Criipto er nå Idura. Les hvorfor her →

Problemet med phishing og sikkerhet: Hvorfor mer maskinvare ikke er løsningen

Av Niels Flensted-Jensen den 19. februar 2025

3 min lesetid

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Problemet med phishing og sikkerhet: Hvorfor mer maskinvare ikke er løsningen</span>

Cyberkriminalitet er i ferd med å bli verdens tredje største økonomi etter USA og Kina. Phishing-angrep er blant de mest alvorlige truslene mot cyberkriminalitet, og rammer både enkeltpersoner og organisasjoner.

Selv med avansert maskinvare klarer ikke eksisterende systemer å holde tritt med den stadig nye taktikken til nettkriminelle. Dette indikerer at vi må endre vårt perspektiv på cybersikkerhet.

I denne artikkelen ser vi nærmere på begrensningene ved maskinvarebaserte tilnærminger, og tar til orde for en mer brukersentrert og motstandsdyktig strategi. Dette innebærer blant annet bruk av passkoder for å forbedre sikkerheten, prioritering av brukervennlig design for å legge til rette for bredere bruk og bedre grensesnittutvikling.

Tre utfordringer med dagens sikkerhetsimplementering

Utfordring 1: Backend-fokus

I mange år har vi hovedsakelig fokusert på å bygge opp maskinvaresiden av sikkerheten. En standard for sikre maskinvaremoduler er FIPS 140-2 nivå 3 eller høyere, noe som innebærer en høy grad av sabotasjemotstand.

Vi har nådd et punkt der ytterligere oppgradering av maskinvaren ikke vil føre til en merkbar økning i sikkerheten. Likevel kan det føles tilfredsstillende og lettere å kommunisere at man investerer i maskinvare og et imponerende fysisk sikkerhetsoppsett enn for eksempel endringer i brukeropplevelsen.

Går vi i den fellen at vi fokuserer på problemer vi vet hvordan vi skal løse, i stedet for å ta tak i mer komplekse og mindre forståtte utfordringer?

Sikker maskinvare er viktig, men ikke tilstrekkelig i seg selv.

Utfordring 2: Phishing er alltid mulig

De fleste av dagens brukerautentiseringsløsninger er sårbare for phishing-angrep. Dette gjelder blant annet nasjonale eID-systemer som brukes til hverdagslige oppgaver som å bekrefte nettbetalinger. Selv om eID-systemene har solid teknologi, er de avhengige av brukerinndata, noe som gjør dem lett å utnytte.

(Vil du vite hvordan det fungerer? Les "Hvordan fungerer identitetstyveri").

Viktige problemer er blant annet:

  • Ingen løsning er 100 % idiotsikker. Motiverte angripere kan ofte finne måter å omgå selv de mest avanserte forsvarsverkene på.
  • Den store avhengigheten av teknologi og den enkle bruken av eID-er skaper en falsk følelse av sikkerhet, noe som kan gjøre folk mindre årvåkne og øke sjansen for vellykkede angrep.
  • Mange løsninger fokuserer på å blokkere kjente trusler, men klarer ikke å håndtere nye phishing- og sosial manipuleringsteknikker.

Utfordring 3: Forståelighet

Dagens systemer overser ofte hvordan brukerne samhandler med dem.

Applikasjoner, plattformer og autentiseringsflyt er ofte utformet på en måte som forutsetter teknisk kunnskap som mange rett og slett ikke har.

Ta for eksempel innlogging med MitID:

Image showing the URL dialog for login with MitID

 En teknisk kyndig bruker vil kanskje legge merke til den falske URL-en og ikke falle for en phishing-svindel, men denne ferdigheten er langt fra universell. Mange brukere mangler opplæring og erfaring til å gjenkjenne falske lenker eller nettsteder.

God design kan bygge bro over dette gapet.

I tillegg har vi allerede verktøy som gjør autentiseringen tryggere og mer brukervennlig.

Muligheter for å forbedre sikkerheten

Passkoder og bedre designprosesser kan i stor grad forbedre sikkerheten for alle brukere.

1. Passkoder eliminerer "noe-du-vet"-faktoren

Passkeys revolusjonerte autentiseringen ved å erstatte passord med et sikrere alternativ.

De bruker asymmetrisk kryptografi, der den ene delen av den kryptografiske nøkkelen lagres på brukerens enhet og den andre delen på serveren. Passkodemetoden har flere fordeler:

  • Passnøkler er knyttet til riktig domene og kan ikke brukes på falske nettsteder.
  • Passordene er motstandsdyktige mot brute-force-angrep, siden de ikke baserer seg på passord som er lette å gjette eller gjenbruke.
  • Brukerne trenger ikke å huske passord eller administrere flere kontoer.

2. Passkoder muliggjør smidig autentisering på tvers av enheter

Passkoder er svært enkle å bruke på en enkelt enhet, for eksempel en mobiltelefon. Og når du logger på en annen enhet, for eksempel en datamaskin, kan du bruke passordet som er lagret på den primære enheten. Slik fungerer det:

  1. For å logge på deler en bruker en passnøkkel fra telefonen sin med en datamaskin i nærheten.
  2. Bluetooth sørger for at enhetene er fysisk nær hverandre. Kommunikasjonen mellom dem er kryptert på applikasjonsnivå og er ikke avhengig av Bluetooth-sikkerhet.
  3. Telefonen sender den krypterte passordet til datamaskinen, som validerer det for å fullføre påloggingen.

Denne prosessen forhindrer at autentiseringsdata gjenbrukes eller omdirigeres, noe som reduserer risikoen for phishing og forbedrer brukeropplevelsen.

3. Iterativ design kan optimalisere brukervennligheten

Vi må ta hensyn til tilbakemeldinger fra brukerne og gjøre kontinuerlige forbedringer for å skape mer intuitive og brukervennlige produkter. Dette fremmer adopsjon, ettersom folk naturlig nok tiltrekkes av produkter som fungerer sømløst.

Uten brukertilpasning kommer selv de beste beskyttelsestiltakene til kort.

Beskytter vi de riktige tingene?

Are we protecting the right things_

Som ingeniører må vi innse at det menneskelige elementet i cybersikkerhet er like sårbart som den tekniske siden. Det er ikke nok å fokusere utelukkende på maskinvare: Brukervennlighet er nøkkelen til utbredt bruk og robust sikkerhet.

For å oppnå det høyeste sikkerhetsnivået må vi gjøre systemene tilgjengelige for alle brukere, ikke bare de med teknisk ekspertise.
Table of contents