W dniu 2019-08-15 o 15:34, Wojciech Bancer pisze:
>> Zauważyłeś, iż tokeny zanim zniknęły na dobre przeznaczone były dla
>> klientów premium?
>
> Nie, niespecjalnie. Były stosowane w niektórych bankach, ale najczęściej
> w segmencie biznesowym. I z tego co kojarzę, to po prostu były lepszą
> alternatywą dla list papierowych, ale jak już SMSy weszły do użytku,
> to i z jednego, i z drugiego banki zaczęły się wycofywać.
>

No cóż. Założyłem konto Prestige w EB właśnie dlatego, iż token był
darmowy. W CA Premium także pozwalało na darmowy token. W innych opcjach
był płatny lub niedostępny - nie pamiętam. Tyle faktów. Oczywiście Ty
wiesz lepiej...

>> Masz rację. Rzeczywiście do dziś wiele osób korzysta z w7 - także nowe
>> płyty główne mają do tego systemu sterowniki. Odnoszę wrażenie, iż
>> Microsoft bardzo głowi się jak przekonać ludzi do nowszej wersji. Pewnie
>> wywołają tradycyjne upiory z szafy... Bezpieczeństwo! ;-)
>
> A Ty oczywiście wiesz, że oni wszyscy mówią nieprawdę. :)

Brytyjska flota atomowych łodzi podwodnych, złożona z HMS Vanguard,
Victorious, Vigilant, i Vengeance to 4 z najbardziej niebezpiecznych
okrętów jakie kiedykolwiek zbudowano. Wyposażone w broń nuklearną
patrolują oceany i odstraszają potencjalnych zamachowców przed atakiem
na Wielką Brytanię. Każda z nich posiada rakiety Trident II i 40 głowic
jądrowych. To siła wystarczająca by niszczyć całe kraje.Okręty zostały
zamówione w latach 90 dwudziestego wieku. Windows XP został w nich
zainstalowany ponieważ miał być tańszy niż alternatywne systemy.

Amerykańska Marynarka Wojenna również pracuje na XP. Jednak płacą oni
dodatkowe pieniądze za aktualizacje i zabezpieczenia podczas
przechodzenia na nowocześniejsze systemy operacyjne. Umowa wsparcia
technicznego z Microsoftem warta 9 milionów dolarów będzie trwała
jeszcze do lipca 2016 roku z możliwością przedłużenia o kolejny rok za
31 milionów. W przypadku marynarki brytyjskiej nic o takim interesie nie
wiadomo. Ministerstwo obrony podkreśla jednak, że łodzie są całkowicie
bezpieczne.

> Mówisz, że za czasów tokenów nie było fraudów?

Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam
niedawno rozpisywałeś się na temat sklepów Apple'a i Google. Wszystkie
te zagrożenia odpadają przy tokenie.

> Piszę o zegarkach które się "ostały" czyli oznakach sukcesu u mężczyzn.
> Te roleksy, omegi itp. Nie widzę żadnego szczególnego boomu na "zegarki
> sportowe", już prędzej smartwache, ale w tej grupie która ceni roleksy,
> to smartwatche są wręcz traktowane z pogardą.

A mieszkasz w PL? Pytam, bo nie dostrzec wprost mani teraz na
bieganie/pływanie/rower - a czasami wszystko razem - to naprawdę trzeba
się wysilić. Nawet emeryci chwycili na kijki i biorą udział w
rywalizacjach Nordic Walking. ;-) Federacje, Puchar Polski, Mistrzostwa
etc. Co ciekawe - to już nawet nie kwestia maratonów, ale ultramaratonów
czy podwójnego Ironmana. Ale to tu, w Polsce. Jeśli mieszkasz gdzieś
poza to może faktycznie sport, a tym samym zegarki sportowe, nie są aż
tak widoczne.

> Firm telekomunikacyjnych masz cztery i jakoś dają radę.

Wydaje się jednak, iż to złe porównanie. Liczba usług bankowych, ich
specyfika jest zupełnie inna niż firm telekomunikacyjnych.

> Czyli chcesz zabezpieczać środki, ale nie chcesz w tym kierunku zadziałać
> i zabezpieczyć sprzętu? No litości.

Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem. W
efekcie jego stosowanie/nie stosowanie jest tożsame.

>> Teraz wyobraź sobie taką sytuację - mam tablet bez hasła, odcisku itd. A
>> w nim zapamiętane hasła. Chyba przyznasz, że pozyskanie z niego danych
>> jest banalnie proste. To sytuacja przypominająca noszenie karty z
>> zapisanym pinem na kartce.
>
> I nie widzisz nic złego w tym, że masz taką sytuację?

Nie. Znam ludzi, którzy mają PIN. I znam ich kod. ;-) Widzisz różnicę? ;-)

> I jeszcze wypowiadasz się o bezpieczeństwie?

Oczywiście. Aspekt bezpieczeństwa musi być EFEKTYWNY.

> A już paradoksem jest, że człowiek który mówi że bezpieczeństwo
> mu leży na sercu, że kartę kodów należy trzymać w domu, albo
> wręcz w sejfie uważa że telefon / tablet na którym trzyma hasła
> może sam nie mieć zabezpieczeń i to dobry pomysł. No sorry,
> ale w tym już mi popłynąłeś.

Nie twierdzę, że to dobry pomysł. Nie zrozumiałeś. Cały czas wypowiadam
się, iż nie chcę nosić narzędzia autoryzacyjnego przy sobie. Natomiast
twierdzę, iż są ludzie, którzy mają komórki niezabezpieczone z hasłami.
Oczywistym jest, że łatwo wówczas o naruszenie bezpieczeństwa. Twierdzę
też, że są osoby z komórkami zabezpieczonymi. Twierdzę, że w przypadku
np. napadu/wymuszenia/groźby, a może tylko podpatrzenia PIN-u (zupełnie
tak samo jak w przypadku karty, a właściwie dużo łatwiej), ich poziom
bezpieczeństwa jest zbliżony do tych bez-PIN-u i oczywiście dużo niższy
niż z tokenem przechowywanym w bezpiecznym miejscu.

>> Zaskakujesz mnie. A np. hasła - począwszy od wifi przez admina do
>> serwerów to niby gdzie trzymać?
>
> W 1Password.
> Z dostępem przez komórkę.

Trudno mi sobie wyobrazić, iż ktoś mający pojęcie o bezpieczeństwie coś
takiego zrobi.
Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
najlepszy materiał. Nie wymaga źródła energii, jest wstrząsoodporny,
tani, nie ulega degradacji pod wpływem magnesu, promieni słonecznych,
powietrza itd. Pewnie dlatego dokumenty papierowe mają się dobrze.

Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?
Oddasz do serwisu czy potraktujesz młotkiem mając świadomość danych
przechowywanych w ten sposób?

> I telefon bez PINu.

Oczywiście! Gimbaza sprawdza telefon milion razy dziennie. Wpisując PIN,
tudzież smyra paluszkiem jakieś kreski. ;-) Doprawdy poznać ten PIN jest
niesamowicie trudno. ;-) A jako, że gimbaza za bystra nie jest - ustawia
sobie PIN taki jak na karcie. Bo też 4 cyferki i łatwiej zapamiętać.
Pisać dalej, czy już zauważyłeś do czego zmierzam?

> Jesteś niesamowitą abstrakcją. Nie chcesz korzystać z zabezpieczeń
> darmowych, ale wymagarz korzystania z tych kosztujących fortunę.

Podobno wczoraj konto Ewy Farny zostało zhakowane. ;-) iPhone'a ma. w FB
korzystała...
Moje konto na FB jest nie do ruszenia. Tak je zabezpieczyłem, iż nie
masz szans się do niego dostać. Ot - jak widzisz - kwestia bezpieczeństwa.

>> Ktoś tu podnosił wątek szkolnictwa - żłobków, przedszkoli etc. Otóż
>> każda szkoła ma sejf. Każdy posterunek policji, a właściwie każda
>> służba, co oczywiste.
>
> Jak ich obligują przepisy to oczywiste.

To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
wymienić kogokolwiek, kto by korzystał?

>> Każda poważna firma
>
> Kłamiesz.

Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie.
Pancerne drzwi, za którymi przechowywany jest przepis, dołączyły do
wystawy w muzeum "World of Coca-Cola" w Atlancie. Otwarcie nowej wystawy
stanowi część obchodów 125. rocznicy powstania firmy. Podczas ceremonii
zebrani obejrzeli wideo, na którym widać było, jak Kent chowa za
pancernymi drzwiami metalowe pudełko. Pozostanie ono jednak niedostępne
dla zwiedzających World of Coca-Cola. Długa sala z sejfem kończy się
wielkimi drzwiami oddzielonymi barierką. Na drzwiach znajduje się
klawiatura numeryczna oraz skaner odcisków dłoni.
-------------
Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A
może Coca-cola to nie jest "poważna firma"?

> Mówisz o tych zajebistych sejfach z master kodem 000000?

Nie jestem ekspertem od sejfów. Te, z którymi się spotkałem były na
klucz. Natomiast co tam sobie kto kupi - jego sprawa.

> https://niebezpiecznik.pl/post/nie-ufaj-sejfom-w-hot
elowych-pokojach/
> Masz panie poważna firma.

"Raz już zdarzyło mi się trafić na sejf, który nie działał poprawnie
(zacinał się) i konieczna była pomoc pracownika zewnętrznej firmy, co
zabrało mi sporo czasu." - słusznie. Idealnego zabezpieczenia nie ma,
ale opóźnienie jest bardzo istotne np. w przypadku napadu. Nie
zastanowiło Cię dlaczego w oddziałach stosowane są blokady czasowe?

Powyższy przykład wskazuje nie na problem z sejfem, ale obsługą. Innymi
słowy poszli na łatwiznę. No cóż - wiele osób kupuje router i nie
zmienia domyślnego admin/admin tudzież innych "skomplikowanych" operacji.

>> Wszedłem na Allegro i wpisałem "sejf" - oferta na 100
>> stron. Niektóre aukcje po 119 kupionych... Hasło "kasa pancerna" daje 19
>> stron wyników. Zadziwiasz mnie...
>
> To ma czegoś dowodzić?

Ty nie widziałeś sejfu. Pokazałem Ci, iż jednak się sprzedają.

> Wpisałem "klocki lego", też mam 100 stron.

A widziałeś na oczy klocki Lego? Ja tak, zatem nie musisz dowodzić, że
jednak ktoś tam je kupuje.

> RODO nie ma pojęcia druków ścisłego zaszeregowania.

Naprawdę? Zatem najwyraźniej według Ciebie RODO nie dotyczy danych
wrażliwych. ;-)

> Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich
> w kasie pancernej, a sposobów zabezpieczania ich jest znacznie więcej.

Na przykład?

> Może wyjdz z lat 90-tych, co?

Haha... OK. Czyli np. paszporty, prawa jazdy, dowody rejestracyjne,
blankiety dyplomów etc. to mam trzymać na iPhonie tak?

>> Jeśli np. CV kandydatów to wystarczy, iż nie będą się walały na wierzchu.
>> Urząd Ochrony Danych Osobowych nałożył właśnie pierwszą w swej historii
>> karę - milion złotych.
>
> Fascynujące i nie na temat.

To, że Ty nie potrafisz dostrzec analogii nie znaczy, że to nie jest na
temat. ;-)

>> Teoretycznie to głupstwo wobec wrażliwych dokumentów, które chciałbyś
>> zabezpieczać... no właśnie... jak?
>
> To zależy przed czym.

:-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się
tego typu ochrona. ;-)

>>> Rozumiem że pinu do telefonu nie masz? Blokady antykradzieżowej?
>>
>> Nie mam.
>
> No to nie wypowiadaj się o kwestiach bezpieczeństwa.

Dobrze, wstukam sobie "0000". Już mogę się wypowiadać?
Doprawdy nie widzisz absurdalności swoich twierdzeń?

>> Oczywiście. W saunie potrzeby (112), a każdy z banków, z których
>> korzystam WYMAGA podania numeru telefonu.
>
> Jak potrzebujesz tylko dzwonienia na 112 to sobie kup nokię za 50 zł.
> Nawet karty nie musisz do niej kupować.

Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.

Dziś w GW napisali o Tajlandii i prostytucji: Można powiedzieć, że praca
w seksbiznesie to wolny wybór Tajek, bo nikt ich wprost nie zmusza do
zarabiania na chleb swoim ciałem. Kiedy jednak przyjrzymy się innym
możliwościom, wychodzi na jaw, że te kobiety w gruncie rzeczy nie mają
innego wyjścia. Pracując w innych dostępnych dla nich zawodach,
większość z nich nie byłaby w stanie utrzymać rodziny.

Tłumaczę, bo pewnie nie zauważysz analogii: Można powiedzieć, że
autoryzacja telefonem to mój wolny wybór, bo nikt ich wprost nie zmusza
do korzystania. Kiedy jednak przyjrzymy się innym możliwościom, wychodzi
na jaw, że w gruncie rzeczy nie mam innego wyjścia. Korzystając z innych
dostępnych dla mnie rozwiązań, większość z ludzi do mnie podobnych nie
byłaby w stanie utrzymać rodziny wydając pieniądze na dodatkowe
zabezpieczenia.

Różnica miedzy nami polega na tym, iż ja nie chcę, by banki robiły ze
mnie tajską prostytutkę, ale oczywiście mam świadomość, iż niektórym to
nie przeszkadza.

> Ale czego nie pojmujesz? Że ludzie zabezpieczają telefony i nie mają
> sejfów i tokenów? Że fraudy obecnie w 99,999 procentach polegają na
> manipulacji socjotechnicznej użytkownika, po to by *SAM* podał ten
> kod który trzeba?

No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed
manipulacją. A zatem by nie zainstalował wirusa, nie ściągnął fałszywej
aplikacji, a nawet nie był w stanie podać stosownych danych zaatakowany
w ciemnej bramie z nożem przy szyi.

Gdy dostaję SMS nie mam informacji jak długo on jest ważny. W przypadku
tokenów odliczany jest czas ważności kodu. Czy uważasz, że wpisanie go i
użycie 1-2 sek. przed końcem nie jest dobrym zabezpieczeniem?

>> Jako żywo - znowu Gimbaza byłaby z Ciebie dumna! I pamiętaj, aby
>> pokrowiec miał wycięcie na logo Apple'a. ;-) Inaczej nie będzie widać, z
>> jakiego telefonu korzystasz.
>
> A gdzieś pisałem o sobie? Pokażesz?

Nie, ale podświadomie wyczuwam, iż z tym poziomem wiedzy/przekonań dot.
bezpieczeństwa musisz mieć sprzęt Apple'a.

> Ludzie posiadający > jedno konto to raczej mniejszość.

Nie pomyliłeś się? Jeszcze raz: według Ciebie ludzie posiadający więcej
niż 1 konto to mniejszość?
Ach! A może słowo "konto" różnie definiujesz? Masz na myśli pewnie ROR, tak?

> A jak widzisz, statystyki pokazują że liczba kont rośnie.

W ten sposób dojdziesz szybko do masy krytycznej. Liczba kart SIM w PL
wynosi ponad 40 mln. Zatem teza, iż ludzie posiadają 1 numer byłaby
wątpliwa.

> W przeciwieństwie do Ciebie, ja w tym wypadku nie piszę o swoich potrzebach.

Naprawdę? ;-) Nie wydajesz się uwzględniać moich ;-)

> I w przeciwieństwie do Ciebie mam taki argument: skoro taka funkcjonalność
> została dostarczona, to jednak widać ktoś na rynku tego wymagał.

Prezes wie lepiej. ;-)

> Wygodnie jest "nie myśleć" gdzie mam urządzenie zabezpieczające,
> notatnik, zegarek, dyktafon, player mp3, wygodniej jest mieć
> to zawsze "pod ręką" w telefonie.

OK, ale skoro Ty nie zamykasz auta, bo wygodniej to dlaczego innych
zmuszać, by też tego nie robili?

> Co nie znaczy że co 5 minut musisz z tego korzystać. Ale fajnie
> jest nie myśleć o tym "gdzie ja to mam" albo "jak się dostać
> do domu szybciej" jak się okaże że jednak musisz z czegoś
> skorzystać.

Ten argument często pada w przypadku KK - zazwyczaj robię zakupy na
kilkadziesiąt zł, ale dobrze mieć kilka tysięcy kredytu.
Tudzież wśród fanów gotówki - owszem, przeciętnie dziennie nie wydaję
więcej niż kilkadziesiąt zł, ale jak portfel gruby i setki się wysypują
to tak jakoś... lepiej na laski działa. ;-)
No OK. Jest to jakiś argument.

> Naprawdę chcesz iść w takie dowodzenie?

Dowodzenie opierające się na faktach chyba nie jest znowu takie złe?

> Nie mam znajomych zadłużonych we franku.

Cud! Albo gimnazjalista... ;-) Widziałem. ;-)

> To raczej kwestia kręgu wiekowego znajomych (obecni
> 30-latkowe raczej nie mieli szans na kredyt we franku).

Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach.
Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie
lub młodsi. No ale OK - to rozszerzmy znajomych jeszcze o znanych...
Słyszałeś o Adamowiczu? Albo Tomaszu Lisie? A może Joannie Musze (PO)?
Albo Krystynie Pawłowicz?

> Za to i owszem większość z nich ma revoluta.

No tak - faktycznie specyficzne środowisko.

>> Nie podzielam tej opinii. Zdecydowanie łatwiej znaleźć osoby znające mB.
>> Siłą rzeczy - każdy kto ma tam produkt zna markę. A rozpoznawalność
>> Citi? Niby reklamą czy czym mieliby nadrabiać te blisko 4 mln kont?
>
> No widzisz, Citi ma znacznie więcej kart kredytowych (2x) niż mBank.

To jeszcze mało, szczególnie, iż liczba KK to zaledwie 15% wszystkich
kart wydanych.

> O wiele lepiej ogarnia też sektor firmowy i korporacyjny. Jest też
> rozpoznawalną marką międzynarodową, mBank jest zaś marką lokalną.

No ja pisałeś o PL. Ale domyślam się, iż Twoje poglądy mogą wynikać z
miejsca zamieszkania poza PL. Jeśli tak i rozważasz skalę międzynarodową
to faktycznie np. w USA mB może być mniej znany.

> To zabezpiecz sobie już posiadany telefon, ustaw blokadę po 3-krotnym
> wpisaniu złego PINu, ew. zerowanie urządzenia po 10-krotnym wpisaniu
> i już. Nie trzeba wydawać pieniędzy, tylko zaakceptować rozwiązania
> przyjęte przez resztę świata.

Poruszasz ciekawy problem. Jak to jest w "reszcie świata"? Czy w istocie
autoryzacja przelewów to SMS?

>>> A ja kamienne tablice!
>>
>> Nigdy nie były dostępne. Token był. To jednak "drobna" różnica.
>
> W większości banków nie był.

Ja korzystałem z 2, ale nie wiem czy to były "jedynie 2" czy "2 z wielu"
- trudno mi się do tego odnieść.

> Też mi ciekawostka. Bo gotówka pozwala na bycie w szarej/czarnej strefie.

Biorąc pod uwagę, że mowa o Skandynawii to znowu dość śmiałe tezy stawiasz.

> A pamiętasz, że są ludzie którzy mają Windows XP?
> Rózne są dziwactwa.

No tak - jak widać wyżej - nawet okręty atomowe im powierzają. "Dziwactwo".

>> Ja też. Sęk w tym, że mają konta dawno wycofane z oferty. Obecnie
>> założenie takiego konta nie jest łatwe.
>
> Każde konto może mieć wyłączony dostęp internetowy.

Niestety to nieprawda. I nie jest też prawdą, że w każdym banku można
wyłączyć jeszcze bardziej niebezpieczny dostęp telefoniczny.

do góry

On 2019-08-15, Szymon <...@w...pl> wrote:

[...]

>> Nie, niespecjalnie. Były stosowane w niektórych bankach, ale najczęściej
>> w segmencie biznesowym. I z tego co kojarzę, to po prostu były lepszą
>> alternatywą dla list papierowych, ale jak już SMSy weszły do użytku,
>> to i z jednego, i z drugiego banki zaczęły się wycofywać.
>
> No cóż. Założyłem konto Prestige w EB właśnie dlatego, iż token był
> darmowy. W CA Premium także pozwalało na darmowy token. W innych opcjach
> był płatny lub niedostępny - nie pamiętam. Tyle faktów. Oczywiście Ty
> wiesz lepiej...

No sam piszesz, że "nie pamiętasz".
Tak, wiele rzeczy w kontach premium jest za free.

>>> Masz rację. Rzeczywiście do dziś wiele osób korzysta z w7 - także nowe
>>> płyty główne mają do tego systemu sterowniki. Odnoszę wrażenie, iż
>>> Microsoft bardzo głowi się jak przekonać ludzi do nowszej wersji. Pewnie
>>> wywołają tradycyjne upiory z szafy... Bezpieczeństwo! ;-)
>>
>> A Ty oczywiście wiesz, że oni wszyscy mówią nieprawdę. :)
>
> Brytyjska flota atomowych łodzi podwodnych, [...]

Jak będą podpięte do internetu, to wtedy będzie bardziej na temat.

>> Mówisz, że za czasów tokenów nie było fraudów?
>
> Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam
> niedawno rozpisywałeś się na temat sklepów Apple'a i Google. Wszystkie
> te zagrożenia odpadają przy tokenie.

Nadal pozostaje komputer, którego najłatwiej zarazić wirusem,
więc niespecjalnie. I pomijasz fakt, że nadal najsłabszym elementem
jest człowiek.

>> Piszę o zegarkach które się "ostały" czyli oznakach sukcesu u mężczyzn.
>> Te roleksy, omegi itp. Nie widzę żadnego szczególnego boomu na "zegarki
>> sportowe", już prędzej smartwache, ale w tej grupie która ceni roleksy,
>> to smartwatche są wręcz traktowane z pogardą.
>
> A mieszkasz w PL? Pytam, bo nie dostrzec wprost mani teraz na
> bieganie/pływanie/rower - a czasami wszystko razem - to naprawdę [...]

Ale nie ma obowiązku posiadania zegarka do tych czynności.

[...]

>> Czyli chcesz zabezpieczać środki, ale nie chcesz w tym kierunku zadziałać
>> i zabezpieczyć sprzętu? No litości.
>
> Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem.

Case Apple vs FBI temu przeczy.

[...]

>> A już paradoksem jest, że człowiek który mówi że bezpieczeństwo
>> mu leży na sercu, że kartę kodów należy trzymać w domu, albo
>> wręcz w sejfie uważa że telefon / tablet na którym trzyma hasła
>> może sam nie mieć zabezpieczeń i to dobry pomysł. No sorry,
>> ale w tym już mi popłynąłeś.
>
> Nie twierdzę, że to dobry pomysł. Nie zrozumiałeś. Cały czas wypowiadam
> się, iż nie chcę nosić narzędzia autoryzacyjnego przy sobie.

Twoje "chcenie" nie ma nic do rzeczy. Możesz zapewnić bezpieczeństwo przy
użyciu istniejących i dostępnych metod. Nie chcesz, to Twoja sprawa,
tylko nie stękaj.

> Natomiast twierdzę, iż są ludzie, którzy mają komórki niezabezpieczone
> z hasłami.

Są też ludzie którzy nosili hasła papierowe w portfelu.

>> W 1Password.
>> Z dostępem przez komórkę.
>
> Trudno mi sobie wyobrazić, iż ktoś mający pojęcie o bezpieczeństwie coś
> takiego zrobi.

A jednak.

> Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
> najlepszy materiał.

No chyba że zaginie. I potem udowadniasz że pracowałeś "świadkami"
(patrz procedury ZUS).

> Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?

Wymienię na inną.

[...]

> Pisać dalej, czy już zauważyłeś do czego zmierzam?

Do tego że problemem jest człowiek, a nie PIN. Ale to wszyscy
sensownie myślący wiedza.

>> Jesteś niesamowitą abstrakcją. Nie chcesz korzystać z zabezpieczeń
>> darmowych, ale wymagarz korzystania z tych kosztujących fortunę.
>
> Podobno wczoraj konto Ewy Farny [...]

Fascynujące, ale bez związku.
>
>>> Ktoś tu podnosił wątek szkolnictwa - żłobków, przedszkoli etc. Otóż
>>> każda szkoła ma sejf. Każdy posterunek policji, a właściwie każda
>>> służba, co oczywiste.
>>
>> Jak ich obligują przepisy to oczywiste.
>
> To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
> wymienić kogokolwiek, kto by korzystał?

Bo pisaliśmy o firmach. Posterunki policji czy "służba" to nie jest
firma w ujęciu podmiotu gospodarczego. Zmieniasz temat.

>>> Każda poważna firma
>>
>> Kłamiesz.
>
> Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie.

Nieistotne.
Nie ma związku przyczynowo-skutkowego między "poważna firma"
a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
dalej?

> Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A
> może Coca-cola to nie jest "poważna firma"?

Nic takiego nie napisałem, więc kłamiesz.

[...]

>>> Wszedłem na Allegro i wpisałem "sejf" - oferta na 100
>>> stron. Niektóre aukcje po 119 kupionych... Hasło "kasa pancerna" daje 19
>>> stron wyników. Zadziwiasz mnie...
>>
>> To ma czegoś dowodzić?
>
> Ty nie widziałeś sejfu.

W kontekście o którym pisaliśmy: przechowywanie Mitycznych Ważnych
Dokumentów (tm) w biurach. Nie sejfów w ogóle.

> Pokazałem Ci, iż jednak się sprzedają.

Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie
do klocków lego.

>> RODO nie ma pojęcia druków ścisłego zaszeregowania.
>
> Naprawdę? Zatem najwyraźniej według Ciebie RODO nie dotyczy danych
> wrażliwych. ;-)

Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin
nieznany ustawie RODO.

>> Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich
>> w kasie pancernej, a sposobów zabezpieczania ich jest znacznie więcej.
>
> Na przykład?

Np, szyfrowanie w postaci elektronicznej.

>> Może wyjdz z lat 90-tych, co?
>
> Haha... OK. Czyli np. paszporty, prawa jazdy, dowody rejestracyjne,
> blankiety dyplomów etc. to mam trzymać na iPhonie tak?

Ale rozmawialiśmy o firmach, a nie urzędach.
I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych.

>>> Urząd Ochrony Danych Osobowych nałożył właśnie pierwszą w swej historii
>>> karę - milion złotych.
>>
>> Fascynujące i nie na temat.
>
> To, że Ty nie potrafisz dostrzec analogii nie znaczy, że to nie jest na
> temat. ;-)

Nadal twierdzę że jest nie na temat. Oczywiście możesz wykazać że kara
miała związek z nieprawidłowym przechowywaniem danych a nie tym o czym
było napisane, czyli nierzetelnym *poinformowaniem* podmiotów.

>> To zależy przed czym.
>
>:-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się
> tego typu ochrona. ;-)

Ja się zajmuję dokumentami w obiegu elektronicznym.
Te są dostępne z konkretnych adresów i w konkretny sposób.
Sejfu brak.

>>> Nie mam.
>>
>> No to nie wypowiadaj się o kwestiach bezpieczeństwa.
>
> Dobrze, wstukam sobie "0000". Już mogę się wypowiadać?

Nie.

>> Jak potrzebujesz tylko dzwonienia na 112 to sobie kup nokię za 50 zł.
>> Nawet karty nie musisz do niej kupować.
>
> Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.

To kup nowszą nokię za 100. Nadal nie musisz do niej karty kupować.

> Dziś w GW napisali o Tajlandii i prostytucji: [...]

Nie na temat.

>> manipulacji socjotechnicznej użytkownika, po to by *SAM* podał ten
>> kod który trzeba?
>
> No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed
> manipulacją.

Token tego nie potrafi.

[...]

>> Ludzie posiadający > jedno konto to raczej mniejszość.
>
> Nie pomyliłeś się?

Nie.

> Jeszcze raz: według Ciebie ludzie posiadający więcej
> niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na
myśli pewnie ROR, tak?

No o tych statystykach była mowa (kont osobistych aka RORach).
I do takich Ci podałem linka.

>> A jak widzisz, statystyki pokazują że liczba kont rośnie.
>
> W ten sposób dojdziesz szybko do masy krytycznej. Liczba kart SIM w PL
> wynosi ponad 40 mln. Zatem teza, iż ludzie posiadają 1 numer byłaby
> wątpliwa.

Karty sim nie mają rozdzielenia na biznesowe, osobiste, inwestycyjne,
oszczędnościowe, czy techniczne. Ale też nie twierdziłem, że ludzie
posiadają tylko 1 numer (chociaż tych posiadających więcej niż 1 też jest
mniejszość).

>> W przeciwieństwie do Ciebie, ja w tym wypadku nie piszę o swoich potrzebach.
> Naprawdę? ;-) Nie wydajesz się uwzględniać moich ;-)

I nadal spokojnie z tym śpię.

[...]

>> To raczej kwestia kręgu wiekowego znajomych (obecni
>> 30-latkowe raczej nie mieli szans na kredyt we franku).
>
> Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach.

Twierdzisz że osoby mające 30 lat nie są dorosłe?

> Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie
> lub młodsi.

https://www.businessinsider.com/median-tech-employee
-age-chart-2017-8?IR=T
- facebook, mediana 28
- google, mediana 30
- apple, mediana 31

Ale to pewnie nie sa poważne firmy.

>> To zabezpiecz sobie już posiadany telefon, ustaw blokadę po 3-krotnym
>> wpisaniu złego PINu, ew. zerowanie urządzenia po 10-krotnym wpisaniu
>> i już. Nie trzeba wydawać pieniędzy, tylko zaakceptować rozwiązania
>> przyjęte przez resztę świata.
>
> Poruszasz ciekawy problem. Jak to jest w "reszcie świata"? Czy w istocie
> autoryzacja przelewów to SMS?

No na pewno wg PSD2 token i karty kodów są nieakceptowalne.
Tak więc masz już ogarniętą Europę.

> Ja korzystałem z 2, ale nie wiem czy to były "jedynie 2" czy "2 z wielu"
> - trudno mi się do tego odnieść.

Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też miałem) i
tam nie
było tokenów w ofercie, poza zakresem "korporacyjnym".

>> Też mi ciekawostka. Bo gotówka pozwala na bycie w szarej/czarnej strefie.
> Biorąc pod uwagę, że mowa o Skandynawii to znowu dość śmiałe tezy stawiasz.

W Skandynawii też istnieje szara/czarna strefa.

>> Każde konto może mieć wyłączony dostęp internetowy.
>
> Niestety to nieprawda.

Wpisz błędnie hasło 3-10x i powiedz mi czy nadal masz dostęp.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-15 o 22:22, Wojciech Bancer pisze:
>> Brytyjska flota atomowych łodzi podwodnych, [...]
>
> Jak będą podpięte do internetu, to wtedy będzie bardziej na temat.

Czyżbyś twierdził, że "urządzenie" niepodpięte do Internetu jest
bezpieczniejsze?
Jeśli tak to rozważ token/smartfon w tym kontekście.

>> Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam
>> niedawno rozpisywałeś się na temat sklepów Apple'a i Google. Wszystkie
>> te zagrożenia odpadają przy tokenie.
>
> Nadal pozostaje komputer, którego najłatwiej zarazić wirusem,
> więc niespecjalnie. I pomijasz fakt, że nadal najsłabszym elementem
> jest człowiek.

1. Nie jest prawdą, że komputer łatwiej zarazić wirusem. Wszystko zależy
od okoliczności.
2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć.

> Ale nie ma obowiązku posiadania zegarka do tych czynności.

Podobnie jak można żyć bez konta (chyba). Gdy już kiedyś "zauważysz"
jednak wzrost aktywności sportowej Polaków to przypatrz się ich
nadgarstkom. Da Ci to pewne pojęcie o rzeczywistości.

>> Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem.
>
> Case Apple vs FBI temu przeczy.

W PL nie obowiązuje prawo precedensu, a już orzecznictwo w USA ma się
nijak do PL.

>> Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
>> najlepszy materiał.
>
> No chyba że zaginie. I potem udowadniasz że pracowałeś "świadkami"
> (patrz procedury ZUS).

Sejf/kasa ma to do siebie, iż dostęp do nich jest ściśle określony
procedurami. A zatem "zaginie" nie ma tu racji bytu. Bo właśnie po to
owe środki bezpieczeństwa są!

Co ciekawe - swego czasu pojawił się wątek namawiający na kupno złota.
Oczywiście można nosić przy sobie, bo a nuż się przyda, ale można też -
chyba jednak bezpieczniej - przechowywać w domu. Ostatnio trafiłem na
cennika Mennicy odnośnie przechowywania. Do 1 kg. 420 zł/rok kosztuje
taka usługa.

>> Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?
>
> Wymienię na inną.

Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
istotnych danych np. w serwisie?

To była istota tego pytania.

>> Pisać dalej, czy już zauważyłeś do czego zmierzam?
>
> Do tego że problemem jest człowiek, a nie PIN. Ale to wszyscy
> sensownie myślący wiedza.

Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać.
Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem
tak - problemem jest człowiek, ale także ten, który tworzy system, a nie
tylko ten, który z niego korzysta.

>> Podobno wczoraj konto Ewy Farny [...]
>
> Fascynujące, ale bez związku.

Postaram się częściej tłumaczyć z polskiego na polski...

>> To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
>> wymienić kogokolwiek, kto by korzystał?
>
> Bo pisaliśmy o firmach. Posterunki policji czy "służba" to nie jest
> firma w ujęciu podmiotu gospodarczego. Zmieniasz temat.

Podałem policję czy służby jako przykład oczywisty. Sądziłem, że możesz
negować np. oświatę. Także niepubliczną. Otóż szkoła niepubliczna także
posiada sejf. Spełnia kryteria podmiotu gospodarczego.
Pewnie kasę/sejf posiada także każdy podmiot operujący większą gotówką.
I pewnie niejednokrotnie może używać ich do przechowywania
najważniejszych dokumentów/haseł. Podobnie jak Kowalski mający sejf w
domu zapewne nie tylko będzie trzymał tam większą gotówkę, ale złoto,
biżuterię czy token.

>> Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie.
>
> Nieistotne.
> Nie ma związku przyczynowo-skutkowego między "poważna firma"
> a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
> Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
> dalej?

Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.

>> Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A
>> może Coca-cola to nie jest "poważna firma"?
>
> Nic takiego nie napisałem, więc kłamiesz.

Zadałem pytanie, więc jeszcze nie zdążyłem "skłamać". ;-) Dopiero zdanie
twierdzące mogłoby na to wskazywać.

> W kontekście o którym pisaliśmy: przechowywanie Mitycznych Ważnych
> Dokumentów (tm) w biurach. Nie sejfów w ogóle.

Ojej... Łopatologicznie: tak jak nie każdy w firmie ma dostęp do tokena,
tak nie każdy jest uprawniony do korzystania z sejfu. W każdym większym
urzędzie jest kasa pancerna, ale nie w każdym pokoju. W każdej poważnej
firmie jest sejf, ale nie każdy reprezentant firmy ma do niego dostęp.

> Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie
> do klocków lego.

Może zapomniałeś. Przypomnę: narzędzie autoryzacyjne warto trzymać w
bezpiecznym miejscu. W firmie najbezpieczniejszym miejscem wydaje się
być sejf. W domu - jak ktoś ma (a sprzedaż na Allegro wskazuje, iż sporo
ludzi kupuje) to też.

> Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin
> nieznany ustawie RODO.

Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in
blanco. I wtedy to mogę sobie robić z nim, co chcę? W momencie wpisania
danych Iksińskiego - do sejfu, bo RODO? ;-))

Praktyka jest taka... Druki ścisłego zarachowania (jak już mówimy o
terminie precyzyjnie) podlegają rozliczeniu - nawet te, w których
wypełniający popełni błąd - ot, chociażby oczywistą pomyłkę. W tym
znaczeniu czy są wypisane czy nie są - muszą być chronione i to TY
jesteś za to odpowiedzialny. To TY musisz się wykazać należytą starannością.

>>> Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich
>>> w kasie pancernej, a sposobów zabezpieczania ich jest znacznie więcej.
>>
>> Na przykład?
>
> Np, szyfrowanie w postaci elektronicznej.

Mistrzu... Ale jak Ty chcesz zaszyfrować w postaci elektronicznej np.
dowody rejestracyjne przed wydaniem ich właścicielom pojazdu?

Jak już sobie zaszyfrujesz te swoje dane to gdzieś one muszą leżeć. Te,
które w ogóle się da zaszyfrować. W chmurę ich nie wrzucisz, bo - jak
twierdzisz - masz pojęcie o bezpieczeństwie. Kopia zapasowa wydaje się
oczywistością. Nawet nie jedna. I gdzie to chcesz trzymać? W swoim
"biurze" na biurku?
Musisz się liczyć, że Twój iPhone może się zepsuć. Pracodawca musi się
liczyć, że możesz wpaść pod samochód. Do tego może przyjść pożar czy
powódź. Zatem należy opracować procedury na różne scenariusze.

> Ale rozmawialiśmy o firmach, a nie urzędach.

A to ma znaczenie? W biedronkach też są sejfy. ;-) OK. Jeśli rozmawiamy
o pani z warzywniaka to faktycznie w jej firmie może się obyć. Wystarczy
pewnie kasetka.

> I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych.

OK. Ostatnio sobie rozmawialiśmy o gimnazjach. Otóż przybywa do
gimnazjum kurier z arkuszami egzaminacyjnymi. Około 5-6 rano, a egzamin
rozpoczyna się o 9:00. Dokumenty do czasu egzaminu są prawnie chronione.
Dostęp do nich ma tylko dyrektor. Przechowuje je kilka godzin (audiotele) w:
a/ chmurze, zaszyfrowane
b/ zaszyfrowane w iPhonie
c/ sejfie?

Szkoła niepubliczna, a zatem firma, bo to po prostu działalność
gospodarcza, choć regulowana oczywiście dodatkowymi przepisami (jak
wiele innych, z innych branż).

>> :-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się
>> tego typu ochrona. ;-)
>
> Ja się zajmuję dokumentami w obiegu elektronicznym.
> Te są dostępne z konkretnych adresów i w konkretny sposób.
> Sejfu brak.

Zatem jesteś małym trybikiem w większej machinie. Albo pracujesz w
bardzo specyficznej firmie (brak istotnych dokumentów, brak obrotu
gotówkowego, brak kontaktu z ludźmi z zewnątrz), albo może owe miejsce
bezpieczne jest poza Twoim zasięgiem.

>> Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.
>
> To kup nowszą nokię za 100. Nadal nie musisz do niej karty kupować.

Cały czas tłumaczysz mi jak WYDAĆ pieniądze. Pokaż jak zaoszczędzić. ;-)

>> No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed
>> manipulacją.
>
> Token tego nie potrafi.

Może Ty nie umiesz z niego w ten sposób korzystać?

>> Jeszcze raz: według Ciebie ludzie posiadający więcej
>> niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na
myśli pewnie ROR, tak?
>
> No o tych statystykach była mowa (kont osobistych aka RORach).
> I do takich Ci podałem linka.

Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz?
Jak zdefiniować ROR/konto osobiste?

>> Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach.
>
> Twierdzisz że osoby mające 30 lat nie są dorosłe?

W moim przekonaniu do osoby 18+, przy czym mam wrażenie, iż średnia
wieku w PL to trochę więcej niż 30. A zatem "dorośli ludzie" nie
ograniczają się do max. 30-latków.

>> Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie
>> lub młodsi.
>
> https://www.businessinsider.com/median-tech-employee
-age-chart-2017-8?IR=T
> - facebook, mediana 28
> - google, mediana 30
> - apple, mediana 31
>
> Ale to pewnie nie sa poważne firmy.

haha... Dobre! W kontekście kredytów frankowych w PL... bardzo dobry
argument. Pamiętasz jeszcze, że chodziło o porównanie frankowiczów do
revolutionistów? ;-)

> Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też miałem)
i tam nie
> było tokenów w ofercie, poza zakresem "korporacyjnym".

Wniosek mam wyciągnąć, że jedynie Premium lub korporacje miały dostęp do
tokenów? Czyli... mniejszego bezpieczeństwa niż Kowalski? Śmiała teza.

>>> Każde konto może mieć wyłączony dostęp internetowy.
>>
>> Niestety to nieprawda.
>
> Wpisz błędnie hasło 3-10x i powiedz mi czy nadal masz dostęp.

Dobre! Naprawdę.
A masz też pomysł jak zablokować dostęp telefoniczny w banku, który
twierdzi, że się nie da?

do góry

On 2019-08-16, Szymon <...@w...pl> wrote:

[...]

>>> Brytyjska flota atomowych łodzi podwodnych, [...]
>> Jak będą podpięte do internetu, to wtedy będzie bardziej na temat.
>
> Czyżbyś twierdził, że "urządzenie" niepodpięte do Internetu jest
> bezpieczniejsze?

Nie. Ale mogę twierdzić
*Nieaktualizowane* urządzenie nie podpięte do internetu jest
bezpieczniejsze niż *nieaktualizowane* urządzenie podpięte
do internetu.

> Jeśli tak to rozważ token/smartfon w tym kontekście.

Nie zmienia to niczego w znaczącym stopniu, ponieważ
głównym problemem jest człowiek. Aktualizowany smartfon
jest bezpiecznym narzędzie, a do tego o wiele bardziej
użyteczne.

>> Nadal pozostaje komputer, którego najłatwiej zarazić wirusem,
>> więc niespecjalnie. I pomijasz fakt, że nadal najsłabszym elementem
>> jest człowiek.
>
> 1. Nie jest prawdą, że komputer łatwiej zarazić wirusem.

Jest prawdą.

> Wszystko zależy od okoliczności.

Ale mówimy o statystyce a nie okolicznościach.
Statystycznie łatwiej to zrobić z komputerem, bo ten ma mniej
ograniczających go trybów pracy.

> 2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć.

Nie. Ty stawiasz na to że:
- człowiek używający tokena jest mądry
- człowiek używający smarfona jest debilem o IQ doniczki
I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma
sejfy w każdym miejscu, w tych sejfach te tokeny i w ogóle ich
nie nosi, jest rozważny w chuj. A człowiek ze smartfonem
to "Gimbaza" z odruchem wpisywania PINu.

>> Ale nie ma obowiązku posiadania zegarka do tych czynności.
>
> Podobnie jak można żyć bez konta (chyba). Gdy już kiedyś "zauważysz"
> jednak wzrost aktywności sportowej Polaków to przypatrz się ich
> nadgarstkom. Da Ci to pewne pojęcie o rzeczywistości.

Daje mi za to pewne pojęcie o tym, że niektórzy dyskutanci
nie potrafią czytać ze zrozumieniem i na bazie swoich wymysłów
tworzą rozmaite tezy, które potem przypisują do dyskutanta
jakoby "on" to wymyślił.

Ty sobie wyśniłeś jakieś tezy o tym, że nie zauważam polaków
i ich aktywności sportowej, ale mnie do tego nie mieszaj.
A odzywka o "rzeczywistości" jest po prostu chamska,
podobnie jak przyrównywanie użytkowników smartfonów do Gimbazy.

>>> Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem.
>>
>> Case Apple vs FBI temu przeczy.
>
> W PL nie obowiązuje prawo precedensu, a już orzecznictwo w USA ma się
> nijak do PL.

Nie piszę o prawie, tylko o przypadku w którym FBI miało problem
z odbezpieczeniem telefonu zabezpieczonego *tylko* PINem.
Wg Ciebie czymś niewartym uwagi.

Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny
złodziej ma szansę na używanie takich technik (klonowanie pamięci NAND
urzadzenia).

>>> Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
>>> najlepszy materiał.
>>
>> No chyba że zaginie. I potem udowadniasz że pracowałeś "świadkami"
>> (patrz procedury ZUS).
>
> Sejf/kasa ma to do siebie, iż dostęp do nich jest ściśle określony
> procedurami.

Nie na temat, o ile udowodnisz, że wszyscy właściciele
tokenów trzymają je w sejfach.

[... ciach dygresję o złocie nie na temat ...]

>>> Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?
>> Wymienię na inną.
> Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
> istotnych danych np. w serwisie?

Nie, nie ma takiej potrzeby. A możliwość którą opisujesz należy do
kategorii urojonych.

> To była istota tego pytania.

Pokazująca jak mało wiesz o współczesnych metodach zabezpieczania
danych w aplikacjach.

>>> Pisać dalej, czy już zauważyłeś do czego zmierzam?
>>
>> Do tego że problemem jest człowiek, a nie PIN. Ale to wszyscy
>> sensownie myślący wiedza.
>
> Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać.

Mniej więcej 2-3, reszta może być zabezpieczona w odpowiednio do tego
celu stworzonych programach.

> Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem
> tak - problemem jest człowiek, ale także ten, który tworzy system, a nie
> tylko ten, który z niego korzysta.

Człowiek który tak sobie życie upraszcza, upraszcza sobie
też życie nie mając tokena w sejfie, tylko przy sobie.

>>> Podobno wczoraj konto Ewy Farny [...]
>> Fascynujące, ale bez związku.
> Postaram się częściej tłumaczyć z polskiego na polski...

Nie. Po prostu nie kopiuj wydarzeń dnia z internetu, bo są one
bez związku. Ja wiem, że Ci się wydaje, że to ma związek, bo
pojawiło się słowo kluczowe, ale nie. Nie ma związku.

>>> To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
>>> wymienić kogokolwiek, kto by korzystał?
>>
>> Bo pisaliśmy o firmach. Posterunki policji czy "służba" to nie jest
>> firma w ujęciu podmiotu gospodarczego. Zmieniasz temat.
>
> Podałem policję czy służby jako przykład oczywisty.

Czego? Firmy? Podmiotu gospodarczego?

> Sądziłem, że możesz negować np. oświatę. Także niepubliczną.
> Otóż szkoła niepubliczna także posiada sejf.
> Spełnia kryteria podmiotu gospodarczego.

https://orders-sandbox.lumion3d.net/api/resellers/fd
c40180c0274709946092ccdfc5e1c5

"Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który
stanowi, że do prowadzenia szkoły lub placówki nie mają zastosowania przepisy
o działalności gospodarczej. Oznacza to, że ustawodawca przyjął, że działalność
oświatowa polegająca na prowadzeniu szkoły nie jest działalnością gospodarczą."

> Pewnie kasę/sejf posiada także każdy podmiot operujący większą gotówką.

Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów.

> I pewnie niejednokrotnie może używać ich do przechowywania
> najważniejszych dokumentów/haseł.

Nie na temat. Rozmawialiśmy o przypadku firmy (w rozumieniu potocznym)
i posiadaniu sejfu stricte do dokumentów. Takie podmioty zapewne są,
ale ani nie są mniej, ani bardziej poważne niż inne, które wybrały
inne bezpieczne sposoby przechowywania dokumentów ważnych.

> Podobnie jak Kowalski mający sejf w domu zapewne nie tylko będzie
> trzymał tam większą gotówkę, ale złoto, biżuterię czy token.

Gdybologia (z tym tokenem), na którą nie masz żadnego poparcia.

>> a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
>> Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
>> dalej?
>
> Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.

Peszek. Do obalenia Twojej tezy wystarczy Amber Gold.

>
> Ojej... Łopatologicznie: [...] W każdej poważnej firmie jest sejf [...]

Fałsz.

>> Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie
>> do klocków lego.
>
> Może zapomniałeś. Przypomnę: narzędzie autoryzacyjne warto trzymać w
> bezpiecznym miejscu.

Jest to tylko jedna z metod jego zabezpieczenia.

>> Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin
>> nieznany ustawie RODO.
>
> Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in
> blanco.

Czyli najprościej jak wskażesz punkt ustawy, który definiuje termin "druk
ścisłego zaszeregowania" zamiast tworzyć blubry.

> I wtedy to mogę sobie robić z nim, co chcę?

Jak podpada pod restrykcje wynikające z innych ustaw, to możesz
robić to co wynika z tych ustaw. Ale pisałeś o RODO.

[...]

> Praktyka jest taka... Druki ścisłego zarachowania [...]

A czyli jednak nie "zaszeregowania" tylko "zarachowania",
a to już wchodzi w rachunkowość i dokumenty księgowe.
Ale specjalnie nie ma nic wspólnego z RODO.

[...]

> znaczeniu czy są wypisane czy nie są - muszą być chronione i to TY
> jesteś za to odpowiedzialny. To TY musisz się wykazać należytą starannością.

No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem.
Pokaż przepis nakazujący mi robienie spisu w formie papierowej.

Idąc dalej: jest sobie np. studio dżwiękowe, gabinet masażu,
studio filmowe, studio architektoniczne, czy gabinet fryzjerski,
czy firma hostingowa.

Niech będzie, że część ma osobowość prawną, a część nie (spółki
osobowe lub 1-os działalności). Wkaż mi prosze które z tych
podmiotów muszą mieć sejf i jakie dokumenty w nich muszą
przechowywać i z jakich przepisów to wynika.

>>> Na przykład?
>> Np, szyfrowanie w postaci elektronicznej.
>
> Mistrzu... Ale jak Ty chcesz zaszyfrować w postaci elektronicznej np.
> dowody rejestracyjne przed wydaniem ich właścicielom pojazdu?

Firmy zwyczajowo nie wydają dowodów rejestracyjnych.

> Jak już sobie zaszyfrujesz te swoje dane to gdzieś one muszą leżeć. Te,
> które w ogóle się da zaszyfrować. W chmurę ich nie wrzucisz, bo - jak
> twierdzisz - masz pojęcie o bezpieczeństwie.

Tak, wrzucę. Jaki w tym problem? Oczywiście są to odpowiednie usługi,
nie "Google Drive". Zanim odpowiesz jakie to niebezpeiczne, to może jednak
doczytaj w temacie, co? Bardzo Cię prosze.

> Kopia zapasowa wydaje się [...]

Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu
elektronicznym dokumentów) nie znasz i krążysz wokół tematu jak
Ci którym "rowery rozdają na placu czerwonym"?

>> Ale rozmawialiśmy o firmach, a nie urzędach.
>
> A to ma znaczenie?

To że najpierw posługiwałeś się pojęciem ogólnym "firma",
a teraz próbujesz udowodnić, że te same reguły dotyczą
"urzędu" co i owej "firmy".

> W biedronkach też są sejfy. ;-) OK. Jeśli rozmawiamy
> o pani z warzywniaka to faktycznie w jej firmie może się obyć. Wystarczy
> pewnie kasetka.

I co, w każdej biedronce jest ten token? Serio? Znowu
zmieniasz kontekst. Nie pisaliśmy o sejfach do gotówki, tylko
do dokumentów i tokenów.

>> I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych.
>
> OK. Ostatnio sobie rozmawialiśmy o gimnazjach. Otóż przybywa do
> gimnazjum kurier z arkuszami egzaminacyjnymi. [...]

Szkoła nie jest podmiotem gospodarczym.

[...]

>>> Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.
>> To kup nowszą nokię za 100. Nadal nie musisz do niej karty kupować.
> Cały czas tłumaczysz mi jak WYDAĆ pieniądze. Pokaż jak zaoszczędzić. ;-)

Zabezpieczyć odpowiednio posiadane już urządzenie.
Ale tą możliwość już odrzuciłeś.

>>> Jeszcze raz: według Ciebie ludzie posiadający więcej
>>> niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na
myśli pewnie ROR, tak?
>>
>> No o tych statystykach była mowa (kont osobistych aka RORach).
>> I do takich Ci podałem linka.
>
> Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz?
> Jak zdefiniować ROR/konto osobiste?

ROR to ROR. Rachunek Oszczędnościowo Rozliczeniowych.
Nie jest to konto oszczędnościowe.
Nie jest to lokata.
Nie jest to rachunek bieżacy.
Nie jest to konto techniczne.
Nie jest to rachunek kredytowy.

https://pl.wikipedia.org/wiki/Rachunek_oszczędnościo
wo-rozliczeniowy

>> Twierdzisz że osoby mające 30 lat nie są dorosłe?
>
> W moim przekonaniu do osoby 18+, przy czym mam wrażenie, iż średnia
> wieku w PL to trochę więcej niż 30. A zatem "dorośli ludzie" nie
> ograniczają się do max. 30-latków.

Ale nie o tym pisaliśmy. Znowu zmieniasz kontekst.
Przypomnę: pisaliśmy o tym, że Ty masz wśród znajomych ludzi
40+, a ja ludzi w okolicach lat 30, których problem frankowy
nie dotyczy. I pisałem, żebyś nie tworzył statystyk i wyobrażeń
(tu: "na pewno revolut nie ma tylu kont ha ha!") wyłącznie na bazie
Twojej grupy wiekowej, z którą masz kontakt.

>> https://www.businessinsider.com/median-tech-employee
-age-chart-2017-8?IR=T
>> - facebook, mediana 28
>> - google, mediana 30
>> - apple, mediana 31
>>
>> Ale to pewnie nie sa poważne firmy.
>
> haha... Dobre! W kontekście kredytów frankowych w PL... bardzo dobry
> argument.

Google ma też oddział w Polsce i zatrudnia pracowników także w Polsce.
Tak samo Facebook, Amazon, Uber. Wszystkie te firmy zatrudniają sporo
osób w okolicach ~30.

Nie wszyscy pracują w spółkach skarbu państwa z nadania partyjnego,
gdzie pracę dostają spady polityczne 40+.

>> Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też
miałem) i tam nie
>> było tokenów w ofercie, poza zakresem "korporacyjnym".
>
> Wniosek mam wyciągnąć, że jedynie Premium lub korporacje miały dostęp do
> tokenów? Czyli... mniejszego bezpieczeństwa niż Kowalski? Śmiała teza.

Tokeny miały wyższy poziom bezpieczeństwa niż uwcześnie stosowane karty kodów.
A zmiany w bankowości korporacyjnej zachodzą dużo wolniej, zobacz sobie wiek
systemów transakcyjnych.

>>> Niestety to nieprawda.
>> Wpisz błędnie hasło 3-10x i powiedz mi czy nadal masz dostęp.
> Dobre! Naprawdę.
> A masz też pomysł jak zablokować dostęp telefoniczny w banku, który
> twierdzi, że się nie da?

Zależy jaki dostęp. Dostęp transakcyjny w wielu bankach da się wywalić,
czy to przez podobną sztuczkę, czy wyłączenie kanału. Na pewno da się
w mBanku, czy PKO. Generalnie myślę, że w każdym banku gdzie autoryzyjesz
się jakimś nadanym pinem/hasłem mobilnym.

Dostęp do konsultanta będzie zawsze.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-16 o 14:54, Wojciech Bancer pisze:
> Nie zmienia to niczego w znaczącym stopniu, ponieważ
> głównym problemem jest człowiek. Aktualizowany smartfon
> jest bezpiecznym narzędzie, a do tego o wiele bardziej
> użyteczne.

Swego czasu była afera dot. spowolnienia iPhone'a po aktualizacji. Można
byłoby dyskutować czy wolniejsze urządzenie jest "bardziej użytecznym".
OK - zgadzamy się - głównym problemem jest człowiek. Może się zgodzić,
że nie tylko Klient, ale też bankowiec?

>> 1. Nie jest prawdą, że komputer łatwiej zarazić wirusem.
>
> Jest prawdą.

Uwzględnij człowieka!

>> Wszystko zależy od okoliczności.
>
> Ale mówimy o statystyce a nie okolicznościach.
> Statystycznie łatwiej to zrobić z komputerem, bo ten ma mniej
> ograniczających go trybów pracy.

Uwzględnij człowieka! Sekretarka, która bez wylogowania wychodzi z
sekretariatu jest większym zagrożeniem z punktu widzenia wycieku danych
niż użytkownik domowy nawet jeśli tenże w ogóle nie ma hasła.

>> 2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć.
>
> Nie. Ty stawiasz na to że:
> - człowiek używający tokena jest mądry

Nie pomyślałem o tym, ale skoro zauważyłeś, że tokeny były dla Premium i
korporacji to pewnie ludzie dostający je w garść rzeczywiście byli
bardziej odpowiedzialni niż przeciętny zjadacz chleba.

> - człowiek używający smarfona jest debilem o IQ doniczki

Niekoniecznie. Zbyt surowy jesteś w swoich ocenach.

> I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma
> sejfy w każdym miejscu, w tych sejfach te tokeny i w ogóle ich
> nie nosi, jest rozważny w chuj. A człowiek ze smartfonem
> to "Gimbaza" z odruchem wpisywania PINu.

Rozumiem, że te skrajności mają pokazać błędy w argumentacji.
1. Niekoniecznie sejf i niekoniecznie w każdym miejscu. Token w domu
starczy. Zazwyczaj jest tak mały, że da się go ukryć.
2. Nie da się ukryć, iż dla nastolatków smartfon to prawdziwy fetysz. Fakt.
3. Rzeczywiście dziwi mnie, iż nigdy nie poznałeś żadnego PIN-u osoby,
która go wpisywała w telefon - np. w autobusie, tramwaju etc.

Zwróć uwagę jak Klient wpisuje PIN w bankomacie (często zasłaniając
ręką, rozglądając się na boki itd.), a jak w telefonie. Z ręką na sercu
- nie widziałem, aby ktoś równie ostrożnie wpisywał w telefonie, co w
bankomacie, a przed płatnościami bezstykowymi przy kasie.

> Ty sobie wyśniłeś jakieś tezy o tym, że nie zauważam polaków
> i ich aktywności sportowej, ale mnie do tego nie mieszaj.

Jeszcze niedawno tak twierdziłeś - przypomnę, iż nie dostrzegałeś boomu
na zegarki sportowe. Najprościej je zauważyć właśnie przy aktywności
fizycznej.

> A odzywka o "rzeczywistości" jest po prostu chamska,
> podobnie jak przyrównywanie użytkowników smartfonów do Gimbazy.

Kwestia dyskusyjna. Ktoś mógłby to nazwać ironią, ktoś być może
sarkazmem, a jeszcze inny peryfrazą. Nie ma natomiast wątpliwości, iż
nie używam w dyskusji wulgaryzmów. Te - owszem - możesz nazwać "chamskimi".

> Nie piszę o prawie, tylko o przypadku w którym FBI miało problem
> z odbezpieczeniem telefonu zabezpieczonego *tylko* PINem.
> Wg Ciebie czymś niewartym uwagi.

Apple daje milion hakerowi, który włamie się do iOS. ;-)
Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
czy Y. Okradnie tego, który mu to ułatwi.

> Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny
> złodziej ma szansę na używanie takich technik (klonowanie pamięci NAND
> urzadzenia).

Tylko co to ma do rzeczy?

>> Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
>> istotnych danych np. w serwisie?
>
> Nie, nie ma takiej potrzeby. A możliwość którą opisujesz należy do
> kategorii urojonych.

Strasznie trudno Ci przychodzi odpowiedź na to pytanie. Zupełnie
niepotrzebnie. Serwis sprzętu nie jest niczym nadzwyczajnym. Gdy oddaję
komputer - zawsze wyciągam z niego dysk. W przypadku iPada jest to
pewien problem. Oczywiście zależy co uległo uszkodzeniu. Najrozsądniej
byłoby zniszczyć sprzęt, ale ponosi to za sobą duże koszty. Czasami
udaje się pewne rzeczy naprawić względnie tanio.

>> To była istota tego pytania.
>
> Pokazująca jak mało wiesz o współczesnych metodach zabezpieczania
> danych w aplikacjach.

To nie o to chodzi... OK - spróbuję jaśniej i prościej... Padła matryca
w komputerze. Może tylko pękła. Zauważyłem, iż często komputer jest
oddawany do serwisu "z powodu matrycy", a użytkownik w ogóle nie myśli o
danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
(oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
jest problem.

>> Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać.
>
> Mniej więcej 2-3, reszta może być zabezpieczona w odpowiednio do tego
> celu stworzonych programach.

Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.

Rozumiem, że owe programy masz w komórce. A gdy padnie komórka albo
zdarzy Ci się wypadek śmiertelny? Co wtedy?

>> Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem
>> tak - problemem jest człowiek, ale także ten, który tworzy system, a nie
>> tylko ten, który z niego korzysta.
>
> Człowiek który tak sobie życie upraszcza, upraszcza sobie
> też życie nie mając tokena w sejfie, tylko przy sobie.

??? Upraszczam sobie życie nosząc to, czego nie muszę??? Ciekawa koncepcja.

>> Podałem policję czy służby jako przykład oczywisty.
>
> Czego? Firmy? Podmiotu gospodarczego?

Instytucji używającej sejfu.

> "Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który
> stanowi, że do prowadzenia szkoły lub placówki nie mają zastosowania przepisy
> o działalności gospodarczej. Oznacza to, że ustawodawca przyjął, że działalność
> oświatowa polegająca na prowadzeniu szkoły nie jest działalnością gospodarczą."

Wątpliwa interpretacja.
W Ustawie o systemie oświaty nie występuje Art. 83a. Jest Art. 83 ust.
1, który stanowi: "W szkołach i placówkach, z zastrzeżeniem ust. 6,
działają rady rodziców, które reprezentują ogół rodziców uczniów.".
Żadnego "a" nie ma w tym artykule ani innych literek alfabetu. Może
jakąś starą i wątpliwą interpretację znalazłeś?

Prowadzenie szkoły działającej w ramach systemu oświaty nie jest
traktowane jako działalność gospodarcza i odbywa się na zasadach
podanych w przepisach odrębnych.
Prywatną szkołę możesz natomiast prowadzić w dowolnej formie, poza
spółką partnerską.
Działalność ta może być zarejestrowana jako:
jednoosobowa działalność gospodarcza
spółka cywilna
jedna ze spółek prawa handlowego: spółka jawna, spółka komandytowa,
spółka komandytowo-akcyjna, spółka z ograniczoną odpowiedzialnością lub
spółka akcyjna
----------------

OK, ale zostawmy, bo sama "działalność gospodarcza" nie jest nigdzie
jednoznacznie zdefiniowana i US niejednokrotnie mają problem z jej
interpretacją. Zatem nie chciałbym teraz rozwodzić się czy szkoła
prywatna to jest/nie jest, a niepubliczna itd.

> Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów.

Takich stricte jest z pewnością dużo mniej.

> Nie na temat. Rozmawialiśmy o przypadku firmy (w rozumieniu potocznym)

W "Psach" Pasikowskiego firmą nazywano policję. Natomiast OK - można
doprecyzować. Już wiem, że wyłączamy z tego oświatę, czyli największą
grupę zawodową (ok. 700.000 pracowników jeśli dobrze pamiętam statystyki
Broniarza z okresu strajku), do tego wyższe uczelnie, wszelkie służby od
zdrowia do specjalnych. Potem jeszcze urzędy, a urzędników to mamy
wiadomo ilu... No i sejfy, w których trzyma się tak dokumenty, jak i
gotówkę. Gdy już nam została Pani Gienia sprzedająca rzodkiewkę w naszym
koszyku "firm" to tak! Masz rację. Dostęp Polaków do sejfu w "firmach"
jest żaden.

> i posiadaniu sejfu stricte do dokumentów. Takie podmioty zapewne są,
> ale ani nie są mniej, ani bardziej poważne niż inne, które wybrały
> inne bezpieczne sposoby przechowywania dokumentów ważnych.

Pani Gienia sejfu nie ma, ale ma przy sobie iPhone! Może zatem robić
przelewy. ;-)
A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli
różnego szczebla. Czy takie dokumenty elektroniczne wystarczały? Jak
rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
elektronicznych.

>>> a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
>>> Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
>>> dalej?
>>
>> Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.
>
> Peszek. Do obalenia Twojej tezy wystarczy Amber Gold.

No nie. Ja szukam POWAŻNEJ bez. To jednak co innego niż NIEPOWAŻNA z. ;-)

>> Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in
>> blanco.
>
> Czyli najprościej jak wskażesz punkt ustawy, który definiuje termin "druk
> ścisłego zaszeregowania" zamiast tworzyć blubry.

Nie bardzo wiem, co to ten "blubr", ale odpowiem Ci tak: to nie ma
znaczenia. Sądziłem, że logika wystarczy i nie trzeba Ci będzie ustawy.

>> I wtedy to mogę sobie robić z nim, co chcę?
>
> Jak podpada pod restrykcje wynikające z innych ustaw, to możesz
> robić to co wynika z tych ustaw. Ale pisałeś o RODO.

Chyba faktycznie zbyt skomplikowanie to opisałem. Masz rację: nie każdy
dokument chroniony RODO musi wylądować w sejfie. Nie każdy druk in
blanco musi trafić do sejfu.

> [...]
>
>> Praktyka jest taka... Druki ścisłego zarachowania [...]
>
> A czyli jednak nie "zaszeregowania" tylko "zarachowania",
> a to już wchodzi w rachunkowość i dokumenty księgowe.

Nie znam się. Tak w pierwszym odruchu wydaje mi się, że dowody osobiste,
paszporty, świadectwa, certyfikaty itp. itd. to nie są dokumenty
rachunkowe czy księgowe. Przyznaję - mogę się mylić.
Zaszeregowania/zarachowania - to był pewien skrót myślowy. Być może
faktycznie zbyt skomplikowany.

> Ale specjalnie nie ma nic wspólnego z RODO.

Myślałem o dokumentach, których druk jest ściśle ograniczony (np.
dyplomy), a który w pewnym momencie pokrywa się danymi osobowymi (i tu
RODO).
Tak mi się teraz przypomniało - a wiesz, że u mnie w firmie wszelkie
pieczątki także trafiają do sejfu? Oczywiście na koniec dnia. Na
początku pobiera je upoważniona osoba. I pewnie znowu - pani Gienia od
rzodkiewki nie będzie takich procedur stosować, jak "poważna" firma.
Gdybyś zechciał sobie wpisać do Google "Jarucka, Cimoszewicz, faksymile"
to poczytasz o aferze związanej właśnie z pewną pieczątką ;-)

> No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem.
> Pokaż przepis nakazujący mi robienie spisu w formie papierowej.

Ale to głupstwo. Ja mówię o poważnych rzeczach. Spis z natury
porównujesz do hasłem do kont czy sieci?

> Idąc dalej: jest sobie np. studio dżwiękowe, gabinet masażu,
> studio filmowe, studio architektoniczne, czy gabinet fryzjerski,
> czy firma hostingowa.
>
> Niech będzie, że część ma osobowość prawną, a część nie (spółki
> osobowe lub 1-os działalności). Wkaż mi prosze które z tych
> podmiotów muszą mieć sejf i jakie dokumenty w nich muszą
> przechowywać i z jakich przepisów to wynika.

A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi
dochować wszelkiej staranności, aby nie wyciekł. W przeciwnym razie
pozew o odszkodowanie może je zrujnować. Dlatego solidna kasa, system
zabezpieczeń, aby udowodnić przed sądem swoje racje jest priorytetem.
Podobnie ze studiem filmowym.

Masaż, fryzjer... No tak - tu masz niewątpliwie rację... ;-) Jeszcze
pani Gienia!
Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
w tym admina.

> Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu
> elektronicznym dokumentów) nie znasz i krążysz wokół tematu jak
> Ci którym "rowery rozdają na placu czerwonym"?

Dlaczego? Bo tak mówisz, czy może masz jakiś argument?

>>> Ale rozmawialiśmy o firmach, a nie urzędach.
>>
>> A to ma znaczenie?
>
> To że najpierw posługiwałeś się pojęciem ogólnym "firma",
> a teraz próbujesz udowodnić, że te same reguły dotyczą
> "urzędu" co i owej "firmy".

Już przyznałem rację - firmy od rzodkiewki faktycznie obejdą się... Byle
nie większe, bo te mogą np. stawać do przetargu, opracowywać oferty, a
te z pewnością będą chronione przed np. szpiegostwem gospodarczym.
Wówczas pewnie - na pewnym etapie rozwoju - pojawią się najpierw
pomieszczenia nieco bardziej chronione, a później także ów... sejf!

>> Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz?
>> Jak zdefiniować ROR/konto osobiste?
>
> ROR to ROR. Rachunek Oszczędnościowo Rozliczeniowych.

Cudowny jesteś! A potem masz pretensje i żale o porównania do Gimbazy.
"ROR to ROR" - świetna definicja.

> Nie jest to konto oszczędnościowe.
> Nie jest to lokata.
> Nie jest to rachunek bieżacy.
> Nie jest to konto techniczne.
> Nie jest to rachunek kredytowy.

OK, to już wiem, czym nie jest ROR. A teraz wracamy do pytania: Jak
zdefiniować ROR?

> https://pl.wikipedia.org/wiki/Rachunek_oszczędnościo
wo-rozliczeniowy

W tej definicji konto a'vista z Pekao się mieści. Jest dla osoby
fizycznej, jest podstawowym kontem, można się za jego pomocą rozliczać,
jest umowa. I choć Wiki podaje: "Rachunek oszczędnościowo-rozliczeniowy
jest rachunkiem a vista" to jednak Pekao rozróżniało ROR (Eurokonto
wtedy) i a vista.

Wydaje się, iż konto w kantorze Aliora też spełniać może definicję ROR-u
z Wiki, a za takowe nie uchodzi w definicji banku.

> Przypomnę: pisaliśmy o tym, że Ty masz wśród znajomych ludzi
> 40+, a ja ludzi w okolicach lat 30, których problem frankowy
> nie dotyczy. I pisałem, żebyś nie tworzył statystyk i wyobrażeń
> (tu: "na pewno revolut nie ma tylu kont ha ha!") wyłącznie na bazie
> Twojej grupy wiekowej, z którą masz kontakt.

Hmm... Jeśli chcę się dowiedzieć czegoś o Kowalskim to przyglądam się
grupie 18-70 lat. Ty grupie max. 30 i uważasz, że otrzymane dane są
porównywalne pod względem wiarygodności?

> Nie wszyscy pracują w spółkach skarbu państwa z nadania partyjnego,
> gdzie pracę dostają spady polityczne 40+.

Jeśli jednak mówimy o systemie masowym (bankowość) to jednak mam
wrażenie, iż budżetówka więcej nam powie niż oddział Facebooka w PL.

> Tokeny miały wyższy poziom bezpieczeństwa niż uwcześnie stosowane karty kodów.

Z tym, że owe dwa banki od tokenów - CA i EB - nie miały karty kodów. A
zatem nie była to naturalna migracja czy alternatywa. Swego czasu w EB
był token GSM jako alternatywa wobec sprzętowego. Wychodzi na to, iż
właśnie znikający EB był prekursorem bezpieczeństwa.

do góry

On 2019-08-16, Szymon <...@w...pl> wrote:

[...]

>> Nie zmienia to niczego w znaczącym stopniu, ponieważ
>> głównym problemem jest człowiek. Aktualizowany smartfon
>> jest bezpiecznym narzędzie, a do tego o wiele bardziej
>> użyteczne.
>
> Swego czasu była afera dot. spowolnienia iPhone'a po aktualizacji. Można
> byłoby dyskutować czy wolniejsze urządzenie jest "bardziej użytecznym".

Na pewno bardziej użytecznym od tokena.

[...]

>> I na tym opierasz swoją argumentację. Człowiek z tokenem trzyma
>> sejfy w każdym miejscu, w tych sejfach te tokeny i w ogóle ich
>> nie nosi, jest rozważny w chuj. A człowiek ze smartfonem
>> to "Gimbaza" z odruchem wpisywania PINu.
>
> Rozumiem, że te skrajności mają pokazać błędy w argumentacji.

Ale Ty takie skrajności mi prezentujesz.

> 2. Nie da się ukryć, iż dla nastolatków smartfon to prawdziwy fetysz. Fakt.
> 3. Rzeczywiście dziwi mnie, iż nigdy nie poznałeś żadnego PIN-u osoby,
> która go wpisywała w telefon - np. w autobusie, tramwaju etc.

PINy większości aplikacji bankowych nie są wymienne z "mazianymi znakami".
Aplikacje do przechowywania haseł nie mają zaś pinów tylko master password.

Poza tym jakie to ma znaczenie, skoro najpierw musi być wykonana operacja
(na komputerze), czyli złodziej musi poznać login, hasło do konta (tych
nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_
może potwierdzić sobie wspomnianą operację.

A to wszystko w czasie, do momentu aż okradziona osoba nie zorientuje się,
że została okradziona i nie wyłączy dostępu z danego telefonu (co się da
zrobić oczywiście bez wpisywania wspomnianego hasła).

Wspomnianych operacji świadomy użytkownik nie musi robić wiele, bo w większości
współczesnych urządzeń nie przeznaczonych dla nastolatków masz już jakąś formę
autoryzacji biometrycznej, przy której złodziej nawet jak coś ukradnie, to nie
miał szans nic podpatrzyć, a Tobą nie jest więc wiele z tym telefonem nie
zrobi.

A wirusy na smartfonach to: kilka sztuk na Android (tych targetujących aplikacje
bankowe) i zero sztuk na iOS.

> Z ręką na sercu - nie widziałem, aby ktoś równie ostrożnie wpisywał w telefonie,
> co w bankomacie, a przed płatnościami bezstykowymi przy kasie.

A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś?
Jak chcesz mi podpatrzeć PIN na takim telefonie?

[...]

> Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
> konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
> czy Y. Okradnie tego, który mu to ułatwi.

I co z nim zrobi dalej?

>> Tak, w końcu sobie poradzili. Doczytaj jak i pomyśl, czy statystyczny
>> złodziej ma szansę na używanie takich technik (klonowanie pamięci NAND
>> urzadzenia).
>
> Tylko co to ma do rzeczy?

Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie
niezabezpieczone. A tu patrz, FBI nie dało rady.

>>> Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
>>> istotnych danych np. w serwisie?
>>
>> Nie, nie ma takiej potrzeby. A możliwość którą opisujesz należy do
>> kategorii urojonych.
>
> Strasznie trudno Ci przychodzi odpowiedź na to pytanie. Zupełnie
> niepotrzebnie. Serwis sprzętu nie jest niczym nadzwyczajnym. Gdy oddaję
> komputer - zawsze wyciągam z niego dysk.

A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są
zaszyfrowane. Np. na okoliczność utraty urządzenia.

> W przypadku iPada jest to pewien problem. Oczywiście zależy
> co uległo uszkodzeniu. Najrozsądniej byłoby zniszczyć sprzęt,
> ale ponosi to za sobą duże koszty.

A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia
zamiast rozsiewać plotki może?

[...]

> danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
> (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
> jest problem.

Po to stosuje się szyfrowanie.

>> Mniej więcej 2-3, reszta może być zabezpieczona w odpowiednio do tego
>> celu stworzonych programach.
>
> Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
> dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.

Czyli najpierw musisz:

- złamać kod PIN urządzenia (masz 3 próby, potem niestety urządzenie się blokuje)
- potem złamać hasło właściwego programu. No to masz tak na oko 62 do potęgi 20
prób,
bo jakie to hasło, to przecież nie wiesz (mnie urządzenie autoryzuje
biometrycznie),
a hasło wpisuję jedynie raz na kilka dni (jak dłużej nie używam, albo urządzenie
było wyłączone).

A w międzyczasie jak odetnę te urządzenie od zaufanych (albo minie odpowiednio
dużo czasu), to jeszcze będziesz musiał zautoryzować się poprzez podanie wartości
z qrcode, które się wyświetli na innym moim aktywnym urządzeniu, do którego
dostępu nie masz.

Z tego co czytałem benchmarki, dość mocny sprzęt (taki jaki używany
jest do kopania) ogarnie jakieś 6000 prób na sekundę.

> Rozumiem, że owe programy masz w komórce.

Na zaufanych urządzeniach.

> A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy?

Jak mi się zdarzy wypadek śmiertelny, to niewiele mnie będzie obchodzić.
Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie
po zalogowaniu się do firmowego intranetu. A osobiste? No cóz, jak
mnie trafi wypadek śmiertelny, to mi będzie wszystko jedno.

>> Człowiek który tak sobie życie upraszcza, upraszcza sobie
>> też życie nie mając tokena w sejfie, tylko przy sobie.
>
> ??? Upraszczam sobie życie nosząc to, czego nie muszę??? Ciekawa koncepcja.

Tak, wiem. Ty jesteś uporządkowany i zorganizowany na tip top.
A w przypadku 90% "Kowalskich", jak mu się raz trafi sytuacja, że
albo nie będzie miał karty kodów, albo nie będzie miał tokena,
to od razu zacznie nosić przy sobie.

Płatności online kiedyś robiłeś? Czy to też jest niepopularne
i nie istnieje? Bo one też wymagają tego kodu jednorazowego.
Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci
kupienia sobie np. biletów do kina (z wyprzedzeniem), albo skorzystania
z jakiejś promocji, której czas niedługo upłynie i taka osoba od razu
zacznie nosić przy sobie takie urządzenie.

>>> Podałem policję czy służby jako przykład oczywisty.
>> Czego? Firmy? Podmiotu gospodarczego?
> Instytucji używającej sejfu.

A było o firmach.

>> "Do wniosków takich prowadzi art. 83a ust. 1 ustawy o systemie oświaty, który
>> stanowi, że do prowadzenia szkoły lub placówki nie mają zastosowania przepisy
>> o działalności gospodarczej. Oznacza to, że ustawodawca przyjął, że działalność
>> oświatowa polegająca na prowadzeniu szkoły nie jest działalnością gospodarczą."
>
> Wątpliwa interpretacja.

To był trochę starszy przepis (jak jeszcze obowiązywała ust. o swobodzie działalności
gospodarczej). Nowszy masz tu:

https://www.arslege.pl/prowadzenie-dzialalnosci-oswi
atowej/k1581/a102779/

Dz.U.2018.0.996 t.j. - Ustawa z dnia 14 grudnia 2016 r. - Prawo oświatowe

1. Prowadzenie szkoły lub placówki, zespołu, o którym mowa w art. 182
połączenie szkół publicznych, szkół niepublicznych lub placówek w zespół,
oraz innej formy wychowania przedszkolnego nie jest działalnością
gospodarczą.

[...]

>> Ale rozmawialiśmy o przypadku sejfu stricte do dokumentów.
> Takich stricte jest z pewnością dużo mniej.

Nie chcę Cię martwić, ale spora liczba przedsiębiorstw, hurtowni itp. nastawionych
wyłącznie na b2b nie ma nawet potrzeby na obrót gotówkowy. A wręcz ma to utrudnione,
gdyż jest taki drobiazg jak limit powyżej którego masz obowiązek rozliczać się
przelewem.

[...]

> doprecyzować. Już wiem, że wyłączamy z tego oświatę, czyli największą
> grupę zawodową (ok. 700.000 pracowników jeśli dobrze pamiętam statystyki
> Broniarza z okresu strajku), do tego wyższe uczelnie, wszelkie służby od
> zdrowia do specjalnych.

Ale to ustawodawca tego rodzaju podmioty wyłączył. Do mnie masz pretensje?

> Potem jeszcze urzędy, a urzędników to mamy wiadomo ilu... No i sejfy,
> w których trzyma się tak dokumenty, jak i gotówkę.

No to Ty zapodałeś tezę że "poważna firma ma sejf do ważnych dokumentów".
Ja tylko konsekwentnie nie chcę zbaczać z takiego toru.

[...]

> A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli
> różnego szczebla. Czy takie dokumenty elektroniczne wystarczały?

Tak, drukowane na żądanie urzędników.
A w tym roku, to kontrola (czy raczej czynności sprawdzające)
odbyły się poprzez wysłanie Pani urzędnik dokumentów drogą elektroniczną,
nawet się nie musiała fatygować.

> Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
> elektronicznych.

Dokładnie. Akta pracownicze mogą być prowadzone w formie elektronicznej.
Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki?
Wydruk z CEIDG, czy KRS to sobie właściwe podmioty pobierają "na żądanie"
od urzędu.

To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie
musi tych "blankietów na dyplomy", czy "blankietów na dowody rejestracyjne".

>>> Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.
>> Peszek. Do obalenia Twojej tezy wystarczy Amber Gold.
> No nie. Ja szukam POWAŻNEJ bez. To jednak co innego niż NIEPOWAŻNA z. ;-)

Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje
sejfu. W branży IT to jest takich mnóstwo, od firm hostingowych, poprzez
software house, czy firmy outsourcingowe.

[...]

>> Jak podpada pod restrykcje wynikające z innych ustaw, to możesz
>> robić to co wynika z tych ustaw. Ale pisałeś o RODO.
>
> Chyba faktycznie zbyt skomplikowanie to opisałem. Masz rację: nie każdy
> dokument chroniony RODO musi wylądować w sejfie. Nie każdy druk in
> blanco musi trafić do sejfu.

A taka dokumentacja medyczna będzie *obowiązkowo* przechowywana
elektronicznie. Sądowa i podatkowa już jest (oczywiście dotyczy nowych
dokumentów). Od ubiegłego roku np. sprawozdania finansowe składa się
wyłącznie elektronicznie. Podatki już też możesz rozliczać elektronicznie.
Akta pracownicze możesz trzymać elektronicznie. Zwolnienia lekarskie dostajesz
elektronicznie, przez system ZUSowski. Dokumentacja księgowa w coraz większym
zakresie przyjmuje format JPK i kontroler skarbowy już nawet nie musi Cię
w tym celu odwiedzać. Dokumentacja bankowa od dawna jest przesyłana klientom
elektronicznie. Częściowo dokumentacja medyczna również musi już być prowadzona
elektronicznie (a pewnie niedługo obowiązek się rozszerzy).

To co Ty w tych kasach za dokumenty chcesz trzymać, poza tymi blankietami
dyplomów, dowodów rejestracyjnych czy co tam jeszcze.

>> A czyli jednak nie "zaszeregowania" tylko "zarachowania",
>> a to już wchodzi w rachunkowość i dokumenty księgowe.
>
> Nie znam się. Tak w pierwszym odruchu wydaje mi się, że dowody osobiste,
> paszporty, świadectwa, certyfikaty itp. itd. to nie są dokumenty
> rachunkowe czy księgowe.

Termin druki scisłego zarachowania był terminem z rachunkowości,
ale w jakimś momencie z ustawy chyba wyleciał.

> Przyznaję - mogę się mylić. Zaszeregowania/zarachowania - to był
> pewien skrót myślowy. Być może faktycznie zbyt skomplikowany.

http://reklama-krakow.com.pl/2017/03/19/druki-scisle
go-zarachowania/

"Jak przechowywać druki ścisłego zarachowania?

Jak już wspomnieliśmy, druki tego rodzaju muszą być odpowiednio
przechowywane, by nie dostały się do nich niewłaściwe osoby.
Zakłada się też specjalną ,,Księgę druków ścisłego zarachowania",
w której wprowadza się informacje o drukach. Księga ta powinna
być w stosowny sposób opisana, powinna mieć ponumerowane strony,
ma być trwałe sznurowania, powinna być też opieczętowana i sygnowana
przez kierownika jednostki i głównego księgowego.

Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą
właściwie zabezpieczone, na przykład będą umieszczone w szafie
zamykanej na klucz. Można również zdecydować się na skorzystanie
z usług rachunkowych, a wtedy to zadaniem specjalisty będzie właściwe
zabezpieczenie i zarządzanie drukami. Pomocą służą też firmy oferujące
usługi archiwizacyjne."

Jak widać sejfów nie trzeba.

>> Ale specjalnie nie ma nic wspólnego z RODO.
>
> Myślałem o dokumentach, których druk jest ściśle ograniczony (np.
> dyplomy), a który w pewnym momencie pokrywa się danymi osobowymi (i tu
> RODO).

No to 99% podmiotów gospodarczych raczej z takimi nie ma do czynienia.

> Tak mi się teraz przypomniało - a wiesz, że u mnie w firmie wszelkie
> pieczątki także trafiają do sejfu? Oczywiście na koniec dnia. Na
> początku pobiera je upoważniona osoba. I pewnie znowu - pani Gienia od
> rzodkiewki nie będzie takich procedur stosować, jak "poważna" firma.
> Gdybyś zechciał sobie wpisać do Google "Jarucka, Cimoszewicz, faksymile"
> to poczytasz o aferze związanej właśnie z pewną pieczątką ;-)

Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30
minut? Pamiętam jak sobie za moich czasów studenici "przedłużali" ważność
legitymacji studenckich takimi pieczątkami.

A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię,
o przyślą mi pocztą na skrytkę pocztową. Ale fakt, ostały się takie relikty
PRLu, dla których pieczątki to jakieś poważne zabezpieczenie czegokolwiek.

>> No dobrze. Mamy spis z natury, ktory ewidentnie jest takim drugiem.
>> Pokaż przepis nakazujący mi robienie spisu w formie papierowej.
>
> Ale to głupstwo. Ja mówię o poważnych rzeczach. Spis z natury
> porównujesz do hasłem do kont czy sieci?

Hasła do konta, czy sieci się nie trzyma na papierze.
Po prostu.

>> Niech będzie, że część ma osobowość prawną, a część nie (spółki
>> osobowe lub 1-os działalności). Wkaż mi prosze które z tych
>> podmiotów muszą mieć sejf i jakie dokumenty w nich muszą
>> przechowywać i z jakich przepisów to wynika.
>
> A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi
> dochować wszelkiej staranności, aby nie wyciekł. W przeciwnym razie
> pozew o odszkodowanie może je zrujnować.

Wystarczy dyski zaszyfrować i posiadać porządną politykę dot.
bezpieczeństwa danych elektronicznych w firmie.

> Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem
> swoje racje jest priorytetem. Podobnie ze studiem filmowym.

I co, włożysz wszystkie te komputery do tej kasy pancernej,
czy może każesz ludziom rozkręcać te komputery codziennie i wymontowywać
dyski?

[...]

> Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
> w tym admina.

Kopie bezpieczeństwa trzymać w sejfie? :-))))))
To się uśmiałem. Zabezpiecza się serwerownię, fakt, ale jak Ty
chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem.
:-))

>> Czy możesz przyjąć do wiadomości, że jednak się na tym (obiegu
>> elektronicznym dokumentów) nie znasz i krążysz wokół tematu jak
>> Ci którym "rowery rozdają na placu czerwonym"?
>
> Dlaczego? Bo tak mówisz, czy może masz jakiś argument?

Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę
dot. projektowania bezpiecznych systemów informatycznych i zasad
przechowywania danych.

I mówię tu o rzeczach oczywistych we współczesnych firmach z dokumentami
w obiegu elektronicznym.

>> To że najpierw posługiwałeś się pojęciem ogólnym "firma",
>> a teraz próbujesz udowodnić, że te same reguły dotyczą
>> "urzędu" co i owej "firmy".
>
> Już przyznałem rację - firmy od rzodkiewki faktycznie obejdą się...

Nie. Po prostu "firmy" się obejdą. Chyba, że:

a) pracują w nich ludzie, którzy nie mają pojęcia o współczesnych metodach
przechowywania informacji
b) nałożone są dodatkowe wymagania ustawowe

> Byle nie większe, bo te mogą np. stawać do przetargu, opracowywać
> oferty, a te z pewnością będą chronione przed np. szpiegostwem
> gospodarczym.

Ależ oczywiście. :-)))

>> ROR to ROR. Rachunek Oszczędnościowo Rozliczeniowych.
>
> Cudowny jesteś! A potem masz pretensje i żale o porównania do Gimbazy.
> "ROR to ROR" - świetna definicja.
>
>> Nie jest to konto oszczędnościowe.
>> Nie jest to lokata.
>> Nie jest to rachunek bieżacy.
>> Nie jest to konto techniczne.
>> Nie jest to rachunek kredytowy.
>
> OK, to już wiem, czym nie jest ROR. A teraz wracamy do pytania: Jak
> zdefiniować ROR?
>
>> https://pl.wikipedia.org/wiki/Rachunek_oszczędnościo
wo-rozliczeniowy
>
> W tej definicji konto a'vista z Pekao się mieści. Jest dla osoby
> fizycznej, jest podstawowym kontem, można się za jego pomocą rozliczać,
> jest umowa.

Mówisz o Rachunku podstawowym? Tak, to jest konto osobiste.

> I choć Wiki podaje: "Rachunek oszczędnościowo-rozliczeniowy
> jest rachunkiem a vista" to jednak Pekao rozróżniało ROR (Eurokonto
> wtedy) i a vista.

To że rozróżnia sobie swoje konta (poza Eurokontem ma jeszcze inne),
nie oznacza że nie są one sumowane do kont osobistych.

[...]

>> (tu: "na pewno revolut nie ma tylu kont ha ha!") wyłącznie na bazie
>> Twojej grupy wiekowej, z którą masz kontakt.
>
> Hmm... Jeśli chcę się dowiedzieć czegoś o Kowalskim to przyglądam się
> grupie 18-70 lat. Ty grupie max. 30 i uważasz, że otrzymane dane są
> porównywalne pod względem wiarygodności?

Przypominam że Twoim argumentem było "mam wśród *znajomych* ludzi
z kredytami frankowymi, a nie mam z revolutem". Więc w kontrze
powiedziałem, że ja wprost przeciwnie, bo mam głównie znajomych
w wieku ok. 30 lat. A takich mam, bo pracuję w spółkach nowych
technologii. Resztę, to już sobie dorabiasz usiłując udowodnić
nie wiem co.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-16 o 19:43, Wojciech Bancer pisze:
> Poza tym jakie to ma znaczenie, skoro najpierw musi być wykonana operacja
> (na komputerze), czyli złodziej musi poznać login, hasło do konta (tych
> nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_
> może potwierdzić sobie wspomnianą operację.

Po co komputer? Skoro hasła na telefon, czy aplikacja to komputer
wkrótce zostanie wyeliminowany.

> Wspomnianych operacji świadomy użytkownik nie musi robić wiele, bo w większości
> współczesnych urządzeń nie przeznaczonych dla nastolatków masz już jakąś formę
> autoryzacji biometrycznej, przy której złodziej nawet jak coś ukradnie, to nie
> miał szans nic podpatrzyć, a Tobą nie jest więc wiele z tym telefonem nie
> zrobi.

Jestem zwolennikiem biometrii (warto zauważyć, iż pojawia się w
laptopach), ale tutaj na grupie niedawno wypowiadała się osoba, która
tego nie podzielała. Pięknie tłumaczysz likwidację tokenów, jednak
biometria w bankowości jest od dawna. Jakoś przebić się nie może. Dlaczego?

> A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś?
> Jak chcesz mi podpatrzeć PIN na takim telefonie?

Zakładasz kradzież/zgubienie bez użycia przemocy.
Zwróć uwagę, że wraz ze wzrostem zabezpieczeń samochodów wzrosła liczba
rozbojów.

>> Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
>> konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
>> czy Y. Okradnie tego, który mu to ułatwi.
>
> I co z nim zrobi dalej?

Jeśli podejrzy PIN, a jest on zgodny z tym na karcie - celem ataku
będzie karta. Jeśli za pośrednictwem komórki w ogóle mogę się zalogować
do systemu - wymuszenie rozbójnicze załatwi sprawę.

> Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie
> niezabezpieczone. A tu patrz, FBI nie dało rady.

Zupełnie inny kontekst.
Jest taka scena w "Szklanej pułapce II", gdy bohater nie może rozkodować
krótkofalówki. Pewien technik mu radzi: zanim zastrzelisz następnego,
każ mu wpisać kod. ;-)
Być może FBI najpierw zastrzeliło właściciela. Tymczasem mam wrażenie,
iż złodziej najpierw stara się ustalić PIN. Dopiero według tego wyznacza
sobie ofiarę. A jeśli chodzi o przemoc - inna kategoria.

> A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są
> zaszyfrowane. Np. na okoliczność utraty urządzenia.

No to 4 raz pytam: oddajesz do naprawy?
Rozumiem, że jeśli będzie wymagała zalogowania to przy Tobie?

>> W przypadku iPada jest to pewien problem. Oczywiście zależy
>> co uległo uszkodzeniu. Najrozsądniej byłoby zniszczyć sprzęt,
>> ale ponosi to za sobą duże koszty.
>
> A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia
> zamiast rozsiewać plotki może?

Ja pytam. 4 raz. Otóż zupełnie życiowa sytuacja: telefon się nie włącza.
Co dalej?

>> danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
>> (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
>> jest problem.
>
> Po to stosuje się szyfrowanie.

Myślę, że niewielu szyfruje w standardzie dysk. I sądzę, że aby
cokolwiek naprawić trzeba mieć jednak dostęp administracyjny.
Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na
BIOS, Windows i w TrueCrypcie? To nie bardzo widzę możliwość zrobienia
czegokolwiek przez serwis.

>> Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
>> dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.
>
> Czyli najpierw musisz:
>
> - złamać kod PIN urządzenia (masz 3 próby, potem niestety urządzenie się blokuje)

Z nożem na gardle starczy pewnie jedna.

> - potem złamać hasło właściwego programu. No to masz tak na oko 62 do potęgi 20
prób,
> bo jakie to hasło, to przecież nie wiesz (mnie urządzenie autoryzuje
biometrycznie),
> a hasło wpisuję jedynie raz na kilka dni (jak dłużej nie używam, albo
urządzenie
> było wyłączone).

Z przestrzelonym kolanem?

>> A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy?
>
> Jak mi się zdarzy wypadek śmiertelny, to niewiele mnie będzie obchodzić.

No tak. Tymczasem są firmy, które jednak muszą działać dalej. Nie mogą
sobie pozwolić na "przestój", bo admin zszedł i wszystko poblokowane.

> Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie
> po zalogowaniu się do firmowego intranetu.

Czyli jednak ;-) Przypomina mi to trochę muzykę techno - bez prądu nie
istnieje. Zazwyczaj "klasyczny" muzyk - ot, zagra koncert unplugged. ;-)

A osobiste? No cóz, jak
> mnie trafi wypadek śmiertelny, to mi będzie wszystko jedno.

Niektórzy mają rodziny, a wśród nich są i tacy, którzy nie chcieliby
rodzinie utrudniać dostępu do osobistych rzeczy (wliczając np. FB,
którego warto zamknąć lub poinformować znajomych, jak i np. haseł do
bitcoina czy co tam trzeba, aby się do niego dostać).

> Płatności online kiedyś robiłeś? Czy to też jest niepopularne
> i nie istnieje? Bo one też wymagają tego kodu jednorazowego.

Oczywiście. Niemal codziennie robię. Z domu. Nie odważyłbym się na
przygodnym komputerze.

> Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci
> kupienia sobie np. biletów do kina (z wyprzedzeniem), albo skorzystania
> z jakiejś promocji, której czas niedługo upłynie i taka osoba od razu
> zacznie nosić przy sobie takie urządzenie.

Trochę trąci zachowaniami kompulsywnymi. Psycholog by się przydał
bardziej niż token. ;-) Paradoksalnie - dla takich osób utrudniony
dostęp do konta może być elementem psychoterapii.

>> A teraz poważnie - z pewnością w swojej firmie przeżyłeś parę kontroli
>> różnego szczebla. Czy takie dokumenty elektroniczne wystarczały?
>
> Tak, drukowane na żądanie urzędników.

A co z podpisami? Znaczną część dokumentów trzeba podpisać.
Jak uzyskać podpis kogoś, kto już nie jest pracownikiem (kontrola kilka
lat wstecz)?
Umowy o pracę/świadectwa pracy/Umowy o dzieło/zaświadczenia bhp/kopie
uprawnień/zaświadczenia z medycyny pracy itp. itd. nic papierowego nie
macie?

A gdy dostaniecie fakturę papierową to mam rozumieć, że skan, a faktura
do kosza?

> A w tym roku, to kontrola (czy raczej czynności sprawdzające)
> odbyły się poprzez wysłanie Pani urzędnik dokumentów drogą elektroniczną,
> nawet się nie musiała fatygować.

Jestem zdziwiony, ale OK. Przyjmuję, że tak jest.

>> Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
>> elektronicznych.
>
> Dokładnie. Akta pracownicze mogą być prowadzone w formie elektronicznej.

I mam rozumieć, że pracownik nie podpisuje (bo jak?) umowy o pracę, a
gdy kończy nie dostaje świadectwa ze stosownymi pieczątkami, podpisami itd.?

> Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki?

Tak. Wolałbym na papierze. Choćby po to, aby nie okazało się, że wyślesz
mi coś w formacie pliku, którego nie odczytam. Druga rzecz - na papierze
widać modyfikację. W przypadku sporu taki dokument można poddać
oględzinom. A jeśli mój plik i pracodawcy plik różni się od siebie to
dochodzenie, który jest "prawdziwy" może być trudniejsze.

> To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie
> musi tych "blankietów na dyplomy", czy "blankietów na dowody rejestracyjne".

Pozostaje pistolet, bo w przypadku braku prądu czy awarii można jedynie
strzelić sobie w głowę. ;-)
Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych?

> Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje
> sejfu. W branży IT to jest takich mnóstwo, od firm hostingowych, poprzez
> software house, czy firmy outsourcingowe.

Outsourcing jakoś nie kojarzy mi się z czymś poważnym. Raczej szukaniem
taniej siły roboczej. Ale OK - masz rację. Wszak jednoosobowych
działalności jest wiele - hydraulik, freelancer etc. nie potrzebuje
przecież nic zabezpieczać.

> A taka dokumentacja medyczna będzie *obowiązkowo* przechowywana
> elektronicznie. Sądowa i podatkowa już jest (oczywiście dotyczy nowych
> dokumentów). Od ubiegłego roku np. sprawozdania finansowe składa się
> wyłącznie elektronicznie. Podatki już też możesz rozliczać elektronicznie.
> Akta pracownicze możesz trzymać elektronicznie. Zwolnienia lekarskie dostajesz
> elektronicznie, przez system ZUSowski. Dokumentacja księgowa w coraz większym
> zakresie przyjmuje format JPK i kontroler skarbowy już nawet nie musi Cię
> w tym celu odwiedzać. Dokumentacja bankowa od dawna jest przesyłana klientom
> elektronicznie. Częściowo dokumentacja medyczna również musi już być prowadzona
> elektronicznie (a pewnie niedługo obowiązek się rozszerzy).

Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż
fizycznie. Od gotówki odchodzimy, rękopisy już nie powstają, dzieła
sztuki na tyle marne, że nie warto ich chować. Zamiast płyt - mp3.

> To co Ty w tych kasach za dokumenty chcesz trzymać, poza tymi blankietami
> dyplomów, dowodów rejestracyjnych czy co tam jeszcze.

Już pisałem. Ale jeśli wszystko da się przenieść na formę elektroniczną
- OK.

> Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą
> właściwie zabezpieczone, na przykład będą umieszczone w szafie
> zamykanej na klucz.

No i widzisz... Jeśli uznasz, że mowa tu o szafie pancernej - nikt Ci
nic nie zarzuci. Jeśli natomiast będzie to szafa na ubrania, a klucz
"uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy.

> Jak widać sejfów nie trzeba.

Tak, masz rację. W IT nie trzeba.

>> Myślałem o dokumentach, których druk jest ściśle ograniczony (np.
>> dyplomy), a który w pewnym momencie pokrywa się danymi osobowymi (i tu
>> RODO).
>
> No to 99% podmiotów gospodarczych raczej z takimi nie ma do czynienia.

Tak. Racja. Ciekawe jak radzą sobie firmy mające np. własną ochronę. Czy
broń wymaga kasy czy nie...

> Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30
> minut? Pamiętam jak sobie za moich czasów studenici "przedłużali" ważność
> legitymacji studenckich takimi pieczątkami.

A jednak zdarza się nadal, iż pieczątka i podpis musi być na dokumencie,
aby uzyskał on moc prawną. Jeszcze niedawno trzeba było oklejać go
czasami znaczkami skarbowymi.

Tak sobie myślę... Zadziwiająco mało elektronicznie dziś można załatwić,
jak na ten poziom, który opisujesz. Przykładowo w Idei musiałem
kilkanaście razy pisać do nich z prośbą o zamknięcie konta (po tym jak 2
razy "papierowo" w oddziale zamykałem). I nic... Dopiero za którymś tam
razem zamknęli i... przysłali polecony z przeprosinami. ;-)

> A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię,
> o przyślą mi pocztą na skrytkę pocztową. Ale fakt, ostały się takie relikty
> PRLu, dla których pieczątki to jakieś poważne zabezpieczenie czegokolwiek.

Chyba wynika z rozwoju technologii. Mam sporo danych na dyskietkach,
jeszcze więcej na płytach, trochę na kasetach VHS. Sęk w tym, że nie mam
stacji dyskietek, CD-ROMu i magnetowidu. Ogrom materiałów tym samym
przepadł. To, co było na papierze (np. wspomnienia z wakacji
foto-papier) przetrwało, a to co "elektronicznie" (foto na dyskietce,
film z wakacji na VHS) - poszło... Być może stąd niektórzy mają obawy...
Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia
emerytury w formacie pliku, który okaże się nie do odczytania.

> Hasła do konta, czy sieci się nie trzyma na papierze.
> Po prostu.

U Ciebie nie. U innych tak. W ten sposób zawsze jest dostępne dla
uprawnionych osób. U Ciebie - jak Ty jesteś. I kilka osób uprawnionych.
I znają hasła. I wszystko działa.

>> A to akurat bardzo proste. Studio dźwiękowe. Nagrywa materiał i musi
>> dochować wszelkiej staranności, aby nie wyciekł. W przeciwnym razie
>> pozew o odszkodowanie może je zrujnować.
>
> Wystarczy dyski zaszyfrować i posiadać porządną politykę dot.
> bezpieczeństwa danych elektronicznych w firmie.

Pamiętaj jednak - mówimy o sporze prawnym. Kasa pancerna, sejf bardziej
do ludzi (a sędzia też może być człowiekiem) przemawia niż tłumaczenie,
że to Apple było i certyfikat.

Podobnie chyba "token zostawiłem w domu" jakoś pewniejsze się wydaje niż
"mam, ale nie dam" w obliczu baseballa.

>> Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem
>> swoje racje jest priorytetem. Podobnie ze studiem filmowym.
>
> I co, włożysz wszystkie te komputery do tej kasy pancernej,
> czy może każesz ludziom rozkręcać te komputery codziennie i wymontowywać
> dyski?

Ależ nie. Włożę gotowy materiał nagraniowy do sejfu. Zmieści się
przecież na dysku. W ten sposób osoba mająca dostęp do sejfu ma dostęp
do materiału. Możliwości wycieku - żadne. Ochrona? Pełna. Co, gdy mnie
zmiecie ciężarówka z tej Ziemi? Szef odda materiał. Co, jeśli samolot ze
mną i z szefem spadnie nieco szybciej niż planował? KAŻDY kto otworzy
sejf odzyska materiał. Nie, nie potrzeba hasła. Jest klucz. Alarm, który
sprowadza ochronę w kilka minut. Na pewno jest ognioodporny. Celuję, że
też ma szansę przeciwstawić się powodzi. Zanik prądu? Niestraszny.
Udział firm zewnętrznych (np. ktoś tę chmurę nadzoruje) - żaden.
Wszelkie ataki hakerskie - bezskuteczne - dysk leży odłączony od sieci i
od prądu. Jakieś tam randsomware'y itp. Nic.

>> Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
>> w tym admina.
>
> Kopie bezpieczeństwa trzymać w sejfie? :-))))))

Tak, dokładnie. Odłączone od sieci, a nawet źródła zasilania. Ale już
wiem, że myślimy o czymś innym.

> To się uśmiałem. Zabezpiecza się serwerownię, fakt, ale jak Ty
> chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem.
> :-))

Kopie istotnych danych. Strategicznych dla firmy. Masz powyżej przykład
dlaczego.

> Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę
> dot. projektowania bezpiecznych systemów informatycznych i zasad
> przechowywania danych.

Z podejściem "co mnie obchodzi, gdy mnie zabraknie" nie znalazłbyś
zatrudnienia w poważnej firmie.
To nawet byłoby zabawne, gdyby np. wojsko zamiast map papierowych w
przypadku inwazji czekało aż się zaloguje na serwery, bo muszą uruchomić
strategię, a coś muli im net. ;-)

> I mówię tu o rzeczach oczywistych we współczesnych firmach z dokumentami
> w obiegu elektronicznym.

OK. Przyjmuję do wiadomości. Nie spotkałem się z takowymi.

> Nie. Po prostu "firmy" się obejdą. Chyba, że:
>
> a) pracują w nich ludzie, którzy nie mają pojęcia o współczesnych metodach
> przechowywania informacji
> b) nałożone są dodatkowe wymagania ustawowe

Albo muszą działać także w przypadku totalnej awarii instalacji
elektrycznej chociażby.

> To że rozróżnia sobie swoje konta (poza Eurokontem ma jeszcze inne),
> nie oznacza że nie są one sumowane do kont osobistych.

Tu pojawia się właśnie pytanie czy podając liczbę ROR wszyscy mieli tę
samą definicję.

> Przypominam że Twoim argumentem było "mam wśród *znajomych* ludzi
> z kredytami frankowymi, a nie mam z revolutem".

Masz rację. Powinienem dodać, iż moi znajomi to ludzie 18-70 lat, z
różnych środowisk, o różnych potrzebach itd.

Więc w kontrze
> powiedziałem, że ja wprost przeciwnie, bo mam głównie znajomych
> w wieku ok. 30 lat. A takich mam, bo pracuję w spółkach nowych
> technologii. Resztę, to już sobie dorabiasz usiłując udowodnić
> nie wiem co.

Że tzw. grupa reprezentatywna na podstawie której można wyciągać wnioski
to trochę większy zakres niż znajomi ok. 30 lat z branży IT. Bez sejfu. ;-)

do góry

W KB była alternatywa, ale zdaje się tylko dla rach. gosp.


------
> Z tym, że owe dwa banki od tokenów - CA i EB - nie miały karty kodów.
> A zatem nie była to naturalna migracja czy alternatywa.

do góry

On 2019-08-16, Szymon <...@w...pl> wrote:

[...]

>> nie ma "widocznych" na aplikacjach bankowych), a potem dopiero _ewentualnie_
>> może potwierdzić sobie wspomnianą operację.
>
> Po co komputer? Skoro hasła na telefon, czy aplikacja to komputer
> wkrótce zostanie wyeliminowany.

Dobrze więc.
Mamy aplikację. I co dalej?

[...]

> Pięknie tłumaczysz likwidację tokenów, jednak biometria w bankowości
> jest od dawna. Jakoś przebić się nie może. Dlaczego?

Gdzie się nie może przebić, skoro każda niemalże apka ją potrafi
wykorzystać?

>> A telefony autoryzowane odciskiem palca, czy "twarzą" widziałeś?
>> Jak chcesz mi podpatrzeć PIN na takim telefonie?
>
> Zakładasz kradzież/zgubienie bez użycia przemocy.
> Zwróć uwagę, że wraz ze wzrostem zabezpieczeń samochodów wzrosła liczba
> rozbojów.

Zakładasz, że ów Rozbójnik Rumcajs najpierw Ci połamie palce, żeby dostać
pin do telefonu, potem nogi, żeby pin do aplikacji bankowej, a na koniec
wstuka dziarsko 26 cyfr "anonimowego konta" bankowego i dokona przelewu?
To nie prościej gwizdnąć "pacjentowi" kartę? Czy karty debetowe też
trzymasz w sejfie i oczekujesz, że reszta świata również?

>>> Pomieszałeś tu zupełnie kontekst. FBI próbowało uzyskać dostęp do
>>> konkretnego aparatu. Złodzieja na ulicy może nie interesować obywatel X
>>> czy Y. Okradnie tego, który mu to ułatwi.
>>
>> I co z nim zrobi dalej?
>
> Jeśli podejrzy PIN, a jest on zgodny z tym na karcie - celem ataku
> będzie karta.

Karty mają piny 4-cyfrowe, a współczesne telefony 6-cyfrowe
(Apple od iOS 9, Android gdzieś chyba już od wersji 4.x pozwala
na dłuższe niż 4-cyfrowe PINy) + maziane znaki lub biometrykę.
Niespecjalnie dopasujesz, ale powodzenia.

> Jeśli za pośrednictwem komórki w ogóle mogę się zalogować
> do systemu - wymuszenie rozbójnicze załatwi sprawę.

I co zrobią? Przelew na swoje konto? I co jeszcze wesołego wymyślisz?
To już chyba prościej mu będzie załatwić "rozbójniczo" ten pin do karty.

>> Ty twierdziłeś, że urządzenie zabezpieczone PINem to niemalże urządzenie
>> niezabezpieczone. A tu patrz, FBI nie dało rady.
>
> Zupełnie inny kontekst.

Kontekst był taki, że telefon zostawiłeś w szatni, no ale spoko.
Nie moja wina, że masz taki archaiczny sprzęt, który wymusza wpisywanie
pinu za każdym razem.

>> A ja nie muszę, bo zarówno dane na komputerze, tablecie czy telefonie są
>> zaszyfrowane. Np. na okoliczność utraty urządzenia.
>
> No to 4 raz pytam: oddajesz do naprawy?

Oddałem nie raz. Jeśli urządzenie działa, to je zeruję (zgodnie z procedurami),
bo serwisant powinien mieć dostęp do diagnostyki urządzenia. Jak zostawisz
urządzenie zaszyfrowane, to części diagnostyki zwyczajnie nie wykona.

> Rozumiem, że jeśli będzie wymagała zalogowania to przy Tobie?

No w inny sposób dostępu do danych nie uzyska.

>> A najrozsądniej to byłoby dowiedzieć się jakie urządzenie ma zabezpieczenia
>> zamiast rozsiewać plotki może?
>
> Ja pytam. 4 raz. Otóż zupełnie życiowa sytuacja: telefon się nie włącza.
> Co dalej?

Jak umarł, to kupuję drugi. Dane bezproblemowo odzyskam w jakieś 30 minut.
A skoro ten zepsuty telefon jest wyłączony, to dostępu tam do danych nie
ma żadnego, dopóki ja nie zautoryzuję urządzenia.

>>> danych na dysku. W komputerze stosunkowo łatwo wymontować HDD/SDD
>>> (oczywiście nie każdym). To rozwiąże problem. W urządzeniu przenośnym -
>>> jest problem.
>>
>> Po to stosuje się szyfrowanie.
>
> Myślę, że niewielu szyfruje w standardzie dysk.

iPad i iPhone są szyfrowane w standardzie jeśli tylko ustalisz PIN,
chyba już od wersji 3GS. Komputery w firmach szyfruje się w standardzie

> I sądzę, że aby cokolwiek naprawić trzeba mieć jednak dostęp
> administracyjny.

To źle sądzisz. Trzeba mieć dostęp do trybu diagnostycznego.
A to jest osobny tryb, w którym nie ma dostępu do danych użytkownika.

> Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na
> BIOS, Windows i w TrueCrypcie? To nie bardzo widzę możliwość zrobienia
> czegokolwiek przez serwis.

Oddajesz komputer w stanie wyzerowanym, a po odzyskaniu z serwisu
wgrywasz na niego swoje dane.

>>> Sprowadzi się to właściwie do tego samego. Odgadnięcie 2-3 haseł daje
>>> dostęp do reszty. Rozumiem, że te hasła mają odblokowywać owe programy.
>>
>> Czyli najpierw musisz:
>>
>> - złamać kod PIN urządzenia (masz 3 próby, potem niestety urządzenie się
blokuje)
>
> Z nożem na gardle starczy pewnie jedna.

W tym serwisie mi przystawią ten nóż do gardła, czy znowu zmieniasz
kontekst, bo Ci nie pasuje do argumentu?

>>> A gdy padnie komórka albo zdarzy Ci się wypadek śmiertelny? Co wtedy?
>>
>> Jak mi się zdarzy wypadek śmiertelny, to niewiele mnie będzie obchodzić.
>
> No tak. Tymczasem są firmy, które jednak muszą działać dalej. Nie mogą
> sobie pozwolić na "przestój", bo admin zszedł i wszystko poblokowane.

Masz problem ze zrozumieniem zdania poniżej (cyt. "Istotne hasła _firmowe_
są dostępne dla kilku osób..."), czy po prostu usiłujesz zmanipulować moją
wypowiedż, żeby nie przyznać że palnąłeś argument z dupy?

>> Istotne hasła _firmowe_ są dostępne dla kilku osób w managemencie
>> po zalogowaniu się do firmowego intranetu.
>
> Czyli jednak ;-)

Czyli jednak Twój poprzedni wtręt był bez sensu?

>> A osobiste? No cóz, jak mnie trafi wypadek śmiertelny, to mi będzie
>> wszystko jedno.
>
> Niektórzy mają rodziny, a wśród nich są i tacy, którzy nie chcieliby
> rodzinie utrudniać dostępu do osobistych rzeczy (wliczając np. FB,
> którego warto zamknąć lub poinformować znajomych, jak i np. haseł do
> bitcoina czy co tam trzeba, aby się do niego dostać).

Nie ma potrzeby dawania dostępu do FB, ani w celu zamknięcia konta w banku,
ani w celu zamknięcia konta na FB, czy też poinformowania o tym znajomych.
https://www.facebook.com/help/requestmemorialization

Do innych usług też nie. Bitcoina nie posiadam.

>> Płatności online kiedyś robiłeś? Czy to też jest niepopularne
>> i nie istnieje? Bo one też wymagają tego kodu jednorazowego.
>
> Oczywiście. Niemal codziennie robię. Z domu. Nie odważyłbym się na
> przygodnym komputerze.

Niekoniecznie przygodny. Własny komputer w pracy ciężko nazwać
"przygodnym".

>> Wystarczy potrzeba zakupienia sobie czegoś "online", spontancznej chęci
>> kupienia sobie np. biletów do kina (z wyprzedzeniem), albo skorzystania
>> z jakiejś promocji, której czas niedługo upłynie i taka osoba od razu
>> zacznie nosić przy sobie takie urządzenie.
>
> Trochę trąci [...]

Nie na ten temat rozmawiamy.

>> Tak, drukowane na żądanie urzędników.
>
> A co z podpisami? Znaczną część dokumentów trzeba podpisać.
> Jak uzyskać podpis kogoś, kto już nie jest pracownikiem (kontrola kilka
> lat wstecz)?
> Umowy o pracę/świadectwa pracy/Umowy o dzieło/zaświadczenia bhp/kopie
> uprawnień/zaświadczenia z medycyny pracy itp. itd. nic papierowego nie
> macie?

https://kadry.infor.pl/zatrudnienie/dokumentacja-pra
cownicza/2836109,Elektroniczna-postac-dokumentacji-p
racowniczej-2019-w-pytaniach-i-odpowiedziach.html

> A gdy dostaniecie fakturę papierową to mam rozumieć, że skan, a faktura
> do kosza?

Witamy w XXI wieku.
https://ksiegowosc.infor.pl/podatki/vat/faktura/7150
20,Przechowywanie-papierowych-faktur-w-wersji-elektr
onicznej.html

---
Skan równie dobry jak papier
Spółka zapytała urzędników fiskusa, czy taki system przechowania dokumentów - czyli
archiwizowanie skanów,
a nie faktur oryginalnych - będzie zgodny z przepisami. W interpretacji z 27 lutego
2015 roku (sygnatura
IBPP3/443-1391/14/JP) Izba Skarbowa w Katowicach udzieliła odpowiedzi pozytywnej.

Urzędnicy stwierdzili, że obecne przepisy dopuszczają możliwość przechowywania faktur
w dowolny sposób,
np. w formie zapisu elektronicznego na elektronicznych nośnikach danych. Nie ma więc
przeszkód do stworzenia
systemu mieszanego, w którym papierowe faktury są przechowywane w formie
elektronicznych obrazów.

Stwierdzili, że ważne jest, aby zachować czytelność i autentyczność dokumentów oraz
aby możliwy był
dostęp do zarchiwizowanych faktur, jeśli zażądają go organy podatkowe. A skany
papierowych faktur te
warunki spełniają.

Podobnie wygląda sytuacja w przypadku paragonów i innych podobnych dokumentów, które
również są
podstawa do udowodnienia poniesienia wydatków a które z punktu widzenia prawa
fakturami nie są.
Kwestie przechowywania i postępowania z tymi dokumentami - co zasugerowała spółka, a
potwierdziła
Izba Skarbowa w Katowicach - nie są uregulowane w przepisach, a wiec również nie ma
przeciwskazań
dla przechowywania ich w wersji elektronicznej.
---

A to była interpretacja z 2015 roku, dzisiaj jest jeszcze lepiej.

>>> Jak rozumiem papierowe są niszczone lub w ogóle nie wytworzone na rzecz
>>> elektronicznych.
>>
>> Dokładnie. Akta pracownicze mogą być prowadzone w formie elektronicznej.
>
> I mam rozumieć, że pracownik nie podpisuje (bo jak?) umowy o pracę,

Jak ma podpis kwalifikowany, to może podpisać elektronicznie. Podpisem
zaufanym też wiele rzeczy podpiszesz prawnie skutecznie. Jak nie ma,
to można dokument podpisać tradycyjnie, zeskanować do systemu, użytkownik
może mieć swoją kopię, a oryginał można zniszczyć.

> a gdy kończy nie dostaje świadectwa ze stosownymi pieczątkami, podpisami itd.?

Ale to pracownik dostaje, nie pracodawca. Pracodawca może przechowywać
w postaci elektronicznej i np. w razie potrzeby wydrukować.
Masz problem by taki dokument wystawić i wysłać pocztą?

>> Dokumentacja księgowa również. Widzisz potrzebę na jakieś papierki?
>
> Tak. Wolałbym na papierze.

No i tylko przez to, że istnieją takie dinozaury świat ciągle
musi marnować drzewa bez sensu.

> Choćby po to, aby nie okazało się, że wyślesz mi coś w formacie pliku,
> którego nie odczytam.

Na szczęście poza Tobą reszta świata nie ma tutaj problemów.
Dokument elektroniczny też można zabezpieczyć tak by wykluczyć
próby modyfikacji (podpisy cyfrowe mają znaczniki czasu).

> Druga rzecz - na papierze widać modyfikację.

Bzdura roku. Papierowe umowy można spokojnie antydatować,
spróbuj to zrobić z podpisanymi dokumentami elektronicznymi.

> W przypadku sporu taki dokument można poddać oględzinom. A jeśli mój
> plik i pracodawcy plik różni się od siebie to dochodzenie, który
> jest "prawdziwy" może być trudniejsze.

Jesteś w błędzie. Jeśli mam dokument podpisany 4 lata temu.

>> To co jeszcze mamy w tym sejfie trzymać, jak firma jest usługowa i nie
>> musi tych "blankietów na dyplomy", czy "blankietów na dowody rejestracyjne".
>
> Pozostaje pistolet, bo w przypadku braku prądu czy awarii można jedynie
> strzelić sobie w głowę. ;-)

A kasy fiskalne działają bez prądu?
A terminale płatnicze?
A przelewy bankowe?

> Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych?

Absolutnie nie. Dzięki temu oszczędzam pieniądze, a stosowne firmy
to są duże molochy (Microsoft, Google i Amazon), które nie dość że
spełniają o wiele bardziej restrykcje ustawy RODO/GDPR, to pozwalają
mi oszdzędzać pieniądze, usprawniając jednocześnie dostęp do danych.
Co więcej, te firmy mają na tyle pewne systemy, że korzystają z nich
również rządy.

Ty nie dość, że musisz wyszkolić pracowników na takim samym poziomie,
to jeszcze w trybie ciągłym musisz płacić mu za zajmowanie się rzeczami,
które ja albo mam za darmo, albo płacę jakieś opłaty na poziomie 1/10
pensji minimalnej. Rocznie.

>> Każda firma, która wprowadzi elektroniczny obieg dokumentów nie potrzebuje
>> sejfu. W branży IT to jest takich mnóstwo, od firm hostingowych, poprzez
>> software house, czy firmy outsourcingowe.
>
> Outsourcing jakoś nie kojarzy mi się z czymś poważnym. Raczej szukaniem
> taniej siły roboczej.

Kontraktorzy w tych firmach o których piszę zarabiają kilkukrotność średniej
krajowej (mowa o branży IT).

Tu masz przykładowe ogłoszenia:
https://justjoin.it/offers/omega-senior-react-develo
per
https://justjoin.it/offers/onwelo-s-a-java-developer
-katowice
W obu przypadkach można wybrać B2B i to daje więcej kasy niż "etat".

> Ale OK - masz rację. Wszak jednoosobowych działalności jest wiele - hydraulik,
> freelancer etc. nie potrzebuje przecież nic zabezpieczać.

A nawet jak są jakieś dokumenty papierowe w obiegu, to nikt do takiej
standardowej dokumentacji nie wymaga sejfu, wystarczy zwykłe zamykane
pomieszczenie / solidniejsza szafa (nie musi być pancerna).

[...]

> Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż
> fizycznie. Od gotówki odchodzimy, rękopisy już nie powstają, dzieła
> sztuki na tyle marne, że nie warto ich chować. Zamiast płyt - mp3.

Obecnie zamiast kupować płyty, czy mp3 to się do tego ma dostęp
w abonamencie. W chwili obecnej słucham przeciętnie 35 nowych
utworów tygodniowo, co stanowi ok. 2 "albumy" tygodniowo, czyli
~8-10 miesięcznie. Oblicz sobie ile byś musiał na tyle wydać.
Ja płacę niecałe 240 zł rocznie.

>> Druki tego rodzaju można przechowywać w siedzibie firmy, gdy będą
>> właściwie zabezpieczone, na przykład będą umieszczone w szafie
>> zamykanej na klucz.
>
> No i widzisz... Jeśli uznasz, że mowa tu o szafie pancernej - nikt Ci
> nic nie zarzuci.

Nie ma takiej potrzeby.

> Jeśli natomiast będzie to szafa na ubrania, a klucz
> "uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy.

W budżetówce na pewno, ale reszta świata sobie poradzi.

>> Fascynujące. A wiesz, że pieczątke można wyrobić "ze zdjęcia" w jakieś 15-30
>> minut? Pamiętam jak sobie za moich czasów studenici "przedłużali" ważność
>> legitymacji studenckich takimi pieczątkami.
>
> A jednak zdarza się nadal, iż pieczątka i podpis musi być na dokumencie,
> aby uzyskał on moc prawną.

Dokumenty księgowe nie wymagają pieczątki od co najmniej 2005 roku,
czyli odkąd prowadzę rózne formy działalności.

> Jeszcze niedawno trzeba było oklejać go
> czasami znaczkami skarbowymi.

Znaczki skarbowe wycofano w 2007, ale to była po prostu forma opłaty.
Teraz to się robi albo przelewem, albo płatność kartą.

> Tak sobie myślę... Zadziwiająco mało elektronicznie dziś można załatwić,
> jak na ten poziom, który opisujesz.

Zaświadczenia z ZUSu możesz dostać elektronicznie.
Przez EPUAP możesz sobie zamówić druki i zaświadczenia, a także prowadzić
korespondencję z urzędem.

Na platformie rządowej możesz podpisywać dokumenty:
https://www.gov.pl/web/gov/podpisz-dokument-elektron
icznie---wykorzystaj-podpis-zaufany
(m. in. tym podpisujesz sprawozdanie finansowe).

> Przykładowo w Idei musiałem kilkanaście razy pisać do nich z prośbą
> o zamknięcie konta (po tym jak 2 razy "papierowo" w oddziale zamykałem).

To jest tak proste, że aż dziw, że na to nie wpadłeś.
Nie mają interesu w tym by Ci ułatwiać zamykanie konta.
To jest tylko ich zła wola, a nie uwarunkowania prawne.

> I nic... Dopiero za którymś tam razem zamknęli i... przysłali polecony
> z przeprosinami. ;-)

W Citi zamknąłem kartę kredytową i konto wysyłając wiadomość w systemie
transakcyjnym. W tymże samym Citi podpisałem umowę kredytową na dość
konkretną kasę wyłącznie elektronicznie. Telewizor na raty też można
kupić przez internet i podpisałem wszystkie dokumenty elektronicznie,
w systemie banku.

>> A teraz to nawet łatwiej, patrz np. tu: http://www.stampler.pl/ zamówię,
>> o przyślą mi pocztą na skrytkę pocztową. Ale fakt, ostały się takie relikty
>> PRLu, dla których pieczątki to jakieś poważne zabezpieczenie czegokolwiek.
>
> Chyba wynika z rozwoju technologii.

Co wynika? W latach 90-tych nie było firm poligraficznych
i przedsiębiorcy nie wyrabiali pieczątek? Fakt, trzeba było
mieć jakiś program do przygotowania wzoru (wtedy chyba
z Corela), ale stworzenie kopii pieczątki po 89 roku, tni
nie jest żadna sztuka.

> Mam sporo danych na dyskietkach, jeszcze więcej na płytach, trochę
> na kasetach VHS. Sęk w tym, że nie mam stacji dyskietek, CD-ROMu
> i magnetowidu. Ogrom materiałów tym samym przepadł.

Widać ten ogram był mało istotny, bo przez długi czas można
było przenosić dane z dyskietek na CD, a VHSy przegrywać
na CD (były firmy które się tym zajmowały). Teraz już pewnie
trudno kogoś takiego znaleźć. Ja mam jeszcze archiwalne
pliki z czasów studiów, trzymam je we wpółczesnej chmurze.
Koszt to jakieś $0.10 rocznie.

> Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia
> emerytury w formacie pliku, który okaże się nie do odczytania.

No patrz, obecnie dokumentację ZUSowską prowadzi się wyłącznie
elektronicznie (w płatniku) i nie trzeba niczego udowdaniać,
poza wskazaniem podmiotu/podmiotów.

>> Hasła do konta, czy sieci się nie trzyma na papierze.
>> Po prostu.
>
> U Ciebie nie.

W żadnym miejscu gdzie traktuje się bezpieczeństwo poważnie
nie drukuje się i nie przechowuje haseł na papierze, bo w razie
skompromitowania systemu nie wiadomo kto tego nie dopilnował.

>> Wystarczy dyski zaszyfrować i posiadać porządną politykę dot.
>> bezpieczeństwa danych elektronicznych w firmie.
>
> Pamiętaj jednak - mówimy o sporze prawnym.

Pamiętam. Mówi Ci coś takie słowo: biegły?

> Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być
> człowiekiem) przemawia niż tłumaczenie, że to Apple było i certyfikat.

Opinia biegłego wystarczy. I nie będę się tłumaczył "że Apple",
co więcej, w razie ewentualnych problemów można prześledzić kto
miał dostęp do danych plików, czego nie jesteś w stanie zagwarantować
w systemie "wkładam sobie cośtam do sejfu".

> Podobnie chyba "token zostawiłem w domu" jakoś pewniejsze się wydaje niż
> "mam, ale nie dam" w obliczu baseballa.

Myślę, że jak nie dasz "i chuj", to też Ci te nogi tym baseballem
może przetrącić. Chociazby po to byś go nie gonił, albo nie powiadomił
policji za szybko. No i wracam do argumentu wyżej, prościej

>>> Dlatego solidna kasa, system zabezpieczeń, aby udowodnić przed sądem
>>> swoje racje jest priorytetem. Podobnie ze studiem filmowym.
>>
>> I co, włożysz wszystkie te komputery do tej kasy pancernej,
>> czy może każesz ludziom rozkręcać te komputery codziennie i wymontowywać
>> dyski?
>
> Ależ nie. Włożę gotowy materiał nagraniowy do sejfu.

Nikt tak nie robi.

> Zmieści się przecież na dysku.

W co bardziej zabezpieczonych systemach nie podłączysz dysku
zewnętrznego, ani nie wykręcisz dysku z komputera. Kombinuj
dalej. [...]

>>> Firma hostingowa? W sejfie będzie trzymać kopie bezpieczeństwa i hasła,
>>> w tym admina.
>>
>> Kopie bezpieczeństwa trzymać w sejfie? :-))))))
>
> Tak, dokładnie.

Nie. To już nie lata 90-te.

>> chcesz te kopie bezpieczeństwa nosić do tego sejfu, to ja nie wiem.
>> :-))
>
> Kopie istotnych danych. Strategicznych dla firmy. Masz powyżej przykład
> dlaczego.

Powyżej to tylko Twoje wyobrażenie na temat.

>> Bo się na tym znam i m.in. mam certyfikaty poświadczające wiedzę
>> dot. projektowania bezpiecznych systemów informatycznych i zasad
>> przechowywania danych.
>
> Z podejściem "co mnie obchodzi, gdy mnie zabraknie" nie znalazłbyś
> zatrudnienia w poważnej firmie.

Na szczęście pracodawcy chcący zatrudnić specjalistę nie bawią się
w cięcie akapitu na kawałki w celu udowodnienia swoich racji na grupie
dyskusyjnej.

>> Nie. Po prostu "firmy" się obejdą. Chyba, że:
>>
>> a) pracują w nich ludzie, którzy nie mają pojęcia o współczesnych metodach
>> przechowywania informacji
>> b) nałożone są dodatkowe wymagania ustawowe
>
> Albo muszą działać także w przypadku totalnej awarii instalacji
> elektrycznej chociażby.

Współcześnie praktycznie nie ma takich firm, które to potrafią
na dłuższą metę. Wlicz w to wszystkie firmy które mają kasy fiskalne
i zauważ że dokumenty księgowe jesteś zobowiązany wysyłać do US/ZUS
drogą elektroniczną.

>> technologii. Resztę, to już sobie dorabiasz usiłując udowodnić
>> nie wiem co.
>
> Że tzw. grupa reprezentatywna na podstawie której można wyciągać wnioski

Czyli masz ten ~2000 realych znajomych?
Bo poniżej, to niezbyt statystycznie istotna wartość i żadnych
wniosków na tej podstawie nie można wyciągnąć.

--
Wojciech Bańcer
w...@g...com

do góry

W dniu 2019-08-17 o 16:26, Wojciech Bancer pisze:
>> Pięknie tłumaczysz likwidację tokenów, jednak biometria w bankowości
>> jest od dawna. Jakoś przebić się nie może. Dlaczego?
>
> Gdzie się nie może przebić, skoro każda niemalże apka ją potrafi
> wykorzystać?

W bankomatach. Z tego co pamiętam to niektóre banki spółdzielcze
wprowadziły kilka lat temu. I na tym się skończyło.

> Zakładasz, że ów Rozbójnik Rumcajs najpierw Ci połamie palce, żeby dostać
> pin do telefonu, potem nogi, żeby pin do aplikacji bankowej, a na koniec
> wstuka dziarsko 26 cyfr "anonimowego konta" bankowego i dokona przelewu?

Nie, to dużo prostsze.

> To nie prościej gwizdnąć "pacjentowi" kartę? Czy karty debetowe też
> trzymasz w sejfie i oczekujesz, że reszta świata również?

Na przykład tak (z dziś)?:
http://moto.pl/MotoPL/7,88389,25091243,byla-metoda-n
a-butelke-teraz-kradna-na-drut-policja-znowu.html

Rzeczywiście masz rację - noszę kartę, z której korzystam. Drugą, z
której nie korzystam - trzymam w sejfie.
Nie oczekuję, że reszta świata... ;-) Każdy niech sobie robi, co uważa.

>> Jeśli podejrzy PIN, a jest on zgodny z tym na karcie - celem ataku
>> będzie karta.
>
> Karty mają piny 4-cyfrowe, a współczesne telefony 6-cyfrowe
> (Apple od iOS 9, Android gdzieś chyba już od wersji 4.x pozwala
> na dłuższe niż 4-cyfrowe PINy) + maziane znaki lub biometrykę.
> Niespecjalnie dopasujesz, ale powodzenia.

iPady, z których korzystałem miały 4-cyfrowy.
Pominąłeś znów najistotniejszy aspekt - człowieka. Ten dąży do
ułatwiania sobie życia. Proponujesz mi kolejne hasła, zabezpieczenia
itd. Nie tędy droga.

>> Jeśli za pośrednictwem komórki w ogóle mogę się zalogować
>> do systemu - wymuszenie rozbójnicze załatwi sprawę.
>
> I co zrobią? Przelew na swoje konto? I co jeszcze wesołego wymyślisz?

Być może dla Ciebie bandytyzm jest "wesoły". Powiedzmy, że jednak nieco
innymi kategoriami moralnymi się kierujemy.

Przestępcy korzystają często ze słupów. Wątpliwe czy robiliby przelew na
swoje konto.

> To już chyba prościej mu będzie załatwić "rozbójniczo" ten pin do karty.

Zazwyczaj jest dość istotna różnica między stanem konta osoby
zamożnej/dużej firmy, a limitem wypłaty w bankomacie jeśli chodzi o kartę.

> Nie moja wina, że masz taki archaiczny sprzęt, który wymusza wpisywanie
> pinu za każdym razem.

Na szczęście Apple się o to troszczy. Dziś znowu afera - tym razem o
baterie.
Apple w styczniu 2018 roku wprowadziło do iOS dość niespotykaną, a
bardzo przydatną opcję - wskaźnik zużycia baterii. Było to pokłosie
sporej afery z 2017 roku, gdy okazało się, że firma celowo obniża
wydajność smartfonów.

Teraz Apple postanowiło zabrać w sprawie głos. Firma tłumaczy, że robi
to z troski o kwestie bezpieczeństwa naszych iPhone'ów.
Informacje te służą ochronie naszych klientów przed uszkodzonymi, złej
jakości lub zużytymi akumulatorami, które mogą prowadzić do problemów z
bezpieczeństwem lub wydajnością.
-----------

Czy jako ekspert od bezpieczeństwa mógłbyś mi wyjaśnić jak akumulator
może wpływać na bezpieczeństwo (danych - jak rozumiem)?

>> I sądzę, że aby cokolwiek naprawić trzeba mieć jednak dostęp
>> administracyjny.
>
> To źle sądzisz. Trzeba mieć dostęp do trybu diagnostycznego.
> A to jest osobny tryb, w którym nie ma dostępu do danych użytkownika.

OK. Przyznaję, że nie słyszałem, aby Windows posiadał tryb diagnostyczny
pozwalający na pełen dostęp do urządzenia bez dostępu do danych użytkownika.

>> Komp się wiesza. Nie znam przyczyny - oddaję do naprawy z hasłem na
>> BIOS, Windows i w TrueCrypcie? To nie bardzo widzę możliwość zrobienia
>> czegokolwiek przez serwis.
>
> Oddajesz komputer w stanie wyzerowanym, a po odzyskaniu z serwisu
> wgrywasz na niego swoje dane.

Rzadko kiedy komp się wiesza w stanie wyzerowanym. ;-)

> Masz problem ze zrozumieniem zdania poniżej (cyt. "Istotne hasła _firmowe_
> są dostępne dla kilku osób..."), czy po prostu usiłujesz zmanipulować moją
> wypowiedż, żeby nie przyznać że palnąłeś argument z dupy?

Nie zrozumiałeś. OK - łatwiej - są instytucje, które muszą mieć dostęp o
najwyższym priorytecie nawet wówczas, gdy zabraknie tych "kilku osób".

> Nie ma potrzeby dawania dostępu do FB, ani w celu zamknięcia konta w banku,
> ani w celu zamknięcia konta na FB, czy też poinformowania o tym znajomych.
> https://www.facebook.com/help/requestmemorialization
>
> Do innych usług też nie. Bitcoina nie posiadam.

Istnieje dość istotna różnica w czasie między zalogowaniem się od razu
a... kiedyś tam, np. po dostarczeniu stosownych dokumentów. To kwestia
bezpieczeństwa - takie martwe konta mogą zostać przejęte z różnych powodów.

> Niekoniecznie przygodny. Własny komputer w pracy ciężko nazwać
> "przygodnym".

O ile Ty i tylko Ty z niego korzystasz. Zdarza się, iż wiele osób z
niego korzysta. Także tych o wyższych uprawnieniach.

> No i tylko przez to, że istnieją takie dinozaury świat ciągle
> musi marnować drzewa bez sensu.

Z drugiej strony nie będzie już rękopisów chociażby dzieł literatury. Co
więcej - charakter pisma zdradza też wiele informacji o człowieku. Zatem
z punktu widzenia kultury i sztuki to wątpliwej jakości "sukces".

>> Choćby po to, aby nie okazało się, że wyślesz mi coś w formacie pliku,
>> którego nie odczytam.
>
> Na szczęście poza Tobą reszta świata nie ma tutaj problemów.

Tradycyjnie się mylisz. Brak kompatybilności to potężny problem. Nawet w
obrębie jednego systemu (np. MS Office - Libre Office), a nawet jednego
pakietu (MS Office w różnych wersjach). Doprawdy nie zdarzyło Ci się
nigdy zauważyć, jak dokument się "rozjechał" lub w ogóle nie odtworzył
na różnych komputerach?

>> Druga rzecz - na papierze widać modyfikację.
>
> Bzdura roku. Papierowe umowy można spokojnie antydatować,
> spróbuj to zrobić z podpisanymi dokumentami elektronicznymi.

Mam wątpliwość czy każdy dokument elektroniczny, który dostaję ma
podpis. Rzekłbym nawet, iż 99% z nich nie ma.
Czy dasz radę antydatować swój dyplom? Wątpię. Po przeniesieniu go do
komputera - żaden problem.

>> Nie martwi Cię, że jesteście tym samym uzależnieni od firm zewnętrznych?
>
> Absolutnie nie. Dzięki temu oszczędzam pieniądze,

W przypadku Apple'a to bardzo wątpliwa teza. Tajemnicą Poliszynela jest,
że ich pomysły okraszone bełkotem o bezpieczeństwie sprowadzają się do
korzystania z autoryzowanych serwisów. Oczywiście droższych.

a stosowne firmy
> to są duże molochy (Microsoft, Google i Amazon), które nie dość że
> spełniają o wiele bardziej restrykcje ustawy RODO/GDPR, to pozwalają
> mi oszdzędzać pieniądze, usprawniając jednocześnie dostęp do danych.

Czyli dyski sieciowe nie mają sensu?

Czy dostęp do danych jest "usprawniony" to wątpię. Chociażby bez
Internetu praca z dokumentami Google jest niemożliwa, a i w przypadku
posiadania dostępu także niezbyt przyjemna. ;-) Natomiast rzecz
najistotniejsza - wrzucając dokument do chmury nigdy nie wiesz kto i jak
z niego korzysta. Restrykcje mówisz... I tylko raz na jakiś czas kolejna
afera, gdzie oczywiście użytkownik jest winny. ;-)

> Co więcej, te firmy mają na tyle pewne systemy, że korzystają z nich
> również rządy.

Ciekawa teza. Zupełnie nie rozumiem po co Clinton miała jakieś tam
serwery w domu, skoro Google jest takie pewne ;-)

> Ty nie dość, że musisz wyszkolić pracowników na takim samym poziomie,

Nie, nie trzeba.
To łatwo zrozumieć... Nie włamiesz się do czegoś, co nie jest podłączone
do sieci, a tym bardziej do prądu. Jeśli mam swój dysk to dostęp do
niego mam ja. Jeśli wrzucam coś gdzieś tam - zawsze zwiększam ryzyko
kradzieży.
Już. Koniec szkolenia.

Praktyczna realizacja: gdy zrobisz sobie nagą fotkę aparatem cyfrowym i
będziesz ją trzymał na karcie SD - może być w sejfie ;-) - szanse na jej
upublicznienie są żadne. Jeśli ją wrzucisz do telefonu/komputera nie
podłączonego do sieci, "bezpiecznego" - nadal szanse są małe. Jeśli
jednak wrzucisz ją do sieci - jak to mówią - "w sieci nic nie ginie".
Ryzyko się zwiększa. Jeśli jesteś osobą publiczną to straty z powodu
kradzieży takiej fotki mogą być gigantyczne (straty wizerunkowe).
Machanie Applem, certyfikatem, czymś tam nie ma żadnego sensu.

> to jeszcze w trybie ciągłym musisz płacić mu za zajmowanie się rzeczami,
> które ja albo mam za darmo, albo płacę jakieś opłaty na poziomie 1/10
> pensji minimalnej. Rocznie.

Dysk zewnętrzny nie jest drogi. Sęk w tym, że gdy Ty się już uzależnisz
od innych to wówczas okres "promocji" może się skończyć i firma X
zacznie Ci windować ceny. Zatem ja płacę 1/10 pensji minimalnej o sam
zarządzam danymi, Ty płacisz tyle samo i... nie wiesz kto zarządza
danymi. Google ;-) Czyli kto? Gdzie? Pod jakie prawo podlegający itd.?

> A nawet jak są jakieś dokumenty papierowe w obiegu, to nikt do takiej
> standardowej dokumentacji nie wymaga sejfu, wystarczy zwykłe zamykane
> pomieszczenie / solidniejsza szafa (nie musi być pancerna).

Tak, oczywiście masz rację - w przypadku hydraulika czy masażysty, jak
pisałeś.

>> Przekonałeś mnie. Złoto też jest częściej "kupowane" na kontraktach niż
>> fizycznie. Od gotówki odchodzimy, rękopisy już nie powstają, dzieła
>> sztuki na tyle marne, że nie warto ich chować. Zamiast płyt - mp3.
>
> Obecnie zamiast kupować płyty, czy mp3 to się do tego ma dostęp
> w abonamencie.

Obecnie tak. Pytanie co za 20 lat?

Prócz mp3 były inne formaty przechowywania dźwięku. Przepadły... A wraz
z nimi ów zapis.
W obrębie mp3 swego czasu 128 kbps uznawano za jakość CD. Dziś to trochę
mało. Sęk w tym, iż przy stratnej kompresji nie da się jakości odzyskać.
To samo z filmem.

W chwili obecnej słucham przeciętnie 35 nowych
> utworów tygodniowo, co stanowi ok. 2 "albumy" tygodniowo, czyli
> ~8-10 miesięcznie. Oblicz sobie ile byś musiał na tyle wydać.
> Ja płacę niecałe 240 zł rocznie.

Dostałem właśnie niedawno płytę z osobistą dedykacją. Mam ją przenieść
do mp3? Jak?
Autograf w formie cyfrowej ma chyba trochę mniejszą wartość
kolekcjonerską niż na papierze, prawda?
Gwarantujesz, że za X lat mp3 z tej płyty nadal będzie do odtworzenia?
Bo i ile unikatowe albumy (np. winyle) są w cenie, o tyle jeszcze nie
słyszałem o kolekcjonerskich walorach mp3, pdf czy jpg.

>> Jeśli natomiast będzie to szafa na ubrania, a klucz
>> "uniwersalny" to możesz mieć kłopot, gdy coś się wydarzy.
>
> W budżetówce na pewno, ale reszta świata sobie poradzi.

Jeszcze w poważnych firmach i - powiedzmy - indywidualnych przypadkach.

> Zaświadczenia z ZUSu możesz dostać elektronicznie.

To po co wysyłają 13 mln listów rocznie z informacją o składkach i
prognozą emerytury? ;-)

>> Przykładowo w Idei musiałem kilkanaście razy pisać do nich z prośbą
>> o zamknięcie konta (po tym jak 2 razy "papierowo" w oddziale zamykałem).
>
> To jest tak proste, że aż dziw, że na to nie wpadłeś.
> Nie mają interesu w tym by Ci ułatwiać zamykanie konta.
> To jest tylko ich zła wola, a nie uwarunkowania prawne.

Zwróciłeś jednak uwagę, że papier ma większą moc prawną niż
elektroniczny dokument, prawda?

Jeszcze gorzej ma się sprawa z call center. Udowodnienie czegoś bankowi,
gdy się korzystało z tej usługi jest trudne. Bank ma łatwiej (nagrywanie
rozmów), ale też kwestie interpretacyjne bywają sporne. Mam wrażenie, iż
to jest tak: telefon ---> mail ---> pismo. Gradacja "ważności". To czego
się nie dało załatwić na telefon daje mailem, a już zupełnie przybiera
formę oficjalną, gdy zostaje dostarczone poleconym.

> W Citi zamknąłem kartę kredytową i konto wysyłając wiadomość w systemie
> transakcyjnym. W tymże samym Citi podpisałem umowę kredytową na dość
> konkretną kasę wyłącznie elektronicznie. Telewizor na raty też można
> kupić przez internet i podpisałem wszystkie dokumenty elektronicznie,
> w systemie banku.

Ale to banały. Głupstwa, które nie spowodowały żadnego konfliktu.

Zostałeś wezwany poleconym (a jakże) w charakterze świadka na rozprawę.
Wyślesz SMS, mail czy pismo z prośbą o zmianę terminu?

We Wrocławiu znajduje się muzeum Pana Tadeusza... Może zaproponujesz im
przeniesienie rękopisu do chmury Google'a i zniszczenie oryginału? ;-)

>> Mam sporo danych na dyskietkach, jeszcze więcej na płytach, trochę
>> na kasetach VHS. Sęk w tym, że nie mam stacji dyskietek, CD-ROMu
>> i magnetowidu. Ogrom materiałów tym samym przepadł.
>
> Widać ten ogram był mało istotny,

To już nieistotne kto zawiódł. Materiał przepadł. Podczas, gdy foto
papierowe potrafi trwać i 100 lat.

bo przez długi czas można
> było przenosić dane z dyskietek na CD, a VHSy przegrywać
> na CD (były firmy które się tym zajmowały).

Można. Sam widzisz jak niebezpiecznie jest polegać jedynie na formie
cyfrowej.
Co ciekawe - 20 lat temu zrobiona fotka, zeskanowana byłaby fatalnej
jakości dziś (rozdzielczość, kompresja itd.). Podobnie jak fotka
zrobiona ówczesną cyfrówką. To samo z filmami. Może w mp3 byłoby lepiej,
ale też bez rewelacji. Jednocześnie odbitka fotograficzna, film oparty
na "analogowym" modelu czy winyl/CD miałyby wartość także i dziś. Jakieś
wnioski?

Teraz już pewnie
> trudno kogoś takiego znaleźć. Ja mam jeszcze archiwalne
> pliki z czasów studiów, trzymam je we wpółczesnej chmurze.
> Koszt to jakieś $0.10 rocznie.

No ja mam zbyt poważne dane, aby powierzać je komukolwiek. Chmurę mam za
darmo, ale tylko mało istotne dane tam wrzucam.

>> Wolałbym nie mieć za 30 lat dokumentów potrzebnych do obliczenia
>> emerytury w formacie pliku, który okaże się nie do odczytania.
>
> No patrz, obecnie dokumentację ZUSowską prowadzi się wyłącznie
> elektronicznie (w płatniku) i nie trzeba niczego udowdaniać,
> poza wskazaniem podmiotu/podmiotów.

Dziś. Ale już gdy obliczano kapitał początkowy parę lat temu to ZUS nie
był taki nowoczesny i kazał sobie przysyłać świadectwa pracy czy tam
inne dowody. Na papierze. Oryginały ;-) Teraz pytanie - co będzie za X
lat, szczególnie iż mam wrażenie, że to raczej im trzeba będzie
udowadniać, a nie odwrotnie. ;-)

> W żadnym miejscu gdzie traktuje się bezpieczeństwo poważnie
> nie drukuje się i nie przechowuje haseł na papierze, bo w razie
> skompromitowania systemu nie wiadomo kto tego nie dopilnował.

Dziwna koncepcja.

Parę lat temu media pisały, iż recepturę Coca-coli zna 2 ludzi. Ich
życie jest obwarowane szeregiem procedur. Pamiętam, iż np. nie mogli w
tym samym czasie latać tym samym samolotem, mieli zakaz uprawiania
sportów ekstremalnych itd. Potem Coca-cola odpuściła. Mogli żyć już
"normalnie". Dlaczego? Recepturę zamknięto w sejfie.

Czy to powoduje, że "skompromitowanie" coca-coli powoduje, że nie
wiadomo kto się... ją... skompromitował? ;-)

> Pamiętam. Mówi Ci coś takie słowo: biegły?

Tak.

>> Kasa pancerna, sejf bardziej do ludzi (a sędzia też może być
>> człowiekiem) przemawia niż tłumaczenie, że to Apple było i certyfikat.
>
> Opinia biegłego wystarczy.

Niestety nie. To tylko opinia. Do której są może się przychylić lub nie.
W kwestiach spornych czy interpretacyjnych opinie mogą się różnić.

I nie będę się tłumaczył "że Apple",
> co więcej, w razie ewentualnych problemów można prześledzić kto
> miał dostęp do danych plików, czego nie jesteś w stanie zagwarantować
> w systemie "wkładam sobie cośtam do sejfu".

Wprost przeciwnie. Do sejfu mają dostęp konkretne osoby.
Do danych w chmurze ma dostęp wiele osób.

Pamiętam, jak swego czasu Paweł Wimmer na łamach "PC Kuriera" bardzo
ciekawy artykuł napisał na temat pomyłek komputerów. To były czasy, w
których różne niepowodzenia zrzucano na komputer. Ot - komputer się
pomylił i wystawił zła fakturę. Albo pomylił kursy walut itd. Wimmer
porównał wówczas tę sytuację do analogowego dyktafonu. Grzmiał, że
przecież żaden dziennikarz nie powie, że dyktafon mu pomylił zapis
rozmowy. Gdy dziennikarz mówi do mikrofonu "Prawda" to dyktafon nagrywa
to słowo, a nie "Fałsz".
Dziś już nikt nie powie, że "komputer się pomylił", ale dużo zwala się
na hakerów (słusznie lub nie). Niektórzy twierdzą, że hakerzy potrafią
mieć wpływ nawet na wybory i to wcale nie w republikach bananowych.
Rozważ sobie w tym kontekście które dane są bardziej narażone na ataki:
te na kartce w sejfie czy te udostępnione w sieci.

>> Ależ nie. Włożę gotowy materiał nagraniowy do sejfu.
>
> Nikt tak nie robi.

Mylisz się.

Tarantino trzymał scenariusz swojego nowego filmu w sejfie, aby zapobiec
wyciekom!Każdy pewnie pamięta sławny incydent, który okrył reżysera
prawdziwą niesławą, a mianowicie chodzi o wyciek scenariusza
Nienawistnej ósemki w styczniu 2014 roku. Quentin Tarantino postanowił
wyciągnąć z tego wydarzenia prawdziwą lekcje życia.Jak twierdził sam
reżyser, w tamtym czasie do scenariusza miała dostęp garstka jego
najbliższych współpracowników, co skłoniło go początkowo do ogłoszenia
rezygnacji z projektu. W paru wywiadach zwierzył się dziennikarzom, jak
dotkliwie sytuacja ta wywarła negatywny wpływ na jego samopoczucie i
psychikę. Tarantino ostatecznie zmienił zdanie i postanowił uczyć się na
swoich błędach, co widać w jego podejściu do swojej pracy twórczej w
nadchodzącej produkcji Pewnego razu... w Hollywood.

Gdy byliśmy w biurze produkcyjnym, poszliśmy do pokoju z dopisanym
zakończeniem i razem ze scenariuszem zabranym z sejfu przekazaliśmy go
tylko tym osobom, od których wymagał wykonywania niezbędnych zadań.
powiedział w jednym z wywiadów Robert Richardson

Po prostu nie miałeś przygody, która by Cię skłoniła do pewnych działań.
Obyś nigdy nie miał.

Tu masz ofertę firmy na produkty, których nikt nie potrzebuje/nikt nie
kupuje:

https://www.hartmann-tresore.pl/sejfy/sejf-na-nosnik
i-danych/

>> Zmieści się przecież na dysku.
>
> W co bardziej zabezpieczonych systemach nie podłączysz dysku
> zewnętrznego, ani nie wykręcisz dysku z komputera. Kombinuj
> dalej. [...]

Coś chyba znowu nie zrozumiałeś. Po co blokować w ten sposób komputer?

> Współcześnie praktycznie nie ma takich firm, które to potrafią
> na dłuższą metę.

Czasami nie jest to kwestia "dłuższej mety", a ciągłości działania.

Wlicz w to wszystkie firmy które mają kasy fiskalne
> i zauważ że dokumenty księgowe jesteś zobowiązany wysyłać do US/ZUS
> drogą elektroniczną.

Była awaria - będzie tolerancja odnośnie terminów. To głupstwo. Tak jak
chwilowy brak rzodkiewki na targu nie jest problemem.

>> Że tzw. grupa reprezentatywna na podstawie której można wyciągać wnioski
>
> Czyli masz ten ~2000 realych znajomych?

Nie potrzeba aż tylu. Zazwyczaj grupa reprezentatywna w badaniach to ok.
1000 osób.

> Bo poniżej, to niezbyt statystycznie istotna wartość i żadnych
> wniosków na tej podstawie nie można wyciągnąć.

Nie masz racji. To jakiś standard w Twoich wypowiedziach?
Zazwyczaj badania opierają się o dwukrotnie niższą grupę badanych.
Oczywiście kluczowy jest tu dobór osób. Niemniej - im więcej tym
pewniejszy wynik.

do góry