Du har väl inte missat hur enkelt det är att lura fingeravtrycksläsare?
Än så länge är utvecklingen kring smartphone som enda enhet för autentisering bara på idéstadiet, och frågan är om man kommer nå hela vägen. Det finns fortfarande många tekniska hinder för att smartphonen ska kunna bli en pålitlig autentiseringsmekanism.
Tanken är att man på sin arbetsplats, i butiken, på banken och på en butiksajt på internet kan använda sin smartphone för att entydigt identifiera och autentisera att användaren är den han eller hon utger sig att vara. Men innan vi börjar diskutera vidlyftiga appar med häftig funktionalitet är det viktigt att först klargöra vad som krävs av en autentiseringsmekanism.
Telefoner används redan
Telefonen används redan i dag som autentiseringslösning, till exempel sms-autentisering, engångslösenord och bank-id.
Sms-autentisering innebär att en engångskod skickas via sms till användarens mobiltelefon. Genom att sedan mata in engångskoden autentiserar sig användaren mot tjänsten. Den här typen av lösning kräver att användarens motpart har användarens telefonnummer.
Användning av engångslösenord bygger på att användaren har en app som genererar engångslösenorden. Dessa kan antingen genereras synkront eller asynkront.
Synkront innebär att engångslösenordet genereras utifrån en klocka eller räknare, vilket innebär att motparten måste ha samma tid och räknarinställningar. Den vanligare metoden är asynkron autentisering, vilket innebär att motparten skickar en utmaning (challenge) i form av siffror eller bokstäver. Appen genererar ett svar vilket användaren matar in i den tjänst han vill autentisera sig mot. Det här kräver att motparten har samma kryptonyckel som användaren.
Varken lösen eller dator är säkert
Den ursprungliga tanken med smartphone som autentiseringsmekanism var att använda två kanaler. Man utgår då från att varken lösenord eller användarens dator kan betraktas som helt säkra. Genom att använda en mobil får man en fristående enhet som förhoppningsvis inte enkelt kan påverkas av en angripare.
Mobilen kan också användas som en oberoende kanal för att förklara för användaren vad han eller hon just avser att göra, till exempel utföra en betalning till en viss mottagare med ett visst belopp. I andra sammanhang kan mobilen möjligen användas som en andra kanal enbart för att informera användaren vad som pågår.
Problemet är att mobilen inte längre är en alternativ kanal, utan allt oftare används som uppkoppling, både mot internet och mot företagsnätverk. Den används också både som webbläsare eller för andra internetbaserade applikationer. Tanken med en andra kanal har därmed fallit bort i dag.
Inte lika noga som med plånboken
Alla autentiseringsmekanismer måste ges någon form av skydd, och användaren måste förstå hur autentiseringsmekanismen ska hanteras på ett säkert sätt. För till exempel kreditkort förstår de flesta att de måste förvaras säkert i plånboken, även om fler och fler personer börjar skaffa ovanor som att till exempel fotografera sitt kort och förvara fotot i mobilen för att kunna använda det för internethandel även om man inte har med sig det fysiska kortet.
För mobiler finns inte riktigt samma känsla för skyddet som för plånboken. Personer glömmer mobiler på arbetsplatsen eller i taxin och lånar ut mobilen utan större tankar på konsekvenserna.
I de fall en app används som autentiseringslösning måste appen i sig vara säker och likaså mobiltelefonens operativsystem. Om lösningen blir för enkel att använda kommer den också att innebära nya risker, till exempel mobiler som tappas bort på barer för att det blivit för enkelt att beställa och betala drinkar med dem.
Appar som är tillverkade av svenska banker har i regel ett godtagbart skydd, särskilt när de körs på en mobil med någorlunda godtagbar säkerhet, till exempel Iphone. Appar från andra företag kan ha en varierande skyddsnivå, och användarna kan inte bedöma säkerheten.
Traditionella lösningar översätts
Traditionella autentiseringslösningar är till exempel bankdosor (koddosor), bank-id på kort och rsa-dosor. När dessa översätts till mobiler så kan likformiga lösningar uppstå, exempelvis Iopt, en tidsberoende engångslösenord för en mobil.
Med bank-id på kort får man en fungerande e-legitimation på dator, men inte på mobil. Bank-id på kort motsvaras av mobilt bank-id på en smartphone, som medger enklare transaktioner mot banker och kontakter mot främst myndigheter.
Givetvis är de traditionella bankdosorna säkrare i och med att de utgår från en separerad hårdvara som inte kan manipuleras över ett nätverk.
För företag kan otp-lösningar vara attraktiva jämfört med till exempel rsa-dosor, men det kräver än så länge en teknikintresserad it-avdelning samt att användarna också är lite teknikintresserade och säkerhetsmedvetna vad gäller sin hantering av mobiler.
Innehållsförteckning
bank-id: E-legitimation utgiven av banker. Finns på smarta kort och som fil för nerladdning.
mobilt bank-id: App för mobil som i kombination med nedladdad e-legitimation kan användas för förmedlad autentisiering, det vill säga att en annan app utnyttjar autentisieringen.
nfc, near field communication, närfältskommunikation: Trådlös dataöverföring på mycket nära håll, ett par centimeter. Teknik för nfc finns i kort, till exempel busskort, och i mobiltelefoner, där tekniken främst används för betalningar.
otp, one time password, engångslösenord: Lösenord som är giltigt endast för en enskild session eller transaktion.
Touch ID: Fingeravtryckssensorn i Iphone 5S.
Swish: Betaltjänst baserad på mobilnummer och mobilt bank-id.
Constellation Research om nfc:s framtid
tinytw.se/constres
Om mobilt bank-id
tinytw.se/bankid
Imore förklarar hur Apple Touch ID fungerar
tinytw.se/imoret