Enig, obligatorisk 2FA ved bruk av Payroll hadde løst dette enkelt. 

Man kan skru på obligatorisk 2FA men det hjelper altså ikke. 

Hei Nils,

med obligatorisk 2FA mener jeg som AutoPay, at dette settes som krav fra Visma sin side, ikke fra et brukerperspektiv.

Kjenner du til at man via - Visma.net Admin - Firmaer - Konfigurasjon,  kan huke av for "Jeg vil aktivere totrinnskontroll for mine brukere."?

Ja, men som du sier, kombinasjonen med at en kan huske enheten i 30 dager skaper potensielle sikkerhetsbrudd. Det er også potensielt mange som ikke setter på 2FA selv, enten av uviten eller "latskap".

Det du nevner er et brukerperspektiv. Hvis Visma overstyrer dette så en ikke har et valg, men må benytte 2FA + tar bort mulighet for å huske, øker sikkerheten.

Enig! Men avhukingen jeg nevner gjør jo at alle brukere tvinges til 2FA, eller er det jeg som har misforstått noe? 

Det er riktig det. Tenkte mer om Visma hadde en fornuftig løsning kun mot brukere med visse kritiske tilganger, så slipper en å sette 2FA på alle brukere og for hele Visma.net portalen.

Security vs usability er et tilbakevennende tema, og en vanskelig balansegang.

Visma har noen av landets og Europas ledende ressurser på teamet, og vi bruker mye tid på dette.

Jeg er ikke en av de ledende ressurser, men befatter meg ukentlig med fagområdet, via dialoger med våre kunder og interne sikkerhetsfora. Jeg har tatt dette konkrete spørsmålet/saken videre med våre sikkerhetsfolk. Først av alt er spørsmålet om hva slags "felles enheter" det er snakk om her. Det sees på som en stor sikkerhetsrisiko i seg selv. Så sant det er en felles device med forskjellige profiler/brukernavn/passord stiller det seg kanskje annerledes, men fra beskrivelsen så kan det forståes som felles device med felles brukernavn og passord. Dette vil vi ikke vil anbefale. Men det kan jo selvsagt være noen underliggende årsaker som vi ikke har forstått.

Med tanke på dagens trusselbilde anbefaler vi 2FA til alle, på alt, uansett. Vi ser ingen grunnen til å avvike fra dette. I de fleste tilfeller vil enheten som benyttes til innlogging ha dedikerte profiler, og det og tvinge brukeren til å skrive inn passord hver eneste gang gir utfordringer på balansegangen. Men det er et godt poeng som nevnes, at vi kan ha forskjellige innstillinger avhengig av bruker/tjeneste.

I en snarlig release vil det i Visma Connect dukke opp en label som sier ""Not recommended for public or shared computers" for valget om å husket i 30 dager.

I tillegg kommer det i 2021 en utvidet administrator funksjon som gir admin hos kunde flere muligheter. 

• TOTP (Authenticator App)
• SMS
• Email
• FIDO2 Biometrics
• FIDO2 Security Key

Det vil også være mulig å sette antall dager passordet skal huskes til "0", slik at dette valget i praksis ikke vil være tilgjengelig for bedriftens Visma brukere.

Takk for svaret @Stian Estil og for informasjonen om hva vi har i vente av endringer på sikkerhetsområdet fremover. 

Dette er et område som håndteres av vår innloggingsfunksjon Visma Connect. 

Det er som nevnt i kommentar tidligere gjort tiltak ifm dette. Jeg setter derfor denne til implementert.

Mvh

Hanna