Piotr Gałka <p...@c...pl> writes:

> Tysiące zamówień z jednego konta - na pewno nie wyślą tylko nabiorą
> podejrzeń.

Myślałem o rozumnych próbach - może nie o jakichś bardzo inteligentnych,
ale w ogóle rozumnych :-)

> Tysiące nowych kont (do każdego inny mail) i zamówienie z każdego
> konta - też podejrzane.

Co w tym podejrzanego? Przecież dokładnie tak się normalnie robi.
Ale po co się tak męczyć - wiele (większość?) sklepów umożliwia zakupy
bez żadnych kont. Potrzebny jest tylko email.
Zastanów się - łatwiej założyć 1000 adresów email czy uzyskać dostęp
do 1000 zacryptowanych (choćby) haseł, złamać je itd.? I wszystko po to,
by zamówić jakąś lewiznę, która nam osobiście nic nie da, poza
ew. zaszkodzeniu konkurencji (czego jednak nie da się odkryć)?

> Nie wiem co to są systemy domowe, o których już chyba drugi raz
> piszesz. Nikt sobie w domu nie robi chyba systemu do którego mu się
> może masa ludzi logować.

Nikt sobie też w domu nie robi szyfrowania dysków, nie ustawia lokalnego
hasła dostępu do komputera? "Polimeryzowałbym".

> Ja nie mam takiej wiedzy, abym mógł cokolwiek w ciemno zakładać więc
> staram się nic nie zakładać.

Ale jednak cały czas zakładasz jakiś model (akurat) dostępu do serwisów
sieciowych, model teoretyczny, i nie rozumiesz, że to tak nigdy nie
działało, ani dlaczego nie działało. Ale powinno.
Musisz się zdecydować.

Ja akurat przypadkowo wiem jakie dane są przez co i jak przechowywane,
wiem jak mogą najprościej wycieknąć, i wiem które z nich są istotne
(a nawet to napisałem). I co? I nic. Bo w książce 20 lat temu Schneier
z jakimś drugim facetem, o którym chyba nie słyszałem (skąd wiemy kto
akurat był autorem tego fragmentu?), być może napisał to, co w sposób
ewidentny się jednak nie sprawdziło (od tamtego czasu upłynęło już sporo
czasu, więc naprawdę łatwo ocenić).

> Jeśli nawet ja (generalnie dosyć ostrożny) stosowałem to samo hasło do
> sklepów to nie ma podstaw, aby przyjąć, że wszyscy robią tak jak
> powinni. Wręcz podejrzewam, że nie tylko nie jestem wyjątkiem, ale
> wręcz jestem w większości.
> Czyli chcę powiedzieć: Masz rację, ale praktyka jest chyba inna.
> Zamiast kwestionować tę praktykę lepiej zrobić tak, aby była
> dopuszczalna (oczywiście jeśli jest to możliwe i nie kosztuje za
> wiele).

IOW, należy stosować różne hasła. No chyba że chcesz dostawać
niezamawiane przesyłki ze sklepów czy coś tam, to ja już nie wiem.

> W bezpiecznym miejscu to sobie mogę hasła napisać w dowolnym pliku
> tekstowym. Nie potrzebuję do tego specjalnego programu.

Ale to, że komputer stoi w bezpiecznym miejscu nie oznacza, że sam jest
bezpiecznym miejscem dla np. plików. Choć oczywiście może być też tak.

> Czyli notatnik haseł to urządzenie, a nie program - zmienia postać
> rzeczy. Ale podobno 'wyszlifowanie' danych z dowolnej pamięci
> potaniało już tak, że nie uważałbym przechowywanych tak
> niezaszyfrowanych haseł jako bezpiecznych. Urządzenie zawsze można
> zgubić lub mieć ukradzione.

Nigdy nie ma 100% bezpieczeństwa, to oczywiste. W kontekście logowania
do banków i sklepów takie urządzenia są jednak IMHO wystarczająco
bezpieczne, zwłaszcza jeśli się ich nie nosi przy sobie bez sensu.

> co nie jest do końca prawdą bo
> odczyt analogowy pozwala podobno stwierdzić ślad poprzedniego zapisu).

Chciałbym zobaczyć kogoś, kto to odczyta.
Takie rzeczy to dało się robić w czasach dysków MFM, owszem. Ale nie
teraz.

Owszem, da się np. rozpuścić obudowę scalaka i podsłuchać dane na jego
wewnętrznych szynach (nawet w scalakach, o których producent pisze, że
są przed tym zabezpieczone). Tak. Ale resztkowe ładunki we flashu -
nawet nie tylko takim przechowywanym w bezpiecznym miejscu - przesada.

> Czy ekranu nie widzimy, czy widzimy okienko logowania na którym w
> miejscu hasła pojawiają się gwiazdki to wychodzi na to samo.

Nie wychodzi w żaden sposób. Jeśli nie masz dostępu do okienka, to jak
wyciągniesz dane z używanej właśnie karty?
No chyba że jakoś zmusisz komputer, by zrobił coś innego niż powinien.

> Istotne
> jest czy dane są na jakimś etapie jawne i czy można się w to miejsce
> wciąć.

Co to są "dane jawne"? Jawne dla kogo?
--
Krzysztof Hałasa