KOMMENTAR: Når teknologien kan spå forbrytelser

[Redaksjonen.]

KOMMENTAR: Når teknologien kan spå forbrytelser

[Ivar Nesje]

Pålogging handler om at et datasystem skal kunne sjekke hvem en bruker er. Stort sett baserer man seg på å dele en hemmelighet* med brukeren på forhånd, og så i forbindelse med påloggingen bevise at brukeren er i besittelse av hemmeligheten. Så lenge brukeren (og datasystemet) er i stand til å holde denne hemmeligheten unna uvedkommende, er systemet sikkert. Problemet som utnyttes til phising er at det vanligvis ikke er gitt klare regler til brukerne om hvordan man sjekker at brukerstedet er kontrollert av den man deler hemmeligheten med, og ikke en tredjepart som ønsker å utnytte hemmeligheten til andre formål.

 

Jeg har fremdeles til gode å oppleve at brukernavn og passord blir utlevert sammen med en bruksanvisning som beskriver hva man skal sjekke før man kan oppgi passordet. Det hjelper ingen ting med "Virtuelt instinkt" hvis selv ikke folk som jobber med IT sikkerhet har mulighet til å med sikkerhet vite at legitime pålogginger ikke er phishing..

 

* I noen tilfeller er det flere hemmeligheter. Eksempelvis både passord, og en krypteringsnøkkel som ligger inne i en 2 faktor enhet. I noen tilfeller sjekker man også at brukeren har lesetilgang på meldinger sendt til en addresse (sms, epost, post, digipost)