VIGTIGT: Sikkerhedshullet som kan lukke din virksomhed, hvis du bruger online bogføring og fakturaprogram eller online lønsystemer.

Carl:

Der er forskellige grader af sikkerhed i online systemerne.

Det har du ret i

Carl:

De svageste systemer, bruger du email adresse som username. Det er klart det svageste system. Her skal hackeren kun bruge et password.
Lidt mere sikkert er systemer, hvor du selv har valgt username. Det vil være lidt mere besværligt for hackeren at bryde ind.

Det er så til gengæld noget vrøvl, en angriber har lige svært ved at gætte et brugernavn, hvad enten det består af en email-adresse eller navnet på din mors yndlingshest. Hvis nu din mors yndlingshest hedder first@line.com skulle det så være lettere at bruteforce end hvis den hed FirstLineCom ?

Din problemstilling er reel nok, men problemet er ikke et "sikkerhedshul" i systemerne men derimod at brugerne har for svage passwords - hvis brugeren har et password der er stærkt nok - så er problemet ikke eksisterende.

Carl:

Der er forskellige grader af sikkerhed i online systemerne

Igen, det har du ret i, men det er ikke den problemstilling du beskriver - det er udelukkende et adfærdsproblem hos brugeren og det kan såmænd være slemt nok :-)

De bedste hilsner
/Brian 

Jeg må erkende at jeg er ligeglad med om man kalder det et sikkerhedshul eller dårlig password.

Mit vigtigste budskab er at der er en risiko og jeg håber folk tager det seriøst. Dem som ikke gør, vil opdage på et tidspunkt at de mister penge. Det vil blive udnyttet. Nu har jeg skrevet problemet og så må folk tage det som de vil.

Min påstand er: Kan det ske, vil det ske. Hackerne er bestemt ikke dumme. Kan man bryde ind hos CSC, kan man nok også bryde ind i et online program, med langt svagere sikkerhed.

Hvis jeg havde genet til at være kriminel, ville rigtig mange online kontoer, nu have haft et andet konto og reg. nr.

Michael:

Nu begynder du så også at blande tingene lidt sammen. Jeg håber i er klar over at der er forskel på jeres system og Danløns system sikkerhed ?. Trådstarter skriver ikke at truslen skulle komme fra eget system over i Danløns system.

jo da - Carl skriver at det er så let at hacke de simple koder mange bruger i bogholderiprogrammer og ex i Danløn. Danløn kunne de ha en kode der hed: Brugernavn Michael - password mic123ael - Faren er ikke at de logger sig ind i et regnskabsprograms base i sig selv - (hvilket vel også kunne være en risiko - og tvivlsom om programmet havde råd til erstatning) - risikoen er at hackere skaffer koden - uanset hvordan - da det er ukrypterede koder

Det kan generatorer ret nemt teste sig frem til og keyboard læsere kan hente det når man taster, da det jo er samme kode hver gang, modsat NemID

Ændre en bankkonto for en medarbejder kræver ikke andet end den simple kode jeg gav som eksempel - så går man ud af systemet og næste gang virksomheden kører løn, så går pengene til en anden konto. Jeg skal dog erkende, at det jo så i en del fald vil kunne spores selv om folk er opfindsomme og hurtige til at køre penge videre til Langbortistan - men Carl har ret i princip risikoen for regnskabsprogrammer og simple løn systemer. Skats eget lønsystem kræver faktisk nemID e.l. - men jeg tror ikke vi alm- brugere gider det til løn og slet ikke til bogføring

Jeg har heller ikke hørt om misbrug selv - er muligvis aldrig sket, men det er jo ikke en fremtids garanti

Carl:

Min påstand er: Kan det ske, vil det ske.

Ja alt kan ske. Du kan også blive ramt af lynet i morgen. Er det sandsynligt, nej. Så det kan altså ikke betale sig at rende rundt og bekymre sig om det.

Det samme med dit scenarie. Da det aldrig er sket kan det nok ikke betale sig at bekymre sig helt vildt om det. Og de brugere som Danløn har er jo åbenbart heller ikke så dumme som du gerne vil gøre dem til. Det ser jo ud til at deres adgang har holdt ind til nu.

Og som du nok har set på andre indlæg her inde. Er det slet ikke så nemt at få en Bank konto. Og det bliver jo nok ikke nemmere af at den skal være med falsk ejer.

Ja, det skrev jeg jo selv, sporing via dk konto er relativ nem, men hvis udenlandskonto er muligt vil det øge risikoen. Men enig, jeg har ikke hørt det ske og hvis bare folk bruger ordentlige passwords, er risikoen nok ikke voldsom, så længe programmet kun lader betaling ske til dk konto, mens andre vel sælger i udlandet og kan ha flere udenlandske konti i deres regnskabsprogram, hvilket vi kan, men ikke online
Jeg tror også de fleste overlever hvis de har gode passwords
Venlig hilsen

Tråden virker lidt forfejlet, om end der nogle generelle forholdsregler, som vi alle bør iagttage.

M.h.t. Danløn så er det ikke nok at have "Brugernavn" og "Password", idet dette kun giver adgang til diverse oplysninger.

Hvis du skal kunne ændre noget som helst, så skal du bruge en "Underskriftskode", som selv Danløn ikke kender. Så Danløn er væsentlig mere sikker end eks. NemID!

Tonny

Tonny Skov Pedersen:

Hvis du skal kunne ændre noget som helst, så skal du bruge en "Underskriftskode", som selv Danløn ikke kender. Så Danløn er væsentlig mere sikker end eks. NemID!

Det er ikke rigtigt. Du kan hedde Michael som bruger og mik123 som password - logge ind i firmaets danløn -og så har du adgang til medarbejderne og deres konti kan du ændre uden underskriftskode (har lige testet og ændrede min egen konto til noget vrøvl, gemte, og det virkede fint).

Underskriftskode bruges kun ved bogføring/kørsel af lønnen, men hvis en havde være inde i danløn og ændret kontonummer, så ville man jo aldrig opdage det, bare ha kryds i medabejderen når man kørte løn som rutine - måske ændret timetal e.l., og skrev sin underskriftskode.

Man sidder jo ikke og kontrollere om medabrjderens oplysninger som ex bankkonto pludseligt var ændret og den er heller ikke en del af kontrollen proceduren man kan køre inden "bogføring" Bankkonto fremkommer slet ikke som del af proceduren.

Den kræver underskriftskode for køre lønnen, men ikke for at ændre en medarbejders bankkonto og trykke gem - og underskriftskoden er så også samme hver gang og kun 6 tal/bogstaver 

vh