Oczywiście fakt, że admini epuap'u mogą zrzucić na usera odpowiedzialność za udostępnienie swojej skrzynki e-mail osobie trzeciej nie zmienia tego, że bezpieczny system nie powinien być zaprojektowany w taki sposób.

@TeMPOral - Czynnik ludzki zawsze będzie zawodny nie ważne jak długo będziemy go uczyć, jak istotna jest skrzynka mailowa i jak trzeba chronić dostępu do niej. Więc epuap nie powinien ułatwiać exploitowania czynnika ludzkiego w ten sposób.


2014-03-12 13:09 GMT+01:00 Paweł Zegartowski <pzegar@gmail.com>:
Żeby tylko uściślić: zmienić można jedynie hasło do epuapu. 

Posiadając hasło do epuapu można zarządac jednorazowego klucza do podpisu konkretnego dokumentu na maila. To troche jak autoryzacja kodem sms, tylko, że zamiast komórki dostajesz kod na maila, czyli w to samo miejsce, które umożliwia Ci odzyskanie hasła do miejsca z którego możesz zażądać jednorazowego kodu autoryzacyjnego (do platformy epuap). Na tym polega słabość.


zegar


2014-03-12 13:02 GMT+01:00 Radoslaw Szkodzinski <astralstorm@gmail.com>:

2014-03-12 12:49 GMT+01:00 TeMPOraL <temporal.pl@gmail.com>:
> Cóż, generalnie dostęp do skrzynki mailowej jest ważniejszy od dostępu do
> portfela czy hasła do banku, o czym wiadomo od dawna. Trzeba ludzi uczyć, że
> ich główny adres e-mail jest jedną z najważniejszych rzeczy, jakie
> posiadają, i powinni ją należycie chronić.

Trolololo.

Porównanie:
- hasło do banku - posiada je bank i ja
- hasło do skrzynki mailowej - posiada je firma obsługująca serwer mailowy i ja
- klucz ePUAP - posiada go urząd i ja, może zmienić go firma
obsługująca serwer mailowy i ja

Firmy obsługujące serwery mailowe nie mają regulacji prawnych ani
podejścia do bezpieczeństwa jak banki, nawet, jeśli im za usługę
płacisz.
Na przykład, banki już dawno nie stosują gołych hasełek. (są tokeny,
"tokeny" na komórce, klucze jednorazowe, etc.)
Większość serwerów mailowych jest uwierzytelniana zwykłym hasłem.
(przynajmniej nie przesyłanym plaintext... z reguły)
Do tego ma przecież służyć ten klucz, jako drugi czynnik
uwierzytelnienia. Jeśli można go zmieniać jak byle hasło, to trochę
się mija z celem. Równie dobrze mogą przyznawać hasła.

Co ciekawe, w sprawie bezpieczeństwa serwerów mailowych, Google
prowadzi: można włączyć uwierzytelnianie dwuskładnikowe, cała
komunikacja jest domyślnie porządnie szyfrowana.
Ta firma ma niestety ciekawe podejście do prywatności...

--
Pozdrawiam,
Radek

_______________________________________________
General mailing list
General@lists.hackerspace.pl
https://lists.hackerspace.pl/mailman/listinfo/general



--
Pozdrawiam,
Paweł Zegartowski



--
Pozdrawiam,
Paweł Zegartowski