Vil FIDO æde papkortet?

Digitaliseringsstyrelsen har for nylig barslet med en foranalyse vedr. næste generations NemID.

Den anfører flere fordele ved en flerleverandørstrategi. F.eks. færre "single points of failure" samt mere konkurrence m.h.t. brugervenlighed og features rettet mod såvel offentlige som private anvendelser.

Der lægges også op til at private tjenesteudbydere af bl.a. sikkerhedshensyn skal benytte dedikerede broker/login-tjenester, på samme måde som Nemlog-in giver Single-sign-On til offentlige tjenester med den nuværende NemID.

Én af de ting, man umiddelbart holder fast ved, er "nøglekortet", selvom meningerne blandt brugerne i følge rapporten har været delte: "Nøglekortet har af nogle interessenter været udskældt, hvor Fase 1 fx viste, at der er borgere, som betragter kortet som et nødvendigt onde. Andre interessenter har rost nøglekortet som forholdsvist enkelt og let at forstå."

Et muligt alternativ til "nøglekortet" er de ny FIDO-teknologier U2F og UAF. U2F er et rent ihændehaver-token til brug som 2. faktor i tilknytning til f.eks. brugernavn/adgangskode og modsvarer derfor umiddelbart funktionaliteten af et traditionelt nøglekort. UAF betegner tokens, som derudover har integreret biometrisk autentifikation, hvilket kan være nyttigt hvor personer, man er tæt på, kan tænkes at ville "låne" ens token.

Der er umiddelbart en række fordele ved at skifte et nøglekort ud med en FIDO U2F token:

• Brugervenligt (kræver ingen aflæsning eller indtastning, kun berøring)
• Phishing resistent (effektiv to-vejs autentifikation)
• Kan ikke kopieres (kun én person - eller evt. device - kan få adgang)
• Psedonym (genererer separate nøglepar for hver applikation)
• Kræver ikke genudstedelse med regelmæssige mellemrum
• Universelt anvendelig (bruger kan selv vælge fabrikat og model og benytte samme token på tværs af helt uafhængige private, erhvervsmæssige- og offentlige tjenester.

Ulemperne / forudsætningerne er så:

• At FIDO standarden rent faktisk vinder udbredelse
• At den understøtter alle typer enheder (pt. primært USB, NFC m.fl. undervejs)
• At priserne på tokens bliver lave gennem konkurrence
• At man ikke som med nøglekort blot kan sende en ny direkte anvendelig token til erstatning for en mistet (Her mangler der pt. fodslag omkring praktisk håndtering af recovery-processer)

Hvad mener og tror du? Vil FIDO æde sig ind på forbrugermarkedet, enterprisemarkedet eller æde sig ind på det offentlige NemID nøglekort? Eller vil udbredelsen måske netop være betinget af at et FIDO token af brugeren kan benyttes på tværs af disse segmenter? Og bliver det så typisk borgeren, arbejdsgiveren eller det offentlige, der kommer til at købe og betale et bredt anvendt token?

FIDO U2F understøttes af en række store spillere i internet- tele- og betalingsindustrien. Google, Samsung samt Microsoft (fra Windows 10) er blandt de første med praktiske implementeringer.

Den førende leverandør af U2F tokens er pt. svenske Yubico, men nu er der kommet flere leverandører på banen.

WAYF og Peercraft har begge leget med FIDO U2F og vil gerne have flere, der arbejder med autentifikation, på banen for sammen at kunne evaluere den praktiske anvendelse af FIDO. Vi afholder derfor en afgrænset hands-on workshop d. 19/5 fra kl. 9-15 på IT-Universitetet. Workshoppen indledes med ca. en times gennemgang af principperne, efterfulgt af install party, hvor deltagerne får mulighed for selv at køre U2F server i eget, foretrukket miljø. Der er enkelte ledige pladser. Skriv til hb@peercraft.com for mere info, hvis det kunne være interessant for dig at deltage.