Den 14 september 2019 infördes nya regler kring stark kundautentisering inom EU. Reglerna innebär att det krävs att man autentiserar sig med säkra metoder när man loggar in på sitt betalkonto på nätet, initierar en elektronisk betalningstransaktion, eller genomför en åtgärd på distans som kan innebära en risk.
Större hot kräver starkare skydd
Datainspektionen ställer nya krav på kreditupplysningsbranschen kring kontroll av användarens identitet i samband med nyttjande av kreditinformation. För åtkomst till känslig information är därför inte längre ditt användarnamn och lösenord tillräckligt.
Generellt anses stark autentisering vara en flerfaktoriserad metod bestående av tre faktorer, för att bekräfta identiteten av en person. Detta bör användas när en person söker tillgång till känslig information eller inträde i ett begränsat område. Ett system som kräver två av de tre faktorerna är ett tvåfaktors-autentisering system. Detta är den minimala verifierings nivån som krävs för att betraktas som stark autentisering.
Skydd genom stark autentisering avser alltså en nivå av säkerhet som är starkare än endast användarnamn och lösenord. I praktiken kan denna säkerhetsnivå exempelvis utgöras av att användaren får ett SMS med en engångskod som skrivs in vid inloggning.
Faktorer
Den första av dessa identifierade faktorer är något som bara individen vet. Detta kan vara ett lösenord eller ett personligt identifikationsnummer. Den andra faktorn är något personen har. Till exempel ett identitetsdokument, pass eller hårdvarutoken. Den tredje faktorn är en fysiskt identifierande egenskap som ett fingeravtryck eller skanning av näthinnan. En vanlig implementering av stark autentisering med två av dessa faktorer är användningen av ett PIN-nummer med ett bankkort.
Vad innebär de nya reglerna för konsumenter?
Reglerna om stark kundautentisering skyddar konsumenter och andra som använder betaltjänster. De ger bland annat ett starkare skydd mot kortbedrägerier.
I Sverige innebär det i praktiken att man som huvudregel kommer att behöva ha tillgång till exempelvis en PIN-kod till betalkort eller Bank-ID-när man genomför betalningstransaktioner i en butik, på en e-handelswebbplats eller via en mobiltelefon baserad betaltjänst applikation.
Det finns dock ett antal undantag när stark kundautentisering inte behöver tillämpas. Dessa undantag är exempelvis köp under vissa förutsättningar som transaktioner med begränsade värden och kontaktlösa betalningar i butik.
Identifieringsmetoder
Stark autentisering kan alltså bestå av flera olika metoder.
Gemensamt för metoderna är att man måste använda minst två av följande autentiserings faktorer och en dynamisk autentiserings mekanism:
- En kunskapsbaserad autentiserings faktor som individen måste kunna visa att den har kunskap om (till exempel ett lösenord eller PIN-kod)
- En innehavsbaserad autentisering faktor som individen måste kunna visa att den innehar (till exempel en kodkalkylator, mobilapplikation, kodtabell)
- En egenskapsbaserad autentiserings faktor som utgår från en kroppslig egenskap hos en fysisk person (till exempel ett fingeravtryck eller en skannad iris)
- Med dynamisk autentisering avses en elektronisk process som använder kryptering eller andra metoder för att på begäran skapa ett elektroniskt bevis för att en individ har kontroll över eller är i besittning av identifieringsinformationen. Informationen ändras vid varje auktorisering mellan individen och det system som kontrollerar individens identitet.
