Credentials registratie software

MAX3400 schreef op zaterdag 10 juni 2017 @ 19:40:
[...]

Ligt eraan wat je ermee wil...

- alleen registreren wie wat heeft?
- tickets koppelen aan aangemaakte gegevens?
- self-service portals voor de klanten?
- automation & provisioning van bestaande en nieuwe klanten?
- monitoring & alerting?

Je kan het dus zo gek/groot maken als je zelf wil. Ik lees vooralsnog niet dat er enige business-case is om een pakket wel/niet in te zetten. Sterker nog; jouw bedrijf (directeur) zal ongetwijfeld geld beschikbaar moeten stellen om iets in te richten. Een goede support doe je niet gratis en ook een goed/flexibel pakket kan zomaar eens niet gratis zijn; open source pakketten zijn dan wel gratis in aanschaf (vaak) maar support kan best in de papieren lopen.


Ik vind het trouwens wel zeer kwalijk en uitermate onwenselijk (en dat mag je zo doorgeven in jouw bedrijf) dat je username + password registreert van klanten. Ik zie absoluut 0 meerwaarde om dit te doen, nog even afgezien van privacy maar ook data-leaks; jouw Excel-sheets zijn vast niet beveiligd en dus kan alles plain-text op straat komen te liggen. Als je het niet met me eens bent; dat kan maar post dan wel even hier op GoT je inlogcode voor, bijvoorbeeld, DigiD of je webmail... Net zo wenselijk/openbaar als degene die ermee om moet gaan!

MAX3400 schreef op zaterdag 10 juni 2017 @ 20:01:
[...]

Als je een eerlijk antwoord zoekt of verwacht, lijkt het me dan uitermate raadzaam om de cryptische en onsamenhangende startpost te corrigeren met een duidelijker bak informatie op basis waarvan we eventueel wel kunnen adviseren wat je nodig hebt.

En ook nu, in jouw reply, staat er toch echt niets hoe je je spullen wel registreert maar je rept wederom alleen over Excel. Dan is de "what...if" van mij misschien onterecht maar je ontkracht het ook niet met voorbeelden en duidelijke namen en rugnummers hoe je het wel doet.

Neemt niet weg dat ik erbij blijf; als jouw bedrijf alle logins van betalende gebruikers registreert, neem ik aan dat elke klant/gebruiker dit weet, ondubbelzinnig is verteld in het contract en dat jullie in het bedrijf waterdichte auditing hebben waardoor deze gegevens niet misbruikt kunnen worden?

MAX3400 schreef op zaterdag 10 juni 2017 @ 20:15:
[...]

Niet dan...

Kijk, dat jij de administrative login nodig hebt voor een Cisco firewall die bij klant A in het pand staat om te controleren/herstellen dat VOIP werkt, daar kan ik nog mee leven. Maar dat jij "zonder meer" alle passwords van alle devices bij klanten opslaat of nodig denkt te hebben, dat snap ik absoluut niet.

Of zijn alle devices door jouw bedrijf: ingekocht, geleverd, uitgeleased aan de klant en voorzien van een 24/7 support contract en reparatie? Dan kan ik me wel voorstellen dat jij een bepaald password nodig hebt om een kernel-status te downloaden om te troubleshooten. Maar dat is 1 password voor al jouw leased devices; ik zie geen enkele business waarin elke login (1 device kan meerdere logins hebben / 1 user kan meerdere devices hebben) moet worden opgeslagen.

Vergeet even niet dat er wetgeving bestaat dat "zakelijke middelen" zoals een mailbox, smartphone, leaseauto etc. echt niet "zomaar" voorzien mogen zijn van backdoors omdat de werkgever of leverancier dat handiger vindt. En al helemaal niet het toegang verkrijgen tot die mailbox of smartphone zonder de betreffende werknemer (met aktief contract) hierover te informeren. Dus tenzij hier zwaarwegende redenen en bijbehorende contracten voor zijn, heb jij weinig/niets aan rechten om de passwords/usernames vast te leggen en/of aktief/reaktief te misbruiken/gebruiken.

Het zal wel aan mij liggen; het is aannames doen bij gebrek aan info.

eric.1 schreef op zaterdag 10 juni 2017 @ 20:23:
[...]

Doe dan geen aannames en vraag gewoon of er over nagedacht is .

Je weet totaal niet wat voor dienst ze leveren (of ik moet het gemist hebben). Als het servers of apparatuur is die zij in beheer hebben maar door klanten in bruikleen/gebruik is, logisch dat ze logins bijhouden. En dat dit voor ieder device verschillend is; logisch. Of je moet met persoonlijke accounts in kunnen loggen.

Wij hebben zelf een cmdb in elkaar gezet om dit bij te houden. Daar komt inderdaad veel bij kijken, zeker als je het veilig wilt opzetten. Maar om nu zo hard in te gaan op die logingegevens....beetje overtrokken zonder dat je weet hoe de vork in de steel steekt.

MAX3400 schreef op zaterdag 10 juni 2017 @ 20:32:
[...]

Hosted IP telefonie zoals vermeld in de startpost... Met een support-afdeling die blijkbaar te hard groeit voor een Excel-sheet enzo...

[...]

CMDB dus; blijven dus de overige vragen van mij en anderen open staan: hoe kom je als bedrijf zelf niet bij die term, wat mag het kosten etc.

[...]

Niet jouw pakkie an / het boeit je niet / word je niet voor betaald? En dan aan mij vragen waarom ik zo reageer om privacy & security voorrang te geven boven dit soort (amateuristische) vraagstellingen?

[...]

Gelukkig hoef je in PHP en MySQL absoluut niets te doen met security... Spul komt zeker ook op een machine te staan met connectie naar internet voor de broodnodige updates van het OS enzo?

Maar ja, toon lijkt me gezet; mijn kennis/aannames sluiten niet aan bij jouw bedrijfsvoering/vraagstelling. Dat kan; hopelijk vind je iets of iemand die wel tot een werkende situatie komt voor jouw bedrijf.

dion_b schreef op zaterdag 10 juni 2017 @ 20:51:
[...]

Het is in ieder geval wel nodig zoveel aandacht eraan te besteden

Tenzij je de afgelopen jaren onder een steen gelegen hebt zou je meegekregen moeten hebben dat er aan de lopende band in de media meldingen gedaan worden van security breaches van grote en kleine bedrijven waar klantgegevens op straat zijn komen te liggen. Dat is al erg genoeg, maar de ergste bevatten ook usernames en passwords. Dat is zoveel erger omdat mensen vaak dezelfde username en passwords gebruiken voor verschillende diensten. Als ik de login credentials weet van een van jouw klanten voor jouw dienst is er flinke kans dat ik ze ook kan gebruiken in andere systemen, van HRM-tools tot en met Linkedin en Facebook.

Relevante hier: er is geen enkele reden om ooit een password van een gebruiker op te slaan. Enige wat je op hoeft te slaan is de hash van het password. Enige wat je doet met password zelf op te slaan is een enorme risico voor je klaten en dus voor jezelf te creeeren mocht er ooit iets misgaan. En een organisatie die zich zo weinig interesseert in security dat ze cleartext passwords opslaan maakt doorgaans genoeg andere fouten dat de kans dat er iets mis gaat groot is.

Ik zal in ieder geval zowel prive als zakelijk gelijk ophouden zaken te doen met een bedrijf dat zo laks met mijn gegevens omgaat dat ze cleartext credentials opslaan. Ik snap goed dat MAX3400 hierover valt en begrijp ook goed waarom hij geen hulp wil verlenen aan iemand die dit fout doet en nul interesse lijkt te hebben om daar wat aan te veranderen...

Question Mark schreef op zaterdag 10 juni 2017 @ 21:12:
[...]

Dat heet advies geven en is goed bedoeld. Je hebt het in je topicstart letterlijk over het opslaan van een username en een wachtwoord, en het opslaan van credentials is zo'n beetje het enige waar je topicstart over gaat. Op zich niet zo gek dus dat je daar veel kritische opmerkingen over gaat krijgen.

Ontopic:

Wat vind je eigen IT-afdeling een goede oplossing? Kennelijk doe je sales en is dit soort uitzoekwerk compleet nieuw. Waarom ga je dan niet om tafel met je IT-afdeling om eens te brainstormen over wat jullie nu eigenlijk nodig zijn (functioneel), en waar het aan moet voldoen (technis en security technisch).

Uit je topicstart blijkt dat je tot nu toe voornamelijk zelf hebt lopen zoeken. Een beetje zonde als je intern een team hebt wat je vraagstuk misschien snel kan beantwoorden.