[IKI-aktivistit] admin.iki.fi ja MFA
Hannu Aronsson
haa at iki.fi
Sun Apr 12 19:00:58 EEST 2020
> On 12.4.2020, at 14:23+0300, Mikko Koljander <mikko.koljander at iki.fi> wrote:
>
> Moikka!
>
> Onko IKI:n jäsenpalveluiden monivaiheinen tunnistautuminen ollut täällä keskustelunaiheena?
>
> Näkisikö IKI-aktivistiyhteisö sellaisen olemassaololle tilausta, kun IKI-jäsenpalvelun kautta tehtävät muutokset avaavat aika monia email- ja DNS-pohjaisia ovia jäsentensä käyttämiin IT-palveluihin?
Iki-hallituksessa on viimeksi tällä viikolla olleessa iki-hack-illassa keskusteltu tästä aiheesta, esillä oli ehkä lupaavimpina
- SMS-pohjainen 2-factor ratkaisu käyttäen tuota SMS-yhteyttä mikä meillä on nyt taas käytössä salasanojen resetointiin, tai
- HST-älykorttitunnistuksen (tms) tekeminen loppuun (sitä aloiteltiin jokunen vuosi sitten).
Muitakin vaihtoehtoja on pohdittu mutta vähemmän esim. Google authenticator app, yms.
Tämä asia on ollut ajoittain mietinnässä, mutta yleensä iki-asetuksia säädetään niin harvoin että on vaikea löytää järjestelyä joka toimisi kätevästi harvoin käytetyssä palvelussa, esim. kerran 5 tai 10 vuodessa, ilman että joka kerta pitäisi resetoida ja konfiguroida se alusta asti uudelleen (eli niin että sama 2-factor järjestely olisi vielä voimassa ja käytössä 5-10 vuoden jälkeen). Kännykkänumerot nykyään ovat kyllä melko pysyviä.
Yleisperiaatteena on pyritty parempaan turvatasoon kuin normi-www-saittien tunnistus- ja salasanakäytännöt. Järjestelyn pitäisi olla myös sellainen ettei siitä tule lisää työkuormaa yhdistykselle, nykyiset salasanan resetointimenetelmät vielä onnistuu käsitellä.
Vuosien saatossa on ollut muutama tapaus missä jonkun iki-tietoja on muutettu vääriksi kun nähtävästi salasana on ollut sama kuin jossain muussa palvelussa mistä se on vuotanut. Jos iki-salasanaksi laittaa tarpeeksi monimutkaisen ja eri kuin muissa palveluissa, sen pitäisi olla aika OK.
Iki jäsenrekisteri myös lähettää kaikista osoitemuutoksista mailia myös vanhaan osoitteeseen joka auttaa havaitsemaan ongelmia.
SMS-yhteyksienkin turvallisuus on monien mielestä myös heikko sekin koska uuden SIMmin voi saada social engineeröityä operaattoreilta jos jokus haluaa sinne tulevat 2-factor viestit itselleen.
Muutama kysymys laajemmalle aktivisti-porukalle laajempien kokemuksien ja ideoiden keräämiseksi:
- Onko muita tällaiseen sopivia 2-factor palveluita tai järjestelyitä tms. jotka toimisivat iki:n tapauksessa, eli missä suurin osa käyttäjistä loggaa sisään kerran 5 tai 10 vuodessa, ja aktiivisetkin parin vuoden välein?
- Onko jossain muussa palvelussa joku hyvin toimiva systeemi mistä voisi ottaa parannusideoita?
- Onko tietoa Suomalaisten GSM-operaattoreiden SIM-vaihto turvajärjestelyistä, esim. joku että vaaditaan fyysinen käynti henkilötodistuksen kanssa liikkeessä eikä onnistu puhelimessa? Voitaisiin suositella ihmisiä laittamaan liittymäänsä tällainen päälle noin muutenkin.
- Katsokaapa iki:n login-sivulta salasanan resetointijärjestelyt eri tilanteissa mitä tällä hetkellä on käytössä, olisiko niihin käytännöllisiä parannusehdotuksia? <https://admin.iki.fi/perl/admin?> kohta "Unohditko iki-salasanasi?"
- muita käytännöllisiä ideoita ja ehdotuksia tästä aihepiiristä?
Terveisin,
Hannu
> koljande at iki.fi <mailto:koljande at iki.fi>_______________________________________________
> IKI-aktivistit mailing list
> IKI-aktivistit at listat.iki.fi
> https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit
--
haa at iki.fi http://www.haa.iki.fi
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listat.iki.fi/pipermail/iki-aktivistit/attachments/20200412/24a94aea/attachment.htm>
More information about the IKI-aktivistit
mailing list