På tide å kaste jukselappene

På tide å kaste jukselappene

Nye standarder bidrar til vi kan få applikasjoner som stoler på hverandre. Det fører til færre passord og sikrere pålogging.
Volkswagen har det. Ansatte i Microsoft bruker det. Bankene har glede av det når de utveksler informasjon med Bankenes betalingssentral. Internettleverandøren AOL ruller det ut til kundene sine. Ebay sier det er nødvendig for å få fart på internett-handelen. Og det står høyt på ønskelisten til it-sjefer og millioner av it-brukere over hele verden.

Vi snakker om enhetlig identitetsadministrasjon og universalpålogging (single sign-on). Altså at at vi få tilgang til flere tjenester og applikasjoner ved hjelp en enkelt pålogging. Det vil være en stor forbedring i forhold til i dag, hvor mange må huske flere titalls brukernavn og passord for å komme inn i it-systemene og nettbutikkene de bruker.

To viktige stikkord er forkortelsene PKI (Public Key Infrastructure) og SAML (Security Assertion Markup Language).

Lett internt

Ikke nok med at det er tungvint å holde orden på mange "identiteter", som brukernavn og passord egentlig representerer. Det fører også til at påloggingen blir mer usikker. Gule lapper på pc-skjermen er ingen sjeldenhet. Heller ikke at vi lager passord som er enkle å huske og lette å gjette. Eller at vi bruker det samme passordet alle steder.

Universalpålogging gir bedre brukervennlighet, samtidig som sikkerheten går opp og administrasjonskostnadene ned.

Det har lenge eksistert programvare som kan benyttes for å etablere enhetlig identitetsadministrasjon og universalpålogging internt i en bedrift. Ofte er det nok med en felles katalog som alle applikasjonene kan autentisere seg opp imot. I verste fall har it-avdelingen måttet sørge for manuell integrasjon av applikasjonene.

Store selskaper som Siemens og Volkswagen utsteder såkalte id-sertifikater til sine ansatte for at de enkelt og enhetlig skal få tilgang til applikasjonene de har bruk for. Og i Microsoft kan de ansatte bruke ett og samme smartkort til alt fra å åpne dører til å logge seg på pc-en (men ikke i Norge hvor Microsoft ikke er herre i eget hus).

Tillit

De virkelig store utfordringene oppstår når løsningene skal fungere på tvers av organisasjoner. Eller når ulike enheter har ansvaret for tjenestene som skal aksesseres. Da oppstår en rekke økonomiske og juridiske problemstillinger.

Best kjent er kanskje Passport, en tjeneste som i dag gir tilgang til en rekke Microsoft-tjenester uten at du må identifisere deg flere ganger. I starten var planen at Passport (eller Hailstorm) skulle bli en slags identitets- og betalingssentral for internett.

Men for at andre aktører skulle bruke tjenesten, måtte de både stole på Microsofts autentisering og at personopplysningene ikke ble misbrukt. Det gjorde verken internettselskapene eller brukerne. Resultatet ble at Microsoft fikk masse kjeft, og planene ble lagt om.

For at universalpålogging på tvers av organisasjoner skal fungere i praksis, må alle ledd i verdikjeden har tillit til hverandre. Standardisering og samarbeid mellom it-selskapene gjør at det nå er håp om å få til det Microsoft ikke klarte med Passport. Alle som driver butikk på internett, med amerikanske Ebay i spissen, danner heiagjeng.

Gull-standard

-- Nettbutikker må vite at kundene er de de gir seg ut for å være. Sikker autentisering, for eksempel to-faktors pålogging, er nøkkelen, sa Howard Schmidt, sikerhetssjef i Ebay, på RSAs sikkerhetskonferanse tidligere i høst.

De siste årene har en serie med standarder kalt SAML (Security Assertion Markup Language) begynte å få fotfeste. SAML 1.0 kom i 2002, og i år er SAML 2.0 vedtatt. Standardene beskriver enhetlig autentisering i et web-grensesnitt, basert på de underliggende standardene SSL (Secure Socket Layer) og SOAP (Simple Object Access Protocol).

Sterkt forenklet handler SAML om hvordan flere parter kan "utveksle tillit", som heter i sikkerhetsmiljøene. Det betyr at hvis en bruker har autentisert seg et sted, skal alle andre kunne være hundre prosent sikre på at vedkommende er den hun gir seg ut for å være.

-- SAML er selve gull-standarden for alle som arbeider med enhetlig identitetsadministrasjon, sier Dan Blum, forskningsdirektør i analyseselskapet Burton Group.

2010

Veien fram til at alle aktørene kan samle seg om SAML som språk for å utveksle tillit, er lang. Det utkjempes akkurat nå en durabelig kamp om hvilken allianse og hvilke standarder som skal stå igjen når røyken har lagt seg.

Blum tror likevel at det blir enighet om det han kaller "federation standards" fordi it-selskapene viser vilje til å bevege seg i samme retning. Selv Sun og Microsoft vil samarbeide.

-- Standardene gjør at føderasjonene blir generiske og ikke knyttet til én leverandør. Det som nå er viktig, er å skape tillit, sier Burton-analytikeren.

I dag utvikles tillit ved at to parter inngår avtale seg imellom. Målet er dynamiske sammenslutninger som går på tvers av bransjer. Utviklingen tilsvarer det som skjedde med minibankene. Først kunne du bare bruke din egen bank, så kunne du bruke bankene din egen bank hadde avtale med. Nå kan vi bruke minibanker over hele verden.

Blum tror it-verden i perioden fram mot 2009 eller 2010 vil etablere tilsvarende løsninger for gjensidig tillit.

PKI

For at SAML skal nå sitt potensial, må det være mulig å sjekke gyldigheten av sertifikatene som viser folks identitet. Det er her PKI (Public Key Infrastructure) kommer inn i bildet. Ved å bruke en offentlig nøkkel og felles katalogtjenester, er det mulig å bevise at "du er du".

-- At katalogene er offentlige og kan nås fra hele verden er vanvittig viktig, og en av de viktige forutsetningene for PKI, sier Sven Falcke, administrerende direktør i Zebsign. I løpet av neste år vil PKI-utrullingen sannsynligvis starte for alvor. Utfordringen er å komme fram til ordninger alle kan enes. Her på berget står Zebsign og BankID klar med hver sine løsninger.

Mens Zebsign er opptatt at åpenhet, snakker bank-verden om at det er viktig å lage gode nettverk med bankene i sentrum. Som en bank-kilde sier, det er en grunn til at vi har uttrykket "sikket som banken".

Forhåpentligsvis klarer myndighetene, med moderniseringsminister Morten A. Meyer i spissen, å lage "profiler" som gjør at de to løsningene snakker sammen.

Diskusjonene fortsetter

-- Vi må få nasjonale løsninger, sa Microsofts europeiske sikkerhetssjef Detlef Eckert til Computerworld tidligere i høst.

Eckert viser til Belgia som har laget en egen lov for å etablere et "trust center", og hevder at alt blir lettere med nasjonale id-kort. Alternativet er å etablere uavhengige ordninger for å validere løsninger fra ulike leverandører, noe blant annet IBM og Det norske Veritas arbeider med.

Sikkerhetssjefen tror ikke gode løsninger for enhetlig identitetsadministrasjon og universalpålogging er rett rundt hjørnet. Men han understreker at PKI lever i beste velgående og at Microsoft arbeider for i større grad å bruke PKI i Passport-sammenheng.

-- Jeg har ikke svaret. Det eneste vi kan gjøre er å fortsette diskusjonene mellom leverandørene og ehandel-aktørene, sier Eckert, som arbeidet i EU-kommisjonen før han begynte i Microsoft.

I mellomtiden får vi bruke pugging av passord som hjernetrim. Gule lapper på skjermen eller under tastaturet er i alle fall ikke løsningen.