Gå tillbaka

Fyra alternativ till förbättrad IT-säkerhet

Publicerad av SecMaker, kategoriserad under Blogg.

iStock_000008143492_470x220

Förra veckan belyste vi  hur alltfler IT-organisationer idag omvärderar sin lösenordsbaserade säkerhetslösning. Utmaningen ligger i att hitta en IT-säkerhetslösning som bidrar till att eliminera riskerna och kostnaderna med dålig säkerhet och samtidigt erbjuder ett användarvänligt och kostnadseffektivt alternativ till dagens lösenord.

I takt med kraven på förbättrad IT-säkerhet finns det idag också alltfler alternativ till traditionell lösenordsbaserad säkerhet. Fyra metoder har rönt mest uppmärksamhet de senaste åren:

  • Tokens och engångslösenord
  • Biometriska lösningar
  • Filbaserade certifikat
  • Smartkortbaserad inloggning

Gemensamt för alla metoderna är att de i motsats till traditionella lösenord bygger på tvåfaktorautentisering. Det innebär att de kombinerar information från användaren med något de innehar fysiskt: något användaren vet och något de har. Tvåfaktorautentisering förbättrar därför  säkerhetsskyddet i jämförelse med enfaktorbaserad lösenordshantering som bara bygger på information från användaren.

Tokens och engångslösenord (OTP)

Under de senaste årtiondena har tokens och engångslösenord vunnit mark som ett alternativ för bättre säkerhet vid mobilt arbete. Med metoden genereras engångslösenord för inloggning och autentisering, baserat på en kvalificerad matematisk algoritm. Eftersom varje lösenord bara kan användas en gång kan det inte delas eller stjälas för bedräglig användning. Detta gör att säkerheten förbättras avsevärt i jämförelse med traditionell lösenordshantering.

Tokens löser däremot inte alla problem förknippade med mobilt arbete. När användaren kopplar upp sig utanför företagets fysiska domäner och egna nät finns risken för så kallade ”man-in-the-middle-intrång” kvar. Det betyder att obehöriga användare på illegal väg kan komma åt både användarnamn och det genererade lösenordet och på så sätt få tillgång till information och data.

En annan utmaning med tokens och engångslösenord är att lösningen är framtagen för mobilt arbete och fungerar som en point-to-point-lösning: dvs en implementation och en inloggning ger slutanvändaren åtkomst till en applikation. Om fler tjänster ska integreras i säkerhetslösningen växer integrationsarbetet och därmed ofta kostnaden proportionellt med antalet applikationer. Användaren behöver sen generera en ny engångskod för varje inloggning vilket i sin tur reducerar den potentiella produktivitetsförbättringen.

Biometriska lösningar

Ett annat tvåfaktorbaserat alternativ som fått avsevärd uppmärksamhet under senare år är biometriska autentiseringslösningar. Lösningarna bygger på scanning av medarbetarens iris, ansikte eller ett fingeravtryck. Information från användaren i form av lösenord kompletteras alltså med individens fysiska attribut.

Biometriska lösningar har trots intresset vunnit ytterst lite mark. En av anledningarna är de höga kostnader som är förknippade med att installera och integrera biometri i IT-miljön. De lösningar som idag finns på marknaden uppfattas också generellt som obeprövade och därmed relativt instabila. Felfrekvensen i autentiseringen kan vara så hög som upp till 20% av inloggningsförsöken. I nuläget är det därför svårt att argumentera för en biometrisk lösning som vare sig ett kostnadseffektivt eller i högre grad användarvänligt alternativ för att förbättra säkerheten.

Filbaserade digitala certifikat

Inloggning med certifikat innebär att användaren både behöver ange sin individuella PIN-kod och kunna presentera information om sig själv och sina behörigheter lagrat i ett elektroniskt certifikat. Filbaserade, digitala certifikat lagras direkt på användarens lokala hårddisk. Det ger en lösning som är osynlig för användaren, inte kräver någon extra arbetsinsats och därför i hög grad uppfattas som enkel och användarvänlig. Genom tvåfaktorautentiseringen, PIN-kod och certifikat, ger lösningen ett klart förbättrat skydd relativt traditionell lösenordshantering.

Problemet med lokalt lagrade certifikat är dels att de binder användaren till en specifik dator, dels att de är tillgängliga genom nätverket när användaren går därifrån. Därmed ökar risken för spoofing eller stöld av certifikatet.

Smartkortbaserad säkerhet

Smarta kort tar certifikathanteringen ett steg längre. Precis som med filbaserade certifikat kombineras input från användaren, PIN-koden, med lagrad, insynskyddad information för autentisering och inloggning. Men i stället för att certifikatet ligger lokalt på användarens dator lagras det på ett smartkort. Smarta kort är små och lätta att ta med när användaren lämnar arbetsplatsen vilket gör att certifikatet blir mindre åtkomligt och säkerheten ökar. Smartkort möjliggör autentisering och signering men även avancerad kryptering. Även om smartkort är små kan de lagra stora mängder data och kan därför innehålla certifikat och krypteringsnycklar för många olika ändamål på ett och samma kort.

Allt eftersom standardiseringen på området ökat har det blivit enklare att integrera smarta kort mot i stort sett alla system och applikationer. Till skillnad från tokenbaserade lösningar med engångslösenord har smarta kort utvecklats för att integreras ”one-to-many”. Genom en och samma inloggning kan användaren autentisera sig mot flera olika tjänster och applikationer vilket kraftigt förenklar användarens vardag.

Den utmaning som finns med smarta kort är att de, precis som vid användandet av tokens och engångslösenord, också kräver en strukturerad metodik för att hantera certifikatutgivning och underhålla kort i organisationen.


Artikeln är den andra i serien om hur du kan förbättra IT-säkerheten och kostnadskontrollen med hjälp av smartkortbaserad inloggning. Du hittar den första artikeln här. I nästa artikel kommer vi titta närmare på hur smarta kort i kombination med säkerhetsmetoden PKI i allt högre grad blivit det naturliga valet när större organisationer uppdaterar sina säkerhetslösningar.Vill du redan nu veta mer om kostnadskontroll med smarta kort kan du ladda ner vårt whitepaper Kostnadskontroll med smarta kort här. 

SecMaker är Nordens ledande leverantör av smartkortbaserade säkerhetslösningar till företag, myndigheter och organisationer. Vill du veta mer om säkerhet med smarta kort är du varmt välkommen att kontakta oss.

Kommentera