W dniu 2019-08-15 o 22:22, Wojciech Bancer pisze:
>> Brytyjska flota atomowych łodzi podwodnych, [...]
>
> Jak będą podpięte do internetu, to wtedy będzie bardziej na temat.

Czyżbyś twierdził, że "urządzenie" niepodpięte do Internetu jest
bezpieczniejsze?
Jeśli tak to rozważ token/smartfon w tym kontekście.

>> Było mniej. To raczej oczywiste. Spróbuj zarazić tokena wirusem. Sam
>> niedawno rozpisywałeś się na temat sklepów Apple'a i Google. Wszystkie
>> te zagrożenia odpadają przy tokenie.
>
> Nadal pozostaje komputer, którego najłatwiej zarazić wirusem,
> więc niespecjalnie. I pomijasz fakt, że nadal najsłabszym elementem
> jest człowiek.

1. Nie jest prawdą, że komputer łatwiej zarazić wirusem. Wszystko zależy
od okoliczności.
2. Przede wszystkim stawiam na człowieka. Powinieneś to już zauważyć.

> Ale nie ma obowiązku posiadania zegarka do tych czynności.

Podobnie jak można żyć bez konta (chyba). Gdy już kiedyś "zauważysz"
jednak wzrost aktywności sportowej Polaków to przypatrz się ich
nadgarstkom. Da Ci to pewne pojęcie o rzeczywistości.

>> Nie sądzę, aby PIN w telefonie był godnym uwagi zabezpieczeniem.
>
> Case Apple vs FBI temu przeczy.

W PL nie obowiązuje prawo precedensu, a już orzecznictwo w USA ma się
nijak do PL.

>> Co ciekawe - papier jako nośnik danych mimo setek lat uznawany jest za
>> najlepszy materiał.
>
> No chyba że zaginie. I potem udowadniasz że pracowałeś "świadkami"
> (patrz procedury ZUS).

Sejf/kasa ma to do siebie, iż dostęp do nich jest ściśle określony
procedurami. A zatem "zaginie" nie ma tu racji bytu. Bo właśnie po to
owe środki bezpieczeństwa są!

Co ciekawe - swego czasu pojawił się wątek namawiający na kupno złota.
Oczywiście można nosić przy sobie, bo a nuż się przyda, ale można też -
chyba jednak bezpieczniej - przechowywać w domu. Ostatnio trafiłem na
cennika Mennicy odnośnie przechowywania. Do 1 kg. 420 zł/rok kosztuje
taka usługa.

>> Z ciekawości - gdy komórka ulegnie uszkodzeniu - co z nią zrobisz?
>
> Wymienię na inną.

Rozumieć mam, iż uszkodzoną niszczysz z uwagi na możliwość przechwycenia
istotnych danych np. w serwisie?

To była istota tego pytania.

>> Pisać dalej, czy już zauważyłeś do czego zmierzam?
>
> Do tego że problemem jest człowiek, a nie PIN. Ale to wszyscy
> sensownie myślący wiedza.

Ściślej - ilość haseł, który przeciętny Kowalski musi dziś zapamiętać.
Upraszcza to sobie nadając te same PIN-y/hasła w wielu miejscach. Zatem
tak - problemem jest człowiek, ale także ten, który tworzy system, a nie
tylko ten, który z niego korzysta.

>> Podobno wczoraj konto Ewy Farny [...]
>
> Fascynujące, ale bez związku.

Postaram się częściej tłumaczyć z polskiego na polski...

>> To teraz sejf jest już oczywistym, a chwilę temu nie byłeś w stanie
>> wymienić kogokolwiek, kto by korzystał?
>
> Bo pisaliśmy o firmach. Posterunki policji czy "służba" to nie jest
> firma w ujęciu podmiotu gospodarczego. Zmieniasz temat.

Podałem policję czy służby jako przykład oczywisty. Sądziłem, że możesz
negować np. oświatę. Także niepubliczną. Otóż szkoła niepubliczna także
posiada sejf. Spełnia kryteria podmiotu gospodarczego.
Pewnie kasę/sejf posiada także każdy podmiot operujący większą gotówką.
I pewnie niejednokrotnie może używać ich do przechowywania
najważniejszych dokumentów/haseł. Podobnie jak Kowalski mający sejf w
domu zapewne nie tylko będzie trzymał tam większą gotówkę, ale złoto,
biżuterię czy token.

>> Haha... Wiesz - nawet Coca-cola trzyma przepis na swój napój w sejfie.
>
> Nieistotne.
> Nie ma związku przyczynowo-skutkowego między "poważna firma"
> a "sejf". Są poważne firmy, bez sejfu, są i niepoważne z sejfem.
> Przykładem tej drugiej niech będzie Amber Gold. Chcesz drążyć
> dalej?

Wolałbym przykład tej pierwszej "poważnej" bez zabezpieczonej dokumentacji.

>> Oczywiście to PR, ale rozbroiłeś mnie swoimi stwierdzeniami... Ach! A
>> może Coca-cola to nie jest "poważna firma"?
>
> Nic takiego nie napisałem, więc kłamiesz.

Zadałem pytanie, więc jeszcze nie zdążyłem "skłamać". ;-) Dopiero zdanie
twierdzące mogłoby na to wskazywać.

> W kontekście o którym pisaliśmy: przechowywanie Mitycznych Ważnych
> Dokumentów (tm) w biurach. Nie sejfów w ogóle.

Ojej... Łopatologicznie: tak jak nie każdy w firmie ma dostęp do tokena,
tak nie każdy jest uprawniony do korzystania z sejfu. W każdym większym
urzędzie jest kasa pancerna, ale nie w każdym pokoju. W każdej poważnej
firmie jest sejf, ale nie każdy reprezentant firmy ma do niego dostęp.

> Pokazałeś coś o czym w ogóle nie dyskutowaliśmy, stąd i odniesienie
> do klocków lego.

Może zapomniałeś. Przypomnę: narzędzie autoryzacyjne warto trzymać w
bezpiecznym miejscu. W firmie najbezpieczniejszym miejscem wydaje się
być sejf. W domu - jak ktoś ma (a sprzedaż na Allegro wskazuje, iż sporo
ludzi kupuje) to też.

> Dane wrażliwe to dane wrażliwe. "druki ścisłego zaszeregowania" to termin
> nieznany ustawie RODO.

Ciekawa interpretacja... Czyli tak... Mam dyplom wyższej uczelni in
blanco. I wtedy to mogę sobie robić z nim, co chcę? W momencie wpisania
danych Iksińskiego - do sejfu, bo RODO? ;-))

Praktyka jest taka... Druki ścisłego zarachowania (jak już mówimy o
terminie precyzyjnie) podlegają rozliczeniu - nawet te, w których
wypełniający popełni błąd - ot, chociażby oczywistą pomyłkę. W tym
znaczeniu czy są wypisane czy nie są - muszą być chronione i to TY
jesteś za to odpowiedzialny. To TY musisz się wykazać należytą starannością.

>>> Co do danych wrażliwych, to nie ma wymogu prawnego przechowywania ich
>>> w kasie pancernej, a sposobów zabezpieczania ich jest znacznie więcej.
>>
>> Na przykład?
>
> Np, szyfrowanie w postaci elektronicznej.

Mistrzu... Ale jak Ty chcesz zaszyfrować w postaci elektronicznej np.
dowody rejestracyjne przed wydaniem ich właścicielom pojazdu?

Jak już sobie zaszyfrujesz te swoje dane to gdzieś one muszą leżeć. Te,
które w ogóle się da zaszyfrować. W chmurę ich nie wrzucisz, bo - jak
twierdzisz - masz pojęcie o bezpieczeństwie. Kopia zapasowa wydaje się
oczywistością. Nawet nie jedna. I gdzie to chcesz trzymać? W swoim
"biurze" na biurku?
Musisz się liczyć, że Twój iPhone może się zepsuć. Pracodawca musi się
liczyć, że możesz wpaść pod samochód. Do tego może przyjść pożar czy
powódź. Zatem należy opracować procedury na różne scenariusze.

> Ale rozmawialiśmy o firmach, a nie urzędach.

A to ma znaczenie? W biedronkach też są sejfy. ;-) OK. Jeśli rozmawiamy
o pani z warzywniaka to faktycznie w jej firmie może się obyć. Wystarczy
pewnie kasetka.

> I tak, nie musisz mnie przekonywać, że urzędy tkwią w latach 90-tych.

OK. Ostatnio sobie rozmawialiśmy o gimnazjach. Otóż przybywa do
gimnazjum kurier z arkuszami egzaminacyjnymi. Około 5-6 rano, a egzamin
rozpoczyna się o 9:00. Dokumenty do czasu egzaminu są prawnie chronione.
Dostęp do nich ma tylko dyrektor. Przechowuje je kilka godzin (audiotele) w:
a/ chmurze, zaszyfrowane
b/ zaszyfrowane w iPhonie
c/ sejfie?

Szkoła niepubliczna, a zatem firma, bo to po prostu działalność
gospodarcza, choć regulowana oczywiście dodatkowymi przepisami (jak
wiele innych, z innych branż).

>> :-) Przed dostępem osób nieupoważnionych. Zawsze do tego sprowadza się
>> tego typu ochrona. ;-)
>
> Ja się zajmuję dokumentami w obiegu elektronicznym.
> Te są dostępne z konkretnych adresów i w konkretny sposób.
> Sejfu brak.

Zatem jesteś małym trybikiem w większej machinie. Albo pracujesz w
bardzo specyficznej firmie (brak istotnych dokumentów, brak obrotu
gotówkowego, brak kontaktu z ludźmi z zewnątrz), albo może owe miejsce
bezpieczne jest poza Twoim zasięgiem.

>> Nie doczytałeś albo umknęło. Korzystam z telefonu także w formie mp3.
>
> To kup nowszą nokię za 100. Nadal nie musisz do niej karty kupować.

Cały czas tłumaczysz mi jak WYDAĆ pieniądze. Pokaż jak zaoszczędzić. ;-)

>> No! Brawo! I teraz chodzi o to, by uchronić użytkownika przed
>> manipulacją.
>
> Token tego nie potrafi.

Może Ty nie umiesz z niego w ten sposób korzystać?

>> Jeszcze raz: według Ciebie ludzie posiadający więcej
>> niż 1 konto to mniejszość? Ach! A może słowo "konto" różnie definiujesz? Masz na
myśli pewnie ROR, tak?
>
> No o tych statystykach była mowa (kont osobistych aka RORach).
> I do takich Ci podałem linka.

Pojawia się pewien problem interpretacyjny w tych kontach, zauważasz?
Jak zdefiniować ROR/konto osobiste?

>> Tak, masz rację. Jednak założyłem, że rozmawiamy o dorosłych ludziach.
>
> Twierdzisz że osoby mające 30 lat nie są dorosłe?

W moim przekonaniu do osoby 18+, przy czym mam wrażenie, iż średnia
wieku w PL to trochę więcej niż 30. A zatem "dorośli ludzie" nie
ograniczają się do max. 30-latków.

>> Zazwyczaj w pracy chociażby przekrój jest nieco większy niż 30-latkowie
>> lub młodsi.
>
> https://www.businessinsider.com/median-tech-employee
-age-chart-2017-8?IR=T
> - facebook, mediana 28
> - google, mediana 30
> - apple, mediana 31
>
> Ale to pewnie nie sa poważne firmy.

haha... Dobre! W kontekście kredytów frankowych w PL... bardzo dobry
argument. Pamiętasz jeszcze, że chodziło o porównanie frankowiczów do
revolutionistów? ;-)

> Ja korzystałem z ~10 (podawałem "szczytową" listę, ale w innych bankach też miałem)
i tam nie
> było tokenów w ofercie, poza zakresem "korporacyjnym".

Wniosek mam wyciągnąć, że jedynie Premium lub korporacje miały dostęp do
tokenów? Czyli... mniejszego bezpieczeństwa niż Kowalski? Śmiała teza.

>>> Każde konto może mieć wyłączony dostęp internetowy.
>>
>> Niestety to nieprawda.
>
> Wpisz błędnie hasło 3-10x i powiedz mi czy nadal masz dostęp.

Dobre! Naprawdę.
A masz też pomysł jak zablokować dostęp telefoniczny w banku, który
twierdzi, że się nie da?