Huomio Wilman monivaiheisesta tunnistautumisesta ja sen turvallisuudesta

editoi July 14   Muuta

Päivitys 15.07.2021: Visma on julkaissut rajapintaan monivaiheisen tunnistautumisen, ja ominaisuus käy parhaillaan betatestausta.


Visman uudessa mobiilisovelluksen versiossa 2.0.29 (ja iOS 2.0.30) on tuotu monivaiheinen tunnistautuminen myös mobiiliin, joka aikaisemmin puuttui kokonaan vaikka selainversiossa ominaisuus on ollut jo yli vuoden.


Loogisesti voisi ajatella että monivaiheinen tunnistautuminen olisi tässä vaiheessa turvallista, sillä se toimii selaimessa ja tietokoneella, sitä ei voisi ohittaa missään. Tästä huolimatta asia ei ole näin. Se on ohitettavissa ja helposti.


Visman toteutus monivaiheisesta tunnistautumisesta mobiilisovelluksessa (ja rajapinnassa) on epätäydellinen, eikä lisää turvallisuutta, vaikka tämä on koko monivaiheisen tunnistautumisen idea.

Monivaiheinen tunnistautuminen on Wilman järjestelmässä valinnainen vaihe sovellukselle, Wilman palvelin ei pakota tätä vaihetta rajapinnan kautta.

Näin esimerkiksi Wilma Plus ei vaadi monivaiheista tunnistautumista, joka hävittää Wilman monivaiheisen tunnistautumisen hyödyn kokonaan pois.


TL;DR, Wilman monivaiheinen tunnistautuminen on pahasti kesken, ja tällä hetkellä se ei paranna turvallisuutta, vaan hukkaa aikaasi koodin syötössä.

Tästä syystä Wilma Plus ei tule tukemaan monivaiheista tunnistautumista, sillä se toimii ilman sitä erinomaisen hyvin.

Visman päivitettyä järjestelmänsä pakottamaan monivaiheista tunnistautumista pakollisena myös mobiiliin ja sen rajapintaan, lisäämme sen meidän sovellukseen.

Kirjaudu sisään tai Rekisteröidy kommentoidaksesi.