Det är få saker som gör mig så glad som när man överger statiska
lösenord till förmån för riktiga autentiseringslösningar. Jag bör
poängtera att det finns mängder med händelser som gör mig glad
utanför ramen för min profession, men just inom IT-säkerhetsområdet
är autentiseringsförbättringar verkligen en källa till glädje.
Marknaden har formligen exploderat sedan sekelskiftet. Ofta när
marknaden överöses med produkter så brukar det finnas så väl bra,
som mängder med dåliga produkter från dessa ständiga
lycksökare.
Det är ingen större skillnad inom autentiseringsområdet. Det
kommer den ena lösningen efter den andra som skall revolutionera
världen. Det är dock två saker som skiljer autentiseringsområdet
från många andra områden. Dels är faktiskt de allra flesta
lösningarna bättre än en lösning med statiska lösenord, dels är
området troligen det mest konservativa området inom IT-säkerhet. Om
området inte vore förändringströgt skulle väl ingen nykter själ på
fullaste allvar propagera en lösenordspolicy med minst 16 tecken,
bladning av VERSALER och gemener, blandning med $p€c!@1-tecken,
byten varje månad och givetvis förbud att återanvända dem. Den
normala användaren anpassar sig givetvis, men gränsen är inom kort
nådd.
Gemene man ställer sig undrande till allt suspektare
lösenordspolicy, de är medvetna om alternativen och de förstärks i
sin tankar i takt med de många intrång som resulterat i att
statiska lösenord sprids på publika sajter.
Det är för de flesta känt att stark autentisering innebär en
kombination av minst två faktorer, där faktorerna är något man vet,
något man har och något man är. Här krävs dock ett förtydligande!
För att varje enskild faktor skall ha någon betydelse krävs
följande förtydligande:
- Något som man vet, men som ingen annan också vet
- Något som man har, men som ingen annan också har
- Något som man är, men som ingen annan också är
Förtydligandet kanske låter självklart, men det är tyvärr inte
självklart. För ca 5 år sedan lanserades två faktor lösningar som
bestod av två likadana faktorer. Exempelvis något som man vet och
något som man vet. När glädjeruset lagt sig så framstår lösningar
där man tummar på faktorerna som allt annat än bra. Givetvis
blottas lycksökarna efter en tid, men dessvärre hinner en rad
köpare falla för frestelsen.
Faktum kvarstår dock att det mesta är bättre än statiska lösenord.
Givetvis krävs som alltid en jämförelse av tänkbara
alternativ.
Inte sällan resulterar en autentiseringslösning i flera lösningar
där kanske en intern PKI med SmartCards för lagring av nyckelparen,
engångslösenord, identitetsfederationer och EID är den perfekta
kombinationen. Fler autentiseringsmetoder kommer att adderas och
några kommer säkerligen att falla ifrån. Viktigt är att den övriga
infrastrukuren inte påverkas utan att den klarar förändringar av
autentiseringsmetoder.
© 2008 Thomas Nilsson, Certezza AB
