Hantering av lösenord har alltid varit ett gissel. Ett problem som vi blir påminda om nästan dagligen. Det kan exempelvis vara webbplatser som blir hackade och där de stulna lösenorden sedan användas för att komma åt andra tjänster. En möjlig lösning är att använda komplexa och unika lösenord för varje tjänst man använder.
Lösenord är dock inte den enda lösningen för att bevisa vem du är, utan även andra faktorer kan användas. Det kan vara något du vet (ex. lösenord), något du har (ex. smartcard), något du är (ex. fingeravtryck), eller något du gör (ex. beteendemönster). För att göra en tjänst säkrare så kombinerar man två eller flera faktorer och på så vis får något som kallas för flerfaktorsautentisering.
Det är viktigt att komma ihåg att hålla säkerheten på en lagom nivå. Alla tjänster behöver inte använda den säkraste metoden som finns. I vissa fall är risken/skadan inte så stor att det motiverar kostnaden för en sådan lösning. Därför är det viktigt att klassificera sitt system och bedöma vilka åtgärder som måste vidtas. Till sin hjälp har man olika ramverk, så som NIST 800-63, där man beskriver olika LOA (Level of Assurance) – alltså hur säker man måste vara på att användaren är den person den utger sig för att vara. Detta bygger då på den underliggande autentiseringslösningen och i kombination med hur utgivningsrutinen är uppbyggd. I första nivån räcker simpla PIN-koder, men sedan bygger det på med lösningar så som komplexa lösenord, mjuka certifikat, OTP-dosor och hårda certifikat.
Direkt när det börjar gälla något annat än fasta lösenord som autentiseringsmetod blir administrationen snabbt komplicerad. Det kan vara en sak att göra det internt eller mot en given kundbas, men skall man ha ett system som är flexibelt och skalbart så kräver det ett annat tankesätt. Det är här som identitetsfederering kommer in i bilden. I en federering ingår parter som i förväg kommit överens om att lita på varandras funktioner. En part som identifierar en användare kallas IdP (Identity Provider) medan en part som tillhandahåller en tjänst kallas SP (Service Provider), t.ex. en webbplats. IdP meddelar SP vem användaren är på ett kontrollerat och säkert sätt. Detta möjliggör för användaren att skapa en relation med den IdP som de litar på samt att administrationen blir decentraliserad.
Beroende på vilka som är målgruppen för en tjänst så kan det vara olika svårt att skapa tillit mot en IdP. Är det ett fåtal organisationer inom en region så är det ganska enkelt, men i en vidare grupp växer komplexiteten. Det pågår arbete inom detta område där man standardiserar kraven, metoderna, policyn och så vidare med hjälp av olika ramverk. Några stora exempel är Open Identity Exchange, Kantara och InCommon.
Vad gäller utbytet av identiteter och autentisering så bygger lösningarna allt som oftast på SAML, OpenID, eller Identity Metasystem. OpenID lämpar sig mer för vanliga webbplatser som vill ha enkel registrering av användare samt inte har de högsta säkerhetskraven, medan SAML är mer inriktad mot större lösningar med krav på hög säkerhet och kontroll av IdP:er.
Alla förutsättningar finns nu för att vi enklare ska kunna hantera vår identitet på Internet. Det används exempelvis redan på de svenska och internationella universiteten. Snart kommer vi också att ha en svensk e-legitimation som bygger på dessa principer. Är du redo att ta steget mot en bättre hantering av dina användare?
Rickard Bellgrim
