Zasebnost računalniške identitete

V naši zakonodaji nisem zasledil ali je takšen primer sploh kazniv oziroma ali je to zakonito:

Zaposleni ste pri nekem delodajalcu. V računalniškem sistemu imate recimo uporabniško ime (digitalno identiteto) in odprto tudi elektronsko pošto tipa ime.priimek@firma.si. Recimo še da iam delodajalec v internem pravilniku zapisano, da lahko prebira vašo službeno pošto.

Potem pa recimo zbolite in greste na dopust. Za ta čas najame recimo študenta, ker ve vaše geslo, se študent prijavi z vašo identiteto v sistem ter ne samo bere vašo elektronsko pošto, ampak tudi pošilja pošto z vašo identiteto naokrog. Dejansko prejemniki take pošte nimajo možnosti da bi ugotovili, da jim ne pošiljate elektronske pošte vi, ampak to počne nekdo, ki se lažno predstavlja z vašo identiteto oziroma uporablja vaš elektronski (službeni) naslov.

Tak primer sem videl v praksi in razen meni se to ni zdelo nikomur čudno.

Ima kdo kakšne izkušnje s tem?

Uporabiš PGP (oz. GnuPG), ključe pa imaš na kriptirani particiji na USB ključku.

Potem nihče ne more niti fejkat niti brat pošte, ki je bila dovolj občutljiva, da si jo kriptiral, pa še delodajalec lahko bere kolikor hoče, pa mu nič ne pomaga.

Če imaš pošto podpisano s PGP, potem nihče ne more brez ključa "fejkat" tega podpisa.

Tvoje ime in priimek si pa itak lahko nastavi kdor želi. Lahko si tudi e-mail naslov, ampak potem ne bo dobil odgovora (ker ga boš ti).

Sicer ne bom odgovoril na osnovno vprašanje (pravno, etično), ampak snailmail se v podjetjih uprablja, ne le, ampak tudi, na tak način.

Uporabniško ime, in geslo, ter E-mail, magar vse skupja ni Digitalna identiteta !
Šele, ko je le ta potrjena z tvojim osebnim ključem "certifikatom" Lahko govorimo o tvoji identiteti.

Slab identity management!
Tam, kjer imam kaj besede jaz, ni dovoljena uporaba tujega uporabniškega imena. In vsak je odgovoren, če to omogoči.
Vsak, tudi študent, dobi svoje lastno uporabniško ime, geslo si nastavi sam in konec.

Da bo to veljalo še bolj, uvajamo tudi znotraj podjetja prijavne kartice, s katero se prijaviš v sistem. Brez kartice ni dostopa. Podobno kot ni dostopa v nekatere spletne banke (ki uporabljajo eksterne avtentikacijske naprave). Se to tam komu zdi kaj čudnega?

Glede certifikata in Digitalne identitete se strinjam. Dejansko je pravi način celovito upravljanje z Digitalnimi identitetami in rešitev z karticami, na katerih imaš osebni certifikat, ki potem služi za prijavo v omrežje, elektronsko pošto in dostopne pravice. Na tak način imaš potem lahko dejansko pravi nadzor, kaj je kdo počel in kdaj v informacijskem sistemu.

Takšen sistem sem videl enkrat v praksi in mi je bil takoj všeč.

Ti imaš ob računalniku čitalec kartic in kartico z tvojo digitalno identiteto. Prideš v službo, vtakneš kartico in potem ni več nobenih gesel razen pin kartice. Vse "Single sign on". Katerikoli program zaženeš, preveri identiteto in imaš v skladu z tem dostopne pravice. Ta sistem je uporabljal Novellovo tehnologijo Zenworks in Identity managment, verjamem pa, da obstajajo tudi podobne rešitve drugih proizvajalcev.

Vsekakor pa takšen sistem elegantno onemogoči zlorabe uporabniških imenov in prakso, da zaposleni in študentje delajo pod drugimi uporabniškimi imeni.

Sistem ki sem ga jaz videl je uporabljal Entrust in digitalni certifikat na kartici za preverjanje identitete.

Je pa prednost takega sistema po mojih izkušnjah tudi v tem, da potem ljudje ne lepijo gesel po ekranih. Če nimaš takšnega sistema se ti hitro zgodi, da mora uporabnik poznati recimo 3 ali več (v povprečju raje še več) gesel, ki so recimo dolga po 8 znakov. Tega si ne zapomni nihče, ampak napišejo na listke, ki so nalepljeni na monitor.

Nekoč (kar nekaj let od tega) sem jaz v neki firmi (~30 uporabnikov) začetna gesla predpisal uporabnikom. Na tistem sistemu ni bilo enostavno narediti, da je ob prvi prijavi samodejno zahtevalo novo geslo. Nastavil sem generirana gesla iz 5 znakov. Ne vem, če si ga je vsaj en uporabnik zapomnil. Vsi so imeli listke .