Gå til innhold

KOMMENTAR: 1 av 6 ansatte i Bergen kommune ga fra seg passord: – Et gjenstridig problem

Gjest Slettet-404071

Av Gjest Slettet-404071
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Civilix

Civilix

Skrevet
Skrevet

Da får vi håpe at det er en rådmann i nabokommunen som også forstår alvoret, men det mest effektive hadde nok vært ett lovkrav om 2-faktor innen offentlig forvaltning.

Løsning må nesten hver enkel kommune komme fram til da det er så mange forskjellige faktorer som spiller inn på hva løsning som vil fungere, men få på plass ett krav så vil kommunene ta det videre fra der.

Lenke til kommentar
Ivar Nesje

Ivar Nesje

Skrevet
Skrevet

2-faktor løser ikke problemet med at folk får en epost og prøver å logge seg inn på en side kontrollert av en hacker. Hacking siden vil også be om 2faktor, og resultatet er at du slipper hackeren rett inn i systemet.

2-faktor vil gjøre det vanskeligere for hackeren å komme seg inn ved en senere anledning, men hvis det er datatyveri man er redd for, kan det være ille nok med en enkeltstående hendelse der alt en bruker har tilgang til blir stjålet.

  • Liker 1
Lenke til kommentar
Civilix

Civilix

Skrevet
Skrevet
Ivar Nesje skrev (1 time siden):

2-faktor løser ikke problemet med at folk får en epost og prøver å logge seg inn på en side kontrollert av en hacker. Hacking siden vil også be om 2faktor, og resultatet er at du slipper hackeren rett inn i systemet.

2-faktor vil gjøre det vanskeligere for hackeren å komme seg inn ved en senere anledning, men hvis det er datatyveri man er redd for, kan det være ille nok med en enkeltstående hendelse der alt en bruker har tilgang til blir stjålet.

Spørs på 2-faktor løsningen det da flere av de løser det problemet også, men uansett er ikke utfordringen i størst grad aktive angrep, de passive angrepene er en større trussel.

Lenke til kommentar
Civilix

Civilix

Skrevet
Skrevet
JayMJay skrev (9 minutter siden):

Helt enig med Ivar Nesje her. Ser flere og flere peke på to faktor som en "fiks", når problemet er kompetanse og rutiner. Det har opp igjennom tiden vist seg gang på gang at passord rutiner ikke hjelper hvis bruker kompetansen ikke er tilstrekkelig.

Det grunnleggende problemet er kompetanse, men i mangel på dette er jo nettopp 2-faktor en fiks som hjelper oss å bli litt sikrere.

2-faktor er langt enklere å implementere, betyr ikke at man ikke skal pushe opplæring men vi må kjenne til hva som er mulig å få til.

Lenke til kommentar
Neonex

Neonex

Skrevet
Skrevet
Civilix skrev (43 minutter siden):

Spørs på 2-faktor løsningen det da flere av de løser det problemet også, men uansett er ikke utfordringen i størst grad aktive angrep, de passive angrepene er en større trussel.

Som kommunalt ansatt som rister på hodet over mine kollegers uvitenhet, så kan jeg si såpass at grunnet fagforeninger som er i mot bruk av egen mobil i jobb - et prinsipp jeg egentlig er enig i (og at kommunen i liten grad utstyrer sine ansatte med jobb-mobiler), så har man 2 valg ang to-faktor. Enten kan man bruke egen mobil (via sms eller authenticator) eller få et kodeark (slik man hadde før bankid). De som velger å respektere fagforeningen må da bruke det arket for to-faktor, og alle jeg vet om hater det (gjorde det selv, derfor jeg nå bruker authenticator).

NULL skrev (18 minutter siden):

Sikkert samme folka som fikk meldingene om svakheter i kommunens systemer, som den 14-årige skoleeleven fant, men som de da ikke gjorde noe med...  ?

Her var ikke mye svakhet. Var rett og slett en rektor som hadde rævva passord (Daterens navn elns). Eleven gjettet seg til passordet, og den rektoren var superbruker, og eleven fikk derfor tilgang til masse grunnet dårlig passord (to-faktor ble innført som følge av dette). Dette problemet går - som nevnt i tråden - på kompetanse og udugelighet.

Lenke til kommentar
Civilix

Civilix

Skrevet
Skrevet
Neonex skrev (2 minutter siden):

(...)Enten kan man bruke egen mobil (via sms eller authenticator) eller få et kodeark (slik man hadde før bankid). De som velger å respektere fagforeningen må da bruke det arket for to-faktor, og alle jeg vet om hater det (gjorde det selv, derfor jeg nå bruker authenticator).

Kjenner til problemstillingen med mobil bruk og offentlige ansatte så ja vi har noen unike problemstillinger, men vi har jo RSA brikker og smartkort som alternativer du ikke har nevnt. Kodeark håpet jeg at vi var forbi på dette tidspunktet. Dessverre er noen løsninger som må brukes av det offentlige slik som feide som ikke er veldig langt fremme.

Å få RSA/smartkort støtte i feide hadde vært topp.

Lenke til kommentar
Neonex

Neonex

Skrevet
Skrevet
Civilix skrev (12 minutter siden):

Kjenner til problemstillingen med mobil bruk og offentlige ansatte så ja vi har noen unike problemstillinger, men vi har jo RSA brikker og smartkort som alternativer du ikke har nevnt. Kodeark håpet jeg at vi var forbi på dette tidspunktet. Dessverre er noen løsninger som må brukes av det offentlige slik som feide som ikke er veldig langt fremme.

Å få RSA/smartkort støtte i feide hadde vært topp.

Var ikke klar over de to mulighetene. Smartkort ser jeg jo umiddelbart er uaktuelt (1000 kr pr stk for å ha i 3 år hvis jeg forstår det riktig - tror ingen kommune med vettet i behold kunne forsvart det overfor hverken økonomiadministrasjon eller skattebetalere), men RSA er det litt som bankid bare med en 4-sifret pin i tillegg? Det burde vel absolutt være gjennomførbart uten de helt store kostnadene..

Lenke til kommentar
Runar

Runar

Skrevet
Skrevet
Neonex skrev (5 minutter siden):

Smartkort ser jeg jo umiddelbart er uaktuelt (1000 kr pr stk for å ha i 3 år hvis jeg forstår det riktig - tror ingen kommune med vettet i behold kunne forsvart det overfor hverken økonomiadministrasjon eller skattebetalere)

Fysiske sikkerhetsnøkler (i mangel på bedre ord) er et fint alternativ til smartkort. De billigste koster et par-tre hundrelapper, og har ingen utløpsdato eller abonnementer.

Lenke til kommentar
Civilix

Civilix

Skrevet
Skrevet
Neonex skrev (2 minutter siden):

Var ikke klar over de to mulighetene. Smartkort ser jeg jo umiddelbart er uaktuelt (1000 kr pr stk for å ha i 3 år hvis jeg forstår det riktig - tror ingen kommune med vettet i behold kunne forsvart det overfor hverken økonomiadministrasjon eller skattebetalere), men RSA er det litt som bankid bare med en 4-sifret pin i tillegg? Det burde vel absolutt være gjennomførbart uten de helt store kostnadene..

Smartkort er ikke i nærheten av så kostbart, og det er kommuner som har det allerede i dag(og det er også små kommuner som har det).

Smarkort-brukere kan enkelt deles i to brukergrupper hvor man har de som trenger offentlige sertifikater og de som klarer seg med lokale, de som må ha offentlig sertifikater(stort sett leger og andre innen helse) betaler ofte allerede for smartkort så for de blir det minimalt med tillegg, eller så er det vel noen hundreplapper for ett offentlig sertifikat med varighet tre år, lokale sertifikater er langt billigere.

Smartkort kan også puttes på en usb-nøkkel(for eksempel yubikey) og da er kosten bare innkjøpskostnaden for usb-nøkkelen og timebruk hos it-avdelingen.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...