Ma bezny uzivatel dovod na kryptovanie?

[Kořka]

Kořka:

Na to snad staci korektne nastaveny operacny system (multiuzivatelsky)...

Tak zrovna kvůli tomuhle se nebudu zdržovat s nějákým loginem při zapínání. Beztak to v podstatě nevypínám. Jde mi prostě o situace kdy je náhodou někdo u mě doma a leze mi na počítači na internet, což už se mi samo o sobě příčí.

[sasha]

par dodatku:
sifrujeteli cely disk, nebo mountujete partition, soubor.. data jsou pristupna je-li system on-line, tzn nabourali se nekdo do systemu a data si stahne mate smulu.. (pr. truecrypt, admin vam kouka remote pod ruku....)
>>
aby je nemohl otevrit, cist zkratka pouzit na sve strane, musite sifrovat data v OS - treba EFS, PGP etc. (asi lepe funkcni v linuxu nez u widli)

co se tyce pristupu ke klici a pouzivani HSM, klic neni mozne ziskat ani precist protoze vsechny operace se deji v ramci HSM (at uz externi nebo pci karta) a na vykonu to neni znat to se nemusite bat... pri jakekoliv nestandartni operaci podle vami zadanych instrukci muze byt zrusen pristup ke klici nebo dokonce smazan, popr cele zarizeni se stane nefunkcni (uz treba pri nasilnem fyzickem otevreni sasi)

kazdopadne vzdy je cely system tak moc bulletproof jako jeho nejslabsi cast - je to dobre vzdy pripomenout protoze ocividne z postu vyse vyplyva boj mezi komfortem a zabezpecenim ale to je klasika i u firem haha

[PiT]

Tak zrovna kvůli tomuhle se nebudu zdržovat s nějákým loginem při zapínání. Beztak to v podstatě nevypínám. Jde mi prostě o situace kdy je náhodou někdo u mě doma a leze mi na počítači na internet, což už se mi samo o sobě příčí.

Tak hladaj chybu u seba... To, ze s tym mas problem, je chyba tvojich navykov prace s PC. A uz aj M$ pomaly zacina chapat, ze ten jeho doterajsi pristup bol/je totalna hlupost a prichodom Vist to dal ciastocne najavo (podla mna nie velmi stastnym sposobom, ale co uz).

[kecinzer]

Tak zrovna kvůli tomuhle se nebudu zdržovat s nějákým loginem při zapínání. Beztak to v podstatě nevypínám. Jde mi prostě o situace kdy je náhodou někdo u mě doma a leze mi na počítači na internet, což už se mi samo o sobě příčí.

Tohle jsem přesně taky řešil. Nejlepší je si vytvořit zašifrovaný soubor v TrueCryptu, kam dávám takovéto citlivá data - která by nikdo neměl možnost otevřit, i když přijde na moje PC a já budu přihlášen a on si bude náhodně listovat u mě na disku.
Když mám potřebu se na soubory podívat, namontuji tento soubor jako další disk a po použití zase odmontuji.

Jinak celkově stejně šifruji všechny disky BitLockerem. Jistota je jistota.

[Kořka]

Tak hladaj chybu u seba... To, ze s tym mas problem, je chyba tvojich navykov prace s PC. A uz aj M$ pomaly zacina chapat, ze ten jeho doterajsi pristup bol/je totalna hlupost a prichodom Vist to dal ciastocne najavo (podla mna nie velmi stastnym sposobom, ale co uz).

Připouštím že moje návyky sice nejsou uplně správné, ale pokud vím tak docela běžné. Neznám nikoho, kdo používá login při startu windows. Tady se ale jednalo o situaci kterou popisuje kecinzer tj. že si někdo sedne k mému už nalogovanému pc. Proti tomu mi jě login naprosto na nic, protože nebudu dotyčnemu vysvětlovat, že bych se rád nejdřív odhlásil na jakejsi guest účet, to by si asi lidi mysleli že jsem buď totální nerd a nebo by se zbytečně vyptávali na důvod.

[wong]

Tenhle pripad nevim jak resit, ale login na pocitaci pouzivam, ikdyz su jedinej uzivatel toho PC.
Login jsem nepouzival jenom drive na svem notebooku, kde jsem ale mel poweron password

[Jezevec]

Připouštím že moje návyky sice nejsou uplně správné, ale pokud vím tak docela běžné. Neznám nikoho, kdo používá login při startu windows. Tady se ale jednalo o situaci kterou popisuje kecinzer tj. že si někdo sedne k mému už nalogovanému pc. Proti tomu mi jě login naprosto na nic, protože nebudu dotyčnemu vysvětlovat, že bych se rád nejdřív odhlásil na jakejsi guest účet, to by si asi lidi mysleli že jsem buď totální nerd a nebo by se zbytečně vyptávali na důvod.

a) kdokoli ma fyzickej pristup k HW tak z nej data je schopen dostat.
b) to ze nepouzivas naprosto zakladni bezpecnostni pravidla je jen tvoje chyba. Ja pro zmenu neznam nikoho, kdo se do widli nehlasi. A na to samozrejme nasleduje nastaveni pass na setric + u widli vypestovani navyku, ze kdyz du nekam pryc (a to treba i na minutu) tak pouziju wokno + L.

Nikdy totiz nevis, jakej clovek se kolem zjevi a specialne kdyz delas spravce dat, kterej ma z logiky veci prava na vsechno a vsude (vetsinou), tak si nemuzes dovolit nechat jen tak nekde otevreny rdpcko na server/sql session/...
Je fakt, ze kolikrat mam chut na nekoho neco provist, protoze kdyz du kolem prazdnyho kanclu kde je pustenej a prihlasenej IS .... (kdyby to bylo ciste na me, tak toto by byl duvod k vyhazovu na minutu).


Zabezpeceni dat = cela plejada opatreni. Zacina a konci to samozrejme vzdy uzivatelem, kterejzto je VZDY nejslabsim clankem retezce. Neznam totiz mnoho pripadu prolomeni nejake, byt smesne jednoduche ochrany, ale znam spoustu pripadu, kdy doslo k ziskani dat kvuli hovadu u klavesnice.

Tudiz zabezpeceni OS proti utoku zvenku = rozumny FW, aktualizace.
Zabezpeceni fyzickyho pristupu k HW = zamykani/alarm/....
Zabezpeceni dat pokud dojde k naruseni predchoziho bodu = sifrovani.

v 99% pripadu nema kdokoli moc sanci se dostat k datum na bezicim stroji, takze si jej odnese = vypne ho = v ten okamzik se pro nej stavaji data nedostupna.

[Kořka]

Jezevec: Samozřejmě já připouštím že to nedělám správně, to jsem už napsal Samozřejmě že když má někdo přístup k HW tak data vydoluje, ale tady se bavíme o případu kdy mi u počítače sedí nějáká osoba blízka nebo mně známá u mého domácího počítače a už je přihlášena v systému. Jde o naprosto elementární zamezení přístupu, případně skrytí dat a ne o schování plánů na vojenské využití venuše. Samozřejmě že když budu v práci, škole prostě kdesi v cizím prostředí tak heslo nastaveno na notebooku mám, ale v tomto konkrétním případě je data potřeba zabezpečit tím způsobem, aby nebylo poznat že mám potřebu vůbec nějáká data schovávat. To co jsi tady popsal ty jsou naprosto samozřejmé zásady bezpečnosti želbohu ale ne vžy aplikovatelné. Rozuměj nemůžu říct: vypadni mi od počítače, já se nejdřív odhlásím abys náhodou neviděl co tam schovávám, což samozřejmě zákonitě vzbuzuje pozornost.

[Peca-on-line]

Úplně normálně řekneš "mmnt mám tu rozdělanou práci a nechci aby mi s tím někdo něco omylem proved" a přihlásíš ho na guesta .

[frelichl]

Kořka: pokud jde opravdu jen o skrytí, tak by mohlo stačit něco jako Hide Folders, ne?

[Kořka]

Úplně normálně řekneš "mmnt mám tu rozdělanou práci a nechci aby mi s tím někdo něco omylem proved" a přihlásíš ho na guesta .

Pokud tam fakt není něco zapnutý, tak to zní velmi velmi nevěrohodně
EDIT: Původní dotaz ale byl trošičku někde jinde. Ptal jsem se jak dlouho vydrží reálně data na paměťové kartě, protože to by mi současně vyřešilo i zálohování.

[Jezevec]

Ja ti nevim, doma mam samo taky stroj na kterym obcas sedi leckdo z rodiny. A nikomu neprijde divny, ze ma svuj acc a hlasi se na nej. Minimalne ma kazdej na plose svy kravoviny, v prohlizeci svy zalozky, ....

[PiT]

Ja ti nevim, doma mam samo taky stroj na kterym obcas sedi leckdo z rodiny. A nikomu neprijde divny, ze ma svuj acc a hlasi se na nej. Minimalne ma kazdej na plose svy kravoviny, v prohlizeci svy zalozky, ....

Presne tak. Ked sa to bol schopny naucit a nastavit si to moj IT imbecilny sef (normalne ma milo prekvapil, ked som mu bol minule nieco doma nastavovat a po spusteni tam vidim svietit 5 mien a ani pod jedno sa nedostanem (admin account samozrejme zaheslovany uz pri/po instalacii)), tak nechapem, preco to odmietaju "z dovodu zlozitosti riesenia ako takeho resp. pohodlnosti" ludia, ktori bezne s pocitacmi robia denne.

Kořka: Co Ta ma kto spovedat, preco sa odhlasujes... Mas rad svoje sukromie a hotovo. Ide o princip. Tak ta to mali naucit.

Ale uznavam, ze ani moja pritulka po skoro 5ich rokoch nie je schopna pochopit, preco ju bez odhlasenia sa na moj comp takmer nepustam...

Ale to mas s ludmi tak... Ja ked vidim niekoho ako pise predomnou do ICQ, tak mu to necitam, je to "sukromny" rozhovor... Drviva vacsina ludi vsak ano.

[-=HaDeS=-]

Ale uznavam, ze ani moja pritulka po skoro 5ich rokoch nie je schopna pochopit, preco ju bez odhlasenia sa na moj comp takmer nepustam...

To je bezny pritulkovsky syndrom, z toho si nic nerob "preco mas heslo tam, preco mas heslo hentam" pocuvam aj ja

[Aigor]

Nektere veci povazuju za samozrejmost. Kazdy ma mit na PC svuj ucet s heslem, svoje osobni veci, svuj zubni kartacek a svuj klic od domu.
Jiste, jde to i jinak, ale neprijde mi to uplne bezne a ani v poradku.

Kamos pred casem taky nechapave kroutil hlavou proc mam doma heslo na kompu a s manzelkou pouzivame kazdy svuj ucet. Prestal se divit po tom, co mu v kavarne nekdo z NB pres wifi promazal fotky pritelkyne (i kdyz tohle bylo samozrejme diky vic nedostatkum).

[Jezevec]

To je bezny pritulkovsky syndrom, z toho si nic nerob "preco mas heslo tam, preco mas heslo hentam" pocuvam aj ja

Naopak, toto bych ja osobne bral jako celkem zasadni problem. Kdyz ti neveri ted, co bude delat, kdyz si ji vemes ?
Ja osobne naprosto nesnasim jakykoli sacovani mailu/mobilu/... (a ze se na me jako na "odbornika" uz par znamych obratilo ....). Jakykoli podobny pozadavky odmitam. Muj nazor je takovy, ze KAZDY ma narok na kousek svyho soukromi a to i v ramci rodiny.

Naprosto nechapu napriklad zjistovani "jesli mi neni neverny" (kamoska)... tak sem ji to podal tak, ze bud snim chce byt a veri mu (pripadne akceptuje jeho vylety jinam ) a nebo mu neveri a nechce s nim byt. V ani jedne variante nemusi sacovat jeho mobil/pc/...

[PiT]

Naopak, toto bych ja osobne bral jako celkem zasadni problem. Kdyz ti neveri ted, co bude delat, kdyz si ji vemes ?

...

Jezevec:

Sry, len, ze pred nieco vyse rokom som im robil fotografa na inkriminovanej udalosti

[Jezevec]

Nj, ja ze ji nazval pritulkou . V tyhle fazi se vetsinou uz jmenuje "moje stara ... "

[sasha]

Ale to mas s ludmi tak... Ja ked vidim niekoho ako pise predomnou do ICQ, tak mu to necitam, je to "sukromny" rozhovor... Drviva vacsina ludi vsak ano.

co jsem si vsiml tak nekteri lide se prijdou na neco zeptat a kdyz povidaji tak koukaji 90% casu do kompu co to tam mate otevrenyho, to me pekne vzdycky vytoci.

[HollyG]

A nejlip se jeste nakloni nad monitor, mam casto chut takovy lidi flaknout mysi

[sasha]

Připouštím že moje návyky sice nejsou uplně správné, ale pokud vím tak docela běžné. Neznám nikoho, kdo používá login při startu windows. Tady se ale jednalo o situaci kterou popisuje kecinzer tj. že si někdo sedne k mému už nalogovanému pc. Proti tomu mi jě login naprosto na nic, protože nebudu dotyčnemu vysvětlovat, že bych se rád nejdřív odhlásil na jakejsi guest účet, to by si asi lidi mysleli že jsem buď totální nerd a nebo by se zbytečně vyptávali na důvod.

ja myslim, ze v tom smyslu, jak by jsi to potreboval tak nejake sifrovani s klicem na usb, budes sifrovat jen urcite adresare a pokud nebudes mit usb klic pripojeny nikdo to neprecte, takze se nemusis zabyvat ucty, logovanim nebo nejakym vysvetlovanim, proste jen vytahnes klicenku a je to.

[Petrik]

a) kdokoli ma fyzickej pristup k HW tak z nej data je schopen dostat.

Souhlas ze to teoreticky pujde zrejme vzdy (neuvazuji kvantove stroje), ale pri pouziti fungujiciho sifrovani celeho disku je pravdepodobnost prolomeni teto ochrany i pri ziskani fyzickeho pristupu pomerne miziva. Nepredpokladam, ze kazdy zlodej ma u sebe mrazici sprej na RAM a potrebny HW + SW kterym si precte ten klic z pameti, navic u serveru s hodne modulama to muze byt docela obtizne i v idealnich podminkach.

Navic, kdyz jsem cetl debaty o prolomeni AACS, tak nekdo uvazoval o teoreticke moznosti mit desifrovanci klic jen a pouze v registrech CPU, coz by bylo pravdepodobne neprekonatelne alespon co se jeho ziskani z beziciho storje tyka.

[Jezevec]

Za beznych okolnosti ten stroj stejne vypnou (= kradez/domovni prohlidka/...) takze disky se odpoji.

[Petrik]

presne. Jen pripomenu, ze napr. v Anglii maji zakon, ze pokud vas policie ci soud (ted nevim) vyzve k odsifrovani vasich dat a vy jim z jakehokoli duvodu nevyhovite, muzete dostat 2 nebo 4 roky (zalezi na obvineni). Takze pokud napr. nejaky soudni znalec prohlasi, ze nejaky nahodne vybrany soubor je ve skutecnosti sifrovany FS, mate pravdepodobne smulu i pokud to tak neni. Par lidi uz pomoci tohoto zakona odsoudili, psalo se o tom napr. na rootu. U nas by predpokladam porusoval ustavu.

[kecinzer]

Takže co z toho plyne?