Data: 2016-05-12 13:52:43 | |
Autor: Krzysztof Jod³owski | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-12 o 12:56, kapitalikk pisze:
Dzieñ dobry Wytyczne GIODO: "Przy okre¶laniu czêstotliwo¶ci zmiany hase³ nale¿y pamiêtaæ, i¿ has³o u¿ytkownika powinno byæ zmieniane nie rzadziej ni¿ co 30 dni i sk³adaæ siê co najmniej z 6 lub 8 znaków - w zale¿no¶ci od tego, czy w systemie s± przetwarzane dane wra¿liwe, o których mowa w art. 27 ustawy (za- ³±cznik do rozporz±dzenia pkt IV ppk 2 w zw. z pkt VII)." |
|
Data: 2016-05-12 14:17:40 | |
Autor: kapitalikk | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-12 o 13:52, Krzysztof Jod³owski pisze:
W dniu 2016-05-12 o 12:56, kapitalikk pisze:Ty to Q2 umiesz pocieszyæ :( Pozdrawiam :) |
|
Data: 2016-05-12 14:21:24 | |
Autor: Tomasz Kaczanowski | |
Obowiązek zmiany hasła w programach | |
W dniu 2016-05-12 13:52, Krzysztof Jod³owski pisze:
W dniu 2016-05-12 o 12:56, kapitalikk pisze: Szkoda, ¿e wytyczne nie konsultowane z nikim, kto zna sie na bezpieczeñstwie i ludzkiej psychice, takie wytyczne obni¿aj± bezpieczeñstwo, a nie je gwarantuj±... -- Kaczus http://kaczus.ppa.pl |
|
Data: 2016-05-13 10:16:05 | |
Autor: Jacek Maciejewski | |
Obowi±zek zmiany has³a w programach | |
Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jod³owski napisa³(a):
Wytyczne GIODO: Typowo urzêdnicze obijanie sobie dupy blach±. Dla przyk³adu do banków nie trzeba zmieniaæ hase³. -- Jacek "Wszelka izolacja jest gleb±, na której wyrasta nienawi¶æ do obcych, a jej owoc jest gorzki" - Frank Herbert |
|
Data: 2016-05-13 10:29:21 | |
Autor: Liwiusz | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof Jod³owski napisa³(a): W dodatku osi±gany cel jest odwrotny od zamierzonego - w banku mam trudne has³o od lat, które mam tylko w pamiêci; do programu, do którego muszê co miesi±c zmieniaæ has³o, mam has³o zapisane w kajecie, w dodatku tak proste, jak siê tylko da. -- Liwiusz |
|
Data: 2016-05-13 10:35:42 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:
W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze: A jak ciê to zabezpiecza przed "wyciekiem" has³a _z samego banku_, kolejnymi dziurami w sile szyfrowania/zabezpieczania po³±czenia? Dla mnie _wa¿ne_ has³a powinno siê zmieniaæ _przynajmniej_ co rok. A co do zabezpieczania sobie dupy masz sporo racji IMHO. -- A. Filip Syty nie my¶li o g³odzie. (Przys³owie abisyñskie) |
|
Data: 2016-05-13 10:38:25 | |
Autor: Liwiusz | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:35, A. Filip pisze:
Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze: Jak wycieknie, to zostanie wykorzystane od razu - nic nie da, ¿e za 2 tygodnie, czy za pó³ roku zmieniê. Poza tym zak³adam, ¿e has³o z banku nie wycieka. Jakbym mia³ to braæ pod uwagê, to w ogóle bym nie zak³ada³ konta. Dodam jeszcze, ¿e w moi banku samym has³em niczego siê z konta nie wyprowadzi, a gdybym zyska³ jakiego¶ podgl±dacza, to od biedy mogê to wykryæ patrz±c na daty ostatniego logowania. -- Liwiusz |
|
Data: 2016-05-13 11:02:20 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Liwiusz <lmalin@bez.tego.poczta.onet.pl> pisze:
W dniu 2016-05-13 o 10:35, A. Filip pisze: Czêsto jest w³a¶nie tak jak piszesz ale niekoniecznie. Do¶æ spore opó¼nienie w wykorzystaniu pozyskanych hase³ i ich nie¶pieszne wykorzystywanie mo¿e s³u¿yæ zamaskowaniu (choæby pod k±tem ewentualnego procesu) tego kto, gdzie i jak je pozyska³ tak ¿e bank siê nawet nie zorientowa³. A bank sam swojego softu nie napisa³ i sam go nie "utrzymuje", trwa w przekonaniu ¿e ma "uzasadnione zaufanie" do producenta. To ¿e w systemach (hardware+software+ludzie+procedury) wszystkich banków w Polsce nie ma ¿adnej "dziury" dla mnie jest "statystycznie niemo¿liwe". To dla ciebie _mo¿e_ siê przek³adaæ na przekonanie ¿e dla ciebie osobi¶cie to zagro¿enie jest "niemal tylko teoretyczne". -- A. Filip Je¿eli chcesz zachowaæ przyjaciela, nie po¿yczaj mu ani nie po¿yczaj od niego. (Przys³owie arabskie) |
|
Data: 2016-05-13 19:55:23 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "A. Filip" .... A bank sam swojego softu nie napisa³ i sam go nie "utrzymuje", trwa w przekonaniu ¿e ma "uzasadnione zaufanie" do producenta. -- - Sk±d takie przekonanie ? Banki oczywi¶cie pisz± i utrzymuj± swoje oprogramowanie. Maj± te¿ dzia³y bezpieczeñstwa, które badaj± podatno¶ci u¿ywanego oprogramowania na ataki ró¿nego rodzaju. I te systemy pewnie bywaj± bardziej dziurawe od systemów, które kupuj± od firm zewnêtrznych. To ¿e w systemach (hardware+software+ludzie+procedury) wszystkich banków w Polsce nie ma ¿adnej "dziury" dla mnie jest "statystycznie niemo¿liwe". To dla ciebie _mo¿e_ siê przek³adaæ na przekonanie ¿e dla ciebie osobi¶cie to zagro¿enie jest "niemal tylko teoretyczne". -- - I co z tego ? |
|
Data: 2016-05-17 12:45:45 | |
Autor: Miroo | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:38, Liwiusz pisze:
Dodam jeszcze, ¿e w moi banku samym has³em niczego siê z konta nie Mój kolega te¿ tak my¶la³, bo mia³ praktycznie puste konto w mbanku. Z³odziej wzi±³ jednym klikiem kredyt na 40 ty¶ i ju¿ by³o co wyprowadzaæ. Pozdrawiam |
|
Data: 2016-05-17 03:55:35 | |
Autor: Kris | |
Obowi±zek zmiany has³a w programach | |
W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 u¿ytkownik Miroo napisa³:
Mój kolega te¿ tak my¶la³, bo mia³ praktycznie puste konto w mbanku.Jak to zrobi³ samym has³em? |
|
Data: 2016-05-19 15:34:44 | |
Autor: Miroo | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-17 o 12:55, Kris pisze:
W dniu wtorek, 17 maja 2016 12:45:53 UTC+2 u¿ytkownik Miroo napisa³: Nie znam szczegó³ów, ale w jaki¶ sposób spryciarzowi uda³o siê przez infoliniê zmieniæ numer telefonu. Podobno zrobi³ kilka podej¶æ, bo nie od razu siê uda³o. Kolega informatyk, wiêc potrafi zadbaæ nale¿ycie o bezpieczeñstwo, ale oczywi¶cie nie mo¿na wykluczyæ, ¿e jaki¶ skrypt/trojan wykrad³ mu namiary na konto. Nie b±d¼cie wiêc tacy pewni, bo mo¿e trafiæ ka¿dego :) Sprawa dotyczy³a co najmniej kilku pokrzywdzonych w ten sposób osób przez tego samego sprawcê. Pozdrawiam |
|
Data: 2016-05-17 12:51:55 | |
Autor: Liwiusz | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-17 o 12:45, Miroo pisze:
W dniu 2016-05-13 o 10:38, Liwiusz pisze: Bez has³a jednorazowego? I co dalej? -- Liwiusz |
|
Data: 2016-05-13 10:41:45 | |
Autor: Tomasz Kaczanowski | |
Obowiązek zmiany hasła w programach | |
W dniu 2016-05-13 10:35, A. Filip pisze:
Liwiusz<lmalin@bez.tego.poczta.onet.pl> pisze: Ale raz do roku (przy silnym ha¶le, raz na kilka lat), to nie to samo co raz w miesi±cu i to jeszcze has³o 6 do 8 znaków.... Co do wycieku, to mam nadziejê, ¿e ¿aden rozs±dny system nie trzyma has³a wprost, tylko zakodowane w postaci stratnej... -- Kaczus http://kaczus.ppa.pl |
|
Data: 2016-05-13 11:04:28 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> pisze:
W dniu 2016-05-13 10:35, A. Filip pisze: Masz _pewno¶æ_ ¿e korzystasz tylko z "rozs±dnych systemów"? :-) -- A. Filip Je¿eli ciê wilk zaprasza, id¼ do niego, ale zabierz ze sob± psa. (Przys³owie gruziñskie) |
|
Data: 2016-05-13 11:37:39 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-13, Tomasz Kaczanowski <kaczus@dowyciecia_poczta.onet.pl> wrote:
[...] Ale raz do roku (przy silnym ha¶le, raz na kilka lat), to nie to samo co raz w miesi±cu i to jeszcze has³o 6 do 8 znaków.... Co do wycieku, to mam nadziejê, ¿e ¿aden rozs±dny system nie trzyma has³a wprost, tylko zakodowane w postaci stratnej... md5 jest do z³amania w kilka minut (s± bazy z wszystkimi hashami). sha1 to kwestia dnia, bo obecne maszyny s± ju¿ b. szybkie i to nie problem zrobiæ brute-force z algorytmem równoleg³ym. Dopiero bcrypt co¶ zmienia, ale te¿ nie jest zbyt popularny. -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-13 14:54:14 | |
Autor: J.F. | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "Wojciech Bancer" napisa³ w wiadomo¶ci grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org...
md5 jest do z³amania w kilka minut (s± bazy z wszystkimi hashami). Masz na mysli cos typu "wszystkie kombinacje do 8 malych, duzych liter i cyfr" ? No faktycznie, przystepna liczba wychodzi, ~3000 tysiace dyskow 1TB. Ale 10 znakowe haslo wymaga juz sporej hali :-) sha1 to kwestia dnia, bo obecne maszyny s± ju¿ b. szybkie i to nie problem zrobiæ brute-force z algorytmem równoleg³ym. Dopiero bcrypt co¶ zmienia, ale te¿ nie jest zbyt popularny. J. |
|
Data: 2016-05-13 17:14:05 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
U¿ytkownik "Wojciech Bancer" napisa³ w wiadomo¶ci grup dyskusyjnych:slrnnjb837.mk7.proteus@pl-test.org... Kwestia sposobu przechowywania. Tu: http://project-rainbowcrack.com/table.htm md5_mixalpha-numeric#1-9 Counts: 13,759,005,997,841,642 I to ma poni¿ej 1TB. Ale 10 znakowe haslo wymaga juz sporej hali :-) Zawsze mo¿na zaprz±c GPU do zabawy. https://securityledger.com/2012/12/new-25-gpu-monster-devours-passwords-in-seconds/ "The clustered GPUs clocked impressive speeds against more sturdy hashing algorithms as well, including MD5 (180 billion attempts per second, 63 billion/second for SHA1 and 20 billion/second for passwords hashed using the LM algorithm. So called "slow hash" algorithms fared better. The bcrypt (05) and sha512crypt permitted 71,000 and 364,000 per second, respectively." A odpowiedni klaster maszyn mo¿na zbudowaæ np. w cloudzie i nie trzeba na to wydawaæ fortuny. -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-13 18:01:06 | |
Autor: Wojciech Bancer | |
Obowi±zek zmiany has³a w programach | |
On 2016-05-13, J.F. <jfox_xnospamx@poczta.onet.pl> wrote:
[...] md5 jest do z³amania w kilka minut (s± bazy z wszystkimi hashami). ¯eby zademonstrowaæ. :) Dla 8-znakowych hase³ mo¿na spróbowaæ: https://hashkiller.co.uk/md5-decrypter.aspx np. 44ca68613970d018becb32235b0df42e 9013ba3cefdcdaed5de1223f07dcd2ac 200820e3227815ed1756a6b531e7e0d2 te has³a Ci odnajdzie bez problemu. A to by³a pierwsza-lepsza baza. Zapewne s± i lepsze, niekoniecznie darmowe. ;) -- Wojciech Bañcer proteus@post.pl |
|
Data: 2016-05-13 20:03:59 | |
Autor: re | |
Obowi±zek zmiany has³a w programach | |
U¿ytkownik "Tomasz Kaczanowski"
Ale raz do roku (przy silnym ha¶le, raz na kilka lat), to nie to samo co raz w miesi±cu i to jeszcze has³o 6 do 8 znaków.... Co do wycieku, to mam nadziejê, ¿e ¿aden rozs±dny system nie trzyma has³a wprost, tylko zakodowane w postaci stratnej... -- - To nie jest kwestia sposobu przechowywania has³a tylko u¿ywania dobrego systemu uwierzytelniania. Techniki kryptograficzne u¿ywane w takich systemach z regu³y daj± pewno¶æ, z kim mamy do czynienia. Np. szyfrowanie asymetryczne. |
|
Data: 2016-05-13 23:55:49 | |
Autor: cef | |
Obowi±zek zmiany has³a w programach | |
W dniu 2016-05-13 o 10:16, Jacek Maciejewski pisze:
Dnia Thu, 12 May 2016 13:52:43 +0200, Krzysztof JodÅ‚owski napisaÅ‚(a): Zupe³nie bez sensu. Zw³aszcza, ¿e do takiego P³atnika wymuszanie has³a mo¿na obej¶æ w prymitywny sposób. pewnie i w tych innych systemach da siê co¶ wymy¶³iæ. |
|
Data: 2016-05-15 13:38:23 | |
Autor: Borys Pogore³o | |
Obowi±zek zmiany has³a w programach | |
Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisa³(a):
"Przy okre¶laniu czêstotliwo¶ci zmiany hase³ nale¿y pamiêtaæ, i¿ has³o u¿ytkownika powinno byæ zmieniane nie rzadziej ni¿ co 30 dni i sk³adaæ siê co najmniej z 6 lub 8 znaków - w zale¿no¶ci od tego, czy w systemie Bo wytyczne GIODO dotycz± dostêpu do systemów przetwarzaj±cych dane osobowe. Nawiasem mówi±c przy tych coraz bardziej kretyñskich klasyfikacjach (tablice rejestracyjne, adresy IP) to pewnie nied³ugo i numer rachunku bankowego uznaj± za dan± osobow±. -- Borys Pogore³o borys(#)leszno,edu,pl |
|
Data: 2016-05-15 17:32:51 | |
Autor: Jacek Maciejewski | |
Obowi±zek zmiany has³a w programach | |
Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogore³o napisa³(a):
Dnia Fri, 13 May 2016 10:16:05 +0200, Jacek Maciejewski napisa³(a): Mnie tam siê wci±¿ zdaje ¿e pieniadze s± wiêcej warte ni¿ "dane osobowe". No ale ja jestem z epoki w której ka¿dy móg³ mieæ (i mia³) na drzwiach tabliczkê z nazwiskiem. -- Jacek "Wszelka izolacja jest gleb±, na której wyrasta nienawi¶æ do obcych, a jej owoc jest gorzki" - Frank Herbert |
|
Data: 2016-05-15 17:45:24 | |
Autor: A. Filip | |
Obowi±zek zmiany has³a w programach | |
Jacek Maciejewski <jacmac@go2.pl> pisze:
Dnia Sun, 15 May 2016 13:38:23 +0200, Borys Pogore³o napisa³(a): Sam o _swoje_ pieni±dze nie zadbasz (bez GIODO)? :-) "Dane osobowe" w przeciwieñstwie do "w³asnych (sporawych) pieniêdzy" to co¶ o co w wiêkszo¶ci przypadków tylko "pieniacze" by indywidualnie walczyli. -- A. Filip Jak Kuba Bogu, tak Bóg Kubie. (Przys³owie polskie) |
|
Data: 2016-05-16 09:34:51 | |
Autor: szerszen | |
Obowi±zek zmiany has³a w programach | |
On Fri, 13 May 2016 10:16:05 +0200
Jacek Maciejewski <jacmac@go2.pl> wrote: Typowo urzêdnicze obijanie sobie dupy blach±. Dla przyk³adu do banków Nie wiem w jakim banku masz konto, ale Millenium co jaki¶ czas wymusza zmianê has³a. -- pozdrawiam szerszeñ |
|
Data: 2016-05-16 00:54:15 | |
Autor: Kris | |
Obowi±zek zmiany has³a w programach | |
W dniu poniedzia³ek, 16 maja 2016 09:34:54 UTC+2 u¿ytkownik szerszen napisa³:
Nie wiem w jakim banku masz konto, ale Millenium co jaki¶ czas wymusza zmianê has³a.W mBanku nie zmienia³am ju¿ kilka(jak nie kilkana¶cie) lat Mam to samo has³o od pocz±tku Polbank wymusza³ chyba co 2 miesi±ce, po zmianie na Raiffeisen ju¿ nie wymuszaj± chyba tylko sugeruj± zmianê has³a. |
|
Data: 2016-05-16 09:51:49 | |
Autor: Jacek Maciejewski | |
Obowi±zek zmiany has³a w programach | |
Dnia Mon, 16 May 2016 09:34:51 +0200, szerszen napisa³(a):
Nie wiem w jakim banku masz konto, ale Millenium co jaki¶ czas wymusza zmianê has³a. W DB, ju¿ parê lat. Jak do tej pory wymuszali tylko raz, chyba po jakich¶ zawirowaniach. -- Jacek "Wszelka izolacja jest gleb±, na której wyrasta nienawi¶æ do obcych, a jej owoc jest gorzki" - Frank Herbert |
|
Data: 2016-05-16 18:25:21 | |
Autor: m | |
Obowi±zek zmiany has³a w programach | |
On 16.05.2016 09:34, szerszen wrote:
On Fri, 13 May 2016 10:16:05 +0200Zachêca do zmiany. Mam niezmieione od ca 10 lat. p. m. |