Moja postpeerelowska spółdzielnia mieszkaniowa kupę lat temu uruchomiła system internetowy, w którym można podejrzeć między innymi saldo i wysokość czynszu. Z racji tego, że czynsz potrafi się zmieniać co 2 miesiące jest to wygodna sprawa. Dostęp aktywowałem więc najszybciej jak się dało.
Kilka lat później kupiłem garaż. Poszedłem więc do spółdzielni aktywować dostęp do konta garażu.
Odesłano mnie do pokoju zajmowanego przez "dział IT". W pokoju - kilka pań plus "naczelny informatyk", pan po 60-tce.
Powiedziałem, z czym przychodzę.
- A do mieszkania dawno pan konto zakładał? - spytał pan Naczelny.
- Dawno, najszybciej jak się dało.
- I hasła pan od tego czasu nie zmieniał?
- No nie.
- A to super. To w excelu będę miał.
Po czym pan otworzył arkusz excela, odszukał wpis z moim mieszkaniem.
- No bardzo ładne hasło pan ma, Piekielny1, to takie samo panu do garażu ustawię. Bo wie pan, jak ktoś teraz zmienia to ja nie mogę już mieć tutaj, a tak mi najwygodniej. A co to komu przeszkadza, nawet jak ktoś się włamie to co, zobaczy ile pan ma czynszu?
Zatkało mnie. Całe szczęście, że z racji mojej nieufności do systemów informatycznych postpeerelowych instytucji ustawiłem bzdurne hasło nieużyte gdzie indziej. Tak czy siak - zmiana hasła była pierwszą rzeczą, jaką zrobiłem po powrocie do domu.
Hasła nie powinny być wykorzystywane 2 różnych miejscach.
Odpowiedz@Michail: jak najbardziej masz rację. Ale większość osób nietechnicznych ma jedno hasło do wszystkiego. Ja mam takie bzdurne hasło, którego reużywam na różnej maści sklepach internetowych (na 90% przyślą mi je plaintextem w mailu potwierdzającym rejestrację) czy serwisach typu piekielni ;P
OdpowiedzZmodyfikowano 1 raz. Ostatnia modyfikacja: 17 lutego 2020 o 12:10
Totalna głupota- chwalić się, że ma się dostęp do haseł klientów/ pracowników do jakiegokolwiek serwisu informatycznego. Nawet jeżeli byłby to serwis o najmniej przydatnych rzeczach na świecie dla najnudniejszych ludzi na świecie, gdzie zaglądanie jest stratą czasu dla 99,999% ludzi na świecie.
OdpowiedzRozumiem że ty te hasło ustawiałeś za pierwszym razem (przy rejestracji)? Bo jeśli nie, i takie hasło Ci wygenerowali, a ty go nie zmieniłeś przy pierwszym zalogowaniu, to zarówno Pan informatyk i ty jesteście łosie.
Odpowiedz@dmm: otóż nie. Jeżeli hasła były generowane, to słowa pana informatyka są jak najbardziej słuszne - bo niby co, ktoś zobaczy jego czynsz? I jednocześnie on może mieć wywalone, jeżeli nie czuje potrzeby ukrywania swojego czynszu. Za to ty jesteś łoś, jeżeli sądzisz, że zmiana hasła w jakiś magiczny sposób powstrzymuje administratora danego serwisu (plus rzeszy ludzi, którzy mogą się gdzieś po drodze wtrącić) przed jego poznaniem.
Odpowiedz@dmm: tak, ja to hasło ustawiłem. Haseł generowanych przez system nie używam, chyba że są niemożliwe do zmiany - co mi się, paradoksalnie, najczęściej zdarza w sytuacjach biznesowych, gdzie umowa zobowiązuje mnie do dbania o bezpieczeństwo danych klienta, a hasło generowane potrafi brzmieć "test1234".
Odpowiedz@niepodam: ale przecież nie ustawiłeś takiego samego hasła, jak do banku, tylko "chasuo-do-czynszu_2oo7", więc w czym problem? Czyżbyś ufał jakimkolwiek systemom, nawet obcym (choć i własnym nie należy)? Hasło przekazane do X należy zawsze uznać za znane przez X+kogoś, dlatego stosuje się inny element (2FA) lub kryptografię asymetryczną, nawet gdyby X stosował współczesnego SCRAM-a i miał dział bezpieczeństwa audytujący systemy wewnętrzne. Hasło do spóldzielni to hasło znane na osiedlu, więc nawet wszelkie dodatkowe zabezpieczenia czy pytania pomocnicze o pierwszą szkołę, kolor samochodu czy imię psa zawiodą. To, że pan informatyk się tak radośnie przyznał, należy traktować jako uczciwość z jego strony. Za to wygenerowane hasło typu "test1234" należy zgłosić zgodnie z trybem kontaktu przewidzianym w umowie jako jej naruszenie. Tak samo jak brak wymuszenia jego zmiany, gdy zostało przekazane w formie stałej (wydrukiem, mailem).
Odpowiedz@dmm: TO haslo. ONO. w liczbie pojedynczej nie ma zaimka "te"
Odpowiedz