hasła w ewidencji

Elektroniczny System Harcerskich Danych
sikor
Stały bywalec
Posty: 3461
Rejestracja: 13 sty 2004, 17:56
imię i nazwisko: Janusz Sikorski
stopień instruktorski: hm
stopień harcerski: HR
Lokalizacja: Polska
Hufiec: Ziemi Tyskiej
Chorągiew: Śląska
organizacja: ZHP
Kontakt:

Post autor: sikor » 29 paź 2009, 19:33

Ciągnąc wątek hasła i jego skomplikowania który moim zdaniem ma duży wpływ na ergonomię obsługi systemu oraz bezpieczeństwo przedstawię swoje zdanie na ten temat.

Nasz zespół eshd postanowił że hasło musi zawierać nie mniej niż 10 znaków (cyfry, duże i małe litery oraz znaki specjalne) motywując te wymagania przepisami państwowymi.
Tymczasem przepis mówi że:

" W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne."

a więc nie 10 a 8 znaków i nie oraz a lub...

Możliwość kombinacji a tym samym zapamiętania hasła (które musi być zmieniane co najmniej co 30 dni) jest znacznie ograniczana przez nasze wymogi. Znowu wychodzi to samo co zawsze. Przepis mówi tak... a my zaostrzamy... Bo tak...
Wszystko musi mieć logiczne wytłumaczenie. Dlaczego 10 znaków a nie 12 czy 128 ???

Teraz przejdźmy do cyferek...
Siła hasła (a więc ilośc znaków i ich rodzaj) ma nas zabezpieczyc przed metodą jego skompromitowania przy pomocy programu podstawiającego rózne hasła, nazywamy to "brute force" i co z tego wynika.

jeśli ustawimy na dziś hasło 8 znakowe to do jego złamania potrzeba:

8 znaków dla samych małych liter - 20 dni dla małych i dużych liter - 17 lat dla małych i dużych liter oraz cyfr - 70 lat Litery, cyfry i podstawowe znaki specjalne - 255 lat Litery, cyfry i pełny zestaw znaków specjalnych - 1600 lat

I jak to się ma do tego że hasło jest zmieniane co 30 dni ?

dla 10 znaków wygląda to tak:

dla samych małych liter - 44 lata dla małych i dużych liter - 47 tys. lat dla małych i dużych liter oraz cyfr - 260 tys. lat lat Litery, cyfry i podstawowe znaki specjalne - 1,3 mln. lat Litery, cyfry i pełny zestaw znaków specjalnych - 13 mln. lat

taaaa

w tym miejscu przenieśliśmy sie w całkowitą abstrakcję....


Tak więc, stosując wymagania przepisów nasze hasła byłyby odporne przez 70 lat, ale nie, sprawę trzeba skomplikować bo przecie nasze harcerskie hasła muszą wytrzymać 13 mln. lat.

Nie wiem po co i dlaczego. I tak hasło trzeba zmienić co 30 dni, w tym przypadku róznica między 70 latami a 13 mln. lat jest bez znaczenia.

I o co mi chodzi? Ano o to, że łatwiej wymyślić co 30 dni 8 znakowe hasło mające małe, duże litery oraz cyfry niż 10 znakowe w dodatku ze znakami specjalnymi.
A jeśli łatwiej wymyślic i pamiętać to będą wieksze szanse, że nie będzie sie tego zapisywać w róznych dziwnych miejscach. Oczywiście można polecać różne systemy hasłowania (klawiaturowe, cytatowe itd...) ale generalnie zawsze trzeba patrzeć na stosunek kosztów i efektu który w zamian otrzymamy....

Moim zdaniem przyjęte założenia są z kosmosu...

pozdrawiam
hm. Janusz Sikorski HR
Redaktor Naczelny czasopisma "Harcerz Rzeczypospolitej"
lesni.pl hr.bci.pl
Przewodniczący ŚKPW

Pieta
Starszy użytkownik
Posty: 265
Rejestracja: 24 sie 2005, 20:41
Hufiec:
Chorągiew:
Kontakt:

Post autor: Pieta » 29 paź 2009, 20:09

U mnie trzeba zmienić nie co 30 dni jak w instrukcji zapisano ale co 21 dni. Nie wiem czym to jest związane.
Pieta. Ten znad morza:)

www.koszalin.zhp.pl

sikor
Stały bywalec
Posty: 3461
Rejestracja: 13 sty 2004, 17:56
imię i nazwisko: Janusz Sikorski
stopień instruktorski: hm
stopień harcerski: HR
Lokalizacja: Polska
Hufiec: Ziemi Tyskiej
Chorągiew: Śląska
organizacja: ZHP
Kontakt:

Post autor: sikor » 29 paź 2009, 20:27

No to jeszcze lepiej... Zwłaszcza jak drużynowy wejdzie raz na 2 miesiące albo i raz na kwartał...
hm. Janusz Sikorski HR
Redaktor Naczelny czasopisma "Harcerz Rzeczypospolitej"
lesni.pl hr.bci.pl
Przewodniczący ŚKPW

Fedajkin
Site Admin
Posty: 1066
Rejestracja: 10 cze 2002, 12:32
Lokalizacja: 43 BSDH "BUKI"
Hufiec:
Chorągiew:

Post autor: Fedajkin » 29 paź 2009, 20:30

Chciałbym zauważyć druhu Januszu, że cały czas podajesz możliwość złamania przy sprawdzeniu wszystkich dostępnych znaków, a co jeśli ktoś stosuje hasła słownikowe, a wiem, że często hasła są jakimiś przerobionymi zwrotami, dzięki czemu metoda słownikowa będzie bardziej wydajna i czas złamania hasła wielokrotnie się zmniejszy, a co za tym idzie kompromitacja może nastąpić o wiele wcześniej.
Zatem zakładając, że tak się dzieje, lepiej jest zastosować "i" zamiast "lub" i mieć "święty spokój", a owe 2 znaki w tym przypadku nie zrobią najmniejszej różnicy.

Drużynowy będzie "wchodził" częściej bo będzie miał dostępną książkę pracy drużyny, z której powinien korzystać.

P.S. Ja swojego hasła nawet nie zawsze pamiętam, po to mam czytnik linii papilarnych aby robił to za mnie.
Czuwaj!
phm. Sergiusz Papuga
Wydział Systemów Informatycznych
HelpDesk ESHD

Pieta
Starszy użytkownik
Posty: 265
Rejestracja: 24 sie 2005, 20:41
Hufiec:
Chorągiew:
Kontakt:

Post autor: Pieta » 29 paź 2009, 20:49

Hmm. Tego hasła się na pewno nie zapamięta. Nie ma szans. Ja sam mam go zapisanego a hacker jak będzie chciał to i tak go złamie. Nie ma zabezpieczenia idealnego. A skoro nie ma to po co utrudniać drużynowemu. A propo. Mimo szkolenia które przebyłem w marcu organizowane przez ESHD możliwość przypisania dostępu drużynowym dostałem dopiero w październiku. A obiecano nam jeszcze dostać certyfikat przebytego szkolenia, który do dzisiaj mimo zgłaszanego problemu nie otrzymałem. Więc jak to się ma do waszych zapowiedzi, instrukcji itd. W mojej chorągwi wiem że nikt nie dostał. Więc tak na dobrą sprawę nie powinniśmy się wogóle tym zajmować tylko zbojkotować i olać. Jak mam przeszkolić drużynowych jak nie mam sam uprawnień. W dodatku dostaje tak późno możliwość dodawania dostępu dla drużynowych. Gdzie tu logika. Ale to tak pobocznie hasła, bo wątek jest dość rozmyty jak dla mnie a tyczy się tego samego problemu.


Co do książki pracy drużyny w wersji elektronicznej to zapewniam że żaden drużynowy z tego nie będzie korzystał. Przerost formy nad treścią :(
Ostatnio zmieniony 29 paź 2009, 20:51 przez Pieta, łącznie zmieniany 1 raz.
Pieta. Ten znad morza:)

www.koszalin.zhp.pl

sikor
Stały bywalec
Posty: 3461
Rejestracja: 13 sty 2004, 17:56
imię i nazwisko: Janusz Sikorski
stopień instruktorski: hm
stopień harcerski: HR
Lokalizacja: Polska
Hufiec: Ziemi Tyskiej
Chorągiew: Śląska
organizacja: ZHP
Kontakt:

Post autor: sikor » 29 paź 2009, 20:54

I dlatego napisałem ... 70 lat... a więc duże i małe litery oraz cyfry lub znaki specjalne. Reszta to uświadamianie.
Zresztą... Z tym że hasło może skompromitowac sie wcześniej... Zawsze może. Wartości podane przeze mnie to wartości najdłuższe. Może byc i tak że hasło z zakresu 13 mln. lat zostanie złamane po 1 minucie. I co z tego ? No może ale prawdopodobieństwo jest znikome. Do tego należy wziąć pod uwagę wartośc danych. Prawdopodobieństwo że ktoś będzie chciał wykraśc dane na poziomie drużyny jest nikłe. Co innego na poziomie Organizacji. Taką baze możnaby pewnie ukraść i później sprzedać... Jednak to zupełnie inna historia i ma się nijak do haseł.

A co do haseł słownikowych... I tak temu nie zapobiegniemy. Dłuższy wyraz z kolejną cyferką i pytajnikiem bądź wykrzyknikiem... Właśnie do tego prowadzi większe skomplikowanie haseł.


A co do książki pracy drużyny...
hm. Janusz Sikorski HR
Redaktor Naczelny czasopisma "Harcerz Rzeczypospolitej"
lesni.pl hr.bci.pl
Przewodniczący ŚKPW

Fedajkin
Site Admin
Posty: 1066
Rejestracja: 10 cze 2002, 12:32
Lokalizacja: 43 BSDH "BUKI"
Hufiec:
Chorągiew:

Post autor: Fedajkin » 29 paź 2009, 21:46

Pieta pisze:Nie ma zabezpieczenia idealnego.
I tu się mylisz... jest.
Pieta pisze:Co do książki pracy drużyny w wersji elektronicznej to zapewniam że żaden drużynowy z tego nie będzie korzystał. Przerost formy nad treścią :(
Będzie minimum 2... i tego jestem pewien w 100%.
Czuwaj!
phm. Sergiusz Papuga
Wydział Systemów Informatycznych
HelpDesk ESHD

Pieta
Starszy użytkownik
Posty: 265
Rejestracja: 24 sie 2005, 20:41
Hufiec:
Chorągiew:
Kontakt:

Post autor: Pieta » 29 paź 2009, 22:30

Hmmm. Marzenia. Każdy wie że każde zabezpieczenie da się obejść.

Co do książki pracy to gwarantuje ci że to nie udolny pomysł. Chodź by na fakt że nie wyszcy drużynowi mają komputer i internet (a takich znam).

Sergiuszu. Jesteś marzycielem. Ale proszę zejść na ziemię. I nie zapominaj o naszych fundamentalych zasadach harcerstwa. Żaden komputer nigdy nie zastąpi procy u podstaw. A drużynowy nie będzie skupiał się na dodatkowym wklepywaniu danych przez internet. Nie jesteście drużynowych do tego w stanie zmusić.
Pieta. Ten znad morza:)

www.koszalin.zhp.pl

sikor
Stały bywalec
Posty: 3461
Rejestracja: 13 sty 2004, 17:56
imię i nazwisko: Janusz Sikorski
stopień instruktorski: hm
stopień harcerski: HR
Lokalizacja: Polska
Hufiec: Ziemi Tyskiej
Chorągiew: Śląska
organizacja: ZHP
Kontakt:

Post autor: sikor » 29 paź 2009, 22:33

No cóż... W moim hufcu opory sa ogromne. Mam nadzieje że uda mi się przekonac ludzi ale... Do tego potrzebuje by oprogramowanie było jak najprzyjaźniejsze...
hm. Janusz Sikorski HR
Redaktor Naczelny czasopisma "Harcerz Rzeczypospolitej"
lesni.pl hr.bci.pl
Przewodniczący ŚKPW

kowlak
Stały bywalec
Posty: 703
Rejestracja: 10 cze 2002, 08:50
Hufiec:
Chorągiew:
Kontakt:

Post autor: kowlak » 29 paź 2009, 22:43

Pieta pisze:Co do książki pracy to gwarantuje ci że to nie udolny pomysł. Chodź by na fakt że nie wyszcy drużynowi mają komputer i internet (a takich znam).
Błagam!!!
Kowlak
------------------------
http://www.zhp24.net - ciekawe teksty, ciekawi ludzie, czytaj, komentuj, pisz
http://www.kowlak.blox.pl

Pieta
Starszy użytkownik
Posty: 265
Rejestracja: 24 sie 2005, 20:41
Hufiec:
Chorągiew:
Kontakt:

Post autor: Pieta » 29 paź 2009, 23:01

Oj. Kowlak. Nie błagaj tylko na ziemię proszę!!!
Pieta. Ten znad morza:)

www.koszalin.zhp.pl

Fedajkin
Site Admin
Posty: 1066
Rejestracja: 10 cze 2002, 12:32
Lokalizacja: 43 BSDH "BUKI"
Hufiec:
Chorągiew:

Post autor: Fedajkin » 29 paź 2009, 23:03

Pieta pisze:Hmmm. Marzenia. Każdy wie że każde zabezpieczenie da się obejść.
Nie obejdziesz zabezpieczenia wyłączonego komputera... za Chiny ludowe...
Pieta pisze:Sergiuszu. Jesteś marzycielem. Ale proszę zejść na ziemię. I nie zapominaj o naszych fundamentalych zasadach harcerstwa. Żaden komputer nigdy nie zastąpi procy u podstaw. A drużynowy nie będzie skupiał się na dodatkowym wklepywaniu danych przez internet. Nie jesteście drużynowych do tego w stanie zmusić.
Proszę druha, żyjemy w takich czasach, że dostęp do internetu to nie jest jakiś wielki problem i jak ktoś chce to nawet za darmo go dostanie, ot odwiedzi GCI.
Cały czas druhu generalizujesz, drużynowy to drużynowy tamto, a ja właśnie jestem po rozmowie z 5 drużynowymi w moim Hufcu i już mogę Cię druhu zapewnić, że oprócz tych 2 wymienionych wcześniej, następnych 5 oświadczyło, że będzie korzystać z KPD, szczególnie, że wie jakie dawać będzie ona udogodnienia... ale ja nie mam zamiaru druha agitować, wolę zając się czymś bardziej ciekawym, jak na przykład przeglądanie byków jakie druh nawalił w Ewidencji.
A co do tego czy jesteśmy w stanie czy nie... takie same głosy były w przypadku Ewidencji "w internecie". I co?

@Kowlak - podać relanium?



P.S. Mam takie jedno marzenie... szkoda, że się nie ziści... :(
Czuwaj!
phm. Sergiusz Papuga
Wydział Systemów Informatycznych
HelpDesk ESHD

kowlak
Stały bywalec
Posty: 703
Rejestracja: 10 cze 2002, 08:50
Hufiec:
Chorągiew:
Kontakt:

Post autor: kowlak » 30 paź 2009, 00:30

Pieta pisze:Oj. Kowlak. Nie błagaj tylko na ziemię proszę!!!
na którą? Bo jak wynika z właśnie przeprowadzonego przeze mnie pobieżnie wywiadu na ziemi zachodniopomorskiej jakoś kłopotów z komputerami nie ma.
Kowlak
------------------------
http://www.zhp24.net - ciekawe teksty, ciekawi ludzie, czytaj, komentuj, pisz
http://www.kowlak.blox.pl

Pieta
Starszy użytkownik
Posty: 265
Rejestracja: 24 sie 2005, 20:41
Hufiec:
Chorągiew:
Kontakt:

Post autor: Pieta » 30 paź 2009, 00:32

Fedajkin pisze:wolę zając się czymś bardziej ciekawym, jak na przykład przeglądanie byków jakie druh nawalił w Ewidencji.
W takim razie proszę o przesłanie tych byków które nawaliłem w Ewidencji ZHP na oficjalny adres mojego hufca. Mam dostęp do konta tylko ja więc nie powinno być problemu. Chętnie poprawię jeśli będzie taka możliwość.

Co do KPD to nie chętnie to przyjęli drużynowi. Nie wszystkich da się równo ustawić i równą miarką. Sam bym nie tracił czasu na elektroniczną KPD, a tym bardziej u mnie osoby które nie mają prawie nic do czynienia z komputerem a tym bardziej z internetem. Są natomiast doskonałymi drużynowymi jak również prowadzą dobrze w miarę dokumentację drużyny.

A z duchem czasu można iść. Ale nie w każdej strefie życia to na dobre wychodzi. U mnie w komendzie hufca było takie coś że planowało dwóch członków nawet głosować przez internet. Co z tego wyszło nie muszę dalej mówić.
Pieta. Ten znad morza:)

www.koszalin.zhp.pl

Pieta
Starszy użytkownik
Posty: 265
Rejestracja: 24 sie 2005, 20:41
Hufiec:
Chorągiew:
Kontakt:

Post autor: Pieta » 30 paź 2009, 00:36

kowlak pisze:
Pieta pisze:Oj. Kowlak. Nie błagaj tylko na ziemię proszę!!!
na którą? Bo jak wynika z właśnie przeprowadzonego przeze mnie pobieżnie wywiadu na ziemi zachodniopomorskiej jakoś kłopotów z komputerami nie ma.
Mogę ci kilka komputerów dać (bez dysków twardych). Ale to nie zmieni faktu o marzycielstwie. Bądźmy realistami. Niektórych po prostu nie ma sensu uczyć działać na komputerach. Szczególnie starszych osób, które sobie lepiej bez nich w życiu radzą niż niektórzy z komputerami. I z tego powodu nie są w niczym gorsze od tych co biegle działają na komputerku.
Pieta. Ten znad morza:)

www.koszalin.zhp.pl

Zablokowany
nowoczesne kuchnie warszawa

Wróć do „Ewidencja”