Förslag på säkerhetsförbättringar i Spirecta

msx · 20 November 2022 20:41

Hej!

Jag slänger in några korta tankar på ev. säkerhetsförbättringar (några mailade jag dig om privat med @janbolmeson).

Implementera en starkare autentisering med hjälp av Mobilt BankID / multifaktor för att undvika att stulna eller lätta lösenord ger access till kundens ekonomiska information. Jag hoppas att er egna administrativa access har detta, börja där annars.
Meddela användaren när säkerhetshändelser skett på deras konto. Exempelvis att jag får ett mail när mitt lösenord bytts (så att jag kan agera om det är någon annan) eller om jag loggar in från en ny plats (tidigare okänd webbläsare / egenskaper av klienten). Det kanske även kan gälla andra händelser.
Ställ ner sessionstiden eller låt mig själv ställa in min sessionstid. Jag tycker den verkar lång just nu, jag vet inte om jag någonsin blir automatiskt utloggad/challenged för lösenord. Det vill jag gärna bli.
Jag tror någon annan frågade om samma sak men mer information om hur tjänsten levereras och var mina uppgifter lagras.
Det verkar som tjänsten tillåter inkommande SSH och SMTP. Ju färre tjänster som är exponerade desto mindre attackyta. Kanske finns det bättre sätt via din leverantör för att nå maskinen via din leverantör istället för SSH? Autentisering via publika nycklar är att föredra framför user/pwd. Smidigt och säkert är hårdvarunycklar typ Yubikey.

Det var några observationer bara nu när jag börjat prova tjänsten. Vill du istället ha dem privat så tag gärna bort inlägget bara!

Muraks · 20 November 2022 21:15

Bra kommentarer!

Jag hade velat ha inloggning med andra 2fa-metoder än bankID. Forumet tillåter tex inloggning med authy

janbolmeson · 20 November 2022 21:16

Kommer sannolikt i Q1 nästa år. Inplanerat.

Kommer vid lösenordsbyte i början av december. Inplanerat.

Ska fundera på det, vi förlängde den på grund av feedback på den var för kort.

Hjälp mig med frågor så ska jag försöka besvara dem. Jag använder egen virtuell server hos DigitalOcean i Frankfurt.

Hmm… kan du hjälpa mig via DM här. Den ska vara ip-restricted till två ip-adresser för SSH. SMTP använder vi inte. Publika nycklar kör jag på.

Andie · 2 December 2022 21:55

Ser gärna inloggning med BankID så snart som möjligt.

janbolmeson · 2 December 2022 22:48

Ja, det är något som kommer att komma, bara en tidsfråga.

OlaMorin · 4 December 2022 12:41

Jag vill absolut slippa dra upp mobilen varje gång jag loggar in, det borde inte vara så svårt att även tillåta att automatgenererade lösord (via keychain eller annat lösenordsverktyg) som komplement iaf? Går iofs även att göra 2fa med keychain, det hade varit helt ok det med!

Fredrik · 4 December 2022 18:15

Jag gillar långa sessionstider Inget som är så irriterande som när man blir utloggad hela tiden (som på banken).

Simullumis · 25 Maj 2023 18:07

Hej! Vad är statusen för Mobilt Bank ID / multifaktor?

janbolmeson · 30 Maj 2023 09:55

Ligger i kö efter den nuvarande Livsplans-funktionalitet och nyckeltal.

Andie · 10 Juni 2023 07:53

Blir inte heller utloggad, även efter en dag.
Vill absolut att sessionen avslutas.

janbolmeson · 11 Juni 2023 18:17

Det är ju bara att logga ut om man vill avsluta sessionen.

Andie · 30 Juni 2023 05:29

Använder LastPass som fungerar mycket bra för autentisering.

Glömmer ibland att logga ut och skulle absolut önska automatisk utloggning efter inaktivitet. Vore bra att kunna konfigurera detta.

Leva · 16 Juli 2023 16:42

Bara inte bank-id gör det svårare att dela konto. Gärna inloggningslösning som gör att det fortsatt är smidigt för flera (betrodda) att kunna logga in.

janbolmeson · 16 Juli 2023 18:48

Ah… bra inspel. Det tänkte jag inte ens på… Får fundera lite på hur man kan göra det.

tedenda · 17 Februari 2024 11:08

Detta tycker jag var en bra kommentar!
Vill absolut att Spirecta ska vara säkert, stå pall för dagens alla hot.
Men både jag och min fru behöver ju kunna logga in i systemet säkert, så det går ju inte att låsa det till bara mitt BankID te.x. Lösningen är ju då att man i Spirecta kan lägga till en ny användare med personnummer som då tillåts logga in med sitt BamkID. Den möjligheten finns ju på andra ställen.

Detta tycker jag också var ett mycket bra inlägg i en annan tråd:

Vore bra om detta är tydligt vad som gäller, även viktigt att systemet följer ned utvecklingen och anpassas till bättre kryptering, säkrare API-er, m.m.

janbolmeson · 17 Februari 2024 12:35

Ja, man kommer att kunna logga in två personer. Det går ju redan idag med BankID importen.

Servern är i Tyskland, Frankfurt. Användaruppgifter är krypterade men inte själva transaktionerna.

tedenda · 18 Februari 2024 12:25

Så det blir något liknande detta då gissar jag?

janbolmeson · 18 Februari 2024 12:34

Typ.

grack · 2 Mars 2024 20:56

Kommer man då också att kunna inaktivera inloggning med användarnamn/lösenord?

tedenda · 2 Mars 2024 23:15

Så tolkar jag texten i Spirecta iaf.
Begränsar man inloggningen till BankID metoden så inaktiveras användarnamn och lösenords metoden.