Neeeej……Jag drunknar i lösenord!!!

Känner du igen dig?
Hur många lösenord har du?
Är du tvungen att tänka efter?


Den stora mängden lösenord är både ett säkerhetshot och ett användarproblem. Lösenord som förvaras i en anteckningsfil på datorn eller på ”post-it-lappar” under tangentbordet, det här är inget nytt och till och med Dagens Nyheter rapporterar om vådan av att ha många lösenord, se http://www.dn.se/nyheter/sverige/med-huvudet-sprangfyllt-av-losenord-1.964358.
Att det kostar mycket pengar i form av stor belastning på företagssupporten vet vi också.

Jag som jobbat med IT-säkerhet i 11 år - förvarar jag mina lösenord, pinkoder och kreditkortsnummer med hemmasnickrade lösningar, som oftast lämnar en del övrigt att önska? Det är inte speciellt bra, men det fungerar och vad ska man annars göra?

Problemet är inte bara att man har en mängd antal olika lösenord. De är oftast väldigt dåligt gjorda och totalt utspridda överallt: I din mobiltelefons kontakter, som en anteckning i din mail eller på webben någonstans?


Varför är det fortfarande så här, år 2010?

Är det användarna som är slarviga, outbildade och har dåligt minne?
Saknas det tillräckligt bra tekniska hjälpmedel och tekniker som hjälper oss med problemen?

Nej! Det har länge funnits olika tekniska hjälpmedel och teknologier för att ”komma bort” från det här.

Hur minskar man antalet lösenord?

Den vanligaste metoden som tar bort behovet av flera lösenord och använder en och samma inloggning för alla system och applikationer, vare sig första inloggningen är gjord med lösenord, certifikat eller annat är det kära gamla Single Sign-on!

Single Sign-on (SSO) betyder ”en enda inloggning” och är en metod för att överföra min första inloggning till flera andra och därigenom minska eller helt dölja mina lösenord.

Innan jag ger mig in på att förklara SSO vill jag säga: Att ta fram företagslösningar i komplexa systemmiljöer är en riktig djungel så en förstudie för att ta reda på vad som är bäst för just ditt företags behov är alltid på sin plats.

En överflygning av vanliga sätt att uppnå SSO:

Kerberos biljett används normalt endast mellan klient och server eller server till server identifiering på ett LAN/WAN (Windows och Unix) = nätverks SSO mellan klient till en server och applikation.
Exempel: När du loggar in med i dator till ditt företagsnätverk så får din dator alltid en kerberos biljett. Biljetten används dels för att identifiera din dator på nätverket, dels för att automatiskt få åtkomst till interna webbapplikationer som stödjer kerberos.

SAML biljett används normalt när företag enkelt vill utbyta information mellan sig, så kallad: ”federering” och därigenom "slippa" hantera den andres företags lösenordshantering. Det används ibland även intern på ett LAN/WAN precis som kerberos. Skillnaden mellan kerberos och SAML är att man i en SAML biljett kan få med mer information för att skicka vidare till webbsidan. Förutom identifieringsinformation kan även roll och med vilken metod har man identifierat sig med skickas med.
Exempel: Du surfar till en leverantörs beställningssida och loggas automatisk in som dig själv. Det som hänt i bakgrunden är att efter inloggning i din dator till ditt företagsnätverk och begär att få ansluta till leverantörens beställningssida fått en SAML biljett att visa upp till din leverantör som ni slutit avtal med.

U-Prove token är ett väldigt nytt, spännande koncept från Microsoft. Det kombinerar säkerheten i PKI och flexibiliteten hos federering och ger inbyggd integritet (privacy-by-design). Det betyder att användaren med U-Prove kan lämna ut och presentera kryptografiskt skyddade applikationsanpassade ”biljetter” (s.k Claims), unika för varje behov av identitetsinformation.

Klientbaserat SSO. Det finns program som installeras på användarens dator som ”fångar upp” användarens lösenord till både applikationer och webbapplikationer och förvarar det i en krypterad databas.

Server-agent SSO. Här installerar man en programvara på din server som har applikationen och ligger som ett skal framför den publicerade applikationen och fångar upp eller hämtar upp lösenord från användaren eller en annan källa och skickar vidare detta till applikationen.

Proxybaserad SSO är en säkerhetsprogramvara som befinner sig mellan dig och applikationen, man kan faktiskt säga att det är en ”Man in the middle” programvara. Proxy betyder att man gör en ”beställning” till en annan part att utföra exempelvis din webbsurfning efter ett antal fördefinierade kontroller. Proxyn agerar webbläsare åt dig. I SSO fallet så är det ditt lösenord som vidarebefordras till applikationen.


För att hjälpa ditt företag så bubblar det verkligen på marknaden. Många har kommit väldigt långt med sitt införande för att hjälpa sina anställda och partners, minskat pressen på sin servicedesk. SSO ger faktiskt väldigt snabbt återbetalning (ROI) på investeringen, både rent ekonomiskt men även minskad stress för de människor som får tillgång till den. Det finns en uppsjö av standarder och tekniker för att uppnå SSO för ditt företag idag. Det är dock fortfarande väldigt komplext och det finns ingen ”enkel väg”.

För dig som privatperson så finns det fortfarande inget bra sätt att minska antalet lösenord. Eller?

Var skall jag förvara mina lösenord?

I hjärnminnet? Är nog det bästa om man har superminne, men det är bra med en backup.

I en krypterad fil på en internetansluten device, t.ex. hemmadatorn eller din mobiltelefons minneskort? Inte så bra, för filen kan alltid någon elak få tag på och ”knäcka” med hjälp av Password cracking.

Hos en ”molnet”-tjänst på nätet? Är kluven, finns många bra fördelare men också en hel del nackdelar, läs mer om detta i bloggen ”The Cloud – only a new buzzword”.

Krypterat på en EJ internetansluten device, exempel USB minne? Är nog (än så länge) det bästa du kan göra (gör en backup till ett annat USB minne också). I mitt tycke är ”open source” programmet KeePass Password Safe väldigt bra.

Det rör på sig!

Under mina efterforskningar så dök jag på en uppstickare på marknaden inom SSO området, en som innehåller en del riktigt intressanta funktioner och fördelar.
Ett svensk företag har byggt en Proxybaserad WebSSO säkerhetsprodukt i .NET och Web 2.0 som är riktigt snygg. Den har integration med Active Directory, Radius, SAML, smartakort och Bank-ID (och mer….). Den har även userselfservice och kan göra ”password reset” på ditt domänkonto. Deras produkt har en egen portal (så klart)…men

kan även interagera/samexistera med din befintliga Interna ”intranät portal” och Proxy tjänst (SSLVPN) så användarna får samma ”look and feel”, fast med WebSSO funktioner både mot interna tjänster och mot Molnet-tjänster.
Det som är den största vinsten för ditt företag med en sådan här produkt är att det alltid är företaget som äger och kan således förvalta användarnas lösenord. Exempelvis så kan ”administratören” förskapa ett användarkonto i ett nytt system med ett svårt och slumpat lösenord och ”publicera” denna till sina behöriga användare.
Den största vinsten för dig som anställd är att du alltid går till samma ställe, både när du sitter på kontoret eller ute på internet är att du snabbt och smidigt kommer in i dina system.
Och om du vill så kan du även lägga upp egna privata länkar (om ditt företag tillåter) och låta ditt företag förvara dina privata lösenord.


Törs jag låta företaget förvara mina privata lösenord också?

Vill jag ens det? Nja, kanske inte alla, men väldigt många skulle i varje fall jag lägga där.

Det finns ju massor med internet-sajter man har konton på som inte är superviktiga.
Mina mest privata kanske man får logga in till själv, men kan ju verkligen minska på antalet.

Det som jag verkligen önskar att se på marknaden är en tjänst på nätet, hos min ISP, eller mitt företag som jag via stark men enkel identifiering får tillgång till ”Min lösenords hanterings och webb länk portal”. Den ska fungera oavsett från vilken ”Device” med olika skärmstorlek jag använder, iPhone, Android , iPad, Windows och Mac osv.


Kan detta vara början på min önskan? skulle du använda och vara beredd att betala för den? Hur vill du att det ska fungera?



Andreas Meyer
Omegapoint

0 kommentarer :: Neeeej……Jag drunknar i lösenord!!!

Skicka en kommentar