Phishing-sikker innlogging med fingeren skal stoppe svindlere

Du har fått en e-post fra banken – og må verifisere brukeren din på nytt. Du følger lenken til dnp.no og blir bedt om å legge inn personlige opplysninger. 

Slik kan et såkalt phishing-angrep se ut. En e-post fra en tilsynelatende troverdig avsender sender deg til en falsk side.

Audun Jøsang er professor i cybersikkerhet ved Universitetet i Oslo. Han forklarer at profesjonelle aktører setter opp falske nettsider. De eksisterer bare den tiden det tar for deg å gi fra deg alle passord. 

Med kunstig intelligens kan disse aktørene jobbe raskere. Jøsang har vært med å utvikle en løsning som skal hjelpe oss å unngå slike feller.

– Løsningen benytter en såkalt phishing-resistent passnøkkel. Det er som et passord som ikke passer på feil sted. På samme måte som en nøkkel som ikke passer i feil lås. 

Konstant pålogget = konstant sårbart for cyberangrep

I 2011 forstod Jøsang behovet for en ny type innloggingsløsning. Han startet et fransk-norsk forskningssamarbeid finansiert av EU. 

Sammen har de utviklet flere ulike prototyper og etablert selskapet PONE Biometrics. Der har de lansert en løsning for biometrisk pålogging kombinert med passnøkler kalt OFFPAD.

En OFFPAD har en kapasitet på 100 nøkler. Den kan brukes både privat og til jobbautentisering. 

For en virksomhet kan cyberangrep bety at utenforstående får tilgang til fortrolig, begrenset eller hemmelige data. (Illustrasjonsfoto: Shutterstock / NTB)

I motsetning til kodebrikken fra BankID er OFFPAD basert på biometri. Det vil si fingeravtrykk og andre metoder som krever din fysiske tilstedeværelse. Samtidig som selve brikken ikke er pålogget nettet. Det betyr at det som identifiserer deg som person, aldri forlater kortet.

– Alt som er konstant pålogget på nett, er sårbart for cyberangrep hele tiden. Derfor måtte dette være noe som brukeren kontrollerte, og som ikke er pålogget internett. Da kom vi til ideen om en OFFPAD – en «Offline Personal Authentication Device», sier Jøsang.

Hemmeligheter og personopplysninger på avveie

For en virksomhet kan cyberangrep bety at utenforstående får tilgang til fortrolig, begrenset eller hemmelige data. 

I verste fall kan noen med uedle hensikter få tak i strategisk viktig informasjon eller hacke seg inn IT-systemet. 

– Det er ikke de ansatte som skal ha eneansvaret for at sikkerheten er god nok. Ansatte gjør feil, og de kommer alltid til å kunne gjøre feil, sier Jan-Erik Skaug, styreleder i PONE Biometrics.

Skaug har tidligere jobbet med å bygge opp flere IT-selskaper. Han forklarer at glemte passord og passordrelaterte feil forårsaker betydelige utgifter for IT-support. Det påvirker også brukerens effektivitet i en digital hverdag.

Fordi sikre passord kan være lett å glemme, skriver folk dem ned. I tillegg kan mange være slepphendte med å skifte passord når de skal eller dele passord med kolleger. 

Alle slike feil utgjør en risiko for at passordene ikke har den funksjonen de er ment å ha.

Hjemmekontor øker behovet for sikker innlogging

Med hjemmekontor og desentraliserte arbeidsplasser øker trusselen ytterligere, ifølge Jøsang:

– Tidligere jobbet de fleste innenfor et nettverk. De kom inn på kontoret og logget seg på bedriftens datanett. Da hadde de først inngangsdør, resepsjon og vakt. Så alle brannmurene for datanettverket, men hvordan er det i dag? Og hvor ligger dataene? spør han retorisk.

– Vi ønsket å forbedre den digitale hverdagen til brukerne. I tillegg ønsket vi å hjelpe store selskaper med å få ned kostnaden til IT-support og øke sikkerheten, legger Skaug til.

Begge mener dagens løsninger legger mye ansvar på hver enkelt ansatt. 

For å løse problemet har de bygget inn muligheten for å lagre opptil hundre nøkler i OFFPAD-kortet. Målet er at det skal være raskt og enkelt for ansatte å logge seg inn og identifisere seg via PC, laptop eller mobil. 

Samtidig skal sikkerheten økes uten mulighet for å bli kompromittert.

Hva skjer dersom noen stjeler OFFPADen?

Du kan aldri være helt trygg, men likevel mye tryggere enn i dag

Ettersom du kan lagre alle viktige passnøkler på OFFPADen, er det avgjørende at kortet ikke er mulig å hacke om du mister det. 

Kun dine fingeravtrykk kan gi tilgang.

– Det finnes praktiske løsninger dersom arbeidsgiver har kjøpt ekstra kort som ligger tilgjengelige. Det er mulig å bruke to-faktorautentisering et par dager før du får et nytt kort, sier Skaug.

Det er ikke mulig for utenforstående å bruke kortet uten også å ha fingeren din. Dermed har det liten verdi å stjele selve kortet. 

– Men hva hvis noen har skåret av fingeren?

– OFFPAD-en fungerer ikke når temperaturen i fingeren synker, sier Skaug.

Jøsang skyter inn:

– Det er mulig at noen står med en pistol mot tinningen og truer deg til å logge inn, sier han. Det vil jo alltid være noe risiko. Et fysisk møte er likevel en mye mindre trusselflate enn at hele internett kan lure deg.

Nye sikkerhetsløsninger haster

Flere sider ved samfunnet gjør at behovet for sikrere løsninger for innlogging øker: digitalisering, den sikkerhetspolitiske situasjonen og fremtidige kvantedatamaskiner som kan bli raske kodeknekkere. 

Ifølge Jøsang og Skaug er løsninger for innlogging og elektronisk identifisering en konservativ bransje. Et EU-direktiv kan bli brekkstangen for nye løsninger, mener de:

– EU godtar ikke at vi bare har private selskaper som sørger for elektronisk identifisering, sier Jøsang. 

Han forteller at Norge muligens kan bli tvunget til å opprette en statlig løsning for elektronisk identifikasjon.

I selskapet arbeider de nå med å bli sertifisert for EU-direktivet via Buypass, som er en fremtidig samarbeidspartner innen helsesektoren. Autentisering mot hele offentlig sektor via OFFpad-kortet vil da kunne være mulig.

– Den statlige løsningen MinID har ikke høyt nok sikkerhetsnivå. Den gir kun nivå betydelig, så den kan ikke brukes til å levere skattemeldingen, sier Jøsang. 

Kravet i det nye EU-direktivet er at alle EU-lands myndigheter sikrer en form for digital identifisering, et slags digitalt pass, som skal være statlig. 

Ifølge Jøsang og Skaug er Norge i en ganske spesiell situasjon sammenlignet med mange andre europeiske land hvor staten allerede har ansvaret for elektronisk identifisering. 

I Norge har staten gitt dominerende private aktører som BankID og Buypass ansvaret for å drive den elektroniske identifiseringen.

Ettersom OFFPAD er utviklet i Norge og produsert i Sverige, dekker den alle krav som måtte komme fra EU. Løsningen er forsket fram ved norske universiteter og videreutviklet av PONE Biometrics med norske og internasjonale cybereksperter og -institusjoner.

Kvantedatamaskiner i fremtiden en trussel i dag

Skaug mener kvantedatamaskiner utgjør en stor fremtidig trussel. Å forberede seg på en slik trussel kalles for post-kvantekryptering:

– Noen år inn i fremtiden forventer vi at kvantedatamaskiner er kraftige nok til å knekke dagens kryptografi. Hvis fiendtlige agenter lagrer data fra i dag, vil de kunne få tilgang til eksisterende hemmeligheter den dagen disse maskinene kommer, sier Skaug. 

Kvantesikker kryptografi vil erstatte dagens kryptering og digitale signaturer med nye algoritmer.

Derfor samarbeider PONE Biometrics med Oxford-baserte PQShield. De er verdensledende på postkvantekryptografi. I tillegg deltar forskere fra NTNUs avdeling for anvendt kryptografi. Sammen skal de utvikle brukervennlige og kvantesikre løsninger i OFFPAD-kortet. 

I postkvantekryptografi kombineres ulike metoder for å gjøre pålogging sikrere enn dagens løsninger.

Jøsang og Skaug mener OFFPAD-kortet bør kunne få en global utbredelse og bidra til økt digital sikkerhet både for virksomheter og ved privat bruk.