[IKI-aktivistit] admin.iki.fi ja MFA

Mikko Koljander mikko.koljander at iki.fi
Sun Apr 12 20:23:07 EEST 2020 

Järkevän kuuloisia ajatuksia. Omia näkökulmia: 

- mitään näkökulmaa (target teknologia, käytettävyys, ylläpidon helppeus, edullisuus…) ei voi kuitenkaan maksimoida, parempi yrittää löytää riittävä optimi, jotta toiminta kehittyy nykyisestä
- pitkäkestoinen teknologia (SMS ja HST hyviä esimerkkejä) tarpeen, jotta systeemi on käytettävä sekä käyttäjille, että ylläpitäjille

SIM korttien social engineeröinti on varmasti mahdollista vaikka etäasiakaspalvelukanavissa online -tunnistautumiset (TUPAS, Mobiilivarmenne, HST) onkin operaattoreilla melko vakiintuneet. eSIM varmasti tulee vielä 1-2 vuoden sisään vaikuttamaan tähän, kun liittymän vaihtamisesta on tarkoitus voida tehdä huomattavasti dynaamisempaa kuin nykyään.

HST -kortti on varmasti kriteerit täyttävä ja harvoin päivityksiä tekevälle varma turva ilman isoja kompromisseja käytettävyyteen.

—
koljande at iki.fi



> Hannu Aronsson <haa at iki.fi> kirjoitti 12.4.2020 kello 19.00:
> 
>> On 12.4.2020, at 14:23+0300, Mikko Koljander <mikko.koljander at iki.fi <mailto:mikko.koljander at iki.fi>> wrote:
>> 
>> Moikka! 
>> 
>> Onko IKI:n jäsenpalveluiden monivaiheinen tunnistautuminen ollut täällä keskustelunaiheena?
>> 
>> Näkisikö IKI-aktivistiyhteisö sellaisen olemassaololle tilausta, kun IKI-jäsenpalvelun kautta tehtävät muutokset avaavat aika monia email- ja DNS-pohjaisia ovia jäsentensä käyttämiin IT-palveluihin?
> 
> Iki-hallituksessa on viimeksi tällä viikolla olleessa iki-hack-illassa keskusteltu tästä aiheesta, esillä oli ehkä lupaavimpina 
> - SMS-pohjainen 2-factor ratkaisu käyttäen tuota SMS-yhteyttä mikä meillä on nyt taas käytössä salasanojen resetointiin, tai 
> - HST-älykorttitunnistuksen (tms) tekeminen loppuun (sitä aloiteltiin jokunen vuosi sitten). 
> Muitakin vaihtoehtoja on pohdittu mutta vähemmän esim. Google authenticator app, yms. 
> 
> Tämä asia on ollut ajoittain mietinnässä, mutta yleensä iki-asetuksia säädetään niin harvoin että on vaikea löytää järjestelyä joka toimisi kätevästi harvoin käytetyssä palvelussa, esim. kerran 5 tai 10 vuodessa, ilman että joka kerta pitäisi resetoida ja konfiguroida se alusta asti uudelleen (eli niin että sama 2-factor järjestely olisi vielä voimassa ja käytössä 5-10 vuoden jälkeen). Kännykkänumerot nykyään ovat kyllä melko pysyviä.
> 
> Yleisperiaatteena on pyritty parempaan turvatasoon kuin normi-www-saittien tunnistus- ja salasanakäytännöt. Järjestelyn pitäisi olla myös sellainen ettei siitä tule lisää työkuormaa yhdistykselle, nykyiset salasanan resetointimenetelmät vielä onnistuu käsitellä.
> 
> Vuosien saatossa on ollut muutama tapaus missä jonkun iki-tietoja on muutettu vääriksi kun nähtävästi salasana on ollut sama kuin jossain muussa palvelussa mistä se on vuotanut. Jos iki-salasanaksi laittaa tarpeeksi monimutkaisen ja eri kuin muissa palveluissa, sen pitäisi olla aika OK.
> 
> Iki jäsenrekisteri myös lähettää kaikista osoitemuutoksista mailia myös vanhaan osoitteeseen joka auttaa havaitsemaan ongelmia.
> 
> SMS-yhteyksienkin turvallisuus on monien mielestä myös heikko sekin koska uuden SIMmin voi saada social engineeröityä operaattoreilta jos jokus haluaa sinne tulevat 2-factor viestit itselleen.
> 
> Muutama kysymys laajemmalle aktivisti-porukalle laajempien kokemuksien ja ideoiden keräämiseksi:
> 
> - Onko muita tällaiseen sopivia 2-factor palveluita tai järjestelyitä tms. jotka toimisivat iki:n tapauksessa, eli missä suurin osa käyttäjistä loggaa sisään kerran 5 tai 10 vuodessa, ja aktiivisetkin parin vuoden välein? 
> 
> - Onko jossain muussa palvelussa joku hyvin toimiva systeemi mistä voisi ottaa parannusideoita?
> 
> - Onko tietoa Suomalaisten GSM-operaattoreiden SIM-vaihto turvajärjestelyistä, esim. joku että vaaditaan fyysinen käynti henkilötodistuksen kanssa liikkeessä eikä onnistu puhelimessa? Voitaisiin suositella ihmisiä laittamaan liittymäänsä tällainen päälle noin muutenkin.
> 
> - Katsokaapa iki:n login-sivulta salasanan resetointijärjestelyt eri tilanteissa mitä tällä hetkellä on käytössä, olisiko niihin käytännöllisiä parannusehdotuksia? <https://admin.iki.fi/perl/admin? <https://admin.iki.fi/perl/admin?>> kohta "Unohditko iki-salasanasi?"
> 
> - muita käytännöllisiä ideoita ja ehdotuksia tästä aihepiiristä?
> 
> Terveisin,
>   Hannu
> 
>> koljande at iki.fi <mailto:koljande at iki.fi>_______________________________________________
>> IKI-aktivistit mailing list
>> IKI-aktivistit at listat.iki.fi <mailto:IKI-aktivistit at listat.iki.fi>
>> https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit
> 
> 
> --
> haa at iki.fi <mailto:haa at iki.fi> http://www.haa.iki.fi <http://www.haa.iki.fi/>
> 
> 
> 

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listat.iki.fi/pipermail/iki-aktivistit/attachments/20200412/c6746ab9/attachment-0001.htm>

More information about the IKI-aktivistit mailing list