Digital underskrift uden digital signatur

Hvilken kode skal de logge ind med ? Hvis det er i dit eget login system så bestemmer du vil selv reglerne ?

Ja ved godt jeg selv bestemmer reglerne, men i tilfælde af fx. en fagforeningssag, skal denne kode være en gyldig eller i hvert fald sikker nok til at jeg kan sige, det er personen selv, som har logget ind eller udgivet sin kode selv. "den skal holde i retten"...

Du kan jo bruge reglerne fra Digital Signatur som udgangspunkt:
min. 8 tegn
min. 1 tal
min. 1 lille bogstav
min. 1 stort bogstav

det er vel heller ikke nok at koden er kryptisk, hvis din applikation er kodet dårligt, så den er et nemt offer for SQL-injections eller andre hacks, så kan det være lige meget hvor streng din kode er...

Jeg tror det er meget mere kompleks.....

Hvem har fx. adgang til kode-databasen (administrator, webhotellets ansatte osv)?
Er koden krypteret?
Sker login via en sikret linje eller kan login-oplysninger læses af andre.

Jeg tror ikke, at det er så lige til.

Du kan evt. spørge datatilsynet, som udstikker regler for hvor sikre data skal gemmes afhængig af dataindholdet.
Jeg mener, at de har en slags hotline.

Altså, herude på kontoret har vi behandlet følsomme oplysninger på personer (herunder navne, adresse, personnumre, kontonumre og lign) på en shared hosting server. Alle kodeord blev saltet samt MD5 krypteret og rainbow tables var derfor ikke et issue.

Al data blev sendt via SSL.

Vi havde ikke nogen 'regler' omkring kodeordets udformning (andet end vi forlangte at det var på mindst 6 tegn).

Datatilsynet havde ingen indvendinger.

Dvs. anvendelsen af dataen er afgørende for hvor "strenge" krav der sættes til selve koden og ikke login-metoden?

Hjemmesiden indeholder bl.a. medarbejderens vagter, under normale omstændigheder, hvis de skal bytte rundt på deres vagter, skal der udfyldes en "vagtbytte seddel", hvor der på denne er en underskrift. Dataerne er derfor ikke personfølsommme, hvad er jeres umiddelbare vurdering?
Det eneste systemet skal kunne klare, er at denne digitale underskrift er gyldig ved en sag inden for fagforeningen.
Vil det kræve en SSL forbindelse, sikring af div. mysql-infections osv?
Der er jo ingen reel hacker-værdi i at angribe siden?

Fordi datatilsynet har godtkendt den sikkerhed der er omkring et system, er det ikke ensbetydende, at data i nogle log-filer holder i en retssag. Men det hjælper da nok på det.

Datatilsynet går op i den sikkerhed, dit system har ift. hvilke typer oplysninger, du gemmer.

Fx. er der store krav til sikkerhed, hvis der registreres oplysninger om politisk tilhørsforhold og andre meget personfølsomme oplysninger.
Oplysninger om fx. cpr.nr. kræver ikke samme stærke sikkerhed.

Jeg er fx. webmaster for en spejderforening, og vi arbejder på at lave et medlemskartotek, hvor vi bl.a. registrerer cpr.nr., adresser m.m.
Dette kræver ikke en sikret forbindelse, men et fornuftigt sikret system, og styring af, hvem der må have adgang til de forskellige oplysninger.

Sikkerhedsmæssige forholdsregler som sikring af sql-injections er vel altid en god ide.

Kunne det ikke være fornuftigt at kontakte fagforeningen, for at høre deres syn på systemet.

I det specifikke tilfælde ville jeg mene at en medarbejder nummer må kunne gøre det. Et tillæg til ansættelseskontrakten vedrørende brugen af medarbejdernummeret på systemet, må kunne finde anvendelse.

På en tidligere arbejdsplads jeg var på stod det angivet i kontrakten at ens login på intranettet var personligt og kunne bruges til intern kommunikation, indgåelse af aftaler og så videre.

Men hvordan det forholder sig er det nok nemmere at spørge fagforeningen om.

Umiddelbart tror jeg ikke fagforeningen har så meget forstand på den slags IT, men det kan de selvfølgelig blive nødt til for at be- eller afkræfte ideen.

Nej, men det er fagforeningen som kan fortælle dig om din dokumentation er som den skal være.