Säkerhet - en bristvara i många system?

Säkerhet
Man kan nog aldrig bli för säkerhetsmedveten, det finns alltid hål att täppa till och knep att ta till för att försvåra attacker. Det kan handla om allt från att se till så att användarna har "avancerade" lösenord till att lära sig mer kring scriptspråket som man använder och att lära sig de nackdelar som kommer med lösningen man valt.

Hur gör bankerna?

Vi har med stort intresse sett hur en del banker snabbt anammat säkra och användarvänliga lösningar medan andra ohjälpligt halkat efter. Vi behöver inte nämna några namn men en del banker (och för den delen andra tjänsteföretag som bör ha hög säkerhet) verkar ha IT-avdelningar som borde läsa på vad ordet säkerhet betyder. Och andra kanske går lite väl långt och skapar system som inte ens användarna, som har behörighet till det, kan eller orkar logga in på. Det gäller alltså att hitta en balans, för visst är det relativt enkelt att skapa ett system med avancerade användaruppgifter, engånslösenord som bara kan skickas via SMS mellan 12:03 och 12:04 på torsdagar udda veckor, vartannat år. Det är säkert, men vem kommer att använda detta system? De två bästa lösningarna som banker använder är personligen engångslösenord och "miniräknaren". Ett annat intuitivt och smart sätt är PassWindow som jag dessvärre inte själv testat.

Hur gör vi?

Vi utgår alltid från användarens krav när vi skapar ett skräddarsytt system. Vill de lägga vikt på hög säkerhet kan vi ordna det, vill de göra det otroligt enkelt för användaren att logga in och använda tjänsten så kan vi ordna det. Men i slutänden har de faktiskt anlitat oss för de kunskaper vi besitter, så vi kan inte bara säga ja till alla krav utan att åtminstone påpeka brister i tänket (om det finns) och föreslå vad vi tycker är det lämpliga i sammanhanget. Givetvis vet man inte allt bara för att man jobbar med det.

Nu använder vi mest frostnet som är ett gemensamt system för flera användare så användaren behöver inte komma fram till hur de vill ha det. Många säkerhetsfunktioner finns redan och användaren kan själv välja vilka som ska tas i bruk för ens konto och vilka som inte ska det. Vissa är naturligtvis obligatoriska så som användarnamn och lösenord. En annan sak som alltid finns är t.ex. ett virtuellt tangentbord, för användning på t.ex. Internetcafé eller andra publika ställen där man kanske inte är 100% säker på säkerheten på datorn man använder. Inte 100% säkert detta heller men det ger ett bra skydd mot sk. keyloggers.

Ny funktion

Vi har en annan helt ny funktion och det är engångslösenord. Det har testats under en tid och vi känner nu att den är "färdig" för att användas skarpt. Det handlar inte om något "avancerat" system där man får hem en bricka som man kan skrapa fram lösenorden, men det är en lösning där man får en lista med lösenord som man kan skriva ut eller helst spara i en fil på en krypterad disk. Har man "Logga in automatiskt" aktiverat kommer ingen fråga upp om engångslösenord för då förutsätts det att man sitter vid en dator där man har koll på vilka som har tillgång till den. Kommer man däremot till en annan dator tvingas man fylla i det engångslösenord som stämmer överens med numret i rutan, och således räcker det inte för en utomstående person att komma över användarens lösenord. Nu innehåller systemet inte något jättekritiskt men hur illa kan det gå för ett företag som får sin sida rensad på information eller känslig intern information spridd pga. att en användare fått sina inloggningsuppgifter stulna på ett eller annat sätt? De flesta företag hade nog inte velat råka ut för detta så varför inte då erbjuda denna funktion till alla? Vi hoppas att användarna kommer att få nytta av funktionen.

Vad tycker du om detta? Har du något tips om en bra säkerhetslösning?