SKOK Stefczyka: login 10 cyfr, hasło kompletne (nie pamiętam wymogów,
ale typowe), captcha czyli przepisanie tekstu z obrazka.

BOŚ z tokenem: login 8 cyfr, hasło kompletne (jw) + token.


Taa, swoją szosą dlaczego tylko jeden bank (z tego co tu napisano)
wymusza co jakiś czas zmianę hasła?

--
Alf/red/

Cytat:

Taa, swoją szosą dlaczego tylko jeden bank (z tego co tu napisano) wymusza co jakiś czas zmianę hasła?

Może dlatego, że to jest głupie?

Cytat:

wymusza co jakiś czas zmianę hasła? Może dlatego, że to jest głupie?

Jak by to powiedzieć... robię w bezpieczeństwie łącznie z bankami, i
dziwnym trafem każda firma wymusza zmienianie haseł dla wszelakich kont,
niektóre nawet co 30 dni, ale zwykle co 90. Konta "non expiring
password" są zatwierdzane w sposób oficjalny, po uzasadnieniu oczywiście
że inaczej nie można. Bah, jeden klient uparł się, że hasło ma mieć 15
znaczków + skomplikowanie, ale to insza inszość. Czyli zabezpieczać w
ten sposób własne systemy chcą, a pieniądze klientów już nie.

--
Alf/red/

Cytat:

Bah, jeden klient uparł się, że hasło ma mieć 15 znaczków + skomplikowanie, ale to insza inszość.

Bo są różni zboczeńcy, co się pierdoł naczytali. Praktyka wykazuje, że
użytkownik używa haseł na zmianę, zapisuje je na biurku, a jak wymusić
na nim wpisanie hasła różnego niż 21 ostatnich to pójdzie do szefa i tak
długo będzie chodził aż ten się ugnie. Dopóki nie można robić przelewów
tylko po podaniu hasła (jak w ING!) to nie ma problemu. To nie system do
odpalania pocisków nuklearnych.

--
Raf

Cytat:

Jak by to powiedzieć... robię w bezpieczeństwie łącznie z bankami, i dziwnym trafem każda firma wymusza zmienianie haseł dla wszelakich kont, niektóre nawet co 30 dni, ale zwykle co 90. Konta "non expiring password" są zatwierdzane w sposób oficjalny, po uzasadnieniu oczywiście że inaczej nie można. Bah, jeden klient uparł się, że hasło ma mieć 15 znaczków + skomplikowanie, ale to insza inszość. Czyli zabezpieczać w ten sposób własne systemy chcą, a pieniądze klientów już nie.

Takie uszczęśliwianie na siłę? Jak klient chce, to przecież nikt mu nie
zabrania zmieniać haseł dowolnie często. A wymuszanie tego uważam za
bzdurne. Kiedyś dawno temu Rajfi wymuszał co 30 dni i trzeba było mieć chyba
różne od dziesięciu ostatnich. Więc co te 30 dni musiałem robić pełen cykl
10 zmian przez 10 haseł, żeby na końcu i tak ustawić takie samo. Ale szybko
Rajfiemu to przeszło, zapewne wkurzało to zbyt wiele osób.

s:

Cytat:

za bzdurne. Kiedyś dawno temu Rajfi wymuszał co 30 dni i trzeba było mieć chyba różne od dziesięciu ostatnich. Więc co te 30 dni musiałem robić pełen cykl 10 zmian przez 10 haseł, żeby na końcu i tak ustawić takie samo. Ale szybko Rajfiemu to przeszło, zapewne wkurzało to zbyt wiele osób.

O, o.

Częste wymuszanie zmiany kończy się tym, że klient:

1. jeśli tylko mu się uda, to zmienia na to samo
2. jeśli musi zmienić na nowe, to zapomina na co zmienił
3. żeby mu się nie powtórzyło więcej 2., to zapisuje hasło wraz z
identyfikatorem.

MJ

s:

Cytat:

wymusza co jakiś czas zmianę hasła? Może dlatego, że to jest głupie? Jak by to powiedzieć... robię w bezpieczeństwie łącznie z bankami, i dziwnym trafem każda firma wymusza zmienianie haseł dla wszelakich kont, niektóre nawet co 30 dni, ale zwykle co 90. Konta "non expiring

Tylko że:

1. niektórych serwisów używam tylko do podglądu KK, albo jest to konto
do wypłat z bankomatów na którym trzymam < 1KPLN. Po kij mam co miesiąc
hasło zmieniać.
2. Jeśli użytkownik nie czuje, że musi zmieniać hasło to będzie zmieniał
na takie jakie miał, tyle, że dopisze "1" albo "2" na końcu. Założymy
się? I gdzie tu większe bezpieczeństwo?
KJ

--
http://modnebzdury.wordpress.com/2009/10/01/niewiarygodny-list-prof-majewskiej-wprowadzenie/
FORTRAN is not a flower but a weed -- it is hardy, occasionally blooms,
and grows in every computer.
-- A.J. Perlis

Cytat:

musiałem robić pełen cykl 10 zmian przez 10 haseł,

Jest jeszcze "zmiana nie częściej niż x dni". Rajfi na to nie wpadł?

Cytat:

Częste wymuszanie zmiany

Owszem, 15 znaków 30 dni 10 pamiętanych to drakońskie warunki. Biorąc
pod uwagę, że i tak user wybiera hasła, yyy, słownikowe
http://finance.yahoo.com/family-home/article/108641/If-your-password-is-123456-just-make-it-hack-me.html?mod=family-love_money
Nadal twierdzicie, że typowy user może nie zmieniać haseł latami?

Cytat:

3. żeby mu się nie powtórzyło więcej 2., to zapisuje hasło wraz z identyfikatorem.

Michał, jesteś miętkim adminem?

--
Alf/red/

s:

Cytat:

http://finance.yahoo.com/family-home/article/108641/If-your-password-is-123456-just-make-it-hack-me.html?mod=family-love_money Nadal twierdzicie, że typowy user może nie zmieniać haseł latami?

Twierdzimy, ze wybieranie hasła abcd nie ma nic wspólnego z tym, czy
hasło się nadaje raz na miesiąc, czy raz na 10 lat.

Ponadto częste zmiany haseł ZACHĘCAJĄ usera do nadawania haseł
prostych.

Zamki i klucze do mieszkania też co miesiąc zmieniasz?

MJ

"Michal Jankowski" kjzbp86t1v7.fsf@ccfs1.fuw.edu.pl

Cytat:

Twierdzimy, ze wybieranie hasła abcd nie ma nic wspólnego z tym, czy hasło się nadaje raz na miesiąc, czy raz na 10 lat. Ponadto częste zmiany haseł ZACHĘCAJĄ usera do nadawania haseł prostych.

Po co mi proste? Czy 'Aguranaga0re' jest proste? :)

-- nie mniej niż 6 znaków
-- i nie mniej niż jedna cyfra,
-- i nie mniej niż jedna wielka litera
-- nie ma znaków spoza cyfr i liter alfabetu
,,uniwersalnego'' (czyli liter spoza ASCII)

czyli zwykle wymagania niezwykłych (przepraszam) głupoli...

Proste, zgrabne... Łatwe do zapamiętania.
Takie durne hasła się zapisuje!!! :)

Cytat:

Zamki i klucze do mieszkania też co miesiąc zmieniasz?

No, co Ty... Zamki w drzwiach? Te zmieniamy wtedy, gdy kluczem
(być może pogiętym, wyszczerbionym, skorodowanym) nie można
już obracać bez używania kombinerek... Klucze od mieszkania
zostawiamy sąsiadom, aby sąsiedzi podlewali kwiaty... Dzieci
zostawiają klucze w szatni, razem z ubraniami... Idąc na kajak
czy inną łódkę, zostawiamy klucze ,,na przechowanie''...

Ale hasło?! Hasła pilnujmy jak oka w głowie!!!
Zwłaszcza wtedy, gdy samo hasło na niewiele się
zda, bo potrzebne są SMSy czy tokeny... :)

Hasła... Zostawiamy je w kafejkach czy w bankach...
Ja na przykład podałem w Multi, aby bankierka mogła zalogować
się do mojej karty -- ciekawe, czy nadal pamięta to hasło, bo
jeśli oboje zapomnimy, to co wówczas?

Do FMBanku zapomniałem -- odtworzyłem z zapisków przeglądarek internetowych...
I wcale nie chodzi o Operę i ,,zapamiętywanie'', ale o ślady zostawiane
nieświadomie tam, gdzie ,,klient'' się tego nie spodziewa... :)

Po prostu odpaliłem inny komputer (z którego logowałem się do FM)
i odgrzebałem stamtąd hasło... I poskutkowało... :)


Pojęcia nie ma, jakie są hasła do moich kont pocztowych.
Hasła do kont bankowych? Muszę przypomnieć sobie chwilę budowania hasła.
Kiedyś było prosto -- imię żeńskie, później z podwojoną końcówką, ale że
ładne imiona się skończyły, wymyślałem swoje (Annerienna) i dodawałem do
nich cyfry, gdy była taka potrzeba, czyli życiowa konieczność zwana
wymogiem banku... :)

-=-

Haseł trzeba pilnować -- nawet z tą starannością ujawniają się niepowołanym. ;)

-=-

Hasło w Multi chyba było z innej puli. (nie było imieniem ani nawet
neologizmowatym imieniem) Nie pamiętam już go -- bo do logowania nie
jest mi potrzebne. Przeglądarka pamięta... W razie czego
kopiuję te hasła (hurtem) razem z przeglądarką w kolejne miejsca. ;)

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@eneuel.comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

"Kamil "Jońca"" 877hiuipyj.fsf@alfa.kjonca

Cytat:

na takie jakie miał, tyle, że dopisze "1" albo "2" na końcu. Założymy się? I gdzie tu większe bezpieczeństwo?

No, co Ty!! Wówczas hasło urośnie w liczbę.
Raz podmieni 1 na 0 innym razem 0 na 2 a kolejna zmiana przyniesie znów 1... ;)

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@eneuel.comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

Cytat:

Ponadto częste zmiany haseł ZACHĘCAJĄ usera do nadawania haseł prostych.

Zaraz, albo user sam z siebie wymyśla łatwe hasła, albo nie. Jak zwykle
stosuje "g5D%aA1L" i mu się każe zmieniać co 3 miechy, to nagle
przestawi się na "123456"?

Cytat:

Zamki i klucze do mieszkania też co miesiąc zmieniasz?

Jak młody zgubił klucz, to wymieniłem.
Jakbym np. po wizycie na basenie znalazł na kluczu ślady plasteliny, to
też bym tak zrobił.
Jak zauważyłem, że mój kod do domofonu wyciekł (kolega syna użył),
poprosiłem administrację o zmianę, i... przestawiłem się na korzystanie
z cudzych. Oni nie zmieniają, nawet jeśli wiedzą że wyciekło. Wiesz co
usłyszałem? "dziecku łatwo jest zapamiętać kod 9870 i nic mnie nie
obchodzi". I mówił to facet, który skarżył się, że mu rower ukradziono
ze wspólnego garażu.

--
Alf/red/

"Alf/red/" i6drf8$i1l$1@node2.news.atman.pl

Cytat:

Jak zauważyłem, że mój kod do domofonu wyciekł (kolega syna użył), poprosiłem administrację o zmianę, i... przestawiłem się na korzystanie z cudzych. Oni nie zmieniają, nawet jeśli wiedzą że wyciekło. Wiesz co usłyszałem? "dziecku łatwo jest zapamiętać kod 9870 i nic mnie nie obchodzi". I mówił to facet, który skarżył się, że mu rower ukradziono ze wspólnego garażu.

ROTFL

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@eneuel.comyr.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

Dziękuje za wszelkie informacje otrzymane od Was.
A nawiązując do tematu logowania i zmiany haseł w Polbanku to uważam że
wymuszenie zmiany hasła ma może sens w zakładach pracy, korporacjach
ponieważ tam jest większa możliwość podpatrzenia cudzego hasła niż np w
bankowości internetowej z której korzystamy najczęściej w domu.
Rozmawiałem ostatnio z osoba odpowiedzialną w mojej firmie za
bezpieczeństwo systemów informatycznych i doszliśmy do wniosku że w
banku to trochę przesada , w firmie może mieć uzasadnienie.
Poza tym Polbank chyba przesadził w drugą stronę z tym bezpieczeństwem.
Mam na myśli nieszczęsne certyfikaty , ale to osobna sprawa.
Jeszcze raz dziękuje i pozdrawiam.
Artur

s:

Cytat:

Zaraz, albo user sam z siebie wymyśla łatwe hasła, albo nie. Jak zwykle stosuje "g5D%aA1L" i mu się każe zmieniać co 3 miechy, to nagle przestawi się na "123456"?

More or less. Raczej chodzi o to, że pojedyncze by miał jakieś trudne,
a zmieniać będzie na g5D%aA1L.marzec, g5D%aA1L.kwiecien, g5D%aA1L.maj.
Podpatrzysz jedno, to tak, jakbyś podpatrzył wszystkie.

Cytat:

Zamki i klucze do mieszkania też co miesiąc zmieniasz? Jak młody zgubił klucz, to wymieniłem. Jakbym np. po wizycie na basenie znalazł na kluczu ślady plasteliny, to też bym tak zrobił. Jak zauważyłem, że mój kod do domofonu wyciekł (kolega syna użył), poprosiłem administrację o zmianę, i... przestawiłem się na korzystanie z cudzych. Oni nie zmieniają, nawet jeśli wiedzą że

Jak zauważę, że ktoś loguje się do banku na moje hasło, to też to
hasło zmienię.

Tylko że wtedy:
1. Jeśli hasło wystarcza do wyprowadzenia pieniędzy z konta, to
złodziej nie będzie czekać i wyprowadzi przy pierwszym logowaniu.
2. Jeśli nie wystarcza, to i tak nic nie ukradnie poza wiedzą o moim
saldzie. Przykre, ale co tu pomoże zmienianie haseł? Nie daję swojego
hasła koledze syna. Jeśli ktoś podpatrzy moje hasło dziś, to użyje go
dziś, a nie za miesiąc, jak już się zmieni.

Zmiana haseł może odciąć od konta osobę, która hasło _już ukradła_ i
używa równolegle ze mną, a ja tego nie zauważyłem. To w przypadku
pewnych zasobów (np. jakieś miejsce, gdzie co pewien czas pojawiają
się _nowe_ tajne dane) może mieć sens. Tam, gdzie intruz z
długotrwałym dostępem narobi więcej szkód niż przy jednej wizycie. Ale
hasło do konta w banku?

Owszem, jeśli ktoś mi ukradnie dajmy na to kopertę, w której zapisałem
sobie hasło, to wtedy warto zmienić hasło, w nadziei, że zrobimy to
szybciej niż słodziej zgadnie, że to hasło i do czego. Odpiowiednik
tej plasteliny. Ale to ma się nijak do zmian okresowych.

MJ