Af Jakob D. Lund, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
Facebook, Twitter, netbank og sundhedsdata. Striben af steder, hvor vi logger ind på nettet, er vokset de seneste år. Det er ikke så lang tid siden, at man begyndte at kunne logge på med Facebook Connect og Google Plus.
Men hvordan sørger man for at logge ind på en sikker måde? I dag er der et hav af forskellige løsninger på markedet, som ikke nødvendigvis arbejder så godt sammen, som de kunne.
Derfor er det vigtigt atafdække, hvilke udfordringer virksomheder står overfor i dag samt at udvikle prototyper i samarbejde med virksomheder, der udvikler eller benytter identitets- og login-tjenester. At virksomhederne skal passe på brugernes identitet, er særligt aktuelt, da EU er på vej med en ny EU-forordning, som stiller større krav til virksomheders håndtering af persondata.
Et login-system kan afløse passwords
For at gøre det nemmere for brugerne arbejder flere store internetfirmaer sammen om at udvikle et login-system, der kan gøre os mindre afhængige af passwords, fordi passwords langt fra er en særlig sikker måde at bruge nettet på.
En af dem, der arbejder indenfor området, er Justin Richter fra den amerikanske forskningsinstitution MITRE. I USA er et login-system særligt aktuelt, fordi man ikke har NemID som i Danmark, men gerne vil have digitaliseret adgangen til borgerne og deres adgang til offentlige tjenester.
Ifølge Justin Richter er den største udfordring tosidet. For det første har man brug for at få styr på brugervenligheden ved systemet, så folk kan logge på, uden at det bliver alt for besværligt. Og samtidig skal man få mere styr på den overordnede sikkerhed med systemet. Så man skal sørge for, at folk rent faktisk gør, hvad de skal gøre, så de ikke prøver at omgå systemet.
Identificeres uden passwords
Hvis man skal få nogen til at lave et nyt password på et website, vil de i virkeligheden helst skrive det ned og/eller genbruge det samme password alle steder.
Ud fra et sikkerhedsperspektiv er ingen af måderne særligt gode. Sandheden er, at hvis nogen hacker deres password, som de har brugt på en side og genbruger det på en anden, så hjælper det ikke, at man overhovedet fik brugeren til at lave et password.
Men hvis vi ikke kan bruge passwords, hvad er så sikkert? Ifølge Justin Richter handler det om at lave et system, der er sikkert og kan bruges på tværs af forskellige services, hvor man kan blive identificeret uden at skulle aflevere forskellige passwords hvert eneste sted. Richter tror ikke, at passwords forsvinder fuldstændig.
Men vi er nødt til at gå videre med et mere officielt system, så i stedet for at give dig et password, så kan jeg give dig noget andet. Noget, der kan identificere dig og verificere, at jeg har adgang. Et eksempel på dette er Facebook Connect. I stedet for at vise, at jeg er mig, fordi jeg har mit password, så viser jeg, at jeg er mig, fordi jeg kan logge på med Facebook Connect.
Teknologien er bygget forkert
Ronny Bjones, der arbejder med sikkerhed i skyen hos Microsoft, mener, at identitets-teknologien er bygget forkert. Mange identitetstjenester såsom Facebook Connect tager ikke ordentlig højde for brugerens sikkerhed og anonymitet. Han mener derfor, at der skal bygges nye løsninger, hvor brugersikkerhed og anonymitet er indbygget fra starten af. Microsofts bud på sådan en løsning hedder U-Prove, der laver semi-kryptering undervejs.
Hvis man bruger denne ABC-teknologi, som den hedder, så kan Google eller Facebook kun se, at man bruger teknologien. De kan ikke se, hvor man bruger det. Teknologien kobler to bindeled sammen uden, at de kan se hinanden.
Det er samme teknologi, som vi i øjeblikket arbejder på i forskningsprojektet ABC4Trust på Alexandra Instituttet. Her benytter vi smartcards, der er små kort på størrelse med et Dankort, som kan kommunikere trådløst med en computer. Den hemmelige nøgle ligger på kortet, og alle beregninger, der benytter den hemmelige nøgle, bliver lavet af kortet.
Derfor kan man ikke få fat i nøglen, selv hvis brugerens computer bliver hacket. Men hvorfor skal brugerne stole på os, Microsoft eller andre virksomheder, der arbejder med sikkerhed? Svaret er, at en tredjepart grundlæggende ikke har brug for at kende brugernes data. Ronny Bjones svar er, at de faktisk slet ikke vil vide noget om brugerne.
Derimod lever en efterretningstjeneste som NSA af at vide så meget som muligt om brugerne. Ronny Bjones mener, at den positive effekt af Snowden-sagen er, at der nu er sat fokus på vigtigheden af privatliv. Det vil skabe en bevidsthed i samfundet, og derfor vil firmaer, der bygger services, også udvikle bedre produkter med højere sikkerhed.
Ny EU-lov stiller krav om anonymitet
Hvilken løsning vi ender op med, er svært at svare på. Personligt tror jeg ikke, at vi kommer til at se en universel løsning, altså et globalt NemID. Markedet bliver mere fragmenteret. Men jeg tror, at det bliver en løsning, hvor det er lige meget, hvilken service man bruger.
For brugerne kommer det til at betyde, at man er fri for at taste de samme oplysninger ind, som man har liggende i forvejen, hver gang man bruger en ny tjeneste. Samtidig er det vigtigt at beskytte brugerne. Hvis man gør det ordenligt, vil man stadig kunne respektere brugerens privatliv og oplysninger.
Strammere EU-forordning på vej
Anonymiteten er ikke kun aktuel for brugerne. Om få år er det også højaktuelt for virksomhederne, fordi EU er på vej med en ny og strammere persondatalov, som fremover betyder, at virksomheder risikerer markant større bøder end i dag, hvis de ikke passer tilstrækkeligt på en brugers data.
Derudover bliver det nu også nødvendigt for danske virksomheder at kende til den internationale lov og ikke kun de danske forhold, hvis virksomheden har internationale kunder eller gør brug af internationale cloud-baserede tjenester.
For at sætte det i perspektiv så omsatte danske netbutikker sidste år for over 40 milliarder kroner, og omsætningen vokser årligt med en tocifret procentsats. Det betyder, at hammeren falder, så det kan mærkes på pengepungen, hvis ansvaret for sikker persondatabehandling svigtes.
Vores rolle som it-rådgiver for erhvervslivet er at formidle, hvad det er for nogle krav, virksomhederne står overfor. Det handler om, hvordan man får det juridiske aspekt til at spille sammen med den bedst mulige tekniske løsning. Hvis danske virksomheder vil ud og skabe en forretning international, så er det vigtigt, at de kender til og kan benytte de internationale teknologier og løsninger, fordi her er NemID ikke nok.
