Er chipkortet midlet mod phishing?

To-faktor-sikkerhed med chipkort.

Indlæg af Jens Nielsen, adm. dir, Liga ApS

For nyligt viste TV2 dokumentaren ‘Hackerne angriber os’, hvor to danske kommuner blev udsat for kontrollerede hackerangreb. Stort tak til de involverede for at stå frem så vi alle kan blive klogere.

Udsendelsen viste med al tydelighed risikoen ved, at vi baserer os på passwords fremfor ægte to-faktor-sikkerhed til at identificere brugerne i IT systemerne. I arbejdet med at overholde compliance, effektivisere og lave smarte løsninger til brugerstyring bliver IT-sikkerheden ofte nedprioriteret.

 

Password er en usikker løsning

Phishing-angreb er blandt de mest udbredte og skadende angreb, særligt når de rammer den offentlige sektor. Angrebene giver hackerne adgang til oplysninger, som kan bruges til et væld af forskellig kriminalitet.

I udsendelsen blev phishing anvendt til at lokke brugernavn og password ud af ofrene, og det kan lade sig gøre, fordi vi stadig, og mod alle råd, bruger det forældede password, som den primære tilgang til identifikation og adgangskontrol.

Password er en usikker løsning, og problematikken består, selvom man skifter password tit og indfører politikker om, at de skal være lange og svære at huske.

Hacker i Minsk eller kommunalt ansat i Maribo?

Behovet for adgangskontrol stiger i takt med, at der kommer flere systemer og med at flere og flere opgaver bliver digitaliseret.

Antallet af passwords vi hver især skal huske stiger eksponentielt, men uanset hvor komplicerede, de er, og hvor ofte, de bliver skiftet, ændrer det ikke på det faktum, at vores IT-systemer sjældent skelner mellem, om det er en hacker i Minsk eller en kommunalt ansat i Maribo, der logger sig ind med et givent password.

 

Noget man har og noget man ved

Derfor kan det undre, at man ikke for længst har skelet til et system, der virker, og som vi alle bruger i hverdagen: to-faktor-sikkerhed. Dankortet, eksempelvis, – og øvrige kreditkort – bruger to-faktor-sikkerhed.

Metoden adskiller sig fra password ved, at den kombinerer noget man har, og noget man ved. Det man har, er et chipkort, og det man ved, er en pinkode. Taster man forkert pinkode 3 gange er kortet ubrugeligt.

Ægte to-faktor-sikkerhed

Chipkortet er ægte to-faktor-sikkerhed. Det er en optimal løsning, fordi kortet skal være fysisk tilstede for at brugeren kan få adgang til email, logge på Windows og andre systemer.

I praksis betyder det at man logger på sin laptop ved at sætte kortet i maskinen og i det øjeblik man tager det ud kan ingen andre få adgang. Bliver kortet stjålet, så mangler tyven pinkoden og kan dermed ikke bruge kortet til noget.

To-faktor-sikkerhed baseret på et chipkort har også en lang række afledte fordele: At der er styr på brugerne letter compliance arbejdet, gør rettighedsstyringen effektiv, og kortet kan også bruges til fysisk adgangskontrol ved døre, køretøjer – eller som betalingskort i kantinen.

Chipkortet løser ikke alle problemer, men en afskaffelse af passwordet er et stort skridt på vejen.