den 20 februari 2006 av Thomas Nilsson
Det är inte längre någon
förstasidesnyhet att ett lösenord är otillräckligt för att
kontrollera en uppgiven identitet. Denna vetskap gör det allt mer
självklart att stärka autentiseringsmekanismen och inte enbart
förlita sig på lösenord. En växande marknad innebär som alltid ett
större utbud och en hårdare konkurrens. Tyvärr håller inte alla
lösningar måttet och upptäckten att man blivit förd bakom ljuset
kanske visar sig först när skadan är ett faktum.
En av de vanligare fallgroparna är att tillverkaren anser sig ha
en tvåfaktor autentisering. För att rätt värdera olika lösningar
måste man förstå de tre tydligt definierade typerna av
autentsering.
Typ 1 - "Något du vet", exempelvis ett lösenord.
Typ 2 - "Något du har", vanligtvis en fysisk tingest.
Typ 3 - "Något du är", exempelvis ett fingeravtryck.
En tvåfaktor lösning innebär att man kombinerar två typer för att
kontrollera en uppgiven identitet. Exempelvis ett engångslösenord
genererat av en fysisk dosa som skyddas med en PIN-kod. Tyvärr är
det inte alltid två skilda typer som används i en tvåfaktor lösning
utan den kan använda sig av faktorer av samma typ. Exempelvis kan
de två faktorerna vara dels ett lösenord och dels en PIN-kod. I
detta fall en kombination av faktorer av samma typ, typ 1 faktorer,
vilket gör att det bara behövs en metod för att knäcka
lösningen.
Vad gäller typ 2 faktorerna så är alla inte överens om att det
skall vara en fysisk tingest. Exempelvis är det hårfint om man
verkligen kan anse att ett nyckelpar som lagrats på en hårddisk
verkligen är något du har. Det finns nämligen en risk att någon
annan också har dem. Ytterligare en variant på typ 2 är "var du
är". Problemet är att det blir allt svårare att säkerställa detta,
för att inte säga omöjligt. Tidigare kunde man exempelvis vid en
uppringd anslutning kontrollera numret varifrån man ringde. I
dagens gränslösa IP-värld är detta näst intill en omöjlighet.
Vad gäller typ 3 faktorerna, där bland annat biometrisk
identifiering hör hemma, är problemet inte längre
tillförlitligheten i tekniken utan främst marknadsacceptansen
vilket måste beaktas vid val av lösning. Tekniker som förutom att
säkerställa din identitet också kan fastställa om du är gravid
eller har ett skadligt blodtryck är ett tydligt exempel på en
lösning som kan möta motstånd.
Faktum är att vissa lösningar på marknaden för stark autentisering
inte är bättre än en förstärkt lösenordspolicy. En lösningen värd
namnet skall åtminstone bestå av två skilda typer av
autentiseringsmekaniser. Hur mycket man än önskar så finns det
ingen enkel genväg till stark autentisering.
© 2006 Thomas Nilsson, Certezza AB
