Door Anoniem: Door Anoniem: Zo te zien heeft de gemeente Ede een zelf gehoste proprietary mail omgeving, geen Office365/Outlook.com omgeving.
Kennelijk kunnen die ook "gehacked" worden en vervolgens van binnenuit misbruikt. De kans erop lijkt me groter bij zo'n cloud platform.
Vooral als er geen onderhoud wordt gepleegd, maar in dit geval is het gewoon het stelen van toegangscodes. Het is een grote fout om als oplossing over te stappen naar een cloud platform. Naast het totale verlies van confidentialiteit aan 3 tot 4 letter organisaties komt er meer rotzooi vandaan dan elke andere bron en het zorgt voor een slechte vorm van monocultuur en overmatig veel macht voor partijen zoals Microsoft en Google, die ze al jaren misbruiken om hun eigen luie vorm van "beveiligen" ("wat de boer niet..." kent methodieken) door te drukken. En dat is behalve totaal onwenselijk ook geen oplosing.
Nou het is in ieder geval WEL een oplossing voor het "als er geen onderhoud wordt gepleegd" probleem.
En of de nadelen ook een probleem zijn in dit geval is maar zeer de vraag, een gemeente zal niet gaan voor de entry-level gratis oplossing maar zal een gemanagede dienst afnemen met voorwaarden erin rond de opslag en privacy.
Dus dat zit wel goed (behalve voor complot-wappies wellicht).
MFA ondersteuning gaat geen bescherming bieden in het kat & muis spel. Niemand gaat voor elke mail MFA toepassen.
MFA in dit soort systemen werkt niet per mail! het werkt per sessie.
Daarom is het ook niet toe te passen op POP3, IMAP en SMTP, waar de authenticatie per mail plaatsvindt.
De overal en altijd toegang is de hoofdoorzaak van het probleem en de ondersteuning van onveilige authenticatie. Die moet worden geschrapt. Er is niets mis met POP3 of IMAP of SMTP submit, zolang het via verplichte beveiligde TLS verbindingen loopt en mail clients controles uitvoeren.
Nee dat heb je fout. Authenticatie bij die protocollen is niet per gebruikerssessie maar per technische sessie, bijvoorbeeld per keer dat je mail ophaalt, van folder wisselt, een mail verstuurt, etc. Daarom kan deze authenticatie alleen op user/password basis zijn dus is die ALTIJD onveilig.
Alleen een mailsysteem wat gebruik maakt van niet-standaard protocollen is in staat om op applicatie nivo MFA authenticatie te doen zonder dat de gebruiker regelmatig om 2nd factor gevraagd wordt, wat inderdaad onwerkbaar zou zijn.
Die cloud systemen werken ofwel met een web applicatie ofwel met een proprietary programma met een eigen API protocol, waarin dit goed geregeld is. Met POP3, IMAP of SMTP gaat dat niet als je die niet gaat "verbouwen".