«Pico» avskaffer passord og PIN-koder

På Passwords^11 i Bergen vil Frank Stajano fra University of Cambridge skjære gjennom.

I morgen innledes todagerskonferansen Passwords^11 i Bergen. Konferansen organiseres av Per Thorsheim og professor Tor Helleseth ved Universitetet i Bergen, og støttes økonomisk av NISNet.no, et norsk ressursnettverk for informasjonssikkerhet.

Det innledende trekkplasteret på konferansen er forsker Frank Stajano ved University of Cambridge. Stajano har fått tildelt to økter for å presentere sitt konsept Pico: No more passwords! (pdf, 20 sider).

Frank Stajano mener Pico er egnet til å skjære gjennom dagens autentiseringsproblemer og gjøre passord og PIN-koder overflødige.
Frank Stajano mener Pico er egnet til å skjære gjennom dagens autentiseringsproblemer og gjøre passord og PIN-koder overflødige.

Hensikten er enkel: Pico er en løsning for å avskaffe alt av passord og PIN-koder, på nettet og overalt ellers.

Utgangspunktet er et passord er blitt altfor enkelt å håndtere for de som tilbyr tjenester, slik at vi forbrukere må forholde oss til altfor mange av dem. Selv tilfeldige brukere kan ha flere titalls passord. Tunge brukere når enkelt opp i flere hundre. Alle tjenestetilbydere påbyr at passord ikke skal gjenbrukes fra andre steder, og de skal være tunge, det vil si nærmest umulige å huske. De skal selvfølgelig ikke skrives ned. Forenklinger som formelt tilfredsstiller krav til tall, store bokstaver og spesialtegn, for eksempel n1L$€n i stedet for Nilsen, er bannlyst. Hva skal man gjøre?

Stajanos løsning er et beskjedent stykke maskinvare, døpt «Pico» etter den italienske filosofen og humanisten Giovanni Pico della Mirandola (1463–1494), kjent for sin enorme hukommelse.

Pico håndterer alt av autentisering overfor applikasjoner og tjenester: Den gjenkjenner applikasjonen gjennom et kamera (for eksempel ved at applikasjonen viser en egen strekkode), sjekker gjennom en egen forbindelse (trådløs til klienten som anvendes for å nå tjenesten) at applikasjonen er den den gir seg ut for å være, og oppgir brukernavn, passord samt en garanti overfor applikasjonen at brukeren er den vedkommende gir seg ut for å være, det vil si at Pico har sjekket brukerens identitetsbevis. Dersom det er første gang man tar i bruk tjenesten, vil Pico også generere et passord, og sørge for at det ikke brukes av noen annen tjeneste.

Identitetsbeviset er nødvendig for å hindre at uvedkommende kan rappe en brukers Pico og alle dens passord. Pico skal være låst når den er utenfor eierens kontroll, og det skal være umulig for noen å gå inn i en Pico og avdekke passordene ved å analysere innholdet. Det stiller strenge krav til den interne krypteringen.

Stajano tenker seg at Pico sjekker med et antall «Picosisters» at eieren har kontroll. En Picosister har som oppgave å melde en del av brukerens kjennetegn til Pico. Det skal være tre ulike typer Picosister (heretter kalt picosøstre): En biometrisk enhet som kontrollerer brukeren ved hjelp av for eksempel en fingeravtrykkssensor, en egen nettverkstjeneste, og en egen type brikker som responderer på kall fra Pico etter samme prinsipp som RFID. Brikkene kan nedfelles i brukerens briller, klær, klokke eller liknende.

Ideen er at alle registrerte picosøstre til en persons Pico må respondere kontinuerlig for å opprettholde tjenesten. Man skal ikke autentiseres bare ved pålogging, men med jevne, og korte mellomrom mens tjenesten er i bruk. Nettverkstjenesten og den biometriske identitetssjekken behøver ikke nødvendigvis polles med kortere intervaller enn et hensiktsmessig antall timer. Det må derimot picosøstrene som er nedfelt i spesialbrikkene. Blir du kidnappet og torturert, er det nok at du greier å ødelegge eller kvitte deg med én picosøster for å gjøre det umulig for uvedkommende å utgi seg for å være deg.

Stajano angir en mengde kryptografiske metoder som skal sikre Pico-enhetens kommunikasjon både med applikasjonen eller tjenesten, og med picosøstrene. Han medgir at overgangen til en passordfri tilværelse vil kreve omfattende endringer i alle nettverkstjenester og all annen adgangs- og tilgangskontroll. Men gevinsten, i forhold til dagens løsninger med gule lapper (i verste fall) til krypterte passordlister (i beste fall) er brukervennlig sikkerhet, der byrden plasseres hos tilbyderen av tjenesten.

Den som for eksempel tror at dagens tofaktor autentisering uten biometrisk kontroll kan vare i evig tid, kan tenke over implikasjonen av to av vårens mest oppsiktsvekkende datainnbrudd, hos henholdsvis EMCs sikkerhetsselskap RSA, og kampflyprodusenten Lockheed Martin.

Til toppen