En kombination af brugerens viden og pc'ens profil kan være nok til at højne sikkerheden på samme måde som hardwaretokens eller sms-beskeder med engangskoder. Det mener i hvert fald sikkerhedsfirmaet RSA, som nu lancerer en ny metode til autentifikation beregnet til mindre virksomheder, der ikke ønsker at benytte systemer med engangskoder.
RSA's nye metode bygger på en teknologi, der har været anvendt i nogle år hos blandt andet flere store amerikanske banker til at højne sikkerheden på netbankerne.
Udover brugerens login med brugernavn og kodeord har systemet også en profil af brugeren. Den omfatter eksempelvis oplysninger fra browseren om IP-adresse, styresystem, skærmopløsning og sprog, som alt sammen er med til at danne et fingeraftryk af selve pc'en.
Hvis brugeren logger på fra en ny IP-adresse eller der er sket andre ændringer i profilen, så kan systemet kræve ekstra identifikation fra brugeren.
»Hvis brugeren logger på fra en anden type pc eller en anden IP-adresse, så giver det en ændret risikoværdi. Hvis værdien er lav, så kan brugeren måske få lov til at logge på med blot brugernavn og adgangskode. Ellers skal han bevise sin identitet,« forklarer sales engineer Mikkel Bossen fra RSA Danmark til Version2.
Den ekstra identifikation kan være en bekræftelse via e-mail eller sms, men det kan også være et antal sikkerhedsspørgsmål, der skal besvares.
Som standard har systemet 20 spørgsmål på engelsk. Administratoren kan dertil lave oversættelser eller nye specifikke spørgsmål. For hver gruppe brugere kan man opstille krav om, hvor mange spørgsmål de skal udfylde ved oprettelsen, og hvor mange de skal svare på ved login.
Det skal højne kvaliteten af spørgsmålene, for med tjenester som Facebook er det blevet lettere at indsamle oplysninger på typiske spørgsmål som fødeby, kæledyr eller yndlingslærer. Ved at kræve korrekt svar på flere spørgsmål kan man mindske risikoen for, at en uvedkommende kan logge på ved hjælp af frit tilgængelig information.
»Vi har to millioner kunder på Adaptive Authentification, som bruges af banker, og det nye produkt bruger dele derfra. Så teknologien kommer fra en yderst velafprøvet løsning,« siger Mikkel Bossen.
Den ekstra sikkerhed kommer i kraft af, at risikoen ved at give en bruger adgang i en bestemt situation afhænger af flere faktorer. Eksempelvis kan brugeren også vælge en pc som sin standard-pc til login på systemerne, hvorefter der bliver lagt et Flash-objekt og en cookie, som skal være til stede ved login.
RSA's system er beregnet til at arbejde sammen med SSL-gateways, så login-processen viderestilles til RSA's system, når brugeren prøver at logge på et system via en browser. I øjeblikket understøtter systemet login via Citrix, Cisco, Juniper og Checkpoints gateways, men RSA er også på vej med understøttelse af Apache Webserver og Microsoft IIS.
Artiklen er en del af Version2's tema om it-sikkerhed i uge 7 og 8.