IT-Sikkerhedsrådet sætter fokus på adgangskontrol til hjemmesider

Et password udgør ikke en tilstrækkelig stærk adgangskontrol til internettes informationstjenester eller selvbetjeningsystemer, når disse tjenester giver adgang til personoplysninger.

IT-Sikkerhedsrådet anbefaler her f.eks. anvendelse af en elektronisk enhed med engangspassword eller adgangskontrol baseret på krypteringsteknik.

Dette fremgår af IT-Sikkerhedsrådets nyeste vejledning om "Adgangskontrol til en hjemmeside", der henvender sig til tjenesteudbydere – såvel offentlige som private.

Når virksomheder og myndigheder udbyder informationstjenester fra en hjemmeside eller i øvrigt etablerer selvbetjeningssystemer via nettet, opstår behovet for at kunne foretage en sikker adgangskontrol for personers adgang til disse tjenester og systemer.

Ofte sikres denne adgangskontrol ved, at brugeren indtaster et password. Alt efter hvordan man vælger og omgås sit password kan en sådan metode være tilstrækkelig. Men ofte vil det være nødvendigt at anvende mere sikre former for adgangskontrol.

Vejledningen skitserer, hvad der bør tages hensyn til ved udformning af adgangskontrol, og beskriver en række metoder til kontrol af påstået identitet, og sårbarheder og trusler ved de forskellige metoder.

Vejledningen kan hentes på www.it-sikkerhedsraadet.dk eller købes for 50 kr. hos Statens Information, tlf. 3337 9228, e-post .

Nærmere oplysning om udredningen kan fås hos IT-Sikkerhedsrådets formand, professor, dr.jur. Mads Bryde Andersen, tlf. 3532 3133, og hos medlem af IT-Sikkerhedsrådet konsulent Steffen Stripp, tlf. 3997 8200.