Nye krav til kodeord i Uni-Login møder kritik: »I virkeligheden er det ikke sikkerhed – det ligner bare sikkerhed«

Illustration: Kombit
Krav til store og små bogstaver og tal vil højne sikkerheden blandt adgangskoder til Uni-Login ifølge Styrelsen for IT og Læring. Men sikkerhedsekspert anbefaler i stedet såkaldte nonsens-sætninger, der er nemme at huske for brugeren, men som ikke giver mening for andre.

Hvis man har sin daglige gang på en af Danmarks mange folkeskoler, er det snart tid til at gentænke sine adgangskoder, når man logger på skolens intranet og portaler.

Fra uge otte gælder der nemlig nye krav til kodeordene, som skal højne sikkerheden i uddannelsessektorens login-løsning, Uni-Login, som bruges til blandt andet Aula.

Læs også: STIL: Moderniseret og mere sikkert Uni-Login kommer i starten af 2020

Under den nuværende praksis får elever tildelt tilfældige koder med tilfældige tegn, som de skal lære udenad.

Når koden imidlertid ikke siger eleven noget som helst, kan det ske, at enten eleven eller elevens lærere ser sig nødsaget til at skrive koden ned på et stykke papir for at kunne huske den.

Men når eleverne nu selv skal finde på adgangskoder med et personligt præg, bliver de nemmere at huske uden hjælp fra et nedskrevet stykke papir i penalhuset, lyder ræsonnementet.

Og når adgangskoden kun kendes af én person og ikke findes på et fysisk papir, der kan falde i de forkerte hænder, vil sikkerheden omkring Uni-Login og Aula blive større. Det fortæller Klaus Østergård Jensen, kontorchef hos Styrelsen for It og Læring (STIL), der står bag Uni-Login:

»Allerede fra børnehaveklassen vil vi lære dem, at adgangskoder er personlige, og at det kun er den enkelte elev, der skal kende den. Til gengæld har vi gjort koderne lidt simplere, så de er nemmere at huske,« siger Klaus Østergård Jensen.

Post-it

It-ansvarlig og lærer på Peder Lykke Skolen i København William Bendsen er dog skeptisk i forhold, hvor nemt det bliver for de enkelte elever at huske adgangskoder med de kommende krav.

Ikke kun fordi kravene bliver større, men også fordi lærerne ikke har mulighed for at hjælpe børnene, hvis sidstnævnte glemmer deres kodeord.

»I det nye system skal eleverne huske dem udenad selv, uden at lærere kan lære adgangskoden eller hjælpe dem med at huske dem, og det er ned til 1. klasse, 8 år gamle børn, der skal huske disse udenad,« siger William Bendsen.

Han har svært ved at se, hvordan elever kan modstå fristelsen til at skrive koden ned på et stykke papir for at supplere hukommelsen. Og dermed forsvinder den sikkerhed, man ellers har forsøgt at tilstræbe ved at implementere de nye krav.

»Hvis der ligger et par post-it notes til hver adgangskode, så er sikkerheden jo gået fløjten. Det bliver et sikkerhedsteater. Så er det pænt klædt på, og alle kan genkende, at ‘det her, det er sikkerhed’, men i virkeligheden er det ikke sikkerhed. Det ligner bare sikkerhed,« siger William Bendsen.

Læs også: Leverandør efter udsendelse af trusselsbeskeder via Aula: Nogen har fået fat i brugernavn og adgangskode

Selvstændig it-sikkerhedsforsker med særligt fokus på kodeord Per Thorsheim er også skeptisk over kravene til elevernes nye adgangskoder.

Han mener, at kravene misser pointen.

»Det fungerer ikke nødvendigvis med lange passwords med store og små bogstaver, tal og specialtegn. Det har forskning i flere år vist,« siger Per Thorsheim.

Modsat William Bendsen er Per Thorsheim dog positiv overfor ideen om at anvende post-it-notes og andre papirlapper til at huske adgangskoder. Især hvis man opbevarer dem derhjemme, hvor kun ens egen familie potentielt kan få fingre i dem.

»Ingen løsning er perfekt, men post-it notes er stadigvæk bedre, også for børn,« siger Per Thorsheim.

Mere nonsens – for en sikkerheds skyld

Både Per Thorsheim og folkeskolelærer William Bendsen ser med bekymrede øjne på de kommende krav til elevernes adgangskoder.

Og begge har en anderledes løsning på, hvordan eleverne kan lave personlige, unikke koder, der er nemme at huske, og som derfor ikke behøver at blive skrevet ned.

Og løsningen er mere vrøvl, eller såkaldte nonsens-sætninger. En nonsens-sætning kan eksempelvis være en 20 tegn lang sætning, som beskriver en episode, hvor eleven spillede fodbold med sin mor.

»Den nyeste forskning siger, at et sikkert kodeord kan være en nonsens-sætning, som på en måde er relateret til noget, du kan huske. Man kan så lave en note til sig selv, som er umulig for andre at afkode, fordi den relaterer til en nonsens-sætning, som man kan huske udenad,« siger William Bendsen.

Læs også: »I strid med principperne i GDPR«: Lærer kunne læse kollegers private beskeder i Aula

Til ideen om nonsens-sætninger som adgangskoder til Uni-Login svarer kontorchef hos STIL Klaus Østergård Jensen, at man har taget nogle af de gode ideer med sig fra nonsens-konceptet.

Blandt andet ved at komme med forslag til formatet for elevernes adgangskoder. Rådet til bedre at kunne huske sine koder er at lade dem bestå af et tillægsord og et dertilhørende navneord, hvilket eksempelvis kan være LilleHest24.

Det opfylder samtidig kravene til de ældste elever om, at koden skal indeholde tal samt både små og store bogstaver.

»Jeg synes, det er noget af det, vi har implementeret i vores løsning i virkeligheden, da det består af tillægsord, navneord og tal. De er lettere tilgængelige (end tilfældige koder, red.), så det er henad nonsens-sætninger. Tilbagemeldingen på vores brugertests siger ihvertfald, at de adgangskoder, vi foreslår, faktisk er gode,« siger Klaus Østergård Jensen.

LearningByDoing420

Klaus Østergård Jensen ser det kommende format som en mulighed for, at eleverne kan lære, hvordan de skal begå sig på nettet og passe på deres online-identitet.

»Det her er en dannelsesrejse. Så kan vi statuere overfor børnene, at det er vigtigt, at man håndterer sin adgangskode korrekt, at man ikke deler den med andre, at man ikke har samme kode til forskellige løsninger, og at man skifter den engang imellem,« siger han.

Per Thorsheim ser også værdi i at skærpe kravene til adgangskoder for selv de yngste elever.

»Ja, det kan gå galt, men det er også den måde, man lærer det på, via fejl. Jo bedre vi forsøger at lave god sikkerhed fra start, desto bedre lærer vi barnet om det senere,« siger Per Thorsheim.

Læs også: Aula kritiseres for at tage børns data som gidsel

Men folkeskolelærer William Bendsen stiller spørgsmål ved, om det skal være lærerens opgave at danne børn i it-sikkerhed, når det gælder adgangskoder.

»Der er mange ting, der bliver selvfølgelige (som vi skal undervise børnene i, red.). Nogle børn i 6. klasse kan heller ikke binde deres snørebånd, og selvfølgelig skal vi lære dem det, men der bliver jo ikke sat tid af til det,« siger William Bendsen.

Klaus Østergård Jensen fra STIL mener derimod ikke, at dannelsen i it-sikkerhed kommer til at tage at tage yderligere tid fra lærernes arbejdsgang, selvom den nye adgangskode-kultur byder på nye opgaver.

Det er ihvertfald erfaringen fra de testforsøg med systemet, som STIL har afprøvet sammen med flere lærere.

»Det kan godt være, at lærernes arbejde bliver anderledes, men det er det værd i forhold til, at de ikke skal sidde med lister over børnenes koder. Arbejdet bliver anderledes, men det er ikke vores oplevelse, at arbejdsopgaverne bliver større, baseret på brugertests,« siger Klaus Østergård Jensen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (40)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Lind

Lige så knap er 2020 begyndt før man skal høre på sådan noget vrøvl! Passwords med kodeord er YT! Autentikering skal nu foregå meget mere snedigt end 1FA! Det er fatalt at Klaus Østergård Jensen ikke følger med i nye sikkerheds protokoller indenfor persondata sikkerhed og generelt hvorfor man ikke længere skal bruge 1FA til noget som helst!

Jeg foreslår at disse organisationer kigger på det som betegnes "Security by Design" som GDPR specielt henviser til. Nogle af disse desings arbejder nu med 5FA til ultra høj sikkerhed, men med vore skoleelever kan 2FA sagtens højne sikkerheds niveauet uden at de skal indoktrineres med "dumme" eller "vrøvle" koder, for at få lov til at lave deres lektier.

Jeg tror det er på tide at Styrelsen for It og Læring og specielt kontorcheferne skal dømmes tilbage på skolebænken for at lære hvad "Security by Design" egentlig handler om.

Fremtiden ligger jo trods alt hos vores børn!!!

  • 8
  • 3
Jesper Jepsen

Børn som ikke kan huske deres jakke selv om det er -5 grader og blæst? Er ikke et spørgsmål om det virker men om brugerne.. det er børn 28 stk og EN voksen .... og forældre der har for travlt til at tjekke om dims nr. gud ved hvad nu lige er omtanken HVER morgen.

  • 24
  • 0
Jesper Jepsen

V2 bruge4 aulas logo men sagen har INTET med aula at gøre.... er der en journalist på V2 der har en agenda mod aula? Eller går man bare efter billige point(Clik)?.
Uni login bruges også på ungdoms uddannelser og videre så aula logoet er ret misvisende og siger mere om journalisten end om et ikke eksisterende problem

  • 5
  • 12
Jesper Jepsen

Velkommen til virkeligheden.. det du foreslår er ikke muligt..
du tager 28 stk 10 årlige børn 5 af dem har en eller anden form for bogstav kombination koblet på sig, et par stykker har det ikke officielt endnu, du er en voksen, og ungernes tålmodighed er kort. Du skal nu hjælpe med at få alle logget ind, hjælpe dem der er kommet ind, holde styr på dem alle, hjælpe dem der har glemt koderne, deres mobil osv. OG du skal undervise 35min... alt inden for 45min. Og gøre det 2-4 gange hver dag ...
det er virkeligheden den kan du ikke komme uden om uanset hvor fint og fantastisk dit setup er ..

  • 23
  • 0
Malthe Høj-Sunesen

Min ældste startede i skole i sommer.

På første dag fik han udleveret en rød mappe. På den er der tapet et udklip med hans fulde navn, hans UNI-login brugernavn samt hans password. Vi forældre fik en besked om, at vi under ingen omstændigheder må ændre det kodeord, som altså står i klartekst på ydersiden af en mappe.

Jeg har svært ved at se, hvordan man kan kritisere den nye løsning, med tanke på hvordan den eksisterende administreres.

  • 18
  • 0
Christian Nobel

Det har du sikkert ret i, men jeg synes at man i vi-alene-vide eliten helt glemmer at dels er noget af målgruppen (små) børn, dels at der faktisk er mange som er ordblinde, og derfor har brug for støtte.

Desværre er dette endnu et af digitaliseringens grimme ansigter, hvor vi får skabt endnu mere forskel mellem A og C holdene, i den evindelige forblændelse af dommedagsskærmen, og mantraet om at bare vi hælder magisk IT-sovs ud af flasken, så er alt godt.

  • 18
  • 1
Mogens Lysemose

Aula er den hyppigste berøringsflade forældre har med unilogin, derfor giver det mening.
Mon ikke dette tiltag især kommer efter sagerne hvor Aula er blevet misbrugt til at sende bombetrusler fra andres konti?

https://www.version2.dk/artikel/flere-trusler-udsendt-via-aula-konti-108...

Når bombetrusler bliver sendt fra Fyn men med en jysk elevs konto så tyder det jo på at kontoen er blevet "hacket" (overtaget over internet) mere end at kodeordet er blevet læst/ afluret fysisk.

Uanset at det måske ikke er Aulas fejl så er det Aula der blev misbrugt med alvorlige konsekvenser til følge.

  • 8
  • 0
Kristian Klausen

NIST anbefaling har i flere år været at man ikke skal stille krav til kompleksitet:

A.1 Introduction

[...]
Complexity of user-chosen passwords has often been characterized using the information theory concept of entropy [Shannon]. While entropy can be readily calculated for data having deterministic distribution functions, estimating the entropy for user-chosen passwords is difficult and past efforts to do so have not been particularly accurate. For this reason, a different and somewhat simpler approach, based primarily on password length, is presented herein.
[...]
A.3 Complexity

As noted above, composition rules are commonly used in an attempt to increase the difficulty of guessing user-chosen passwords. Research has shown, however, that users respond in very predictable ways to the requirements imposed by composition rules [Policies]. For example, a user that might have chosen “password” as their password would be relatively likely to choose “Password1” if required to include an uppercase letter and a number, or “Password1!” if a symbol is also required.

Users also express frustration when attempts to create complex passwords are rejected by online services. Many services reject passwords with spaces and various special characters. In some cases, the special characters that are not accepted might be an effort to avoid attacks like SQL injection that depend on those characters. But a properly hashed password would not be sent intact to a database in any case, so such precautions are unnecessary. Users should also be able to include space characters to allow the use of phrases. Spaces themselves, however, add little to the complexity of passwords and may introduce usability issues (e.g., the undetected use of two spaces rather than one), so it may be beneficial to remove repeated spaces in typed passwords prior to verification.
[...]

  • 5
  • 0
Christian Nobel

Når bombetrusler bliver sendt fra Fyn men med en jysk elevs konto så tyder det jo på at kontoen er blevet "hacket" (overtaget over internet) mere end at kodeordet er blevet læst/ afluret fysisk.

Åh ja, der er blevet påfaldende stille omkring den sag, så ud over at en 13 årig dreng er blevet skræmt for livet, hvad har politiet så gjort for at finde sandheden?

  • 8
  • 0
Niels Madsen

For de yngste elever vil passwordet bestå af en sekvens af fire piktogrammer, som hver kan vælges ud fra et katalog af ni forskellige piktogrammer. Der må højst optræde to ens piktogrammer i passwordet.

Det er nok nemt at huske, men det giver ikke mange unikke kombinationer. Og misbrug af en elevs Unilogin kan vel være lige alvorligt uanset barnets alder.

  • 11
  • 0
Knud Larsen

Tak for det.
Savner en std for krav til passwords.
Jeg er møhamrende irriteret over, at mange login setups har så forskellige krav til password's - men det foklares ikke.

Jeg bruger efter anbefalingen både store og små bogatsaver samt tal og tegn, men mange logisn godtager det ikke?
Længden er der ligeledes forskel på, altså hvor lidt der accepteres??
Hvor er std. vejledningen, så det kan blive bedre?
NIST ser tilsyneladende og heldigvis mere fornuftigt på det?

  • 2
  • 1
Dennis Skovborg Jørgensen

For de yngste elever vil passwordet bestå af en sekvens af fire piktogrammer, som hver kan vælges ud fra et katalog af ni forskellige piktogrammer. Der må højst optræde to ens piktogrammer i passwordet.

Det er nok nemt at huske, men det giver ikke mange unikke kombinationer. Og misbrug af en elevs Unilogin kan vel være lige alvorligt uanset barnets alder.

Sikkerhedskravene til kodeordet skal vel afspejles hvad der beskyttes? Hvis unilogin for et barn på 6 giver adgang til et eller andet kritisk om barnet ville jeg da hellere at det blev fjernet, end at man skal opfinde et passwordsystem der giver atomvåbensikkerhed men samtidig kan benyttes af børn som ikke helt kan alle bogstaverne.

Jeg har et barn i nulte - med et unilogin kodeord udleveret på en post-it. Det eneste jeg er opmærksom på det giver adgang til er at spille "Ida og Emil på eventyr", og et matematikspil jeg lige pt. har glemt hvad hedder. Hvis nogen bryder ind, så kan de optjene stjerner som min datter ikke var berettiget til. Og få læst eventyr højt. Altså..

Fire piktogrammer hun kan huske, i stedet for at jeg taster hendes password ind for hende? Jeg er på: Hun kommer endda til at få en basal ide om hvad kodeord er, hvilket hun ikke gør med den nuværende post-it i vindueskarmen.

Men det hele er selvfølgelig forudsat at loginet ikke giver adgang til en masse kritisk information, men hvorfor pokker skulle det også det? Kritisk information skal ligge bag forældrenes login, det ved alle. Version2s debattørkorps muligvis undtaget.

  • 14
  • 0
Jesper Jepsen

Nu er antallet af forældre login pr. Dag med uni login en del mindre end hvad elever og ansatte i den danske undervingsverden så aula er Igen blikfang for artiklen. Husk på at hoved parten af brugerne af uni login er elever og studerende IKKE forældre.. så fokuser på kernen og den findes ikke blandt forældrene. Der ville ikke være noget problem i at bruge uni-c logoet....

  • 0
  • 4
Tobias Kildetoft

Jeg tvivler på at bombetruslerne har noget med dette at gøre.

Bombetruslerne skete omkring midt/slut november (artiklen om dem er fra d. 20/11), mens disse tiltag har været planlagt før det (alt hvad der bliver beskrevet i denne artikel var også del et oplæg om det nye UNI-login jeg så d. 6/11).

  • 2
  • 0
Malthe Høj-Sunesen

dels er noget af målgruppen (små) børn

Nej, man har valgt at de mindste har en billedsekvens som kodeord. Umiddelbart lavere entropi end 8 tegn i et kodeord (m. piktogrammer er der 3072 muligheder; 987*6, mod 3E10 ved standard unilogin-kodeord), men hvis det ikke noteres og lærerne ikke længere kan lave listeudtræk af alle elevers kodeord, er det alligevel mere sikkert - ligesom adgang til følsomme materialer kræver at en forælder eller en lærer godkender som en slags 2FA.

dels at der faktisk er mange som er ordblinde, og derfor har brug for støtte.


Jeg har meget svært ved at forestille mig en loginløsning som
1) skal kunne bruges af ordblinde
2) ikke må koste for meget i løbende drift
3) ikke risikerer at blive smattet sammen med en banan i en skoletaske.

Jeg har aldrig hørt ordblinde brokke sig over at de selv kan sammensætte et kodeord (og deres læse- eller skrivebesvær kan vel næsten udelukke risiko for dictionary attacks?), og de vil ikke være ringere stillet med den nye løsning. Jeg forventer faktisk at det nye Unilogin er WCAG-compliant, hvilket pt. er best practice for at kunne hjælpe person med syns- eller læsebesvær foruden et lovkrav siden 2008/2018, og at elever med læsebesvær derfor lettere kan anvende den nye løsning.

  • 1
  • 0
Niels Madsen

For vores barn i 1.klasse giver Unilogin i hvert fald adgang til fuldt navn, fødselsdag, klassebetegnelse (er oplysninger om at et barn går i specialklasse følsomme?), sende email (oprettet automatisk i Office 360), læreplan, mulighed for at udfylde trivselsmålinger, nationale test, sundhedspleje spørgeskemaer, poste videoer, og sikket meget mere. Det kræver dog en vis beskyttelse, synes jeg.

  • 4
  • 0
Michael Cederberg

Der er INGEN grund til lange passwords ... så længe uni-login kun gemmer saltede hashes.

Der er to veje ind i systemet:

  • Gennem et almindeligt bruger login. Her blokeres login efter X mislykkede forsøg. Hvis password komplexitet giver ca. 10^4 muligheder er der ingen mulighed for at lave brute-force adgang.
  • Gennem en bagdør. Her er hackeren allerede inde i systemet. Han kan gøre alt - han har således ikke brug for password. Han kan også stjæle "password-filen". Med lidt held vil han kunne brute-force reverse-engineere passwordet. Hvis man skal undgå dette skal passworded være så langt at det er upraktisk at indtaste og ikke kan huskes i hovedet. I praksis vil et reverse-engineeret password kun have værdi hvis barnet har brugt samme password andet sted.
  • 1
  • 1
Albert Nielsen

Flere indlæg fremsætter berettiget kritik, men de nye regler vil under alle omstændigheder være en forbedring fra 12345678 og qwertyui.

Inden vi bliver alt for geniale mht. hvilken adgangskontrol der er bedst, skal vi huske at Aula ikke er for IT-eksperter, men for alle forældre, hvoraf en del har meget begrænset viden om, og forståelse for, IT-sikkerhed, og for mindre børn.

  • 2
  • 0
Mogens Lysemose

er oplysninger om at et barn går i specialklasse følsomme?

Ja! Der har tidligere været berettiget kritik af at man i Lectio kunne se samtlige elever der gik i de specialoprettede Asperger-klasser.
Lectio er siden blevet låst af så det kræver login nu.

Jeg sidder i skolebestyrelsen på en specialskole, og vi har brugt meget tid på spørgsmålet ifm. fotos, videoer osv. af skolens børn.

Man bør respektere at nogen forældre ikke vil have offentliggjort "situationsfotos" med deres børn på specialskolen, selvom mange andre ikke har noget imod det.

  • 1
  • 0
Christian Nobel

Flere indlæg fremsætter berettiget kritik, men de nye regler vil under alle omstændigheder være en forbedring fra 12345678 og qwertyui.

I det store hele nej.

For hvis man sætter begrænsning på antallet af loginforsøg, så kan password faktisk være ret så simpelt som Michael skriver.

Det absolut vigtigste med password er faktisk ikke at de skal være åh-vi-tror-det-er-så-sikkert lange og komplekse, men at man opdrager folk til aldrig at bruge et password til mere end et sted!

Des mere komplekse man tvinger brugeren til at gøre dem, des større risiko for at de skriver dem ned, eller behandler dem lemfældigt, og genbruger dem - og dermed har man opnået det stik modsatte!

  • 2
  • 0
Mogens Lysemose

hvis man sætter begrænsning på antallet af loginforsøg, så kan password faktisk være ret så simpelt

Man kan opnå næsten det samme ved længere og længere ventetid per forkert forsøg, evt. kombineret ved at indsætte "I'm not a robot"-tests.

Hvis konti låses efter 3 fejllogin kan man jo chikanere andre ved at låse deres konto uden at kende passwordet.

Jeg kan forestille mig enkelte elever kan være meget kreative mht. den slags drillerier.

  • 2
  • 0
Niels Dybdahl

Men folkeskolelærer William Bendsen stiller spørgsmål ved, om det skal være lærerens opgave at danne børn i it-sikkerhed, når det gælder adgangskoder.

Selvfølgelig er det lærerens opgave. Hvem skulle ellers lære børnene det? Der er alt for få forældre som har lært om IT-sikkerhed, så man kan ikke forvente at forældrene kan klare opgaven.
Og ja det tager tid hver gang eleverne glemmer deres kode, men det tager også tid når de glemmer hvordan man ganger tal sammen.

  • 1
  • 5
Christian Nobel

Man kan opnå næsten det samme ved længere og længere ventetid per forkert forsøg, evt. kombineret ved at indsætte "I'm not a robot"-tests.

Hvis konti låses efter 3 fejllogin kan man jo chikanere andre ved at låse deres konto uden at kende passwordet.

Jeg kan forestille mig enkelte elever kan være meget kreative mht. den slags drillerier.

Helt enig.

Det var nu også bare for at illustrere at der er ingen grund til lange og komplekse passwords, hvis man (altså dem der designer systemet) ellers tænker sig om.

Og igen, og igen, og igen, vi skal prøve at banke ind i hovedet på folk at passwords må aldrig genbruges!

Helt OT, din chikanemetode kan teoretisk set også bruges til at lukke alle landets CPR-nummer baserede NemID konti.

  • 2
  • 0
Mogens Lysemose

Uni-login kan genskabe passwordsne i klartekst. Min ældste fandt ud af det da han startede i gymnasiet og fik sit password udleveret i klartekst på papir.

Mjah, som jeg har fået det forklaret bliver første password gemt og listen kan tilgås af lærerne når de små har glemt dem.
Eleverne kan selv ændre unilogin-passwords, men så kan læreren ikke hjælpe dem med det samme hvis de glemmer det.

Problemet er så hvis lærere og sekretærer printer og/eller kopierer password-lister ud og gemmer på netdrev e.lign.

  • 2
  • 0
Jens Beltofte

Hvad hvis det er et bot-net der står bag?


Så er det selvfølgelig en anden sag og den trafik bør reelt filtreres fra / stoppes inden den overhovedet rammer UniLogin eller Aula.

Simpel IP blokering på den enkelte brugerkonto eller global blokering af IP-adressen kan til en vis grad dæmme op for oplever der prøver at logge ind for andre. Men risikoen med en midlertidig global blokering af IP-adressen er at ingen på skolen kan logge ind.....

  • 1
  • 0
Kim Rasmussen

Som der er nu kan lærere på skolerne kun se elevernes initial password, samt se om der er aktivt eller ændret.
Så hvis Niels søn har fået udleveret sin kode i klartekst på er gymnasie må det være fordi han aldrig har ændret den - hvilket jo er dumt, men desværre ikke ualmindeligt.
Alle bør naturligvis ændre den til noget andet - forudsat at de selv kan taste den ind igen, hvilket kan være en udfordring i de helt små klasser...

Fremadrettet kan lærerne ikke se noget om elevernes koder.
Glemmer en elev en kode kan læreren (og deres forældre) muliggøre login uden pw i 5 minutter. Eleven får så ved login automatisk tildelt et nyt password. De mindste elever (dem med piktogrammerne) kan ikke ændre koden, de må bare lære den udenad. De ældre får også tildelt et pw (på den form der er beskrevet i artiklen), men kan vælge at ændre den hvis de vil.
Koden skal fremadrettet ændres en gang årligt.

Et UNI-login giver adgang til en del mere end to online spil - fremadrettet kommer der en form for 2-faktor sikkerhed til særligt følsomme ting.

  • 2
  • 0
Jan Nielsen

Det er stort set intet security by design på uni-login.
* Lokale administratorer kan f.eks. se den første adgangskode
* Der er ingen tvungen ny oprettelse af egen adgangskode
* Ved ændringer af rolle/status slår det igennem på alle systemer, der anvender uni-login (f.eks. har jeg lærer-skema på min datters skole, selvom jeg aldrig har været lærer på den skole, endsige i folkeskolen - og iøvrigt et stykke tid siden at jeg har den systemrolle)
* Man kan koble flere personnumre til samme unilogin!!
* Administratorroller tildeles med rund hånd

På Aula skal man bruge nemID for at sende/markere "materiale" som følsomt. Hvorfor ikke også til at se info om klassekammerater, og at ændre kontoindstillinger?

  • 1
  • 0
Jesper Kristensen

Man kan jo også spørge sig selv om det er bydende nødvendigt, at elever på ned til 5 år overhovedet skal have adgang til Aula? Hvad er det præcist en 5-årig skal bruge det til hvor forælderens adgang ikke er nok?

Jeg er med på, at trivselsundersøgelser bliver kørt denne vej, men det må vi så græde tørre tårer over bliver tvunget til at være anonymt i de små klasser i det mindste...

Min egen søn går nu i 1. klasse og har brugt uni-C login en eneste gang - til en trivselsmåling jeg desværre ikke nåede at forhindre.

  • 2
  • 0
Kim Rasmussen

Nu er de enkelte skolers setup naturligvis forskelligt, og nogle steder givet man sikkert eleverne devises de kan bruge uden login, men mange steder skal eleverne altså logge på den PC/tablet/printer/what-ever de skal bruge - og har man bare haft et minimum af omtanke ved design af det system vil det være med UNI-Login og ikke noget yderligt eleverne skal huske credentials til.
Men ja nogle steder giver man sikkert fri adgang til at kunne gå på nettet og kræver så først login når en tjeneste skal tilgås i skyen - og det er jo også smart nok.

  • 1
  • 0
Jesper Kristensen

Min søn har endnu ikke brugt IT i undervisningen - heldigvis vil jeg næsten sige. Jeg er ikke overbevist om, at det er specielt gavnligt for undervisningen at udlevere "devices" så tidligt. Ja elever lærer noget generelt om brugen af IT, men samtidigt kan det være et enormt distraherende ovenpå den egentlige læring.

Derudover er youtube og andre ting vildt fristende (vi snakker børn mellem 5 og 8 år og selv vi voksne dyrker overspringshandlinger som aldrig før).

Desværre har der været en tendens til, at IT per automatik er bedre end papir/blyant/tavle, så det er nok korrekt, at nogle skoler bruger devices fra 0. klasse.

  • 1
  • 0
Ebbe Hansen

For mig giver det ikke mening, at eleverne selv skal administrere og huske adgangskoder mv.
Det rigtige vil være, at underviseren lukker dem ind (via en adminfunktion) når undervisningen begynder og ud igen efter lektonen. Når de så er hjemme eller i fritteren må det være forældre, pædagoger og andre med rettigheder, der lukker dem ind.
Jeg mener ikke, det bør være elevernes eget ansvar at logge ind.

  • 2
  • 0
Log ind eller Opret konto for at kommentere