1515
Annons

Säkerhetsstjärnan som inte gillar lösenord: ”Bank-id borde vara statligt”

Det svenska säkerhetsbolaget Yubico har tekniken för att göra världen lösenordsfri.

Men hjärnan bakom lösningen är inte helt säker på att det är en bra idé.

En sak är han dock säker på; att Bank-id, Facebook och ett par andra aktörer har för mycket makt i förhållande till vad de levererar.

”Viss infrastruktur borde vara statlig”, säger grundaren Jakob Ehrensvärd i en sällsynt intervju.

Jakob Ehrensvärd är ena grundaren av Yubico – den som sällan syns i offentliga sammanhang eller ger intervjuer.
Jakob Ehrensvärd är ena grundaren av Yubico – den som sällan syns i offentliga sammanhang eller ger intervjuer.Foto:Johanna Ehrensvärd/Pressbild

I Yubicos grundarduo finns det en tydlig frontman, och det är Stina Ehrensvärd. Samtidigt som hon stått på scener i både USA och Sverige och frontat bolaget har hennes make, Jakob Ehrensvärd, suttit och skruvat på tekniken.

”Vem hade du skickat fram av oss två?”, frågar han retoriskt och utser sig själv till ”den nördiga ingenjören”.

Det är inte självklart för Jakob Ehrensvärd att sätta sig ned för den här intervjun under ett av sina Sverigebesök. Men efter lite övertalning går han med på att träffa Di om vi inte pratar så mycket om affärerna. Det är Stinas hemmaplan. 

Visionen däremot, och tekniken bakom Yubicos fysiska säkerhetsnycklar eller policyfrågorna som marknaden måste förhålla sig till – där är han som mest säker på sin sak.

Kanske låta Google sköta folkbokföringen? Nej, exakt.

Till att börja med fyrar han av en salva mot svenska staten, som han inte tycker tagit autentisering och säkerhet på tillräckligt stort allvar.

”Bank-id är väldigt bra, jag gillar vad Bank-id gjort. Men det styrs av ett konsortium av banker. Vad händer om det går ned? Då kan vi inte föra över pengar eller betala på nätet. Det är den typen av infrastruktur som jag tycker att en stat skulle kontrollera”, säger han och påpekar att körkort och pass och fysisk identifiering skulle vara otänkbart att lägga ut på privata tredjepartsaktörer.

”Kanske låta Google sköta folkbokföringen? Nej, exakt. Men Freja och Bank-id är privata aktörer.”

Läs mer: Experten: Massiv ökning i cyberangrepp mot svenska bolag under pandemin

Yubico tillverkar fysiska säkerhetsnycklar som passar i usb-portar och inte kräver någon installation. Tekniken är en förlängning av smarta kort, vilka funnits sedan 80-talet och fortfarande är vanligt inom offentlig sektor och banker.

Det var där Jakob Ehrensvärd började, med inställningen att tvåstegsverifiering på riktigt innebär ett lösenord i kombination med något fysiskt du bär med dig.

Microsoft och Bill Gates var länge tydliga med att ”smarta kort är framtiden” och att ”alla datorer kommer ha kortläsare inbyggt”.

Det är som att lämna dörrnyckeln kvar i låset eller lägga den under dörrmattan

”Så blev det inte, och på de datorer som har ser man ofta hur korten sitter kvar i datorn hela tiden. Vissa klipper av den delen av kortet som sticker ut tejpar sedan fast fast det”, säger Jakob Ehrensvärd och konstaterar att det förstås motverkar hela poängen med korten.

”Det är som att lämna dörrnyckeln kvar i låset eller lägga den under dörrmattan.”

2008 kom den första versionen av Yubikey och sedan dess har de fått stora techjättar som Google, Microsoft och Apple att bygga in stöd för deras produkter.

Jakob Ehrensvärd delar sin tid mellan kontoren i Silicon Valley och Stockholm.
Jakob Ehrensvärd delar sin tid mellan kontoren i Silicon Valley och Stockholm.

Jakob Ehrensvärd lägger flera gånger pannan i veck när han pratar om den infrastruktur som i dag är gängse i våra digitala liv. Han återkommer till människors förståelse – eller brist på den – och inställning till säkerhetsproblemen. 

Förhållandet mellan enkelhet och säkerhet är ett sådant och dagens modell för lösenordsåterställning med ett knapptryck är det tydligaste exemplet.

”Poängen är att säkerhet måste baseras på vad man skyddar. Loggar någon in på ditt bankkonto är det inte bra, men om någon får tag på ditt Åhlénskonto är det kanske inte så farligt?”, säger han men poängterar att det förstås aldrig är bra att vara slarvig.

Poängen är att en lösenordsåterställning via ett knapptryck kanske är rimligt för Åhléns, i hans exempel, men inte för banken.

Om det är något du är rädd om kanske det ska vara jobbigt att bli av med inlogget?

”När lösenordsåterställning ska vara enkel blir det en attackyta för hotaktörer. Om det är något du är riktigt rädd om, dina viktigaste digitala konton, kanske det ska vara jobbigt att bli av med inlogget? Det kanske inte ska finnas en enkel lösenordsåterställning? Det kanske ska vara krav på en hårdvarunyckel?”

Han talar förstås i egen sak, men många säkerhetsexperter upprepar det han säger. Det finns också de som talar den helt lösenordfria inloggningen, där biometrisk data som ansiktsigenkänning, iris-skanner eller fingeravtrycksläsare skulle ersätta komplicerade lösenord, men riktigt så långt vill inte Jakob Ehrensvärd dra det.

”I bankvärlden har ett kort och en kod fungerat väldigt bra. Det är en ganska bra modell.”

Det vill säga, i din version, du loggar in dina konton med en pinkod och en Yubikey?

”Ja, det skulle kännas säkert tycker jag. Lösenordsfritt är en vision, som att ’alla ska köra elbilar’. Jättebra, men det är ett tag kvar och det finns problem med det också.

Jag tror att de som vill se lösenordsfritt är trötta på lösenorden som de är i dag.

”Ja, och även om du har 30 tecken långa lösenord som du aldrig kan gissa så finns de sparade någonstans. Lösenordshanterare är också lite av ’snake oil’. Alla lösenord på ett ställe? Vad händer om någon kommer åt det? Det är som hemma hos mig när jag var liten och vi hade ett nyckelskåp med nycklar till allt – garage, förråd, extranycklar – hängdes precis innanför ytterdörren. Det stod till och med ’nyckelskåp’ på det.”

Han återkommer till att det måste bli svårare för hotaktörer, och därmed även lite jobbigare för den som vill skydda något värdefullt.

Läs mer: Misstänkta Coop-hackare gripna efter internationell polisinsats

”Om det bara skulle vara vara att mejla och be om en ny nyckel till din sprillans Volvo XC90 när du tappat den, det skulle inte kännas så säkert. Du måste på något vis bevisa att du äger bilen”, säger han och menar att den inställningen skulle göra många gott, även digitalt.

Yubico fick sitt stora genombrott 2013 när Google öppnade upp just Gmail för deras inloggningslösning, direkt genom en integration i webbläsaren Chrome.

”Jag trodde aldrig att det skulle gå att övertyga dem, men Stina stod på sig och det var verkligen viktigt för oss”, säger Jakob Ehrensvärd.

Google hade precis blivit utsatta för ett intrång från en statssponsrad aktör som var ute efter att komma över e-post från dissidenter. Google tvingades göra avbön och lovade att det aldrig skulle hända igen.

Där stod Yubico med en färdig teknik. 

Du behöver inte längre skicka in en hemlig agent i grodmansdräkt med en bomb

Om någon skulle komma över någon annans Yubikey finns ändå ingen data som går att spåra till vilka sajter användaren loggat in på – dissidentsäkert.

Andra framsteg som varit viktiga genom historien var till exempel att lista ut hur Yubikey skulle kunna fungera med alla enheter, oavsett operativsystem. Den enkla men briljanta lösningen blev att koda in i nyckeln att den ska bete sig som ett tangentbord i en usb-port.

”Så oavsett om det är en pc, en mac eller en smart-tv så reagerar mottagarenheten som att du kopplade in ett tangentbord. På så vis kan koden klistras in i det fält där det behövs”, säger han.

Yubikeys tillverkas också i Sverige, inte i någon kinesisk jättefabrik, vilket Jakob Ehrensvärd också lyfter fram som ett en viktig faktor i företagsbyggandet.

Av allt du sett och hört i branschen, vilka hot är du mest orolig för i dag?

”Makrohot. Vi lever i en orolig värld och motivationen är inte alltid att stjäla något. Risken för sabotage är i många fall allvarligare. Tågledning, el- och vattenförsörjning, styrsystem för olika saker – allt styrs över nätet. Du behöver inte längre skicka in en hemlig agent i grodmansdräkt med en bomb.”

Jag vill inte vara domedagsprofet, men det blir lätt så när man pratar om det här.

För några år sedan fick Jakob Ehrensvärd bevittna en digital damminfrastruktur som gjorde att personen han träffade kunde öppna dammluckorna med sin mobiltelefon. ”Skithäftigt”, tyckte denne, medan Jakob Ehrensvärd kände mest obehag.

”Jag vill inte vara domedagsprofet, men det blir lätt så när man pratar om det här. Men är det bra att du kan öppna dammluckor med din mobiltelefon? Titta på vad som hände Coop, det gick inte att betala och de låg nere ganska länge. Tänk om det inte varit Coop. Vi såg det också hända med Colonial pipeline i USA, vilket ledde till gas- och bensinbrist på flera håll.”

Han återkommer till att nationer i dag förlitar sig för mycket på privata bolag att sköta säkerheten.

Facebook borde brytas upp den juridiska vägen

”Vi kan inte ha ett samhälle där det går att lura av pensionärer pengar över telefon med hjälp av Bank-id. Du kan försätta ett bolag i konkurs med hjälp av ett Bank-id”, säger han och fortsätter:

”Det är kanske kontroversiellt att tvinga på folk säkerhetslösningar, men det är motsvarande att säga ’vaccinera er’.”

Vi blir ju mer digitala och Facebook pratar om sitt metaversum – hur ser du på det?

”Historiskt sett har det visat sig problematiskt med för mycket makt och data samlat på ett och samma ställe. Vare sig det är i privata händer i ett demokratiskt system eller i händerna på en diktator. Facebooks dominans i dag är obehaglig och en anledning till att jag inte använder deras tjänster. Det är min uppfattning att de borde brytas upp den juridiska vägen och skulle förbjudas att dela data”, säger Jakob Ehrensvärd och förklarar hur det borde se ut:

”E-post är ett bra exempel på hur det borde fungera med sociala medier. Flera aktörer som kan utbyta meddelanden med varandra utan att all information finns samlad på ett och samma ställe.”


Innehåll från SavelendAnnons

Starta året med en ny vana: Få dina sparpengar att växa utan ansträngning

Återigen är januari här, månaden som både betraktas som årets fattigaste och ett startskott för nya löften. Sparplattformen SaveLend vill uppmuntra alla att använda det nya året till att se över sitt sparande och ta tillfället i akt att bygga en stabil ekonomisk grund. I stället för att låta dina pengar ligga sovandes på ett sparkonto utan ränta kan SaveLend hjälpa dig att sätta sparpengarna i arbete – och skapa möjlighet för dem att växa.

Ett nytt år är här och för många markerar det en möjlighet att börja med, eller återuppta, olika goda vanor. Att komma i gång med träningen eller ge upp tobak är nog några av de allra vanligaste nyårslöftena men 2022 kan också bli året du börjar satsa på ditt sparande, på riktigt. Många har idag stora summor pengar på vanliga sparkonton till nollränta, helt utan avkastning. Det är precis lika ineffektivt som att stoppa pengar i madrassen, menar Ludwig Pettersson, vd på SaveLend.

– Riksbanken har som uppgift att hålla inflationen på runt 2 procent per år så faktum är att dina sparpengar tappar köpkraft med tiden om de ligger vilande. Du bör i stället se till att placera pengarna där de jobbar och levererar avkastning. 

Steg ett är helt enkelt att komma i gång med det aktiva sparandet och det kan göras på många olika sätt, du kan till exempel köpa aktier och fonder, investera i råvaror eller spara i krediter. Nästa steg är att se till att du har en plan framåt, förklarar Ludwig Pettersson. En annan viktig faktor för ett framgångsrikt sparande är nämligen att spara varje månad, över tid. På så vis investerar man i alla konjunkturer och slipper tänka på att försöka förutse marknaden.

En naturlig diversifiering

Idén till SaveLend föddes 2014 ur viljan att erbjuda en sparform som står utanför aktiemarknadens dagliga svängningar och som ger grund för stabil avkastning. Krediter är en välkänd och beprövad investeringsform som tack vare teknikens utveckling numera kan erbjudas till alla. Genom att dela upp kapitalet på många olika krediter och kredittyper når man också en naturlig diversifiering då risken delas upp både sett till koncentration per kredit och kredittyper – så som företagslån, fastighetskrediter, konsumentlån och liknande. Det är också en sparform som inte kräver några förkunskaper eller stora startkapital. 

– Att spara i krediter skapar ett naturligt kassaflöde med ränteutbetalningar vid olika tillfällen och tider så att pengar fortsätter att ticka in. Och sedan får man ränta-på-ränta-effekten på det, säger Ludwig.  

Lägre risk

Han understryker att samtliga krediter hos SaveLend omfattas av en noggrann kreditkontroll och att krediter som tillgångsslag generellt har lägre risk än aktier. Trots detta ska krediter inte heller utgöra hela sparportföljen utan det är alltid viktigt att säkerställa en bra bredd så att man sprider sina risker. Avkastning och risk går hand i hand och man ska vara medveten om att en möjlighet till hög avkastning också innebär en hög risk. Du måste därför fundera på hur planen för ditt eget sparande ser ut. 

– Krediter bör vara en självklar del av varje sparportfölj för att skapa en bra diversifiering mellan både tillgångsslag och risknivåer. Vår målavkastning ligger på 7–9 procent per år, och under de senaste tolv månaderna nådde vi 8,92 procents avkastning efter avgifter och kreditförluster. 

Möter både nya och erfarna sparare

SaveLends plattform är utformad för att möta behovet hos alla typer av sparare. Från nybörjarsparare, som förstår att pengar behöver aktiveras men inte har något större intresse av att hålla koll på att köpa och sälja. Till de mer erfarna och kapitalstarka investerarna som vill ha en större bredd i portföljen och en tryggare investeringsgrund att stå på. 

– Vår investeringsmotor SmartInvest möjliggör ett helt automatiskt sparande i krediter vilket gör att vi kan möta de med lite mindre kapital som bara vill komma i gång och aktivera sitt kapital. Samtidigt kan de mer erfarna investerarna engagera sig mer i plattformen och göra egna inställningar för att få den spridning de vill ha i olika kredittyper samt bestämma exakt koncentration av kapital per kredit, avslutar Ludwig Pettersson. 

Kom i gång idag på Savelend.se 

 

 

Mer från Savelend

Artikeln är producerad av Brand Studio i samarbete med Savelend och ej en artikel av Dagens industri

Det verkar som att du använder en annonsblockerare

Om du är prenumerant behöver du logga in för att fortsätta. Vill bli prenumerant kan du läsa Di Digitalt för 197 kr inkl. moms de första 3 månaderna.

  • Full tillgång till di.se med nyheter och analyser

  • Tillgång till över 1100 aktiekurser i realtid

  • Dagens industri som e-tidning redan kvällen innan

  • Innehållet i alla Di:s appar, tjänster och nyhetsbrev

3 månader för
197 kr
Spara 1000 kr

Prenumerera

Redan prenumerant?