Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Bezpieczne hasło jest mitem... a może admin wie co robi?

Przeczytałem wpis na temat zwariowania na punkcie mocnych haseł:
http://www.dobreprogramy.pl/januszek/Bezpieczne-haslo-to-mit-Nie-dajmy-sie-zwariowac,22762.html#komentarze

I muszę powiedzieć stop. Januszek do pewnego stopnia ma rację... jednak nie tylko administrator danego serwisu ma wpływ na to w jaki sposób hasła są tworzone. Jest to zawarte w Rozporządzeniu Ministra Spraw Wewnętrznych i AdministracjiJak widać jest pewna instytucja która zajmuje się dostępem do danych.

Najciekawsze wycinki z przytoczonego linka:A. Środki bezpieczeństwa na poziomie podstawowym
(...)W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.
W sumie wersja stosowana przy bardzo małych sieciach. Można powiedzieć, że dobra na fora internetowe gdzie nie ma dostępu do innych danych niż nick.

B. Środki bezpieczeństwa na poziomie podwyższonym
(...)W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
Wersja spotykana już częściej. Większe sieci (domeny), firmy księgowe (tak - w końcu mają nasze adresy, nipy i wszystko co potrzebne do rozliczeń), fora internetowe gdzie masz dostęp do danych użytkownika.

C. Środki bezpieczeństwa na poziomie wysokim
(...)System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
Spotkałem się z tym raz... i dalej się boję ;-)

Dlaczego fora internetowe zawierające nasze dane? Ponieważ jest tam dostępny e-mail, a to oznacza że:Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Jak to się ma do rzeczywistości? Tak naprawdę czy forum internetowe jest zbiorem danych osobowych dla innego użytkownika nie wiem. Ja nie ryzykował bym i mimo wszystko dał wyższy poziom zabezpieczenia. Po co mieć na głowie GIODO... w końcu może przecież potrzebować jakiejś spektakularnej akcji. 

Komentarze

0 nowych
januszek   19 #1 27.01.2011 11:51

@bolivar: Czytaj uważnie bo to rozporządzenie dotyczy uwierzytelnia hasłem użytkowników korzystających z bazy zawierającej dane osobowe lub systemu informatycznego w którym przetwarzane są dane osobowe... Chodzi o zabezpieczenie dostępu do tych konkretnych danych...

bolivar   9 #2 27.01.2011 12:40

Właśnie problem polega na tym co jest zbiorem danych osobowych. Jak widzisz jest to np. adres e-mail. Jeżeli masz dostęp do profilu użytkownika i jest tam widoczny adres...

Sam pewnie wiesz jak jest z pewnymi instytucjami. Czasem lepiej jest dodać coś więcej niż usłyszeć zarzut o braku zachowania należytej ostrożności.

Samurai   16 #3 27.01.2011 13:13

@bolivar
Z tego co się orientuję to daną osobową jest informacja która pozwala Ci na zidentyfikowanie osoby, więc uważam że e-mail nie jest daną osobową bo nie pozwala Ci jednoznacznie zidentyfikować osoby.

I tak jak to zauważył januszek to rozporządzenie dotyczy sie GIODO.

januszek   19 #4 27.01.2011 13:16

Argument klasy jeśli babcia ma wąsy to pewnie jest to dziadek ;)

Samurai   16 #5 27.01.2011 13:37

Jeśli tak uważasz :P

januszek   19 #6 27.01.2011 13:47

@Samrai: To było to bolivara bo jak to pisałem to Twojego komentarza jeszcze nie widziałem. Konkretnie chodziło o ten cytat: "Jeżeli masz dostęp do profilu użytkownika i jest tam widoczny adres..."
W rzeczywistości wcale tak nie jest no nie każdy adres email jest daną osobową. Podobnie jak i imię i nazwisko. Jeśli więc ktoś zaczyna od tej strony argumentować to potrzebne są konkrety, czyli jaki konkretnie adres, w jakim konkteście, w jakiej bazie etc...

bolivar   9 #7 27.01.2011 13:47

@Samurai: zacytowałem informację ze strony GIODO:
(...)Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 (...)
wg. nich jest ;-)
Jak widać wiele jest sytuacji dość niejednoznacznych i nagle może się okazać, że to co wydawało się prosta i błahą sprawą taką nie jest.

bolivar   9 #8 27.01.2011 13:49

@januszek: nie chcę wojny, chcę jedynie uświadomić jaki jest problem i dlaczego wymagane jest "silniejsze" hasło niż czterocyfrowy pin do karty.

Samurai   16 #9 27.01.2011 14:00

@januszek

My bad :P

@bolivar

Dokładnie dla kogoś może być to błaha dana, a wg przepisów albo jakiejś ich interpretacji już dana osobowa.

januszek   19 #10 27.01.2011 14:01

Uświadomiłeś mi to, że GIODO też jest dotknięte tym co nazwałem mitologizowaniem bezpiecznego hasła...

Nie wyrywaj cytatów z kontestu bo wychodzą głupoty. Ot np: czy adres: piekarnia@domena.net jest wg Ciebie daną osobową?

bolivar   9 #11 27.01.2011 14:13

@januszek: nie pytaj mnie - zadaj to pytanie GIODO ;-) Ja nie jestem prawnikiem - po prostu staram się narazić jak najmniej na posądzenie o niedopełnienie obowiązków (np. jako administrator forum, domeny, sieci).
Kolejna sprawa - na danym forum możesz zarejestrować się podając adres mailowy bolivar@dp.pl, januszek@dp.pl ale równie dobrze kasia1985@dp.pl czy jan.kowalski@dp.pl. Widzisz, że po adresach mailowych możesz jednoznacznie zidentyfikować jedną osobą. Czy to oznacza, że skrypt powinien być na tyle inteligenty, że rozpozna że dany adres przekazuje więcej informacji niż powinien? Znasz taki skrypt?

januszek   19 #12 27.01.2011 14:20

Napisałeś, że po adresie mailowym możesz zidentyfikować konkretną osobę - to teraz wyjaśnij którego z żyjących w Polsce Janów Kowalskich dotyczy adres który podałeś, czyli jan.kowalski@dp.pl ;)

ps. Looknij tu: http://forumprawne.org/prawo-cywilne/45480-czy-samo-imie-nazwisko-juz-dane-osobo...

bolivar   9 #13 27.01.2011 14:30

Jan Kowalski pracujący w portalu DP ;-) Sam widzisz w podanym linku, że jest z tym problem ponieważ:
[i]pojęcie to oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.[/i]
czyli nawet możliwej. Ciężko? Np. w moim wypadku podanie imienia i nazwiska oznacza trafienie w 100%, podanie samego nazwiska... jest 20-40 osób w Polsce.

Sam spotkałem się z problemem:
1. Założone forum internetowe osiedla - około 1000 mieszkań
2. Zarejestrowanych użytkowników około 300
3. Czy daną osobową jest nick staszek1980? A może skateJanusz?
Na osiedlu jest kilku chłopaków jeżdżących na desce - jeden ma na imię Janusz. Jest dwóch Staszków z rocznika 80...

Ciężko jest z tym...

januszek   19 #14 27.01.2011 14:52

"Jan Kowalski pracujący w portalu DP" - dane pracowników nie są danymi osobowymi... Generalnie z każdą postawioną tu przez Ciebe tezą będzie tak jak z tym Janem, okaże się że jak się z nią zagłębisz i postawisz konkretne pytania to się okaże, że nie masz racji i dysksja prowadzona jest na poziomie ogólnych absurdów ;P

Zeri   2 #15 27.01.2011 15:18

@Samurai
A czy imię i nazwisko są takimi danymi osobowymi (pozwalającymi jednoznacznie zidentyfikować człowieka)? Wg. twojego toku rozumowania nie byłyby, bo konkretnego człowieka nie zidentyfikujesz w ten sposób. Do tego musiałbyś mieć conajmniej jeszcze adres/PESEL/nr dowodu/kod DNA? Myślisz, że w TV i gazetach dlaczego w newsach o złapanych przestępcach podają tylko imię i pierwszą literę nazwiska? Co jeśli adres mail to np. janek.kowalski@email.pl? Nawet średnio rozgarnięty człowiek domyśli się że ten adres należy do Jana (ew. Janusza) Kowalskiego.

Zeri   2 #16 27.01.2011 15:20

Kurna, musicie tak szybko te posty pisać? ;)

Zeri   2 #17 27.01.2011 15:29

Dyskusja ciekawa i jak zwykle wychodzi przy niej niedostosowanie przepisów prawa do zmieniających się realiów.

PS: Sorki za opóźniony zapłon ad. wcześniejsze posty. Zapomniałem odświeżyć strony po przeczytaniu arta :/

bolivar   9 #18 27.01.2011 16:36

@januszek:
przykro mi, ale nie masz racji w swoich komentarzach. Jeżeli pod określonych danych można zidentyfikować daną osobę to są to dane osobowe. Jeżeli dany pracodawca udostępnił dane pracownika na stronie w związku z jego pracą to OK. Ale jeżeli te same dane (czyli mail) trafią do portalu to już inna sprawa. Nie chodzi mi to o portal DP - te adresy mailowe zostały podana dla ułatwienia. Równie dobrze jako przykładowy adres mailowy może być imie.nazwisko@nazwafirmy.pl

  #19 27.01.2011 21:09

jesli adres jan.kowalski@dp.pl pojawi się w w bazie powiedzmy forum muzyka-rock.pl traktującym o muzyce to będzie traktowany jako przedstawiecie danych osobowych osoby prywatnej (bez znaczenia w tym wypadku, że pracuje w DP), logującej się jako Jan Kowalski w swoim czasie prywatnym w swoich prywatnych sprawach.

Natomiast adres jan.kowalski@dp.pl umieszczony na witrynie dobreprogramy.pl jako kontakt powiedzmy techniczny czy handlowy nie jest już daną osobową w myśl Ustawy o Ochronei danych osobowych.

Tak więc spokojnie z traktowaniem tego i owego - Nasza UODO niby w pewnych akapitach jest bardzo konkretna, w innych bardzo się rozmywa.

Samurai   16 #20 28.01.2011 08:43

@Zeri uważam że samo imię i nazwisko nie jest daną osobową, bo na ich podstawie nie możesz zidentyfikować osoby potrzebne jest coś więcej tak ja napisałeś np. adres/pesel/telefon/data urodzenia.

Co do telewizji i tego skracania nazwiska to zauważ że oprócz imienia podają np. czym się zajmował albo jakąś podobna informację która pozwala zidentyfikować osobę. Są jeszcze przypadki że skracają nazwisko a podają że ta osoba jest spokrewniona z kimś tam.

Co do maila to tak jak napisałeś mail jan.kowalski@email.pl może należeć do Jana/Janusza Kowalskiego ale nie musi.

  #21 28.01.2011 14:34

Ale co ministrowi do tego? Niech się odpieprzy od moich haseł.

  #22 26.02.2011 13:45

Witam,
uzyskać pożyczkę od nas dziś o 3% stopy procentowej. zainteresowany wnioskodawca powinien wypełnić poniższy formularz i wrócić do nas za pośrednictwem: hillsfinancailservices@gmail.com jak najszybciej.

Formularz wniosku kredytowego (FILL i wrócić)
NAME:
WIEK:
SEX:
Kod pocztowy:
KRAJ:
STAN:
CITY:
Zawód:
Miesięczny dochód:
Kwota potrzebna: