Du går och bär omkring på en ”token”, visste du det?

2013-03-27

Jag började nyligen träna på gym (ja, precis efter nyår) och trots att det är 2013 så förvånades jag av att det förutom ett passerkort knutet till mitt personnummer, behövdes ett fingeravtryck för att jag skulle kunna passera genom de fyra (!) dörrarna som avskärmar omvärlden ifrån medlemmarna. För att identifiera sig i vårt samhälle behöver man vanligtvis presentera något mer än bara förnamn, efternamn och eventuellt sitt personnummer. Ett namn kan dock vem som helst memorera och uppge som sitt såvida det inte är helt uppenbart fel och du behöver därför bevisa din identitet, gärna med någonting du har med dig. Det kan vara ett körkort, ett pass, ett passerkort eller ett fingeravtryck. Att identifiera dig om du blir kontrollerad av trafikpolisen, går genom tullen eller går på systembolaget är något vi tar för givet.

Om vi flyttar detta resonemang från den fysiska världen till en kontext där du från internet ska logga in på en server placerad på din arbetsplats interna nätverk. Varför skulle det i detta sammanhang räcka med att uppge ett användarnamn och ett lösenord? Låt gå för att ditt lösenord består av 12 tecken, innehåller både versaler och gemener och ett eller annat specialtecken, räcker det verkligen? Tangentnedtryckningar går att ”spela in”, post-it-lappar går att tappa bort och lösenordsdatabaser hackas. Precis som i den fysiska världen behöver du en lösning för flerfaktorsautentisering, inloggningen måste alltså bestå av minst två av dessa faktorer: Någonting du vet (t.ex. ett vanligt lösenord eller en pinkod), någonting du har (t.ex. ett smartkort eller en koddosa populärt kallat en ”token”) eller någonting du är (här avses en biologisk egenskap som endast du kan uppvisa t.ex. ditt fingeravtryck). Den första, någonting du vet, är enkel att lösa och en självklar faktor. Någonting du är kan vara svårare att kontrollera eftersom det krävs biometriska läsare som användaren sannolikt saknar i sin utrustning. Valet faller då på någonting du har, men även den kan upplevas som jobbig av användaren – vem vill gå runt med ytterligare en pryl i fickan?

Vad är det då som du ständigt har med dig och som du tittar på 150 gånger per dygn? Just det, din mobiltelefon, eller din token som vi i detta sammanhang väljer att se det som. Hur använder du din token för att säkra upp olika typer av inloggningsförfaranden? Det finns två dominerande sätt: ett där engångslösenord (också kallad OTP, One Time Password) skickas ut via SMS till användaren för att sedan nyttjas och bli obrukbara, en annan där du genererar engångkoder för inloggning genom en app knuten till ett system.

Du har antagligen en mängd olika inloggningar som ger dig tillgång till olika datorsystem, e-postkonton, webbsidor och annan skyddsvärd information. Om du tillhör en majoritet av svenska folket har du dessutom samma lösenord till flera av dem och får då en lätt handsvett när du läser i tidningen att databasen till den e-shop du frekvent använder har hackats och lösenorden finns tillgängliga på internet. Tänk om flera av de autentiseringslösningar som skyddar dina konton hade möjlighet för flerfaktorsautentisering? Då skulle ett läckt lösenord bli helt oanvändbart då din token ligger i säkert förvar i din ficka.

Bli inte förvånad om du i framtiden förväntas ha tillgång till din token för åtkomst till dina olika konton, precis som du ständigt har med dig din legitimation. Det faktum att vi älskar våra mobiler gör dem till ett utmärkt exempel på en token som vi alltid har med oss och som genom sitt unika telefonnummer är knutet till dig.