FIDO2

Skann passet, så kan du glemme passordet for godt: Passordfri pålogging skal gjøre hverdagen enklere

Nå kommer enklere og passordfri pålogging for norsk helsepersonell.

Trygve Daae og Martin Otterstad i Buypass presenterte den nye FIDO2-baserte autentiseringsløsningen på et webinar der også Norsk Helsenett og KINS (Foreningen Kommunal Informasjonssikkerhet) var med.
Trygve Daae og Martin Otterstad i Buypass presenterte den nye FIDO2-baserte autentiseringsløsningen på et webinar der også Norsk Helsenett og KINS (Foreningen Kommunal Informasjonssikkerhet) var med. (Skjermbilde fra webinar)

Nå kommer enklere og passordfri pålogging for norsk helsepersonell.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Passord på avveie er årsaken til 80 prosent av tilfellene der data kommer på avveie, og en av årsakene kan være at opptil 51 prosent av passordene blir brukt til innlogging for mer enn én tjeneste, ifølge tall Buypass la frem under et webinar på onsdag. Nå går det imidlertid mot en passordfri hverdag for mange i Norge – blant annet i helsesektoren.

I dag er det et krav at offentlige virksomheter må følge regelverket «PKI i offentlig sektor», som innebærer bruk av PKI og sertifikater for å oppnå sterk nok autentisering. Den nye EU-forordningen eIDAS (electronic IDentification, Authentication and trust Service) betyr imidlertid at disse kravene endres, og nå er det ikke lenger krav om bruk av PKI og sertifikater.

På webinaret, som var rettet mot ansatte i norske kommuner og i helsevesenet, presenterte Buypass en ny autentiseringsløsning basert på FIDO2 (Fast Identity Online). Løsningen vil om kort tid tas i bruk innenfor helsevesenet gjennom løsningen HelseID, som norsk Helsenett står bak.

Med den nye Buypass FIDO2-løsningen trenger man ikke lenger passord, men logger inn ved å bruke en sertifisert FIDO2 sikkerhetsnøkkel som man leser av enten via USB eller NFC. Løsningen er basert på åpne standarder, og ettersom de fleste nettlesere støtter de åpne grensesnittene som FIDO2 bygger på er det ikke nødvendig å installere programvare på enheten til brukeren.

– Trenden går mot at stadig flere ønsker å fjerne brukernavn og passord. De brukes ofte av hackere som ønsker å komme seg inn i din infrastruktur, fortalte Trygve Daae, fagansvarlig for helse i Buypass.

Ulike sikkerhetsnivåer

Det finnes i dag en rekke ulike måter å identifisere seg på – og noe av poenget med eIDAS-forordningen er at du skal ha et felles europeisk rammeverk for elektroniske ID-er (eID). eID-ene skal kunne utstedes av både det offentlige og av private, og skal være basert på felles sikkerhetsnivåer. 

– Når eIDAS trår i kraft vil det være forskjellige ID-providere i ulike land, og et system som gjør at vi kan stole på andres ID-er og deres sikkerhetsnivå, sa Daae.

Buypass' nye FIDO2-baserte autentiseringsløsning tilfredsstiller de nye kravene til «eIDAS Høy».
Buypass' nye FIDO2-baserte autentiseringsløsning tilfredsstiller de nye kravene til «eIDAS Høy».

I Norge opererer det offentlige med ulike sikkerhetsnivåer («Levels of Assurance, LoA») for eID, avhengig av hvor strenge krav man har. Før den 22. mai 2020 hadde man Nivå 3 og Nivå 4, hvor Nivå 3 var «Min ID» mens Nivå 4 krever et ekstra nivå av sikkerhet – gjennom for eksempel Bank ID eller Buypass ID.

Etter den 22. mai vil Nivå 3 hete «eIDAS betydelig» og Nivå 4 vil hete «eIDAS Høy». 

Buypass ser for seg at FIDO2-standarden vil tilfredsstille de strengeste kravene – altså eIDAS Høy. Dermed er det nå plutselig blitt mulig å lage autentiseringsløsninger som tilfredsstiller de strengeste kravene til sikkerhet, uten tungvinte løsninger som for eksempel smartkortlesere – som man har vært vant til blant annet innenfor helsevesenet.  

FIDO2 er basert på åpne standarder som OpenID Connect og WebAuthn, og i løsningen som Buypass har laget har de valgt å benytte seg av maskinvarenøkler av typen Yubikey fra det delvis svenske selskapet Yubico. Nøklene kan brukes både ved å plugge dem inn i en USB-port, eller trådløst via NFC.

Trygve Daae i Buypass gjorde et poeng ut av at selv om det finnes mange ulike FIDO2-sikkerhetsbrikker på markedet, så må Buypass kunne gå god for implementeringen av FIDO2-standarden på brikken. Derfor har de valgt å gå for én bestemt leverandør, og ikke godkjenne en hvilken som helst brikke. 

Slik er autentiseringsløsningen bygget opp.
Slik er autentiseringsløsningen bygget opp. Illustrasjon: Buypass

Identifiserer seg ved å skanne passet

På webinaret demonstrerte Buypass hvordan løsningen fungerer, og hvordan brukere må identifisere seg første gang for å få utdelt en «token» de kan bruke for pålogging senere. 

Hvis denne typen autentiseringsløsninger skal bli utbredt, er det et poeng at mest mulig er basert på selvbetjening – og at det er enkelt å administrere. Men det er også mulig å kreve «operatørbasert onboarding», det vil si at noen andre må verifisere at du er den du utgir deg for å være før du får adgangsnøkkelen. 

YubiKey 5 NFC, en sikkerhetsnøkkel fra Yubico, brukes til autentisering på en Android-mobil.
Sikkerhetsnøklene fra Yubikey kan leses av enten ved å plugge den inn i en USB-port, eller trådløst via NFC. Foto: Yubico

– Vi har kommet veldig langt med Yubikey og tjeneste deres, og siden autentiseringen blir levert som en tjeneste er det svært lite som kreves, sier Daae.

I Buypass' løsning vil de ansatte bruke en NFC-leser, enten i form av en ekstern leser som kobles til en PC – eventuelt en leser som er innebygget i enheten. Per i dag er det ikke så mange PC-er som har innebygget NFC-leser. Dette har vært funksjonalitet vi har sett mest i mobiltelefoner – på grunn av at mobilbransjen har ønsket å bruke dette for å komme i gang med mobilbetaling. Daae tror imidlertid at NFC kan bli mer utbredt også i andre enheter i fremtiden.

eIDAS stiller strenge krav til identifikasjon, og i demoen var det kun nasjonalt ID-kort og pass som kunne velges. Siden vi ikke har nasjonalt ID-kort i Norge ennå, er det i praksis pass som gjelder. 

For å få opprettet en «token» som lagres på FIDO2-nøkkelen må man autentisere seg første gang. Her ved å skanne NFC-brikken i passet ditt.
For å få opprettet en «token» som lagres på FIDO2-nøkkelen må man autentisere seg første gang. Her ved å skanne NFC-brikken i passet ditt.
Etter at man har autentisert seg første gang, kan man enkelt logge inn ved hjelp av Yubikey-nøkkelen.
Etter at man har autentisert seg første gang, kan man enkelt logge inn ved hjelp av Yubikey-nøkkelen.

I demoen skulle man opprette en eID for innlogging på en nettside. Man lastet først ned en upersonalisert passkannings-app på en vilkårlig mobil og aktiverte appen. Når dette var gjort ble man via innloggingsskjermbildet i nettleseren bedt om å skanne NFC-brikken som pass av nyere dato er utstyrt med. Tjenesten får da tilgang til det høyoppløselige bildet i passet – og man må deretter ta en «selfie» av seg selv med mobiltelefonen. Hvis bildet blir godkjent (samsvarer med passbildet), vil brukeren automatisk bli logget inn på en applikasjon som muliggjør knytning av en FIDO2-nøkkelbrikke til personen. Denne nøkkelbrikken i kombinasjon med en selvdefinert pinkode kan så benyttes neste gang man vil logge seg inn på en sikret applikasjon.

– Dette gir økt sikkerhet og en enklere hverdag for de ansatte, forteller Daae. 

Det er Norsk Helsenett som vil levere den nye autentiseringsløsningen til norsk helsevesen, gjennom løsningen HelseID. I dag brukes HelseID av blant annet Kjernejournal og eResept, og snart også MF Helse. 

Steinar Noem, løsningsarkitekt i HelseID, fortalte at de ikke er en identitetstilbyder slik som Buypass, men at de sikrer tjenester på applikasjonsnivå for kundene – og tar ansvaret for dette. Gjennom en portal kan brukerne velge mellom ulike autentiseringsmåter, som BankID, ID-porten, Commfides eller Buypass.

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen