W dniu 2016-05-12 o 12:56, kapitalikk pisze:

Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
rządowe.

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

W dniu 2016-05-12 o 13:52, Krzysztof Jodłowski pisze:

W dniu 2016-05-12 o 12:56, kapitalikk pisze:

Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
rządowe.

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Ty to Q2 umiesz pocieszyć :(

Pozdrawiam
:)

W dniu 2016-05-12 13:52, Krzysztof Jodłowski pisze:

W dniu 2016-05-12 o 12:56, kapitalikk pisze:

Dzień dobry
Chciałbym poznać dokładnie, jeśli ktoś zna, podstawę prawną, która
nakazuje określoną częstotliwość zmiany haseł w programach obsługujących
dane np. pracowników (Płacznik, programy księgowe), wejścia na portale
rządowe.

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Szkoda, że wytyczne nie konsultowane z nikim, kto zna sie na bezpieczeństwie i ludzkiej psychice, takie wytyczne obniżają bezpieczeństwo, a nie je gwarantują...

--
Kaczus
http://kaczus.ppa.pl

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.
--
Jacek
"Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
jej owoc jest gorzki" - Frank Herbert

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam trudne hasło od lat, które mam tylko w pamięci; do programu, do którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie, w dodatku tak proste, jak się tylko da.

--
Liwiusz

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

--
A. Filip
Syty nie myśli o głodzie.  (Przysłowie abisyńskie)

W dniu 2016-05-13 o 10:35, A. Filip pisze:

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2 tygodnie, czy za pół roku zmienię.

Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać pod uwagę, to w ogóle bym nie zakładał konta.

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to wykryć patrząc na daty ostatniego logowania.

--
Liwiusz

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:35, A. Filip pisze:

Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, że za 2
tygodnie, czy za pół roku zmienię.

Poza tym zakładam, że hasło z banku nie wycieka. Jakbym miał to brać
pod uwagę, to w ogóle bym nie zakładał konta.

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
wyprowadzi, a gdybym zyskał jakiegoś podglądacza, to od biedy mogę to
wykryć patrząc na daty ostatniego logowania.

Często jest właśnie tak jak piszesz ale niekoniecznie.  Dość spore
opóźnienie w wykorzystaniu pozyskanych haseł i ich nieśpieszne
wykorzystywanie może służyć zamaskowaniu (choćby pod kątem ewentualnego
procesu) tego kto, gdzie i jak je pozyskał tak że bank się nawet nie
zorientował.

A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe".  To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".

--
A. Filip
Jeżeli chcesz zachować przyjaciela, nie pożyczaj mu ani nie pożyczaj od
niego.  (Przysłowie arabskie)

Użytkownik "A. Filip"

....
A bank sam swojego softu nie napisał i sam go nie "utrzymuje",
trwa w przekonaniu że ma "uzasadnione zaufanie" do producenta.
-- -
Skąd takie przekonanie ? Banki oczywiście piszą i utrzymują swoje oprogramowanie. Mają też działy bezpieczeństwa, które badają podatności używanego oprogramowania na ataki różnego rodzaju. I te systemy pewnie bywają bardziej dziurawe od systemów, które kupują od firm zewnętrznych.

To że w systemach (hardware+software+ludzie+procedury)
wszystkich banków w Polsce nie ma żadnej "dziury" dla mnie jest
"statystycznie niemożliwe".  To dla ciebie _może_ się przekładać na
przekonanie że dla ciebie osobiście to zagrożenie jest "niemal tylko
teoretyczne".
-- -
I co z tego ?

W dniu 2016-05-13 o 10:38, Liwiusz pisze:

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
wyprowadzi,

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Pozdrawiam

W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 użytkownik Miroo napisał:

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Jak to zrobił samym hasłem?

W dniu 2016-05-17 o 12:55, Kris pisze:

W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 użytkownik Miroo napisał:

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Jak to zrobił samym hasłem?

Nie znam szczegółów, ale w jakiś sposób spryciarzowi udało się przez infolinię zmienić numer telefonu. Podobno zrobił kilka podejść, bo nie od razu się udało.
Kolega informatyk, więc potrafi zadbać należycie o bezpieczeństwo, ale oczywiście nie można wykluczyć, że jakiś skrypt/trojan wykradł mu namiary na konto.
Nie bądźcie więc tacy pewni, bo może trafić każdego :)

Sprawa dotyczyła co najmniej kilku pokrzywdzonych w ten sposób osób przez tego samego sprawcę.

Pozdrawiam

W dniu 2016-05-17 o 12:45, Miroo pisze:

W dniu 2016-05-13 o 10:38, Liwiusz pisze:

Dodam jeszcze, że w moi banku samym hasłem niczego się z konta nie
wyprowadzi,

Mój kolega też tak myślał, bo miał praktycznie puste konto w mbanku.
Złodziej wziął jednym klikiem kredyt na 40 tyś i już było co wyprowadzać.

Bez hasła jednorazowego?

I co dalej?

--
Liwiusz

W dniu 2016-05-13 10:35, A. Filip pisze:

Liwiusz<lmalin@bez.tego.poczta.onet.pl>  pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko zakodowane w postaci stratnej...

--
Kaczus
http://kaczus.ppa.pl

Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> pisze:

W dniu 2016-05-13 10:35, A. Filip pisze:

Liwiusz<lmalin@bez.tego.poczta.onet.pl>  pisze:

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

W dodatku osiągany cel jest odwrotny od zamierzonego - w banku mam
trudne hasło od lat, które mam tylko w pamięci; do programu, do
którego muszę co miesiąc zmieniać hasło, mam hasło zapisane w kajecie,
w dodatku tak proste, jak się tylko da.

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo
co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku,
to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost,
tylko zakodowane w postaci stratnej...

Masz _pewność_ że korzystasz tylko z "rozsądnych systemów"? :-)

--
A. Filip
Jeżeli cię wilk zaprasza, idź do niego, ale zabierz ze sobą psa.
(Przysłowie gruzińskie)

On 2016-05-13, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:

[...]

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko zakodowane w postaci stratnej...

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).
sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie problem zrobić
brute-force z algorytmem równoległym.
Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org...

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ?
No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Ale 10 znakowe haslo wymaga juz sporej hali :-)

sha1 to kwestia dnia, bo obecne maszyny są już b. szybkie i to nie problem zrobić
brute-force z algorytmem równoległym.
Dopiero bcrypt coś zmienia, ale też nie jest zbyt popularny.

J.

On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

Użytkownik "Wojciech Bancer"  napisał w wiadomości grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org...

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ? No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Kwestia sposobu przechowywania.
Tu: http://project-rainbowcrack.com/table.htm
 md5_mixalpha-numeric#1-9
 Counts: 13,759,005,997,841,642
I to ma poniżej 1TB.

Ale 10 znakowe haslo wymaga juz sporej hali :-)

Zawsze można zaprząc GPU do zabawy.
https://securityledger.com/2012/12/new-25-gpu-monster-devours-passwords-in-seconds/

"The clustered GPUs clocked impressive speeds against more sturdy hashing algorithms as well, including MD5 (180 billion attempts per second, 63 billion/second for SHA1 and 20 billion/second for passwords hashed using the LM algorithm. So called "slow hash" algorithms fared better. The bcrypt (05) and sha512crypt permitted 71,000 and 364,000 per second, respectively."

A odpowiedni klaster maszyn można zbudować np. w cloudzie i nie trzeba na
to wydawać fortuny.

--
Wojciech Bańcer
proteus@post.pl

On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:

[...]

md5 jest do złamania w kilka minut (są bazy z wszystkimi hashami).

Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ?
No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB.

Żeby zademonstrować. :)
Dla 8-znakowych haseł można spróbować:
https://hashkiller.co.uk/md5-decrypter.aspx

np. 44ca68613970d018becb32235b0df42e
9013ba3cefdcdaed5de1223f07dcd2ac
200820e3227815ed1756a6b531e7e0d2
te hasła Ci odnajdzie bez problemu. A to była pierwsza-lepsza baza.
Zapewne są i lepsze, niekoniecznie darmowe. ;)

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Tomasz Kaczanowski"

A jak cię to zabezpiecza przed "wyciekiem" hasła _z samego banku_,
kolejnymi dziurami w sile szyfrowania/zabezpieczania połączenia?
Dla mnie _ważne_ hasła powinno się zmieniać _przynajmniej_ co rok.

A co do zabezpieczania sobie dupy masz sporo racji IMHO.

Ale raz do roku (przy silnym haśle, raz na kilka lat), to nie to samo co
raz w miesiącu i to jeszcze hasło 6 do 8 znaków.... Co do wycieku, to
mam nadzieję, że żaden rozsądny system nie trzyma hasła wprost, tylko
zakodowane w postaci stratnej...
-- -
To nie jest kwestia sposobu przechowywania hasła tylko używania dobrego systemu uwierzytelniania. Techniki kryptograficzne używane w takich systemach z reguły dają pewność, z kim mamy do czynienia. Np. szyfrowanie asymetryczne.

W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:

Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jodłowski napisał(a):

Wytyczne GIODO:
"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło
użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać
się co najmniej z 6 lub 8 znaków – w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Zupełnie bez sensu.
Zwłaszcza, że do takiego Płatnika wymuszanie hasła można obejść
w prymitywny sposób. pewnie i w tych innych
systemach da się coś wymyśłić.

Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
numer rachunku bankowego uznają za daną osobową.

--
Borys Pogoreło
borys(#)leszno,edu,pl

Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):

Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
numer rachunku bankowego uznają za daną osobową.

Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
drzwiach tabliczkę z nazwiskiem.
--
Jacek
"Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
jej owoc jest gorzki" - Frank Herbert

Jacek Maciejewski <jacmac@go2.pl> pisze:

Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogoreło napisał(a):

Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisał(a):

"Przy określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użytkownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się co najmniej z 6 lub 8 znaków - w zależności od tego, czy w systemie
są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII)."

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Bo wytyczne GIODO dotyczą dostępu do systemów przetwarzających dane
osobowe. Nawiasem mówiąc przy tych coraz bardziej kretyńskich
klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie niedługo i
numer rachunku bankowego uznają za daną osobową.

Mnie tam się wciąż zdaje że pieniadze są więcej warte niż "dane
osobowe". No ale ja jestem z epoki w której każdy mógł mieć (i miał) na
drzwiach tabliczkę z nazwiskiem.

Sam o _swoje_ pieniądze nie zadbasz (bez GIODO)? :-)

"Dane osobowe" w przeciwieństwie do "własnych (sporawych) pieniędzy" to
coś o co w większości przypadków tylko "pieniacze" by indywidualnie walczyli.

--
A. Filip
Jak Kuba Bogu, tak Bóg Kubie.  (Przysłowie polskie)

On Fri, 13 May 2016 10:16:05 +0200
Jacek Maciejewski <jacmac@go2.pl> wrote:

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.


--
pozdrawiam
szerszeń

W dniu poniedziałek, 16 maja 2016 09:34:54 UTC+2 użytkownik szerszen napisał:

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.

W mBanku nie zmieniałam już kilka(jak nie kilkanaście) lat
Mam to samo hasło od początku
Polbank wymuszał chyba co 2 miesiące, po zmianie na Raiffeisen już nie wymuszają chyba tylko sugerują zmianę hasła.

Dnia Mon, 16 May 2016 09:34:51 +0200, szerszen napisał(a):

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.

W DB, już parę lat. Jak do tej pory wymuszali tylko raz, chyba po
jakichś zawirowaniach.
--
Jacek
"Wszelka izolacja jest glebą, na której wyrasta nienawiść do obcych, a
jej owoc jest gorzki" - Frank Herbert

On 16.05.2016 09:34, szerszen wrote:

On Fri, 13 May 2016 10:16:05 +0200
Jacek Maciejewski <jacmac@go2.pl> wrote:

Typowo urzędnicze obijanie sobie dupy blachą. Dla przykładu do banków
nie trzeba zmieniać haseł.

Nie wiem w jakim banku masz konto, ale Millenium co jakiś czas wymusza zmianę hasła.

Zachęca do zmiany. Mam niezmieione od ca 10 lat.

p. m.