uttömmande attack

forcering av krypterat med­del­ande genom att man systematiskt prövar alla tänk­­bara nycklar. Även: försök att logga in på ett konto genom att pröva alla tänkbara tecken­kombina­tioner som lösen­­ord. – Uttömmande attack kallas också för: uttömmande prövning och uttömmande sökning; på engelska: brute force attack, exhaustive attack, ex­haustive search, ex­haustive key search. – Jämför med ord­liste­­attack.

[kryptering] [lösenord] [ändrad 4 oktober 2018]

flerfaktorsautentisering

autentisering (identitetskontroll) med krav på två av flera former av information som styrker uppgiven identitet. – Man kan till exempel ha lösenord, smartkort och biometrisk autentisering att välja mellan; två måste användas. Används enbart två former av information, som båda är obligatoriska, talar man också om tvåfaktorsautentisering. – Vanliga metoder för autentisering är stående lösen­­ord, engångslösen­ord, kort av olika slag, dosor, mobiltelefoner (som i Mobilt Bank‑ID) och bio­­metrisk identifiering. Man talar om något man har (besittningsfaktor), något man vet (kunskapsfaktor) och något man är (biometri, till exempel fingeravtryck). Flerfaktorsautentisering kallas också för stark autentisering eller multifaktorsautentisering. – På engelska: multi‑factor authentication.

[identifiering] [ändrad 3 februari 2022]

SPML

Services provisioning markup language – språk för beskrivning och hantering av in­formations­för­sörjning i företag och myndig­heter. SPML ska ge möj­lig­het att automatiskt ange vilka användare eller datorer som ska ha åt­komst till viss elektronisk information och att ändra och återkalla sådana rättig­heter. Detta ska kunna göras med ett enda SPML-med­delande, även om det gäller många informations­källor. SPML bygger på XML och lan­se­ra­des 2003. –SPML har utvecklats inom Oasis, läs mer här.

[förkortningar på S] [xml] [åtkomst] [ändrad 21 juni 2017]

autentisering

(authentication) – kontroll av äkthet:

  1. – identitets­­kontroll: kontroll (verifiering) av uppgiven identitet. – I enklaste formen sker autentisering genom att den som identifierar sig, förutom sitt namn, uppger ett personligt lösenord eller an­vänder ett igenkänningstecken (”token”) eller e‑legitimation. Autentisering över internet brukar också, men behöver inte, omfatta användning av så kallade elektroniska certifikat för att styrka att identiteten och identitetshandlingarna (kort, certifikat) är äkta och giltiga. – Se också tvåfaktorsautentisering, flerfaktorsautentisering och förnekbar autentisering. – Jämför med validering. – Språkligt: Det som i fackspråk kallas för autentisering kallas i vardagslag oftast för identifiering: man identifierar sig oftast genom att visa upp ett id‑kort. Men i fackspråket identifierar man sig genom att helt enkelt säga vem man är, och man autentiserar den uppgivna identite­ten genom att visa upp id‑kortet. När man loggar in identifierar man sig genom att ange sitt användarnamn och autentiserar med lösenord eller med e‑legitimation. – Se också identitetssäkring;
  2. meddelande­autenti­sering: kontroll av att innehållet i ett meddelande inte har ändrats på vägen från avsändare till mottagare. Detta kan göras med elektronisk signatur.– Se också man-i-mitten-attack.

– Ordet stavas ibland med c: autenticering

[identifiering] [ändrad 14 augusti 2021] .

pseudonymitet

(pseudonymity) – det att man uppträder under pseudonym. Detta till skillnad från anonymitet, vilket strikt talat innebär att man inte uppger något namn alls. Man kan använda uttrycket att vara pseudonym. Den som är pseudonym döljer sitt riktiga namn, men har ändå en identitet i ett forum eller annat sammanhang. Hon kan alltså göra många in­lägg som kopplas till samma avsändare. Pseudonymitet är också något annat än att uppträda under signatur – en signatur används inte för att dölja personens faktiska identitet. – Jämför med pseudo­ano­nymitet.

[dold identitet] [pseudonymer] [ändrad 16 augusti 2017]

engångslösenord

lösenord som används bara en gång. – Engångslösenord används när man loggar in på webbaserade tjänster med krav på hög säkerhet, till exempel bankers webbsidor. Eftersom lösenordet kan användas bara en gång är det oanvändbart för utomstå­ende som uppfångar det. – Problemet är hur användaren ska veta vilket lösenord hon ska använda när det ändras från gång till gång. En lösning är att engångslösenord räknas fram av en speciell dosa som användaren har och som är unik – den har ett lagrat värde som bara finns i just den dosan och hos den tjänst som har lämnat ut dosan. Webbsidan för inloggning visar ett slumpmässigt valt tal för användaren, som matar in det i dosan. Dosan utför sedan en matematisk operation på talet och visar resultatet, som användaren matar in på webbsidan. Webbtjänsten har tillgång till samma matematiska funktion och samma lagrade värde som dosan har och kan därför kontrollera att engångslösenordet är korrekt. – Det finns också metoder där avsändare och mottagare räknar ut lösenordet oberoende av varandra, till exempel med utgångspunkt från klockslaget – se tidsbaserade engångslösenord. – Det finns också engångslösenord där avsändare och mottagare har varsitt exemplar av en lista med lösenord (engångskrypto). Lösenorden används en efter en, och blir oanvändbara efter användning. Detta anses vara en osäker metod. – Engångslösenord används oftast tillsammans med ett stående lösenord eller andra former av autentisering. Det räknas då som flerfaktorsautentisering eller tvåfaktorsautenti­se­ring. – På engelska: one‑time password, förkortat OTP. Kallas också för one-time code, OTC – men ett lösenord är ingen kod, utan en nyckel. – Läs också om engångskrypto (one‑time pad, på svenska också blankettchiffer).

[lösenord] [ändrad 19 september 2021]

biljett

om federerad in­logg­ning: meddelande från en tjänst (A) till en annan (B) om att en användare är korrekt inloggad på (A). Användaren blir då insläppt på den andra tjänsten (B) utan att behöva ange lösen­ord. Med­delandet skickas av (A) på begäran av den andra tjänsten (B) när användaren vill logga in där, och har angett sitt användarnamn. Poängen med att använda en biljett i stället för att helt enkelt skicka över an­vändarens lösen­ord är att lösen­ordet då inte kan uppsnappas på vägen. Biljetten för­ändras för varje gång. – På engelska: ticket.

[inloggning] [ändrad 11 oktober 2018]

olaga identitetsanvändning

användning av en annan persons identitets­upp­gifter på ett sätt som medför skada eller olägen­het för den drabbade. – Detta är förbjudet i svensk lag sedan den 1 juli 2016. – Den statliga Egendomsskyddsutredningen före­slog 2013 att det skulle kriminaliseras (SOU 2013:85), se denna länk, där det kallas för identitetsintrång. Regeringen lade sedan fram ett förslag till Lagrådet (lagradet.se) i februari 2016, då med benämningen olaga identitetsanvändning. Förslaget röstades igenom i riksdagen och blev lag den 1 juli 2016, se denna länk, (kapitel 4, paragraf 6b). – Brottsliga handlingar som görs med stulen identitet var givetvis brottsliga redan tidigare, men nu är alltså identitetsintrånget som sådant också ett brott. Det kallas också för id‑stöld, id‑kapning, identitets­stöld och identitetskapning, på engelska: identity theft, identity fraud eller identity usurpation. Lagen gäller däremot inte när en person skaffar sig flera identiteter som inte är stulna, utan knutna till hennes egen fysiska person. – Förslaget i Egendomsskyddsutredningen blev kritiserat för att det bara tog upp bedrägerier, men inte när identitetsintrång används för nätmobb­ning, förföljel­ser och andra trakasserier. I regering­ens förslag till Lagrådet räknades därför olaga identitetsanvändning som en form av olaga förföljelse. – Myndigheten för samhällsskydd och beredskap (MSB) har ett test för risken att råka ut för id‑kapning på idkapning.msb.se. – Se också impostering och läs om Samverkan mot id‑intrång (SMID).

– Amerikanska Identity theft resource center (länk) skiljer mellan fem typer av identitetsstöld:

  1. Criminal identity theft – det att någon som grips för ett brott upp­ger någon annans identitet;
  2. – Financial identity theft – identitets­intrång i syfte att komma över pengar eller varor;
  3. – Identity cloning – det att man tar över någon annans identitet och lever som den personen i det dagliga livet;
  4. – Medical identity theft – användande av någon annans identitet för att få till­gång till sjuk­vård, läkemedel eller falska läkarintyg;
  5. – Child identity theft – an­vändande av ett barns identitetsuppgifter i bedrägligt syfte.

[identifiering] [it-relaterad brottslighet] [lagar] [personlig integritet] [ändrad 21 november 2018]

förlitande tjänst

tjänst eller nätverk som en användare har tillgång till utan att hon behöver logga in, förutsatt att hon redan är inloggad på en annan tjänst som samarbetar med den andra. – Den tjänst som användaren redan är inloggad på skickar ett intyg (en biljett) till den tjänst som hon önskar logga in på. Om biljetten är giltig loggas hon in utan att behöva ange användar­namn och lösenord eller annan form av autenti­se­ring. Observera att biljetten inte inne­håller lösenord eller annan informa­tion som används vid vanlig autentisering. På engelska: relying party, förkortat RP. – Se också gemensam inloggning, identitetsfederation, identitetsintygare och samordnad identitetshantering.

[lösenord] [ändrad 15 oktober 2018]