Jeg er rystet

Spitten
Antal: 143
Tilmeldt:
05-02-2012
User is offline
Jeg er rystet

Hej

Jeg skal starte på en uddannelse på en Profesionshøjskole på torsdag. I den forbindelse har jeg fået tilsendt et login til diverse portaler på skolen.

I den SMS der er sendt ud med login, står der bl.a. et brugernavn, og at koden er mit personnummer.

Jeg har så logget ind for at være på forkant inden vi starter på torsdag, men vi kan så ikke skifte kode derinde. IT afdelingens svar er, at muligheden for at skifte kode forsvandt i forbindelse med samkøringen med Office365. Og de arbejder på en løsning, men jeg er rystet over de kan komme i tanke om at bruge vores personnummer til sådan noget. Det er jo desværre set at diverse systemer kan hackes.

At vi ikke kan skifte kode er en mindre ting og det bliver sikkert snart løst, men at de bruger vores personnummer, har jeg meget svært ved at acceptere.

Har I hørt noget lign.?
Hvad er jeres holdning til sådan noget?


frogmaster
frogmaster's picture
Antal: 3493
Tilmeldt:
20-05-2010
User is offline
Har I hørt noget

#0: Har I hørt noget lign.?
Hvad er jeres holdning til sådan noget?

Javist. Det er en del af problematikkerne i henhold til nemid. Du er nødt til at vænne dig til at den overordnede politiske beslutningsproces varetages af absolut IT tekniske analfabeter. Dvs Folketinget og EU politikere ...

Det fortsætter formentlig indtil befolkningen forlanger indflydelse på beslutningsprocessen i henhold til direkte demokrati (folkestyre), som det allerede er sket i Schweitz. Det er jo transparent Linux og opensource agenda.

Så længe inkompetente styrer ... ;)


Remmen
Antal: 85
Tilmeldt:
10-02-2008
User is offline
Det var nøjagtigt det samme

Det var nøjagtigt det samme da jeg læste et ekstra liniefag på UCC for et par år siden. Da vi var flere, som var sendt af sted af kommunen kunne jeg gætte deres brugernavne (numre som lå tæt på mit) - og de mit. Og et CPR-nummer er ikke svært at skaffe hvis man vil. UCC kunne slet ikke se problematikken da jeg, vantro, ringede til dem...

Og i dette tilfælde har det intet med Nem-ID at gøre - Nem-ID er slet ikke inde over logins til UCC's systemer...

/Lars


frogmaster
frogmaster's picture
Antal: 3493
Tilmeldt:
20-05-2010
User is offline
Og i dette tilfælde har

#2: Og i dette tilfælde har det intet med Nem-ID at gøre - Nem-ID er slet ikke inde over logins til UCC's systemer...

Det er korrekt. Det har sådan set intet med nemid at gøre, men det har med samme beslutningsproces at gøre, der vedtog at CPR, dvs borgernes entydige identifikation, kunne benyttes til secure login.

Det er håbløs politik, når enhver systemansvarlig burde vide at man ikke kan ændre CPR, og CPR derfor aldrig bør anvendes som entydig nøgle. Det er logik allerede på første semester og ganske enkelt dårlig systemudvikling.

Hvad værre er at beslutningsprocessens indehavere (politikerne) ikke forstår noget så enkelt. Istedet vedtog de at CPR kunne benyttes som nøgle til sådanne databaser. Det er ikke acceptabelt.


ThomasBonderup
ThomasBonderup's picture
Antal: 1
Tilmeldt:
31-08-2016
User is offline
Det samme på UCN

Jeg har også været ude for det samme, da jeg læste til datamatiker på UCN.

Det er ikke acceptabelt. Jeg kan tydeligt huske at der var mange som brokkede sig over det i starten af uddannelsen.


Spitten
Antal: 143
Tilmeldt:
05-02-2012
User is offline
Jeg har brokket mig i en

Jeg har brokket mig i en mail over det, og især over vi ikke kan skifte kode. Jeg mener det er decideret dårlig sikkerhed.

Kunne de ikke bruge en kodegenerator?
Og så når man logger ind første gang, skal man så ændre kode........... Jeg synes selv det er god løsning.


frogmaster
frogmaster's picture
Antal: 3493
Tilmeldt:
20-05-2010
User is offline
Kunne de ikke bruge en

#5: Kunne de ikke bruge en kodegenerator?

Jo, hvis ikke de ansvarlige har bundet sig til Microsoft i forbindelse med samkørsel med Office365.

Det har de så tilsyneladende. Jeg kender ikke de nærmere omstændigheder, men jeg ved at hvis man binder sig til et system, så bliver det på systemets betingelser.

Noget andet er den overordnede beslutningsproces. Hvis man tillader en virksomhed at bestemme politiske beslutninger, så gør virksomheden det naturligvis.

Eksempelvis. Tillader politikerne virksomheder at benytte CPR som entydig database nøgle, så kan virksomhederne bruge CPR, og dermed er CPR kompromitteret. Fordi CPR ikke kan ændres, så har disse politikere besluttet at begå en utilgivelig dumhed.

Det er jo ikke første gang. Prøv at høre. Politikerne aner ikke hvad de laver ...


marlar
Antal: 2842
Tilmeldt:
05-12-2009
User is offline
Det er korrekt. Det har

#3: Det er korrekt. Det har sådan set intet med nemid at gøre, men det har med samme beslutningsproces at gøre, der vedtog at CPR, dvs borgernes entydige identifikation, kunne benyttes til secure login.

Jeg er helt enig, men det skal dog siges at man kan ændre sit brugernavn i NemID (og vistnok opfordres til det). Jeg bruger således ikke mit CPR-nr.

Noget andet er at man aldrig bør sende kodeord ud i klartekst uanset hvad. Og de systemer hvor man kan få tilsendt sit kodeord (og ikke et nyt) er rådne fordi de således gemmer kodeordet i databasen fremfor en hash af det.


Domiino
Domiino's picture
Antal: 447
Tilmeldt:
26-03-2008
User is offline
Jeg forstår ikke hvad det

Jeg forstår ikke hvad det har med Office 365 at gøre?
Vi bruger Office 365 på arbejde, hvor vi har adgang til at nulstille elevernes kodeord på de forskellige uddannelsesinstitutioner vi er administratorer for.


frogmaster
frogmaster's picture
Antal: 3493
Tilmeldt:
20-05-2010
User is offline
Jeg forstår ikke hvad

#8: Jeg forstår ikke hvad det har med Office 365 at gøre?

Det har det principielt heller ikke, med mindre man politisk (dvs de systemansvarlige), har bundet sig til aftaler med Microsoft og de endnu ikke har fundet den endelige løsning.


frogmaster
frogmaster's picture
Antal: 3493
Tilmeldt:
20-05-2010
User is offline
I forbindelse med

I forbindelse med eksponering af en bruges CPR, eksempelvis i henhold til identitets tyveri, så er brugeren fatalt kompromitteret.

Det kan medføre at brugeren oplever at kriminelle kan befordre sig selv på brugerens (eller virksomhedens) vegne. Fordi CPR ikke sådan lige kan ændres, så kan eksponeringen være livsvarig. Dvs at kriminelle potentielt kan handle på brugerens vegne, uden mulighed for at stoppe misbruget.

Det skyldes evnesvage politikeres beslutninger, der igennem flere årtier har hævdet at CPR ikke er en personlig hemmelighed. Der er ingen anden måde at adressere problemet.

Evnesvage politikere ... Comprende?


Spitten
Antal: 143
Tilmeldt:
05-02-2012
User is offline
Jeg har modtaget dette fra

Jeg har modtaget dette fra Datatilsynet i dag.

https://www.datatilsynet.dk/erhverv/pligter-i-forhold-til-den-registrerede/sikkerhed-ved-udlevering-af-oplysninger/

Og som jeg læser det, må man ikke bruge vores personnummer som kodeord.