<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div>Järkevän kuuloisia ajatuksia. Omia näkökulmia: </div><div><br class=""></div><div><div style="caret-color: rgb(0, 0, 0); color: rgb(0, 0, 0);">- mitään näkökulmaa (target teknologia, käytettävyys, ylläpidon helppeus, edullisuus…) ei voi kuitenkaan maksimoida, parempi yrittää löytää riittävä optimi, jotta toiminta kehittyy nykyisestä</div><div class="">- pitkäkestoinen teknologia (SMS ja HST hyviä esimerkkejä) tarpeen, jotta systeemi on käytettävä sekä käyttäjille, että ylläpitäjille</div><div class=""><br class=""></div></div><div>SIM korttien social engineeröinti on varmasti mahdollista vaikka etäasiakaspalvelukanavissa online -tunnistautumiset (TUPAS, Mobiilivarmenne, HST) onkin operaattoreilla melko vakiintuneet. eSIM varmasti tulee vielä 1-2 vuoden sisään vaikuttamaan tähän, kun liittymän vaihtamisesta on tarkoitus voida tehdä huomattavasti dynaamisempaa kuin nykyään.</div><div><br class=""></div><div>HST -kortti on varmasti kriteerit täyttävä ja harvoin päivityksiä tekevälle varma turva ilman isoja kompromisseja käytettävyyteen.</div><div><br class=""></div><div>—</div><div><a href="mailto:koljande@iki.fi" class="">koljande@iki.fi</a></div><div><br class=""></div><div><br class=""></div><div><br class=""><blockquote type="cite" class=""><div class="">Hannu Aronsson <<a href="mailto:haa@iki.fi" class="">haa@iki.fi</a>> kirjoitti 12.4.2020 kello 19.00:</div><br class="Apple-interchange-newline"><div class=""><meta http-equiv="Content-Type" content="text/html; charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class=""><blockquote type="cite" class=""><div class="">On 12.4.2020, at 14:23+0300, Mikko Koljander <<a href="mailto:mikko.koljander@iki.fi" class="">mikko.koljander@iki.fi</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="auto" class="">Moikka! </div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">Onko IKI:n jäsenpalveluiden monivaiheinen tunnistautuminen ollut täällä keskustelunaiheena?</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">Näkisikö IKI-aktivistiyhteisö sellaisen olemassaololle tilausta, kun IKI-jäsenpalvelun kautta tehtävät muutokset avaavat aika monia email- ja DNS-pohjaisia ovia jäsentensä käyttämiin IT-palveluihin?</div></div></blockquote><div class=""><br class=""></div><div class="">Iki-hallituksessa on viimeksi tällä viikolla olleessa iki-hack-illassa keskusteltu tästä aiheesta, esillä oli ehkä lupaavimpina </div><div class="">- SMS-pohjainen 2-factor ratkaisu käyttäen tuota SMS-yhteyttä mikä meillä on nyt taas käytössä salasanojen resetointiin, tai </div><div class="">- HST-älykorttitunnistuksen (tms) tekeminen loppuun (sitä aloiteltiin jokunen vuosi sitten). </div><div class="">Muitakin vaihtoehtoja on pohdittu mutta vähemmän esim. Google authenticator app, yms. </div><div class=""><br class=""></div><div class="">Tämä asia on ollut ajoittain mietinnässä, mutta yleensä iki-asetuksia säädetään niin harvoin että on vaikea löytää järjestelyä joka toimisi kätevästi harvoin käytetyssä palvelussa, esim. kerran 5 tai 10 vuodessa, ilman että joka kerta pitäisi resetoida ja konfiguroida se alusta asti uudelleen (eli niin että sama 2-factor järjestely olisi vielä voimassa ja käytössä 5-10 vuoden jälkeen). Kännykkänumerot nykyään ovat kyllä melko pysyviä.</div><div class=""><br class=""></div><div style="caret-color: rgb(0, 0, 0);" class="">Yleisperiaatteena on pyritty parempaan turvatasoon kuin normi-www-saittien tunnistus- ja salasanakäytännöt. Järjestelyn pitäisi olla myös sellainen ettei siitä tule lisää työkuormaa yhdistykselle, nykyiset salasanan resetointimenetelmät vielä onnistuu käsitellä.</div><div class=""><br class=""></div><div class="">Vuosien saatossa on ollut muutama tapaus missä jonkun iki-tietoja on muutettu vääriksi kun nähtävästi salasana on ollut sama kuin jossain muussa palvelussa mistä se on vuotanut. Jos iki-salasanaksi laittaa tarpeeksi monimutkaisen ja eri kuin muissa palveluissa, sen pitäisi olla aika OK.</div><div class=""><br class=""></div><div class="">Iki jäsenrekisteri myös lähettää kaikista osoitemuutoksista mailia myös vanhaan osoitteeseen joka auttaa havaitsemaan ongelmia.</div><div class=""><br class=""></div><div class="">SMS-yhteyksienkin turvallisuus on monien mielestä myös heikko sekin koska uuden SIMmin voi saada social engineeröityä operaattoreilta jos jokus haluaa sinne tulevat 2-factor viestit itselleen.</div><div class=""><br class=""></div><div class="">Muutama kysymys laajemmalle aktivisti-porukalle laajempien kokemuksien ja ideoiden keräämiseksi:</div><div class=""><br class=""></div><div class="">- Onko muita tällaiseen sopivia 2-factor palveluita tai järjestelyitä tms. jotka toimisivat iki:n tapauksessa, eli missä suurin osa käyttäjistä loggaa sisään kerran 5 tai 10 vuodessa, ja aktiivisetkin parin vuoden välein? </div><div class=""><br class=""></div><div class="">- Onko jossain muussa palvelussa joku hyvin toimiva systeemi mistä voisi ottaa parannusideoita?</div><div class=""><br class=""></div><div class="">- Onko tietoa Suomalaisten GSM-operaattoreiden SIM-vaihto turvajärjestelyistä, esim. joku että vaaditaan fyysinen käynti henkilötodistuksen kanssa liikkeessä eikä onnistu puhelimessa? Voitaisiin suositella ihmisiä laittamaan liittymäänsä tällainen päälle noin muutenkin.</div><div class=""><br class=""></div><div class="">- Katsokaapa iki:n login-sivulta salasanan resetointijärjestelyt eri tilanteissa mitä tällä hetkellä on käytössä, olisiko niihin käytännöllisiä parannusehdotuksia? <<a href="https://admin.iki.fi/perl/admin?" class="">https://admin.iki.fi/perl/admin?</a>> kohta "Unohditko iki-salasanasi?"</div><div class=""><br class=""></div><div class="">- muita käytännöllisiä ideoita ja ehdotuksia tästä aihepiiristä?</div><div class=""><br class=""></div><div class="">Terveisin,</div><div class="">  Hannu</div><br class=""><blockquote type="cite" class=""><div dir="auto" class=""><a href="mailto:koljande@iki.fi" class="">koljande@iki.fi</a></div>
_______________________________________________<br class="">IKI-aktivistit mailing list<br class=""><a href="mailto:IKI-aktivistit@listat.iki.fi" class="">IKI-aktivistit@listat.iki.fi</a><br class=""><a href="https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit" class="">https://listat.iki.fi/mailman/listinfo.cgi/iki-aktivistit</a><br class=""></blockquote></div><br class=""><div class="">
<br class="">--<br class=""><a href="mailto:haa@iki.fi" class="">haa@iki.fi</a> <a href="http://www.haa.iki.fi/" class="">http://www.haa.iki.fi</a><br class=""><br class=""><br class="">

</div>
<br class=""></div></div></blockquote></div><br class=""></body></html>