SMS på väg bort som säker inloggningsmetod

Blogg

Man-with-computer-and-phone_Freja

Att logga in med hjälp av engångskoder via SMS har varit ett populärt alternativ för företag, myndigheter och banker som vill höja säkerheten från inloggning med fasta lösenord. Men nu kommer internationella regleringar på flera fronter som gör att tvåfaktorsautentisering (2FA) med SMS sannolikt inte kommer att vara ett alternativ i framtiden.

2FA är en metod för att göra inloggningen till onlinetjänster säkrare genom att användaren behöver fler än en faktor för att logga in. Exempel på extra faktorer kan vara en bankdosa, en engångskod via en mobil eller ett SMS med en engångskod. Men nya rekommendationer, såväl från amerikanska National Institute of Standards and Technology och EU-myndigheten European Banking Authority påtalar bristerna i lösningar baserade på SMS-inloggning och gör att de sannolikt inte kommer att kunna användas i samma utsträckning som hittills.

National Institute of Standards and Technology (NIST), som utvecklar global standard och riktlinjer för IT, lutar åt att inte längre rekommendera engångskoder via SMS som en tillförlitlig autenticering. Rekommendationen avser amerikanska förhållanden, men kommer på sikt att påverka alla internationella företag och organisationer som har samarbete och utbyte med amerikanska företag och myndigheter.

Även i Europa finns nya riktlinjer som sedan augusti 2015 gäller för de flesta europeiska banker. Enligt riktlinjerna, framtagna av European Banking Authority (EBA) bör engångslösenord via SMS, email och lösenord lagrade i mobilen undvikas. Istället rekommenderas mobillösningar där lösenord lagras på server samt förses med app-skydd och krypterad data. Andra rekommenderade lösningar är de traditionella dosorna och kortläsare.

I Europa använder flera storbanker, företag och myndigheter fortfarande engångskoder via SMS för inloggning.

SMS anses vara en svag autenticering som inte håller den höga standard som krävs för digital autentisering, slår både NIST och EBA fast. En annan brist i ett SMS-baserat inloggningssystem är att det tillkommer en operatörskostnad för SMS, något som kan bli en betydande kostnad vid stora användargrupper. Lösningar som bygger på separata dosor eller på kort och kortläsare är visserligen säkra, men innebär höga kostnader och en extra enhet för användaren att hålla reda på.

Med tanke på hur central den digitala identiteten har blivit i utformningen av våra digitala liv är det ingen överraskning att säkerhetskraven höjts. Mobiltelefonen kommer att spela en central roll och sannolikt vara den enhet vi använder för att identifiera oss i den digitala världen. Att ha en digital identitet i mobilen kan vara lika enkelt som en SMS-lösning för användaren, men betydligt säkrare och utan höga operatörsavgifter.

En säker och användarvänlig digital identitet är kärnan i den digitala omvandling som banker, myndigheter och företag nu genomgår. När internationella regleringar sätter SMS-autentisering ur spel banar instutitioner som NIST och EBA vägen för nästa generations digitala identiteter på mobilen. Så även om SMS som innehåller lösenord är på väg ut är mobilen med all säkerhet här för att stanna.