Dét var en kul dings!

For noen år siden trodde mange at vi i framtida kom til å bruke smart-chips koblet til PCen når vi skulle signere dokumenter og betale regninger på nett. Identiteten din, i form av et digitalt sertifikat, på en liten chip du fikk tilgang til fra PC-en din.

Det “alle” var sikre på ville være den største utfordringen – nemlig å etablere rutiner, aktører og distribusjon rundt elektronisk ID – er idag langt på vei løst når Bank-ID nå er tatt i bruk av de fleste bankene. Likevel må vi fortsatt fram med kodekalkulatoren fra 90- tallet, skrapelodd med engangskoder eller SMS når vi skal betale regninger i nettbanken. Hvorfor?

Det store problemet med smartkortlesere er at kundene til en gjennomsnittlig bank bruker forskjellige operativsystemer og nettlesere, og forskjellige versjoner av dem. Den eneste aktøren jeg vet om tilbyr autentisering med Smartkortleser på PCen i Norge er Buypass, og deres løsning fungerer bare i Windows, bare med Internet Explorer. Buypass kan muligens velge å ikke ha noe å tilby de resterende 20 prosent av sine potensielle kundene sine, dette er nok langt vanskeligere for DnB NOR.

Når ingen i 2009 har levert en robust, kryssplattform smartkort-teknologi, tror jeg vi kan regne med at det ikke er smartkort vi kommer til å bruke for slike tjenestene noen gang de neste ti årene.

Svenske Yubico, derimot, har laget en dings som skal fungere på alle PCer (eller Mac eller netbook eller hva det nå skulle være) som lar deg plugge inn et USB-tastatur. Den lille dingsen deres hekter du fast i nøkkelknippet (noe ingen av disse skrapelodd/kodekalkulatorene kan), plugger den inn i USB-pluggen på PC-en din og trykker på når du trenger et passord.

Ettersom Yubikey er et tastatur skriver det – akkurat som et tastatur – ut en serie tegn når man trykker på den. Vanligvis klikker man seg inn i innloggingsfeltet på en nettside og trykker så på Yubikey-en sin. Den skriver da ut 20-30 tegn som inneholder en identifikasjon av deg (strengt tatt seg selv) pluss et engangspassord. Serveren som ønsker å autentisere deg sender dette inn til Yubicos servere, som forteller bekrefter at koden faktisk stammer fra Yubikey-en. Som kodekalkulatoren til nettbankene er engangspassordet bare gyldig en liten stund.

Dette i seg selv betyr jo at dersom noen stjeler Yubicoen din kan de logge seg inn på tjenester som bruker Yubico. Dersom man ønsker seg et ekstra nivå av sikkerhet legger man på et ekstra passord som du må taste inn, for å sikre seg mot dette.

Yubico har et API med kodeeksempler i de fleste relevante språk (Ruby inkludert) og SDKet deres er open source. Hver Yubikey koster fra 25 dollar og nedover (10 dollar hvis du kjøper mer enn 5.000).

Hvem var det som sa at man ikke kunne kombinere sikkerhet og brukervennlighet?