Articles

1820: Security Advice

Secret questions are not 2-factor authentication (2FA). Są one po prostu naprawdę gównianym hasłem, czymś, co znasz. –JakubNarebski (talk) 14:33, 5 kwietnia 2017 (UTC)

Secret questions are more like 0-factor authentication, since they typically ask for public data. Shirluban 141.101.88.106 14:39, 5 kwietnia 2017 (UTC)

Nawet gdy nie są publiczne, często są bardzo niezabezpieczone – jak: „twoje hasło musi mieć duże i małe litery, cyfry” i inne wymagania – jeśli zapomnisz to po prostu wpisz markę swojego pierwszego samochodu, jest około 20 prawdopodobnych odpowiedzi (make it 40 if you need to additionally see wetherher or not it has been capitalized) 162.158.92.46 15:18, 5 kwietnia 2017 (UTC)

Używaj liczb pierwszych w swoim haśle: to tylko ograniczy liczbę możliwych haseł do sprawdzenia przez hakera.

Używaj znaków specjalnych, takich jak & i % : ta rada jest dokładnie omówiona w https://xkcd.com/936/ Zmiana znaków na specjalne dodaje tylko bardzo niewiele do przestrzeni wyszukiwania. Jednak filmik od Computerphile’a sugeruje wstawienie losowego znaku gdzieś w haśle, co faktycznie może być dość pomocne

162.158.111.211 14:53, 5 kwietnia 2017 (UTC)

Zauważ, że gdybyś zastąpił dowolną liczbę n przez n-tą liczbę pierwszą, bezpieczeństwo Twojego hasła byłoby naprawdę lepsze. Tak samo jak długość, oczywiście. — Hkmaly (talk) 23:44, 7 kwietnia 2017 (UTC)

Może naprawdę powinieneś używać bezpiecznej czcionki Font related bug 162.158.79.161 15:13, 5 kwietnia 2017 (UTC)

Czy wskazówka z niebieskim znakiem wyboru powinna być odnotowana jako przydatna tylko na Twitterze? Zazwyczaj rada nie dotyczy maili, w których znacznie częściej pojawia się prośba o podanie mniej tajnych danych konta, ale też znacznie rzadziej pojawia się niebieski znak zaznaczenia. 162.158.2.10 15:15, 5 kwietnia 2017 (UTC)

„Jeśli strażnik graniczny poprosi o zbadanie twojego laptopa, masz prawo wyzwać go na partię szachów o twoją duszę.”, czy ktoś z was wie dokładnie, jaka jest tu oryginalna rada? Jest to prawdopodobnie różne w różnych krajach, ale jeśli dobrze pamiętam, nie możesz zapobiec ich zajęciu twojego urządzenia, ale nie jesteś zobowiązany do dostarczenia im swoich haseł (ale mogą dać ci trudny czas lub odmówić ci wejścia, jeśli nie jesteś obywatelem). Czy ktoś może to potwierdzić? 108.162.216.22 15:16, 5 kwietnia 2017 (UTC)

W Wielkiej Brytanii policja może zażądać twojego hasła, jeśli podejrzewa przestępstwo, a personel graniczny może zażądać twojego hasła nawet bez pozwolenia. Ludzie mogą być – i byli – więzieni za niepodanie hasła. Cosmogoblin (talk) 23:39, 15 sierpnia 2018 (UTC)

Trick z ryżem nie działa nawet w przypadku mokrych telefonów. http://www.gazelle.com/thehorn/wp-content/uploads/2014/05/Water-Damage-Prevention-and-Recovery.pdf 162.158.111.211 15:33, 5 kwietnia 2017 (UTC)

Tak – pokonaj mnie w tym! Trik z ryżem nie działa…ani na telefony, ani na nic innego w tej kwestii. Więc to jest podwójnie zła rada. 162.158.69.39 16:06, 5 kwietnia 2017 (UTC) Jako ktoś, kto pracował z elektroniką, wykształcony w projektowaniu elektroniki, uważam, że najskuteczniejszym rozwiązaniem jest usunięcie całego zasilania tak szybko, jak to możliwe – odłącz go i wyjmij baterię – a następnie pozwól mu wyschnąć. Ciecz szkodzi, pozwalając elektryczności zająć ścieżki, których nie powinna. Nie ma zasilania, nie ma problemu. Dlatego nie ufam i nigdy nie zaufam żadnemu urządzeniu, które nie pozwala na szybkie wyciągnięcie baterii (iPady i wiele iPhone’ów, na przykład). Brak możliwości wyciągnięcia baterii oznacza dla mnie ryzyko. – NiceGuy1 108.162.219.88 07:20, 7 kwietnia 2017 (UTC) W końcu się zarejestrowałem! Ten komentarz jest mój. NiceGuy1 (talk) 05:07, 13 czerwca 2017 (UTC)

Strażnik graniczny – chciałbym zobaczyć nieco więcej wyjaśnień, proszę, na temat tego, jak w filmie Ingmara Bermana pokazano człowieka grającego w szachy ze Śmiercią, i ewentualnie niesławnej subwersji tego tropa w Bill And Ted’s Bogus Journey. Tak jak jest, wyjaśnienie jest tylko gołe kości. –172.68.34.52 17:35, 5 kwietnia 2017 (UTC)

Sprawdzenie ikony kłódki w przeglądarce nie wystarczy, aby upewnić się, że naprawdę jesteś połączony ze stroną, o której myślisz. Musisz sprawdzić również domenę, aby upewnić się, że nie jesteś na domenie typu typosquatter (np. explianxkcd.com zamiast explainxkcd.com). Dla naprawdę ważnych rzeczy, takich jak bankowość, powinieneś sprawdzić, czy masz certyfikat rozszerzonej walidacji (Firefox pokazuje nazwę organizacji prowadzącej stronę obok kłódki, aby wskazać certyfikat EV). Oznacza to, że CA sprawdził, czy operator strony naprawdę jest tym, za kogo się podaje (i wziął za ten proces sporą sumę pieniędzy). Tak, wiem, bezpieczeństwo nie jest łatwe. Używanie mózgu wciąż nie może być zastąpione. –162.158.202.160 20:14, 5 kwietnia 2017 (UTC)

Certyfikat Extended Validation oznacza, że CA POWINIEN był sprawdzić …. Symantec na przykład tego nie zrobił (i Google ich za to karze) — Hkmaly (talk) 23:44, 7 kwietnia 2017 (UTC)

Te dwa znaki są często niedozwolone w hasłach ze względu na ich znaczenie dla SQL (popularny język zapytań do bazy danych). Źle napisany system bezpieczeństwa wykorzystujący SQL mógłby mieć poważne błędy (i podatności), gdyby te znaki zostały użyte w haśle. Więc zamiast naprawiać błędy, użytkownicy są uprzejmie proszeni/zabronieni, aby używać & i %, ponieważ to złamałoby system? Poleganie na empatii zamiast naprawiania problemu, podobnie jak „proszę się nie włamywać, jesteśmy zbyt biedni, żeby pozwolić sobie na porządny zamek”. Brzmi tak, jak mógłby to wymyślić Black Hat w roli doradcy ds. bezpieczeństwa. 162.158.111.211 21:01, 5 kwietnia 2017 (UTC)

Kiedyś widziałem śmieszne powiadomienie przy ekranie logowania. Brzmiało ono: „Zaloguj się tylko jeśli jesteś autoryzowanym użytkownikiem”. Przezabawne… Elektrizikekswerk (talk) 13:03, 6 kwietnia 2017 (UTC) W odwrotnej sytuacji, do pracy mam wymyślić metodę autoryzacji 2-factor. Zwykłe hasło to jeden czynnik. Myślałem, że drugi czynnik jest prosty: potrzebny jest też fizyczny dostęp do komputera w sieci. Najwyraźniej nie jest to wystarczająco „techniczne” lub coś w tym stylu, zewnętrzni doradcy mówią nam, że fakt, że haker musi fizycznie włamać się do systemu, nie liczy się jako drugi czynnik. (jeśli ktoś może wskazać na autorytet mówiący, że tak jest, byłbym bardzo szczęśliwy!) 162.158.111.211 00:27, 7 kwietnia 2017 (UTC)

„Turing-complete kerning specification language in OpenType fonts” wymaga cytatu. Czy to się odnosi tylko do języka TeX w ogóle?

„amerykański system bankowy, w którym jest bardzo mało zabezpieczeń dla bezpośrednich przelewów na konto i z tego powodu zaleca się tam zachowanie numeru konta w jak największej tajemnicy. Z kolei w Europie…” również wymaga cytatu. Dlaczego podawanie numeru konta bankowego w Europie jest bezpieczniejsze? Wygooglowałem trochę, ale nie znalazłem żadnej weryfikacji tego (poza dyskusjami na temat chipów vs. pasków magnetycznych, co jest inną kwestią).–Traktarianin (talk) 17:29, 6 kwietnia 2017 (UTC)

Z doświadczenia, tutaj w Wielkiej Brytanii, jeśli chciałem, aby ktoś przelał mi pieniądze online, po prostu podałem im mój numer konta i routing (lub „sort”) code. Ludzie nawet publikują te informacje na stronach internetowych.

Szczególnie, wiele zasad tutaj nakłada odpowiedzialność na banki za oszukańcze i nieautoryzowane transakcje, tak długo jak konsument nie był nieostrożny lub naruszył zasady swojego konta.

Zobacz https://www.directdebit.co.uk/DirectDebitExplained/pages/directdebitguarantee.aspxhttps://www.chequeandcredit.co.uk/information-hub/faqs/cheque-fraud

Ale nie mogę sobie wyobrazić, jak ktoś mógłby zainicjować transakcję z mojego konta bez sfałszowania dokumentu lub zhakowania moich danych bankowości internetowej (dla przelewów elektronicznych).–162.158.111.37 19:33, 6 kwietnia 2017 (UTC)

Tak z mojego, holenderskiego, punktu widzenia ta część też wydaje się dziwna. Jakby „nie zdradzam ci mojego adresu e-mail, więc nie możesz czytać mojego e-maila”. Poza tym, każdy, komu kiedykolwiek wysłałeś pieniądze, musi znać numer twojego konta, prawda? Po tym, czy mogą po prostu wejść do banku mówiąc „Cześć jestem John, numer konta 12345, daj mi 5000$ proszę”? Chciałbym mieć komiks pokazujący mój numer konta, żeby sprawdzić, jak bym się poczuł, gdyby cały świat się o tym dowiedział 🙂 Żeby otrzymać zwrot pieniędzy na moją kartę kredytową, musiałem podać nie tylko numer karty kredytowej, ale i datę jej ważności. Zawsze uważałem datę ważności jako bardzo proste hasło, aby udowodnić, że masz samą kartę. To czułem się bardziej jak „Nie chciałbyś, aby całkowicie obcy ludzie wkładali pieniądze na twoje konto, prawda?” (myśląc o tym, może to jest używane jako „suma kontrolna”). 162.158.111.211 22:35, 6 kwietnia 2017 (UTC)Jako Ameryka Północna, wokół nas wydaje się, że pozwolenie komuś na poznanie twojego numeru konta potencjalnie daje złodziejowi cel. Jeśli uda im się w jakiś sposób włamać do twojego banku, teraz znają ważny numer konta, do którego mogą dążyć. O wiele mniej podejrzane niż próbowanie szczęścia z wyborem jednego na chybił trafił. Ponadto, kiedy przelewamy pieniądze do siebie nawzajem, numer konta nie wchodzi w grę. Wchodzę na stronę mojego banku, uruchamiam e-przelew i mówię, żeby wysłał X dolarów na to konto mailowe, dodaję pytanie zabezpieczające – „Jaki jest mój ulubiony komiks online?” – i odpowiedź – „xkcd”. Oni dostają maila, wybierają, do jakiego banku chcą wpłacić pieniądze (i logują się na stronie swojego banku), po czym podają ułożoną lub znaną im odpowiedź na moje pytanie. Nasze numery kont są używane / udostępniane tylko naszym własnym bankom. – NiceGuy1 108.162.219.88 07:20, 7 kwietnia 2017 (UTC) W końcu się zarejestrowałem! Ten komentarz jest mój. NiceGuy1 (talk) 05:07, 13 czerwca 2017 (UTC)Na karcie kredytowej nie ma nic bezpiecznego. Nawet numer Card Security Code jest chroniony tylko tym, że ludzie nie mogą go przechowywać w bazie danych. Tak jestem pewien, że złodzieje zastosowaliby się do tej zasady. A ten e-Transfer … czyli jeśli ktoś przechwyci tego maila i powie bankowi, że przyszedł na jego adres mailowy, to bank wyśle pieniądze do niego? To też nie wydaje się bezpieczne; email to bardzo niepewny sposób wymiany danych. — Hkmaly (talk) 23:44, 7 kwietnia 2017 (UTC) Dlatego w dzisiejszych czasach nawet karty kredytowe mają numery PIN. I faktycznie, e-przelewy to jedna z najbezpieczniejszych rzeczy, w jakich biorę udział. Po obu stronach przelewu (czyli zarówno ja, jak i osoba, której płacę) każdy z nas indywidualnie musi mieć skonfigurowany login w swoich bankach, taki, który wykorzystuje numer naszej karty bankowej i/lub numer konta (stąd po części wynika niechęć Amerykanina z Północy do zdradzania komukolwiek, co to jest), i który zawiera hasło jak każdy inny login. Tak więc, aby ktoś mógł ukraść mi pieniądze, przelewając je z mojego konta, potrzebowałby mojego loginu (jeśli mój bank go używa), numeru karty lub numeru konta – czegokolwiek, czego bank używa, aby dowiedzieć się, kim jesteś online, plus wiedzieć, który z nich musi znać. Złodziej nie może po prostu założyć nowego loginu przypisanego do mojego konta, ponieważ już go mam, a banki nie pozwalają na duplikowanie kont. Potrzebowałby też mojego hasła. A żeby ktoś mógł przechwycić mój przelew, oprócz tego wszystkiego (tym razem dla mojego odbiorcy) musiałby również przechwycić e-mail – którego mój odbiorca wie, że może się spodziewać, zwykle w ciągu kilku minut od nadejścia e-maila – ale również musiałby znać odpowiedź na zadane przeze mnie pytanie, co zwykle jest informacją, którą dzielisz się tylko z odbiorcą. Przypomina mi się Harry Potter i Książę Półkrwi, gdzie dla bezpieczeństwa wszyscy dobrzy ludzie wymyślili osobiste pytania bezpieczeństwa, aby potwierdzić swoją tożsamość. W tym przypadku może to być tak proste, jak „Gdzie teraz jestem?”, które omówiłbyś podczas ustalania płatności, lub „Gdzie się spotkaliśmy?” lub „Jakiego nauczyciela mieliśmy?”, rzeczy tego typu. – NiceGuy1 162.158.126.76 05:53, 12 kwietnia 2017 (UTC) Mój też! NiceGuy1 (talk) 05:07, 13 czerwiec 2017 (UTC) W Wielkiej Brytanii w 2008 roku, rząd brytyjski stracił 25 milionów zestawów danych kont bankowych (na dwóch niezaszyfrowanych płytach CD wysłanych pocztą – ten rodzaj naruszenia danych jest częstą rozrywką brytyjskich departamentów rządowych). Jeremy Clarkson twierdził, że nie było żadnego problemu z bezpieczeństwem, i aby to udowodnić, opublikował swoje konto bankowe i sort code. W ciągu kilku dni ktoś przekazał 500 funtów z jego konta na rzecz Diabetes UK. Cosmogoblin (talk) 16:07, 22 lip 2018 (UTC)

„Nie klikaj linków do stron internetowych”
Ponieważ trywialnie jest mieć link wyświetlający „schmoo.com”, ale w rzeczywistości wysyłający cię do „dastardlyevil.com” po kliknięciu, jest to faktycznie użyteczna rada. Jeśli link wyświetla adres strony internetowej, taki, który jest poprawny, zaznacz i skopiuj tekst, a następnie wklej go bezpośrednio do paska adresu przeglądarki. W przeciwnym razie kliknij prawym przyciskiem myszy na link, skopiuj adres ukrytego linku i wklej go do paska adresu. Oczywiście należy wtedy dokładnie sprawdzić, czy skopiowany adres nie jest przypadkiem bougusem. These Are Not The Comments You Are Looking For (talk) 00:49, 9 kwietnia 2017 (UTC)

Zazwyczaj każde oprogramowanie, którego używam, pokazuje prawdziwy adres w pasku stanu, gdy najadę myszką na link. Zawsze sprawdzam, czy się zgadzają, a jeśli tak, wiem, że mogę czuć się swobodnie, aby kliknąć (zakładając, że wspomniany zgadzający się adres jest jednym, który chcę odwiedzić, oczywiście, LOL!) – NiceGuy1 162.158.126.76 05:53, 12 kwietnia 2017 (UTC) W końcu się zarejestrowałem! Ten komentarz jest mój. NiceGuy1 (talk) 05:07, 13 czerwca 2017 (UTC)Ja idę dalej – jeśli w ogóle mam podejrzenia co do jakiegoś linku, to wpisuję go bezpośrednio. Kopiuj-wklej zachowa homoglify, znaki, które wyglądają podobnie, ale nimi nie są; np. explainxkcd.com jest poprawne, ale eхplainхkcd.com już nie (użycie cyrylicy HA w miejsce łacińskiego x) i mogłoby być zarejestrowane jako zupełnie inna strona. Cosmogoblin (talk) 16:16, 22 lip 2018 (UTC)

„Jeśli czujnik dymu działał zgodnie z logiką uwierzytelniania, będzie mniej prawdopodobne, aby wykryć dym, skutecznie zmniejszając bezpieczeństwo pożarowe w porównaniu z jednym czujnikiem”

Będzie mniej prawdopodobne, aby wykryć ogień, ale to nie musi oznaczać mniejszego bezpieczeństwa. Istnieje możliwość wystąpienia syndromu „alarmu pożarowego, który płakał jak wilk”. Jeśli kiedykolwiek dojdzie do prawdziwego zagrożenia, naprawdę nie chcesz, aby ludzie myśleli „to pewnie tylko kolejny dymiący toster, mam czas na wzięcie szybkiego prysznica i umycie zębów przed wyjściem”. –172.68.54.52 08:04, 9 kwietnia 2017 (UTC)

Nie chodzi tu o większe bezpieczeństwo, ale o mniejszą liczbę fałszywych alarmów. Podobnie w pomieszczeniach, w których regularnie pojawia się „dym” można albo zainstalować czujkę, która nie skanuje dymu, a zamiast tego ciepło lub światło podczerwone, albo zainstalować dwie czujki dymu w odległych rogach większego pomieszczenia, które dają alarm tylko wtedy, gdy obie wykryją dym. –162.158.90.126 13:28, 9 kwietnia 2017 (UTC)W takim systemie dwualarmowym możesz mieć mały pożar wybuchający w pobliżu jednej czujki, który do czasu wytworzenia wystarczającej ilości dymu, aby uruchomić dalszą czujkę i rozpocząć alarm, urósł do punktu, w którym stał się teraz trudny do zwalczenia, a co najmniej spowodował znaczne szkody, którym można było zapobiec, gdyby tylko pierwsza czujka natychmiast „odezwała się”. System, który sam siebie ocenia, nie jest dobry. – NiceGuy1 162.158.126.76 05:53, 12 kwietnia 2017 (UTC) W końcu się zarejestrowałem! Ten komentarz jest mój. NiceGuy1 (talk) 05:07, 13 czerwiec 2017 (UTC)

Czwarta poprawka nie ma zastosowania do przeszukań granicznych lub celnych

Patrz wyjątek przeszukań granicznych: https://en.m.wikipedia.org/wiki/Border_search_exception

W zasadzie nie potrzebujemy całego akapitu o czwartej poprawce.

  • Use a burner’s phone

Chociaż jest możliwe, że „burner” może odnosić się do kogoś, kto uczestniczy w festiwalu Burning Man, uważam, że bardziej prawdopodobne jest, że odnosi się to do kogoś, kto pali marihuanę, co jest powszechnym określeniem w popularnym nieformalnym angielskim. To również ładnie łączy się z częścią o typowym używaniu telefonów na kartę przez dilerów narkotyków. –Ianrbibtitlht (talk) 14:11, 8 czerwca 2017 (UTC)

Zgoda. Czuję, że nie ma wątpliwości, Randall odnosi się do palacza trawki, wątpię, że kiedykolwiek był jakikolwiek zamiar przez niego, aby odnieść się do Burning Man tutaj. NiceGuy1 (talk) 05:24, 13 czerwca 2017 (UTC)

Wskazówka w tekście tytułowym nie jest technicznie zła, tylko myląca, ponieważ nie powinieneś dawać swoich haseł lub informacji bankowych ludziom bez niebieskich znaków kontrolnych. Oczywiście nie powinieneś również dawać ich ludziom z niebieskimi znacznikami, ale to nie czyni tej wskazówki błędną. PotatoGod (talk) 15:44, 10 sierpnia 2018 (UTC)

.