Data: 2016-05-12 12:56:43 | |
Autor: kapitalikk | |
Obowi±zek zmiany has³a w programach | |
Dzieñ dobry
Chcia³bym poznaæ dok³adnie, je¶li kto¶ zna, podstawê prawn±, która nakazuje okre¶lon± czêstotliwo¶æ zmiany hase³ w programach obs³uguj±cych dane np. pracowników (P³acznik, programy ksiêgowe), wej¶cia na portale rz±dowe. Dam przyk³ad: tzw. Pu³e - narzuca mi samo login. Has³o mam w³asne. P³acznik to ka¿e ustawowo zmieniaæ has³o co 30 dni. Ma w tym przypadku w dupie, wprowadzanie jaki¶ specjalnych znaków. Portal celny te¿ ma w³asne has³a. Postal SIO - w³asne has³a, oczywi¶cie poppieprzone SIO dzia³a ju¿ w dwóch programach ale ja robiê w jednym i starczy. Stetystyka - PORA¯KA!! -bardziej idiotycznie dzia³aj±cego portalu nie widzia³em. Pomijam tutaj, ¿e w tym portalu jeden urzêdnik pyta mnie o to, co przekaza³em wcze¶niej innemu urzêdnikowi, jakby sam nie potrafi³ sobie tej informacji pobraæ. Co robiê? w dupê powtarzam bezzsensownie te dane. Pfrony has³a i loginy. Jest tego wiêcej. i pytam, Kiedy skoñczy siê bezsensowne przekazywanie danych do urzêdasów, którym to na gówno potrzebne.(tak se ponarzeka³em na tfurcuf programów rz±dowych i rz±dowych portali internetowych. Nie ma tutaj ¿adnej koordynacji, wspó³pracy. Pozdrawiam |
|
Data: 2016-05-12 12:59:21 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:
[...] Nie ma tutaj ¿adnej koordynacji, wspó³pracy. Czyli postulujesz zaistnienie jednej centralnej bazy danych wszystkiego o podatniku, do której maj± dostêp wszystcy urzêdnicy, tak? -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-12 14:28:41 | |
Autor: kapitalikk | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-12 o 12:59, Wojciech Bancer pisze:
On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:Wojciechu chyba ma³o wiesz w temacie, urzêdnicy maj± dostêp do wszystkich Twoich danych? Znam m±drych urzêdników, którzy potrafi± ³±czyæ siê z danymi REGON, PESEL, ZUS, US i wszystko o kliencie wiedz±. Jak ja chcê o sobie dowiedzieæ siê cokolwiek, to muszê znaæ wiele loginów i hase³. Postulujê aby klient nie musia³ za ka¿dym razem logowaæ siê do czê¶ci systemu PAÑSTWA podaj±c inne has³o, inny login. ¯eby mu pieprzony programista (je¶li nie ma takiej podstawy prawnej) nie narzuca³, ¿e muszê pieprzone specjalne znaki umieszczaæ w ha¶le i ma³e i du¿e litery i liczby i ¿eby jeden pieprzony programista nie kaza³ mi tworzyæ has³a sk³adaj±cego siê z 7 znaków, innego has³a z 8 znaków a jeszcze innego has³a z 9 znakami. I ¿e to wszystko mam zmieniac co 20 lub 30 lub 40 dni. ot takie urozmaicenie. ¯ebym siê k...a nie zanudzi³ przypadkiem. Ca³y czas pytam, czy s± jakie¶ podstawy prawne narzucaj±ce mi zmianê okresow± tych hase³? Pozrawiam |
|
Data: 2016-05-12 18:44:14 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:
[...] Wojciechu chyba ma³o wiesz w temacie, urzêdnicy maj± dostêp do wszystkich Twoich danych?Nie ma tutaj ¿adnej koordynacji, wspó³pracy. Nie. Nie maj±. Znam m±drych urzêdników, którzy potrafi± ³±czyæ siê z danymi REGON, PESEL, ZUS, US i wszystko o kliencie wiedz±. Na szczê¶cie nie wszyscy maj± takie uprawnienia. Jak ja chcê o sobie dowiedzieæ siê cokolwiek, to muszê znaæ wiele loginów i hase³. A w czym problem konkretnie? Postulujê aby klient nie musia³ za ka¿dym razem logowaæ siê do czê¶ci No to sie nie loguj. Ja np. siê do wiêkszo¶ci systemów PAÑSTWA logujê kluczem kwalifikowanym. Z moim w³asnym, nadanym PINem. ¯eby mu pieprzony programista (je¶li nie ma takiej podstawy prawnej) nie Sam jeste¶ to co powiedzia³e¶. :) https://edugiodo.giodo.gov.pl/pluginfile.php/113/mod_resource/content/17/INF1/INF_R03_02.html -- - 3. POZIOMY BEZPIECZEÑSTWA SYSTEMU INFORMATYCZNEGO 3.1. Poziom podstawowy W przypadku gdy do uwierzytelniania u¿ytkowników u¿ywa siê has³a, jego zmiana nastêpuje nie rzadziej, ni¿ co 30 dni. Has³o sk³ada siê co najmniej z 6 znaków. 3.2. Poziom podwy¿szony W przypadku gdy do uwierzytelniania u¿ytkowników u¿ywa siê has³a, sk³ada siê ono co najmniej z 8 znaków, zawiera ma³e i wielkie litery oraz cyfry lub znaki specjalne. -- -- tworzyæ has³a sk³adaj±cego siê z 7 znaków, innego has³a z 8 znaków a Nom. :) Ca³y czas pytam, czy s± jakie¶ podstawy prawne narzucaj±ce mi zmianê Tak. S±. -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-12 19:16:24 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "Wojciech Bancer" Postulujê aby klient nie musia³ za ka¿dym razem logowaæ siê do czê¶ci No to sie nie loguj. Ja np. siê do wiêkszo¶ci systemów PAÑSTWA logujê kluczem kwalifikowanym. Z moim w³asnym, nadanym PINem. -- - Poka¿ tê wiêkszo¶æ. |
|
Data: 2016-05-13 09:46:40 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-12, re <re@re.invalid> wrote:
[...] Postulujê aby klient nie musia³ za ka¿dym razem logowaæ siê do czê¶ci epuap (sprawy ró¿ne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie formularzy nie ujêtych w eDeklaracji. Chyba tylko NFZ wymaga osobnego loginu / has³a, przy czym rejestracjê siê przeprowadza³o kluczem. -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-13 21:18:20 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "Wojciech Bancer" [...] Postulujê aby klient nie musia³ za ka¿dym razem logowaæ siê do czê¶ci epuap (sprawy ró¿ne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie formularzy nie ujêtych w eDeklaracji. Chyba tylko NFZ wymaga osobnego loginu / has³a, przy czym rejestracjê siê przeprowadza³o kluczem. -- - Nie ca³kiem uwa¿am ZUS i NFZ za systemy pañstwowe, ale ... jakby tak uznaæ to to jest znakomity przyk³ad na ich bezu¿yteczno¶æ. Kiedy¶ raczy³em nie zgodziæ siê ze stanowiskiem ZUS w mojej sprawie i wnios³em o wstrzymanie postêpowania do czasu otrzymania odpowiedzi na moje pismo do ministerstwa w temacie skorygowania pewnego rejestru. ZUS oczywi¶cie nie przej±³ siê i podj±³ decyzjê bez tego skorygowania, wiêc poskar¿y³em siê w s±dzie administracyjnym. Tym te¿ siê nie przej±³ i nim postêpowanie w s±dzie zakoñczy³o siê w ramach szykanowania mnie zleci³ kontrolê NFZ. NFZ zwróci³ siê wiêc do mnie pisemnie o wyja¶nienia ¿e tak± kontrolê ZUS zleci³ i oni teraz pytaj± siê mnie o to samo co ju¿ ZUSowi jasno napisa³em, ale nic konkretnego nie napisali na jakiej podstawie wiêc .... stwierdzi³em, ¿e czas na u¿ycie ... a jak¿e ePuap. Wyja¶ni³em, ¿e zupe³nie nie wiem o co pytaj±, ¿adnego pisma do którego lu¼no odwo³uj± siê w sprawie kontroli nie widzia³em, wiêc nie wiem o co chodzi a oni tego w swoim zapytaniu nie zawarli bym móg³ siê wypowiedzieæ. Zaptaszy³em oczywi¶cie by odpowiedzi by³y nadsy³ane za pomoc± ePuap. No i co ... NFZ zupe³nie tym siê nie przej±³, nades³a³ odpowied¼ zwyk³ym listem poleconym, wiêc ... ponownie u¿y³em ePuap wys³aj±c tym razem skargê na niezastosowanie siê do z³o¿onej dyspozycji. I tyle. O sprawie zapomnia³em bo wiadomo by³o, ¿e toczy siê postêpowanie s±dowe, wiêc i tak nie ma sensu wypowiadaæ siê w tej sprawie i .... trzeba wiedzieæ, ¿e ePuap jest tak bezsensownym systemem, ¿e ... o uzyskaniu odpowiedzi dowiesz siê tylko loguj±c siê do niego, ¿adnych powiadomieñ (pisa³em swego czasu o tym tutaj). Bo wyobra¼my sobie ... NFZ mo¿e mi wy¶le swoj± odpowied¼ a mo¿e nie wy¶le i nie wiadomo czy za miesi±c czy za rok, to ja nie bêdê codziennie logowa³ siê by to sprawdzaæ ? Wiêc nie. Tak sobie czas lecia³ a¿ sprawa w s±dzie z mojej skargi na ZUS dosz³a do skutku. S±d przychyli³ siê do moich argumentów i ZUS musia³ decyzjê zmieniæ. Wszystko skoñczy³o siê i .. jako¶ mnie nasz³o by zalogowaæ siê do ePuap a tam ... znalaz³em zaleg³e pisma w mojej sprawie po skardze z³o¿onej na nieu¿ycie ePuap. Ale to nie wszystko w temacie korzystania z ePuap :-) Otó¿ niedawno... w pewnej sprawie braku reakcji policji donios³em na ni± w prokuraturze. Jak ? No wys³a³em za pomoc± ePuap oczywi¶cie zaptaszaj±c by odpowiedzi tak przychodzi³y. Co zrobi³a prokuratura ? Odmówi³a wszczêcia. Jak ? Ano zwyk³ym listem poleconym :-) Wiêc ... wys³a³em za¿alenie na odmowê ... ePuap. I co ? Otrzyma³em potwierdzenie z³o¿enia w s±dzie ... zwyk³ym listem poleconym. Jak dowiedzia³em siê, ¿e moja sprawa bêdzie przez s±d rozpatrywana. Ano ... dosta³em zwyk³y list polecony :-) A ePuap mamy ju¿ z 10 lat... |
|
Data: 2016-06-02 08:27:40 | |
Autor: Maciek | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 21:18, re pisze:
A ePuap mamy ju¿ z 10 lat...Eeeeee. Jaki¶ czas temu wysy³a³em jakie¶ pisma do prokuratury, zrobi³em to przez ePUAP (bo czemu nie), dosta³em potwierdzenie odbioru, ale w papierach sprawy nic siê nie pojawi³o. Dzwoniê, pytam gdzie mój wniosek, a pani z rozbrajaj±c± szczero¶ci± mówi mi, ¿e ona wpisuje swoje nazwisko (chyba w login), a potem musi podaæ jakie¶ has³o i czy ja nie wiem co tu wpisaæ :-> Czy nie móg³bym jej tego wys³aæ po prostu mailem. Na moje pytanie jak sobie to wyobra¿a, bo nie bêdê przecie¿ mia³ ¿adnego potwierdzenia, znów rozbrajaj±co stwierdzi³a, ¿e przecie¿ mogê zaznaczyæ w programie, ¿e chcê potwierdzenie wiadomo¶ci i ona mi kliknie, ¿e odsy³a potwierdzenie :-D No informatyczna masakra po prostu. -- Pozdrawiam Maciek |
|
Data: 2016-06-02 08:35:56 | |
Autor: Maciek | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 09:46, Wojciech Bancer pisze:
To ja w te miejsca logujê siê profilem zaufanym. Has³a chyba nigdy niePoka¿ tê wiêkszo¶æ.epuap (sprawy ró¿ne), ceidg (DG), pue (ZUS), i komunikacja z US w zakresie formularzy nie ujêtych w eDeklaracji. Chyba tylko NFZ wymaga osobnego zmienia³em. -- Pozdrawiam Maciek |
|
Data: 2016-05-12 20:36:43 | |
Autor: kapitalikk | |
Obowi±zek zmiany has³a w programach | |
Na szczê¶cie nie wszyscy maj± takie uprawnienia.JA uj±³bym to tak: Wiêkszo¶æ z tych co mogê mieæ dostêp, nie potrafi skorzystaæ z mo¿liwo¶ci, bo nie umie lub nie zna siê w temacie. Uwierz mi znam trochê to ¶rodowisko od "ty³u".
Ehhhh ja te¿.Postulujê aby klient nie musia³ za ka¿dym razem logowaæ siê do czê¶ciNo to sie nie loguj. Ja np. siê do wiêkszo¶ci systemów PAÑSTWA logujê a gó... :)¯eby mu pieprzony programista (je¶li nie ma takiej podstawy prawnej) nieSam jeste¶ to co powiedzia³e¶. :) Widaæ nie pracujesz m.in. na idiotycznie pierdolniêtym (to skromnie napisane) edytorze P³acznik. Masz klucz. Ja te¿ mam. Wysy³am rozliczenia miesiêczne p³atników sk³adek. Ty chyba nie. Ka¿dy p³atnik ma dwustronn± wymianê danych. Czy jak to zw± inaczej. Zbierasz pliki do wysy³ki masz ich 50. I teraz pierdolniêty cyrk. Nie wy¶lesz pliku, je¶li nie zaktualizujesz danych, wiêc aktualizujê dane. Ale zanim dane zaktuwlizujê, musz± podaæ pin do klucza i ewentualnie inne dane p³atnika. Datê za³o¿enia dzia³alno¶ci (kurwa te dane s± dostêpne ogólnie w CEIDG) ale program zaputowywuje o dane. Podajê je. Nastêpuje aktualizacja. Trwa od 5 do 15 minut. Kurwa ale ta operacja odbywa siê z ka¿dym p³atnikiem. P³atników jest 50. Ja ra chuje!! 50 x 10 minut = 500 minut. Tyle czasu trwa pierdoloenie siê z ochron± danych osobowych. Dzwoniê na infonieliniê ZUS i informujê o idioty¼mie Pada odpowied¼. Oni wiedz± ale nic nie zrobi±. Kurwa to program zrobiony za moje pieni±dze i chyba dla mnie. I siê nie da. Jak tu nie donie¶æ do Kaczorów faktu, ¿e od 17 lat nikt nie potrafi³ sprostaæ prostemu programowi? Chyba tylko oni pomogê bu wszystkim , którym donosi³em to pomachali m±drze g³owami, jak mój pies, i nic nie zrobili. Powiem wiêcej, nawet bardziej spierdolili program. Czy logowanie siê po kilkadziesi±t razy podczas wysy³ania plików p³atników w jednej operacji to ochrona danych osobowych, czy niedoróbstwo i brak wiedzy programistów? Odpowiedzia³ mi na to wcze¶niej Krzysztof, ale dziêkujê równie¿. Móg³bym jeszcze ponapierdalaæ na SIO na ePron na ..... w zasadzie na ka¿dy program zrobiony za pañstwowe pini±dze dla ludzi. Generalnie s± one spierdolone na maxa. Pracujê na programach, za które sam p³aci³em. Dziiiwne. Dzia³aj± zupe³nie inaczej. Jako¶ tak jakby przyja¼nie. Do tego wszystkiego programi¶ci mi dupê zawracaj±, pytaj±c: Jak mogliby mi jeszcze u³atwiæ pracê z tym programem. Jakie¶ takie kompletnie inne podej¶cie. I ochrona danych jako¶ inaczej rozwi±zana. Czyli mo¿na? Mo¿na Pozdrawiam |
|
Data: 2016-05-12 22:32:28 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "kapitalikk" .... Czy logowanie siê po kilkadziesi±t razy podczas wysy³ania plików p³atników w jednej operacji to ochrona danych osobowych, czy niedoróbstwo i brak wiedzy programistów? -- - Programy s± kodowane przez programistów, ale nie powstaj± z ich inicjatywy. Programi¶ci implementuj± tylko specyfikacjê, któr± im siê dostarcza. |
|
Data: 2016-05-17 14:06:33 | |
Autor: WAM | |
Obowi±zek zmiany has³a w programach | |
On Thu, 12 May 2016 20:36:43 +0200, kapitalikk <aratogo@gmail.com>
wrote: Ale zanim dane zaktuwlizujê, musz± podaæ pin do klucza i ewentualnie inne dane p³atnika. Datê za³o¿enia dzia³alno¶ci (kurwa te dane s± dostêpne ogólnie w CEIDG) ale program zaputowywuje o dane.Ciekawie jest w przypadku urzêdów/instytucji pañstwowych gdzie trzeba podaæ tê datê startow±... I za cholere nie wiadomo jak± wpisaæ :) WAM -- www.nawakacje.pl ? pokoje w górach www.wpolskichgorach.pl pokoje na Mazurach www.spanienamazurach.pl pokoje nad morzem www.nadmorze.pl |
|
Data: 2016-05-12 18:00:25 | |
Autor: Budzik | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik Wojciech Bancer proteus@post.pl ...
On 2016-05-12, kapitalikk <aratogo@gmail.com> wrote:Mysle, ze pyta, skad kazda instytucja robi po swojemu. Przyk³adowo: - deklaracje do US mozna wys³ac majac tylko kwote z pit z zesz³ego roku - deklaracje do ZUS mozna wys³aæ majac do najmniej profil zaufany epuap ale to nie wystarcza! Trzeba jeszcze potwierdzic kazd± wysy³kê kodem z maila. - profil epuap to potwierdzenie tozsamosci ale mimo tego nie da rady za jego posrednictwem za³o¿yc konta w NFZ - dlaczego? NFZ twierdzi ze giodo, giodo, ze nie wymaga³o tego... Itd... |
|
Data: 2016-05-12 19:15:09 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "Wojciech Bancer" [...] Nie ma tutaj ¿adnej koordynacji, wspó³pracy. Czyli postulujesz zaistnienie jednej centralnej bazy danych wszystkiego o podatniku, do której maj± dostêp wszystcy urzêdnicy, tak? -- - Przecie¿ napisa³, ¿e chodzi o uwierzytelnianie, czyli systemy takie jak OpenID tudzie¿ OAuth |
|
Data: 2016-05-13 09:39:06 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-12, re <re@re.invalid> wrote:
W drugim fragmencie pisa³ ¿e urzêdnicy ci±gle prosz± go o te same informacje, zamiast je pobraæ od siebie. ¯e nie ma "koordynacji, wspó³pracy". To wg Ciebie chodzi tylko o uwierzytelnienie? -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-12 23:43:00 | |
Autor: Kris | |
Obowi±zek zmiany has³a w programach | |
W dniu czwartek, 12 maja 2016 12:59:22 UTC+2 u¿ytkownik Wojciech Bancer napisa³:
Czyli postulujesz zaistnienie jednej centralnej bazy danychTo by³oby chyba ca³kiem dobre rozwi±zanie- oczywi¶cie odpowiednie poziomy dostêpów trzeba by poprzydszielaæ |
|
Data: 2016-05-13 08:53:50 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Kris <kszysztofc@gmail.com> pisze:
W dniu czwartek, 12 maja 2016 12:59:22 UTC+2 u¿ytkownik Wojciech Bancer napisa³: Dla mnie jeste¶ "nieuleczalnym optymist±" z twoj± wizj± jak by to dzia³a³o w praktyce. -- A. Filip Pasuje jak pi±te ko³o u wozu. (Przys³owie polskie) |
|
Data: 2016-05-12 13:52:43 | |
Autor: Krzysztof Jod³owski | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-12 o 12:56, kapitalikk pisze:
Dzieñ dobry Wytyczne GIODO: "Przy okre¶laniu czêstotliwo¶ci zmiany hase³ nale¿y pamiêtaæ, i¿ has³o u¿ytkownika powinno byæ zmieniane nie rzadziej ni¿ co 30 dni i sk³adaæ siê co najmniej z 6 lub 8 znaków - w zale¿no¶ci od tego, czy w systemie s± przetwarzane dane wra¿liwe, o których mowa w art. 27 ustawy (za- ³±cznik do rozporz±dzenia pkt IV ppk 2 w zw. z pkt VII)." |
|
Data: 2016-05-12 14:17:40 | |
Autor: kapitalikk | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-12 o 13:52, Krzysztof Jod³owski pisze:
W dniu 2016-05-12 o 12:56, kapitalikk pisze:Ty to Q2 umiesz pocieszyæ :( Pozdrawiam :) |
|
Data: 2016-05-12 14:21:24 | |
Autor: Tomasz Kaczanowski | |
Obowiązek zmiany hasła w programach | |
W dniu 2016-05-12 13:52, Krzysztof Jod³owski pisze:
W dniu 2016-05-12 o 12:56, kapitalikk pisze: Szkoda, ¿e wytyczne nie konsultowane z nikim, kto zna sie na bezpieczeñstwie i ludzkiej psychice, takie wytyczne obni¿aj± bezpieczeñstwo, a nie je gwarantuj±... -- Kaczus http://kaczus.ppa.pl |
|
Data: 2016-05-13 10:16:05 | |
Autor: Jacek Maciejewski | |
Obowi±zek zmiany has³a w programach | |
Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jod³owski napisa³(a):
Wytyczne GIODO: Typowo urzêdnicze obijanie sobie dupy blach±. Dla przyk³adu do banków nie trzeba zmieniaæ hase³. -- Jacek "Wszelka izolacja jest gleb±, na której wyrasta nienawi¶æ do obcych, a jej owoc jest gorzki" - Frank Herbert |
|
Data: 2016-05-13 10:29:21 | |
Autor: Liwiusz | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jod³owski napisa³(a): W dodatku osi±gany cel jest odwrotny od zamierzonego - w banku mam trudne has³o od lat, które mam tylko w pamiêci; do programu, do którego muszê co miesi±c zmieniaæ has³o, mam has³o zapisane w kajecie, w dodatku tak proste, jak siê tylko da. -- Liwiusz |
|
Data: 2016-05-13 10:35:42 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:
W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze: A jak ciê to zabezpiecza przed "wyciekiem" has³a _z samego banku_, kolejnymi dziurami w sile szyfrowania/zabezpieczania po³±czenia? Dla mnie _wa¿ne_ has³a powinno siê zmieniaæ _przynajmniej_ co rok. A co do zabezpieczania sobie dupy masz sporo racji IMHO. -- A. Filip Syty nie my¶li o g³odzie. (Przys³owie abisyñskie) |
|
Data: 2016-05-13 10:38:25 | |
Autor: Liwiusz | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:35, A. Filip pisze:
Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze: Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, ¿e za 2 tygodnie, czy za pó³ roku zmieniê. Poza tym zak³adam, ¿e has³o z banku nie wycieka. Jakbym mia³ to braæ pod uwagê, to w ogóle bym nie zak³ada³ konta. Dodam jeszcze, ¿e w moi banku samym has³em niczego siê z konta nie wyprowadzi, a gdybym zyska³ jakiego¶ podgl±dacza, to od biedy mogê to wykryæ patrz±c na daty ostatniego logowania. -- Liwiusz |
|
Data: 2016-05-13 11:02:20 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:
W dniu 2016-05-13 o 10:35, A. Filip pisze: Czêsto jest w³a¶nie tak jak piszesz ale niekoniecznie. Do¶æ spore opó¼nienie w wykorzystaniu pozyskanych hase³ i ich nie¶pieszne wykorzystywanie mo¿e s³u¿yæ zamaskowaniu (choæby pod k±tem ewentualnego procesu) tego kto, gdzie i jak je pozyska³ tak ¿e bank siê nawet nie zorientowa³. A bank sam swojego softu nie napisa³ i sam go nie "utrzymuje", trwa w przekonaniu ¿e ma "uzasadnione zaufanie" do producenta. To ¿e w systemach (hardware+software+ludzie+procedury) wszystkich banków w Polsce nie ma ¿adnej "dziury" dla mnie jest "statystycznie niemo¿liwe". To dla ciebie _mo¿e_ siê przek³adaæ na przekonanie ¿e dla ciebie osobi¶cie to zagro¿enie jest "niemal tylko teoretyczne". -- A. Filip Je¿eli chcesz zachowaæ przyjaciela, nie po¿yczaj mu ani nie po¿yczaj od niego. (Przys³owie arabskie) |
|
Data: 2016-05-13 19:55:23 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "A. Filip" .... A bank sam swojego softu nie napisa³ i sam go nie "utrzymuje", trwa w przekonaniu ¿e ma "uzasadnione zaufanie" do producenta. -- - Sk±d takie przekonanie ? Banki oczywi¶cie pisz± i utrzymuj± swoje oprogramowanie. Maj± te¿ dzia³y bezpieczeñstwa, które badaj± podatno¶ci u¿ywanego oprogramowania na ataki ró¿nego rodzaju. I te systemy pewnie bywaj± bardziej dziurawe od systemów, które kupuj± od firm zewnêtrznych. To ¿e w systemach (hardware+software+ludzie+procedury) wszystkich banków w Polsce nie ma ¿adnej "dziury" dla mnie jest "statystycznie niemo¿liwe". To dla ciebie _mo¿e_ siê przek³adaæ na przekonanie ¿e dla ciebie osobi¶cie to zagro¿enie jest "niemal tylko teoretyczne". -- - I co z tego ? |
|
Data: 2016-05-17 12:45:45 | |
Autor: Miroo | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:38, Liwiusz pisze:
Dodam jeszcze, ¿e w moi banku samym has³em niczego siê z konta nie Mój kolega te¿ tak my¶la³, bo mia³ praktycznie puste konto w mbanku. Z³odziej wzi±³ jednym klikiem kredyt na 40 ty¶ i ju¿ by³o co wyprowadzaæ. Pozdrawiam |
|
Data: 2016-05-17 03:55:35 | |
Autor: Kris | |
Obowi±zek zmiany has³a w programach | |
W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 u¿ytkownik Miroo napisa³:
Mój kolega te¿ tak my¶la³, bo mia³ praktycznie puste konto w mbanku.Jak to zrobi³ samym has³em? |
|
Data: 2016-05-19 15:34:44 | |
Autor: Miroo | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-17 o 12:55, Kris pisze:
W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 u¿ytkownik Miroo napisa³: Nie znam szczegó³ów, ale w jaki¶ sposób spryciarzowi uda³o siê przez infoliniê zmieniæ numer telefonu. Podobno zrobi³ kilka podej¶æ, bo nie od razu siê uda³o. Kolega informatyk, wiêc potrafi zadbaæ nale¿ycie o bezpieczeñstwo, ale oczywi¶cie nie mo¿na wykluczyæ, ¿e jaki¶ skrypt/trojan wykrad³ mu namiary na konto. Nie b±d¼cie wiêc tacy pewni, bo mo¿e trafiæ ka¿dego :) Sprawa dotyczy³a co najmniej kilku pokrzywdzonych w ten sposób osób przez tego samego sprawcê. Pozdrawiam |
|
Data: 2016-05-17 12:51:55 | |
Autor: Liwiusz | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-17 o 12:45, Miroo pisze:
W dniu 2016-05-13 o 10:38, Liwiusz pisze: Bez has³a jednorazowego? I co dalej? -- Liwiusz |
|
Data: 2016-05-13 10:41:45 | |
Autor: Tomasz Kaczanowski | |
Obowiązek zmiany hasła w programach | |
W dniu 2016-05-13 10:35, A. Filip pisze:
Liwiusz<lmalin@bez.tego.poczta.onet.pl> pisze: Ale raz do roku (przy silnym ha¶le, raz na kilka lat), to nie to samo co raz w miesi±cu i to jeszcze has³o 6 do 8 znaków.... Co do wycieku, to mam nadziejê, ¿e ¿aden rozs±dny system nie trzyma has³a wprost, tylko zakodowane w postaci stratnej... -- Kaczus http://kaczus.ppa.pl |
|
Data: 2016-05-13 11:04:28 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> pisze:
W dniu 2016-05-13 10:35, A. Filip pisze: Masz _pewno¶æ_ ¿e korzystasz tylko z "rozs±dnych systemów"? :-) -- A. Filip Je¿eli ciê wilk zaprasza, id¼ do niego, ale zabierz ze sob± psa. (Przys³owie gruziñskie) |
|
Data: 2016-05-13 11:37:39 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-13, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:
[...] Ale raz do roku (przy silnym ha¶le, raz na kilka lat), to nie to samo co raz w miesi±cu i to jeszcze has³o 6 do 8 znaków.... Co do wycieku, to mam nadziejê, ¿e ¿aden rozs±dny system nie trzyma has³a wprost, tylko zakodowane w postaci stratnej... md5 jest do z³amania w kilka minut (s± bazy z wszystkimi hashami). sha1 to kwestia dnia, bo obecne maszyny s± ju¿ b. szybkie i to nie problem zrobiæ brute-force z algorytmem równoleg³ym. Dopiero bcrypt co¶ zmienia, ale te¿ nie jest zbyt popularny. -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-13 14:54:14 | |
Autor: J.F. | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "Wojciech Bancer" napisa³ w wiadomo¶ci grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org...
md5 jest do z³amania w kilka minut (s± bazy z wszystkimi hashami). Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ? No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB. Ale 10 znakowe haslo wymaga juz sporej hali :-) sha1 to kwestia dnia, bo obecne maszyny s± ju¿ b. szybkie i to nie problem zrobiæ brute-force z algorytmem równoleg³ym. Dopiero bcrypt co¶ zmienia, ale te¿ nie jest zbyt popularny. J. |
|
Data: 2016-05-13 17:14:05 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
U¿ytkownik "Wojciech Bancer" napisa³ w wiadomo¶ci grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org... Kwestia sposobu przechowywania. Tu: http://project-rainbowcrack.com/table.htm md5_mixalpha-numeric#1-9 Counts: 13,759,005,997,841,642 I to ma poni¿ej 1TB. Ale 10 znakowe haslo wymaga juz sporej hali :-) Zawsze mo¿na zaprz±c GPU do zabawy. https://securityledger.com/2012/12/new-25-gpu-monster-devours-passwords-in-seconds/ "The clustered GPUs clocked impressive speeds against more sturdy hashing algorithms as well, including MD5 (180 billion attempts per second, 63 billion/second for SHA1 and 20 billion/second for passwords hashed using the LM algorithm. So called "slow hash" algorithms fared better. The bcrypt (05) and sha512crypt permitted 71,000 and 364,000 per second, respectively." A odpowiedni klaster maszyn mo¿na zbudowaæ np. w cloudzie i nie trzeba na to wydawaæ fortuny. -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-13 18:01:06 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] md5 jest do z³amania w kilka minut (s± bazy z wszystkimi hashami). ¯eby zademonstrowaæ. :) Dla 8-znakowych hase³ mo¿na spróbowaæ: https://hashkiller.co.uk/md5-decrypter.aspx np. 44ca68613970d018becb32235b0df42e 9013ba3cefdcdaed5de1223f07dcd2ac 200820e3227815ed1756a6b531e7e0d2 te has³a Ci odnajdzie bez problemu. A to by³a pierwsza-lepsza baza. Zapewne s± i lepsze, niekoniecznie darmowe. ;) -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-13 20:03:59 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "Tomasz Kaczanowski"
Ale raz do roku (przy silnym ha¶le, raz na kilka lat), to nie to samo co raz w miesi±cu i to jeszcze has³o 6 do 8 znaków.... Co do wycieku, to mam nadziejê, ¿e ¿aden rozs±dny system nie trzyma has³a wprost, tylko zakodowane w postaci stratnej... -- - To nie jest kwestia sposobu przechowywania has³a tylko u¿ywania dobrego systemu uwierzytelniania. Techniki kryptograficzne u¿ywane w takich systemach z regu³y daj± pewno¶æ, z kim mamy do czynienia. Np. szyfrowanie asymetryczne. |
|
Data: 2016-05-13 23:55:49 | |
Autor: cef | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof JodÅ‚owski napisaÅ‚(a): Zupe³nie bez sensu. Zw³aszcza, ¿e do takiego P³atnika wymuszanie has³a mo¿na obej¶æ w prymitywny sposób. pewnie i w tych innych systemach da siê co¶ wymy¶³iæ. |
|
Data: 2016-05-15 13:38:23 | |
Autor: Borys Pogore³o | |
Obowi±zek zmiany has³a w programach | |
Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisa³(a):
"Przy okre¶laniu czêstotliwo¶ci zmiany hase³ nale¿y pamiêtaæ, i¿ has³o u¿ytkownika powinno byæ zmieniane nie rzadziej ni¿ co 30 dni i sk³adaæ siê co najmniej z 6 lub 8 znaków - w zale¿no¶ci od tego, czy w systemie Bo wytyczne GIODO dotycz± dostêpu do systemów przetwarzaj±cych dane osobowe. Nawiasem mówi±c przy tych coraz bardziej kretyñskich klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie nied³ugo i numer rachunku bankowego uznaj± za dan± osobow±. -- Borys Pogore³o borys(#)leszno,edu,pl |
|
Data: 2016-05-15 17:32:51 | |
Autor: Jacek Maciejewski | |
Obowi±zek zmiany has³a w programach | |
Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogore³o napisa³(a):
Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisa³(a): Mnie tam siê wci±¿ zdaje ¿e pieniadze s± wiêcej warte ni¿ "dane osobowe". No ale ja jestem z epoki w której ka¿dy móg³ mieæ (i mia³) na drzwiach tabliczkê z nazwiskiem. -- Jacek "Wszelka izolacja jest gleb±, na której wyrasta nienawi¶æ do obcych, a jej owoc jest gorzki" - Frank Herbert |
|
Data: 2016-05-15 17:45:24 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Jacek Maciejewski <jacmac@go2.pl> pisze:
Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogore³o napisa³(a): Sam o _swoje_ pieni±dze nie zadbasz (bez GIODO)? :-) "Dane osobowe" w przeciwieñstwie do "w³asnych (sporawych) pieniêdzy" to co¶ o co w wiêkszo¶ci przypadków tylko "pieniacze" by indywidualnie walczyli. -- A. Filip Jak Kuba Bogu, tak Bóg Kubie. (Przys³owie polskie) |
|
Data: 2016-05-16 09:34:51 | |
Autor: szerszen | |
Obowi±zek zmiany has³a w programach | |
On Fri, 13 May 2016 10:16:05 +0200
Jacek Maciejewski <jacmac@go2.pl> wrote: Typowo urzêdnicze obijanie sobie dupy blach±. Dla przyk³adu do banków Nie wiem w jakim banku masz konto, ale Millenium co jaki¶ czas wymusza zmianê has³a. -- pozdrawiam szerszeñ |
|
Data: 2016-05-16 00:54:15 | |
Autor: Kris | |
Obowi±zek zmiany has³a w programach | |
W dniu poniedzia³ek, 16 maja 2016 09:34:54 UTC+2 u¿ytkownik szerszen napisa³:
Nie wiem w jakim banku masz konto, ale Millenium co jaki¶ czas wymusza zmianê has³a.W mBanku nie zmienia³am ju¿ kilka(jak nie kilkana¶cie) lat Mam to samo has³o od pocz±tku Polbank wymusza³ chyba co 2 miesi±ce, po zmianie na Raiffeisen ju¿ nie wymuszaj± chyba tylko sugeruj± zmianê has³a. |
|
Data: 2016-05-16 09:51:49 | |
Autor: Jacek Maciejewski | |
Obowi±zek zmiany has³a w programach | |
Dnia Mon, 16 May 2016 09:34:51 +0200, szerszen napisa³(a):
Nie wiem w jakim banku masz konto, ale Millenium co jaki¶ czas wymusza zmianê has³a. W DB, ju¿ parê lat. Jak do tej pory wymuszali tylko raz, chyba po jakich¶ zawirowaniach. -- Jacek "Wszelka izolacja jest gleb±, na której wyrasta nienawi¶æ do obcych, a jej owoc jest gorzki" - Frank Herbert |
|
Data: 2016-05-16 18:25:21 | |
Autor: m | |
Obowi±zek zmiany has³a w programach | |
On 16.05.2016 09:34, szerszen wrote:
On Fri, 13 May 2016 10:16:05 +0200Zachêca do zmiany. Mam niezmieione od ca 10 lat. p. m. |
|
Data: 2016-05-13 07:08:23 | |
Autor: Robert Tomasik | |
Obowi±zek zmiany has³a w programach | |
W dniu 12-05-16 o 12:56, kapitalikk pisze:
Nie ma tutaj ¿adnej koordynacji, wspó³pracy.Nie ma, albowiem to siê oblicza i umieszcza w polityce bezpieczeñstwa. Wzory s± podawane na szkoleniach dla administratorów. |
|
Data: 2016-05-13 07:52:42 | |
Autor: kapitalikk | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 07:08, Robert Tomasik pisze:
W dniu 12-05-16 o 12:56, kapitalikk pisze: Czy mam rozumieæ, ¿e wzory s± tajne? Chcia³bym jednak zrozumieæ czasami, czym, jakimi podstawami kieruj± siê istoty, które tworz± te rz±dowe programy. Ci±gle u nich zauwa¿am przerosty formy, nad tre¶ci± przy tworzeniu oprogramowania. |
|
Data: 2016-05-13 17:30:19 | |
Autor: Robert Tomasik | |
Obowi±zek zmiany has³a w programach | |
W dniu 13-05-16 o 07:52, kapitalikk pisze:
W dniu 2016-05-13 o 07:08, Robert Tomasik pisze: Nie s± tajne, ale nie ja je opracowywa³em i nie czujê siê upowa¿niony do ich rozpowszechniania. Chcia³bym jednak zrozumieæ czasami, czym, jakimi podstawami kieruj± siê Zwróæ siê do ABW. Oni na szkoleniach rozdaj± tak± p³ytê z wytycznymi. Nie jest tajna. Dostaje je ka¿dy uczestnik wraz z odpowiednim certyfikatem. |
|
Data: 2016-05-13 19:07:12 | |
Autor: kapitalikk | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 17:30, Robert Tomasik pisze:
W dniu 13-05-16 o 07:52, kapitalikk pisze: Robercie ... nie muszê siê zwracaæ do kogokolwiek. Ty i ja ¿yjemy w kraju, gdzie co jaki¶ czas wybucha bomba!!!! Dane firmy ubezpieczeniowej wyciek³y!!!! Jakie¶ tam zabezpieczenia baz danych firm komercyjnych ... z³amano. Czyta³em w internecie, ¿e s± do kupienia ró¿ne bazy danych (z pewno¶ci± wszystkie legalne:)), po 20 gr za rekord. Poczekam, bêdê mia³ bazê, jak± bêdê chcia³. Pytanie: A po co mi? Czasami spotykam specjalistów od zabezpieczeñ baz danych, którzy na zapytanie o skuteczno¶æ zabezpieczeñ u¶miechaj± siê dwuznacznie, zamawiaj±c "piwo bezalkoholowe" i stwierdzaj±, ¿e zabezpieczenia stosowane przez urzêdowych programistów s± skuuuteczne. |
|
Data: 2016-05-13 22:04:43 | |
Autor: Robert Tomasik | |
Obowi±zek zmiany has³a w programach | |
W dniu 13-05-16 o 19:07, kapitalikk pisze:
Zwróæ siê do ABW. Oni na szkoleniach rozdaj± tak± p³ytê z wytycznymi. T wzory s± oparte na obliczeniach statystycznych. Nie ma 100% zabezpieczenia. Czyta³em w internecie, ¿e s± do kupienia ró¿ne bazy danych (z pewno¶ci± Ale co to ma wspólnego z has³ami i ich zmianami? Pytanie: A po co mi?Bo s± skuteczne z jakim¶ tam za³o¿onym prawdopodobieñstwem. |
|
Data: 2016-06-02 00:05:05 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "kapitalikk" .... i pytam, Kiedy skoñczy siê bezsensowne przekazywanie danych do urzêdasów, którym to na gówno potrzebne.(tak se ponarzeka³em na tfurcuf programów rz±dowych i rz±dowych portali internetowych. Nie ma tutaj ¿adnej koordynacji, wspó³pracy. -- - https://www.youtube.com/watch?v=Wx0XUU-O8v8 |