den 1 september 1998 av Thomas Nilsson
Tiden är mer än mogen nu för stark identifiering och
kryptering
De allra flesta som ansluter sig med en fast access till Internet
skyddar sig på något sett. Allt från filter i routers, till
avancerade brandväggar med moteld. Målet är att förhindra oönskad
access från Internet till det företagsinterna nätet. Oönskad är en
svår definition i detta fall. För de allra flesta som tagit första
steget så är det en del trafikslag som är önskad men osäkerheten
över hur man hanterar detta säkert gör att önskemålet kvarstår. För
att möjliggöra önskad access från Internet till det företagsinterna
nätet eller till en delvis exponerad server så krävs minst ett steg
till. Någon form av stark identifiering måste införas för att
säkerställa att den önskade användaren verkligen är den önskade
användaren.
Antalet produkter och produktfamiljer som hanterar stark
identifiering är många. Grundprincipen för de allra flesta är de
använder någon mekanism utöver användaridentitet och lösenord. I
flera fall nyttjas engångslösenord som genereras med separata
"dosor" i vissa fall byggs denna funktion in i produkten. Ingen
kedja är starkare än den svagaste länken. En upprättade
klartextsession kan, oavsett hur många lås som måste passeras innan
sessionen etableras, knyckas. Benämns ofta för session-hijacking.
Att knycka en session är inte svårt, det som avgör svårighetsgraden
är vad det är för typ av session.
För att undvika att sessioner kan knyckas och för att undvika
insyn bör viktiga sessioner krypteras. En session som inleds med
stark identifiering bör åtföljas med att sessionen krypteras. Denna
kombination medger ett mycket starkt skydd. Det som skiljer olika
produkter och produktfamiljer är krypteringsalgoritmer,
administrationen av användare och nycklar samt hur finmaskig
lösningen är. Ena ytterligheten är tillgång till hela
företagsinterna nätet andra ytterligheten är möjligheten att ge
tillgång till exempelvis speciella web-sidor.
Vår erfarenhet från de sista åren där vi med medverkat till
lösningar där stark identifiering och kryptering nyttjas för att nå
företagsinterna nät och företagsinterna system är nästintill enbart
positiva. Samma erfarenheter har vi fått när vi använt tekniken hos
de som vill att sina kunder skall nå delar av de företagsinterna
systemet, exempelvis ett system för hantering order. Den största
fördelen med dessa lösningar är att de är transparenta för
applikationen. Vi har till och med applicerat denna teknik på en
applikation som är äldre än 30 år.
Jag har sagt det förut, och säger det igen, det är dags att höja
ribban nu!
