Brukarnamn på SMS

I samanheng med at studieavdelinga har bedt om at vi bruker SMS- tenesta i staden for å sende ut passordbrev, har dei også bedt om å gjere tenesta finn-ditt-brukarnamn tilgjengeleg for nye studentar.

Motivasjon

Tenesta finn-ditt-brukarnamn vart utvikla slik at alle personar som var "reserverte" frå publisering på uio.no ikkje skulle kunne bli lista ut av tenesta. Dette med tanke på at tenesta kunne brukast til å brute-force match mellom fødselsnummer og brukarnamn. Å ta hensyn til reservasjonar skulle i det minste verne desse personane frå eit slikt angrep.

Kven som vert reserverte:

  • Alle studentar som ikkje har gitt aktivt samtykke til å bli publisert.
  • Alle ansatte som har aktivt reservert seg frå publisering.
  • Alle som verken er student eller ansatt vert automatisk reservert.

Ein konsekvens av det første punktet er at alle nye studentar starter med å vere reserverte, sidan dei ikkje har komt seg inn i StudWeb og gitt samtykke endå. Studieavdelinga ønska at vi tok hensyn til denne gruppa for å gjere det enklast mogeleg ved studiestart. Merk at studentane allereie får ei tekstmelding med sitt nye brukarnamn, men denne meldinga kan dei ha gløymd, mista, eller dei har bytta mobiltelefon.

Løysinga

Vår løysing er å endre tenesta finn-ditt-brukarnamn til å sende ut SMS med brukarnamna til personar som er reserverte frå publisering. For personar som ikkje er reserverte vil tenesta fungere akkurat som før. Dette løyser problemet for ein god del personar, men merk at det finnast personar som ikkje er registrert med eit mobilnummer i SAP og/eller FS. Desse vil ikkje bruke tenesta, men forhåpentlegvis er dette ikkje så mange personar.

Tenesta fungerer då:

  1. Brukaren går til tenesta finn-ditt-brukarnamn og tastar inn fødselsnummer eller studentnummer som før, samt captcha.

  2. Systemet ser at personen er reservert frå publisering i SAP eller FS, evt. manglar affiliations frå desse.

  3. Systemet sjekker om personen har registrert minst eit mobilnummer frå ein av kjeldesystema.

    • Dersom personen har eit mobilnummer, vil det bli sendt ut ein SMS til første mobilnummeret etter prioritet (SAP før FS). Meldinga har formatet:

      Dine brukernavn:
bruker1
bruker2
bruker3

      Merk at personen vil få same feilmelding som før på nettsida . Dette er for å unngå å vise at personen eksisterer.

    • Dersom personen ikkje har eit mobilnummer, vil ikkje systemet kunne hjelpe personen, og returnerer berre den samme feilmeldinga som om personen ikkje eksisterte.

Standard feilmelding som vert gitt om personen er reservert eller ikkje eksisterer, må endrast til å forklare at ein kan få ei tekstmelding. I dag er meldinga:

Some of the data is wrong, please try again.
Noe av den oppgitte informasjonen er feil, vennligst prøv igjen.

Denne endrast til:

You are either reserved or have given wrong information. If you are reserved, an SMS have
been sent to you, as long as your cell phone number is registered in our systems.

Du er reservert eller har gitt feil info. Hvis du er reservert skal du nå ha mottatt en
SMS, såfremt ditt mobilnummer er registrert i våre systemer.

Merk at det av sikkerhetsmessige årsaker er viktig at vi returnerer samme feilmelding både om personen er reservert og om personen ikkje vart funne. Vi vil ikkje at folk skal kunne finne ut om eit fødselsnummer eksisterer hos oss, og at personen er reservert.

Merknader

  • Utsendinga sjekkar ikkje om mobilnummer frå FS er bytta siste veka, som for utsendinga av eingangspassord. Dette fordi ein som kan misbruke denne tenesta antakeleg allereie kjenner til brukarnamna til personen. TODO: burde tenesta stoppa ved ferske mobilnummer frå FS?
  • Tenesta sender ut ein SMS til det første mobilnummeret som vert funne på personen, blant alle mobilnummer frå autoritative kjeldesystem. Denne tenesta gjer difor ikkje som sett-nytt-passord- tenesta, som til dømes berre sjekker mobilnummer frå SAP dersom personen er ansatt, og ignorerer då mobilnummer frå FS. TODO: bør tenesta ha same hensynet som passord-tenesta? Vil dette kunne misbrukast på noko vis? TODO: skal vi sende SMS berre til første mobilnummeret, eller alle unike nummer registrert på personen?
  • Personar vil kunne bli spamma av tekstmeldingar, dersom nokon taster inn samme fnr/studentnr og ny captcha kvar gang. TODO: bør vi legge inn noko sperre for dette?
  • Denne endringa er ikkje blitt sikkerhetsvurdert av andre enn Cerebrum-gruppa. Det er ei relativt lita endring, og det meste skjer bakanfor nettsida. Vi endrer berre på standard feilmelding på nettsida, for å forklare kva som kan skje.

Konsekvensar

  • Systemet vil med denne endringa sende ut fleire tekstmeldingar, og då auke utgiftene noko.
  • Fleire personar vil kunne bruke tenesta, og den vil forhåpentlegvis vere meir forståeleg.
  • Den vanlege feilmeldinga vert endra. Dette kan forvirre personar som er reserverte og som ikkje er registrert med mobilnummer, då det kan hende dei vil sitte og vente på ei tekstmelding. TODO: vil dette kunne vere eit problem?
  • Ein vil kunne sjekke om ein person er reservert ved å sjekke kor lang tid det tek å få svar frå tenesta, sidan det tek tid å få sendt ut tekstmeldinga. Ei løysing er å kunne legge inn samsvarande eller tilfeldig forsinking på alle svar på brukarnamn. Er dette nødvendig?

Author: jokim

Publisert 25. juli 2013 14:48
Del på e-post