[IKI-aktivistit] admin.iki.fi ja MFA

Hannu Aronsson haa at iki.fi
Sun Apr 12 19:00:58 EEST 2020 

> On 12.4.2020, at 14:23+0300, Mikko Koljander <mikko.koljander at iki.fi> wrote:
> 
> Moikka! 
> 
> Onko IKI:n jäsenpalveluiden monivaiheinen tunnistautuminen ollut täällä keskustelunaiheena?
> 
> Näkisikö IKI-aktivistiyhteisö sellaisen olemassaololle tilausta, kun IKI-jäsenpalvelun kautta tehtävät muutokset avaavat aika monia email- ja DNS-pohjaisia ovia jäsentensä käyttämiin IT-palveluihin?

Iki-hallituksessa on viimeksi tällä viikolla olleessa iki-hack-illassa keskusteltu tästä aiheesta, esillä oli ehkä lupaavimpina 
- SMS-pohjainen 2-factor ratkaisu käyttäen tuota SMS-yhteyttä mikä meillä on nyt taas käytössä salasanojen resetointiin, tai 
- HST-älykorttitunnistuksen (tms) tekeminen loppuun (sitä aloiteltiin jokunen vuosi sitten). 
Muitakin vaihtoehtoja on pohdittu mutta vähemmän esim. Google authenticator app, yms. 

Tämä asia on ollut ajoittain mietinnässä, mutta yleensä iki-asetuksia säädetään niin harvoin että on vaikea löytää järjestelyä joka toimisi kätevästi harvoin käytetyssä palvelussa, esim. kerran 5 tai 10 vuodessa, ilman että joka kerta pitäisi resetoida ja konfiguroida se alusta asti uudelleen (eli niin että sama 2-factor järjestely olisi vielä voimassa ja käytössä 5-10 vuoden jälkeen). Kännykkänumerot nykyään ovat kyllä melko pysyviä.

Yleisperiaatteena on pyritty parempaan turvatasoon kuin normi-www-saittien tunnistus- ja salasanakäytännöt. Järjestelyn pitäisi olla myös sellainen ettei siitä tule lisää työkuormaa yhdistykselle, nykyiset salasanan resetointimenetelmät vielä onnistuu käsitellä.

Vuosien saatossa on ollut muutama tapaus missä jonkun iki-tietoja on muutettu vääriksi kun nähtävästi salasana on ollut sama kuin jossain muussa palvelussa mistä se on vuotanut. Jos iki-salasanaksi laittaa tarpeeksi monimutkaisen ja eri kuin muissa palveluissa, sen pitäisi olla aika OK.

Iki jäsenrekisteri myös lähettää kaikista osoitemuutoksista mailia myös vanhaan osoitteeseen joka auttaa havaitsemaan ongelmia.

SMS-yhteyksienkin turvallisuus on monien mielestä myös heikko sekin koska uuden SIMmin voi saada social engineeröityä operaattoreilta jos jokus haluaa sinne tulevat 2-factor viestit itselleen.

Muutama kysymys laajemmalle aktivisti-porukalle laajempien kokemuksien ja ideoiden keräämiseksi:

- Onko muita tällaiseen sopivia 2-factor palveluita tai järjestelyitä tms. jotka toimisivat iki:n tapauksessa, eli missä suurin osa käyttäjistä loggaa sisään kerran 5 tai 10 vuodessa, ja aktiivisetkin parin vuoden välein? 

- Onko jossain muussa palvelussa joku hyvin toimiva systeemi mistä voisi ottaa parannusideoita?

- Onko tietoa Suomalaisten GSM-operaattoreiden SIM-vaihto turvajärjestelyistä, esim. joku että vaaditaan fyysinen käynti henkilötodistuksen kanssa liikkeessä eikä onnistu puhelimessa? Voitaisiin suositella ihmisiä laittamaan liittymäänsä tällainen päälle noin muutenkin.

- Katsokaapa iki:n login-sivulta salasanan resetointijärjestelyt eri tilanteissa mitä tällä hetkellä on käytössä, olisiko niihin käytännöllisiä parannusehdotuksia? <https://admin.iki.fi/perl/admin?> kohta "Unohditko iki-salasanasi?"

- muita käytännöllisiä ideoita ja ehdotuksia tästä aihepiiristä?

Terveisin,
  Hannu

> koljande at iki.fi <mailto:koljande at iki.fi>_______________________________________________
> IKI-aktivistit mailing list
> IKI-aktivistit at listat.iki.fi
> https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit


--
haa at iki.fi http://www.haa.iki.fi



-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listat.iki.fi/pipermail/iki-aktivistit/attachments/20200412/24a94aea/attachment.htm>

More information about the IKI-aktivistit mailing list