Hantering av lösenord har alltid varit ett gissel. Ett problem
som vi blir påminda om nästan dagligen. Det kan exempelvis vara
webbplatser som blir hackade och där de stulna lösenorden sedan
användas för att komma åt andra tjänster. En möjlig lösning är att
använda komplexa och unika lösenord för varje tjänst man
använder.
Lösenord är dock inte den enda lösningen för att bevisa vem du är,
utan även andra faktorer kan användas. Det kan vara något du vet
(ex. lösenord), något du har (ex. smartcard), något du är (ex.
fingeravtryck), eller något du gör (ex. beteendemönster). För att
göra en tjänst säkrare så kombinerar man två eller flera faktorer
och på så vis får något som kallas för
flerfaktorsautentisering.
Det är viktigt att komma ihåg att hålla säkerheten på en lagom
nivå. Alla tjänster behöver inte använda den säkraste metoden som
finns. I vissa fall är risken/skadan inte så stor att det motiverar
kostnaden för en sådan lösning. Därför är det viktigt att
klassificera sitt system och bedöma vilka åtgärder som måste
vidtas. Till sin hjälp har man olika ramverk, så som NIST 800-63,
där man beskriver olika LOA (Level of Assurance) - alltså hur säker
man måste vara på att användaren är den person den utger sig för
att vara. Detta bygger då på den underliggande
autentiseringslösningen och i kombination med hur utgivningsrutinen
är uppbyggd. I första nivån räcker simpla PIN-koder, men sedan
bygger det på med lösningar så som komplexa lösenord, mjuka
certifikat, OTP-dosor och hårda certifikat.
Direkt när det börjar gälla något annat än fasta lösenord som
autentiseringsmetod blir administrationen snabbt komplicerad. Det
kan vara en sak att göra det internt eller mot en given kundbas,
men skall man ha ett system som är flexibelt och skalbart så kräver
det ett annat tankesätt. Det är här som identitetsfederering kommer
in i bilden. I en federering ingår parter som i förväg kommit
överens om att lita på varandras funktioner. En part som
identifierar en användare kallas IdP (Identity Provider) medan en
part som tillhandahåller en tjänst kallas SP (Service Provider),
t.ex. en webbplats. IdP meddelar SP vem användaren är på ett
kontrollerat och säkert sätt. Detta möjliggör för användaren att
skapa en relation med den IdP som de litar på samt att
administrationen blir decentraliserad.
Beroende på vilka som är målgruppen för en tjänst så kan det vara
olika svårt att skapa tillit mot en IdP. Är det ett fåtal
organisationer inom en region så är det ganska enkelt, men i en
vidare grupp växer komplexiteten. Det pågår arbete inom detta
område där man standardiserar kraven, metoderna, policyn och så
vidare med hjälp av olika ramverk. Några stora exempel är Open
Identity Exchange, Kantara och InCommon.
Vad gäller utbytet av identiteter och autentisering så bygger
lösningarna allt som oftast på SAML, OpenID, eller Identity
Metasystem. OpenID lämpar sig mer för vanliga webbplatser som vill
ha enkel registrering av användare samt inte har de högsta
säkerhetskraven, medan SAML är mer inriktad mot större lösningar
med krav på hög säkerhet och kontroll av IdP:er.
Alla förutsättningar finns nu för att vi enklare ska kunna hantera
vår identitet på Internet. Det används exempelvis redan på de
svenska och internationella universiteten. Snart kommer vi också
att ha en svensk e-legitimation som bygger på dessa principer. Är
du redo att ta steget mot en bättre hantering av dina
användare?
