Autentisering – Vem är du?
Autentisering handlar om att tala om vem jag är – jag måste bekräfta att jag är den jag utger mig för att vara. Det finns många olika sätt att göra detta på och flera faktorer styr hur det görs. Dels vill vi göra det på ett säkert sätt, dels vill vi göra det enkelt för slutanvändaren.
Utmaning i traditionell identifiering
I den digitala världen autentiserar vi oss på en mängd olika sätt. Det vanligaste, åtminstone förr, var användarnamn och lösenord. Tyvärr finns det många problem med lösenord. Lösenord kan vara svåra att komma ihåg så då skriver vi ner dem eller så använder vi samma lösenord på många olika ställen. Lösenorden kan också falla i orätta händer.
Lösenord i orätta händer kan t.ex. användas för att komma åt information. För att göra autentisering säkrare, och enklare, har man tagit fram en hel del andra sätt att identifiera sig på. Vi har till exempel olika e-legitimationer, metoder och hjälpmedel. Vi använder dessa metoder för olika syfte; i det här blogginlägget vill vi förklara hur.
Enklare inloggning
Ett vanligt sätt att göra det enkelt för användaren är att återanvända en identifiering som användaren redan gjort. Inom en organisation kan det räcka med att logga in en gång, därefter behöver användaren inte logga in igen utan det sköter tekniken åt användaren. Detta kallas för Single sign-on (SSO).
Ett annat sätt är att dela inloggning mellan olika organisationer som litar på varandra. En användare på organisation A vill logga in på en tjänst hos organisation B. Eftersom organisationerna A och B litar på varandra så delar organisation A inloggning som användaren gjort till organisation B. På så sätt kommer användaren åt tjänsten hos organisation B utan att behöva logga in igen. Detta kallas för Federerad Single sign-on (Federated SSO).
Göra det svårare för en attackerare
Flerfaktorautentisering handlar om att bekräfta sin identitet på mer än ett sätt. Om vi t.ex. loggar in med användarnamn och lösenord så tvingas man då ange ytterligare en metod, t.ex. en engångskod. Flerfaktorautentisering bygger på principen "någonting vi vet, har och/eller är".
Någonting vi vet är t.ex. en kod eller ett lösenord som vi har lärt oss. Någonting vi har kan vara en sak som bara du har, t.ex. en mobiltelefon eller ett id-kort. Mobiltelefonen kan ha en app som kan generera en kod eller verifiera din identitet på annat sätt. ID-kortet kan ha ett chip som innehåller en nyckel som används för att verifiera din identitet. Någonting vi är kopplas ofta till biometri. Det kan vara t.ex. fingeravtryck, ögon- eller ansiktsigenkänning.
Genom att kombinera dessa tre faktorer så blir det svårare för en attackerare att bryta sig in då den behöver kontroll över mer än bara en sak, t.ex. lösenordet.
Olika typer av legitimationer och roller
Det finns många olika typer av legitimationer och de kan användas för olika syften. Ett körkort visar exempelvis dels vem vi är, dels vilken typ av fordon vi har rätt att köra, eller ett pass som också visar vilken nationalitet vi har.
Inom den digitala världen finns en mängd olika legitimationer. Vi kallar dem för e-legitimationer. De används för olika syften. Till exempel finns BankID och Freja EID för dig som privatperson. För sjukhus och vårdpersonal används ofta SITHS. Vissa organisationer utfärdar egna e-legitimationer för sina tjänstemän.
Beroende på vad vi vill göra kan vi agera utifrån olika roller. Vi kan t.ex. vara medborgare, vårdnadshavare eller tjänsteman.
Olika tillitsnivåer
När man pratar om digitala identiteter så pratar man ofta om Level of Assurance (LoA), eller tillitsnivå som vi säger på svenska. Det är en vidareutveckling av ett ramverk som definierar vilken nivå av tillit dina identiteter har. Ramverket togs fram av det amerikanska National Institute of Standards and Technology (NIST) där det delas upp i tre nivåer: IAL 1 (Some confidence), IAL 2 (High confidence) och IAL 3 (Very high confidence). Där efter har det vidareutvecklats och standardiserats enligt ISO/IEC 29115:2013 när det blir uppdelat i fyra nivåer LoA 1, 2, 3 och 4. Där LoA 1 är den lägsta nivån och LoA 4 är den högsta.
Även Myndigheten för digital förvaltning (DIGG) här i Sverige följer ISO-standarden. På sidan Tillitsnivåer för e-legitimering kan du läsa mer om detta.
Hur bakar vi vår kaka?
Hur syr vi då ihop allt detta? Vad är det som avgör när vi använder vilken metod eller på vilket sätt?
Först och främst behöver man som organisation göra en informationssäkerhetsanalys. Detta behöver man göra för varje tjänst. Analysen talar om för oss hur skyddsvärd varje tjänst är och vilken tillitsnivå som krävs. För vissa tjänster kan användarnamn och lösenord vara tillräckligt för en annan krävs e-legitimation. Om man växlar från den första till den senare så kommer man i sådana fall tvingas att autentisera sig igen, med e-legitimation.
Dessutom behöver vi se över vem tjänsten riktar sig mot och används av. Detta avgör t.ex. vilken typ av e-legitimation som krävs. Ett system för en vårdpersonal inom t.ex. ett vårdhem vill vi kanske inte använda BankID utan i stället SITHS.
Vad ska användaren göra i tjänsten? Vill man göra förändringar i data kanske det kan kräva en högre autentiseringsnivå. Men… det faller under auktorisation. Auktorisation tar vi upp i nästa blogginlägg.
Som du förstår så är din digitala identitet väldigt viktig – även det är något som vi kommer nämna i ett senare blogginlägg där vi pratar om IAM och samhället, så håll utkik efter det.
Detta inlägg är det andra i Knowits bloggserie om IAM. Du hittar övriga inlägg i serien här:
1: IAM – En förkortning med stor betydelse
3: Auktorisation – Vad får du göra?
4: IGA – En viktig del av säkerhetsarbetet
6: IAM – En hjälpande hand i GDPR-arbetet
8: Identiteter i det digitala samhället
Per Ölmunger och Tobias Hjort är två av våra experter inom IAM. Per är IAM-arkitekt och hjälper kunder med både det strukturella och strategiska arbetet inom IAM. Tobias är IAM-specialist och hjälper kunder att implementera och förverkliga sina IAM-planer.