Adgangskoder bør ikke sendes i en mail

Question

Sikkerhedsmæssig er det generelt et "no-go" at sende adgangskoder i klartekst i mails

Når jeg opretter en ny bruger i administratormodulet i e-conomic sendes en mail til den nye bruger hvor adgangskoden står i teksten. Selvom der i velkomstteksten står at man anbefaler at ændre adgangskoden er dette ikke "godt nok"

 

Det ville være meget bedre at sende et link hvor man opretter sin adgangskode

- på samme måde som når man klikker på "Glemt brugeroplysninger" ved login (samme link kunne faktisk bruges !)

Answer 1

Hej René

Mange tak for dit indlæg og dit forslag.

Som en del af en generation der er vokset op på nettet må jeg indrømme at de eneste koder jeg efterhånden ikke modtager på mail er pinkoden til mit dankort. Uanset hvor jeg opretter brugerkonti, så vil jeg modtage en velkomstmail der bekræfter mit brugernavn og en systemgenereret adgangskode.

Mit første træk er altid at ændre denne adgangskode så jeg kan huske den når jeg skal bruge den i fremtiden. Hvilket vi også opfordrer til i velkomstmailen som du selv nævner.

Jeg har ikke oplevet dette som værende et problem, så hvis du har andre erfaringer end dette hører jeg gerne herom, hvis ikke så vil vi fortsætte med den nuværende udsendelse.

Comments

Hej Lauris

Egentlig havde jeg besluttet ikke at svare for den har jo allerede fået status "implementeres ikke"

Jeg er dog dybt uenig i din argumentation - eller faktisk mangel på samme !
Jeg er vokset op med det og jeg har ingen problemer med det.....
- eller sådan gør mange andre...

For det første vil det faktisk være LETTERE for brugeren bare at få et link i velkomstmailen og så oprette sin egen kode - i stedet for at skulle finde ud af hvor man skal ændre den

For det andet er min erfaring også at i langt de fleste tilfælde opretter du selv en adgangskode når du opretter dig som bruger rundt omkring på nettet eller også får du en engangskode som du er TVUNGET til at ændre første gang du logger på

Man kan så sige at det er ens eget problem at man løber en risiko for at andre får adgang til ens data hvis man ikke ændrer koden
Det er bare ikke helt det samme når vi snakker administratormoduler !!
Jeg kan på nuværende tidpunkt ikke sikre mig på nogen måde at mine brugere i administratormodulet har skiftet adgangskode..... Det betyder at hvis brugerens mail med adgangskode bliver "opsnappet" så er det ikke kun brugerens egen e-conomic-data vedkommende får adgang til men flere hundrede !!
I et revisionsfirma har sikring af kundernes data topprioritet og det kan have store konsekvenser hvis udefrakommende får adgang til data i vores administratormodul

Jeg har oprettet RIGTIG mange brugere i e-conomic - både interne og kunder. Min erfaring er meget klar - hvis ikke jeg viser og guider dem hvor de ændrer koden så sker det bare ikke - jeg kan slet ikke tælle hvor mange gange jeg har genbesøgt kunder og så er det stadig den samme kode de bruger som da jeg oprettede dem - jeg vil skyde på at det er i over 50% af tilfældene !!
Jeg har personligt nu gjort det til en vane at en af de første ting jeg hjælper en ny kunde med er at skifte password - selvom det står i mailen...

Så der var faktisk flere grunde til at jeg oprettede dette indlæg og ikke bare fordi jeg som IT-mand generelt synes det er en uskik at sende password/adgangskoder i mails

Alt dette kunne undgås ved at bruge et link/en funktion i allerede har

Answer 2

Hej René

Vores status er aldrig fastlåst, så "implementeres ikke" kan altid genovervejes.
På baggrund af din argumentation vil jeg erkende at det ikke er min beslutning at tage alene.

Jeg vil derfor tage den med på vores prioriteringsmøde hvor vi kan diskutere mulighederne for at behandle vores adgangskoder anderledes.

Du hører nærmere :)

Answer 3

Hej René

Vi havde denne med på prioriteringsmøde.
Her finder jeg information om at 2016 bliver året hvor vi kommer til at køre nogle opdateringer på nogle af vores sikkerhedsparametre.

Herunder vil afsendelsen af adgangskoder være en del af opgaven. Så vi vil behandle dette i forbindelse med denne opgave. Det betyder umiddelbart at jeg ikke vil relatere opgaven til dette indlæg direkte, hvorfor der ikke vil komme opfølgning her når det er rullet ud, du opdager det dog formentlig ganske snarligt efter implementering.

Mange tak for dit input :)