Hur vet vi att du är den du säger dig vara?

När man går på banken för att hämta ut pengar från sitt konto får man (oftast i alla fall) visa legitimation. Men vad är det egentligen som händer i den processen?

Det första den bankanställda gör är ju att kontrollera att legitimationen är utfärdad av någon som är ”betrodd” (polisen, skatteverket, banker etcetera.) och att den inte är ”hemmatillverkad”.

Nästa steg är att de börjar jämföra bilden på legitimationen med personen som räckt över den. Förhoppningsvis blir det en ”godtagbar” matchning. Först därefter, när autentiseringen är klar, börjar de kontrollera om du har rätt behörighet för att få access och ta ut pengar från det kontot.

Exakt samma process måste man gå igenom i cybervärlden när man försöker komma åt en resurs (ett system eller en applikation). Först måste man autentisera sig, och därefter kontrolleras om man har rätt att komma åt resursen (behörighet). Och vi utelämnar här helt varianten där skurken autentiserar sig med rånarluva och bössa i hand, även om det scenariot också finns i cybervärlden och motdragen i cybervärlden liknar de i verkliga världen (larm, tidlås etcetera.)

Första steget i autentiseringen är helt enkelt att avgöra om källan till identiteten är betrodd. Är det kanske Facebook, Windows-inloggning mot MS AD, eller BankID som används för att autentisera sig? Vilken grad av förtroende man har för källan har helt och hållet att göra med vilken tjänst man vill förse användaren med. Handlar det bara om tillgång till publik information är kanske Facebook fullt tillräcklig, men för att göra överföring av pengar vill man nog ställa lite högre krav på identitetskällan.

Nästa steg i autentiseringen är att avgöra att den som bär kredibiliteten faktiskt är rätt person. Detta kan ske på olika sätt, som i exemplet med banken ovan, jämföra bilder. Men inom IT-världen vill vi nog ha någon annan typ av identifieringsmekanism, allt från att personen ger ett lösenord till biometri eller någon typ av tvåfaktorsautentisering.

En tvåfaktorsautentisering innebär att det krävs en kombination av minst två av faktorerna ”Vet” (lösenord, pinkod), ”Bär” (telefon, hårdvarudosa, smartcard) eller ”Är” (fingeravtryck, iris-scanning, röstigenkänning) för att avgöra att det faktiskt är rätt person som söker tillgång till resurser eller information.

Det är alltså upp till den som förser användaren med tjänsten att sätta vilka krav som gäller för att kunna avgöra att det är rätt person som får åtkomst. Första steget är värdering av vem som har utfärdat kredibiliteten och andra steget är metoden för att utföra identifieringen. Det kräver alltså att man har gjort sin hemläxa att sätta upp fungerande autentisering. Vilket skyddsvärde har informationen, vilken identitetskälla kan vi lita på i vilket läge och vilka krav har vi på att personen skall kunna visa att de är den som den säger sig vara.

Kontakta mig gärna om du vill höra mer om Identitets- och Behörighetshantering (Identity and Access Management - IAM)