När lösenordet inte räcker till – två-faktor verifiering

Var man än rör sig, i den digitala världen, idag så skall man logga in och identifiera sig till höger och vänster. På de flesta ställen fungerar inloggningen på ungefär samma sätt, genom att identifiera sig och sedan berättar en ”hemlighet” som oftast kallas lösenord.
För att öka säkerheten har fler och fler tjänster börjat använda inloggning i flera olika steg. Utöver din ”hemlighet”, lösenordet krävs nu också att du har något i din besittning, något som bara du kan ha.

När lösenordet inte räcker till – två-faktor verifiering

Var man än rör sig, i den digitala världen, idag så skall man logga in och identifiera sig till höger och vänster. På de flesta ställen fungerar inloggningen på ungefär samma sätt, genom att identifiera sig och sedan berättar en ”hemlighet” som oftast kallas lösenord.

Det här är ett ganska enkelt och smidigt sätt att bevisa vem man är och ge tillgång till tjänster på nätet. Men det finns förstås några problem. Skall vi logga in på många olika ställen så måste vi ha många olika hemligheter och identifieringar. Vi kan jämföra detta med en stor nyckelknippa med nycklar till olika lås, det gäller att ha alla nycklar med och minnas vilken som hör vart.

Ett annat vanligt problem är om någon får reda på vår ”hemlighet”. Vår identitet, som ofta är vår e-post adress, är inte hemlig och vem som helst kan känna till den. Men lösenordet skall vara hemligt, något som bekräftar att du är den du påstår dig vara. Om tjänsten vi försöker logga in på är väldigt viktig och informationen där är värdefull, då räcker det kanske inte mera med en ”hemlighet”. I filmerna brukar de hota eller tortera huvudpersonen för att få veta koden till kassavalvet. I verkligheten brukar skurkarna lura till sig lösenordet på sätt eller annat, ofta genom att utnyttja användarens godtrogenhet tyvärr.

Två-faktor verifiering

För att öka säkerheten har fler och fler tjänster börjat använda inloggning i flera olika steg. Utöver din ”hemlighet”, lösenordet krävs nu också att du har något i din besittning, något som bara du kan ha.

En form av denna metod använder redan nätbankerna, du har en hemlig kod som du loggar in med. Utöver den har du också en kod-tabell varifrån du avläser koder och matar in. Om du inte har både din hemliga kod och din tabell kommer du inte in i nätbanken. I filmerna brukar de använda röst igenkänning eller skanning av näthinnan, allt för den visuella effekten. Men principen är samma, en hemlig kod och något som endast du har, din röst eller ditt öga.

Andra tjänster som börjat med två-faktor verifiering är bland annat Google och Facebook. De har inte tillgång till din biometriska information (röst eller näthinna). Men däremot något som nästan alla har, din mobiltelefon. Det här är en orsak varför tjänsterna har börjat fråga efter ditt telefonnummer, för att säkrare kunna identifiera just dig då du loggar in. Då du har skrivit in ditt användar-id och lösenord skickar tjänsten en kod till din mobiltelefon (gratis) och du skriver av koden du får i telefonen och du skriver in den i datorn där tjänsten frågar efter koden. Nu har det bekräftats att du inte bara vet ”hemligheten” utan du har också din telefon, med det nummer du hade angett tidigare. Nackdelen är förstås att inloggningen blir mera omständig och arbetsdryg, fördelen är förstås att din information är i mera säkert förvar.

Bankkoderna som identifiering?

Ibland krävs det att man loggar in med sina bankkoder även om det inte är frågan om något uppköp. Till exempel FPA förutsätter att man loggar in med nätbankens koder innan man kan göra ändringar i sin deklaration på nätet. I själva verket har detta inget med ditt bankkonto eller dina pengar att göra. Det är bara en tjänst som bankerna erbjuder. Du har visat upp ditt ID och bekräftat din identitet då du första gången fick dina nätbankskoder från banken. Eftersom vi just konstaterat att nätbanken har en mycket säker teknik för att bekräfta att du är just den du är så erbjuder de också denna tjänst till andra. FPA, eller vilken annan tjänst som frågar efter din identitet, kommer inte nära dina pengar utan skickar helt enkelt en förfrågan till banken ”är detta den person som hon säger sig vara?”, banken ber dig visa din ”hemlighet” och uppvisa att du har dina koder. Varefter banken är säker på att du är den du säger dig vara och bekräftar detta till FPA.

En liknande tjänst har också utarbetats där man kan bekräfta sin identitet utan att använda nätbanken. Tekniken är lite liknande som hur Google och Facebook gör. Via att ha en hemlig kod och din telefon kan du via din telefonoperatör bekräfta din identitet. Tjänsten har inte ännu fått en väldigt stor spridning men det är på gång. Tjänsten heter Mobiilivarmenne, mera information om dem hittar du på http://www.mobiilivarmenne.fi/se/.

Eric Jansson

Frilansskribent

ANNONSER