Denne oppgaven fokuserer p˚a universell utforming av brukerautentise-ring. Kasuset tar utgangspunkt i en bruker uten spesielle behov. Dette val-get ble tatt da det antas at en slik bruker vil ha den laveste terskel for hvil-ke hindringer som er psykologisk akseptable. Siden en universelt utformet løsning skal være en løsning som kan brukes av flest mulig uten spesielle tilpasninger krever det ogs˚a at brukere uten spesielle behov ønsker ˚a ta i bruk løsningen. Som et anekdotisk⌧bevis p˚a at det kan arte seg slik kan vi se tenke oss en situasjon som setter uakseptable krav for en bruker med normalt godt syn: Personer som er avhengige av briller for ˚a kunne lese aksepterer ˚a ta med seg brillene (eller linsene) i nær sagt alle situasjoner hvor det kan være de m˚a lese noe. En person med vanlig syn vil p˚a den andre siden ikke ta med seg egne hjelpemidler for ˚a kunne lese det som st˚ar p˚a et skilt, eller i en restaurantmeny. Det vil være vanskelig ˚a se for seg en restaurant som gjør skriften s˚a liten at selv personer med godt syn trenger hjelpemidler for ˚a lese. Sannsynligvis vil ikke kundene akseptere dette og som en ytterste konsekvens g˚a til andre restauranter. Dersom du er enig i dette, kan en tenke seg at en slik bruker vil ha vanskeligere for ˚a akseptere ekstra hjelpemidler som st˚ar i veien for en oppgave personen al-lerede h˚andterer uten hjelpemidler. Denne forutsetningen er gjort først og fremst for ˚a skape dette kasuset og gjøre det til et ekstremtilfelle slik det er beskrevet av Flyvbjerg [43]. Kasuset prøver ˚a finne den brukeren som har høyest krav til at brukerautentisering skal gi en god brukeropplevelse. Mer om hvorfor valget er lagt p˚a et ekstremtilfelle finner du i metodekapittelet p˚a side61.
Dette har ført til at intervjuobjektene er plukket ut i fra en tanke om at de skal representere en gjennomsnittsbruker. Jeg har ikke fulgt en spesiell bruker men valgt ut noen f˚a brukere som kan være representanter for
forskjellige behov og krav. Brukeren det blir sett p˚a har heller lave enn høye kunnskaper om sikkerhet og IKT. Ut i fra de beskrivelsene som finnes av brukerens motivasjon som et viktig element i hvordan denne forholder seg til informasjonssikkerhet, har jeg ogs˚a valgt ˚a se p˚a brukere som oppleves ˚a ikke ha særlig høy, men heller lav motivasjon for ˚a oppfylle sikkerhetskrav. Disse egenskapene har jeg forutsatt at en finner i alle aldersgrupper, derfor er ikke alder en begrensende faktor hverken den ene eller andre veien for kasusets del. Form˚alet med kasuset er ikke ˚a fremskaffe generelle retningslinjer som kan passe alle, dette er viktig ˚a understreke selv om en har vært p˚a jakt etter en gjennomsnittsbruker.
Det er mange faktorer som kan p˚avirke behovet en bruker har med tanke p˚a tilgang til kontoer, for eksempel ser vi i programvare og løsninger en økende grad av ⌧foreldrekontroller . Alts˚a begrensninger som gjør det tryggere for barn ˚a bruke b˚ade internett og spill. Det er bare et eksempel.
Noen personer har knapt behov for tilgang til kontoer utenfor sitt eget hjem, atter andre kunne ikke levd uten denne tilgangen. Intervjuobjektene i denne oppgaven bør reflektere noen av disse sidene, men kan umulig reflektere alle. I s˚a m˚ate er kasuset begrenset dithen at det ikke kan testes eller undersøkes for alle mulige situasjoner. Kanskje kan noen f˚a viktige elementer som g˚ar igjen hos mange brukere identifiseres og legge grunnlag for videre utvikling og testing av systemer.
Det er autentisering i den private sfæren som undersøkes, dette er i tr˚ad med E-me prosjektets m˚al om ˚a undersøke temaet nærmere med tanke p˚a nye sosiale medier. Dessuten en praktisk begrensning av omfanget av undersøkelsene. Rent praktisk slipper en da ˚a f˚a tilgang til bedrifter og innsyn i deres systemer, dette er b˚ade en stor og krevende oppgave. Rent faktisk er det ogs˚a to forskjellige domener for brukeren og tjenestetilbyderen. Og i s˚a m˚ate to relaterte men forskjellige felt ˚a undersøke. I et privat perspektiv er det brukeren selv som, s˚a langt det er mulig, tar valgene selv av hvilke tjenester hun tar i bruk og hvilke autentiseringsmekanismer hun aksepterer. I en bedrift kan den ansatte i større grad p˚alegges sikkerhetsregimer som en del av arbeidet. For tilbyderen betyr det at brukeropplevelsen m˚a være god og at enhver tjeneste som ikke har et de facto monopol ogs˚a har autentiseringsløsningen som et konkurranseelement. Dessuten vil brukeren i et privat perspektiv ha større kontroll p˚a hvilke sikkerhetsniv˚aer denne forholder seg til i den praktiske tilnærmingen til sin egen informasjonssikkerhet.
Det som skiller dette kasuset fra mange andre undersøkelser rundt temaet brukeropplevelse og sikkerhet, spesielt de undersøkelsene som fokuserer p˚a tilgjengelighet gjennom universell utforming, er at en ser p˚a hele bredden av brukerens ulike kontoer og passord. Dette skiller ogs˚a oppgaven fra mye av forskningen som blir gjort i E-me prosjektet.
S˚a lenge funn fra intervjuer og observasjoner kan sies ˚a være en del av den private sfæren vil det være interessant ˚a undersøke i denne oppgaven. Undersøkelsen er derfor ˚apen og bred i den retning. Dette innebærer ˚a ta høyde for at brukeren opplever begrensninger i hvor mange forskjellige identiteter, kontoer og passord denne kan holde orden p˚a uten hjelpemidler.
Da kasuset ikke har som m˚al ˚a erstatte brukernavn/passord metafo-ren men undersøke hvordan en kan lage en universelt utformet autentise-ringsløsning vil løsningen som foresl˚as antagligvis m˚atte være kompatibel med dagens systemer. Det er viktig ˚a understreke at utforskningen av te-maet ikke har en agenda mot brukernavn/passord metaforen som har en s˚a vid utbredelse i dag. Et viktig delm˚al er ˚a forst˚a hva bakgrunnen for den-ne utbredelsen skyldes. Hvilke styrker har B/P metaforen som gjør den s˚a utbredt? I dette ligger ogs˚a ˚a utforske hvilke rammevilk˚ar en m˚a forholde seg til dersom en skal foresl˚a nye løsninger. Enkelt sagt, undersøkelsen m˚a finne ut hva spillereglene for autentisering er.
Selv om oppgaven ikke har en agenda mot B/P metaforen har den en annen agenda. Det er ˚a undersøke spesielt hvordan en kan benytte nærhetsbasert autentisering for ˚a f˚a til en universelt utformet løsning.
Prototyping og testing av systemer er derfor naturlig ˚a gjøre i en retning som kan gi mer kunnskap p˚a dette omr˚adet. Bakgrunnen for ˚a teste ut nærhetsbasert autentisering er den økende graden av brukerautentisering mot ulike terminaler som viker fra den tradisjonelle skrivebordsbaserte skjerm/tastatur dialogen. Enheter uten skjerm og uten tastatur, eller med bare nummeriske taster setter nye krav til brukeren og autentiseringen mellom bruker og maskin. Termenen maskinlesbar hverdager brukt om for eksempel utbredelsen av QR-koder. Vi bruker visakort til ˚a betale med, vi f˚ar adgang gjennom smartkort og PIN-koder, ikke tradisjonelle nøkler.
M˚anedskortet for kollektivtrafikk, for eksempel i Oslo, kan ikke lenger leses direkte av kontrollørene men m˚a sjekkes ved hjelp av et apparat. Dette er bare noen f˚a eksempler p˚a hvordan hverdagen v˚ar i større og større grad dreier seg om ˚a identifisere og autentisere seg overfor⌧noe som ikke er et menneske.
Hvilken enhet som brukes for ˚a f˚a tilgang til en konto er interessant men ikke avgjørende. Et tidlig utgangspunkt for denne oppgaven var ˚a un-dersøke mobile enheter. Men mobile enheter innebærer ogs˚a laptoper, tab-lets og andre enheter som inneholder og gir tilgang til et bredt spekter av kontoer. Siden oppgaven ser bredt p˚a problemstillingen rundt brukerau-tentisering blir hvilken type enhet brukeren benytter underordnet. I det perspektivet som er lagt opp i dette kasuset skal en se p˚a det totale bil-det for en brukers behov for autentisering. Da kan en ikke begrense seg til enkeltenheter før det er gjort intervjuer og foretatt observasjoner og bru-kertester.
Enheter uten tastatur og gjerne uten en tradisjonell skjerm gir nye utfordringer med tanke p˚a B/P metaforen, hvor det kreves input i form av tegn. Derforertypen av enhet interessant i oppgaven, men ikke først og fremst om den er mobil eller stasjonær, heller om den har en mulighet for
˚a taste inn B/P for ˚a kunne identifiseres og autentiseres. I en slik hverdag med flere enheter som kanskje bør autentiseres men vanskelig kan gjøre det ved hjelp av B/P og hvor enheten i seg selv er s˚a liten og fysisk utilgjengelig at det i det hele tatt vil være upraktisk, er tanken at den kan kommunisere tr˚adløst med en annen enhet hvor brukerautentiseringen er praktisk mulig.
Med dette som bakgrunn vil kasuset utforske nærhetsbasert autentisering som en del av en universelt utformet autentiseringsløsning
4.2.1 Avgrensning
N˚ar kasuset n˚a er beskrevet i bredde, dybde og omfang kan det være en fordel ˚a se p˚a hvor grensene trekkes. En viktig begrensning som er gjort er ˚a utelukke den tekniske siden. Den tekniske sikkerheten er interessant, men det ligger utenfor denne oppgaven ˚a vurdere denne. Dette innebærer ogs˚a at drøftinger rundt kryptering og ulike krypteringsalgoritmer ikke er en del av denne oppgaven. For en leser som først og fremst er interessert i disse spørsm˚alene vil dette kanskje virke som en stor svakhet. Det f˚ar s˚a være. Enkelte tekniske sider kan bli drøftet i oppgaven, men det er ikke noe m˚al at ogs˚a denne siden av et sikkerhetssystem skal være besvart gjennom denne oppgaven.
Teknologien som brukes i oppgaven er først og fremst et verktøy for ˚a teste konsepter. I det oppgaven skrives er nærfelts-kommunikasjon gjennom NFC standarden mye omtalt i media og p˚a vei inn i mange mobile apparater. I brukerdemonstrasjonen og testene er det brukt NFC og bl˚atann for ˚a illustrere nærhetsbasert autentisering. Det betyr ikke at det er tatt stilling tilomdet er akkurat disse to teknologiene som egner seg best i en slik løsning.
Oppgaven har heller ikke som m˚al ˚a komme med et forslag til en ferdig løsning. Det gjenst˚ar mange spørsm˚al før en er kommet s˚a langt at prototyper av en universelt utformet løsning kan testes p˚a brukere. M˚alet er ˚a øke kunnskapen rundt dette temaet og forh˚apentligvis komme et lite skritt videre i utforskningen av dette problemomr˚adet.