Facebook eller eid för inloggningen?



Relevanta dokument
Säkerhetskopiering och återställning av asynkrona system

Borde den svarta lådan vara grå?

Utnyttja skärmen. Hög tid att tänka på flera visningsscenarion. Veckans teknikspaning : Sven-Håkan Olsson

Hja lp till Mina sidor

Information från Löne- och Pensionsservice

SOLHEMSSKOLAN. Vårdnadshavare inloggning i Stockholms Skolwebb

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Instabilt med sammansatta tjänster?

ipads i skolan Vanliga frågor och svar (FAQ)

När hög tillgänglighet inte blir hög

Hur når man tre miljoner användare på ett enkelt och säkert sätt?

Alfa e-recept: Ny anva ndare

Följande frågor handlar om digitala medier och digital utrustning så som stationära och bärbara datorer, smarttelefoner, surfplattor, mobiltelefoner

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

IT-kurs för datorovana

Medborgare Äldreomsorgen i Södertälje kommun. Copyright Mina vårdkontakter

eid Support Version

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

SAMSET dagsläget sommaren 2003

Anmälan till Swedbanks kontoregister via e-legitimation

Självbetjäning för arbetsgivare. Användarhandledning Kom igång med Arbetsgivartjänsten Behörighetsadministration

BK Veteranernas hemsida och medlemsregister på Idrott Online

Min Vårdplan via nätet

LAJKA-GUIDE. Säkrare Facebook. med10 supersmarta tips. 7 Säkrare inloggning utan krångel 7 Stoppa snokande appar 7 Ta kontroll över din tidslinje

Ansök till förskola och familjedaghem med Mobilt BankID eller e-legitimation

Avstämning med Referensgrupp Sprint 11 lnu.se + Mina saker

SeniorNet Huddinge Öppet Hus

Låt datorn prata med mobilen

barnomsorg En webbservice för dig som har eller vill söka en plats för ditt barn i Ronnebys barnomsorg!

Programportalen på Falkenbergs kommun

Att bli skribent för Spelmansgillets bloggar hos Blogspot/Google

Kom igång med Provectus Groupware

Kom igång med utbildningen bättrevardag.nu!

Så fjärrstyr du datorn

MOBILSAJTER. Framtagen av:

ELEKTRONISK PERSONALLIGGARE

ipad i skolan Vanliga frågor och svar (FAQ) för skolledare och personal

Lathund Skolverkets bedömningsportal

Använda Outlook 2003 mot Exchange

Ny förskrivare. Registrera ny användare av Alfa e-recept. Klicka på [Ny förskrivare]

Hur lånar jag på biblioteket?

Oanade möjligheter. Oanade möjligheter är ett initiativ skapat av Sparbankernas Riksförbund och Svenska Bankföreningen

Upptäck 7 trick som förvandlar ditt nyhetsbrev till en kassako

UPPFÖLJNING AV- OCH SÄKERHETSINSTÄLLNINGAR FÖR WEBBSIDOR 1 (8)

Så delar du filer. utan att bli övervakad LAJKA-GUIDE

Köpguide för mobila växlar. Modern telefoni till företaget är långt ifrån vad det var för bara några år sedan.

Boka mobilt med WAP! Så fungerar dagsvyn 7 Så fungerar bokningssidan 8 Så fungerar informationssidan 11

Om du har en egen smartphone, dator, eller surfplatta och vill använda skolans WiFi-nätverk för internet, kan du följa instruktionerna här efter.

Handbok kundwebb för kunder Innehållsförteckning

Självhjälpsprogram för ADHD. Del 1 Att hitta din väg

Office 365 MB. Innehåll. Inledning / Inställningar Outlook (e-post) Kalender Personer (kontakter)... 5 OneDrive molnet... 5.

Kom igång med utbildningen säkervardag.nu!

Användarmanual. Meetings 1.5

Manual. Patient. version 3.50

Bredband - resultat av samverkan

Drag och Släpp & Spara till Server. Säkerhetsinställningar. Version 5.0

Tjänster för elektronisk identifiering och signering

Snabbintroduktion till Öppen Teknisk Plattform (ÖTP) för inköpare

Digitala verktyg och molntjänster

Så får du Microsofts Office-paket gratis

Guide till SvD:s. digitala korsord

Utvärdering PTK Rådgivningstjänst [beta]

Skapa en generell informationsmodell?

Valet 2010 på facebook!

Handbok för Energimyndighetens e-tjänster

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Appar eller mobilwebb? Vad är bäst för bibliotekets tjänster?

Mina listor. En Android-applikation. Rickard Karlsson Rickard Karlsson - rk222cu Linnéuniversitet rk222cu@student.lnu.

ANVÄNDARGUIDE FÖRETAGSKUNDER SoftAlarm 2.0 för iphone

Svenska folket säger Nej till TV-licens på jobbdatorer

Lathund för BankID säkerhetsprogram

E-legitimationsnämndens legitimeringstjänster för test

Introduktion till. CDB Internet

Snabbintroduktion till Öppen Teknisk Plattform (ÖTP) för IT-chef/IT-arkitekt

e-förslag System för ökad medborgardialog

LAJKA-GUIDE. Så totalraderar du. din mobil eller surfplatta. 7 Säker utrensning före försäljning 7 Smidigt och enkelt 7 För Android, Iphone och Ipad

Datatal Flexi Presentity

E-Arkitektur Jönköpings kommun

Så får du maximal nytta av Evernote

Mobiltid 3L Pro Mobiltid. Copyright VITEC FASTIGHETSSYSTEM AB Sida 1 av 23

Svenska e-legitimationer och certifikat. Wiggo Öberg, Verva

Manual för ParaDifo Vårdgivare/Utförare inom Individ och Familjeomsorg

Umgås på nätet KAPITEL 6. Chatta via webbläsaren

Användarguide för anslutning till Treserva och TES Användarguide för anslutning till Treserva och TES

För att använda detta system behöver du en dator med internetåtkomst samt din G&D iphone.

Koppla din Gavlenetmail till mobilen/surfplattan

Starta internet och sök fram kommunens hemsida: och E- tjänst. Logga in med ditt användarnamn och lösenord i liknande ruta:

Portalinloggning SITHS HCC och Lösenordsbyte manual

Guide till SvD:s digitala tjänster

FÖR DIG MELLAN 13-20!

Följande frågor handlar om digitala medier och digital utrustning så som stationära och bärbara datorer, smarttelefoner, surfplattor, mobiltelefoner

It-guider gör hembesök och Svenska favoriter pilotprojekt

Att söka försörjningsstöd. Nu kan du söka försörjningsstöd direkt från datorn eller mobiltelefonen och följa ditt ärende från ansökan till beslut

När sidan har skapas kommer du att få mata in uppgifterna för ett nytt bloggkonto:

Guide till SvD:s digitala tjänster

Mobilt Efos och ny metod för stark autentisering

Bygg din egen tidning med nya Flipboard 2.0

Guide för kunder med Nordea e-legitimation

Transkript:

Facebook eller eid för inloggningen? Låt skyddsvärdet avgöra säkerhetsläget 2010-06-10: Sven-Håkan Olsson RÄTT TRÖSKEL Riktigt hög säkerhet innebär krångel för användaren. Även om användandet av e- legitimationen fått snurr är nog de flesta överens om att e-legitimation till minsta e-tjänst innebär mer krångel än vad informationen är värd. Man måste helt enkelt noga överväga vad det är för information man skyddar och till vilket pris när det gäller bekvämlighet. I många fall är hög säkerhet vid den identitetskontroll (autenticering) som sker vid inloggning helt nödvändig. Om till exempel en bankgirobetalning i internetbanken ska godkännas eller om en myndighet ska kunna acceptera en e-ansökan som annars hade krävt underskrift med bläckpenna, ja då behövs hög trovärdighet kring vem personen som sitter vid webbläsaren verkligen är. Men säkerhetsnivån kostar bekvämlighet. Riktigt hög säkerhet kräver både teknisk precision och organisatorisk noggrannhet (läs: byråkrati).tänk till exempel på hur mycket krångligare kreditkortsbetalningarna i webbutiker blivit på den senaste tiden, på grund av att kortbolagen velat höja säkerheten. eid bra men matchar inte våra beteenden E-legitimationen (eid), som definierades via ramavtalsupphandlingar och detaljutformades av bankerna, har fått ett bra genomslag inom den offentliga sektorn. Jag tycker absolut att sajter bör erbjuda sådan inloggning, inte minst eftersom det nu finns ett stort antal miljoner medborgare som har ett aktivt eid. Det är också bra att det har utvecklats en juridisk konvention för när eid duger för inloggning eller e-underskrift och inte. Det minskar nervositeten och obeslutsamheten kring att skapa nya, nyttiga e-tjänster. E-legitimationen får idag anses hyfsat bekväm. Men det finns förstås invändningar. Det ska vanligen installeras något på klientdatorn som kan krångla och vars dialoger är tämligen obegripliga för gemene man. Man får ännu en liten ikon bland allt skräp nere på statusraden som tar kapacitet och gör datorstarten långsam. Många användare av företagsdatorer har inte rätt att installera mjukvara och då kanske eid faller helt. Personer använder ofta flera datorer, mediadatorn vid teven hemma, den bärbara, den gamla men fortfarande fungerande reservdatorn som behövs när barnen behöver den snabba nya datorn för att köra spel och i alla dessa datorer ska man då ha ett tillräckligt färskt eid nerladdat (som man dessutom ska komma ihåg lösenordet till). Tillfälligt använda datorer i internetcaféet, på biblioteket, i medborgarkontoret eller i hotellobbyn fungerar

vanligen inte alls med eid. Och yngre personer kan inte få eid. Vad som är ännu viktigare är att vi redan idag vill nå Internet från så många fler sorters enheter än traditionella persondatorer, och mängden enheter accelererar. Även enkla mobiltelefoner är internetklienter, iphones och andra smartphones är det i ännu högre grad. Surfplattor, ipads och vad det kan vara dyker upp. Mp3-spelaren. En Spotify-funktion i stereon? Kylskåpet får en skärm på framsidan. Spelkonsolerna. GPS-navigatorn. Dessa enheter klarar knappast eid. Även om fler enheter framöver kan få stöd för eid och att eid säkert vidareutvecklas över tiden, så kan vi vara säkra på att det hela tiden utvecklas nya prylar som kommunicerar via Internet och som inte kommer att ha möjlighet att använda en högsäkerhetsplattform som eid. Medborgarna kommer att vilja nå myndigheternas, landstingens och kommunernas e-tjänster från de här enheterna. Det blir obegripligt varför jag kan använda e-post, Google Maps och Spotify i mobilen men inte kolla upp om det gått framåt med byggnadstillståndet eller med lagningen av hålet i gatan som jag anmält. Inte nog med det, eid behöver i framtiden bli ännu säkrare än i dag och det är osannolikt att krångligheten därvid skulle minska. eid till allt är som att skjuta mygg med kanon Man rekommenderar ibland att kräva eid för vareviga sorts e-tjänst, oavsett vilket skyddsvärde informationen och funktionen i tjänsten kräver. Detta är att skjuta mygg med kanon. Tvärtom kan man ofta erbjuda enklare inloggningskvalitet parallellt för att skapa större bekvämlighet. Visserligen ger det en viss kostnad att implementera flera inloggningssätt, men en del av dem är väldigt enkla att montera in. Det kan också vara en viss pedagogisk utmaning att få det begripligt med flera inloggningssätt, så man måste lägga lite jobb på användarvänligheten. Observera att eid bör finnas tillgänglig parallellt med enklare inloggningar i applikationen. För den som råkar sitta vid en dator där personligt eid finns installerat är just eid ofta det bekvämaste. Vem utfärdar identitet och via vadå? Ibland blir det lite rörigt eftersom man blandar ihop två saker, federeringsmekanism och identitetsutställare. Båda dessa måste ha en bra kvalitet för att höja säkerheten. Federeringsmekanismen är någon form av tekniklösning som gör att informationen om en aktiv inloggning går att överföra från en sajt (exempelvis Facebook) till sajten som användaren därefter vill gå in på. Ibland används begreppet single-sign-on, SSO. Identitetsutställaren, ibland kallad Identity Provider Idp, är den som säger att surfaren är en viss person. Men hur säkert gör identitetsutställaren detta? I samband med dagens eid är det oftast bankerna som garanterar identiteten och de kräver att ett gammalt hederligt id-kort visas upp när någon ska teckna ett bankkonto. För Facebook, Hotmail, Google och alla sådana tjänster finns egentligen ingen säkerhet kring vem som är vem. Och nu påstår jag att vi ska lita på de identiteterna, åtminstone till en viss säkerhetsnivå? Jo, vi kan tänka oss att en

kommun har en pappersblankett att fylla i och underteckna där medborgaren själv anger personnummer och vilket Facebook-konto denne har! Då har vi på hyfsad säkerhetsnivå löst att kommunsajten kan veta vem som kommer surfande via en inloggning på Facebook. Federeringsmekanismen FacebookConnect är i sig skapligt säker och koppling till personnummer är gjord. Och det är ju precis det vi önskar ibland, högre bekvämlighet om än med lite enklare säkerhet. Den kvarvarande invändningen är kanske den där omoderna pappersblanketten jag förutsatte, även om det är en engångsföreteelse. Men då kan jag väl vid tillfälle logga in med bättre säkerhet via eid och i en dialog ange kontaktuppgifter såsom mitt Facebook-kontonamn så det ska kunna funka vid kommande inloggningar ifall säkerhetsbehoven är enklare? Här får man tyvärr anse rättsläget lite oklart. Delvis står kommersiella avtalsformuleringar för eid emot konkurrenslagstiftningen. Men om jag själv vore sajtansvarig skulle jag nog våga mig på att erbjuda inmatning under eid-inloggning av sådana kontaktuppgifter som Facebook-kontonamn. Eller uppgift om någon välspridd konkurrent till Facebook. När behövs vilken säkerhet? Alltid när man skapar interaktiva sajter bör man utreda vilket skyddsvärde informationen och funktionen i tjänsten har. Det är självklart att ett socialärende har mycket högre sekretesskrav än att kolla hur det går med lagningen av gatan. Om man arbetar med Mina Sidor, ihopkopplade ärendesystem, ärendeknutpunkter och liknande så är ofta information om ärendehändelser skickad från någon verksamhetsapplikation, och det är personerna som kan den applikationen som är bäst lämpade att bedöma informationsklassningen.

Jag har uppdrag åt Sambruk (en förening som består av 80-talet kommuner i hela Sverige som samarbetar) och där har jag föreslagit nedanstående nivåer av säkerhet. Tanken är att en sändande applikation ska kunna ange vilken inloggningssäkerhet som minst behövs för att någon ska få tillgång till just det datat som skickas. Tanken är också att nivåerna ska vara mycket konkreta och lättförståeliga. I enstaka sammanhang kan det därmed behövas en mer komplex säkerhetsstruktur än så, men förhoppningen är att nivåerna nedan täcker in alla de vanliga fallen. Vad jag vet finns det inte definitioner skapade sedan tidigare av detta konkreta och enkla slag. Men kontakta mig gärna ifall ni känner till alternativ eller hittar invändningar! Observera att om federeringsmekanismen är av bra kvalitet är det inloggningskvaliteten hos sajten som man förlitar sig på som avgör vilken resulterande nivå det blir. Det alltså den svagaste kedjan i länken som avgör. Mitt återkommande exempel med Facebook har inloggning med ett ganska starkt användarnamn/lösenord så nivån enligt tabellen torde bli 3300. I en nära framtid tänker jag mig alltså att två nivåer kunde bli extra vanliga för informationens krav på medborgarnas inloggningssäkerhet: 4000, vilket motsvarar vanligt eid och 3300, som motsvarar en användning av FacebookConnect eller deras konkurrenter (på det sätt som jag beskrivit ovan).

Nummerserien ovan har hål så att det ska gå att infoga fler nivåer när nya tekniker som vi inte vet om idag utvecklas. Se även anknytande trendspaningar som publicerats i ämnet, som Betrodda identitetsplattformar federeras fram och Det är aldrig för sent att ändra sig som tur är. Sven-Håkan Olsson är en fristående konsult som särskilt arbetar med att kombinera verksamhetsnytta med teknikhöjd. Han har en lång karriär sedan 70-talet som it-konsult (it-arkitektur, systemdesign, programmering, reviewer, utredningar, kursledning). Sven-Håkan är också medgrundare av Know IT och var dess teknikchef 1990-2003. Han utsågs till en av "Sveriges topputvecklare" av Computer Sweden 2008. Sven-Håkan håller regelbundet kurser åt Dataföreningen Kompetens, till exempel Cloud Computing integration och migration. Läs gärna mer på hans blogg www.definitivus.se. Sven-Håkan Olsson

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss