From haa at iki.fi Wed Apr 8 13:19:24 2020 From: haa at iki.fi (Hannu Aronsson) Date: Wed, 8 Apr 2020 13:19:24 +0300 Subject: [IKI-aktivistit] =?utf-8?q?Iki-hack-ilta_videokonferenssina_t?= =?utf-8?b?w6Ruw6TDpG4ga2UgOC40LiBrbG8gMTggYWxrYWVu?= Message-ID: <6C0407A1-ECE7-4B48-92BE-1FF545B6177A@iki.fi> Arvoisat iki-aktivistit, Iki-hallituksella on t?n??n iki-hack-ilta Jitsi-videokonferenssina. Iki-hack-illoissa jutellaan ja tehd??n iki-asioita. Jos iki-aktivisteista joku haluaa osallistua ja keskustella iki-asioista niin tule mukaan kello 18 alkaen. Kokouksen Jitsi osoite on: . Jitsi appi l?ytyy app storesta tai toimii hienoimmissa selaimissakin suoraan. Terveisin, Hannu -- haa at iki.fi http://www.haa.iki.fi From mikko.koljander at iki.fi Sun Apr 12 14:23:37 2020 From: mikko.koljander at iki.fi (Mikko Koljander) Date: Sun, 12 Apr 2020 14:23:37 +0300 Subject: [IKI-aktivistit] admin.iki.fi ja MFA Message-ID: Moikka! Onko IKI:n j?senpalveluiden monivaiheinen tunnistautuminen ollut t??ll? keskustelunaiheena? N?kisik? IKI-aktivistiyhteis? sellaisen olemassaololle tilausta, kun IKI-j?senpalvelun kautta teht?v?t muutokset avaavat aika monia email- ja DNS-pohjaisia ovia j?sentens? k?ytt?miin IT-palveluihin? ? koljande at iki.fi -------------- next part -------------- An HTML attachment was scrubbed... URL: From haa at iki.fi Sun Apr 12 19:00:58 2020 From: haa at iki.fi (Hannu Aronsson) Date: Sun, 12 Apr 2020 19:00:58 +0300 Subject: [IKI-aktivistit] admin.iki.fi ja MFA In-Reply-To: References: Message-ID: <55F7C346-750F-4EB5-9027-031CD6AE6E15@iki.fi> > On 12.4.2020, at 14:23+0300, Mikko Koljander wrote: > > Moikka! > > Onko IKI:n j?senpalveluiden monivaiheinen tunnistautuminen ollut t??ll? keskustelunaiheena? > > N?kisik? IKI-aktivistiyhteis? sellaisen olemassaololle tilausta, kun IKI-j?senpalvelun kautta teht?v?t muutokset avaavat aika monia email- ja DNS-pohjaisia ovia j?sentens? k?ytt?miin IT-palveluihin? Iki-hallituksessa on viimeksi t?ll? viikolla olleessa iki-hack-illassa keskusteltu t?st? aiheesta, esill? oli ehk? lupaavimpina - SMS-pohjainen 2-factor ratkaisu k?ytt?en tuota SMS-yhteytt? mik? meill? on nyt taas k?yt?ss? salasanojen resetointiin, tai - HST-?lykorttitunnistuksen (tms) tekeminen loppuun (sit? aloiteltiin jokunen vuosi sitten). Muitakin vaihtoehtoja on pohdittu mutta v?hemm?n esim. Google authenticator app, yms. T?m? asia on ollut ajoittain mietinn?ss?, mutta yleens? iki-asetuksia s??det??n niin harvoin ett? on vaikea l?yt?? j?rjestely? joka toimisi k?tev?sti harvoin k?ytetyss? palvelussa, esim. kerran 5 tai 10 vuodessa, ilman ett? joka kerta pit?isi resetoida ja konfiguroida se alusta asti uudelleen (eli niin ett? sama 2-factor j?rjestely olisi viel? voimassa ja k?yt?ss? 5-10 vuoden j?lkeen). K?nnykk?numerot nyky??n ovat kyll? melko pysyvi?. Yleisperiaatteena on pyritty parempaan turvatasoon kuin normi-www-saittien tunnistus- ja salasanak?yt?nn?t. J?rjestelyn pit?isi olla my?s sellainen ettei siit? tule lis?? ty?kuormaa yhdistykselle, nykyiset salasanan resetointimenetelm?t viel? onnistuu k?sitell?. Vuosien saatossa on ollut muutama tapaus miss? jonkun iki-tietoja on muutettu v??riksi kun n?ht?v?sti salasana on ollut sama kuin jossain muussa palvelussa mist? se on vuotanut. Jos iki-salasanaksi laittaa tarpeeksi monimutkaisen ja eri kuin muissa palveluissa, sen pit?isi olla aika OK. Iki j?senrekisteri my?s l?hett?? kaikista osoitemuutoksista mailia my?s vanhaan osoitteeseen joka auttaa havaitsemaan ongelmia. SMS-yhteyksienkin turvallisuus on monien mielest? my?s heikko sekin koska uuden SIMmin voi saada social engineer?ity? operaattoreilta jos jokus haluaa sinne tulevat 2-factor viestit itselleen. Muutama kysymys laajemmalle aktivisti-porukalle laajempien kokemuksien ja ideoiden ker??miseksi: - Onko muita t?llaiseen sopivia 2-factor palveluita tai j?rjestelyit? tms. jotka toimisivat iki:n tapauksessa, eli miss? suurin osa k?ytt?jist? loggaa sis??n kerran 5 tai 10 vuodessa, ja aktiivisetkin parin vuoden v?lein? - Onko jossain muussa palvelussa joku hyvin toimiva systeemi mist? voisi ottaa parannusideoita? - Onko tietoa Suomalaisten GSM-operaattoreiden SIM-vaihto turvaj?rjestelyist?, esim. joku ett? vaaditaan fyysinen k?ynti henkil?todistuksen kanssa liikkeess? eik? onnistu puhelimessa? Voitaisiin suositella ihmisi? laittamaan liittym??ns? t?llainen p??lle noin muutenkin. - Katsokaapa iki:n login-sivulta salasanan resetointij?rjestelyt eri tilanteissa mit? t?ll? hetkell? on k?yt?ss?, olisiko niihin k?yt?nn?llisi? parannusehdotuksia? kohta "Unohditko iki-salasanasi?" - muita k?yt?nn?llisi? ideoita ja ehdotuksia t?st? aihepiirist?? Terveisin, Hannu > koljande at iki.fi _______________________________________________ > IKI-aktivistit mailing list > IKI-aktivistit at listat.iki.fi > https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit -- haa at iki.fi http://www.haa.iki.fi -------------- next part -------------- An HTML attachment was scrubbed... URL: From mikko.koljander at iki.fi Sun Apr 12 20:23:07 2020 From: mikko.koljander at iki.fi (Mikko Koljander) Date: Sun, 12 Apr 2020 20:23:07 +0300 Subject: [IKI-aktivistit] admin.iki.fi ja MFA In-Reply-To: <55F7C346-750F-4EB5-9027-031CD6AE6E15@iki.fi> References: <55F7C346-750F-4EB5-9027-031CD6AE6E15@iki.fi> Message-ID: J?rkev?n kuuloisia ajatuksia. Omia n?k?kulmia: - mit??n n?k?kulmaa (target teknologia, k?ytett?vyys, yll?pidon helppeus, edullisuus?) ei voi kuitenkaan maksimoida, parempi yritt?? l?yt?? riitt?v? optimi, jotta toiminta kehittyy nykyisest? - pitk?kestoinen teknologia (SMS ja HST hyvi? esimerkkej?) tarpeen, jotta systeemi on k?ytett?v? sek? k?ytt?jille, ett? yll?pit?jille SIM korttien social engineer?inti on varmasti mahdollista vaikka et?asiakaspalvelukanavissa online -tunnistautumiset (TUPAS, Mobiilivarmenne, HST) onkin operaattoreilla melko vakiintuneet. eSIM varmasti tulee viel? 1-2 vuoden sis??n vaikuttamaan t?h?n, kun liittym?n vaihtamisesta on tarkoitus voida tehd? huomattavasti dynaamisempaa kuin nyky??n. HST -kortti on varmasti kriteerit t?ytt?v? ja harvoin p?ivityksi? tekev?lle varma turva ilman isoja kompromisseja k?ytett?vyyteen. ? koljande at iki.fi > Hannu Aronsson kirjoitti 12.4.2020 kello 19.00: > >> On 12.4.2020, at 14:23+0300, Mikko Koljander > wrote: >> >> Moikka! >> >> Onko IKI:n j?senpalveluiden monivaiheinen tunnistautuminen ollut t??ll? keskustelunaiheena? >> >> N?kisik? IKI-aktivistiyhteis? sellaisen olemassaololle tilausta, kun IKI-j?senpalvelun kautta teht?v?t muutokset avaavat aika monia email- ja DNS-pohjaisia ovia j?sentens? k?ytt?miin IT-palveluihin? > > Iki-hallituksessa on viimeksi t?ll? viikolla olleessa iki-hack-illassa keskusteltu t?st? aiheesta, esill? oli ehk? lupaavimpina > - SMS-pohjainen 2-factor ratkaisu k?ytt?en tuota SMS-yhteytt? mik? meill? on nyt taas k?yt?ss? salasanojen resetointiin, tai > - HST-?lykorttitunnistuksen (tms) tekeminen loppuun (sit? aloiteltiin jokunen vuosi sitten). > Muitakin vaihtoehtoja on pohdittu mutta v?hemm?n esim. Google authenticator app, yms. > > T?m? asia on ollut ajoittain mietinn?ss?, mutta yleens? iki-asetuksia s??det??n niin harvoin ett? on vaikea l?yt?? j?rjestely? joka toimisi k?tev?sti harvoin k?ytetyss? palvelussa, esim. kerran 5 tai 10 vuodessa, ilman ett? joka kerta pit?isi resetoida ja konfiguroida se alusta asti uudelleen (eli niin ett? sama 2-factor j?rjestely olisi viel? voimassa ja k?yt?ss? 5-10 vuoden j?lkeen). K?nnykk?numerot nyky??n ovat kyll? melko pysyvi?. > > Yleisperiaatteena on pyritty parempaan turvatasoon kuin normi-www-saittien tunnistus- ja salasanak?yt?nn?t. J?rjestelyn pit?isi olla my?s sellainen ettei siit? tule lis?? ty?kuormaa yhdistykselle, nykyiset salasanan resetointimenetelm?t viel? onnistuu k?sitell?. > > Vuosien saatossa on ollut muutama tapaus miss? jonkun iki-tietoja on muutettu v??riksi kun n?ht?v?sti salasana on ollut sama kuin jossain muussa palvelussa mist? se on vuotanut. Jos iki-salasanaksi laittaa tarpeeksi monimutkaisen ja eri kuin muissa palveluissa, sen pit?isi olla aika OK. > > Iki j?senrekisteri my?s l?hett?? kaikista osoitemuutoksista mailia my?s vanhaan osoitteeseen joka auttaa havaitsemaan ongelmia. > > SMS-yhteyksienkin turvallisuus on monien mielest? my?s heikko sekin koska uuden SIMmin voi saada social engineer?ity? operaattoreilta jos jokus haluaa sinne tulevat 2-factor viestit itselleen. > > Muutama kysymys laajemmalle aktivisti-porukalle laajempien kokemuksien ja ideoiden ker??miseksi: > > - Onko muita t?llaiseen sopivia 2-factor palveluita tai j?rjestelyit? tms. jotka toimisivat iki:n tapauksessa, eli miss? suurin osa k?ytt?jist? loggaa sis??n kerran 5 tai 10 vuodessa, ja aktiivisetkin parin vuoden v?lein? > > - Onko jossain muussa palvelussa joku hyvin toimiva systeemi mist? voisi ottaa parannusideoita? > > - Onko tietoa Suomalaisten GSM-operaattoreiden SIM-vaihto turvaj?rjestelyist?, esim. joku ett? vaaditaan fyysinen k?ynti henkil?todistuksen kanssa liikkeess? eik? onnistu puhelimessa? Voitaisiin suositella ihmisi? laittamaan liittym??ns? t?llainen p??lle noin muutenkin. > > - Katsokaapa iki:n login-sivulta salasanan resetointij?rjestelyt eri tilanteissa mit? t?ll? hetkell? on k?yt?ss?, olisiko niihin k?yt?nn?llisi? parannusehdotuksia? > kohta "Unohditko iki-salasanasi?" > > - muita k?yt?nn?llisi? ideoita ja ehdotuksia t?st? aihepiirist?? > > Terveisin, > Hannu > >> koljande at iki.fi _______________________________________________ >> IKI-aktivistit mailing list >> IKI-aktivistit at listat.iki.fi >> https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit > > > -- > haa at iki.fi http://www.haa.iki.fi > > > -------------- next part -------------- An HTML attachment was scrubbed... URL: