Uniavisen
Københavns Universitet
Uafhængig af ledelsen

Campus

Hackere har fået Københavns Universitet til at indføre besværligt login

It-sikkerhed — Studerende fortæller, at de har problemer med at bruge ny tofaktorgodkendelse, når de vil læse eller sende mails. Men der er ikke noget at gøre, siger it-ansvarlig.

I juni 2019 kom det frem, at 500 ansatte på Københavns Universitet havde klikket på en mail fra hackere og dermed fået lækket personlige oplysninger. Desuden er universitetet inden for det seneste år blevet ramt af yderligere mindst tre hacker-angreb.

Som konsekvens har Københavns Universitet indført såkaldt totrinsgodkendelse, hvor det ud over det almindelige login er nødvendigt at logge ind med sin mobiltelefon, hvis man vil bruge universitetets mailsystem på sin computer, når man ikke er koblet på KU’s netværk.

Det nye system irriterer flere studerende, som Uniavisen har talt med.

Mads Buhl Pedersen, der studerer statskundskab på andet år, siger, at han forstår ønsket om at gardere sig mod hackerangreb, men at metoden er problematisk.

»Det er frustrerende som studerende, at skulle have sin telefon på sig, hver gang man skal tjekke sin mail – altså dagligt. Min telefon går i løbet af en dag tit ud, og så kan jeg hverken tjekke eller sende mails,« siger han.

Særlig beskyttelse til folk over 30?

Kim Otto Ursin Johansen leder en gruppe ansatte i Københavns Universitets centrale it-afdeling KU-IT, der arbejder på at forbedre beskyttelsen mod hacker-angreb. Han siger, at det gamle system med brugernavn og password har givet hackere for let spil.

»Via falske mails forsøger de at komme ind og lokke data ud af nogle brugere. Typisk fisker de efter vores KU-brugernavne og passwords. Når de har fat i dem, er alle de services, vi har, hvor brugere kan logge ind alle steder, åbne. Hidtil har vi blot haft KU-brugernavn og password til at åbne en række systemer, herunder KUnet, KU-mail og webfiler, der ligger ud mod internettet. Her kan en hacker, der har stjålet loginoplysningerne, kigge med i data hos folk, trække data ud eller ødelægge det.«

Studerende Mads Buhl-Pedersen siger, at Københavns Universitet burde sætte et filter på mails, så folk, der er over 30 år, ikke kan modtage phishing-mails.

Studerende ved godt, at man ikke skal give oplysninger ud, når der kommer en mail fra noget ukendt.

Studerende Mads Buhl-Pedersen

»Vi yngre studerende ved godt, at man ikke skal give oplysninger ud, når der kommer en mail fra noget ukendt helt generelt,« siger han.

Kim Otto Ursin Johansen fra KU-IT griner, da han hører det forslag.

»Alle, der snakker om sikkerhed i dag, siger, at det første man skal slå til, er totrinsgodkendelse. Hvis du får stjålet dit KU-brugernavn og password, og folk vil udnytte det, kan de det. De kriminelle kan eksempelvis, gennem en mail, sende flere spam-mails ud fra bruger til bruger. Det vil, efterhånden som de får mere data, se mere og mere troværdigt ud, og dermed vil flere have en tendens til at falde i fælden,« siger han.

»Man kan i dag købe et phishing-program hos en kriminel organisation, som man køber Office-pakken. Det er ret absurd, men det foregår altså sådan. Totrinsgodkendelsen kan stoppe disse programmer,« siger Kim Otto Ursin Johansen.

Hvorfor sikre slikskuffen før pengeskabet?

På Det Juridiske Fakultet siger studerende Søren Claudi, der læser på første år, at han undrer sig over, hvorfor universitetet vil sikre KU-mail som det første, når intranettet indeholder flere personfølsomme oplysninger:

»Hvis en person tvinger sig adgang til min KUnet-konto, vil vedkommende have adgang til alle mine eksamensresultater, cpr-nummer, etc. Gennem min KU-mail vil personen kun få adgang til mails mellem mine undervisere og mig,« siger Søren Claudi.

»Det [KU’s prioritering] svarer i mine øjne lidt til at sætte en ekstra vagt til at bevogte skuffen med fredagsslik, fremfor pengeskabet, der står lige ved siden af,« siger han.

Uniavisen spørger Kim Otto Ursin Johansen, hvorfor KUnet ikke er omfattet af totrinsgodkendelse.

»KUnet er et oplagt sted at putte totrinsgodkendelse på, men mailen er dog også et ret sikkerhedsfølsomt sted,« siger han. »Vi har en politik på KU om, at man på mail gerne må sende cpr-nummer til hinanden, internt, dog kun hvis man har et ekstraordinært behov for det.«

En artikel fra BBC beskriver, hvordan hackere nemt på under to timer kan hacke sig ind på et universitet.

Flere loginmuligheder

Lige efter indførslen af totrinsgodkendelsen på Københavns Universitet i efteråret tog historiestuderende Sigrid Boel Jacobsen et fly til USA, og hun siger, hun fandt det frustrerende, at hun med et amerikansk simkort ikke kunne logge på KU-mail, idet mailkontoen var tilknyttet hendes danske sim-kort. Hun ville ellers gerne have kontakt til en af sine undervisere.

Man kan downloade en app og tilslutte den til totrinsgodkendelsen, så man er uafhængig af telefonnumre og simkort.

Kim Otto Ursin Johansen, KU-IT

»Der skal være flere muligheder for at komme på webmail med totrinsgodkendelsen,« siger Kim Otto Ursin Johansen fra KU-IT.

»Telefonen er standardmuligheden. Men hvis man er ude og rejse, kan man bruge NET-IQ-app’en som hører til tofaktor-systemet, men også Google Authenticator eller Microsoft Authenticator er det muligt at bruge. Man kan altså downloade en app og tilslutte den til totrinsgodkendelsen, så man er uafhængig af telefonnumre og simkort,« siger han.

»En anden mulighed er, at man kan bruge en Fido 2-nøgle, en lille usb-nøgle til 150-200 kroner, der kan sættes i computeren og benyttes til at logge på med. En sidste metode er, at man kan sætte en mail-klient på sin computer op, der kan hente mails ned. Der findes vejledninger på studiesiderne til, hvordan man gør.«

»Vi er jo ikke interesserede i at genere nogen, men i at hjælpe. Sikkerhed er dog det, der er i højsædet,« siger Kim Otto Ursin Johansen.

Seneste