Automatisk English

Authentikering i generationer

Authentikering i digital sammenhæng startede i 1961 da passwords blev opfundet på MIT. Siden da har authentikering gennemgået et antal generationer.

Generation 0: Brugeren indtaster brugernavn og password på computeren. Computeren tjekker passwordet.

Simpelt og enkelt. Når det gøres rigtigt har computeren saltede hashes som den tjekker passwordet op imod. Denne slags authentikation er ældre end netværk. Dengang var computeren en mainframe eller en stand-alone computer. I det scenarie er generation 0 helt tilstrækkelig.

Generation 1: Brugeren indtaster brugernavn og password over netværket til fjernsystemet. Fjernsystemet tjekker passwordet.

Dette er en en fortsættelse af generation 0 med netværk tilføjet. Da det er frygtelig utilstrækkeligt hvis man bare kører generation 0 over netværket, rettede man det op med nogle hjælpe-teknikker, såsom challenge response og krypterede kommunikationskanaler. Når det gøres rigtigt, kan generation 1 være ret god, men den har et problem med skalering. En bruger som anvender mange systemer skal enten huske mange passwords, hvad der ikke er godt, eller skal genbruge passwords, hvad der er virkelig skidt. Password managers blev opfundet for at afhjælpe det, men de er lappeløsninger med deres egne indbyggede problemer.

Generation 2: Brugeren indtaster brugernavn og password over netværket til IDPen, som så giver brugeren en ID token. Brugeren sender denne ID token over netværket til fjernsystemet. Fjernsystemet tjekker ID token.

Denne slags authentikering blev til for adressere manglerne ved generation 1. ID tokens er kryptografisk stærke beviser for authentikeringen. Brugeren har kun ét password. Så skalering er rigtig god. Problemerne med generation 2 er afhængigheden af IDPen. Den bliver hurtigt et single-point, som forstærker problemer med angreb, performance, fejl og så videre.

Generation 3: Brugeren indtaster password til sin device, som låser authenticatoren op. Authenticatoren authentikerer så over netværket til fjernsystemet. Fjernsystemet tjekker i den distribuerede ledger at brugeren er registreret med den authenticator.

Det er en ny måde at gribe det an på. Den ligger indenfor det paradigme der hedder Self-Sovereign Identity (SSI). Nogle dele af generation 3 er veletablerede, nogle er mere eller mindre ved at blive bygget. Denne generation giver lovning på en fin brugeroplevelse, en decentraliseret robust infrastruktur, og ikke mindst en meget høj sikkerhed.

generationer

Det er ret spændende at følge tilblivelsen af generation 3 i disse år. Det vil tage noget i stil med ti år før den er helt moden, men næppe mere end tre år før den er i udbredt brug. Jeg ser to drivkrafter bag dette.

1: Nationalt og overnationalt pres for SSI løsninger.

I sommeren 2021 begyndte Den Europæiske Union forarbejdet til eIDAS 2.0. Muligvis på grund af oplevelserne med COVID-19. Det blev til en revision der skal transformere eIDAS til en fuld SSI løsning.

Milepæle:
• godkendt i Europa Parlamentet februar 2024,
• første test service lanceret juli 2024,
• tekniske krav publiceret november 2024.
Fremtidige mål:
• fuld implementation af EU medlemslandene september 2026,
• 80% af EU borgere og virksomheder aktive brugere i 2030.

Som en overraskelse for de fleste, lancerede Kina deres løsning i december 2023. Den hedder China RealDID. Rapportering om den er tynd, men det virker til at brugen er vokset lige siden lanceringen.

2: Vi har nået et teknologisk vendepunkt.

Det ser ud til at klassiske bank services og cryptocurrency ved et tilfælde, på hver sin måde har drevet udviklingen til et punkt hvor SSI løsninger nu er mulige i den virkelige verden.

Klassiske bank services gennem kravene til at kunne lave betalinger med sin private enhed. Det har givet os authenticators i praktisk taget alle enheder der findes idag.

Cryptocurrency ved at udvikle og modne ledger teknologi, og iøvrigt ved at drive meget af den avancerede anvendte kryptografi.

Endelig er generation 3 bare en forbedring på så mange parametre. Sikkerhed, fleksibilitet, brugeroplevelse... Den er dømt til at tage over, på den ene eller anden måde.

Når det er sagt, er det ikke alle der ønsker ændringen. Den bliver modarbejdet. Det er værd at nævne at nogle store IT virksomheder vil tabe indtægter og indflydelse når SSI tager over. Så der er stærke kræfter blandt dem der stritter imod. Men jeg mener altså at de højest kan forsinke processen.

Ændringen ser ud til at ville blive taget i mange små skridt. Da meget af det arbejde der gøres indenfor området, går ud på at kombinere teknologierne fra generation 2 og 3 i forskellige hybride overgangsløsninger.

Ser man fremad, vil skiftet sandsynligvis ligne dette.

kerneteknologiernes relevans over tid

Relateret:
Black bokse til sikkerhed

Made by a human Licenser RSS feed