorzki" - Frank Herbert

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam trudne hasło od lat, które mam tylko w pamięci; do programu, do którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie, w dodatku tak proste, jak się tylko da.

--
Liwiusz

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

--
A. Filip
Syty nie myśli o głodzie.  (Przysłowie abisyńskie)

W dniu 2016-05-13 o 10:35, A. Filip pisze:

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2 tygodnie, czy za pół roku zmienię.

Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać pod uwagę, to w ogóle bym nie zakładał konta.

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to wykryć patrząc na daty ostatniego logowania.

--
Liwiusz

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:35, A. Filip pisze:

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
tygodnie, czy za pół roku zmienię.

Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać
pod uwagę, to w ogóle bym nie zakładał konta.

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
wykryć patrząc na daty ostatniego logowania.

Często jest właśnie tak jak piszesz ale niekoniecznie.  Dość spore
opóźnienie w wykorzystaniu pozyskanych haseł i ich nieśpieszne
wykorzystywanie może służyć zamaskowaniu (choćby pod kątem ewentualnego
procesu) tego kto, gdzie i jak je pozyskał tak że bank się nawet nie
zorientował.

A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe".  To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".

--
A. Filip
Jeżeli chcesz zachować przyjaciela, nie pożyczaj mu ani nie pożyczaj od
niego.  (Przysłowie arabskie)

Użytkownik "A. Filip"

....
A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
-- -
Skąd takie przekonanie ? Banki oczywiście piszą i utrzymują swoje oprogramowanie. Mają też działy bezpieczeństwa, które badają podatności używanego oprogramowania na ataki różnego rodzaju. I te systemy pewnie bywają bardziej dziurawe od systemów, które kupują od firm zewnętrznych.

To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe".  To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".
-- -
I co z tego ?

W dniu 2016-05-13 o 10:38, Liwiusz pisze:

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
wyprowadzi,

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Pozdrawiam

W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 użytkownik Miroo napisał:

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Jak to zrobił samym hasłem?

W dniu 2016-05-17 o 12:55, Kris pisze:

W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 użytkownik Miroo napisał:

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Jak to zrobił samym hasłem?

Nie znam szczegółów, ale w jakiś sposób spryciarzowi udało się przez infolinię zmienić numer telefonu. Podobno zrobił kilka podejść, bo nie od razu się udało.
Kolega informatyk, więc potrafi zadbać należycie o bezpieczeństwo, ale oczywiście nie można wykluczyć, że jakiś skrypt/trojan wykradł mu namiary na konto.
Nie bądźcie więc tacy pewni, bo może trafić każdego :)

Sprawa dotyczyła co najmniej kilku pokrzywdzonych w ten sposób osób przez tego samego sprawcę.

Pozdrawiam

W dniu 2016-05-17 o 12:45, Miroo pisze:

W dniu 2016-05-13 o 10:38, Liwiusz pisze:

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
wyprowadzi,

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Bez hasła jednorazowego?

I co dalej?

--
Liwiusz

W dniu 2016-05-13 10:35, A. Filip pisze:

Liwiusz<lmalin@bez.tego.poczta.onet.pl>  pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko zakodowane w postaci stratnej...

--
Kaczus
http://kaczus.ppa.pl

Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> pisze:

W dniu 2016-05-13 10:35, A. Filip pisze:

Liwiusz<lmalin@bez.tego.poczta.onet.pl>  pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo
co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku,
to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost,
tylko zakodowane w postaci stratnej...

Masz _pewność_ że korzystasz tylko z "rozsądnych systemów"? :-)

--
A. Filip
Jeżeli cię wilk zaprasza, idź do niego, ale zabierz ze sobą psa.
(Przysłowie gruzińskie)

On 2016-05-13, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:

[...]

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko zakodowane w postaci stratnej...

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie problem zrobić
brute-force z algorytmem równoległym.
Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org...

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ?
No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Ale 10 znakowe haslo wymaga juz sporej hali :-)

sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie problem zrobić
brute-force z algorytmem równoległym.
Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

J.

On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org...

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ? No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Kwestia sposobu przechowywania.
Tu: http://project-rainbowcrack.com/table.htm
 md5_mixalpha-numeric#1-9
 Counts: 13,759,005,997,841,642
I to ma poniżej 1TB.

Ale 10 znakowe haslo wymaga juz sporej hali :-)

Zawsze można zaprząc GPU do zabawy.
https://securityledger.com/2012/12/new-25-gpu-monster-devours-passwords-in-seconds/

"The clustered GPUs clocked impressive speeds against more sturdy hashing algorithms as well, including MD5 (180 billion attempts per second, 63 billion/second for SHA1 and 20 billion/second for passwords hashed using the LM algorithm. So called "slow hash" algorithms fared better. The bcrypt (05) and sha512crypt permitted 71,000 and 364,000 per second, respectively."

A odpowiedni klaster maszyn można zbudować np. w cloudzie i nie trzeba na
to wydawać fortuny.

--
Wojciech Bańcer
proteus@post.pl

On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

[...]

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ?
No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Żeby zademonstrować. :)
Dla 8-znakowych haseł można spróbować:
https://hashkiller.co.uk/md5-decrypter.aspx

np. 44ca68613970d018becb32235b0df42e
9013ba3cefdcdaed5de1223f07dcd2ac
200820e3227815ed1756a6b531e7e0d2
te hasła Ci odnajdzie bez problemu. A to była pierwsza-lepsza baza.
Zapewne są i lepsze, niekoniecznie darmowe. ;)

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Tomasz Kaczanowski"

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
zakodowane w postaci stratnej...
-- -
To nie jest kwestia sposobu przechowywania hasła tylko używania dobrego systemu uwierzytelniania. Techniki kryptograficzne używane w takich systemach z reguły dają pewność, z kim mamy do czynienia. Np. szyfrowanie asymetryczne.

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków – w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Zupełnie bez sensu.
Zwłaszcza, że do takiego Płatnika wymuszanie hasła można obejść
w prymitywny sposób. pewnie i w tych innych
systemach da się coś wymyśłić.

Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
numer rachunku bankowego uznają za daną osobową.

--
Borys Pogoreło
borys(#)leszno,edu,pl

Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):

Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
numer rachunku bankowego uznają za daną osobową.

Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
drzwiach tabliczkę z nazwiskiem.
--
Jacek
"Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
jej owoc jest gorzki" - Frank Herbert

Jacek Maciejewski <jacmac@go2.pl> pisze:

Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):

Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
numer rachunku bankowego uznają za daną osobową.

Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
drzwiach tabliczkę z nazwiskiem.

Sam o _swoje_ pieniądze nie zadbasz (bez GIODO)? :-)

"Dane osobowe" w przeciwieństwie do "własnych (sporawych) pieniędzy" to
coś o co w większości przypadków tylko "pieniacze" by indywidualnie walczyli.

--
A. Filip
Jak Kuba Bogu, tak Bóg Kubie.  (Przysłowie polskie)

On Fri, 13 May 2016 10:16:05 +0200
Jacek Maciejewski <jacmac@go2.pl> wrote:

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.


--
pozdrawiam
szerszeń

W dniu poniedziałek, 16 maja 2016 09:34:54 UTC+2 użytkownik szerszen napisał:

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.

W mBanku nie zmieniałam już kilka(jak nie kilkanaście) lat
Mam to samo hasło od początku
Polbank wymuszał chyba co 2 miesiące, po zmianie na Raiffeisen już nie wymuszają chyba tylko sugerują zmianę hasła.

Dnia Mon, 16 May 2016 09:34:51 +0200, szerszen napisał(a):

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.

W DB, już parę lat. Jak do tej pory wymuszali tylko raz, chyba po
jakichś zawirowaniach.
--
Jacek
"Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
jej owoc jest gorzki" - Frank Herbert

On 16.05.2016 09:34, szerszen wrote:

On Fri, 13 May 2016 10:16:05 +0200
Jacek Maciejewski <jacmac@go2.pl> wrote:

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.

Zachęca do zmiany. Mam niezmieione od ca 10 lat.

p. m.

W dniu 12-05-16 o 12:56, kapitalikk pisze:

Nie ma tutaj żadnej koordynacji, współpracy.

Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
Wzory są podawane na szkoleniach dla administratorów.

W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:

W dniu 12-05-16 o 12:56, kapitalikk pisze:

Nie ma tutaj żadnej koordynacji, współpracy.

Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
Wzory są podawane na szkoleniach dla administratorów.

Czy mam rozumieć, że wzory są tajne?
Chciałbym jednak zrozumieć czasami, czym, jakimi podstawami kierują się istoty, które tworzą te rządowe programy.
Ciągle u nich zauważam przerosty formy, nad treścią przy tworzeniu oprogramowania.

W dniu 13-05-16 o 07:52, kapitalikk pisze:

W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:

W dniu 12-05-16 o 12:56, kapitalikk pisze:

Nie ma tutaj żadnej koordynacji, współpracy.

Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
Wzory są podawane na szkoleniach dla administratorów.

Czy mam rozumieć, że wzory są tajne?

Nie są tajne, ale nie ja je opracowywałem i nie czuję się upoważniony do
ich rozpowszechniania.

Chciałbym jednak zrozumieć czasami, czym, jakimi podstawami kierują się
istoty, które tworzą te rządowe programy.
Ciągle u nich zauważam przerosty formy, nad treścią przy tworzeniu
oprogramowania.

Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim certyfikatem.

W dniu 2016-05-13 o 17:30, Robert Tomasik pisze:

W dniu 13-05-16 o 07:52, kapitalikk pisze:

W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:

W dniu 12-05-16 o 12:56, kapitalikk pisze:

Nie ma tutaj żadnej koordynacji, współpracy.

Nie ma, albowiem to się oblicza i umieszcza w polityce bezpieczeństwa.
Wzory są podawane na szkoleniach dla administratorów.

Czy mam rozumieć, że wzory są tajne?

Nie są tajne, ale nie ja je opracowywałem i nie czuję się upoważniony do
ich rozpowszechniania.

Chciałbym jednak zrozumieć czasami, czym, jakimi podstawami kierują się
istoty, które tworzą te rządowe programy.
Ciągle u nich zauważam przerosty formy, nad treścią przy tworzeniu
oprogramowania.

Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim certyfikatem.

Robercie ... nie muszę się zwracać do kogokolwiek.
Ty i ja żyjemy w kraju, gdzie co jakiś czas wybucha bomba!!!!
Dane firmy ubezpieczeniowej wyciekły!!!!
Jakieś tam zabezpieczenia baz danych firm komercyjnych ... złamano.
Czytałem w internecie, że są do kupienia różne bazy danych (z pewnością wszystkie legalne:)), po 20 gr za rekord.
Poczekam, będę miał bazę, jaką będę chciał.
Pytanie: A po co mi?
Czasami spotykam specjalistów od zabezpieczeń baz danych, którzy na zapytanie o skuteczność zabezpieczeń uśmiechają się dwuznacznie, zamawiając "piwo bezalkoholowe" i stwierdzają, że zabezpieczenia stosowane przez urzędowych programistów są skuuuteczne.

W dniu 13-05-16 o 19:07, kapitalikk pisze:

Zwróć się do ABW. Oni na szkoleniach rozdają taką płytę z wytycznymi.
Nie jest tajna. Dostaje je każdy uczestnik wraz z odpowiednim
certyfikatem.

Robercie ... nie muszę się zwracać do kogokolwiek.
Ty i ja żyjemy w kraju, gdzie co jakiś czas wybucha bomba!!!!
Dane firmy ubezpieczeniowej wyciekły!!!!
Jakieś tam zabezpieczenia baz danych firm komercyjnych ... złamano.

T wzory są oparte na obliczeniach statystycznych. Nie ma 100%
zabezpieczenia.

Czytałem w internecie, że są do kupienia różne bazy danych (z pewnością
wszystkie legalne:)), po 20 gr za rekord.
Poczekam, będę miał bazę, jaką będę chciał.

Ale co to ma wspólnego z hasłami i ich zmianami?

Pytanie: A po co mi?
Czasami spotykam specjalistów od zabezpieczeń baz danych, którzy na
zapytanie o skuteczność zabezpieczeń uśmiechają się dwuznacznie,
zamawiając "piwo bezalkoholowe" i stwierdzają, że zabezpieczenia
stosowane przez urzędowych programistów są skuuuteczne.

Bo są skuteczne z jakimś tam założonym prawdopodobieństwem.

Użytkownik "kapitalikk"

....
  i pytam, Kiedy skończy się bezsensowne przekazywanie danych do
urzędasów, którym to na gówno potrzebne.(tak se ponarzekałem na tfurcuf
programów rządowych i rządowych portali internetowych.

Nie ma tutaj żadnej koordynacji, współpracy.
-- -
https://www.youtube.com/watch?v=Wx0XUU-O8v8