Oavsett generation, oavsett ålder och oavsett decennium så använder vi, med några få undantag, lösenord som autentiseringsmetod. Blickar vi tillbaka ett decennium, två decennier eller till och med tre decennier så trodde vi då att vi skulle ersätta lösenordet med säkrare och mer framtidssäkra autentiseringstekniker. Kanske fingeravtryck, kanske smarta kort eller kanske helt andra tekniker. Men dagens miljö ser fortfarande ut som den gjorde när vi började arbeta med datorer, oavsett ålder eller generation. Det enda sättet att autentisera en användare görs genom att begära användarnamn och lösenord.
Verkligheten är hård. Med en keylogger kan du ha hur komplext lösenord du vill samt byta ut lösenordet varje dag, men du är ändå hackad! Finns ingen keylogger kan den onda sidan ta till en sniffer och kerberos, NTLM eller något annat protokoll är knäckt på minuter. Det finns en hel del system ute sedan länge som gör det möjligt att slänga undan lösenord som autentiseringsmetod. Trots detta så fortsätter vi att putsa på vår lösenordspolicy istället för att göra något åt ursprungsproblemet.
Faktum är att genom att använda två faktorer vid autentisering istället för bara en (lösenordet) försvåras arbetsbördan för ett intrång mångfalt. Det handlar inte om en eller kanske två tiopotenser utan betydligt mer än så.
Dessutom finns mängder med samordningsvinster att göra. Ett återkommande exempel på detta är att användaren loggar in med ett smart kort. Detta kort är SIS-märkt och kan användas som ID-kort vilket i sin tur leder till att användaren är extra försiktigt med kortet. I kortet ligger också RFID-slingor som gör att kortet används för att exempelvis låsa upp dörrarna inne på ett kontor.
Ett PKI-system är ännu mer värdefullt när man använder det för att signera och kryptera e-post och dokument, använda certifikaten för inloggning i outsourcade tjänster och så vidare. Listan kan göras lång.
Vi målar ofta upp att det inte finns några alternativ till dagens lösenord, men exemplet ovan är bara ett exempel bland fler existerande lösningar. Är det kanske så att problemet består i att det finns helt enkelt för många tänkbara autentiseringsalternativ så vi vet inte vilken vi skall välja? Då kan vi ställa oss frågan varför vi envisas med att använda det sämsta tänkbara som marknaden har att erbjuda?
Thomas Nilsson & Carl Ljungqvist
