2.7.06

Helvede på jorden: Adgangskoder

I min klumme på bagsiden af Berlingske Business i morgen tager jeg et kig bøvlet med at holde styr på mylderet af brugernavne, passwords og pinkoder. De fleste af os kender til det.

Vi har fået besked på, at vi ikke må skrive adgangskoderne ned, men få får dem lært udenad. Ofte bliver koderne alligevel skrevet ned, men på kryptisk vis. Når vi senere forsøger at tyde vores "egne" koder, har vi måske glemt, hvad vores system egentlig gik ud på.

Jeg tog temperaturen blandt en række bekendte, før jeg skrev klummen, og frustrationen over bøvlet var fremherskende blandt de fleste.
"Jeg ville ønske, at der var installeret en iris-scanner (øjets iris er den farvede ring uden om pupillen - min tilføjelse) på enhver pc og enhver pengeautomat. Man glemmer jo ikke at tage øjet med i byen" lød det tørt fra en af personerne, der forsøgte at være systematisk ved at notere koder ned i sin lommebog på en måde, som kun hun ville kunne tolke, men alligevel ikke kunne, når det kom til stykket.

Men de såkaldte biometriske metoder er endnu ikke vejen ud af adgangskode-helvedet. Hverken brug af fingeraftryk, hånd, ansigt, øje, stemme, gangart eller helt andre ting. Jovist kan man på forsøgsbasis give pengeautomaten "fingeren" visse steder i udlandet, men en svensk kvindelig forsker viste for et års tid siden, hvordan hun kunne snyde de fleste fingeraftryksscannere (hun "løftede" fingerprint af diverse ting, støbte den i en tynd, geleagtig masse og "klistrede" det falske fingeraftryk på sin finger).

Biometriske metoder har dog vundet frem, men først og fremmest til internt brug i virksomheder heriblandt hos banker, politi og i lufthavne. At bruge teknologien bredt - over for alle kunder eller rejsende - giver endnu mange problemer. Vi så det, da Bornholms-trafikken indførte fingeraftryk som "billet" - flere mennesker havde uegnede fingeraftryk, heriblandt øens keramikere. Der mangler i øvrigt også standarder inden for biometri.

Der findes dog folk, der har helt styr på adgangskoderne, og nogle af disse bruger IT-baserede password-huskere til at løse problemerne med koderne. En bekendt brugte Password Safe (http://passwordsafe.sourceforge.net/) fra Open Source-verdenen. Og så læste jeg gode anmeldelser af produktet Roboform, der også findes på dansk (http://www.roboform.com/dk), men ikke med helt så omfattende funktionalitet som det amerikanske moderprodukt.

Endelig findes der mennesker, der blot nedskriver alt i et særligt dokument på pc'en (eller håndpc'en), og som krypterer filen, så det for udeforstående synes som volapyk.

Har du en enkelt løsning, der ikke kræver "højere ledvogtereksamen", så fortæl gerne. Klik på Comments.

1 kommentar:

Stephan Engberg sagde ...

Hej Dorte,

Du har helt ret - der er kaos på sikkerhedsområdet og det bliver hastigt værre.

Problemet er selvfølgelig at staten har smadret sikkerhedsmarkedet, fordi den på den ene side dikterer en masse aspekter af Identity (f.eks. tele, betalinger og PKI) og samtidig selv ignorerer sikkerhed, hvorefter det hele ender i voksende kaos.

Omkring bioemtri, usability og Identity Management, så er det områder, som vi forskningsmæssigt har rimeligt styr på, men som du rigtigt skriver må bioemtri selvfølgelig IKKE bruges som ekstern identifikation, fordi det ikke kan gøres sikkert. Problemet ligger i de politiske og kommercielle blokeringer for at bringe sikkerhed på markedet.

Når f.eks. det offentlige monopol ikke efterspørger sikkerhed og de vigtige komemrcielle spillere fokuserer på lock-in, så drives udviklingen ikke i en konstruktiv retning præget af bruger-drevet innovation.

Taberne er i første omgang borgerne og samfundet, men i anden omgang både staten og de kommercielle parter, som i stigende grad må ty til tvang og technology-push.

Man kunne selvfølgelig også begynde at tænke bare lidt på borgernes it-sikkerhed.