Styrelse politianmelder administrator efter misbrug af undervisnings-id

Illustration: Andrey Khokhlov/Bigstock
Styrelsen for It og Læring vil nu bolstre sikkerhed med NemID.
37

En administrator på den statslige id-løsning Uni-Login er meldt til politiet efter at have misbrugt sine rettigheder.

»Vi kan bekræfte, at der er en bruger, der har misbrugt sine administratorrettigheder,« fortæller kontorchef i Styrelsen for IT og Læring Klaus Østergaard Jensen.

»Den bruger er blevet politianmeldt, og så vidt vi kan forstå, har politiet sigtet vedkommende. Nu foregår der en efterforskning, som vi ikke kan sige så meget om,« fortsætter han.

Læs også: Persondata-angst forsinker Skoleintra-afløser i endnu et år

Uni-Login er et digitalt id for elever, forældre, og medarbejdere på institutioner, som stilles til rådighed af styrelsen. Login’et bruges som id-løsning ved en lang række digitale tjenester på undervisningsområdet, såsom de nationale test, Undervisningsministeriets digitale prøveafviklingssystem, de nationale trivselsmålinger m.v.

Der er dog ikke noget, der tyder på, at misbruget er anvendt til at hente eller få adgang til personfølsomme oplysninger, siger Klaus Østergaard Jensen.

»Man kan ikke få adgang til enkelte brugeres besvarelser på for eksempel trivselsundersøgelser. Man kan bruge det til at afgive oplysninger, men det er de her brugere ikke blevet anvendt til,« forklarer han.

Læs også: Fem opsigtsvækkende sager om vrede systemadministratorer der gik amok

Gode logs

Som administrator i Uni-Login har man blandt andet adgang til andre brugeres brugernavne og passwords.

Og her har personen hentet andre brugeres login-oplysninger, og brugt dem til at logge ind på brugeradministrationen og enkelte andre af undervisningsministeriets systemer, forklarer kontorchefen.

»De passwords, personen har brugt, har vi nulstillet, og vi har kontaktet brugerne.«

I har ikke valgt at nulstille alle brugere?

»Vi har ret gode logs over, hvilke brugere der er blevet misbrugt, så derfor har vi valgt kun at nulstille dem.«

Læs også: Kun hver 5. elev ændrer tildelt kodeord til nationale test

På hver af landets 3-4.000 institutioner er der som regel flere, der har administratorrettigheder. Dertil kommer, at kommuner typisk har en administrator, der har adgang til flere skoler.

Klaus Østergaard Jensen kan ikke sige noget om, hvor mange skoler den pågældende har været administrator for.

Indfører NemID

Præcis hvor længe misbruget har stået på, vil nu være en del af politiets efterforskning.
Klaus Østergaard Jensen bekræfter, at misbruget blev opdaget af den tekniske overvågning, som styrelsen har sammen med blandt andre SkoleIntra.

Episoden har givet anledning til at gå sikkerheden efter i sømmen hos Styrelsen for It og Læring.

Læs også: CPR-numre på elever lå frit tilgængelige fra skole-it på erhvervsskoler

»Vi kan se et behov for generelt at stramme op på sikkerheden omkring administratorer i systemet,« Klaus Østergaard Jensen og fortsætter:

»Derfor har vi planlagt at nulstille alle administrator-passwords, vi indfører krav om NemID for at logge ind på brugeradministrationen, og vi begrænser den information, man kan se i brugeradministrationen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (37)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

"»Man kan ikke få adgang til enkelte brugeres besvarelser på for eksempel trivselsundersøgelser. Man kan bruge det til at afgive oplysninger, men det er de her brugere ikke blevet anvendt til,« forklarer han."

Hvad kan man så bruge det til?

Men bestemt en foruroligende - men ikke overraskende historie. Det er jo en af grundene til, at vi ikke skal samle folks samlede livshistorier, følelsesliv, sundhedsdata og øvrige privatliv ind på den måde, det sker i øjeblikket.

  • 9
  • 0
Bjarne Nielsen

Hvad kan man så bruge det til?

Udgive sig for at være barnet selv.

Og selvfølgelig kan man ikke adgang til trivselsundersøgelsen; det er jo ikke vores data, det er statens og forskernes. Så det er nogle andre brugere og administratorer.

Jeg ville egentlig godt vide om det her er noget, som de har opdaget som led i deres egne kontroller, eller om de - f.eks. som politiet - skal have sagen serveret på et sølvfad og på en måde, hvor man er bange for at det kommer i medierne, før man gør noget?

  • 11
  • 0
Morten Toudahl

Som administrator i Uni-Login har man blandt andet adgang til andre brugeres brugernavne og passwords.

Og her har personen hentet andre brugeres login-oplysninger, og brugt dem til at logge ind på brugeradministrationen og enkelte andre af undervisningsministeriets systemer, forklarer kontorchefen.

Så passwords ligger altså i klar tekst, siden administratoren kan logge ind med dem...

  • 26
  • 0
Jesper Jepsen

Intet krav om at det skal være dit personlige NemId, kan forestille mig et det skal være et medarbejder NemId ganske som mange virksomheder har for at kunne indbrette til Skat f.eks.

  • 4
  • 0
Jan Gundtofte-Bruun

> Så passwords ligger altså i klar tekst

Måske menes der, at man har mulighed for at nulstille/ændre dem? Hvis man har database-adgang, er det jo muligt at ændre pw til noget man selv kender, og efterfølgende retablere den tidligere hash værdi i pw-kolonnen.

Det er det jeg vælger at tro. :-)

  • 4
  • 0
Ninett Fischer Jensen

Jeg er også lidt forvirret over indholdet i artiklen. Og jeg har ikke den store indsigt i sikkerhed. Jeg har svært ved at tro at passwords ligger i klar tekst og ikke hashed.

Er administratorenes overtrædelser blevet opdaget af, at logningssystemets automatiske overvågning siger "Ding - her sker noget mistænkeligt"? Eller er det blevet opdaget i forbindelse med efterforskning af sagen om misbrug af data fra nogle af de 180.000 unges besvarelser på trivselsundersøgelserne, eller en anden sag?
Jeg håber at det er "Ding"-svaret der er rigtigt. For det er vel ikke nok bare at logge historik om hvem der logger, ind hvis systemet ikke automatisk registrerer og advarer "real-time" om, at der foregår noget usædvanligt. Gemmer loggen ikke både tidspunkt,
brugernavn og IP-addresse på dem der logger ind? Hvis ja så burde det da ikke tage politiet lang tid at afgøre hvorlænge ulovlighederne har varet ved. Vi taler om en bestemt kommunalt ansat person der er tiltalt. Hvorfor ved man så ikke hvormange skoler han er administrator for? Eller har man glemt at begrænse deres rettigheder til det antal skoler som de reelt administrerer?
Det forvirrer mig også at Klaus Østergård mener at pågældende administrator ikke har haft adgang til personfølsomme data. Det må da være udfra hans egen definition af hvad personfølsomme data er. F.eks. karakterer eller fravær er da også følsomme data.

Som sagt er jeg lidt forvirret. Men selvom det bliver oplyst at man ikke har adgang til f.eks. besvarelser af trivselsmålinger, kan vi så være sikre. Jeg kunne godt forestille mig at en kommunalt ansat i en af de ti forsøgskommuner i projekt, som jeg linker til, kunne have glæde af at tilgå visse data på denne måde. Her er nemlig angivet noget om unges kriminalitet, seksualitet, misbrug m.m. (sidst i rapporten).

https://www.via.dk/~/media/VIA/dk/om-via/presse/dokumenter/pdfer/arkiv/d...

F.eks. har en af projektets ti kommuner Hedensted ansøgt datatilsynet om tilladelse til indhentning af data. Men i deres ansøgning angives at de IKKE vil bruge data om seksualitet. Så hovsa pludselig har de alligevel skullet aflevere disse data til Deloitte, derfor har administrator forsøgt sig via UNI-login.
https://anmeld.datatilsynet.dk/frontend/fortegnelse/vis.off.asp?myid=931...

  • 2
  • 0
Flemming Hansen

Måske menes der, at man har mulighed for at nulstille/ændre dem? Hvis man har database-adgang, er det jo muligt at ændre pw til noget man selv kender, og efterfølgende retablere den tidligere hash værdi i pw-kolonnen.


At de vælger at nulstille passwords giver mig mistanke om at de ligger i klar tekst.
Hvis han midlertidigt havde brugt sin egen hash, så ville han jo fjerne sin egen adgang til kontoen så snart han lagde den oprindelige hash ind igen.

  • 3
  • 0
Jan Heisterberg

Ringe sikkerhed, og manglende brug af anerkendte procedurer, er øjensynlig udbredt. Her gik der så en rotte i fælden.

På sundshedssystem oplevede jeg forleden, at få mit password tilbage - efter klik på "bar glemt". Det indikerer jo KLART, at dette enten gemmes i klar tekst, eller at det kan genskabes - næsten lige slemt.
Vi læser om mange ligegyldige, ihvertfald mindre vigtige, tiltag på det her privacy område. Men hvorfor er der ikke grebet fast og solidt om passwords med et KRAV om anvendelse af en "Best practices" metode ? Og for at gøre det let, så kræfter det overalt uanset om det er sundhed, penge, ugeblade eller hvad ?

Gad vist hvor mange ANDRE systemer er lige så dårlige som det nævnte, som kun opdages "tilfældigt" - det var jo en design fejl.

  • 6
  • 0
Christian Nobel

Hvad forskel skal "NemID" gøre?

Gammelt scenario:

Administrator Jensen logger ind med brugernavn og password og har de privilegier han nu en gang har (hvilket kommer til at stå i loggen), og kan nu boltre sig med 1000 brugeroplysninger.

Nyt scenario:

Administrator Jensen logger ind med "NemID" og har de privilegier han nu en gang har (hvilket kommer til at stå i loggen), og kan nu boltre sig med 1000 brugeroplysninger.

Jeg har altså meget svært ved at se forskellen, ud over selvfølgelig at i tilfælde to med statens SSO system, så ved Nets og NSA det også.

  • 10
  • 0
John Qvottrup Christensen

Som administrator på UNI-login kan jeg oplyse følgende:
Når en ny bruger oprettes, vil vedkommende få tildelt en adgangkode, som kunne være 'kpy57sey'. Denne kode er synlig for administrator og distribueres sammen med brugernavnet til eleven. Eleven retter derefter adgangskoden, hvorefter den for adminstrator vises som '***'. Hvis administrator herefter vil have adgang til kontoen, må adgangkoden nulstilles til den kendte, hvad brugeren naturligvis opdager.

Inden kritikken strømmer ind, bedes man huske, at UNI-login skal anvendes af elever fra 0. klasse, hvilket betyder, at læreren må hjælpe eleverne med hele processen, så en adgangskode, som kun brugeren kender, er en umulighed.

For de større elever gælder naturligvis, at de skifter til en adgangkode, som kun er kendt af dem selv, men det er et stort problem at få alle til skifte. I en tilfældigt vagt klasse var der således 6, der ikke havde skiftet.

I gamle dage var det sådan, at brugernavnene lignede en adgangskode (f.eks. uv3r17f8), mens standardadgangksoden var 'skoda'.

  • 6
  • 0
Kim Rasmussen

Både ja og nej.
Brugernes 1.gangs pw findes i klar tekst, og man kan nulstille til disse (eller et andet hvis ønsket).
Så nej, man har ikke adgang til bryggers pw HVIS de har ændret det, hvilket mange elever ikke har... Hvor jeg arbejder har stortset alt personale ændret pw.
Et af de nye tiltag er at administrator ikke længere kan se ansattes 1. gangskoder uanset om de er ændret eller ej...

Vh
En lærer der er lokaladmin på systemet

  • 4
  • 0
Jan Heisterberg

Godt med en kommentar fra "hestens mund", men:

  1. Jeg forstår ikke, hvorfor den tildelte adgangskode ikke en "engangs" ?
  2. Jeg forstår ikke hvorfor, eller hvad du mener med: "synlig for admin" ?
  3. Jeg forstår ikke det der med "nulstilles" - hvorfor bruger admin ikke "bare" en master-key (admin-key) ?
  4. Hvordan kan det være et problem at skifte en adgangskode - hvis den altså var een-gangs ?

Det er ikke klart for mig, om du beskriver et system as-is, hvor der med rette kan rettes faglig kritik - indirekte i mine spørgsmål.

Konklusionen må rimeligvis afvente dine svar.

  • 1
  • 2
Kim Rasmussen

Jeg beskriver blot systemet som det er.
Jeg har ingen tilknytning til STIL, men er blot ansat på en skole, og kender systemet ganske godt fra det perspektiv.

Det er nok vigtigt at huske på at systemet skal bruges i en pædagogisk virkelighed, hvor de fleste brugere er børn/unge - hvilket altså giver nogle andre udfordringer end hvis det er voksne, fx at mindre børn ikke kender bogstaverne, eller at elever med særlige behov kan have en hukommelse der umuliggør at de kan huske lange passwords...

Jeg vil gerne FORSØGE at komme med bud på svar til dine spørgsmål, men regn dem venligst ikke for mere end det

1) I de mindre klasser kan det give mening at læreren kender og kan hjælpe elever med at taste en kode - det ville være forkert at bede eleverne ændre koden til noget, og så oplyse det til læreren.
Dem der kan huske en ny kode kan jo med fordel ændre den, og resten kan læreren kende i et stykke tid...

2) En lokaladministrator på hver skole (og hvis jeg vælger det også en række lærere) kan bede om en liste over elever i en klasse - her vil der typisk (der er flere designs) fremgå navn, brugernavn, tildelt kode, aktiv kode. Aktiv kode vil enten være udfyldt med samme værdi som "tildelt kode" eller med "***", hvis brugeren selv har ændret koden. (Nogle visning giver istedet værdierne "Gyldig" eller "skiftet af bruger")

3) Hvis en elev glemmer sin kode, kan man som admin (og lærer hvis de har rettigheden) vælge at "nulstille" elevens kode, det vil sige at den igen bliver det som af listen fremgår som "tildelt kode" - men kan også vælge at de skal have en hel ny kode, fx hvis det må antages at den tildelte kode er kendt af andre.
Det er her i denne uge blevet sådan at hvis man nulstille koden for en ansat, så gøres det anderledes:
Hvis bruger er idenntificeret med CPR kan den skiftes af brugeren selv via nemID (husk at de fleste elever ikke har nemID, men er de fyyldt 15 år og har det, kan de også gøre dette). Er dette ikke muligt/ønskeligt, kan man nulstille koden, og man vil som admin få den oplyst og kan give den videre, men den vil ikke fremgå af lister ligesom elevernes.

4) Det har jeg vist forklaret ovenfor. For rigtig mange er det IKKE et problem, men skyldes måske dovenskab, eller dårlig introduktion til systemet - men for en del er det faktisk et problem jf indledningen

Håber du kan bruge denne info...

/Kim

  • 4
  • 0
Kim Rasmussen

BEKLAGER, jeg så ikke at dit indlæg var rettet til John Q. Christensen, selvom det ellers fremgår meget klart.
Jeg fik det som mail-notifikation på mit indlæg, og troede at du spurgte mig - derfor svarede jeg som jeg gjorde.

Beklager forvirringen.

  • 0
  • 0
Martin Kiefer

Og jeg forstår godt hvorfor det er sådan. På vores børns skole får de i 0-klasse udleveret en mappe hvor der er klistret brugernavn/adgangskode ind på indersiden af mappen.

Husk på at de her børn dårligt nok kan læse tal og bogstaver første dag de starter i skole, og endnu mindre finde ud af hvad en adgangskode er.

Så hvis de skulle skifte password og læreren ikke kunne hjælpe dem efterfølgende ved at se hvad adgangskoden er, ville man nok have 95% af eleverne i 0-klasse der ikke længere kunne finde ud af at logge ind, men ville skulle bruge en "nulstil adgangskode" hver eneste gang de skal logge på. Så kan læreren jo ikke lave andet end at hjælpe med det...

  • 4
  • 0
Niels Østergård

Også jeg er lokal UNI-Login-administrator på en skole (en ungdomsuddannelse). Og ved fra dette arbejde, at andre skoler kan have MANGE administratorer, og ikke nødvendigvis alle med en særligt god forståelse for, hvordan hvervet bedst varetages.

Det er klart et problem at samme tekniske løsning skal være tilgængelig for fx elever i 0. klasse, myndige kursister på voksenuddannelsescentre, lærere, og teknisk/administrative medarbejdere. Det burde nok være muligt at indstille (pr. skole eller pr. klassetrin) at den systemtildelte kode kun er en engangs-kode. STIL er åbenbart i gang med en opstramning, hvor der bl.a. differentieres i sikkerheden mellem UNI-Login-administratorer, øvrige ansatte, og øvrige brugere - det er et fremskridt, men jeg så gerne en større sikkerhed for mine voksne kursister end den der kan fungere i 0. klasse.

Jeg kunne godt lide at vide, om den "administrator" der har forsyndet sig er en STIL-ansat eller en lokal administrator på en skole. Det frwemgår vist ikke?

  • 3
  • 0
Jan Heisterberg

Jeg kan se, efter svaret, at Bjarne Nielsen's kommentar er spot-on !

Det er så ikke John's fejl eller ansvar - men svarene er rystende læsning; ikke mindst set i lyset af, at hele "historien" starter med en politianmeldelse af en administrator.

Rystende.

Jeg er 100% overbevist om, at der kan laves et fyldestgørende, børne- og brugervenligt sikkerhedssystem som opfylder langt de fleste, state-of-the-art krav OG som yderligere opfylder de pædagogiske krav til at lære, de lidt ældre elever, om it-sikkerhed.
Det vil være off-topic her at komme med forslag.

Jeg HÅBER en ansvarlig myndighsperson læser denne debat og forstår hvor helt forfærdelig situationen er - skabt af et ringe design.

  • 3
  • 0
Kevin Johansen

Ja, fedt, så fortæller jeg da bare min 1. klasses dreng (:D), at han må vente med at lave ekstra matematik opgaver, som han jo altså efterspørger.

Det ville give mere mening, hvis man havde forskellige password policies (jeg går stærkt ud fra at man har forskellige roller (bruger, admin, superbruger whatever)) til de enkelte grupper:
Indskoling - password skift ikke muligt, adgang til ændringer og læsning meget begrænset
Mellemskole - password mulig, ikke obligatorisk, evt. samme begrænsede adgang
Udskoling - password skift obligatorisk, flere rettigheder
Lærere - password skift obligatorisk osv. osv. osv.

(som Niels Østergaard også lægger op til)

On Topic:
Vores første (på kontoret) kommentar var også at, ja, enten gemmes passwords i klartekst eller også kan admin gå ind og ændre i hash fordi vedkommende har adgang til databasen og kan skrive direkte hertil.

Begge dele er idiotisk og skræmmende!

Jeg går ud fra, at admin her ikke var en driftsansvarlig hos leverandøren; men selvom dette skulle være tilfældet, virker det som svag sikkerhed, at man som databehandler (styrelsen) ikke skal godkende sådan indgreb.

  • 4
  • 0
Steen Toft Jørgensen

STIL (tidligere UNI-C) er i gang med at stramme op på sikkerheden.
Se tiltagene (klik på tidsplanen):
https://viden.stil.dk/pages/viewpage.action?pageId=10163092
Det må siges, at være påkrævet, at sikkerheden forbedres. Den har været næsten ikke-eksisterende. Hidtil har admin på skoler kunnet downloade lister, hvoraf brugernes CPR-numre fremgik, og hvis brugerne ikke havde skiftet det tildelte password, så kunne admin læse det!
Man burde lave 2 logins til administratorer. Et til admin-job, hvor der kræves NemID-login, og et som bruger f.eks. læsning af mails på Skolekom eller login på et website med undervisningsressourcer, som skolen har betalt adgang til.
De 2 roller BØR altid adskilles. Sikkerhed bør overrule bekvemmelighed.
UNI-login tilbyder slet ikke 2-faktor login, f.eks. med en app-genereret kode eller en SMS, som f.eks. Google tilbyder. I stedet for skal jeg nu som admin medbringe NemID. Jeg kan ikke forestille at skolerne gider tildele admin et virksomheds NemID, så det bliver vel mit private NemID.

  • 3
  • 0
Christina Rønne

Hej Niels,

Som en af de tidligere medarbejdere i STIL, der har haft adgang og fuld kontrol over samtlige institutioners brugeradministationer, så kan jeg meddele, at der er ganske få der har adgang til alle institutioner og at de i de senere år har brugt medarbejder Nem-ID til deres adgang.

Desuden så ville alt efter hvad der logningsmæssigt er sket, være ret svært at dokumentere et misbrug af den adgang (da en del af adgangen gives i forbindelse med support )

  • 0
  • 0
Bjarne Nielsen

Min første tanke, da jeg oprindeligt læste denne artikel, var 'åh nej, nu retter man igen bager for smed'. For dem, som her i landet har myndighed giver hurtigt ansvaret videre, og som regel uden at den myndighed, som naturligvis burde være en del af det, følger med. Så når nogen bliver stillet til ansvar, så er det dem uden myndighed. Jeg er ikke, som AMK, vred, jeg er skuffet og godt på til at blive disillusioneret, så jeg ved mig i første omgang i tungen.

Efter at have læst debatten, og fået underbygget en række mistanker, sidder jeg nu tilbage og spørger mig selv, hvad en række forskellige grupper mon lærer af dette?

Får det første alle disse lokale administratorer. Folkeskolen er generelt i underskud på IT kompetencer, men der findes heldigvis ildsjæle, som tager opgaven på sig med at få det hele til fungere i hverdagen. Den lokale udgave har en høj stjerne hos mine drenge for altid at have tid, være hjælpsom og pragmatisk.

Og så giver man dem et system, som hverken virker tilstrækkeligt til udskolingen og som gudhjælpemig partout også skal bruges i indskolingen. I bedste fald virker det som en fiks ide. Der er tydeligvis lavet lapper og kompromisser som gør det uegnet til alle gruppers hverdag; faktisk virker det som om, at det eneste det gør godt, er at man kan sikre fra centralt hold at der kan laves ikke-anonyme trivselsundersøgelser fra 0. til 9. klasse.

Hvis ikke det skulle kunne slukke gløden i de få ildsjæle, så vil det at blive politianmeldt for at prøve at være hjælpsom og få en hverdag til at fungere. Suk. Hvis der imod forventning skulle være tale om en, som havde gang i den virtuelle udgave af at kigge ind i udskolingens omklædningsrum, så har jeg ingen medlidenhed, og i så fald vil jeg opfordre dem, som har skabt dette virtuelle omklædningsrum til at leve op til deres ansvar. Men jeg tror nu på det første.

Og hvad er det vi gør med indskolingen, når vi giver dem brugernavne og lange passwords med tegn fra flere alfabeter? Som minimum at computere er besværlige, og passwords er noget man skriver ned og deler. Ups!

Jeg synes vi skulle sætte dem med trivselsundersøgelses-kløe uden for døren, og så lade folk med forstand på børn i den alder diskutere, hvad det er børnene har brug for at lære, hvad de kan lære og hvad der skal til af løsninger for at opnå det.

Man bør også overveje, om sikkerheden er tilstrækkelig til det, som man vil med udskolingen. De kommer jo alligevel i den alder, hvor de skal have NemID (for at kunne selvangive deres fremtidsdrømme og forventninger i statens systemer). Derfor kunne skolen passende gå foran og lære dem at bruge en anden-faktor ifm. login. Mange af drengene lærer det alligevel på den hårde måde, når de eller deres kammerater får deres spilkonti stjålet.

Og skal det være steampunk udgaven af et HOTP token på papirform, so be it. Det ville dog være genialt, hvis man fandt noget som også kunne bruges andre steder; personligt er jeg meget glad for at kunne bruge min yubikey som TOTP token alle mulige steder, men der findes sikkert også mange fine alternativer.

Og sådan et token er da meget bedre end et password, som de har lært at dele og skrive ned. Det er sikkert individuelt, hvornår børn er store nok til at kunne passe på en nøgle, men når de kan, så kan de også passe på en nøgle til computeren. Og det ville være en god ting at lære den

Men lige nu gør man det altså forkert. Og man lapper desværre nok bare videre på en dårlig løsning.

  • 2
  • 0
Morten Toudahl

John: hvilken type administrator er du?
Er du db admin, eller er du bruger admin?

For hvis ikke du har direkte adgang til databasen kan du jo selvsagt ikke vide hvad der står i den.

Selv hvis du har db adgang, men ikke er db admin, kan du ikke vide om det står i klar teksts eller ej.
I hvert fald hvis det er en ms SQL 2016 server. Der ham man nemlig mulighed for at sløre kolonner for specifikke bruger grupper, på trods af at de faktisk står i klar tekst

  • 0
  • 0
Nikolaj Brinch Jørgensen

Måske skulle man bare vente et par klasser, til de faktisk forstår, hvad en adgangskode er for noget?


Det forstår de faktisk allerede før de begynder i skole. Alt er online med brugernavn/password i dag (PS4, XBOX, iPhone, iPad - spil osv.).
Mine to unger (1 og 4. klasse) kan sagtens håndtere et skift af kodeord. Jeg tror det er et spørgsmål om at sørge for at systemet er sådan.
Det kan ikke nytte noget at systemet børnene er allermest udsatte for (UniLogin) ikke opfører sig som alle de andre systemer de har berøring med. Sørg for at første kodeord er engangs, og at lærene f.eks. har adgang til at kunne nulstille en elev de har direkte interaktion med (klasselærer f.eks.).
Børn er meget bedre til at lære den slags end voksne, så hvis de bare fra start får præsenteret systemet så indretter de sig på det.

Så vidt jeg forstår er systemet bygget ud fra hvad voksne tror børn forstå/ikke forstår, og med vilje lavet usikkert. Det er ikke afprøvet at lavet et mere sikkert og korrekt system, for at se om børn faktisk kan bruge det?

  • 0
  • 0
Nikolaj Brinch Jørgensen

Hej Bjarne,

Der er utroligt meget rigtigt i det du skriver, men

Hvis ikke det skulle kunne slukke gløden i de få ildsjæle, så vil det at blive politianmeldt for at prøve at være hjælpsom og få en hverdag til at fungere. Suk. Hvis der imod forventning skulle være tale om en, som havde gang i den virtuelle udgave af at kigge ind i udskolingens omklædningsrum, så har jeg ingen medlidenhed, og i så fald vil jeg opfordre dem, som har skabt dette virtuelle omklædningsrum til at leve op til deres ansvar. Men jeg tror nu på det første.


Tror du virkeligt at man i en IT virksomhed har politianmeldt en administrator for at prøve at være hjælpsom? Tror du ikke det forholder sig som beskrevet, at denne administrator har misbrugt brugerkonti? Hvad skulle formålet være?

Og hvad er det vi gør med indskolingen, når vi giver dem brugernavne og lange passwords med tegn fra flere alfabeter?


Men det skal vi heller ikke (https://xkcd.com/936/), det er ikke det der er debat om.

Og sådan et token er da meget bedre end et password, som de har lært at dele og skrive ned. Det er sikkert individuelt, hvornår børn er store nok til at kunne passe på en nøgle, men når de kan, så kan de også passe på en nøgle til computeren. Og det ville være en god ting at lære den

Men lige nu gør man det altså forkert. Og man lapper desværre nok bare videre på en dårlig løsning.


Helt enig - det kunne ikke være sagt meget bedre.

Men de nøgler/tokens der findes i dag er håbløse i deres udforming (de er jo også stadigt gen. 1).
Der er helt klart brug for noget produktinnovation på denne front, så der laves nøgler som tilgodeser ikke kun IT sikkerhedsfolk og deres fetisch over sikkerhed, men menigmand.
Det er ikke sexet at have med det at gøre, så der sker nok ikke så meget på den front foreløbigt, og derfor er adoptionrate på den slags forholdsvis lav i befolkningen. Der skal ske noget på den front - og folkeskolen ville være et fint sted at sætte ind.
Når nu man kan lave betalingskort til børn på 8 år, så kunne man vel også lave NemID til børn i folkeskolen. Det behøver ikke være voksen-NemID, men en børneudgave. Det kan de jo ligeså godt lære. De kan have deres nøglekort i deres taske.

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Bankerne sjusker med NemID-nøglekort: Kostede ung lærer 270.000 kroner

38

NemID-afløser og fremtidens digitale post bliver væsentligt dyrere end antaget

11

Skattestyrelsen dropper Tastselv-kode: Højere sikkerhed med NemID

22
Job fra Jobfinder
Konsulent til implementering af Lessor-5
Algorithm Development Engineers, Image Processing 
Senior Project Manager
IT Consultant
Developers med erfaring
Vi søger skarpe konsulenter
info Se job der matcher dine skills og karriereønsker.
infoPersonaliserede jobclose

You can personalise jobs so they better match your skills and career wishes.

Log ind og opdater din profil for at se personaliserede job.

Log ind
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Gratis webinar: Kom godt i gang med en enterprise-ready cloud-platform
Whitepaper
Whitepaper
Tjekliste: De 10 vigtigste overvejelser om colocation
Webinar
Webinar
Gratis Version2 webinar: Undgå GDPR-bøder med sårbarhedshåndtering
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder