Det är få saker som gör mig så glad som när man överger statiska lösenord till förmån för riktiga autentiseringslösningar. Jag bör poängtera att det finns mängder med händelser som gör mig glad utanför ramen för min profession, men just inom IT-säkerhetsområdet är autentiseringsförbättringar verkligen en källa till glädje. Marknaden har formligen exploderat sedan sekelskiftet. Ofta när marknaden överöses med produkter så brukar det finnas så väl bra, som mängder med dåliga produkter från dessa ständiga lycksökare.
Det är ingen större skillnad inom autentiseringsområdet. Det kommer den ena lösningen efter den andra som skall revolutionera världen. Det är dock två saker som skiljer autentiseringsområdet från många andra områden. Dels är faktiskt de allra flesta lösningarna bättre än en lösning med statiska lösenord, dels är området troligen det mest konservativa området inom IT-säkerhet. Om området inte vore förändringströgt skulle väl ingen nykter själ på fullaste allvar propagera en lösenordspolicy med minst 16 tecken, bladning av VERSALER och gemener, blandning med $p€c!@1-tecken, byten varje månad och givetvis förbud att återanvända dem. Den normala användaren anpassar sig givetvis, men gränsen är inom kort nådd.
Gemene man ställer sig undrande till allt suspektare lösenordspolicy, de är medvetna om alternativen och de förstärks i sin tankar i takt med de många intrång som resulterat i att statiska lösenord sprids på publika sajter.
Det är för de flesta känt att stark autentisering innebär en kombination av minst två faktorer, där faktorerna är något man vet, något man har och något man är. Här krävs dock ett förtydligande! För att varje enskild faktor skall ha någon betydelse krävs följande förtydligande:
Förtydligandet kanske låter självklart, men det är tyvärr inte självklart. För ca 5 år sedan lanserades två faktor lösningar som bestod av två likadana faktorer. Exempelvis något som man vet och något som man vet. När glädjeruset lagt sig så framstår lösningar där man tummar på faktorerna som allt annat än bra. Givetvis blottas lycksökarna efter en tid, men dessvärre hinner en rad köpare falla för frestelsen.
Faktum kvarstår dock att det mesta är bättre än statiska lösenord. Givetvis krävs som alltid en jämförelse av tänkbara alternativ.
Inte sällan resulterar en autentiseringslösning i flera lösningar där kanske en intern PKI med SmartCards för lagring av nyckelparen, engångslösenord, identitetsfederationer och EID är den perfekta kombinationen. Fler autentiseringsmetoder kommer att adderas och några kommer säkerligen att falla ifrån. Viktigt är att den övriga infrastrukuren inte påverkas utan att den klarar förändringar av autentiseringsmetoder.
© 2008 Thomas Nilsson, Certezza AB
Thomas Nilsson
