Vil FIDO æde papkortet?

Digitaliseringsstyrelsen har for nylig barslet med en foranalyse vedr. næste generations NemID.

Den anfører flere fordele ved en flerleverandørstrategi. F.eks. færre "single points of failure" samt mere konkurrence m.h.t. brugervenlighed og features rettet mod såvel offentlige som private anvendelser.

Der lægges også op til at private tjenesteudbydere af bl.a. sikkerhedshensyn skal benytte dedikerede broker/login-tjenester, på samme måde som Nemlog-in giver Single-sign-On til offentlige tjenester med den nuværende NemID.

Én af de ting, man umiddelbart holder fast ved, er "nøglekortet", selvom meningerne blandt brugerne i følge rapporten har været delte: "Nøglekortet har af nogle interessenter været udskældt, hvor Fase 1 fx viste, at der er borgere, som betragter kortet som et nødvendigt onde. Andre interessenter har rost nøglekortet som forholdsvist enkelt og let at forstå."

Et muligt alternativ til "nøglekortet" er de ny FIDO-teknologier U2F og UAF. U2F er et rent ihændehaver-token til brug som 2. faktor i tilknytning til f.eks. brugernavn/adgangskode og modsvarer derfor umiddelbart funktionaliteten af et traditionelt nøglekort. UAF betegner tokens, som derudover har integreret biometrisk autentifikation, hvilket kan være nyttigt hvor personer, man er tæt på, kan tænkes at ville "låne" ens token.

Der er umiddelbart en række fordele ved at skifte et nøglekort ud med en FIDO U2F token:

  • Brugervenligt (kræver ingen aflæsning eller indtastning, kun berøring)
  • Phishing resistent (effektiv to-vejs autentifikation)
  • Kan ikke kopieres (kun én person - eller evt. device - kan få adgang)
  • Psedonym (genererer separate nøglepar for hver applikation)
  • Kræver ikke genudstedelse med regelmæssige mellemrum
  • Universelt anvendelig (bruger kan selv vælge fabrikat og model og benytte samme token på tværs af helt uafhængige private, erhvervsmæssige- og offentlige tjenester.

Ulemperne / forudsætningerne er så:

  • At FIDO standarden rent faktisk vinder udbredelse
  • At den understøtter alle typer enheder (pt. primært USB, NFC m.fl. undervejs)
  • At priserne på tokens bliver lave gennem konkurrence
  • At man ikke som med nøglekort blot kan sende en ny direkte anvendelig token til erstatning for en mistet (Her mangler der pt. fodslag omkring praktisk håndtering af recovery-processer)

Hvad mener og tror du? Vil FIDO æde sig ind på forbrugermarkedet, enterprisemarkedet eller æde sig ind på det offentlige NemID nøglekort? Eller vil udbredelsen måske netop være betinget af at et FIDO token af brugeren kan benyttes på tværs af disse segmenter? Og bliver det så typisk borgeren, arbejdsgiveren eller det offentlige, der kommer til at købe og betale et bredt anvendt token?

FIDO U2F understøttes af en række store spillere i internet- tele- og betalingsindustrien. Google, Samsung samt Microsoft (fra Windows 10) er blandt de første med praktiske implementeringer.

Den førende leverandør af U2F tokens er pt. svenske Yubico, men nu er der kommet flere leverandører på banen.

WAYF og Peercraft har begge leget med FIDO U2F og vil gerne have flere, der arbejder med autentifikation, på banen for sammen at kunne evaluere den praktiske anvendelse af FIDO. Vi afholder derfor en afgrænset hands-on workshop d. 19/5 fra kl. 9-15 på IT-Universitetet. Workshoppen indledes med ca. en times gennemgang af principperne, efterfulgt af install party, hvor deltagerne får mulighed for selv at køre U2F server i eget, foretrukket miljø. Der er enkelte ledige pladser. Skriv til hb@peercraft.com for mere info, hvis det kunne være interessant for dig at deltage.

Henrik Bierings billede
Henrik Biering er medejer af Peercraft ApS og aktiv i OpenID Foundation. Han interesserer sig stærkt for VRM (Vendor relation management) og blogger om håndtering af identitet, omdømme og personlige data på nettet.

Kommentarer (4)

Kristian Rastrup

Google, Facebook, Microsoft og Apple tilbyder alle 2 faktor autentifikation via sms, var det ikke det nemmeste og billigste?

Maciej Szeliga

sms

Google, Facebook, Microsoft og Apple tilbyder alle 2 faktor autentifikation via sms, var det ikke det nemmeste og billigste?


Hvad gør du så med folk som ikke har en mobiltlf. ?

Yubicos Yubikey koster $25 ved enkeltvis køb og væsentligt mindre i store partier - problem: det er ikke alle enheder som har en USB-port (og nogle har en men fyldt med Epoxy).
Den token man nu kan få til NemID er egentligt ret fiks men jeg er ikke helt overbevist om dens sikkerhed.

Casper Kvan Clausen

To-faktor via sms er kun to-faktor hvis man ikke tilgår tjenesten fra den enhed, der modtager sms'en - og det er stadigt oftere tilfældet. Google Authenticator-app og lignende har samme udfordring.

FIDO ville være en fantastisk løsning. NFC-understøttelsen er her allerede (kan opleves med Yubikey Neo og f.eks. LastPass på Android). Man kunne evt. tilbyde nøglekort som et alternativ til epoxy-scenarier.

Vil det ske? Desværre ikke til NemID 2 tror jeg - så skulle FIDO allerede have haft massiv udbredelse. Men jeg tror der er >50% chance for at FIDO når en så god udbredelse, specielt i enterprise, at det kommer i betragtning til NemID 3 (dog kun betragtning, med mindre vi også har fået ændret de offentlige projektmodeller til den tid...)

Henrik Madsen

For mig som har fravalgt NemID idag er det allervigtigste at jeg får en løsning hvor JEG er sikker på at JEG er den eneste som har adgang til at underskrive i MIT navn.

Det bliver jeg kun hvis JEG får lov til, enten at generere min egen nøgle eller jeg får et device hvor JEG er skker på at JEG er den eneste som har adgang til og at udbyderen ikke f.eks har en PUK kode.

Tror dog ikke vi får valgfrihed for det vil Nets sikert være imod. I Norge har jeg forstået at de har valgfrihed og der kan de end ikke få deres NemID løsning godkendt og "alle" bruger konkurrentens løsning.

Var det ikke også på Island at de helt havde forkastet NemID som en mulig løsning.

Hvis jeg har ret så syntes jeg jo det siger en del om Nets nuværende løsning.

Log ind eller opret en konto for at skrive kommentarer