17:17
19/1/2021

Czasem, kiedy czytamy instrukcje bezpieczeństwa różnych firm, to robi się nam słabo. Aż chciałoby się złapać za słuchawkę i zadzwonić na pogotowie. Ale co, jeśli zagrażająca bezpieczeństwu instrukcja to właśnie instrukcja do Systemu Informatycznego Centrów Powiadamiania Ratunkowego? Zresztą zobaczcie sami to, co przesłał nam jeden z czytelników:

Po lekturze tego e-maila, aż trudno się zdecydować, co boli najbardziej. Czy wymuszanie zmiany haseł co X dni, od czego się odchodzi, bo częściej nie służy to bezpieczeństwu a powoduje patologiczne zachowania, czy sugerowany przez pracownika IT sposób budowania haseł, który — no właśnie — te patologiczne zachowania uwypukla bo namawia do dodawania do hasła numeru danego miesiąca… Serio?

Ciekawa jest też sprzeczność. Niby hasło zgodnie z wytycznymi z początku e-maila nie może zawierać imienia i nazwiska (ani nazwy użytkownika lub prostych form), a jednocześnie przykładowe hasło dokładnie te rzeczy zawiera:

Przsmi*111112

Nie zgadniecie jak ma na imię Pan Przemysław… ah! Cholera! Spaliliśmy taką dobrą zagadkę. No to może chociaż nazwisko Pana Przemka wyosintujecie? “12” na końcu, to już wiecie — grudzień, ale czym są 4 jedynki? I jak bardzo tajne one są? Oddajmy głos czytelnikowi:

[cztery jedynki to] PIN do karty inteligentnej, którą to operatorzy mogą się logować. PIN jest niezmienialny i znany działowi IT oraz DT MSWiA (Departament Teleinformatyki MSWiA), swego czasu był naklejony na karty inteligentne.

Ale są też plusy..

Na plus w tym wszystkim należy zaliczyć blokowanie konta po pięciu nieudanych próbach… choć tylko na minutę.

Z drugiej jednak strony warto podkreślić, że chodzi o system ratowania życia, więc może jednak lepiej, aby nie odcinał on obsługujących go osób i nie utrudniał im za bardzo życia, zwłaszcza, że chodzi o logowanie które — jak się domyślamy — możliwe jest jedynie z poziomu odpowiedniej stacji roboczej, wewnątrz budynku. Innymi słowy, hasło w tym przypadku jest i tak drugorzędne i pełni raczej funkcję rozliczalnościową (rozróżniania użytkowników od siebie).

Tylko czy to powinno być usprawiedliwieniem? Takie rady, niestety, uczą złych nawyków, które użytkownicy mogą przenieść do innych, bardziej istotny i już publicznie dostępnych systemów…

Zresztą, jeśli nic nie zmieniło się w ciągu ostatnich lat, to nawet najsilniejsze hasło nie ma znaczenia. Niektóre ze stacji dyspozytorów systemu SWD PRM stykajacego się z systemem SI CPR (podkreślamy, jakiś czas temu, nie wiemy jak jest teraz) korzystały z interfejsu dotykowego (coś jak kasa w Biedronce). Oprogramowanie miało tam wszystkie funkcje i sterowało się nim palcem, bez tradycyjnej klawiatury. Ale… tradycyjną klawiaturę dało się do ekranu dotykowego podpiąć (przez port USB z tyłu obudowy). I wtedy można było już tajemniczym skrótem klawiszowym, ubić odpalony na całym ekranie program i przejąć kontrolę nad terminalem… Mamy nadzieję, że nigdzie w kraju ten patent już nie działa. Zresztą sugestia naciśnięcia CTRL+ALT+DELETE w celu zmiany hasła napawa optymizmem, że użytkownicy mają już normalne klawiatury.

PS. To jak tworzyć hasła, jak je przechowywać i dlaczego warto poza hasłem korzystać z drugiego składnika oraz managera haseł — to wszystko znajdziecie w naszym, udostępnionym za darmo szkoleniu. Prześlijcie linka wszystkim znajomym i współpracownikom — oraz każdemu, kto wyśle wam takie rady jak te z obrazka powyżej. Aha, jeśli chcecie, możecie za to szkolenie coś zapłacić — wszystko idzie na pomoc polskim medykom w walce z koronawirusem. Od marca zebraliśmy już ponad 130 000 PLN 💕

PPS. W sumie, to wszystko można wybaczyć, ale to że nie ma nakazu wykrzyknika na końcu? SKANDAL!


Aktualizacja 27.01.2021, 12:14
Jeden z naszych Czytelników zwrócił nam uwagę na nieścisłości dotyczące użytego przez nas słownictwa. Artykuł został w tym kontekście doprecyzowany, a pełne wyjaśnienia Czytelnika poniżej:

SI CPR obsługuje system Centrów Powiadamiania Ratunkowego. Nie ma to nic wspólnego z dyspozytorniami oraz dyspozytorami. Dyspozytorzy pracują w dyspozytorniach medycznych na systemie SWD PRM, który styka się z SI CPR. Na systemie SI CPR pracują Operatorzy Numerów Alarmowych (112). Oni nie odpowiadają za udzielanie pomocy medycznej lub dysponowanie zespołów ratownictwa medycznego.

W skrócie. Jak zadzwonicie na 999 to dodzwonicie się bezpośrednio do dyspozytora medycznego (system SWD PRM). Jak zadzwonicie na 112 to połączycie się z operatorem numeru alarmowego (system SI CPR), który poprzez styk z SWD PRM przekaże dane i połączenie do dyspozytora medycznego.

Rzeczywistość daleka jest od fikcji przedstawionej w programie rozrywkowym pod tytułem 112.

P. S.
My pracując na SWD PRM mamy taką politykę zmiany haseł, że musimy je zmieniać raz w miesiącu i hasło nie może być identyczne z poprzednim.

Przeczytaj także:

41 komentarzy

Dodaj komentarz
  1. Spokojnie to nie dyspozytorzy medyczni a operatorzy numeru 112. Ducha nie traćcie, nadziei nie gaście i nie dzwońcie na 112. Podstawowym źródłem powinny być numery alarmowe.
    Plus jest taki że komputery pracują w sieci zamkniętej na internet więc nie powinno być problemu z innymi syfami.

    • 112 znaczy że grudzień

    • Od jakiegoś czasu połączenia na numer 997 trafiają pod 112.

  2. Jeszcze z rok temu pracowałem dla firmy gdzie w aplikacji klienckiej, dla zwykłego śmietelnika wymogi co do hasła były jeszcze większe. Zmiana wymagana była zdaje się co 30 dni (na pewno 60-letni pan John któremu zainstalowano tą aplikację będzie to robić, tiaaaaa), do tego nie można było użyć jakiegokolwiek wcześniej podanego hasła (no nie zgadniecie w jakiej formie były zapisywane), nie można było używać powszechnie wykorzystywanych haseł bądź “stosunkowo łatwych”. Reguły dotyczące tych “stosunkowo prostych haseł” były z kolei tak rozbudowane że ciężko było stworzyć jakiekolwiek hasło. Co z hasłami typu: “fox@rAbbit-test” zapytacie? Nie można, bo nie wolno wkładać angielskich słów (apka była na rynek brytyjski). Niepoprawne logowania blokowały usera na 20 minut.

    To na pewno to wymuszało dobre praktyki w wymyślaniu nowych haseł.

    • akurat takie reguły wymuszały, żeby John nauczył się KeePassa :)

    • ” do tego nie można było użyć jakiegokolwiek wcześniej podanego hasła (no nie zgadniecie w jakiej formie były zapisywane)”
      no ja chyba nie zgadne, bo wg mojej wiedzy sprawdzenie czy haslo bylo wczesniej uzyte nie wymaga przechowywania tego hasla – moze bys hash (+ ewentualnie sól), i wtedy wystarczy przyrownac hashe. Hash generowany po stronie klienta (czyli przegladarki) i jest ok. Chyba ze sie myle?

  3. Aż mi się przypomniał pierwszy odcinek przygód Hakera Janusza. https://niebezpiecznik.pl/post/niebezpieczne-hasla/

    KIEDY KOLEJNE JA SIĘ PYTAM! MAM DZWONIĆ NA 997 CZY OPUBLIKUJECIE CIĄG DALSZY!?

    • Podbijam komentarz, bo chętnie bym poznał kolejne przygody Janusza!!1jeden

  4. Niestety certyfikacja AEO wymaga częstych zmian hasła. Gdyby tylko ktoś ich naprostował… *Wink wink*

    • nawet sam autor systemu tzw. ‘trudnych’ haseł, sprostował to co napisał. on napisał taką a nie inną instrukcję bo musiał, a wtedy systemy autoryzacji bardzo często ograniczały długość hasła do 8 znaków. te hasła są trudne dla mózgu, i łatwe dla maszyny, jeśli nawet to miałby być bruteforce.

  5. Może nie jest tak źle i to dotyczy tylko konta testowego?

  6. Czy ten wykrzyknik to jakiś fetysz administratorów systemów? Kolega pyta,bo u niego w pracy,wymagają co 3 miesiące,ale bez wykrzyknika nie da rady….:-) Będzie wdzięczny za wyjaśnienia. Pozdrawiam.

    • to pewnie standardowa reguła czyli 8 znaków lub więcej, co najmniej po jednym znaku z: mała litera, duża litera, cyfra, znak specjalny którym zazwyczaj jest wykrzyknik :) ale to może być też średnik, przecinek hash, podkreślenie itp. i to wszystko zazwyczaj nie akceptuje znaków narodowych.

      taki system haseł jest chory z założenia, ale wiele systemów trzyma się tego kurczowo.

  7. Po paru minutach szukania – w jednostce nadrzędnej, w dziale IT pracuje jeden Przemysław (M). Jeśli to ten to chyba wszyscy już znają hasło do jego skrzynki e-mail. W końcu mamy styczeń…

  8. Idiotyczny wymóg zmiany hasla co x dni powoduje, że każdy, kto poznał 1 lub 2 kolejne hasła zna kolejne. Użytkownicy albo zmieniają co miesiac numerek(hasło numerkowe), albo przesuwaja sekwencje o jeden w dól lub w lewo na klawiaturze (haslo geograficzne). Jeszcze lepiej, kiedy są to hasła nie dla osób, a dla stanowisk – wtedy bez zapisania na maszynie nikt na 2 zmianie sie nie zaloguje, bo ktoś musial zmienić na pierwszej. Mam tylko nadzieję, że kiedy system sprawdza, czy twoje haslo jest inne od 5 poprzednich to nie robi tego zapisując poprzednie w pamięci, choć wszystko jest możliwe.
    A wystarczyłby RFID plus proste haslo.

    • teraz to nawet może być softwareowy generator haseł. proste jak barszcz. instalujesz na komórce taki generator, ale system musisz spiąć z dostawcą generatora. nawet microsoft ma coś takiego jak microsoft authenticator czy jak mu tam.

  9. Skoro: IT zna pin, imię i nazwisko, to może takie hasło mogłoby się zmieniać automatycznie?
    Dodając że nie jest to wystawione na świat, tylko ma blokować delikwenta z ulicy to może zamiast hasła, wymagać rozwiązanie rebusa: np: 3 pierwsze litery z imienia + nazwiska, pin, aktualny miesiąc + pełna godzina?

  10. Pan Przemysław niech się doedukuje. Pin do karty da się zmienić.

  11. > wymuszanie zmiany haseł co X dni, od czego się odchodzi
    Oczywiscie ze sie odchodzi bo ten pomysl byl glupi juz na etapie koncepcji, o czym swiadczy wykorzystywanie czasu jako jedynego i absolutnego parametru, a potem pierd* pseudolosowej (np. taki miesiac) liczby ale takiej zeby ladnie wygladalo, bo dlaczego by nie wymuszac zmiany hasel co 7,26 sekundy czy 217 lat?
    Na szczescie managery hasel ogarnely troche ten bajzel (nadal nie ma sensu, ale teraz ogranicza sie tylko do przeklikania starego, automatycznie wygenerowanego hasla, na nowe).

    Natomiast zasady generowania hasel to kolejna patologia, bo nie jestem w stanie zliczyc na ile sposobow i w ilu miejscach wymuszane sa proste i krotkie hasla, chociazby ostatnio portal nazwal haslo pinem i h*j – twoich prywatnych danych pilnuja max cztery cyfry a my jestesmy kryci na wypadek wycieku, ha ha ha.
    Chociaz przynajmniej wiadomo to na starcie, w niektorych miejscach zadanie zbyt skomplikowanego hasla (oczywiscie nikt nie ostrzega co dla niego jest zbyt skomplikowane) moze uwalic konto.

    Do tego dochodzi podejscie roznych firm, zwalajacych wine za “wyciekniete” hasla na uzytkownikow, kiedy nawet gdyby uzytkownicy tracili hasla na prawo i lewo to jak uzytkownikowi wycieknie to zazwyczaj jedno i jego, a wycieki z firm ida w gigabajty…
    Podejrzewam, ze co najmniej klilka podmiotow ktorym powierzono hasla, puscilo w eter wiecej hasel kazdy z osobna niz wszyscy uzytkownici razem wzieci…

    • Bylbym zapomnial, absolutne premium grade kre*zm:
      Blokowanie konta po 3 (standard) nieudanych próbach.

      Poniewaz jeden czy dwie dodatkowe proby robia taka ***olbrzymia*** roznice przy lamaniu konta, a w wiekszosci problemow z haslem ktore moga przydarzyc sie wlasciwemu uzytkownikowi nie trzeba paru prob zeby zorientowac sie dokladnie co jest grane (co nie jest zbyt dziwne jesli zwroci sie uwage na to ze caly feedback nieudanego logowania ogranicza sie czesto tylko do informacji “bład”)

    • Ja wyciągam hasła z /dev/random i traktuję base64, przy czym biorę minimum 72 bity entropii (czyli wychodzi hasło 12-znakowe), czasem biorę więcej. Taki prosty alfabet: małe i duże litery, cyfry, plusik i slash, bez jakichś cudów typu !@#$%^&* – a i tak czasem mi jakiś durny webserwis nie przyjmuje bo mu się albo plusik albo slash nie podoba, albo brak wykrzyknika, albo chochlik za mało cyferek wyciągnął z kapelusza. Kilka razy się okazało, że hasło za długie. Kretynizm.

    • problemem są sami dostawcy usług webowych. jak jest na niebezpieczniku tego nie wiem. chodzi o to że my tu się logujemy wymuszonymi wymyślnymi hasłami, a w tym przysłowiowym skrypcie PHP jest hasło wprost do bazy danych. wystarczy użyć jakiegoś dziurska do frameworka PHP (to jest jedynie przykład), dotrzeć do pliku gdzie jest hasło, i go użyć do bazy danych by odczytać z niej wszystko. bardzo często hasła nawet nie są pohashowane, a jak już to są nieposolone (jak np. w przypadku serwerów windows i domeny).

      a nie można by tak zezwolić w bazie dla takiego użytkownika PHP wyłącznie na zapytania które są wywoływane przez ten serwis? każde inne powinno być przekierowywane do piaskownicy i rejestrowane. drugi sposób, to postawienie serwisu pośredniego pomiędzy częścią webową, i bazodanową, i tu też. stworzenie API (xml, json lub co kto co woli, lubi, jest narzucone), które to api wystawi tylko te dane i w taki sposób, jakie są wymagane przez serwis webowy.

      bezpośredni nieograniczony dostęp do bazy z poziomu webowych skryptów to zło, i narażanie się na wyciek. w sofcie jest wystarczająco dużo dziur.

  12. Te jedynki w proponowanym haśle. pogubić się można jeśli się je wpisze nie w tej kolejności. ale jak zgadnąć kolejność skoro wszystkie wyglądają tak samo?

  13. Nie panowie – nie odchodzi się od polityki zmiany haseł co jakiś czas. Tym bardziej że nawet niektóre urządzenia wymagają takich zmian bo mają polityki zaimplementowane na stałe. Jak ktoś myśli że menadżer haseł przyda się do trzymania haseł do systemu to widać że nigdy go nie używał. Jeśli już chcemy pogadać o bezpieczeństwie to niech ktoś się zapozna z polityką haseł i jej implementacją na urządzeniach Mikrotik – szczególnie z obsługą znaków specjalnych…..

    • Tylko ze trzeba rozroznic samo zmienianie hasla od jego wymuszania.

      Jesli na platforme X loguje sie raz na dwa lata, dobrym haslem i bezpiecznym kanalem, to po kiego h* mialbym je zmieniac co miesiac? I zeby bylo jasne, nie chodzi tutaj nawet takie ktore wymuszaja to przy pierwszym logowaniu po uplynieciu waznosci konta (chociaz zmiana hasla przy kazdym logowaniu tez nie jest jakims supergenialnym pomyslem) ale o blokowanie a czasem nawet czyszczenie kont po uplywie x czasu bez zmienianego hasla.

      Sklepik pana miecia to nie atomowy silos us army, ale takie wlasnie firmy wprowadzaja drakonskie wymagania w ramach ciecia kosztow (drakonskie wymagania wybietnie up*liwe dla uzytkownika do zrownowazenia wlasnych oszczednosci na bezpieczenstwie).

      Pomijajac juz kwestie tego, dlaczego uzytkownik ma byc poszkodowany przez niekompetencje zarzadzajacych dostepem? Jesli z mojej strony nie ma niebezpieczenstwa wycieku to zmiana hasla neutralizuje tylko (w minimalnym stopniu) szkody zwiazane z wyciekiem u dostarczyciela dostepu. Dlaczego ja mam ponosic koszta tego, ze komus akcesy regularnie ciekna przez rece?

  14. a widzieliście może jak wygląda zmiana hasła do panelu VPS na cudownym hostingu na N?
    tooltip mówi: minimum 8 znaków, duża, mała litera, cyfra, znak specjalny, brzmi rozsądnie, szkoda tylko, że nie pokrywa się z rzeczywistością
    walidator mówi:
    ale daj 10 znaków
    ale daj dwie duże
    zapomniałeś o znaku specjalnym
    ale nie tym, ten jest brzydki, znajdź jakiś inny…
    i to też by nie było takie złe jakby było z góry wiadomo, zawsze można coś wygenerować z ograniczonym alfabetem, ale taka zgadywanka to kompletny absurd

    • Zgadzam sie absolutnie. Dodam jeszcze od siebie, ze jakies jelenie dodawaly takie wlasnie pieronskie wymagania (ograniczenia!) w haslach ktore dodatkowo nakladaly sie na ograniczenia technologiczne ze wszyscy ladowali z praktycznie takim samym haslem, bo nie moze byc krotsze, ale technologia ogranicza dlugosc czyli to jest zdefiniowane, podem ma byc to, to i tamto w takich a takich ilosciach i sie nagle okazuje ze zostaje wzglednie niewielka pula dostepnych mozliwosci, oczywista dla atakujacego, a ludzie zmeczeni tym calym gó* masowo wybieraja doslownie pierwsza liczbe z brzegu (wreszcie) spelniajaca zadane warunki…

    • Cos ala hasla wymagajace 1 specjalnego charakteru ale strone obsluguje tylko kropke – i juz haslo jest kilkadziesiat razy prostsze do zlamania. Jeszcze lepiej kiedy ta kropa nie moze byc ani pierwsza ani ostatnia, a juz szczytem kompetencji jest kiedy da sie ja wpakowac np. na 4 pozycji, bo tak ktos ustawil pattern zeby bylo bardziej “losowo” i h* ze patern jest taki sam za kazdym razem…

  15. Na 112 w większości to pracują głąby , lecz czasami ktoś się trafi normalny. Nr 112 jedynie w serialu tv fajnie wygląda to nic więcej.

  16. Co do tej zmiany haseł co x dni. Dla systemów wykonujących zadania publiczne np służba zdrowia, dostęp do dokumentacji medycznej ito. zmienność hasła nie wynika z jakiś rozporządzeń. I tam czasem nie było zapisu na sztywno ze minimum 30 dni. Oczywiście cała sprawa z artykułu to kuriozum, ale sam pamiętam gdy dla świętego spokoju dla 70 letneigo lekarza na karetce zmieniałem hasło na tablecie i dawałem mu na kartce bo jak sam by miał to zrobić to bym do wieczora do domu nie wrócił. Albo inna akcja … cały zespol ratowniczy znał hasło i system zmian bo …. oni też chcieli sensownie wrócić z dyżuru a nie czekać aż kierownik zespołu dobrnie z klepaniem wyjazdu na tablecie. Są sytuacje i sytuacje nie ważne jak chcielibyśmy naprawić świat IT :)

    • @Krzysztow W

      Przed wejściem RODO obowiązywały stare Rozporządzenia MSWiA które rzeczywiście określały precyzyjnie jakim wymaganiom mają podlegać hasła “co najmniej 8 znaków oraz być złożone z małych i dużych liter, cyfr lub znaków specjalnych” i że mają być zmieniane “nie rzadziej niż co 30 dni”. I stąd wzięły się praktyki tych nieszczęsnych krótkich haseł z kolejnymi miesiącami. Teraz natomiast polityka haseł ma być wynikiem przeprowadzonej oceny ryzyka, skuteczności zabezpieczeń itd dla systemów, więc spokojnie można narzucić lepsze zasady.

  17. Mi się bardzo podoba “40 dni”. Dzięki temu jest szansa, że hasło “Styczeń21” – będzie działać jeszcze w lutym. Używając standardowych wzorców haseł biurowych – nie do złamania ;) .

  18. Tępogłowym przykładem jest logowanie się do usług Poczty Polskiej. Wymusza zmianę hasła, ale ostatnio pojawił się przycisk “odłóż na 30 dni”. Po jego użyciu… trzeba zmienić hasło (dopiero) przy następnym logowaniu. Ważni jak magi w zupie.

  19. A użytkownicy i tak rozwalają system ustawiając Hasło!01 i idą wzwyż co miesiąc od 01 do 99

  20. A ja się (chyba) powtórzę. W systemie SRP ŹRÓDŁO czyli PESEL USC DOWODY użytkownicy mają karty i PINy do nich. I od początku systemu chyba nikt PINu nie zmieniał bo nie ma takowego wymogu. Możliwe, że nawet nie ma takiej opcji….
    Da się ? Da się… I chyba zgodnie z jakimiś ISO nawet ….

    • Ale w czym problem… (jest możliwa zmian Pinu na kompie co potrafi zaktualizować certyfikat)
      1.z konkretnego Urzędu można wejść tylko na jego userów (ew. jeśli jest się userem innego na podstawie swojego zaloguje się jako on w innym?)
      2.Aby zyskać dostęp trzeba mieć fizycznie kartę (a pracownicy zasadniczą jej pilnują, wiedząc, ze monitorowane jest kto co robi),
      3.na stanowisko komputerowe nie wejdzie Ziutek z ulicy (jeśli nawet -pacz uwaga 1
      jeśli ktoś może obejść nr 1 to nawet codzienna zmian pinu nie robi różnicy… więc po co zmieniać PIN do systemu niedostępnego publicznie?

  21. Niepogrubiona część komunikatu brzmiała jeszcze całkiem ok. ;)
    Zresztą user nie musi ustawiać hasła podług tego, co jest mu sugerowane. Człowiek, najsłabsze ogniwo…

  22. Dokładnie w ten sam sposób ustalane są hasła dla systemu hermes od oke. Niestety brak instrukcji na stronie.
    https://oke.waw.pl/artykuly/podglad.php?id_artykulu=1811
    Drżyjcie maturzyści i uczniowie szkół technicznych.

  23. No istrukcja jak w ZUS. Widać jacy pracownicy takie instukcje. Swoją drogą swegoc zasu spotakłem się z szyfrowaniem dysków gdzie każdy pracownik posiadał jeden i ten sam kod. 120 pracowników miało szyfrowane dyski tym samym hasłem. Logic

  24. A propos 1111 to przytoczę cytat z jednego filmu (może trochę przekręcony):
    – pin ustawiłem na cztery jedynki
    – a dlaczego cztery jedynki?
    – żeby było łatwiej zapamiętać
    – że co?
    – no tysiąc sto jedenaście – bitwa pod Grunwaldem
    Pozdrawiam!
    JD

  25. Czy przypadkiem wymóg 8 znaków nie wziął się z budowy systemu Windows NT które haszowwało hasła w blokach po 7 znaków i dołożenie jednego znaku powodowało że do złamania były dwa bloki.
    Natomiast wymóg 30 dni wynikał z wydajności czasowej łamania haseł bruteforcem.
    Użytkownik częściej zmieniał niż byliśmy w stanie je złamać.
    Tablice tęczowe przewróciły wszystko.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: