W dniu 2020-06-15 o 17:03, Krzysztof Halasa pisze:
> Piotr Gałka <p...@c...pl> writes:
>
>> Ale z punktu widzenia sklepu to już wygląda inaczej. Wyobraźmy sobie
>> tysiące fikcyjnych zamówień (opłacanych przy odbiorze). Po co hacker
>> miałby to robić - może jest wynajęty przez konkurencyjny sklep.
>
> No, czyli to co napisałem - żeby go było łatwiej namierzyć.
> Przecież do złożenia fikcyjnych zamówień nie trzeba się nigdzie
> włamywać, wystarczy je po prostu złożyć.

Czy aby na pewno?
Tysiące zamówień z jednego konta - na pewno nie wyślą tylko nabiorą
podejrzeń.
Tysiące nowych kont (do każdego inny mail) i zamówienie z każdego konta
- też podejrzane.
Tysiące zamówień z tysięcy od lat działających kont jest najmniej
podejrzane. Szczególnie jak w okresie wzmożonych zamówień - typu przed
świętami.

>
>> Sądzę, że jak oni w tej książce pisali o stosowaniu tego we wszystkich
>> systemach haseł to mieli na myśli:
>> - systemy bankowe,
>> - systemy firmowe.
>
> A to błąd. Bo to jest potrzebne głównie w:
> - systemach domowych :-)

Nie wiem co to są systemy domowe, o których już chyba drugi raz piszesz.
Nikt sobie w domu nie robi chyba systemu do którego mu się może masa
ludzi logować.

> No ale można w ciemno założyć, że jeśli wycieknie baza userów, to
> wycieknie wszystko poza ew. numerami kart (bo tych tam zwykle nie ma).

Ja nie mam takiej wiedzy, abym mógł cokolwiek w ciemno zakładać więc
staram się nic nie zakładać. Ani nie zakładam, że wycieknie wszystko,
ani, że tylko dane logowania. Biorę po prostu pod uwagę że może być
zarówno tak jak i tak. Jeśli w jakiejkolwiek sytuacji (którą dopuszczam
jako możliwą) się okaże, że solenie/wydłużanie coś daje to przyjmuję, że
nie ma uzasadnienia aby tego nie robić.

>> Ale pamiętam informacje, że wyciekły hasła (kojarzy mi się morele.net
>> i cyfrowe.pl) i użytkownicy, którzy używali tego samego hasła w innych
>> systemach powinni je jak najszybciej zmienić.
>
> Nie. Nie powinni mieć tego samego hasła.

Jeśli nawet ja (generalnie dosyć ostrożny) stosowałem to samo hasło do
sklepów to nie ma podstaw, aby przyjąć, że wszyscy robią tak jak
powinni. Wręcz podejrzewam, że nie tylko nie jestem wyjątkiem, ale wręcz
jestem w większości.
Czyli chcę powiedzieć: Masz rację, ale praktyka jest chyba inna. Zamiast
kwestionować tę praktykę lepiej zrobić tak, aby była dopuszczalna
(oczywiście jeśli jest to możliwe i nie kosztuje za wiele).

> Natomiast zmienić powinni
> wszyscy, którzy używali danych serwisów.

O popatrz. Jeszcze nie zmieniłem, bo nie miałem akurat potrzeby tam
zaglądać. Zakładam, że może jak mieli wyciek to po prostu poblokowali
wszystkie hasła i jak kiedyś będę chciał się zalogować to mnie
przeczołgają przez procedurę utworzenia nowego hasła.

>> Ale nie rozumiem, jak można by zrobić notatnik haseł bez kryptografii.
>> Przecież to nie miałoby sensu. Hasła byłyby w pliku zapisane jawnie.
>
> Dlaczego nie miałoby to sensu? To zależy od założeń - być może taki
> notatnik miałby być używany tylko w bezpiecznym miejscu.

W bezpiecznym miejscu to sobie mogę hasła napisać w dowolnym pliku
tekstowym. Nie potrzebuję do tego specjalnego programu.

>> Chyba, że źle się domyślam co to jest notatnik haseł. Ja myslałem o
>> programie, który zapisuje wiele haseł w jednym (dobrze zabezpieczonym)
>> pliku do którego dostęp uzyskuje się poprzez podanie hasła.
>
> Taki notatnik to raczej urządzenie, które przechowuje hasła w swojej
> pamięci. Jest na tyle proste, że nie odpala się tam "dowolnego" softu,
> i na tyle bezpieczne, że bez zgody usera nie wystawi na zewnątrz żadnych
> niejawnych informacji.

Czyli notatnik haseł to urządzenie, a nie program - zmienia postać
rzeczy. Ale podobno 'wyszlifowanie' danych z dowolnej pamięci potaniało
już tak, że nie uważałbym przechowywanych tak niezaszyfrowanych haseł
jako bezpiecznych. Urządzenie zawsze można zgubić lub mieć ukradzione.

Jak zrobiłem sobie generator kluczy to zadbałem o to, aby po wydaniu
klucza nie została w pamięci żadna informacja o jego wartości.
Przy założeniu, że zapisanie nowych danych w komórce pamięci flash
niszczy jej poprzednią zawartość (co nie jest do końca prawdą bo odczyt
analogowy pozwala podobno stwierdzić ślad poprzedniego zapisu).

> No to moja klawiatura nie "wyrzuca jawnie" naciśniętego klawisza -
> przesyła go tylko względnie tajnym kanałem do (również niezbyt jawnego)
> komputera. Ale gdyby tak można było jej wyjście skierować np. do paska
> przeglądarki, albo np. do treści emaila, w taki sposób, bym tego nie
> widział, to może byłoby to problemem.

Ja rozumiałem, że chodzi o coś, co w momencie kiedy się trzeba zalogować
udaje, że wpisałeś na klawiaturze komputera hasło. Czyli, że komputer ma
dostać znaki tak jakyś to wpisywał na klawiaturze.

> W przypadku klawiatury zwykłego peceta jest to dość oczywiste, ale
> zupełnie inaczej wygląda to wtedy, gdy mamy "klawiaturę" komputera
> (np. czytnik kart), którego ekranu nie widzimy.

Czy ekranu nie widzimy, czy widzimy okienko logowania na którym w
miejscu hasła pojawiają się gwiazdki to wychodzi na to samo. Istotne
jest czy dane są na jakimś etapie jawne i czy można się w to miejsce wciąć.
P.G.