Cytat:

A nawiązując do tematu logowania i zmiany haseł w Polbanku to uważam że wymuszenie zmiany hasła ma może sens w zakładach pracy, korporacjach ponieważ tam jest większa możliwość podpatrzenia cudzego hasła niż np w bankowości internetowej z której korzystamy najczęściej w domu.

Mnie się wydaje, że komputery domowe są statystycznie gorzej zabezpieczone
niż te w pracy i że hasła są częściej podglądane nie z za pleców tylko z
drugiej strony.
P.G.

Cytat:

A nawiązując do tematu logowania i zmiany haseł w Polbanku to uważam że wymuszenie zmiany hasła ma może sens w zakładach pracy, korporacjach ponieważ tam jest większa możliwość podpatrzenia cudzego hasła niż np w bankowości internetowej z której korzystamy najczęściej w domu. Mnie się wydaje, że komputery domowe są statystycznie gorzej zabezpieczone niż te w pracy i że hasła są częściej podglądane nie z za pleców tylko z drugiej strony. P.G.

Ale skoro tak, to zmiana hasła nie ma znaczenia :-)

witrak()

--

witrak()

Cytat:

A nawiązując do tematu logowania i zmiany haseł w Polbanku to uważam że wymuszenie zmiany hasła ma może sens w zakładach pracy, korporacjach ponieważ tam jest większa możliwość podpatrzenia cudzego hasła niż np w bankowości internetowej z której korzystamy najczęściej w domu. Mnie się wydaje, że komputery domowe są statystycznie gorzej zabezpieczone niż te w pracy i że hasła są częściej podglądane nie z za pleców tylko z drugiej strony. P.G. Ale skoro tak, to zmiana hasła nie ma znaczenia :-) witrak()

.... bo zmiana może zostać podpatrzona hehe...


--
Zalaczam pozdrowienia i zyczenia powodzenia
Krzysztof 'kw1618' Warszawa - Ursynow
Kontakt z kw1618 przez grupy.3mam.net 'Kontakt'
http://foto.3mam.net/warsaw/slides/Tasmowa_7a_06.php

Tak na marginesie ale w temacie logowania:
Czy podawanie przy logowaniu zawsze pełnego loginu i pełnego hasła na pewno
jest bezpieczne ?



--
Krzysztof 'kw1618' Warszawa - Ursynow
grupy.3mam.net 'Kontakt' dla e-poczty
http://foto.3mam.net/warsaw/07/obr/index.php

Cytat:

a zmieniać będzie na g5D%aA1L.marzec, g5D%aA1L.kwiecien, g5D%aA1L.maj.

Ech, no to ja pasuję. Jak userowi nie zależy na jakimś tam dbaniu o
swoje pieniądze, to co bank ma się napinać i coś wymuszać? W sumie, to
dlaczego wymusza jakieś hocki klocki przy logowaniu - tokeny, captche,
wybieranie znaków? Może dopuścić puste hasło i z głowy.

Cytat:

Jak zauważę, że ktoś loguje się do banku na moje hasło, to też to hasło zmienię.

Ty tak. 95% gospodyń z Gdańska nie. Idą do kafejki albo mają modem z
tepsy. Stosują popularne hasła i nie zmieniają. Ale patrz punkt 1.

Cytat:

osobę, która hasło _już ukradła_ i używa równolegle ze mną

Mi by taka świadomość przeszkadzała.

--
Alf/red/

"Michal Jankowski" kjzwrqsfysm.fsf@ccfs1.fuw.edu.pl

Cytat:

Owszem, jeśli ktoś mi ukradnie dajmy na to kopertę, w której zapisałem sobie hasło, to wtedy warto zmienić hasło, w nadziei, że zrobimy to szybciej niż słodziej zgadnie, że to hasło i do czego. Odpiowiednik tej plasteliny. Ale to ma się nijak do zmian okresowych.

Jakoś się ma. Co wówczas, jeśli przeoczysz fakt plastelinowania?
Jeśli Twoja okresowość trafiła akurat na plastelinowanie, uratujesz
się. Szansa na takie złożenie dwóch zdarzeń jest zazwyczaj żadna.
(zazwyczaj -- bo może akurat Twój złodziej dziś kradnie hasło/kluczyk,
ale nie używa tego przez jakiś czas, aby dać Ci czas na zmianę tego hasła)

Zmiana okresowa jest potrzebna o czegoś innego:

Ktoś patrzy Ci na ręce i odczytuje hasło powoli, na przykład
jedną literę w czasie dwóch tygodni -- lub w czasie pięciu
logowań. Zanim odczyta całe hasło, zmienisz je. Szansa na
takie podczytywanie jest już duża w zestawieniu z szansą
z poprzedniej sytuacji -- ale nadal żadna. :)

Klucz (czy raczej zamek wraz kluczem) do drzwi zmieniamy okresowo,
bo ten klucz (i zamek też) psuje się mechanicznie. Hasło nie może
się zepsuć, więc zmiana okresowa ma sens -- utrudnia życie użytkownikowi. :)

Ale można sobie wyobrazić potrzebę takiego okresowego zmieniania:
mając co miesiąc inną kochankę, warto co miesiąc zmieniać hasła
i zamki. ;)

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@eneuel.comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

Postscriptum... Pod wrażeniem postów tego wątku zmieniłem hasło do konta
w Multi, które podałem bankierce przy okazji rozpoczynania
III etapu mojej współpracy z Multibankiem... BTW utraconej karty z Multi...
Dzięki tej utracie zaglądam rzadziej do Auchan a częściej do Carrefouru,
gdzie mam w piątki talony (swoiste keszbeki pięcioprocentowe) za zakupy...
Otóż w galerii Carrefoura znalazłem stoisko z tanimi ubrankami -- akurat
dobrymi na kajak... Zamiast w Auchan płacić za spodenki/Bermudy 10 złotych,
mogę tam płacić 5 złotych... Zawsze trzeba okazywać Bogu wdzięczność
-- także wówczas, gdy Auchan zabiera kartę kredytową Multi... Szkoda, że
sezon na kajakowanie miną... Inna sprawa, że w Auchan mogę zmierzyć
jedną sztukę jakiegoś ubranka i kupić naraz wiele takich samych w tym
samym rozmiarze, podczas gdy nie wszędzie jest aż tak słodko,
a mierzenie każdej z osobna kupowanej rzeczy nie jest przyjemne...

s:

Cytat:

a zmieniać będzie na g5D%aA1L.marzec, g5D%aA1L.kwiecien, g5D%aA1L.maj. Ech, no to ja pasuję. Jak userowi nie zależy na jakimś tam dbaniu o swoje pieniądze, to co bank ma się napinać i coś wymuszać? W sumie, to dlaczego wymusza jakieś hocki klocki przy logowaniu - tokeny, captche, wybieranie znaków? Może dopuścić puste hasło i z głowy.

Hasło g5D%aA1L wystarczająco zabezpiecza przed ODGADNIĘCIEM.
Zmienianie hasła co miesiąc nie zabezpiecza przed PODPATRZENIEM hasła,
bo złodziej nie będzie czekał, aż nadejdzie kolejny termin zmiany
hasła, tylko użyje hasła DZIŚ i teraz.

MJ

"Michal Jankowski" kjzaannfj4i.fsf@ccfs1.fuw.edu.pl

Cytat:

Hasło g5D%aA1L wystarczająco zabezpiecza przed ODGADNIĘCIEM. Zmienianie hasła co miesiąc nie zabezpiecza przed PODPATRZENIEM hasła, bo złodziej nie będzie czekał, aż nadejdzie kolejny termin z miany hasła, tylko użyje hasła DZIŚ i teraz.

O ile podpatrzy hasło w całości, zanim nastąpi zmiana.
Zwykle podpatrywanie ma charakter etapowy -- tym razem
początek, innym razem środek, a innym razem koniec. :)

No właśnie... Czy na koncie (obok środków i zewnętrzy) są także końce?

-=-

To chyba oczywiste, że okresowość hasłowa jedynie ćwiczy cierpliwość
użytkownika i sprawdza możliwości zmiany hasła -- jakże potrzebną na
wypadek użycia plasteliny. Potrzebę okresowego zmieniania hasła
wprowadzają ludzie bez wyobraźni. :)

--
450-600 to (60-80)% . . . 749 .
VV Ventolin u . . . 739 . 26 .
^ . . lipiec 25 . .01 . . .12 . 20 729 . . . 02 .
. . . . . . . 26 . . . g 03040506 .09 . 14 . 19 724 .25 27 04 06
P . VVVV VV .19 . . . . r02VV . 13 . 21 709 . . 05
E07 101112 17 20 VV . 2728 31 . 08 16VV 700 VV
F 08 . 16 VV23 29 m sierpień 1011 15 VV 690 2324 2829 .01 07
.-09 13 18 22 24 u 1718 680 22 30 wrzesień
l '.O_' 21 30 c VV 670 31
/ o.`., 1415 h 07 660 VV
m.;\|/.. ......... ........ ..... ..................y................,,,,,,....;;;;..,,;;..,,.654...,,..,,..,,..,,..,,..,,03..,,,,..

Cytat:

A nawiązując do tematu logowania i zmiany haseł w Polbanku to uważam że wymuszenie zmiany hasła ma może sens w zakładach pracy, korporacjach ponieważ tam jest większa możliwość podpatrzenia cudzego hasła niż np w bankowości internetowej z której korzystamy najczęściej w domu. Mnie się wydaje, że komputery domowe są statystycznie gorzej zabezpieczone niż te w pracy i że hasła są częściej podglądane nie z za pleców tylko z drugiej strony. P.G. Ale skoro tak, to zmiana hasła nie ma znaczenia :-) witrak() .... bo zmiana może zostać podpatrzona hehe...

....z drugiej strony. Sądziłem, że przedpiścy szło o podpatrzenie
nie z zewnętrza tylko z wnętrza kompa. A wtedy zmiana też zostanie
podpatrzona... Więc czy ją się przeprowadzi czy nie - nie ma
znaczenia... hehe...

witrak()

"Krzysztof 'kw1618' z Warszawy" i6gqgf$fug$1@inews.gazeta.pl

Cytat:

Tak na marginesie ale w temacie logowania: Czy podawanie przy logowaniu zawsze pełnego loginu i pełnego hasła na pewno jest bezpieczne ?

Jest wygodne. Nic nie jest bezpieczne. :)

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@eneuel.comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

"AW" i68ujj$fmm$1@news.task.gda.pl

Być może było -- nie chcę czytać całego wątku. :)

Moim zdaniem warto zezwolić na drobne błędy we wprowadzaniu
długich haseł. Jeśli ktoś wprowadzając kilkunastoznakowe
hasło jeden znak wprowadzi błędnie, system powinien to
przyjmować jako wprowadzenie bezbłędne. :)

Można też cwanie liczyć próby wprowadzenia błędnego hasła.

-- jeśli całe hasło jest złe, 6 prób (zamiast stresujących 3)

-- ale jeśli tylko jeden znak jest źle wprowadzony,
próba mogłaby być ignorowana w czasie liczenia,
o ile kolejnym razem nie dojdzie do pomyłki na
tym samym polu

-- podobnie mogłaby być inaczej liczona próba
wprowadzenia hasła z wciśniętym kapslokiem

--
.450-600 to (60-80)%. . 749 . .
VV Ventolin u . . . 739 . 26 . . .1213
^ lipiec 25 . .01 . . .12 . 20 729 . . . 02 . . 11
. . . . 26 . . . g 03040506 .09 . 14 . 19 719 .25 27 04 06 08
P VV .19 . . . . r02VV . 13 . 21 709 . . 05
E 17 20 VV . 2728 31 . 08 16VV 695 VV .10
F . 16 VV23 29 m sierpień 1011 15 VV 690 2324 2829 .01 07 09
13 18 22 24 u 1718 680 22 30 wrzesień
l 21 30 c VV 670 31
/ 1415 h 07 660 VV
m..... ........ ..... ..................y................,,,,,,....;;;;..,,;;..,,.654...,,..,,..,,..,,..,,..,,03..,,,,..,,..,,......

Cytat:

Być może było -- nie chcę czytać całego wątku. :) Moim zdaniem warto zezwolić na drobne błędy we wprowadzaniu długich haseł. Jeśli ktoś wprowadzając kilkunastoznakowe hasło jeden znak wprowadzi błędnie, system powinien to przyjmować jako wprowadzenie bezbłędne. :) Zakładasz, że banki są w stanie stwierdzić, ile znaków jest błędnych

(przechowują hasła w oryginalnej postaci).
Teraz sobie uświadomiłem, że przy logowaniu z maskowaniem bank musi
przechowywać hasło w jawnej postaci (a nie wydłużone funkcją mieszającą).
Wydaje mi się to poważnym błędem, bo oznacza dostęp w banku do hasła
użytkownika.
P.G.

Cytat:

Bank zawsze ma dostep do hasla usera.

no rozroznijmy bank od aplikacji chodzącej na serwerze.
to nie to samo.

s:

Cytat:

Teraz sobie uświadomiłem, że przy logowaniu z maskowaniem bank musi przechowywać hasło w jawnej postaci (a nie wydłużone funkcją mieszającą). Wydaje mi się to poważnym błędem, bo oznacza dostęp w banku do hasła użytkownika.

Bank zawsze ma dostep do hasla usera. Nawet gdyby zaszyfrowanie
(zrobienie skrotu itp) bylo realne kryptograficzne (przy dluzszych
haslach), to przy najblizszym uzyciu hasla bank znow je bedzie znal.
W kazdym razie uzytkownik nigdy nie bedzie mial gwarancji, ze jego haslo
jest dobrze chronione przez bank.
--
Krzysztof Halasa

"witek" i6oota$735$3@inews.gazeta.pl

Cytat:

no rozroznijmy bank od aplikacji chodzącej na serwerze. to nie to samo.

Rzeczywistość jest bardziej skomplikowana, ale chyba nie należy
podejrzewać Aliora o stosowanie wyrafinowanych metod. :)

Kiedyś to się nazywało ,,wiem, ale nie powiem'' -- nie
znam postępów czynionych ostatnio. :)

-=-

Wracając do hasłologii i nadzabezpieczeń...
Nawrzucałem w sklepie do wózka zakupów i jadę z tym na nieruchome
schody ruchome... Schody proponują mi podanie hasła uruchomieniowego...
Ani klawiatury nie ma rozsądnej, ani ja tego hasła nie znam, a zapewne
wiadome hasło z Seksmisji by nie przeszło... ;)

No i zepchnąłem wózek ,,przemocą''...
Raczej nie tyle schodami to coś było, co pochylnią ruchomą -- tyle,
że wówczas nieruchomą. Wózek blokowany był tam zmyślnym kształtem
,,okołokół'' i nie zsuwał się samoistnie pod wpływem znanej wszystkim
sile G... Musiałem pchać go brutalnie!!!

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@eneuel.comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....