Farvel til det analoge password, goddag til ægte digital identitet

Tegning af Peter Basse, Titel: Afskaf password, udført januar 2016, copyright
Farvel til det analoge password
Vi er nødt til at sige farvel til passwordet, lige som vi har sagt farvel til magnetstriben på dankortet og den femstiftede rukonøgle. Teknologierne er ikke tilstrækkelige til nutidens og fremtidens krav. Vi befinder os nu i et vadested, hvor vi skal flytte os selv og de organisationer vi arbejder for, fra en analog enkeltfaktor-identitet til dobbeltfaktor-identitet. De analoge tider er passé og ægte digital identifikation er vejen frem

Blog af Bjarke Alling

Forældet metode er stadig almindelig

Metoderne med anvendelse af brugernavn og adgangskoder har været en fast ingrediens i it-systemer de sidste mange mange år. Men et utal af undersøgelser viser, at i det sikkerhedscenario, der gælder for almindelig IT i dag, er den metode forældet.

Den er forældet af tre grunde:

  • fordi vi som almindelige brugere har alt for mange adgangskoder, vi skal administrere og huske på
  • fordi de er alt for lette for andre at stjæle fra os
  • og endelig fordi metoden ikke løser opgaven med at være en nagelfast binding til den fysiske person – med et simpelt password kan man simpelthen ikke være sikker på, hvem brugeren er

Midt i et it-vadested

Mængden af passwords, mængden af koder stiger.
Og betydningen af de handlinger, vi foretager os i det digitale univers bliver større og større: Vi indgår aftaler, bestiller varer, og forpligter os erhvervsmæssigt.

Alt sammen online, og alt sammen med brug af en simpel, forældet og analog metodik med brugernavn og adgangskode. Det giver alt for stor risiko for bedrageri, data, der bliver stjålet, og misbrug. Derfor står vi i et vadested. Vi er nødt til at flytte os for ikke at blive kolde og våde, og muligvis helt skyllet væk.

… brug af en simpel, forældet og analog metodik med brugernavn og adgangskode. Det giver alt for stor risiko for bedrageri, data, der bliver stjålet, og misbrug.

Græsset er grønnere og vejret er bedre med dobbeltfaktor-identifikation

Løsningen på denne her udfordring har eksisteret i rigtig mange år: Dobbeltfaktor-identifikation. En digital signatur, hvor ens brugernavn er repræsenteret gennem et certifikat, og ens underskrift er repræsenteret af en privat ‘nøgle’ og godkendelse gennem en pinkode for at kunne bruge den private nøgle.
(Den samme metode bruger vi dagligt på vores chipdankort med tilhørende pinkode.)

I gamle dage var dobbeltfaktor-identifikation svæt – nu er det let

Så hvad er det nye? Før var dobbeltfaktor-identifikation en teknisk kompleks løsning, fordi der ikke var en fælles digital tillid mellem organisationernes egen-udstedte certifikater. De kunne ikke snakke sammen og stolede ikke på hinanden.
Men i løbet af de sidste tre-fire år har det billede ændret sig. Alle store globale softwarevirksomheder distribuerer globale ‘rodcertifikater’ – og Nets DanIDs rodcertifikat er med i pakken.

Det betyder, at enhver dansk virksomhed med et CVR-nummer kan udstede et ægte digitalt ID, så den enkelte medarbejder altid – i forhold til en meget lang liste af standardsystemer – kan legitimere sig med fuld sporbarhed og med et ID, der er mejslet i sten.

… at enhver dansk virksomhed med et CVR-nummer kan udstede et ægte digitalt ID

For mange fordele til at ignorere

Ni ud af ti danskere vil nu sige ‘det her er teknisk, jeg nægter at forstå det’.
Fald ikke i den fælde – for som virksomhed er der alt for mange fordele til, at du kan ignorere dobbeltfaktor-identifikation.

  • Hverdagen bliver lettere for den enkelte medarbejder – adgangen til it-systemer forenkles enormt, fordi medarbejderne bruger én enkel og simpel pinkode i stedet for cirkuset brugernavne og adgangskoder, der hele tiden skal udskiftes.
  • Virksomheden får en entydig identifikation af den enkelte medarbejder. Man er altid sikker på, at det er den rigtige person, der betjener systemerne.
  • Man kan ikke være logget ind i det samme it-system fra to forskellige steder – brugernavn og adgangskode kan ikke deles. Hvis man logger på sin pc på arbejde, kan man ikke også logge på fra et kontor længere nede på samme gang – hver person findes kun én gang. Det dæmmer op for bedrageriforsøg og svindel.
  • Dem, I kommunikerer med, ved at det er virkelig er jer, der sidder bag skærmen, når I sender en faktura eller sender en email om, at I har fået nyt bankkontonummer. Vi kan agere med tillid til hinanden uden frygt.
  • Og som den femte fordel slipper I én gang for alle for at printe, underskrive og scanne dokumenter. Aldrig mere!

Så hvad venter I på?

Hvis du synes det her er interessant, og kan se mulighederne for at I selv bruger den her metode, bør I kontakte jeres egne IT-sikkerhedsfolk, og jeres egne interne Nets DanID-administrator.

Hvad er din holdning?
Jeg ved godt, der findes mange forskellige måder at gøre det her – og jeg vil gerne høre jeres holdning til eller erfaring med de forskellige former for dobbeltfaktor-identifikation, der findes.

Deltag i debatten på LinkedIn

Blogindlæg af adm. direktør Bjarke Alling

© Tegning “afskaf password” er udført af Peter Basse, januar 2016

Kunne du lide artiklen?