Sikkerhet

Varianter over denne overskriften har vi sett i mange aviser den senere tiden. Forløpet ser ut til å være rimelig likt i de fleste tilfellene: en elev får tak i en lærers brukernavn og passord på en eller annen måte og benytter dette til å endre informasjon i karakter- og fraværssystemet. I mange tilfeller blir også passordet spredt til andre elever og til og med solgt for en mindre fortjeneste. På et vis gjør dette det verre, men på den andre siden gjør det mye enklere å oppdage og rette opp i det. Hvem vet hvor mange som har kunnet endre egen informasjon og unnlatt å skryte av det og delt passordet med andre.

Disse hendelsene var nok en av årsakene til at jeg ble spurt om å snakke om to-faktor autentisering, Feide og eID på sommerens fylkeskommunale IT-forum i Arendal.

Foto: Keys_1, ~Brenda-Starr~, flickr.com

I dag fikk vi et av de “vanlige” spørsmålene til Feide. Lettere omskrevet kan det summeres opp i “Hvor ofte må passord byttes?”

Hva skal en svare på dette? Det mest riktige og definitivt minst hjelpsomme svaret vil være “Det kommer an på”. Litt bedre er “Så ofte tjenesten trenger det for å tilfredstille sikkerhetsbehovet, og så sjelden at brukeren ikke begynner å skrive ned passordet eller lager gjennomskuelige passordmønstre ved påtvunget skifte.”

Professor Eugene Spafford ved Center for Education and Research in Information Assurance and Security (CERIAS) skrev for noen år siden et par blogginnlegg som fremdeles er veldig interessante i denne sammenhengen. Begge innleggene bør leses i sin helhet, men under gjengir jeg noen oppsummeringer og et par egne tanker.

Hvordan skal en IKT-tjeneste i utdanningsektoren kunne finne ut hvor sikker den må være på at en person er den han/hun utgir seg for før den slipper denne personen inn? Hvilke kriterier skal en se etter og hva er "sikkert nok"?