Sikkerhet

Autentisering og tilgangsstyring

Hvem som får logge inn, hvordan, og hvem som får se og gjøre hva når de er inne.

Hvorfor det er viktig

De fleste alvorlige datalekkasjer handler ikke om avansert hacking, men om at feil person hadde tilgang til for mye i for lang tid.

Eksempel på kravformulering

Systemet skal støtte tofaktor-autentisering for alle brukere, og rollebasert tilgangsstyring der tilgang gis etter minste privilegiums prinsipp. Tilgang skal kunne trekkes umiddelbart, og alle roller og tilganger skal kunne eksporteres for periodisk gjennomgang.

Tilpass tallene til deres virkelighet — et krav du ikke kan begrunne, er et krav du ikke bør stille.

Slik verifiserer du det

Be om en tilgangsmatrise: hvilke roller finnes, og hva kan hver rolle gjøre? Test at en bruker med lav rolle faktisk ikke får tilgang ved å kalle API-et direkte — ikke bare at knappen er skjult i grensesnittet.

Fallgruver

Tilgangskontroll som bare finnes i frontend. Om knappen er skjult, men API-et svarer, finnes ikke sikkerheten. Og roller som «superbruker» til alle, fordi det var enklest.

AI-perspektiv

Når AI henter data på vegne av en bruker, må den arve brukerens tilganger — ikke ha egne, videre rettigheter. Ellers blir assistenten en vei rundt tilgangsstyringen.

Slik skriver du en kravspesifikasjon som fungerer →

← Alle krav  ·  Til hovedguiden