avbryt
Viser resultater for 
Søk heller etter 
Mente du: 
Mine områder

Logg inn eller registrer en ny bruker

for å automatisk få tildelt relevante områder i Mine områder.

Nils Fossum
GURU *

"Husk denne enheten i 30 dager" er en uting for de som er opptatt av datasikkerhet

av Nils Fossum
Status: Stem - Vi vurderer!

Hei,

 

I dag har media vært preget av nok en stygg sak ifm. datasikkerhet. Denne gangen var det datasystemene til landets helseforetak det var lett å komme seg inn på og statsministeren uttalte seg i media om blant annet viktigheten av tofaktorautentisering.

 

En arbeidsgiver kan huke av for at alle må bruke tofaktorautentisering og det er bra! Men det hjelper jo lite om man ved hver eneste pålogging får tilbud om å bli husket i 30 dager. Og når nettleserne også er ivrige til å tilby brukerne å lagre passord har man fort et lønnssystem som alle med tilgang til enheten kommer seg uproblematisk inn på. Håper dere ser at dette ikke er godt nok i forhold til sikkerhet og mener dere i hvert fall må tilby kunder å ha et høyere sikkerhetsnivå. Det vil si at de i hvert fall må kunne velge at ingen av brukerne skal få tilbud om å bli husket. Det er mulig det kan være forskjellig sikkerhetsnivå på en app i forhold til tilgangen til selve Employees, Payroll, Admin osv. via web. Jeg er ny i Payroll har de siste dagene stusset over at jeg kommer meg rett inn i systemet uten både passord og kode til mobilen. Har nå slettet det lagrede passordet fra nettleseren og fått fjernet haket for å bli husket på profilen min i Visma.net.

 

Mvh

Nils

9 Kommentarer
Håvar Kvalbein
PARTNER
av Håvar Kvalbein

Enig, obligatorisk 2FA ved bruk av Payroll hadde løst dette enkelt. 

Nils Fossum
GURU *
av Nils Fossum

Man kan skru på obligatorisk 2FA men det hjelper altså ikke. 

Håvar Kvalbein
PARTNER
av Håvar Kvalbein

Hei Nils,

 

med obligatorisk 2FA mener jeg som AutoPay, at dette settes som krav fra Visma sin side, ikke fra et brukerperspektiv.

Nils Fossum
GURU *
av Nils Fossum

Kjenner du til at man via - Visma.net Admin - Firmaer - Konfigurasjon,  kan huke av for "Jeg vil aktivere totrinnskontroll for mine brukere."?

Håvar Kvalbein
PARTNER
av Håvar Kvalbein

Ja, men som du sier, kombinasjonen med at en kan huske enheten i 30 dager skaper potensielle sikkerhetsbrudd. Det er også potensielt mange som ikke setter på 2FA selv, enten av uviten eller "latskap".

Det du nevner er et brukerperspektiv. Hvis Visma overstyrer dette så en ikke har et valg, men må benytte 2FA + tar bort mulighet for å huske, øker sikkerheten.

 

Nils Fossum
GURU *
av Nils Fossum

Enig! Men avhukingen jeg nevner gjør jo at alle brukere tvinges til 2FA, eller er det jeg som har misforstått noe? 

Håvar Kvalbein
PARTNER
av Håvar Kvalbein

Det er riktig det. Tenkte mer om Visma hadde en fornuftig løsning kun mot brukere med visse kritiske tilganger, så slipper en å sette 2FA på alle brukere og for hele Visma.net portalen.

Stian Estil
VISMA
av Stian Estil

Security vs usability er et tilbakevennende tema, og en vanskelig balansegang.

Visma har noen av landets og Europas ledende ressurser på teamet, og vi bruker mye tid på dette.

Jeg er ikke en av de ledende ressurser, men befatter meg ukentlig med fagområdet, via dialoger med våre kunder og interne sikkerhetsfora. Jeg har tatt dette konkrete spørsmålet/saken videre med våre sikkerhetsfolk. Først av alt er spørsmålet om hva slags "felles enheter" det er snakk om her. Det sees på som en stor sikkerhetsrisiko i seg selv. Så sant det er en felles device med forskjellige profiler/brukernavn/passord stiller det seg kanskje annerledes, men fra beskrivelsen så kan det forståes som felles device med felles brukernavn og passord. Dette vil vi ikke vil anbefale. Men det kan jo selvsagt være noen underliggende årsaker som vi ikke har forstått.

 

Med tanke på dagens trusselbilde anbefaler vi 2FA til alle, på alt, uansett. Vi ser ingen grunnen til å avvike fra dette. I de fleste tilfeller vil enheten som benyttes til innlogging ha dedikerte profiler, og det og tvinge brukeren til å skrive inn passord hver eneste gang gir utfordringer på balansegangen. Men det er et godt poeng som nevnes, at vi kan ha forskjellige innstillinger avhengig av bruker/tjeneste.

 

I en snarlig release vil det i Visma Connect dukke opp en label som sier ""Not recommended for public or shared computers" for valget om å husket i 30 dager.

 

I tillegg kommer det i 2021 en utvidet administrator funksjon som gir admin hos kunde flere muligheter. 

Det gjelder både flere muligheter for 2FA.
  • TOTP (Authenticator App)
  • SMS
  • Email
  • FIDO2 Biometrics
  • FIDO2 Security Key

Det vil også være mulig å sette antall dager passordet skal huskes til "0", slik at dette valget i praksis ikke vil være tilgjengelig for bedriftens Visma brukere.

 

 

Nils Fossum
GURU *
av Nils Fossum

Takk for svaret @Stian Estil og for informasjonen om hva vi har i vente av endringer på sikkerhetsområdet fremover.