#6Uo4F
1.Wymuszanie w każdym serwisie haseł z wieloma wymogami. Dla hakera nie ma znaczenia jakie tam są znaki. Jeśli ktoś nie jest idiotą i nie stosuje hasła typu "haslo123" to odgadnięcie jest nierealne a przed atakami typu brute force chronią zabezpieczenia przed serią błędnych logowań. W grę wchodzi jego wykradzenie a stopień skomplikowania nie ma wpływu na powodzenie akcji.
2.Ludzie zamiast stosować różne hasła wymyślają jedno spełniające wszystkie wymogi i stosują je wszędzie. To powoduje że jak ktoś włamie się na 1 konto, to w 5 minut uzyska dostęp do wszystkich innych a jeśli mowa o mailu to może sprawę załatwić poprzez odzyskanie hasła.
3.Wymuszanie zmiany hasła co jakiś czas. Niektóre serwisy urzędowe mają taki wymóg. To powoduje że stosowanie hasła trudniejszego niż "tomek#123" na przemian z "tomek#321" przerasta 99% użytkowników.
4.Ułuda dwuetapowego logowania. Zapewnia bezpieczeństwo pod warunkiem że potrzebujemy do niego osobnego urządzenia. Jeśli zabezpiecza nas email to nic nie daje. Ktoś włamie się na maila i patrz punkt 2.
5.Łatwe logowanie do banku przez telefon. Ten który to wymyślił powinien rozpędzić się i przywalić łbem o ścianę! Dziś aby na kompie sprawdzić saldo, potrzebuję loginu i hasła. Aby sprawdzić ile wydałem rok temu na prezent dla siostrzeńca potrzebuję potwierdzenia PINem, przez telefon. Natomiast od zalogowania się w smartfonie oddziela nas kod PIN! Po czym można normalnie robić przelewy. Wystarczy że ktoś nam ukradnie telefon, pozyska nasz PIN i wyczyści konto nim się obejrzymy. Połowa ludzkości nie zabezpiecza odblokowywania telefonu w żaden sposób.
6.Najnowsza inba z włamaniem na bazę laboratorium medycznego i zastrzeganiem peselu. To powinno działać tak że KAŻDY pesel jest domyślnie ZASTRZEŻONY. A lichwiarz który udzielił klientowi pożyczki przez neta na nr PESEL nawet przy podaniu błędnego adresu zamieszkania powinien być ścigany przez prokuratora! To niepojęte że wystarczy znać czyjaś datę urodzenia i te losowe 5 cyfr żeby ktoś w naszym imieniu nabrał pożyczek! Mało tego w razie takiego przestępstwa najpierw ścigany jest obywatel którego okradziono, komornik natychmiast wbija mu na konto i można go jeszcze oskarżyć o sfałszowanie własnych danych. To jest tak głupie że brak słów!
7.Podłączanie do internetu wszystkich urządzeń dla wygody. Żadne nie jest w 100% bezpieczne. Ale jeśli da się je ze sobą powiązać to jesteście ugotowani bo umiejętnie przeciążając elektronikę można wywołać nawet pożar.
8.Tak przygotowane systemy przy nadchodzącej rewolucji związanej z AI są bardzo niebezpieczne. Biorąc pod uwagę projekty typu "smart cities" gdzie stawia się na masową inwigilację i automatyzację to za chwilę będzie jazda bez trzymanki.
Najsłabszym elementem jakiegokolwiek zabezpieczenia jest człowiek.
Tak, pesel powinien być domyślnie zastrzeżony, ale ustawodawstwo w tym kraju jest 20 lat za postępem technicznym. Samo umożliwienie zastrzeżenia peselu to i tak spory postęp.
Dla mnie niepojęte jest to, żeby wykupić e-receptę w aptece trzeba powiedzieć pesel na głos
Możesz napisać na kartce i podać kartkę.
No pewnie, a po całym dniu będzie miała pełno karteczek z peselami i będzie wybierać na który wziąć kredyt, albo wyrzuci do kosza i ktoś inny znajdzie i weźmie kredyt…
Pokazujesz / podajesz - pani przepisuje i Ci oddaje. Jak recepty były drukowane też był tam pesel i co, aptekarze masowo kredyty brali na innych?
Nie wiem czy brali kredyty, bo nie mam dostępu do takich informacji (poza tym obowiązuje ich klauzula tak jak wszystkich, którzy przetwarzają dane, ale nie obowiązuje klientów apteki), ale mówienie na głos peselu czy pisanie go na kartce to dla mnie tak samo niebezpieczne. Kartka może wypaść i może ją podnieść inny klient i wykorzystać. Poza tym nie noszę przy sobie kartki i długopisu.
Ja zapisuje na karteczce nr pesel i nr recepty i podaję w okienku a potem proszę o zwrot karteczki. Polecam :)
To zapisz w telefonie i pokaż, co to za problem. Chyba że boisz się, że farmaceuta nie odda ci też telefonu xd
Daj do zeskanowania receptę na telefonie, problem rozwiązany…
.1. Jeżeli masz hasło składające się z samych cyfr wystarczy chwila by je złamać. Przy 10 znakowym haśle istnieje miliard kombinacji. Przy cyfrach i literach tak samo długie hasło posiada milion ray więcej kombinacji. To pierwsze można złamać w kilka sekund, to drugie już nie bardzo. Co do zabezpieczenia ilością prób logowania- jeżeli brute force wykonuje kilkunastoletni Maciuś co dopiero co przeczytał o tym sposobie, wykonuje je na swoim komputerze opartym o techniki z poprzedniego milenium to zostanie łatwo zatrzymany. Jeżeli ten sam atak wykona zaawansowana grupa hakerska, nowoczesnymi sposobami na super komputerach to niestety Twoją jedyną nadzieją jest skuteczność hasła, a nie zabezpieczenia przed brute forcem.W internecie istnieje multum plików z wykradzionymi hasłami. Oczywiście nie są w czystym tekscie tylko odpowiednio zahashowane, ale niestety nawet to wystarczy żeby odgadnąć hasło za pomocą klasteru kilkudziesięciu/kilkuset komputerów.
2. Przeciętny obywatel nie wie jak odpowiednio gospodarować swoimi hasłami dlatego kampanię pouczające na ten temat są szkodliwe? Bez komentarza
3. Większość serwisów/nowoczesnych firm odchodzi od tego wymogu ponieważ faktycznie robił więcej szkód niż pożytku. Nie jest to jednak wina sposobu tylko ludzi nieumiejących się do niego zastosować.
4.Dwuetapowe uwierzytelnianie jest milion razy bezpieczniejsze niż jednoetapowe. Jasne, jeżeli ktoś wykradnie Twoje hasło do emaila to jesteś narażony. Jednak dalej otrzymujesz powiadomienie(wystarczy skonfigurowac telefon w kilka minut) i wiesz że ktoś się włamał na Twojego maila i próbuje to wykorzystać. Przydatne, prawda?
Ciąg dalszy niżej
5. Jeżeli dobrze się orientuje to żaden bank do tego nie zmusza, jest to dobrowolna decyzja. Oparta jest na tym że użytkownik ma zabezpieczony telefon, dlatego komplikowanie logowania do banku jest bezcelowe. Jeżeli ktoś nie ma zabezpieczonego telefonu to jest to jego wina że wybrał taką opcję logowania do banku i kampania powinna mu to uswiadomic.
6. Nie kojarzę tej sytuacji, ale na pierwszy rzut oka nie ma kompletnie znaczenia w kontekście Twojej wypowiedzi. Tak, PESEL jak i inne dane powinny być bardziej zastrzeżone a pożyczki mniej dostępne. Nie ma to odzwierciedlenia w nagonce medialnej o której tak wspominasz.
7.Nic w życiu nie jest w 100% bezpieczne. Starsze rozwiązania też miały ryzyko. Zakładając że wdrożone systemy są w 100% dopracowane to jedyną kwestią jest to jak użytkownik z tego korzysta. Jeżeli podejdziesz to tego z należytą starannością to powinieneś być w 99.99% bezpieczny o ile nie interesuje się Tobą jakaś grupa hakerska.
8.Tak- takie systemy są bardzo niebezpieczne. A z czego się to niebezpieczeństwo bierze? Mała podpowiedź- z niewiedzy szarego Kowalskiego. Jak temu zapobiec? A no biadolenie w mediach na ten temat :)
Następnym razem poświęć te kilka/kilkanaście minut na przemyślenie związków przyczynowo-skutkowych tego co piszesz. Jest odwrotnie niż twierdzisz- nagonka w mediach daje dużo, ALE jest jest zdecydowanie za MAŁO. Każdy z Twoich punktów( nie licząc szóstego, ale on jest nie na temat) wynika z niewiedzy/niekompetencji szarego użytkownika. Rozwiązaniem jest uświadomienie społeczeństwa a nie płakanie w internecie że te próby nic nie dały i odwracanie kota ogonem. Potrzeba jeszcze więcej kampanii uświadamiających.
Czyli Kowalski ma sie dostosowac do techniki a nie technika do Kowalskiego. Definicja technokraty.
Mogę obalić każdy z twoich punktów. Od którego zacząć? Może od pierwszego? W Brute force to można się bawić w przedszkolu... Widać, że nawet nie masz pojęcia, po co stosuje się odpowiednią długość i złożoność haseł. Pewnie nawet nie masz pojęcia, czym są tęczowe tablice...
Ja nie mam. A takim komentarzem nie uświadamiasz. Bez argumentów nie da się nic obalić.
Jako ciekawostkę podam przygodę mojego znajomego, który - będąc rasowym, szkolonym informatykiem - wiedział nie tylko, co to Brute force i tęczowe tablice, ale stosował wszystkie możliwe zabezpieczenia i super silne hasła, generowane w naj naj mocniejszy sposób. Nie przeszkodziło to faktowi, że pewnej nocy obudziły go esemesy z banku, informujące o przelewach, wykonywanych jego kartą kredytową, z jego konta - w kilkunastu różnych miejscach świata.
Spoko - natychmiastowa blokada karty, potem procedury bankowe i zwrot kasy przez bank (na szczęście karta była ubezpieczona, a ponad to nie stwierdzono żadnej winy ze strony posiadacza karty). Teoretycznie jest ok.
Ale:
- śledztwo policyjne zostało umorzone
- do dziś (ponad rok) nie wiadomo, w którym punkcie "puściły" zabezpieczenia.
Jak obalisz "5"? Żeby zalogować się z komputera do konta bankowego muszę mieć aplikację na telefonie. Ale ta sama aplikacja na samym telefonie pozwala tym samym jednym pinem bez żadnego innego urządzenia przelać wszystkie pieniądze...
Nie instalować aplikacji.
Z kolei dla znających się na rzeczy, ze wszystkimi poza "4" da się uporać. "4" jest najgorsze: Niektóre konta bankowe nie dają możliwości nie posiadania aplikacji mobilnej i z taką aplikacją da się wszystko wyczyścić - co znaczy trzeba bardzo zabezpieczyć telefon, co jak 50 razy na dzień odblokowujesz żeby puścić lub zatrzymać muzykę jest wkurzające.
Zakladasz konto w innym banku. Problem rozwiazany.