Bestu aðferðir

Tilgangur þessa skjals er að benda á nokkur lykilatriði sem mikilvægt er að hafa í huga við útfærslu og uppsetningu á notkun rafrænna skilríkja hjá þjónustuveitendum. Í skjalinu eru settar fram skilgreiningar á lykilhugtökum og bent á bestu aðferðir til að tryggja skynsamlega og örugga notkun rafrænna skilríkja í stafrænni þjónustu. Til skýringa eru sett fram dæmi og dæmisögur þar sem það á við.

Skilgreiningar hugtaka

Kennikóði notanda

Kennikóði notanda (e. user identity code) er notaður til að tengja notandann (þann sem ræsir beitingu skilríkja) við það ferli sem notað er í undirliggjandi kerfum Auðkennis til að sannvotta kennsl notandans eða undirrita.

  • Við notkun farsímaskilríkja er símanúmer viðeigandi farsíma notað sem kennikóði notanda til að tengja farsímann við ferlið.

  • Við notkun Auðkennisappsins er kennitala notandans notuð sem kennikóði notanda.

  • Rafræn skilríki á snjallkorti eru ekki tengd með kennikóða notanda þar sem þau eru tengd beint í tölvu notanda með kortalesara.

Gluggarnir

Margir gluggar koma upp við beitingu rafrænna skilríkja, bæði í vefkerfi þjónustuveitanda og í tæki notanda. Hér eru myndir sem skýra muninn á þeim gluggum sem birtast við innskráningu í vefkerfi þjónustuveitanda.

1. Innskráningar- og valgluggi þjónustuveitanda
Fyrsti gluggi til að skrá inn kennikóða notanda og, þar sem það á við, velja tegund skilríkja.

2. Öryggisgluggi þjónustuveitanda
Annar gluggi sýnir öryggistölu til að staðfesta að sama tala birtist í tæki notanda.

3. Upplýsingagluggi
Þriðji gluggi er SMS VIT/App gluggi á tæki notanda til að skrá inn PIN.

4. Öryggisgluggi í tæki notanda
SMS VIT/App gluggi á tæki notanda til að staðfesta að öryggistalan sé sú sama og birtist í öryggisglugga þjónustuveitanda.

5. Þjónustugluggi
Birtist þegar notandinn er kominn inn á síðu þjónustuveitenda.

Öryggistala

Öryggistala (e. verification code) er fjögurra stafa tala sem er birt í kerfi þjónustuveitandans og á tæki notanda til að staðfesta að um sömu auðkenningu sé að ræða.

Þegar notandi auðkennir sig getur hann borið saman öryggistöluna sem birtist í kerfi þjónustuveitandans við töluna sem birtist á tæki hans til að staðfesta að þær séu sama talan. Á þann hátt getur notandinn staðfest að uppruni beiðninnar um beitingu skilríkjanna í farsímanum komi frá honum sjálfum. Notandinn getur þá hætt við að beita skilríkjunum ef mismunandi tölur birtast í farsímanum og í kerfi þjónustuveitandans.

Öryggistalan er búin til með slembifalli í kerfi þjónustuveitanda til að koma í veg fyrir að illvilja aðilar geti á einhvern hátt giskað á töluna og komist þannig inn í samskiptin. Öryggistalan hjálpar notandanum að tryggja að hann sé að framkvæma rétta aðgerð og að það sé ekkert svik að eiga sér stað.

Leiðbeiningar um uppsetningu til að nota öryggistöluna eru í tækniskjölum Auðkennis fyrir þjónustuveitendur.

Innleiðing þjónustuveitenda
Fyrir innskráningar og undirritanir

Dæmisaga

Arnar ætlar að skrá sig inn á netbankann sinn hjá Bankanum í gegnum fartölvuna sína. Eftir að hann stimplar inn símanúmerið á farsímanum sínum, þá kemur upp kóðinn 7534 á skjánum. Næst kemur tilkynning á farsímann sem að biður hann um að auðkenna sig. Þegar Arnar aflæsir símanum sér hann eftirfarandi texta:

Rafræn innskráning í Ríkistofnun.is.
Öryggistalan þín er 1268

Arnar sér að þetta er ekki sama talan, eftir að hafa skoðað þetta aðeins betur sér hann að þessi auðkenning er til að skrá sig inn á Ríkisstofnunina, en ekki netbankann sinn. Þar með smellir hann á Cancel-hnappinn til að hætta við því hann treystir ekki að þetta sé sú innskráning sem hann valdi í upphafi.

Arnar reynir aftur og þá kemur upp innskráning á netbankann með réttan kóða.

Staðfesta innskráningu í Bankinn.
Öryggistala: 7534

Upplýsingagluggi við innskráningu

Upplýsingagluggi er sá gluggi sem birtist á símanum þínum og er notaður sem viðmót til innskráningar í snjalltækið þitt. Þetta innskráningarviðmót getur verið annaðhvort SMS VIT eða Auðkennisapp.

Nokkur atriði þurfa að vera skýr í upplýsingarglugga við innskráningu svo notandinn geti treyst því að það hann sé að framkvæma rétt aðgerð:


1. Þjónustuveitandi/Þjónusta
Þegar nafn fyrirtækis birtist í upplýsingaglugga við innskráningu þá eykur það traust notanda á því að hann sé að skrá sig inn í rétta þjónustu.

2. Aðgerð
Mikilvægt er að taka fram hvort að það sé verið að auðkenna sig inn á sjóðfélagavef, staðfesta millifærslu á reikning eða undirrita húsnæðislán. Það eykur traust og dregur úr líkum á svikum þegar notandinn sér að hann er að samþykkja rétta aðgerð.

3. Öryggistala
Eins og kemur fram í kaflanum hér á undan þá eykur öryggistalan traust á því að um sé að ræða sömu aðgerð og notandinn ræsti sjálfur.

Hérna eru nokkur dæmi um hvernig texti getur birst í upplýsingaglugga sem sýnir þjónustuveitenda, aðgerð og öryggistölu:

1.
Auðkenning á sjóðfélagavef Lífeyrissjóðs A.
Öryggistalan er 1234

2.
Staðfesta innskráningu á Ríkisstofnun A.
Öryggistala: 1234

3.
Fyrirtæki A, rafræn innskráning.
Öryggistalan þín er: 1234

4.
Innskráning í Netbanka Banka A,
1234

Dæmisaga

Brynja er að skrá sig inn hjá Lífeyrissjóð A til að undirrita samning fyrir húsnæðislán. Brynja fer á heimasíðuna og slær inn kennikóðan sinn sem er símanúmerið hennar til að byrja auðkenningarferlið.

Á símanum birtist þessi texti:

Auðkenning á sjóðfélagavef Lífeyrissjóðs A
Öryggistalan er 4321

Brynja skráir inn PIN-ið sitt og kemst inn á sjóðfélagavef hjá Lífeyrissjóð A og finnur samningin sem hún á að undirrita. Brynja les yfir samninginn og smellir á „Undirrita með rafrænum skilríkum á farsíma“. Hún skráir inn kennikóðann sinn aftur og þá birtist nýr upplýsingagluggi:

Klára aðgerð

Brynja sér ekkert sem staðfestir að þessi aðgerð tengist þjónustuveitandanum, né þeirri tegund aðgerðar sem að hún var að hefja. Brynja er því ekki viss um að þetta sé rétt aðgerð og ákveður að hætta við hana og óska eftir því að fá að undirrita samninginn á pappír hjá Lífeyrissjóð A.

Upplýsingar um IP-tölu tækis

Búnaður sem tengist við Internetið hefur IP-tölu og í flestum tilvikum er hægt að sækja IP-tölur þess tækis sem Auðkennisappið keyrir á.

Þá getur þjónustuveitandinn borið IP töluna frá Auðkennisappinu saman við IP töluna sem þau fá í gegnum sín kerfi.

Það getur verið gagnlegt fyrir þjónustuveitendur að geta séð IP tölu tækis sem keyrir Auðkennisappið til að efla öryggi í heildarferli auðkenninga og undirskrifta. Þá er hægt að bera saman IP tölu tækisins sem byrjar ferlið fyrir auðkenningu eða undirritun og IP tölu tækisins þar sem skilríkjunum er síðan beitt og staðfest að um sama tæki sé að ræða, eða jafnvel greina staðsetningu tækisins út frá IP-tölunni.

Til þess að geta fengið IP-tölu á tæki senda með svari frá kerfum Auðkennis þarf þjónustuveitandinn að biðja Auðkenni um að virkja IP-tölu miðlun til sín.

Dæmisaga

Svikari reynir að auðkenna sig inn á netbanka Dagnýjar hjá Bankanum. Svikarinn slær inn kennitölu hennar Dagnýjar í fartölvu heima hjá sér. Bankann sér í kerfinu hjá sér að IP talan hans er 192.158.1.38 sem bendir til að Svikarann sé staðsettur erlendis.

Dagný fær tilkynningu í símann sinn um að hún eigi að auðkenna sig fyrir Bankann og í hugsunarleysi svarar hún með því að skrá inn PIN-ið sitt og heldur áfram með daginn sinn. Hjá Auðkennisappinu kemur IP talan: 17.172.224.47. Þessi IP tala kemur frá Íslandi.

Bankinn sér þetta misræmi, grunar að um svikatilraun sé að ræða og ákveður að hleypa auðkenningu ekki í gegn.

Fannstu ekki það sem þú varst að leita að?

Við erum alltaf tilbúin að aðstoða. Sláðu á þráðinn eða sendu okkur línu og við bregðumst við um hæl.

Sendu okkur línu

Sendu okkur tölvupóst á audkenni@audkenni.is

Sláðu á þráðinn

Í síma 530 0000

Hafa samband

Katrínartún 4, 105 Reykjavík
audkenni@audkenni.is
530 0000

Afgreiðslutími

Virka daga 10-16
Þjónustuverið er opið virka daga 8-18 og laugardaga 10-18
Aðstoð
Rafræn skilríki
Fyrirtækjaskilríki
Sækja appið Android
Sækja appið fyrir IOS

KT. 521000-2790 — VSK nr. 69345