Temat: Gesty zamiast hasła - Windows 8

https://blogs.msdn.com/b/b8/archive/2011/12/16/signing-...

Rozporządzenie do ustawy o ochronie danych osobowych w ogóle nie zauważa takich "haseł" jak gesty (czy też uwierzytelniania biometrycznego - chociaż w moim przekonanu gesty są na styku z biometrią).

Wygląda na to, że hasło trzeba zmieniać co jakiś czas, ale gestów "do logowania" - nie - bo nie są hasłem. Tymczasem 5 gestów ma siłę hasła 7-8 znakowego, a więc mniej niż to, jakiego wymaga sie do zabezpieczenia systemu w którym przetwarza się dane osobowe (nie biorę pod uwagę systemów nie podłączonych do sieci publicznych, bo takie występują bardzo rzadko).

Hasło można zapisać, ciekawe jak zapisać gesty? Wydrukować zdjęcie i kreski na zdjęciu? Co o tym myślicie?

Temat: Gesty zamiast hasła - Windows 8

Tymczasem 5 gestów ma siłę hasła 7-8 znakowego, a więc mniej niż to, jakiego wymaga sie do zabezpieczenia systemu w którym przetwarza się dane osobowe (nie biorę pod uwagę systemów nie podłączonych do sieci publicznych, bo takie występują bardzo rzadko).

Sądzę, że warto powiedzieć tu trzy rzeczy:
1. Rzeczywiście prawo nie przewiduje aktualnie żadnego rozwiązania.
2. Mówienie o sile hasła gestowego, mówiąc jedynie o ilości kombinacji wydaje mi się nie do końca adekwatne; sądzę bowiem, że technicznie złamanie 8,995,627,397,120 kombinacji znaków (siła hasła 8-znakowego) jest znacznie szybsze niż wykonanie przez człowieka owych 15,344,276,658 kombinacji 5 gestów.
3. Zmienianie hasła to jednak bardzo dobry pomysł. Popieram. :-)

Temat: Gesty zamiast hasła - Windows 8

Rozporządzenie mówi jak często ma być zmieniane hasło i z ilu znaków ma się składać – "„W przypadku gdy do uwierzytelniania użytkowników używa się hasła". Nie oznacza to jednak, że nie możemy stosować innych niż hasło mechanizmów. Rozporządzenie mówi jednie, że dostęp do danych wymaga wprowadzenia identyfikatora i dokonania uwierzytelnia, a sposób uwierzytelniania powinien być opisany w Instrukcji.

Czy każde uwierzytelnienie będzie zgodne z rozporządzeniem? Na pierwszy rzut oka wydawało mi się, że wybrana metoda powinna zapewnić co najmniej takie samo bezpieczeństwo jak hasło dla danego poziomu. W jaki jednak sposób to zmierzyć? Dodatkowo, wybrane rozwiązanie może wprowadzać zupełnie nowe problemy – np. możliwość odczytania „hasła” ze smug na ekranie. Dlatego uważam, że rozporządzenie dotyczy jedynie haseł. Jeżeli wybieramy inną metodę uwierzytelniania, sami musimy zdecydować, czy będzie ona wystarczająca.

Zastanowić można się też nad wymaganiem wprowadzenia identyfikatora. Czy przyłożenie palca do czytnika linii papilarnych (oczywiście zakładając, że wartość przetwarzanych danych uzasadni stosowanie takiej technologii), oznacza, że "wprowadziłem identyfikator"? A jeżeli do logowania będę wykorzystywał kartę? Ale myślę, że tu też nie powinno być problemów – w końcu te mechanizmy i tak zapiszą w systemie powiązany z kartą lub skrótem linii papilarnych identyfikator.