SecurityWorldMarket

2007-01-18

Vem har din identitet?

Att tillämpa lösenord vid inloggning är inte bara föråldrat utan också förenat med stora risker för ett företag eller en verksamhet. Det menar i alla fall Daniel Hjort, regionschef på Gemalto, som i denna debattartikel beskriver problemet och riskerna samt möjliga vägar för att undvika riskerna.

Den senaste tiden har det pratats mycket om användarnamn och
lösenord, inte minst p g a politikernas intrång i nätverk innan valet. Också fenomenet "phishing" som drabbat bankerna och deras kunder har uppmärksammats mycket i media.

Många gånger pratar vi om det stora hotet från "hackers", där en utomstående gör intrång i våra nätverk för att komma över känslig information. Det finns till exempel gratisapplikationer som man kan ladda ner från Internet, som enkelt utför avancerade lösenordsattacker.

Men hotet kan även komma genom andra, mera traditionella vägar. Om man vill komma över inloggningshemligheten kan det
räcka med att titta över någons axel. Eller så lönar det sig att titta under tangetbordet för att kanske hitta en lapp med lösenordet nedskrivet. Och ju mera komplicerade lösenorden är desto mer sannolikt är det att de kan hamna i fel persons händer.

Krångligt med lösenordssäkerhet
Ett faktum är att man idag kan fråga i princip vilken IT säkerhetsexpert som helst om hur säkert ett lösenord är. Svaret blir alltid det samma. Ett lösenord har mer eller mindre ingen säkerhet om det rimligen skall kunna gå att använda. För att användandet av lösenord skall bli säkert måste företaget ha s k stark lösenordspolicy. En stark lösenordspolicy betyder långa och komplexa lösenord som skall bytas var tredje månad. Detta igen innebär mycket administration för IT-avdelningen som sedan dessutom måste spendera en stor del av sin tid med att låsa upp spärrade användarkonton. Då företagen strävar efter högre flexibilitet upplevs en stark lösenordspolicy som ett hot för
verksamheten.

Tvåfaktor-lösning
Så länge användare identifieras via en "enfaktor-lösning" t ex något du vet (ett användarnamn och lösenord) så är det svårt att komma förbi problemet.

En "tvåfaktor-lösning" t ex något du vet och något du har (ett smart kort eller en dosa för engångslösenord) tillför mer än man kan tro. En stark signal från marknaden som just nu upplevs som mycket intressant är att Microsoft för tillfället förser samtliga sina anställda med ett smart kort för att eliminera användningen av användarnamn och lösenord.
Microsoft's signal upplevs som stark av den orsaken att de själva
bedömer att smarta kort är säkrast i IT-miljön utvecklat av dem
själva.

Smarta kort ger mervärden
Smarta korten tillför inte bara en högre säkerhet inom IT, utan
använder man det rätt inom företaget kommer det även att höja på den s k fysiska säkerheten. Detta sker genom att sammakoppla smarta kortet med det traditionella passerkortet. Hur många kan sitt företags IT-säkerhetspolicy? Säkerligen står det bland annat att du inte får lämna din dator utan att låsa den. Ta en promenad och titta runt på ditt företag under en kafferast och se hur många datorer som står "olåsta". Den enskilde
användaren tänker inte alltid på att vem som helst kan agera i deras namn och hämta vilken information som helst.

Om användaren istället får ett kombinerat kort som används som företags-ID, i passagesystemet samt för inloggning så kommer inte datorerna att stå "olåsta" längre. Detta uppnås på grund av att kortet behövs för att passera genom dörrar och att det skall bäras synligt när man rör sig i lokalerna.
Försvinner kortet, så blir följden att användaren omedelbart blir medveten om att kortet är borta. Då kan kortet omedelbart spärras. Om användarnamnet och lösenordet blir stulet, hur kan då användaren veta om någon missbrukar detta? Troligen inte, i varje fall inte på en lång tid!

Dyrt kan vara billigt
Många säkerhetschefer är väl medvetna om problematiken, men
den allmänna inställningen är att det är för dyrt att lösa problemet. Frågan är om man har råd att inte göra detta? Det klassiska argumentet är givetvis att peka på säkerheten och gör man detta så klassas en uppgradering som en kostnad för företaget. Men om man ser problemet ur ett lite bredare perspektiv och även inkluderar dolda kostnader som administration och support så kanske det ser annorlunda ut. Ett supportsamtal kopplat till ett glömt lösenord eller spärrat användarkonto bär en kostnad mellan 100 och 300 kronor. Vem sitter inte framför sin dator efter semestern och funderar på vad man hade för lösenord innan ledigheten?

Varför avskaffar då inte företagen lösenordspolicyn när det finns
alternativ som fungerar och inte är dyra? En av de största utmaningarna är att sammanföra enheter inom det egna företaget. Normalt sett så är det helt olika personer som ansvarar för IT-säkerheten (nätverk, datorer) och den fysiska
säkerheten (byggnad, passersystem) Systemleverantörerna har en mycket viktig roll i att vägleda och hjälpa till att hitta rätta lösningar som passar företaget.

Om inte de vet om möjligheterna så kommer det att bli svårt
att sammankoppla IT- och fysisk säkerhet till en gemensam policy.

Skyddar företag och individ
Tiden då vi kunde känna oss trygga och lita på att lösenord och
användarnamn skyddade oss är tyvärr förbi. Nu är tiden inne för att tänka på helheten och införa en lösning som inte bara skyddar företaget i en högre utsträckning utan även ger den anställde en möjlighet att kontrollera sin egen identitet.


Daniel Hjort
Regionschef på Gemalto


Nyheter från startsidan »
Sök i nyhetsarkivet »  

Leverantörer
Ändra marknad
Global North America Middle East United Kingdom Sweden Norway Denmark
Till toppen av sidan