Bezpieczne hasło jest mitem... a może admin wie co robi?

Przeczytałem wpis na temat zwariowania na punkcie mocnych haseł:
http://www.dobreprogramy.pl/januszek/Bezpieczne-haslo-to-mit-Nie-dajmy-sie-zwariowac,22762.html#komentarze

I muszę powiedzieć stop. Januszek do pewnego stopnia ma rację... jednak nie tylko administrator danego serwisu ma wpływ na to w jaki sposób hasła są tworzone. Jest to zawarte w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji
Jak widać jest pewna instytucja która zajmuje się dostępem do danych.

Najciekawsze wycinki z przytoczonego linka:
A. Środki bezpieczeństwa na poziomie podstawowym
(...)W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

W sumie wersja stosowana przy bardzo małych sieciach. Można powiedzieć, że dobra na fora internetowe gdzie nie ma dostępu do innych danych niż nick.

B. Środki bezpieczeństwa na poziomie podwyższonym
(...)W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

Wersja spotykana już częściej. Większe sieci (domeny), firmy księgowe (tak - w końcu mają nasze adresy, nipy i wszystko co potrzebne do rozliczeń), fora internetowe gdzie masz dostęp do danych użytkownika.

C. Środki bezpieczeństwa na poziomie wysokim
(...)System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

Spotkałem się z tym raz... i dalej się boję ;-)

Dlaczego fora internetowe zawierające nasze dane? Ponieważ jest tam dostępny e-mail, a to oznacza że:
Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Jak to się ma do rzeczywistości? Tak naprawdę czy forum internetowe jest zbiorem danych osobowych dla innego użytkownika nie wiem. Ja nie ryzykował bym i mimo wszystko dał wyższy poziom zabezpieczenia. Po co mieć na głowie GIODO... w końcu może przecież potrzebować jakiejś spektakularnej akcji. 

Komentarze