Hemmagjorda id-kort och trovärdighet

Vill du ha en legitimation kan du sätta dig vid köksbordet med en bit kartong, ett foto på dig själv, lite pennor och en limtub. En stund senare har du slöjdat ihop ett id-kort. Problemet är självklart att ingen kommer ta id-kortet på allvar. Att du själv påstår att du är den du är i många fall inte värt ett skvatt, och absolut inte de gånger någon ber dig bekräfta din identitet med en legitimation.

Man brukar tala om tillitsnivåer3 som ett sätt att avgöra hur pålitligt ett påstående om identitet är. Ett hemmagjort id-kort har en låg tillitsnivå, ett körkort en hög. Skillnaden är att Transport­styrelsen som utfärdar körkorten i Sverige är en betrodd part, att det sker någon form av identitetskontroll när körkortet lämnas ut och att det är förhållandevis svårt att förfalska körkortet. Den som vill bekräfta en persons identitet kan därmed med hög sannolikhet avgöra vem denne är genom att titta på körkortet.

Samma grundprinciper med olika tillitsnivåer gäller på nätet. Ett konto på Facebook har låg tillitsnivå. Vem som helst kan skapa ett konto i vilket namn som helst. Med tiden kan möjligen vännerna avgöra att det faktiskt är Kajsa Karlsson som utger sig för att vara Kajsa Karlsson, tack vare att personen bakom kontot lägger upp bilder från fester Kajsa varit med på och skriver statusuppdate­ringar om sådant de vet att Kajsa gör. Men en faktisk koppling mellan konto och individ saknas.4

Jämför detta med hur en e-legitimation fungerar. Ett sätt att skaffa en e-legitimation idag är att vända sig till en bank som utfärdar så kallade BankID. Ett BankID är en fil, ett digitalt certifikat, som laddas ner till användarens dator eller en app till användarens mobiltelefon. Med ett BankID är det sedan möjligt att intyga sin identitet när man loggar in på tjänster som använder tekniken.

Men för att kunna ladda ner ett BankID räcker det inte att logga in på sin nätbank med den vanliga pinkoden. Tillitsnivån i en fyra siffror lång kombination är för låg. En kod kan lätt komma på av-vägar, och därför kan banken inte vara säker på att det verkligen är Kajsa Karlsson som vill ladda ner ett nytt BankID. Det kan lika gärna vara Sven Svensson som på något sätt kommit över Kajsas kod.

För att kunna skaffa ett nytt BankID krävs i stället för pinkod att Kajsa använder en annan teknisk lösning för att logga in i nätbanken. Det kan till exempel vara en elektronisk dosa som skapar nya koder varje gång, en dosa som banken tidigare lämnat ut till Kajsa under kontrollerade former, där hon fått legitimera sig och intyga att hon verkligen är hon. På så vis vet banken, med tillräcklig sannolikhet, att det är rätt person som försöker skaffa ett BankID i Kajsas namn.

På det här sättet byggs förtroendekedjor upp i flera led på nätet. Tjänsten där Kajsa vill logga in litar på hennes påstående om vem hon är, eftersom hon använder ett BankID. Sitt BankID har Kajsa fått från banken, eftersom hon kunde legitimera sig med säkerhets­dosan. Och säkerhetsdosan fick hon ut genom att visa upp sitt kör­kort, vilket Transportstyrelsen går i god för.

Men även om dagens svenska e-legitimationer innebär att en pålitlig tredje part finns med i identitetsprocessen dras de med andra svagheter.

En är sättet som de distribueras på. Eftersom ett BankID är något som laddas ner till en dator eller telefon är det en lösning som bara passar dem med en egen dator i hemmet eller en smartphone. Att lägga ett BankID på en dator på biblioteket eller jobbet är mindre lämpligt, eftersom man då lämnar sin legitimation tillgänglig för andra. Fortfarande krävs ett lösen­ord för att kunna utnyttja den, men lösenord är inte säkra.

En annan svaghet är att dagens e-legitimation är helt baserad på våra personnummer. Varje gång ett BankID används får tjänsten som utnyttjar tekniken reda på användarens personnummer, vilket är ett potentiellt integritetsproblem.

Vet, har eller är

Varför duger ett visitkort på konferensen, medan det behövs ett körkort hos banken? Förklaringen är inte bara vem det är som står som garant för användarens identitet eller hur svår id-handlingen är att förfalska. Det finns företag och organisationer som ger ut id-kort med samma trovärdighet som ett körkort har. En annan väldigt viktig skillnad är körkortsinnehavarens fotografi och namnteck­ning.

När du vill styrka påståendet om vem du är kan du göra det på tre olika sätt:

Med något du vet eller kan

En pinkod eller ett lösenord är två typexempel. Det kan också vara din namnteckning. Problemet är att detta är saker som kan stjälas eller förfalskas utan användarens vetskap. Det är också förklaringen till att lösenord har en låg tillitsnivå. Det går inte att veta att det är rätt person som loggar in, bara att det är någon som kan lösenordet. Under senare år har ett par fall av lösenordsstölder uppmärksammats i svenska medier, när svenska webbtjänster har hackats och stora mängder användaruppgifter kommit på avvägar. Detta blir extra problematiskt eftersom många gör det enkelt för sig och använder samma lösenord på flera ställen. Ett förlorat lösenord från en tjänst innebär då att vägen också ligger öppen in till andra tjänster.

Med något du har

BankID är ett exempel, som dessutom kom­bineras med föregående punkt eftersom du knappar in ditt lösen­ord varje gång du använder ditt BankID. Andra exempel på saker du har kan vara en dosa för engångslösenord eller ett smart kort som stoppas in i en kortläsare som är kopplad till datorn.

Med något du är

I den fysiska världen handlar det om den snabba jämförelsen mellan personen som står framför kassan och foto­grafiet på körkortet. I den digitala världen är kontroll av finger­avtryck ett exempel.

Ett sätt att höja tillitsnivån är kombinationslösningar, där just BankID är ett exempel. Det är en fil du måste ha på din dator, men det krävs också att du kan lösenordet för att ha glädje av det digitala certifikatet.

Det här kallas för tvåfaktorsautentisering. Används bara ett lösenord är det fråga om enfaktorsautentisering, medan mer komplexa kombinationer kallas för flerfaktorsautentisering.

Ett körkort – eller annan accepterad legitimation – är ett exempel på flerfaktorsautentisering. Du har kortet, du är personen på bilden och du kan skriva samma namnteckning.

På nätet är enfaktorsautentisering fortfarande den i särklass van­ligaste metoden, i form av ett lösenord som användaren kan. Det är också anledningen till att ett enkelt lösenord inte är tillräckligt för att skydda annat än de enklaste konsumenttjänster. Med kort där engångskoder skrapas fram eller dosor som skapar nya lösenord vid varje användning införs ytterligare delar i autentiseringen, och där­med ökar sannolikheten för att användaren verkligen är den han eller hon utger sig för att vara.

Vad får du göra?

Men att veta att en person verkligen är den han eller hon utger sig för att vara räcker inte alltid. På banken har du inte fri tillgång till alla kunders bankkonton så snart du legitimerat dig vid disken och lastbil får du inte nödvändigtvis köra bara för att du har ett körkort.

Autentiseringen, den process när en användares identitet fastställs, följs därför alltid av en auktorisation som avgör vad användaren får göra. I den fysiska världen innebär det att Systembolagets personal konstaterar att du dessutom är över 20 år gammal och får handla alkoholhaltiga drycker, eller att polisen som gör körkortskontrollen ser att du faktiskt har behörighet att köra en tung lastbil.

På nätet görs motsvarande kontroller för att avgöra vilka delar och funktioner just du ska få tillgång till när du loggar in i en tjänst.

Ett dubbelriktat behov

Vad som ibland glöms bort är att behovet av identitetskontroll inte är enkelriktat. Tjänsten där du vill logga in behöver veta vem du är, men lika viktigt är att du kan vara säker på att du faktiskt är på den webbplats där du tror att du är.

Det kan låta som ett märkligt krav, men alla phishingattacker på senare år visar varför det är så viktigt. I en phishingattack luras besökaren in på en falsk webbsida, inte sällan med hjälp av länkar i e-post. Den falska webbsidan är byggd för att se ut som exempelvis inloggningssidan hos en nätbank. Och när användaren matar in sina in­loggningsuppgifter hamnar de i händerna på helt fel personer.

I Sverige har bland annat bankkunder drabbats av omfattande phishingattacker.

En dellösning på det här problemet står företagen som utvecklar webbläsare för. I senare versioner har alla de stora webbläsarna ett skydd mot phishingattacker. Genom att jämföra adressen i adress­fältet med en lång lista med farliga webbplatser kan webbläsaren varna användaren för att hon eller han är på väg till en sida som inte är vad den utger sig för att vara.

På en lägre nivå på internet finns en teknik som heter DNSSEC.5 Varje webbplats på nätet har en IP-adress, en sifferkombination som talar om för webbläsaren från vilken webbserver sidan kan hämtas. Men eftersom sifferkombinationer är svåra att komma ihåg började man använda DNS, domain name system (domännamnssystemet på svenska). Det är en teknisk lösning som gör det möjligt att skriva in www.iis.se i webbläsaren, som automatiskt och bakom kulisserna får reda på att Internetstiftelsen i Sverige har (när detta skrivs) sin webbplats på en server med IP-adressen 91.226.37.214. Men DNS-systemet går att angripa för att byta ut IP-adresserna för utvalda domännamn. DNSSEC är en teknik som gör det möjligt för webbläsare att verifiera att IP-adressen som kommer som svar på frågan verkligen stämmer.

Ytterligare nivåer av skydd får man med teknik som SSL (Secure Sockets Layer) och efterföljaren TLS (Transport Layer Security).
I båda fallen handlar det om lösningar som krypterar trafiken på nätet med funktioner för att verifiera vilka parter det är som kommunicerar med varandra.