Snart sagt var du än är på webben så snubblar du över knappar som säger ”Logga in med [Google/Facebook/Twitter]” och ”Registrera dig med [Google/Facebook/Twitter]” (även på den här sajten). Men vad betyder det för dig?
Man pratar mer och mer om hur viktig identiteten är i olika sammanhang. Med ett ständigt växande användande av Single-Sign-On i allmänhet och SAML i synnerhet blir frågan intressant om vad det kan innebära i ett mer utzoomat perspektiv.
För dig som användare av online-tjänster är fenomenet helt fantastiskt. Det är trots allt troligt att du har ett konto på antingen Google eller Facebook (eller både och) vilket gör det extremt smidigt att klicka på Google- eller Facebook-knappen. För tjänsteinnehavaren (alltså den tjänst du är inne på) betyder det att man väljer att lita på ”identitetsutfärdaren” man tillåter användaren att använda sig av. Här behöver tjänsteinnehavaren fundera på syfte med sin tjänst och hur viktigt man tycker det är med verifierad identitet – om det en är viktigt.
Ta en bank som exempel. I många sammanhang måste du identifiera dig hos banken och det gör man med en ID-handling. Eftersom banken själv oftast har möjlighet att själv utfärda ID-handlingar, fysiska (ID-kort) såväl som elektroniska (BankID) blir det mycket viktigt att de vet att just du är den du utger dig för att vara. Det är upp till banken att bestämma vilka ID-handlingar man vill lita på, i Sverige litar man vanligtvis på körkort, nationellt ID-kort, pass samt andra SIS-märkta ID-kort.
I en utredning som lämnades till regeringen 2019 har det föreslagits att just körkortet ska slopas som godkänd ID-handling, framför allt eftersom det i dess nuvarande form och utfärdandeprocess inte anses tillräckligt säkert. I utredningen föreslås en statligt utfärdad IT-handling med elektronisk dito inbyggd, som har högsta grad av tillit och utfärdas av Polisen. Körkortet ska alltså bara vara en handling som visar din behörighet och inget annat, och det ger en fingervisning om hur viktigt det är med korrekt fastställd identitet.
https://www.regeringen.se/4961ec/contentassets/689f5a032b4f4abe92f7ce73efa1d410/ett-sakert-statligt-id-kort–med-e-legitimation-sou-2019-14.pdf
Men åter till online-tjänster och identiteten. Hur ska en elektronisk tjänst agera om man har behov av mer tillförlitlig identitet på en användare? Svaret är i Sverige BankID – som idag har konkurrens av t. ex Freja eID och AB Svenska Pass. De senare accepteras dock inte av bankerna (kanske inte så konstigt eftersom det är bankerna som står bakom BankID via sitt gemensamma företag Finansiell ID-Teknik) men väl av myndigheter. Det är inte så långsökt att om utredningens förslag blir verklighet kommer det att knytas tätt ihop med en statligt driven tjänst för e-legitimation, funktionellt ungefär så som BankID idag. Den intressanta frågan är hur det då kommer se ut med dagens övriga aktörer.
Det är alltså alltid online-tjänsten som har ansvar för att bedöma hur viktig identiteten är avseende riktighet. Är det inte särskilt viktigt att veta att du är du så duger Google och Facebook – i annat fall behöver man integrera mot BankID eller Freja eID.
Men frågan kvarstår hur detta val kan påverka dig som användare?
Det går knappt att svara på, men precis som i allt användande av elektroniska tjänster har du ett ganska så långtgående ansvar för vilken information du lämnar ifrån dig. Om du t. ex. klickar på ”Logga in med Facebook” så kommer online-tjänsten att be om ditt godkännande att komma åt information om dig. Här är det viktigt att du faktiskt granskar vad tjänsten vill hämta från t. ex. Facebook och vad du tillåter den att hämta. Vanligtvis behöver online-tjänsten få tillgång till ditt namn och din e-postadress. Vill online-tjänsten veta mer – var på din vakt och fundera på varför!
Om tjänsten vill veta ditt personnummer men inte använder e-legitimation så som BankID för inloggning eller verifiering är det bra att vara extra mycket på sin vakt. Det är trots allt inte ”vem som helst” som kan ansluta sig till exempelvis BankID för autentisering så det visar på visst mått av seriositet om man är ansluten. Om du ombeds skriva in ditt personnummer på en sajt som inte använder t. ex. BankID tyder det på att det är denne ”vem som helst” som står bakom.
Förhoppningen från min sida är att utredningens förslag förverkligas och Sverige kan ha ett statligt, tryggt, säkert och tillförlitligt system för hantering av medborgares identitet. Om antalet ID-handlingar, fysiska såväl som elektroniska, minskar kommer också med största sannolikhet identitetsbedrägerier att kunna minimeras. Det är bra för samhället, företagen, för dig och för mig.
Läs mer
>> Guide till e-legitimationer – https://www.elegitimation.se/
>> Regeringens pressmeddelande – https://www.regeringen.se/pressmeddelanden/2019/03/utredning-foreslar-nytt-statligt-id-kort-och-e-legitimation/