Förslag på säkerhetsförbättringar i Spirecta

Hej!

Jag slänger in några korta tankar på ev. säkerhetsförbättringar (några mailade jag dig om privat med @janbolmeson).

  • Implementera en starkare autentisering med hjälp av Mobilt BankID / multifaktor för att undvika att stulna eller lätta lösenord ger access till kundens ekonomiska information. Jag hoppas att er egna administrativa access har detta, börja där annars.

  • Meddela användaren när säkerhetshändelser skett på deras konto. Exempelvis att jag får ett mail när mitt lösenord bytts (så att jag kan agera om det är någon annan) eller om jag loggar in från en ny plats (tidigare okänd webbläsare / egenskaper av klienten). Det kanske även kan gälla andra händelser.

  • Ställ ner sessionstiden eller låt mig själv ställa in min sessionstid. Jag tycker den verkar lång just nu, jag vet inte om jag någonsin blir automatiskt utloggad/challenged för lösenord. Det vill jag gärna bli.

  • Jag tror någon annan frågade om samma sak men mer information om hur tjänsten levereras och var mina uppgifter lagras.

  • Det verkar som tjänsten tillåter inkommande SSH och SMTP. Ju färre tjänster som är exponerade desto mindre attackyta. Kanske finns det bättre sätt via din leverantör för att nå maskinen via din leverantör istället för SSH? Autentisering via publika nycklar är att föredra framför user/pwd. Smidigt och säkert är hårdvarunycklar typ Yubikey.

Det var några observationer bara nu när jag börjat prova tjänsten. Vill du istället ha dem privat så tag gärna bort inlägget bara!

3 gillningar

Bra kommentarer!

Jag hade velat ha inloggning med andra 2fa-metoder än bankID. Forumet tillåter tex inloggning med authy :slight_smile:

1 gillning

Kommer sannolikt i Q1 nästa år. Inplanerat.

Kommer vid lösenordsbyte i början av december. Inplanerat.

Ska fundera på det, vi förlängde den på grund av feedback på den var för kort. :joy:

Hjälp mig med frågor så ska jag försöka besvara dem. Jag använder egen virtuell server hos DigitalOcean i Frankfurt.

Hmm… kan du hjälpa mig via DM här. Den ska vara ip-restricted till två ip-adresser för SSH. SMTP använder vi inte. Publika nycklar kör jag på.

1 gillning

Ser gärna inloggning med BankID så snart som möjligt.

Ja, det är något som kommer att komma, bara en tidsfråga. :+1:

1 gillning

Jag vill absolut slippa dra upp mobilen varje gång jag loggar in, det borde inte vara så svårt att även tillåta att automatgenererade lösord (via keychain eller annat lösenordsverktyg) som komplement iaf? Går iofs även att göra 2fa med keychain, det hade varit helt ok det med!

Jag gillar långa sessionstider :slight_smile: Inget som är så irriterande som när man blir utloggad hela tiden (som på banken).

1 gillning