Oczywiście fakt, że admini epuap'u mogą zrzucić na usera odpowiedzialność za udostępnienie swojej skrzynki e-mail osobie trzeciej nie zmienia tego, że bezpieczny system nie powinien być zaprojektowany w taki sposób.
@TeMPOral - Czynnik ludzki zawsze będzie zawodny nie ważne jak długo będziemy go uczyć, jak istotna jest skrzynka mailowa i jak trzeba chronić dostępu do niej. Więc epuap nie powinien ułatwiać exploitowania czynnika ludzkiego w ten sposób.
2014-03-12 13:09 GMT+01:00 Paweł Zegartowski pzegar@gmail.com:
Żeby tylko uściślić: zmienić można jedynie hasło do epuapu.
Posiadając hasło do epuapu można zarządac jednorazowego klucza do podpisu konkretnego dokumentu na maila. To troche jak autoryzacja kodem sms, tylko, że zamiast komórki dostajesz kod na maila, czyli w to samo miejsce, które umożliwia Ci odzyskanie hasła do miejsca z którego możesz zażądać jednorazowego kodu autoryzacyjnego (do platformy epuap). Na tym polega słabość.
zegar
2014-03-12 13:02 GMT+01:00 Radoslaw Szkodzinski astralstorm@gmail.com:
2014-03-12 12:49 GMT+01:00 TeMPOraL temporal.pl@gmail.com:
Cóż, generalnie dostęp do skrzynki mailowej jest ważniejszy od dostępu
do
portfela czy hasła do banku, o czym wiadomo od dawna. Trzeba ludzi
uczyć, że
ich główny adres e-mail jest jedną z najważniejszych rzeczy, jakie posiadają, i powinni ją należycie chronić.
Trolololo.
Porównanie:
- hasło do banku - posiada je bank i ja
- hasło do skrzynki mailowej - posiada je firma obsługująca serwer
mailowy i ja
- klucz ePUAP - posiada go urząd i ja, może zmienić go firma
obsługująca serwer mailowy i ja
Firmy obsługujące serwery mailowe nie mają regulacji prawnych ani podejścia do bezpieczeństwa jak banki, nawet, jeśli im za usługę płacisz. Na przykład, banki już dawno nie stosują gołych hasełek. (są tokeny, "tokeny" na komórce, klucze jednorazowe, etc.) Większość serwerów mailowych jest uwierzytelniana zwykłym hasłem. (przynajmniej nie przesyłanym plaintext... z reguły) Do tego ma przecież służyć ten klucz, jako drugi czynnik uwierzytelnienia. Jeśli można go zmieniać jak byle hasło, to trochę się mija z celem. Równie dobrze mogą przyznawać hasła.
Co ciekawe, w sprawie bezpieczeństwa serwerów mailowych, Google prowadzi: można włączyć uwierzytelnianie dwuskładnikowe, cała komunikacja jest domyślnie porządnie szyfrowana. Ta firma ma niestety ciekawe podejście do prywatności...
-- Pozdrawiam, Radek
General mailing list General@lists.hackerspace.pl https://lists.hackerspace.pl/mailman/listinfo/general
-- Pozdrawiam, Paweł Zegartowski