Mine områder
Hjelp
Anonymous
Ikke relevant

Passord policy

av Anonymous

Hei, brukerne på visma.net expense må nå skifte passord ved innlogging.
Dette er er det helt sinnsvake kravet som kommer opp

Minimum 8 characters
Minimum 1 uppercas
Minimum 1 lowercase
Minimum 1 numeric
Minimum 1 special characters
No spaces
Not digits at the end.

Håper dette er en veldig, veldig dårlig forsinka aprilspøk ?!
Dette er ikke innloggin til CIA, dette er reiseregning, jeg kan ikke be ansatte i en allerede stressa hverdag sitte 1 time hver gang de skal logge inn for å finne på nytt passord med dette kravet. De har nok gul lapper på skjermene fra før av også med håpløse passord.  Helt ubrukelig.

Jørgen

 

16 SVAR 16
Gintaras
CONTRIBUTOR *

av Gintaras

Norvegija123!

Stian Estil
VISMA

av Stian Estil

Da var det liv i en gammel tråd ja. Mye har skjedd siden 2017 når det gjelder sikkerhet, ikke minst muligheter for å ha sikre passord som ikke må huskes. Debatten fra 2017 om at 8 karakterers passord er ekstremt er fortsatt aktuell fra et brukervennnlighetsperspektiv, men sælig sikkert er det ikke.


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Stian Estil
VISMA

av Stian Estil

Takker for gode innspill. De deles videre med vår utviklingsavdeling og de som jobber med sikkerhet til daglig. Flere alternativer til vanlig passord er i våre planer. BankID, GoogleID og Windows SSO (Federation). Sistnevnte er den vi får meste spørsmål om, altså at man knytte sin Windowsbruker og passord til en Visma.net tjeneste. 

Forøvrig har vi nå passert 78 000 passordendringer.


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community

av Helga Marie Auran

Hei,

 

Utviklingsavdelingen har nå endret passordpolicy.

 

Disse reglene er fjernet:

- Ingen tall på slutten

- Ingen mellomrom

 

Reglene er nå da disse:passord connect.PNG

 

 

 

 

Takk for tilbakemeldingene!


Kind regards,
Helga
Give a 'like' if you found this useful or/& 'accept the solution ' if it was the answer to your question. This helps others in the Community! 🙂
Ørnulf Lindset
CHAMPION *

av Ørnulf Lindset

Hekter meg på her jeg også - nå er vi i alle fall fire. Tror nok jeg får med meg de fleste av kundene mine også - når de ved neste tilfelle logger på nettsiden istedet for appen og blir tvunget til et passordbytte.

Det er unødig mange krav - hva med å kreve bare 3 av dem innfridd for å akseptere passordet?
Alternativt kunne et simpelt krav til passord vært styrket ved 2FA via SMS-kode til mobilen - ikke sikker på at jeg vil tvinge noen av mine kunder til å installere Google Autentisering

Tror nok det er flere enn oss som synes dette er strengt og unødig - men det er vanskelig å argumentere mot at det er bra med økt sikkerhet.

Når det kommer til muligheten for å tilpasse passord-policy så må vel det være like lett som det er at man kan velge om en ønsker å aktivere 2FA - og at dette gjelder for alle kundene samlet.

Nils Fossum
ACTIVE CONTRIBUTOR *

av Nils Fossum

Helt enig med Geir! Hva med å få mulighet til å bruke BankID som pålogging?

Anonymous
Ikke relevant

av Anonymous

Då kan eg bli den tredje, Stian.

Dette var strenge vilkår, synest eg.

Stian Estil
VISMA

av Stian Estil

Inntil videre er svaret nei. Inntil videre er passord policy styrt av Visma. Men vi tar innspill fra våre kunder til etterretning. Så langt har vi hatt 68 000 brukere som har klart å endre passord, og kun 2 innspill på at policy er for streng. Det er første gang kundene har måttet endre passord på Visma.net, styrt av oss. Når det gjelder appene så er det samme passord som man benytter på web for alle apper.


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Det blir litt for enkelt å peke på 2 av 68.000 som klager.

 

Jeg synes passordregimet er meningsløst. Jeg trur jeg har 4 forskjellige vismabrukere som av forskjellige grunner er har samme brukernavn men forskjellige passord.

 

Et av de er til en terminalserver for lønn. Her er det først et ultrakomplisert passord for å logge inn, så tofaktor med kode til mobil, og så et nytt brukernavn og passord for å komme inn i lønnssystemet. 

Det første ultrakompliterte passordet må byttes med jevne mellomrom, og jeg får en epost om det 4 dager i forkant. 

 

Og som du skrev i en tidliger post om at man bare kan la nettleser huske passordet, betyr at du ikke har begrep om sikkerhet.

Stian Estil
VISMA

av Stian Estil

Hei,

Denne tråden dreier seg om Visma sin passordhåndtering i Visma.net Expense og tilhørende skytjenester. Som tidligere omtalt vil Visma Connect benyttes på tvers av alle våre skytjenester etterhver, slik at brukerne har et brukernavn og et passord. Jeg er sikkert ingen sikkerhetsekspert, men det er derimot mange av mine kollegaer. Visma Sikkerhets Forum består fire personer som på heltid jobbe med sikkerhet og personvern, sammen med over 60 sikkerhetsingeniører fordelt på ulike produktteam. De jobber blant annet med å videreutvikle Visma Connect, som er tjenesten som håndterer brukernavn og passord i våre skytjenester. Den vil etterhver utvides med BankID, integrasjon med Active Directory, og muligens en fingeravtrykksapp for mobil som vil gjøre det enda enklere. Det vil også komme en egen administrasjonsside for justering av passord policy, men så vidt jeg vet vil det være minimumskrav.

Det du henviser til når du skriver om 4 forskjellige Vismabrukere som har forskjellige passord kan jeg vanskelig kommentere, da jeg ikke vet hva dere bruker av programvare fra Visma, eller hvordan det er satt opp. Men ta gjerne kontakt direkte med vårt kundesenter så kan vi se på saken. Siden du nevner at du bruker "terminalserver for lønn", så brukere dere iallefall Visma Lønn. I våre Windowsbaserte produkter så er det ikke Visma som styrer Passord Policy., Så i den grad det er krav til et ultrakomplisert passord som må byttes med jevne mellomrom, så er det ikke Visma som styrer dette. Visma Lønn benytter din Windows pålogging, og husker det brukernavn og passordet du benytter i Windows. Det er igjen styrt av passord policy i det windows domenet du tilhører. Det er igjen enten styrt av din arbeidsgivers IT ressurser, evnt. ekstern aktør dere bruker på drift. Mange driftsleverandører setter forøvrig langt strengere krav til passord enn det vi har i Visma sine skytjenester.

 

Vi utvikler nå også en ny funksjonalitet som vil gjøre det mulig å ha samme brukernavn og passord på tvers av skytjenestene og lokalt installerte Visma løsninger, for ytterligere forenkle dette.

 

Vedr. bruk av nettlesers funksjon for å huske passord, så finnes det mange varianter av dette. Noen er bedre enn andre. Som tidligere henvist til i denne tråden benytter feks. Google Smartlock en kryptering av passordene, og er knyttet til at du har en innlogget bruker i nettlesere. Jeg oppfatter Google som en ledende leverandør av skytjenester, med svært gode sikkerthetsmekanismer.

 

Det er helt klart en utfordring for oss alle, og huske alle de brukernavnene og passordene vi benytter, både privat og i arbeid, på tvers av en rekke forskjellige tjenester som benyttes. Hvor ultrakompliserte de skal være er en annen sak. Denne artikkelen  har gitt meg noen gode tips på hvordan jeg kan forenkle min egen passordhverdag, og den kan kanskje helpe andre også.

 

Når det gjelder sikkerhet generelt, kan vi forvente skjerpede krav i tiden fremover, og ikke det motsatte, dette blant annet på grunn av kommende GDPR som setter personvern høyt på agendaen. Samtidig skal vi gjøre vårt for å gjøre det så enkelt som mulig for våre brukere.


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Feks.Huldt og lillevik Lønn 5 i cloud går på terminalserver via citrix. Her er det kompliserte passord som må byttes jevnlig, pluss 2faktor kode på mobil pluss ny pålogging til lønnssystemet.

Ingen AD altså, og alt styres av Visma.

 

 

 

 

 

 

Stian Estil
VISMA

av Stian Estil

Hei igjen Trond. Jeg kan ikke se hvilken kunde du er ansatt hos her på Community og derfor heller ikke se hvilke systemer du bruker.  Men H&L Cloud tenkte jeg ikke på. Jeg kjenner ikke H&L så godt, så jeg vet ikke hvilke muligheter som ligger der for å evnt. forenkle, med feks. SingleSignOn med terminalserver påloggingen. Men det burde jo kunne forenkles noe. Jeg ber evnt. noen fra H&L supportteam kommentere.


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Hei, og takker for dine sysnpunkter vedr sikkerhet, den er forøvrig godt nok ivaretatt her på huset. Spørsmålet jeg må tilbake til er om vi som brukere kan få bestemme passordet selv ? og om da vi ønsker en strengere passordpolicy så får hvert enkelt firma bestemme dette via 2FA eller andre måter. Vedr telefon så ja, man har jo kode på telefonen som du sier, så hvorfor man da må ha verdens mest kompliserte passord for å ta bilder av kvittering er da snodig. Men når du sier man setter passordet en gang, så stemmer jo ikke det, vi alle måtte endre nå nylig, til noe vi ikke klarer å huske, dermed blir det enda nytt et neste gang, evt når vi skal logge på attach...glemt passord.

Vi kan sikkert diskutere hva som er normalt og mest sikkert og hva man burde gjøre og ikke gjøre, men spørsmålet mitt er egentlig veldig enkelt, kan vi få mulighet til å bestemme passord policy selv ?

Stian Estil
VISMA

av Stian Estil

Hvis brukeren ikke "locker" sin windows/Mac/ipad device når de forlater den så er ingen ting trygt. Det er noe man bør gjøre. Og gjør man det så får ingen andre tilgang til nettleseren din og de instillinger du har lagret der. Google setter sikkerhet høyt, og mekanismene de bruker for nettoppdette er enkle, gode og sikre.

I appene våre legges brukernavn og passord inn bare en gang, hvis man ønsker det, så trenger man ikke tenke mer på det. Da kommer du rett inn når du starter appene. Normalt har man kode på telefonen, som hindrer at ikke andre får tilgang hvis de får tak i den, på samme måte som en bør "locke" PC/Mac osv.

Vedr. Chrome, som vi i Visma har mest erfaring med, fordi det er vår standard nettleser for alle som bruker PC, så kan passordet som lagres for den enkelte tjeneste man benytter og synces på tvers av alle devicer man har som benytter Chrome som nettleser. Andre nettlesere har sikkert noe lignende. https://get.google.com/smartlock/

 


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Anonymous
Ikke relevant

av Anonymous

Hei, greit nok at man har mulighet for 2FA, da kan de som ønsker ekstra sikkerhet velge det. Chrome for lagring av passord...vel man er vel ikke tryggere enn det svakeste ledd, og setter man chrome til å huske passord, så er ikke det spesielt trygt ? 

Når det gjelder å huske dette passordet, i tillegg til veldig mange andre passord, så gjelder det vel ikke bare på PC, men også når man skal logge inn på mobil med expense appen. Så det ender med nevnte gul lapper og noterte passord, og det rotes bort eller glemmes lel, så da er det resetting av passord. Visma er ikke eneste med vrange passord policy, men de er desidert den verste til nå.

La oss bestemme passord selv, om jeg velger 123 så la meg det, mitt valg.

Forøvrig er ikke jeg den største brukern av expense her på jobb, men det er meg de kommer til med frustrasjonen sin over dette, og jeg skjønner de godt, jeg måtte skifte passordet mitt selv i går, nå husker jeg det ikke...så da må jeg endre det igjen da. Denne gangen skal jeg notere på gul lapp og klistre på skjermen min. Hack iveg.

Stian Estil
VISMA

av Stian Estil

Det er forskjellige meninger om hva som er et sikkert passord. Mange kunder ser også på reiseregning og utlegg som privat informasjon som man ikke ønsker skal komme på avveie, og noen ønsker strengere krav enn dette og velger da og aktivere 2FA.

Det er ikke noe krav til at brukeren skal skifte passordet ofte, så når passordet først er satt så trenger de ikke å bruke tid på å gjøre det igjen. Riktig oppsett av nettleser, for eksempel Chrome gjør også at den ansatte på sin PC kan få nettleseren til å huske passordet.


Med vennlig hilsen,
Stian Estil/Product Director
Gi gjerne en "like" om du synes svaret var nyttig og Godta som løsning hvis jeg besvarte spørsmålet ditt. Dette hjelper andre i Community
Gå til de områdene du ønsker å legge til og velg "Legg til i Mine områder"