Inledning

Du står i kön på Posten för att hämta ut ett rekommenderat brev.

I handen har du avin. Men det räcker inte. Personalen måste veta att du verkligen är den person som står som mottagare. När det blir din tur lämnar du därför fram ditt körkort tillsammans med avin.

Samma körkort använder du sedan också på banken och System­bolaget. Vem som än vill veta vem du är eller din ålder kan titta på ditt körkort och få ett pålitligt svar på sin fråga. Ska du resa utom­lands tar du med ditt pass, det gäller vilket land du än ska besöka.

Ofta innehåller en identitetskontroll två olika delar. Den första handlar om att säkerställa vem någon är. Den andra om att avgöra vilka rättigheter personen i fråga har. En person över 20 år får handla på Systembolaget, till exempel.

Men det som kallas för identifiering – eller autentisering – och behörighetskontroll – auktorisation – är egentligen två olika delar. Ibland är identiteten det viktiga, ibland behörigheten. Och ibland en kombination, eftersom behörighet många gånger är knuten till identitet. Men långt ifrån alltid. På Systembolaget bryr de sig till exempel inte om vem du är, bara din ålder.

I den fysiska världen ställer frågor om identitet sällan till några större problem. Det finns ett antal godkända sätt att be­visa vem man är, sin ålder eller sin nationalitet. Och de fungerar lika bra i Sverige som utomlands. De kan användas för att identifiera någon, men också för att i vissa sammanhang, då ålder eller nationalitet är avgörande faktorer, fatta beslut om behörighet. Ett exempel är id-kort utfärdade av företag, som dels identifierar de anställda men också innehåller information om vilka delar av lokalerna som personen får besöka.

På nätet är det annorlunda. I den digitala världen saknas en universell legitimation.

Antalet inloggningsuppgifter som var och en av oss har att hantera växer ständigt, även om vissa konton har fått en mer central roll än andra. Genom att vara Facebook-, Twitter- , Microsoft- eller Googleanvändare går det idag ofta att börja utnyttja en ny tjänst utan att först skapa ett nytt konto. I stället återanvänder vi de konton vi har hos de fyra tjänsterna.

Men oavsett var kontot finns skyddas det nästan alltid av ett lösenord som du skapat själv. Ibland har du fått användaruppgifter skickade till dig från företaget som driver tjänsten och fått hämta ut dem på Posten först efter att du legiti­merat dig. Och på några ställen kan du använda en e-legitimation som är kopplad till dig som individ på samma sätt som ditt kör­kort.

Förklaringen till att det inte finns något universellt internet-id hittar man i nätets barndom. När de första webbplatserna bygg­des var innehållet statisk information. Först inte mer än text som besökarna läste, senare också bilder att titta på. Jämfört med en bok eller en tidning var den enda skillnaden att papperet var utbytt mot en skärm. Förutsättningarna för den interaktion som vi idag tar för given på nätet, där användarna är med och skapar innehåll eller kommunicerar med varandra, saknades och därmed fanns inte hel­ler något behov av att veta vilka personer som besökte en webbsida.

I en skämtteckning från 1993 slår Peter Steiner kort och gott fast att ”på internet är det ingen som vet att du är en hund”.1 Samma teckning skulle kunna publiceras idag.

Trots att nätet, med Facebook och andra sociala nätverk, har blivit en plats där vi dagligen kommunicerar med släkt och vänner, kan vem som helst ta sig rollen som vem som helst.

Möjligheten att vara anonym på nätet – eller att ta sig rollen som vem som helst – är och har alltid varit stor.

Ur integritetssynpunkt är det viktigt att det är så nätet fungerar. Det är viktigt att de som besöker en webbplats tillåts vara anonyma och att mycket av det de gör online inte går att koppla till dem som individer.2 Men det finns också många tillfällen när kopplingen till individen är viktig och måste gå att göra på ett pålitligt sätt. Behovet av identifiering växer dessutom i takt med att vi vill utföra allt fler ärenden och aktiviteter på nätet där den kopplingen verkligen behövs, antingen till oss som individer eller till de roller vi har i yrkeslivet eller privat.

Det kan vara privatpersoner som vill vara säkra på att de kommunicerar med rätt person. Det kan vara en medborgare som lämnar uppgifter till en myndighet. Det kan vara ett företag som bara vill släppa in betalande kunder till sin nättjänst. Det kan vara en bank som vill vara säker på att det är rätt person som vill sälja eller köpa aktier, samtidigt som kunden vill vara säker på att det är bankens webbplats som visas i webbläsaren och inte en phishing-sajt. Ett förlag som ger ut läromedel som vill vara säkra på att användaren verkligen är elev på en skola som är kund. Eller så handlar det om ett administrativt verktyg i sjukvården där behörigheten som läkare måste säkerställas. Allt oftare finns det skäl att verifiera parterna som deltar i kommunikationen på nätet.

Skolfederation och Sambi är två lösningar, två så kallade federationer som tar sig an inloggningar inom svenskt skolväsende respektive sjukvård.

För att den här behörighetskontrollen ska fungera krävs två saker. För det första måste man vara säker på att användaruppgifterna har delats ut till rätt person. Redan här brister de flesta webbtjänster på nätet, där användarna själva skapar sina konton. För det andra måste man använda teknik som gör det sannolikt att det är rätt person som försöker logga in. Också här brister kombinationen användarnamn och lösenord, eftersom det är uppgifter som lätt kan hamna på avvägar.

Den viktiga tredje parten

I den fysiska världen är frågan Vem är du? ofta trivial och väldigt enkel att svara på. Men vad svaret blir är helt beroende på samman­hang.

På ett bröllop räcker ”brudens kusin” och möjligen en bekräftande nick från en gemensam bekant. Den som frågat har ingen anledning att misstro påståendet. På en konferens är svaret ”säljare på Göteborgs­kontoret” med ett överlämnat visitkort bra nog.

På banken, däremot, duger inget mindre än ett körkort eller en annan giltig identitetshandling med motsvarande status. Utan det kan du inte ta ut några pengar.

Det här är tre exempel som går att sammanfatta på ett generellt sätt: Den tillfrågade svarar med ett påstående om vem han eller hon är och lämnar samtidigt någon form av bekräftelse på att det stämmer. Ju viktigare sammanhang, desto större krav ställs på att bekräftelsen går att verifiera som korrekt och riktig. Och nästan varje gång sker det genom att en betrodd tredje part står som garant för att påståendet stämmer, som i exemplen med visitkort och körkort.

På nätet har de webbplatser som behöver identifiera sina användare tvingats bygga upp sina egna databaser med namn och lösenord, eftersom en teknisk lösning som låter en pålitlig tredje part vara en del i kommunikationen har saknats. Det är förklaringen till att nätets användare idag brottas med långa listor med lösenord. Lösenord som dessutom är en kompromiss mellan att vara användarvänliga (möjliga att komma ihåg, alltså) och tillräckligt säkra (svåra att gissa eller knäcka).

Försöken att hitta lösningar på det här problemet har pågått länge. Redan på tidigt 2000-tal talades det om teknik som skulle ge användarna ett enda lösenord till allt de sysslar med på nätet. Men då handlade det bara om den enkla biten, att underlätta för användarna. Kopplingen till den fysiska världen saknades i de visionerna. Och trots det – utvecklingen går inte alltid med det rasande tempo som ofta påstås vara typisk för nätet.

Under det senaste decenniet har listan med inloggningsuppgifter som en vanlig nätanvändare måste hålla koll på knappast krympt och något enda lösenord som fungerar på alla webbplatser finns inte i sikte.

En delad identitet

Det är inte heller säkert att en sådan lösning längre är önskvärd.

För precis som i den fysiska världen finns det behov av att kunna identi­fiera sig på olika sätt i olika situationer.

Stora delar av ditt liv finns idag på nätet. Du kommunicerar med dina vänner, du handlar, du deklarerar. Att separera de aktiviteterna i ett par olika elektroniska identiteter känns bättre än att samla dem i en enda, inte minst ur ett integritetsperspektiv. Åt det hållet tar nu utvecklingen stora kliv.

På konsumentsidan, för de tjänster där behovet av att kunna knyta användare till en fysisk person inte finns, är Facebook Connect som lanserades redan 2008 ett exempel. Tekniken har utvecklats sedan dess, men grundfunktionen är densamma: En användares identitet på Facebook fungerar på många andra tjänster över hela nätet. Ibland handlar det bara om att underlätta inloggningen, i andra fall om att även ”flytta med” användarnas sociala nätverk till nya tjänster.

Men Facebook, Google, Microsoft, Twitter och andra som har inloggningslösningar som andra tjänsteutvecklare kan dra nytta av löser bara det första problemet, att göra livet enklare för användarna. Det är lösningar som är perfekta för spel, fotosajter och diskussionsforum. Webbplatser där det inte spelar särskilt stor roll om du verkligen är den du utger dig för att vara.

Att det saknas en reell koppling mellan användarkontot på nätet och en person i den fysiska världen är ett problem i andra samman­hang. Det handlar bland annat om kontakter med myndigheter och affärs­uppgörelser av olika slag. Trots att fyra miljoner svenskar har ett konto på Facebook ska vi inte förvänta oss att Skatteverket kommer att börja använda Facebook som inloggningsalternativ för dem som vill lämna in sin deklaration elektroniskt. Däremot har flera av de stora sociala nätverken infört en markering för det som kallas ”verifierade användare”. En vit bock på blå bakgrund visar att Facebook eller Twitter kontrollerat vem som står bakom ett visst konto.

I Sverige har lösningen på det andra problemet, när en digital identitet ska knytas till en fysisk person, varit de e-legitimationer som bland annat utfärdas av bankerna. Men de dras med flera brister, bland annat att de inte fungerar med alla tekniska plattformar (delvis adresserat av mobilt BankID) och att de vilar tungt på våra personnummer, vilket är ett potentiellt integritetsproblem. Ska du köpa skor i en nätbutik finns det inget skäl att skicka ditt personnummer till butiken.

Därför har ett initiativ tagits till införandet av en ny nationell e-legitimation och som en del i det arbetet inrättades myndigheten E-legitimationsnämnden 2011. Ambitionen är att på sikt införa ett helt nytt system för e-legitimationer i Sverige, där dagens brister ska åtgärdas. Tanken är att bygga på öppna standarder, och att göra det på ett sätt så att både offentliga verksamheter och privat näringsliv kan dra nytta av möjligheterna som en pålitlig identifiering möjliggör. Men arbetet har gått långsammare än förväntat. Våren 2016 fattades därför beslut om en omstart, samtidigt som en övergångslösning där de befintliga e-legitimationerna används sjösattes.

Olika behov, olika lösningar

Den absolut största delen av den här Internetguiden handlar om identitetsfederationer. Det är lösningar som hanterar både autentisering och behörighetskontroll. Men federationer är inte lösningen på alla identitetskontroller som behöver göras på nätet. Och det är inte heller en ersättare till lösningar som exempelvis BankID. Den stora flora av tjänster som finns på internet har som konsekvens att det också finns ett utrymme för många olika mekanismer för identitetshantering.

I den ena änden av skalan har vi enkla tjänster där individuella användarkonton exempelvis behövs för att hålla koll på hur långt användarna har kommit i ett nätbaserat spel. I en sådan tillämpning spelar det inte någon roll vilken individ som egentligen står bakom ett användarkonto. Därför räcker det gott med ett vanligt användarnamn och lösenord som sparas i en databas som spelföretaget själv hanterar.

I den andra änden av skalan finns tjänster där det dels är viktigt att säkerställa en faktisk identitet på användarna, men också att hantera vilka delar av tjänsten som olika personer ska få utnyttja. Hit hör exempelvis ett betygssystem för skolan, där en lärare ska kunna sätta betyg medan enskilda elever bara kan se sina egna. Här räcker det alltså inte att kontrollera vem någon är, utan också i vilken roll personen i fråga agerar. Är man lärare ska man kunna sätta betyg för sina egna klasser, inga andra.

I en sådan tillämpning är en federation ett utmärkt alternativ. Skolor runt om i landet har databaser med användaruppgifter, som dessutom innehåller information om deras olika roller. Denna information kan tjänsteleverantörer som vänder sig till skolsektorn utnyttja.

Men också i en tillämpning av det senare slaget behövs mer än bara användarnamn och lösenord, eftersom vi givetvis vill försäkra oss om att en elev inte lyckas gissa sin lärares lösenord och sätter högsta betyg på sig själv.

Ett begrepp som vi återkommer till är ”tillitsnivå”. Det är ett sätt att beskriva hur säkra vi är på att en person som utger sig för att vara någon verkligen också är denna individ. Ett användarnamn och lösenord man skapar själv har låg tillitsnivå, ett BankID man får efter en legitimationskontroll på sitt bankkontor har hög tillitsnivå.

Detta innebär att federationer även behöver tekniska lösningar som tillåter identifiering med en tillitsnivå som passar tjänstens behov.

När du läser resten av guiden, kom alltså ihåg att det inte finns ett motsatsförhållande mellan dagens lösningar och de federationer som diskuteras här. Ibland är en federation byggd på hög tillitsnivå det som behövs, ibland räcker det med ett enkelt lösenord som skyddar ett konto som användaren själv skapat, utan någon id-kontroll över huvud taget.

Olika behov, olika lösningar.