autentiseringsfiske

försök att komma åt inloggningsuppgifter för andra personer. – Autentiseringsfiske görs ofta med användning av förfalskade inloggningssidor till sidor eller tjänster som angriparen räknar med att offret använder. De förfalskade sidorna skickas med mejl som verkar legitima. Om offret försöker logga in på den förfalskade sidan kan angriparen registrera användarnamn och lösenord. Enklaste motmedlet är flerfaktorsautentisering eller andra system som gör att ett lösenord bara kan användas en gång. – Kallas också för lösenordsfiske. – På engelska: credential phishing. – Se också autentisering.

[inloggning] [nätfiske] [18 oktober 2021]

tidsbaserat engångslösenord

lösenord som genereras av en algoritm med den tidpunkt då beräkningen sker som en faktor. – Lösenordet blir då ett unikt engångslösenord. Det är bara giltigt en kort tid efter att det har genererats. Det krävs att båda parter har samma tid inställd och tillgång till samma program för generering av lösenord. Mottagarens program utför samma beräkning som avsändaren och jämför. Giltighetstiden för tidsbaserade engångslösenord brukar vara något mer än 30 sekunder. Vid kontrollen måste man nämligen lämna marginal för beräkningstiden och latensen, som ju kan variera. (Det är teoretiskt tänkbart att två olika tidsangivelser ger samma lösenord – se till exempel lådprincipen – men det är osannolikt.) – Internets tekniska ledningsgrupp IETF har fastställt en standard (RFC) för tidsbaserade engångslösenord, RFC 6238 (länk). – På engelska: time‑based one‑time password, TOTP.

[lösenord] [tid] [19 september 2021]

zero trust network access

(ZTNA) – nolltillit i nätverk – begränsning av tillgång till resurser i ett nätverk för användare som har loggat in. – Med ZTNA kan den som har loggat in bara se och komma åt program, tjänster och andra resurser som har valts ut på förhand av nätverksadministratören. Andra resurser är osynliga för användaren. Det är den inloggades identitet som avgör, eventuellt i kombination med andra faktorer som klockslag, veckodag och anropande nätverk. Man utgår från möjligheten att de som loggar in kan vara bedragare som på något sätt har kommit över legitima användares användarnamn och lösenord, eventuellt också möjlighet till flerfaktorsautentisering. Därför döljer man allt som den inloggade användaren inte behöver för sitt arbete. – ZTNA hanteras av en så kallad trust broker – tillitsmäklare.

[nätverk] [åtkomst] [14 september 2021]

Customer identity access management

(CIAM) – kundidentitetshantering [och åtkomstkontroll] – system för registrering av kunder och hantering av deras access till företagets webbsidor. – Vanligtvis registrerar kunderna sig själva och väljer användarnamn samt väljer eller tilldelas lösenord. Systemet för kundidentitetshantering hanterar sedan dels kundens access till sitt konto hos företaget, dels företagets access till kundens konto. Kontot innehåller information om kundens köp och annat, som betalningsinformation och underlag för profilering.  – Kallas också för customer IAM. – Se också IAM.

[e-handel] [identifiering] [17 augusti 2021]

identititetssäkring

säkerställande av att en person som loggar in på en tjänst verkligen är den som den utger sig för att vara. – Identitetssäkring går djupare än autentisering:

  • – dels omfattar identitetssäkring kontroll av att en person som tilldelas användarnamn, lösenord och eventuellt annat, till exempel e‑legitimation, verkligen är rätt person;
  • – dels omfattar det kontroll av att den som loggar in med användande av användarnamn, lösenord och eventuellt annat verkligen är rätt person. Inloggningsuppgifterna kan ju ha stulits eller lånats ut av den rätta innehavaren till en anhörig eller arbetskamrat.

– Man talar om uppgiven identitet (claimed identity) och faktisk identitet (actual identity). De ska vara samma. – Identitetssäkring (eller id‑säkring) görs av organisationer som tillhandahåller information och tjänster till anställda eller andra godkända användare som har tilldelats konto. Om det gäller privatpersoners skydd av sina identitetsuppgifter talar man om identitetsskydd eller id‑skydd. – Läs också om identitetsstöld. – På engelska: identity proofing.

[identifiering] [14 augusti 2021]