Jeg er rystet
Hej
Jeg skal starte på en uddannelse på en Profesionshøjskole på torsdag. I den forbindelse har jeg fået tilsendt et login til diverse portaler på skolen.
I den SMS der er sendt ud med login, står der bl.a. et brugernavn, og at koden er mit personnummer.
Jeg har så logget ind for at være på forkant inden vi starter på torsdag, men vi kan så ikke skifte kode derinde. IT afdelingens svar er, at muligheden for at skifte kode forsvandt i forbindelse med samkøringen med Office365. Og de arbejder på en løsning, men jeg er rystet over de kan komme i tanke om at bruge vores personnummer til sådan noget. Det er jo desværre set at diverse systemer kan hackes.
At vi ikke kan skifte kode er en mindre ting og det bliver sikkert snart løst, men at de bruger vores personnummer, har jeg meget svært ved at acceptere.
Har I hørt noget lign.?
Hvad er jeres holdning til sådan noget?
Jeg skal starte på en uddannelse på en Profesionshøjskole på torsdag. I den forbindelse har jeg fået tilsendt et login til diverse portaler på skolen.
I den SMS der er sendt ud med login, står der bl.a. et brugernavn, og at koden er mit personnummer.
Jeg har så logget ind for at være på forkant inden vi starter på torsdag, men vi kan så ikke skifte kode derinde. IT afdelingens svar er, at muligheden for at skifte kode forsvandt i forbindelse med samkøringen med Office365. Og de arbejder på en løsning, men jeg er rystet over de kan komme i tanke om at bruge vores personnummer til sådan noget. Det er jo desværre set at diverse systemer kan hackes.
At vi ikke kan skifte kode er en mindre ting og det bliver sikkert snart løst, men at de bruger vores personnummer, har jeg meget svært ved at acceptere.
Har I hørt noget lign.?
Hvad er jeres holdning til sådan noget?
Kommentarer11
Har I hørt noget
Hvad er jeres holdning til sådan noget?
Javist. Det er en del af problematikkerne i henhold til nemid. Du er nødt til at vænne dig til at den overordnede politiske beslutningsproces varetages af absolut IT tekniske analfabeter. Dvs Folketinget og EU politikere ...
Det fortsætter formentlig indtil befolkningen forlanger indflydelse på beslutningsprocessen i henhold til direkte demokrati (folkestyre), som det allerede er sket i Schweitz. Det er jo transparent Linux og opensource agenda.
Så længe inkompetente styrer ... ;)
Det var nøjagtigt det samme
Og i dette tilfælde har det intet med Nem-ID at gøre - Nem-ID er slet ikke inde over logins til UCC's systemer...
/Lars
Og i dette tilfælde har
Det er korrekt. Det har sådan set intet med nemid at gøre, men det har med samme beslutningsproces at gøre, der vedtog at CPR, dvs borgernes entydige identifikation, kunne benyttes til secure login.
Det er håbløs politik, når enhver systemansvarlig burde vide at man ikke kan ændre CPR, og CPR derfor aldrig bør anvendes som entydig nøgle. Det er logik allerede på første semester og ganske enkelt dårlig systemudvikling.
Hvad værre er at beslutningsprocessens indehavere (politikerne) ikke forstår noget så enkelt. Istedet vedtog de at CPR kunne benyttes som nøgle til sådanne databaser. Det er ikke acceptabelt.
Det samme på UCN
Det er ikke acceptabelt. Jeg kan tydeligt huske at der var mange som brokkede sig over det i starten af uddannelsen.
Jeg har brokket mig i en
Kunne de ikke bruge en kodegenerator?
Og så når man logger ind første gang, skal man så ændre kode........... Jeg synes selv det er god løsning.
Kunne de ikke bruge en
Jo, hvis ikke de ansvarlige har bundet sig til Microsoft i forbindelse med samkørsel med Office365.
Det har de så tilsyneladende. Jeg kender ikke de nærmere omstændigheder, men jeg ved at hvis man binder sig til et system, så bliver det på systemets betingelser.
Noget andet er den overordnede beslutningsproces. Hvis man tillader en virksomhed at bestemme politiske beslutninger, så gør virksomheden det naturligvis.
Eksempelvis. Tillader politikerne virksomheder at benytte CPR som entydig database nøgle, så kan virksomhederne bruge CPR, og dermed er CPR kompromitteret. Fordi CPR ikke kan ændres, så har disse politikere besluttet at begå en utilgivelig dumhed.
Det er jo ikke første gang. Prøv at høre. Politikerne aner ikke hvad de laver ...
Det er korrekt. Det har
Jeg er helt enig, men det skal dog siges at man kan ændre sit brugernavn i NemID (og vistnok opfordres til det). Jeg bruger således ikke mit CPR-nr.
Noget andet er at man aldrig bør sende kodeord ud i klartekst uanset hvad. Og de systemer hvor man kan få tilsendt sit kodeord (og ikke et nyt) er rådne fordi de således gemmer kodeordet i databasen fremfor en hash af det.
Jeg forstår ikke hvad det
Vi bruger Office 365 på arbejde, hvor vi har adgang til at nulstille elevernes kodeord på de forskellige uddannelsesinstitutioner vi er administratorer for.
Jeg forstår ikke hvad
Det har det principielt heller ikke, med mindre man politisk (dvs de systemansvarlige), har bundet sig til aftaler med Microsoft og de endnu ikke har fundet den endelige løsning.
I forbindelse med
Det kan medføre at brugeren oplever at kriminelle kan befordre sig selv på brugerens (eller virksomhedens) vegne. Fordi CPR ikke sådan lige kan ændres, så kan eksponeringen være livsvarig. Dvs at kriminelle potentielt kan handle på brugerens vegne, uden mulighed for at stoppe misbruget.
Det skyldes evnesvage politikeres beslutninger, der igennem flere årtier har hævdet at CPR ikke er en personlig hemmelighed. Der er ingen anden måde at adressere problemet.
Evnesvage politikere ... Comprende?
Jeg har modtaget dette fra
https://www.datatilsynet.dk/erhverv/pligter-i-forhold-til-den-registrerede/sikkerhed-ved-udlevering-af-oplysninger/
Og som jeg læser det, må man ikke bruge vores personnummer som kodeord.