Bild: Filip Rensfelt

Identitetskris på nätet

Vem som helst kan utge sig för att vara du på internet. Men ny teknik utlovar högre säkerhet och bättre kontroll av hur personliga uppgifter lämnas ut.
Det tycks mig uppenbart att kvinnor föds med en predisposition för struntprat. Detta nedsättande uttalande undertecknades med Jan Guillou den 11 juni i år klockan 20.18 på sajten Twitter – en blogg i mikroformat. Provokativt, tycker kanske några. Andra tycker mest bara att det är typiskt Guillou. Men det var inte Jan Guillou som skrev inlägget, utan någon som ville driva med författaren och journalisten. Liknande skämt och smutskastning drabbar en rad mer eller mind­re välkända profiler, från politiker och kungligheter till musiker och idrottsstjärnor. Därför har exempelvis både Fredrik Reinfeldt och Mona Sahlin Twitter-konton helt utan några inlägg – de är skapade för att hindra någon annan från att skriva i deras namn. – Vi har gjort samma sak på Facebook, säger Oscar Stenström, presskontakt för Mona Sahlin. Facebook är en social mötesplats som blivit en av världens fem mest besökta webbplatser. – Ett tag fanns det massor av Mona Sahlin där. När Facebook slog igenom dök det upp fejkade konton för nästan alla kändisar. ###Vem härmar Svenne Banan? Man skulle kunna tro att stulna identiteter är ett problem som bara finns i kändisvärlden. För varför skulle någon låtsas vara Kalle Pettersson? Ett svar på den frågan kom i april i år, när ett antal personer på Facebook fick sina användarkonton kapade. De utnyttjades i smyg för att marknadsföra möten för Sverigedemokraterna, vilket användarna inte märkte förrän vänner hörde av sig och undrade över de oväntade inbjudningarna som skickats ut. Att bli kvitt associationen till Sverigedemokraterna är ingen enkel match. De som upptäckte att deras namn missbrukats kunde förstås höra av sig till hela sin adressbok och berätta hur det ligger till – en åtgärd som många i sig skulle finna olustig. Men ett svårare problem är de som inte finns i adressboken. ###Identitetsbild ställer till det På Facebook, liksom många and­ra ställen på nätet, paras nämligen information ihop för att bli mer användbar. Någon som söker efter Sverigedemokraterna på Facebook kan därför få upp de kapade kontona bland träffarna – enligt informationen på Facebook är ju de användarna intresserade av Sverigedemokraterna. Långt efter ett intrång kan det alltså finnas spår på internet som kopplar samman personer med saker som de normalt inte skulle befatta sig med. – Identitetsstöld, att låtsas vara någon annan, kan användas för att ge en person dåligt rykte eller ställa till det på andra sätt. Det är lite som det gamla sättet, när man tog någons pass eller identitetshandlingar och låtsades vara han eller hon, säger Hans Hedbom, universitetsadjunkt i datavetenskap vid Karlstads universitet. Hans Hedbom medverkar i Primelife, ett europeiskt forskningsprojekt som arbetar med personlig integritet och identitetshantering på internet. Det är ett snårigt problem, men ett som blir allt viktigare. I en värld där alla – från blivande arbetsgivare till potentiella livskamrater – letar på nätet för att ta reda på mer om dig, kan falsk information få avgörande betydelse, utan att du har haft en chans att påverka informationen eller ens känner till den. Internet innehåller en dossier om dig, vare sig du vill det eller inte. Det är en akt som du aldrig gett ditt medgivande till och har mycket lite kontroll över. – Varenda gång man använder nätet lämnar man spår efter sig. De spåren är intressanta av en massa olika anledningar, bland annat för att skapa marknadsföringsprofiler och bygga riktad reklam. Även om man bara surfar lämnar man spår efter sig, som visar att man har varit på vissa sidor, säger Hans Hedbom. – Vi har alltid lämnat spår efter oss, men det stora problemet är att internet har väldigt långt minne. Lämnar du något efter dig tar det lång tid innan det försvinner. Dessutom är data maskinprocessbara – det krävs en ganska liten insats för att bygga upp en stor datamängd om människor. ###Listar dina uppgifter Ett av de hjälpmedel som Primelife utvecklar är ett program som listar webbplatser där man har lämnat personuppgifter eller annan information. I listan kan man också se vilka villkor som webbplatsen säger sig följa när de hanterar data – till exempel om de tillåter utomstående företag att utnyttja e-postadresser eller lovar att inte lagra kontonummer. – Man kan också kontrollera hur uppgifterna har behandlats. När exempelvis en nätbutik använder dina uppgifter markeras det på ett sätt som butiken inte kan ändra på själv, säger Simone Fischer Hübner, professor i datavetenskap, även hon vid Karlstads universitet och engagerad i Primelife. Karlstads universitets roll i projektet är främst att arbeta med användarvänlighet och gränssnitt. – Vi tittar bland annat på hur integritetsvillkor kan visas på ett sådant sätt att de blir förstådda. I dag möter man ofta omfattande juridiska dokument tillsammans med en acceptera-knapp. Många läser inte någonting, utan klickar bara vidare direkt, säger Simone Fischer Hübner. För dem som inte uppskattar långa juridiska texter erbjuder Primelife en betydligt smidigare lösning: du kan i förväg berätta vad du anser om ett antal olika villkor, och om en webbplats är för släpphänt med sin integritet får du upp en varning. Om en webbplats skulle sälja e-postadresser i reklamsyfte, och du inte gillar det, kan du alltså få reda på det utan att läsa ett svårbegripligt och flera sidor långt avtal. – En fråga är också hur man presenterar varningar för slutanvändaren. Vi har märkt att vissa blir rädda för varningen, och det har hänt att användare gjort sina förinställningar mer generösa bara för att bli kvitt varningar. Vi vill undvika sådana panikreaktioner, säger Simone Fischer Hübner. ###Att skydda sitt namn Primelife ger ett antal svar på hur man kan hålla reda på sina egna uppgifter på internet. Men hur man ska lita på andras uppgifter är en annan fråga. Det vanliga sättet i dag att garantera att en viss person står bakom ett visst innehåll på internet är att logga in med lösenord och användarnamn. I den bästa av världar är det bara en person som kan lösenordet, och alltså är det alltid den personen som står bakom ett visst namn. Men i verkligheten finns det ett antal allvarliga problem. Ett av problemen har redan nämnts, nämligen att Jan Guillou på Twitter inte behöver vara samma Jan Guillou som på andra ställen. Men ett kanske ännu större problem är att virrvarret av lösenord näst intill tvingar fram säkerhetsbrister, som gör det enklare för obehöriga att ta över and­ras namn. Många webbplatser erbjuder till exempel ”säkerhetsfrågor” som kan användas om man glömt bort sitt lösenord. Problemet är att ett – i bästa fall – komplicerat lösenord då i praktiken bytts ut mot ett ord eller en fras som går relativt enkelt att gissa eller leta upp svaret på, som namnet på ens första lärare i skolan eller din grannes hund. I september förra året användes sådana metoder för att bryta sig in i (och sprida) e-postkontot för Sarah Palin, då vicepresidentkandidat i USA. En annan svaghet är att många väljer att använda ett och samma lösenord på många olika webbplatser, för att slippa hantera tiotals eller kanske hundratals olika lösenord. Därmed sätter den mest osäkra webbplatsen ribban för alla konton där lösenordet används. I våras ledde detta till att ett förhållandevis enkelt dataintrång hos Twitter spreds till ett antal olika webbtjänster, bland annat Gmail, Hotmail, PayPal, iTunes och Amazon. Hackaren snokade runt bland hundratals konton och samlade på sig information som var känslig för privatpersoner och företag. ###Alla konton i fara I detta fall använde hackaren bara informationen för att demonstrera att säkerheten var dålig, men i ett annat läge hade intrånget kunnat användas för att stjäla digitala identiteter. – Internet är globalt. Om du blir av med lösenordet på en sajt i Bahamas är alla dina konton med samma lösenord i fara, oavsett var på jorden de finns, säger Martin Paljak, programmerare och grundare av det estniska företaget Idee­labor. Han arbetar med ett alternativ till de vanliga lösenorden som heter OpenID. En av de centrala idéerna med OpenID är att oavsett vilken sajt man vill komma in på använder man hela tiden samma webbplats för att logga in – en id-leverantör som man själv väljer. Tekniken kan jämföras med att sajten man besöker skickar ett e-brev till ens id-leverantör, som man signerar och skickar tillbaka för att bli inloggad – men i praktiken sker allt i en popup-­ruta. OpenID gör det möjligt att använda samma användarkonto och användarnamn på olika sajter, utan att lösenordet riskerar att spridas vidare. Fördelarna är många. Webbplatser behöver inte lägga resurser på säker inloggning, utan kan i stället fokusera på det som gör webbplatsen at­traktiv och användbar. Besökare behöver bara komma ihåg ett användarnamn och lösenord, och det går dessutom att be id-leverantören bifoga uppgifter som namn och adress för att slippa skriva in dem om och om igen på olika sajter. Ännu en fördel är att inloggningen inte behöver basera sig på lösenord, som alltför ofta är osäkra. I stället kan leverantörer av OpenID-konton erbjuda möjlighet att logga in med exempelvis engångskoder eller avläsning av fingeravtryck – något som allt fler datorer har utrustning för. För drygt två år sedan var Martin Paljak med och byggde världens förs­ta OpenID-lösning där man loggar in med hjälp av nationella id-kort. – Estniska id-kort innehåller ett chip, precis som korten i EU kommer att göra nästa år. Med id-kortet och en kortläsare kan esterna nu logga in på de över 40 000 webbplatser som utnyttjar OpenID, säger Martin Paljak. Kortläsaren, precis som andra inloggningsdosor, ger i praktiken en säkerhet som motsvarar att byta lösenord vid varje inloggning. Varje lösenord är dessutom så långt att det skulle ta även datorer många dagar att testa sig fram till det. – Efter det har vi skapat en lösning där man kan logga in med hjälp av sin mobiltelefon, så länge den har rätt sorts simkort. Då slipper man kortläsaren. I dag har 80 procent av Estlands 1,3 miljoner invånare elektroniskt id-kort, och av dem är det 10 procent som använder det. Tack vare id-korten kan webbplatserna veta att det är en riktig människa som finns bakom ett användarkonto, och inte exempelvis ett robotprogram. Det går också att garantera att en användare är mellan 12 och 15 år, om det skulle vara ett krav på en chatt för ungdomar. Detta sker utan att chattsajten behöver få reda på exakt hur gammal man är: id-leverantören svarar bara med ett ”ja” eller ”nej” på frågan om personen bakom ett konto har rätt ålder – och bara om användaren själv tillåter det. Det står i stark kontrast till hur det vanligtvis fungerar på internet, där man blir tvungen att lämna sina uppgifter till varje webbplats och får hoppas att den inte medvetet eller oavsiktligt sprider uppgifterna vidare. ###Igenkänd men anonym Ett speciellt knivigt problem med integritet på internet är när man vill vara anonym, men samtidigt behöver legitimera sig. Ett typiskt exempel är elektroniska namninsamlingar och protestlistor. I dag används ofta e-postadresser i stället för namn på sådana listor, vilket ger en rimlig chans att de flesta underskrifter kommer från en verklig person samt att de flesta personer bara skriver upp sig en gång. Men att lämna ut sin e-postadress innebär dels risk för skräppost, dels att man kan bli igenkänd – något som kan vara problematiskt vid en kontroversiell namninsamling. Samtidigt gör risken för falska e-postadresser att elektroniska namninsamlingar sällan tas på allvar. Hur kan beslutsfattare vara säkra på att 50 000 e-postadresser verkligen motsvarar åsikten hos 50 000 personer? OpenID löser det problemet genom att användare kan skapa automatiska täcknamn, som endast id-leverantören kan koppla samman med det verkliga kontot. Genom att använda dessa täcknamn i namnlistor döljs de verkliga identiteterna, men id-leverantören kan ändå intyga att ingen har skrivit upp sig två gånger och att alla uppskrivna är exempelvis svenskar över 18 år. ###e-legitimation Men OpenID är inte lösningen på alla svårigheter med integritet på internet. Till exempel finns risk för phishing – att bedragare härmar en webbplats för att lura av besökare deras lösenord. – Phishing är extra kritiskt för OpenID. Blir du av med ditt OpenID-lösenord är alla dina användarkonton i fara, säger Martin Paljak. Den som använder kortläsare eller andra lösningar där lösenorden ändras ofta sitter säker, men de stora leverantörerna som Google och Yahoo förlitar sig fortfarande på vanliga lösenord. Att det inte finns någon stor pålitlig leverantör av OpenID är också det som hindrar banker från att använda tekniken. – Jag tror att OpenID skulle kunna vara fullt användbart, om man bara hade löst ansvarsfrågorna. Om det har blivit fel i dag har banker ersatt kunder, eftersom det är vår egen teknik, men vem gör det om man loggar in från en annan leverantör? säger Ulf Jonasson, ansvarig för it-säkerhet vid Nordea. En annan anledning till att svenska banker inte lär byta ut sina inloggningssystem än på ett tag är att det finns mycket tid och pengar investerade i dem. – Vi vet hur de fungerar och har stort förtroende för dem. Då är det svårt att se varför vi ska lägga ner pengar på att byta till något annat. Tvärtom fungerar bankernas inloggning – Bank- ID eller e-legitimation – som ett alternativ till OpenID, och den används även av en rad myndigheter och företag. Men eftersom webbplatser måste betala för att få använda e-legitimation kommer den troligtvis aldrig att användas på små sajter och bloggar. – Webbplatser har säkerhetskrav på olika nivåer. Att se skolschemat för sin dotter kräver förmodligen inte samma säkerhet som när man ska sjukanmäla sig eller deklarera. Jag tror att det kommer att dyka upp fler inloggningstjänster för de olika säkerhetsbehov som finns, säger Ulf Jonasson.

Logga in med OpenID

Om du skulle använda OpenID för att kommentera en blogg går det till så här:

1. När du vill skriva en kommentar ombeds du att logga in. Du har inget konto på sajten, men bland alternativen finns ”logga in med OpenID”, där du fyller i din unika adress, http://openid.com/jag.

2. Bloggsidan öppnar en popupruta där du får logga in på openid.com, för att bevisa att du verkligen äger den angivna adressen.

3. Id-leverantören, inte blogg-sidan, bestämmer hur du loggar in – exempelvis med chipskort, finger-avtryck, sms – eller ett vanligt lösenord. Om du vill kan du låta skicka med information om t.ex. din e-postadress och hemsida, direkt från din profil på openid.com.

4. Om inloggningen godkänns får du kommentera bloggen. De som läser kommentaren kan hitta mer innehåll på internet som kommer från http://openid.com/jag – och vara säkra på att det är just du som står bakom innehållet.

OpenID började utvecklas 2005. Tekniken drivs av en stiftelse och har stöd från flera stora företag, bl.a. Google, Yahoo!, Microsoft, IBM och Sun Microsystems.

Så slipper du lämna spår på nätet

Det är möjligt att vara anonym, men det innebär långsammare internettrafik.

Vanligtvis tar webbläsare emot cookies från webbplatser, små filer som används för att till exempel komma ihåg vilken sida du var på senast och vilken storlek du valt på texten. Dessutom sparar webbplatsen det IP-nummer som du surfar från – internets motsvarighet till telefonnummer. Båda dessa uppgifter kan användas för att läsa av dina surfvanor, och kompletteras ofta med små skriptprogram som skickar information om din dator.

Ett sätt att undvika att ditt surfande loggas är att använda nätverk för anonymisering. Då krypteras trafiken och skickas runt mellan olika deltagare i nätverket innan den når sin destination.

Utifrån, och även inne i nätverket, ter sig trafiken som en stor härva av trådar. Vilka trådar som hänger ihop kan man inte reda ut. Även om det går att se att någon i nätverket besöker en viss webbplats är det omöjligt att kartlägga enskilda personer.

Trafik genom anonymiseringsnätverk går dock mycket långsammare än vanlig internettrafik.

Läs mer, testa själv på fof.se!

Upptäck F&F:s arkiv!

Se alla utgåvor