Blanda ihop faktorerna

2006-02-20

Det är inte längre någon förstasidesnyhet att ett lösenord är otillräckligt för att kontrollera en uppgiven identitet. Denna vetskap gör det allt mer självklart att stärka autentiseringsmekanismen och inte enbart förlita sig på lösenord. En växande marknad innebär som alltid ett större utbud och en hårdare konkurrens. Tyvärr håller inte alla lösningar måttet och upptäckten att man blivit förd bakom ljuset kanske visar sig först när skadan är ett faktum.

En av de vanligare fallgroparna är att tillverkaren anser sig ha en tvåfaktor autentisering. För att rätt värdera olika lösningar måste man förstå de tre tydligt definierade typerna av autentsering.

Typ 1 – “Något du vet”, exempelvis ett lösenord.
Typ 2 – “Något du har”, vanligtvis en fysisk tingest.
Typ 3 – “Något du är”, exempelvis ett fingeravtryck.

En tvåfaktor lösning innebär att man kombinerar två typer för att kontrollera en uppgiven identitet. Exempelvis ett engångslösenord genererat av en fysisk dosa som skyddas med en PIN-kod. Tyvärr är det inte alltid två skilda typer som används i en tvåfaktor lösning utan den kan använda sig av faktorer av samma typ. Exempelvis kan de två faktorerna vara dels ett lösenord och dels en PIN-kod. I detta fall en kombination av faktorer av samma typ, typ 1 faktorer, vilket gör att det bara behövs en metod för att knäcka lösningen.

Vad gäller typ 2 faktorerna så är alla inte överens om att det skall vara en fysisk tingest. Exempelvis är det hårfint om man verkligen kan anse att ett nyckelpar som lagrats på en hårddisk verkligen är något du har. Det finns nämligen en risk att någon annan också har dem. Ytterligare en variant på typ 2 är “var du är”. Problemet är att det blir allt svårare att säkerställa detta, för att inte säga omöjligt. Tidigare kunde man exempelvis vid en uppringd anslutning kontrollera numret varifrån man ringde. I dagens gränslösa IP-värld är detta näst intill en omöjlighet.

Vad gäller typ 3 faktorerna, där bland annat biometrisk identifiering hör hemma, är problemet inte längre tillförlitligheten i tekniken utan främst marknadsacceptansen vilket måste beaktas vid val av lösning. Tekniker som förutom att säkerställa din identitet också kan fastställa om du är gravid eller har ett skadligt blodtryck är ett tydligt exempel på en lösning som kan möta motstånd.

Faktum är att vissa lösningar på marknaden för stark autentisering inte är bättre än en förstärkt lösenordspolicy. En lösningen värd namnet skall åtminstone bestå av två skilda typer av autentiseringsmekaniser. Hur mycket man än önskar så finns det ingen enkel genväg till stark autentisering.

© 2006 Thomas Nilsson, Certezza AB