Digitala tjänster har blivit en självklar del av vår vardag, men det är inte riskfritt. Inloggningsmetoder med användarnamn och lösenord räcker inte när dataintrången blir fler och antalet identitetsstölder ökar. Det krävs smartare och mer tillförlitliga sätt att bekräfta vem som befinner sig vid skärmen.
Grunderna för användarverifiering
Användarverifiering handlar i grunden om att ha kontroll över att rätt person får åtkomst till rätt information vid rätt tillfälle. Det låter enkelt, men tekniken bakom är komplicerad och bygger på flera nivåer av säkerhet.
Det första steget är autentiseringen, som innebär att användaren bekräftar sin identitet, vanligen genom något som denne vet, har eller är. Det kan vara ett lösenord, en fysisk enhet, eller baseras på biometriska kännetecken som fingeravtryck eller ansiktsigenkänning.
Nästa steg är bestyrkningen av identiteten, där de uppgifter användaren anger kopplas till den verkliga personen, genom till exempel e-legitimation. Som standard idag används flerfaktorsautentisering, som ofta baseras på en kombination av lösenord och mobil bekräftelse.
Säkra betalningsmetoder bidrar till pålitlig verifiering
När pengar är inblandade ökar kraven på säkerhet. Därför har nätbaserade betalningsmetoder kommit att fungera som en viktig del av själva identitetsverifieringen. Det blir då ett extra bekräftelsesteg som bygger på flerfaktorsautentisering enligt PSD2-kraven (EU:s andra betaltjänstdirektiv, Payment Services Directive 2).
Etablerade lösningar som MasterCard har länge haft en viktig roll för detta, såväl inom e-handel som spel på casino. Denna lösning är välkänd, men de har också en teknisk uppbyggnad och rigorös kontroll som syftar till att motverka bedrägerier.
Betalningsverifiering används allt oftare inom digitala tjänster. Det ger säkerhet för användarna, samtidigt som det är en tillförlitlig metod för företagen, för att identifiera kunderna och minska risken för falska konton eller obehöriga köp.
Lösenordslöst och biometriskt – den nya generationens autentisering
Den klassiska kombinationen av användarnamn och lösenord är på väg ut. Den nya autentiseringstekniken bygger istället på att användarna inte ska behöva komma ihåg något. Istället är det systemet som ska känna igen dem.
För detta används lösningar som passkeys, WebAuthn och FIDO2. De utnyttjar asymmetrisk kryptering och unika nyckelpar, och gör det i princip omöjligt för bedragare att stjäla inloggningsuppgifter eller lura systemet via nätfiske.
Passkeys lagras säkert i användarens enhet och kan verifieras automatiskt genom PIN-kod, fingeravtryck eller ansiktsigenkänning. Det betyder att autentiseringen både går snabbare och blir betydligt mer motståndskraftig mot attacker.
Samtidigt ökar användningen av biometriska metoder som igenkänningen av fingeravtryck, röst och ansikte. För att skydda mot manipulation används så kallad liveness-detektion, som kontrollerar att det verkligen är en levande person framför kameran och inte en bild, video eller mask.
Federerad identitet och inloggning via tjänster
Federerad identitet innebär att en användare kan logga in på flera olika plattformar baserat på en och samma digitala verifiering. Istället för att skapa nya konton på olika webbplatser sker autentiseringen då via en betrodd leverantör.
Tekniken bakom bygger vanligen på standarder som SAML 2.0 och OpenID Connect, som innebär att information om användaren skickas mellan identitetsutfärdaren och den tjänst man vill komma åt.
I Sverige används modellen bland annat inom den offentliga sektorn via ramverket Sweden Connect. Fördelarna är uppenbara. Det är färre lösenord att hålla reda på, snabbare inloggning och samtidigt högre säkerhet.
Riskbaserad och adaptiv autentisering
Adaptiv, riskbaserad säkerhetskontroll används ofta av banker, molntjänster och företag som har höga krav på dataskydd. Det är en form av autentisering där säkerhetsnivån anpassas efter aktuell situation. Det bygger på att systemet analyserar faktorer som enhet, plats, tidpunkt och användarbeteende, för att avgöra hur tillförlitlig inloggningen är.
Om något avviker, till exempel att användaren loggar in från en ny plats eller en okänd enhet, kan systemet begära extra verifiering, genom exempelvis en engångskod eller biometrisk kontroll. Om riskerna istället ses som låga genomförs inloggningen utan några extra steg.
Den svenska infrastrukturen för e-legitimation
Sverige har under lång tid legat i framkant inom digital identifiering. Grunden är vårt nationella ramverk som definierar hur e-legitimationer ska utfärdas, kontrolleras och användas.
Myndigheten för digital förvaltning (Digg) ansvarar för ramverket som innebär att varje e-legitimation granskas och placeras på en viss tillitsnivå beroende på hur starkt identiteten verifieras. Nivåerna kan handla om allt från enklare inloggningar till avancerad signering med krav på fysisk identitetsbekräftelse.
Bland de lösningar som är godkända finns olika typer av e-legitimation som används inom både offentlig och privat sektor. Alla dessa följer gemensamma tekniska profiler för säker kommunikation och identifiering, och det innebär att de fungerar på ett enhetligt sätt på olika plattformar.
En viktig aspekt i sammanhanget är skyddet av personuppgifter och att upprätthålla användarnas integritet. De leverantörer som står bakom tjänsterna måste därför uppfylla en lång rad juridiska krav, bland annat kring dataskydd och loggning. Samtidigt pågår en ständig diskussion om ansvar och kontroll, såsom vi tidigare lyft i denna artikel.
EU:s nya ram för digital identitet
Frågan om hur digital identifiering ska fungera över nationsgränser är också aktuell på europeisk nivå. Genom en uppdatering av förordning eIDAS 2.0 har det nämligen, för första gången, skapats en gemensam struktur för användande och erkännande av identiteter inom EU.
En viktig del i detta är den nya identitetsplånboken (EUDI Wallet). Det är en app i vilken användaren själv kan lagra och kontrollera sina digitala identiteter, intyg och behörigheter. Arbetet med de tekniska reglerna pågår och de första nationella plånböckerna väntas lanseras inom de närmaste åren.
