Identitetshantering är ett område som är hetare än någonsin. De senaste årens fokus på informationssäkerhet och integritet har gjort att leverantörerna jobbat hårt på att ta fram säkrare och smartare lösningar – som inte kräver lösenord eller pinkoder.

Vad sägs om biometriutrustade mobiltelefoner som ersättning för inpasseringskort – och som kan användas för att starta tjänstebilen också! En sådan produkt är i dag fullt möjlig, även om den kanske ligger en bit in i framtiden.

En mer framtidsnära syn är vidareutvecklingen av befintliga lösningar. Inte minst finns ett stort intresse för att hantera anställdas identiteter och behörigheter till IT-system och tjänster på ett smidigare sätt. Bland såväl stora som små organisationer.
– Verksamheter har börjat ta identitetshantering på allvar. Det är en kraftfull trend som drivs av en önskan om sänkta kostnader, säger Anders Harling som är marknadschef på konsultföretaget Qbranch. Han slår fast att mellan 30 och 40 procent av en helpdesks tid idag går åt till att administrera anställdas lösenord och konton.

Ett annat incitament, menar han, är de växande säkerhetsproblemen kring administration av identiteter och behörigheter som uppkommit i takt med att antalet IT-baserade system och tjänster blivit fler.
– Säkerhetsriskerna som omgärdar dagens lösenord är stora. Därför kommer allt fler företag att börja använda olika typer av inloggningscertifikat. Området ”single-sign-on” växer starkt, fortsätter han.

Single sign-on innebär att de anställda bara behöver logga in en enda gång, från en intern portal, för att nå alla sina respektive datasystem. Tekniken har varit i omlopp i flera år utan att riktigt slå igenom, men det finns ett stort intresse för den och det verkar helt klart som att tiden börjar bli mogen.

En övergripande trend är är att framtidens system blir mer centraliserade och automatiserade – med färre separata konton och administrationsverktyg att hålla rätt på.

Olof Mellqvist är teknisk chef på CA i Sverige och han menar att den i särklass största utmaningen blir att möta de krav som ställs av verksamheter i ständig förändring. Anställda som arbetar i virtuella team, projekt som drivs i samverkan mellan företag, konsulter och nyanställda som arbetar med en strid ström av nya projekt och uppdrag. Etcetera.

Allt detta skärper kravet på hanteringen av identiteter. Systemen måste helt enkelt bli snabbare, enklare och säkrare när det gäller att flytta, lägga till och förändra behörigheter. En nyanställd eller en konsult ska på sin första arbetsdag med en enkel knapptryckning kunna få rätt åtkomst till alla system. Och när han eller hon slutar ska åtkomsten lika snabbt kunna stoppas.
– Ur säkerhetsperspektiv blir det lika viktigt att enkelt kunna stänga behörigheter när någon lämnar ett projekt, säger Olof Mellqvist.

Framtidens identitetshanteringssystem måste också kunna hantera kraven från nya lagar och regelverk på ett bra sätt. Det gäller allt från interna bestämmelser och policier till lagstadgade redovisningsregler, som amerikanska Sarbanes Oxley Act, Basel II och Svensk kod för bolagsstryrning. Gemensamt för dessa är att de skärper kraven på spårbarhet och verifiering av data, vilket i sin tur kräver en ökad grad av insyn i och kontroll av användarrättigheter och behörigheter.

Men sen då? Ja, om vi får tro experterna blir nästa stora, nya trend att samordna id-hanteringen med partners och andra företag. Det kan göras med hjälp av en lösning kallad id-federation (Federated Service eller Federated Identity Management).

När ett företag traditionellt ska handla av ett annat företag via nätet krävs olika inloggningsmetoder och en bakomliggande katalog hos det säljande företaget. Med en federation ersätts katalogen av en direkt kommunikation, kallad relation, mellan webbservarna hos de båda företagen. Därigenom tar man alltså bort inloggnings- och autentiseringssteget.
– Då skär kundföretaget bort den dyra och tidsödande konto­administrationen, säger Anders Harling.

Inom konsumentsegmentet (B2C, Business to Consumer), särskilt när det gäller myndighetssidan (G2C Government to Consumer), följer utvecklingen flera parallella spår. Ett aktuellt exempel är införandet av e-legitimation. Tanken har länge varit att medborgarna via nätet ska kunna få större tillgång till den offentliga sektorns tjänster, i enlighet med konceptet 24-timmarsmyndigheten. Det kräver förstås en smidig och säker hantering av behörigheter.
– Samtidigt ska användare med hjälp av e-legitimation kunna utföra bankärenden och få säkrare e-handel. Både genom att kunna legitimera sig och göra en personlig underskrift över nätet, säger Göran Ribbegård som är utvecklingsstrateg på Verket för Förvaltningsutveckling, Verva.

Det började redan i slutet av 1990-talet då några banker lanserade smarta kort, eller dosor, för att kunna identifiera sina kunder via nätet. Kortlösningarna upplevdes dock som omständliga. Kunderna var tvungna att ladda ner speciella program och ha en kortläsare vid datorn. Och även om dosorna var smidigare kvarstod problemet med att kunna skriva en elektronisk underskrift i samband med, exempelvis, e-deklarationen på Skatteverkets sajt, menar Göran Ribegård.

Och det är alltså därför man nu lanserar mer lätthanterliga e-legitimationer som ska kunna användas för legitimering och underskrift på webbplatser. Idag finns e-legitimation i två varianter. Dels i form av filer som sparas på användarens hårddisk, dels som ett smart kort som via en kortläsare kopplas till datorn via en usb-port. Båda lösningarna bygger på så kallad PKI, Public Key Infrastructure – den dominerande standarden för publika krypteringsnycklar.

E-legitimationer ges idag ut av banker, Teliasonera och Steria. De har olika namn som BankID eller Telia e-legitimation.
– I framtiden kommer de flesta av de tjänster den offentliga sektorn erbjuder kunna skötas via e-legitimation, säger Göran Ribbegård och nämner bygglovsansökning, överklagande av p-böter eller åtkomst till mer känsliga uppgifter som exempel.
– Det finns även ett växande intresse från privata näringslivet att satsa på e-legitimation, fortsätter han.
I samma veva lanseras även elektroniska nationella id-kort, som kan användas fritt inom Schengen istället för pass.

Dessa kort innehåller ett avancerat chip – en liten datorkrets på kortet som säkert tar hand om identifikation och e-underskrift.

Chipet ifråga är förberett för e-legitimation. I princip är det konstruerat för att kunna förvara många elektroniska tjänster, som en form av ”elektronisk plånbok”. Användaren ska alltså inte bara kunna ha sin e-legitimation där utan också sina kreditkort och medlemskap i olika sportklubbar, till exempel. Införandet har dock inte varit helt problemfritt.
– Än så länge avvaktar bankerna och andra som utfärdar e-legitimationer med att erbjuda möjligheten. Banker och andra kortutgivare vill nämligen fortsätta att vara ensamma om att ha sina starka varumärken på korten, säger Göran Ribbegård.

En annan spelare i sammanhanget är Microsoft som är igång med utvecklingen av sitt Infocard, en lösning för identitetshantering på internet. Medan föregångaren Passport användes för att förenkla inloggningen till Microsofts egna tjänster ska Infocard underlätta för användare att hålla reda på sitt ökande antal e-identiteter på webben. Allt från sökjättar som Google till myndigheter kan tänkas fungera med Infocard framöver.
– Infocard kan liknas vid en plånbok. Användaren väljer vilka kort hon vill identifiera sig med, säger Jakob Schlyter hos IT-konsulten Kirei.

Identiteterna som hanteras kan alltså vara ett nationellt elektroniskt id-kort, ett kreditkort eller vanliga lösenord som användaren har skapat. När användaren besöker en webbtjänst som stöder Infocard matchas det tjänsten frågar efter mot de identiteter användaren har. När rätt identitet hittas poppar valet upp för användaren som får godkänna det. Tekniken som är Webservices-baserad byggs bland annat in i Vista och Internet Explorer 7.

En liknande lösning, fast baserad på öppen källkod, är IBM:s, Novells och Parity Communications projekt, kallat Higgins. Higgins, som utvecklats på Harvard, går i likhet med Infocard ut på att ge användarna bättre kontroll över sina identiteter på nätet. Även de webbplatser som på sikt stödjer Higgins ska kunna hantera identiteter som bankkonton, kreditkort och abonnemang.
– Användaren ska bestämma vilken information som är privat. Det innebär att företagen måste lära sig att fråga efter information. Dessutom måste företagen bygga upp sina nya system så att de fungerar med minimal identitetsinformation, annars tappar de kunden, säger Gunnar Karlsson, säkerhetsexpert på IBM.

De mest futuristiska lösningarna inom id-hantering hamnar trots allt inom det segment som kallas biometri. Det vill säga där användaren på ett eller annat sätt identifierar sig med hjälp av sin egen kropp. Redan nu är fingeravtryckläsning och ansiktsigenkänning lösningar som används. Tillväxten ses främst inom nationella id-kort, pass och på flygplatser.

Ett föregångsland är Thailand, där myndigheterna nu rullar ut omkring 63 miljoner nationella id-kort med fingeravtrycksläsare och chip.
– På de thailändska id-korten finns två fingeravtrycksläsare för vänster och höger tumme. Om användaren skulle skada den ena tummen använder man den andra, säger Ola Svedin, utvecklingschef på företaget Precise Biometrics som levererar system för autentisering med hjälp av fingeravtryck och smarta kort.

Han hoppas naturligtvis att även de svenska nationella id-korten ska utrustas med biometri, men han tror att det lär dröja ett tag.
– Det är upp till bankerna att införa biometri på korten. Än vill de inte ta den investeringen, men i takt med att bedrägerierna ökar desto större blir trycket, säger han och slår fast att en annan möjlighet är att låta användarna logga in på internetbanken med en usb-ansluten fingeravtrycksläsare.

Enligt Ola Svedin är biometrisk id-hantering klart säkrare än dagens certifikatbaserade e-legitimationslösningar.
– Det stora säkerhetsproblemet med certifikat är att användaren kan få in en trojan i hårddisken som kan låsa upp certifikatet och skicka det till någon obehörig, säger han.

På sikt tror Ola Svedin dessutom att mobiltelefonen till stor del kommer att ersätta id-korten. Utrustad med fingeravtrycksläsare, förstås. I Kina och Japan finns sådan telefoner på marknaden redan nu.
– På så vis slipper användaren mata in en pinkod för att öppna telefonen, och han eller hon kan samtidigt signera bankbetalningar.

På sikt kan man också tänka sig en lösning där användaren kan öppna dörren till sitt hem eller sin arbetsplats via mobiltelefonens fingeravtrycksläsare. Eller öppna bildörren och starta bilen, rent av.

En andra växande trend är införandet av biometrisk information i våra pass. Det är ett resultat av USA:s krav på säkrare och mer svårförfalskade pass efter terrordåden den 11 september.

Det nya passet innehåller ett datachip som lagrar passinnehavarens personuppgifter och foto. Vid en passkontroll kan innehavaren fotograferas. Passfotot i datachipet används då för att säkra att personen på passfotot och passanvändaren är samma person.

Vidare ställs krav på att EU-länderna ska ha infört fingeravtrycket i elektronisk form i sina pass med början nästa år. Informationen lagras på chipet, sedan är det upp till varje land att avgöra hur informationen ska skyddas.

I samma veva håller biometri på flygplatser på att utvecklas till en standard. De som anländer till USA får sedan ett drygt år tillbaka genomgå en biometrisk identitetskontroll innan de släpps in i landet. Det sker dels genom att resenären får titta in i en kamera och fotograferas, dels via en fingeravtryckskontroll.

Här i Sverige provar SAS en lösning där resenärerna frivilligt får lämna ifrån sig sitt fingeravtryck när de checkar in sitt bagage vid inrikesresor. Fingeravtrycket lagras tillsammans med bagagenumret i en databas. Vid gaten får passagerarna åter lämna ett fingeravtryck för att verifiera att det överensstämmer med det lagrade avtrycket.

Det utvecklas även nya lösningar som går ut på att man mäter ansiktsformen eller avläser ögats iris. Än så länge rör det sig dock om nischtekniker för avgränsade användningsområden. Astra använder exempelvis ett system där de som utför vissa kritiska arbetsmoment vid läkemedelsutvecklingen får titta in i en kamera för att bli identifierade. Och i Japan används en speciell sorts fingeravläsning i bankomater.
– De har en teknik för att verifiera identiteter genom att läsa av blodkärlsmönster i användarens finger, berättar Ola Svedin.

Besväret med att att hantera lösenord på jobbet lär också bli ett minne blott i framtiden. Användarnamn och lösenord i identitetshanteringssystemen håller på att spela ut sin roll till förmån för starkare identifieringslösningar. Det säger Adrian Humbel, CTO på Novell.
– Starkare säkerhet är ett viktigt motiv. Ett annat incitament är att användarna upplever det allt svårare att komma ihåg alla lösenord på webbplatser, kreditkortsnummer och pinkoder. Lösningar inom biometri växer starkt men det kan även vara tekniker som rfid, exempelvis i kontaktlösa passerkort, säger han.

En annan stark trend när det gäller verksamhetsinterna lösningar för id-hantering är att de efterfrågas av allt mindre organisationer.
– För fem år sedan efterfrågades lösningar av verksamheter som hade minst 10 000 anställda. Nu börjar de krypa ner till under 1 000 användare, säger Adrian Humbel och tillägger att marknaden ifråga förväntas växa med uppemot 15 procent de närmaste fem åren.

Men han sticker inte under stol med att det finns utmaningar, särskilt i publika lösningar.
– Å ena sidan vill vissa företag göra allt för att komma åt identiteter för att följa köpmönster och rikta reklambudskap. Ett annat läger vill dölja identiteten så mycket som möjligt för att undvika missbruk, säger han.

Exempel på det förstnämnda är Stockholms Lokaltrafiks, SL:s, framtida månadskort som ska komma redan nästa år. Genom att länka månadskortet till personliga namn kan SL samla in detaljerade uppgifter om varje resenärs resor med kollektivtrafiken.

Även IBM:s Gunnar Karlsson pekar på två stora utmaningar för morgondagens identitetshantering. Det första är att förhindra stölder av identiteter, det andra är att användarna blir allt mer ovilliga att lämna ut personliga uppgifter om sig själva.
– I takt med att större pengaflöden och fler identiteter flyttar ut på nätet följer brottslingarna med, säger han och konstaterar att kriminalitet på nätet beräknas kosta företag mer än fysiska brott om man får tro IBM:s egen undersökning.
– Att bli av med sin elektroniska identitet är värre än att bli av med sitt kontokort. Både för kunden och företaget, fortsätter han.

På det hela taget är det därför viktigt att företag och organisationer skyddar sina anställda och kunder mot identitetsstölder. Det är något varje verksamhet måste se till att lösa i samråd med sin IT-avdelning eller outsourcingpartner. Säkra tekniska lösningar kan vara en god hjälp på vägen, men det är naturligtvis inte hela svaret, menar Gunnar Karlsson. Kunskap, medvetenhet och policier är minst lika viktigt.

När det gäller den andra utmaningen, att många ogärna lämnar ut sina identiteter, finns flera förklaringar. Det kan vara allt från att folk är oroliga för att bli översköljda med riktade reklambudskap till att de är rädda för identitetsstöld. Gunnar Karlsson ser en stark trend att många företag har börjat ta den här typen av frågor på allvar. Dessutom är det tydligt att användarcentrerad identitetshantering växer starkt.
– Det innebär att en betrodd tredje part, exempelvis en bank, tar hand om personuppgifterna med regler för vilken information som får delas med vem, säger Gunnar Karlsson.

Ett exempel är prototypsystemet Idimix som IBM nu utvecklar för en tredjepartsaktör. När systemet är färdigutvecklat ska det fungera så här: Om någon, exempelvis, ska köpa en film som har 15-års åldersgräns på nätet, behöver webbbutiken egentligen inte ha uppgifter om kundens namn, kön och adress. Det räcker att ha koll på att kunden är född 1991 eller tidigare. Här ser den tredje parten till att endast den relevanta uppgiften förmedlas.
– Den tredje parten släpper bara den information som är nödvändig till det säljande webbföretaget. Alla identitetsuppgifter finns hos tredjepartsaktörer som även kan tänkas ta hand om betalningen, säger Gunnar Karlsson.

För att summera är trenden ändå solklar. Hela området identitetshantering håller på att vävas ihop. Företagens och den offentliga sektorns interna lösningar integreras nu med dem hos partner, kunder och användare. E-legitimation blir en viktig pusselbit för att komma åt tjänster via webben. Drivkraften är också, som alltid, att spara pengar. Därför förutspås framtidens företag sträva efter att sköta åtkomsten till nödvändig information, men i princip låta den som ansluter sig fixa själva identitetshanteringen.

Av:Johan Cooke

Fakta

  • Public Key Infrastructure. Ett pki, public key infrastructure, är ett ramverk som består av flera produkter. Det används för två huvuduppgifter: autentisering av användare och kryptering av trafik. Grunden till dessa funktioner är så kallade digitala certifikat.
    Exempel på program som kan dra nytta av ett pki är e-post, vpn, alla former av finansiella transaktioner och olika system dokumenthantering.
  • AutentiSering. Ett sätt att identifiera en användare, oftast via användarnamn och lösenord. I vissa säkerhetssystem skiljer man dock på autentisering och auktorisering, där det sistnämnda innebär att en användare får viss tillgång till ett system baserat på vem personen är.

Västra Götalandsregionen, formellt Västra Götalands läns landsting, har 46 000 vårdanställda. Nu byggs en intern lösning för identitetshantering. Målet är så kallad single sign-on, det vill säga att anställda bara ska behöva logga in en gång för att nå alla sina datasystem. En läkare ska exempelvis kunna nå alla journaler och andra system från en enda portal.

Nästa steg blir ännu mer storslaget: att inrätta en extern tjänsteportal för regionens 1,5 miljoner människor.
– Men för att de ska kunna använda alla våra vårdtjänster är identitetshantering ett krav, säger Sylvia Larsson, systemförvaltare på Västra Götalandsregionens IT-strategiska avdelning.

Exempel på tjänster som ska tillhandahållas via portalen kan vara att boka tid hos vårdcentralen, ha kontakt med sin sjukgymnast eller att få resultat från blodprover. Patienterna måste således kunna autentisera sig i realtid för att nå tjänsterna. Om det ska ske i form av e-legitimation eller på något annat sätt är dock för tidigt att säga.
– Just nu hanterar vi alla våra anställdas identiteter i en katalog. Vi har långt kvar innan vi börjar med det externa portalprojektet. Men tack vare identitetshantering tror jag att det kommer blir fullt möjligt att förverkliga vår vision, säger Sylvia Larsson. /JC