tillitsnivå

(level of assurance, LOA) – i tillitsramverk: värdering av hur tillförlitlig en organisations hantering av identiteter är. Målet är att man ska kunna veta vilken person som faktiskt sitter vid datorn vid inloggning på ett konto, och att det är en betrodd person med aktuell behörighet. Till­för­lit­lig­heten hänger på flera faktorer:

  • – vet organisationen som delar ut ett konto vem som faktiskt ska ha kontot? Exempel: vem som helst kan skaffa ett Gmail-konto utan att Google får veta vem kontohavaren faktiskt är. En Gmailadress är alltså värdelös för identifiering;
  • – kontrollerar organisationen att det är rätt person som använder kontot? Är det risk för att den rätta användaren lånar ut kontot till andra, läcker sitt lösenord eller slarvar på andra sätt?
  • – hur skyddad är identitetshanteringen mot dataintrång och skadeprogram, och hur ser organisationen till att alla uppgifter är aktuella?
  • – räcker det med lösenord för autentisering eller används tvåfaktorsautentise­ring eller biometrisk autentisering?

– Den internationella standarden (ISO/IEC 29115, länk) har definierat fyra nivåer som används av den svenska e‑legitimationsnämnden (numera del av myndigheten DIGG). De fyra nivåerna är:

  1. – ingen styrkt identitet. Personen styrker sig uppgivna identitet med till exempel ett e‑postkonto som hon själv har skaffat eller med sitt telefonnummer;
  2. – identiteten styrks med användarnamn och lösenord, engångslösenord eller liknande;
  3. – identiteten styrks med godkänd identitetshandling eller till exempel mobilt bank-id. Identitetshandlingen behöver inte ha lämnats ut vid personligt besök. Tvåfaktorsautentisering krävs;
  4. – identiteten styrks med godkänd identitetshandling eller med e‑legitimation som har lämnats ut till användaren vid personligt besök. Tvåfaktorsautentisering krävs.

– Läs mer på DIGG:s webbsidor och på Skolfederations webbsidor.

[identifiering] [ändrad 28 augusti 2020]