Projektkonklusion
- Websikkerhed via mobiltelefon
Mobilen er en sikker nøgle til internet
Af Claus Thorhauge, www.clausthorhauge.dk
Ferie eller ej. Gå ind på enhver netcafé i Cairo og tjek om ordren er gået i hus – direkte i virksomhedens it-systemer. Den nødvendige og sikre adgangskode kommer på mobiltelefonen. Sikkert og fortroligt.
Formålet
Hensigten var at udvikle et system, så en medarbejder fra enhver usikker pc uden at installere specielle programmer kunne koble sig sikkert og fortroligt op på virksomhedens interne systemer – blandt andet webmail.
Selv om systemet i sagens natur skulle være nemt og fleksibelt, skal sikkerheden være i top. På markedet findes en række forskellige »dimser«, der kan give brugeren et midlertidigt password, men tanken var i stedet at bruge mobiltelefonen til at overføre de midlertidige adgangskoder. Billigere og nemmere.
Når sikkerheden skal være høj, skal man nemlig bruge to sikkerhedskoder – og allerbedst leveret via to uafhængige kanaler:
Først indtaster brugeren et brugernavn og en almindelig pinkode på en hjemmeside. Det resulterer kort efter i en sms-besked på brugerens mobiltelefon med en midlertidig adgangskode, der kun kan anvendes en gang. En meget sikker løsning, fordi der netop anvendes to uafhængige kanaler til at logge sig på med. Ifølge professor i kryptering Peter Landrock vil selv de bedst udstyrede cyberkriminelle få svært ved at hacke både en mobiltelefon og en pc på en gang.
Projektet, som Nykredit undervejs har døbt Fyrtårnsløsningen, skal bidrage til at udbrede sikker identifikation af brugere til webløsninger – og blandt andet skabe grundlag for mere e-handel.
Processen
Oprindeligt var ideen med projektet at etablere sikker autentifikation af brugere ved hjælp af en mobiltelefon. Det kunne lade sig gøre, men hvordan skulle man demonstrere løsningen og nytteværdien af den. Foruden autentificering blev projektet derfor udvidet med en sikker »tunnel« til udvalgte webservices – i første omgang post og kalender via en almindelig webbrowser.
Udvidelsen betød, at løsningen kunne demonstreres og anvendes for de højst placerede ledere i Nykredit, hvis post er så følsom, at de ikke havde lov til at bruge Nykredits eksterne netværk, ekstranettet, til at læse og skrive mail. Ved at skabe en generel tunnelløsning, så alle services i princippet kunne understøttes via internet, faldt der uventet fire appelsiner ned i projektets turban.
For det første blev målgruppen større end de oprindelige 50 topchefer, da alle medarbejdere nu kunne få adgang via sikkerhedskoder på mobiltelefoner. Et lille år efter afslutningen af projektet, i november 2003, blev den eksisterende ekstranetserver derfor lukket til fordel for direkte adgang til Nykredits interne net gennem Fyrtårnsløsningen. Samtidig slap Nykredit for, at medarbejderne bruger deres interne adgangskoder på usikre pc’er uden for Nykredit. Det gav en yderligere forbedring af sikkerheden – sammen med de nye muligheder.
For det tredje kunne brugerne anvende fyrtårnsløsningen som den eneste nøgle til at få adgang til forskellige systemer, hvor de på Nykredits interne net ellers er tvunget til at bruge forskellige adgangskoder – en til hvert system. For det fjerde viste det sig, at det var muligt at filtrere dokumenter og datakilder fra, som trods den høje sikkerhed ikke må vises på usikre pc’er udenfor Nykredit.
Selve udvekslingen af adgangskoder via usikre pc’er og mobiltelefon voldte ikke de store vanskeligheder. Men det gav noget hovedbrud at få de eksterne adgangskoder til at styre adgangen til Nykredits mange forskellige interne systemer, uden at adgangskoderne til de interne systemer blev synlige udefra. Det tog derfor Nykredits programmører længere tid end forudset at skabe en sikker og krypteret ”oversættelse” mellem de eksterne og interne systemer. Men opgaven blev løst uden at tilkalde en ekstern krypteringsekspert, så problemerne gav ikke nogen nævneværdig overskridelse af budgettet, og projektet blev alligevel færdigt til tiden.
Resultatet
Projektet har testet den mest almindelige og nyttige funktion for medarbejdere, der arbejder hjemmefra eller er på rejse: Webmail. Altså et postprogram i en internetbrowser. Så man må sige, at projektet er lykkedes som forventet. Der er skabt et produkt, der på simpel vis giver brugerne en stærk autentifikation.
Men udover Nykredit selv er der ikke mange, der har taget løsningen i brug. Det har vist sig at være svært at få udbredt ideen både i Nordjylland og andre steder i landet. Dog har en nordjysk virksomhed, Futarque A/S, taget systemet til sig, og der er kommet kommercielle produkter på markedet, som anvender samme ide til autentificering af brugere.
IBM har dog vist interesse for tage systemet i brug overfor en række store kunder: Motorola, Ericsson, Nokia og et indisk it-firma. Muligvis bliver løsningen også taget i brug i forbindelse med et EU-projekt, som Det digitale Nordjylland har formidlet kontakt til.
Fremtiden
Løsningen bliver løbende videreudviklet og brugt af Nykredit, hvor den bliver tilbudt til alle medarbejdere. Og den er populær. I løbet af få måneder har mere end 1000 medarbejdere koblet sig på Nykredits systemer »udefra« i alt over 10.000 gange.
Nykredit har valgt at stille ideen gratis til rådighed for interesserede virksomheder.
Projektfakta
Titel: Websikkerhed via mobiltelefon
Tema: IT-erhverv
Kontaktperson: Michael Vester, mve@nykredit.dk, telefon 96 35 50 95
Modtaget tilskud fra DDN: 400.000 kr.
Organisation: Nykredit
Øvrige projektpartnere: Siemens og Aalborg Universitet
Projektperiode: marts 2001 – december 2002
Projektbeskrivelse
Liste over projektkonklusioner
 Printervenlig version |
