Snart startar försäljningen av Iphone X med omdiskuterade säkerhetslösningen Face ID. En teknik som enligt Apple själva överträffar föregångaren Touch ID. Men fler faktorer än själva tekniken påverkar säkerhetsnivån. En av de största är vi användare.
I Apples nya toppmodell ersätts fingeravtrycksläsaren med ansiktsigenkänning som alternativ till en långsam pinkod. På förhand har tre aspekter av Face ID diskuterats: Är den nya tekniken lika snabb och lättanvänd som Touch ID? Är det möjligt att lura ansiktsigenkänningen? Och är användarnas integritet skyddad på ett tillfredsställande sätt?
Svaret på den första frågan kommer att ge sig med tiden, när tekniken används dagligen av miljontals användare. På den sista frågan är Apples svar ja. Återstår gör vad som kommer att krävas för att lura tekniken.
Den frågan omger varje nytt tekniksteg som syftar till att skydda användarnas integritet och säkerhet. Fingeravtrycksläsare, även Apples, har lurats att släppa in obehöriga användare tidigare. Detsamma gäller ansiktsigenkänning i mobiltelefoner. Lyckas någon bluffa Face ID kan vi räkna med krigsrubriker i tidningar runt om i världen.
Men händer det, nöj dig inte med att läsa rubriken. Det är inte ens säkert att det räcker att du läser artikeln, kanske måste du leta upp originalkällan för att kunna avgöra hur stort problemet är i praktiken.
För vi måste skilja på två saker här: Vad som är praktiskt genomförbart för den som har stora resurser och ett ordentligt teknikkunnande och vad som faktiskt innebär ett problem för de flesta av oss, det vill säga säkerhetshålen som är så lätta att utnyttja att de kan drabba vem som helst. Mer än en gång har väldigt avancerade intrångsmetoder blivit rubriker i media, trots att problemen varit så komplicerade och dyra att utnyttja att de i praktiken bara utgjort ett problem för en liten grupp människor som till exempel finns på säkerhetsmyndigheters radar.
Krånglig säkerhet är ingen säkerhet
När man ska göra en riskbedömning är det två saker som är relevanta: Hur sannolikt är det att något händer? Och hur stor är den potentiella skadan? Och det är här det blir intressant att titta närmare på Face ID och andra nya säkerhetslösningar, som exempelvis usb-nycklar som följer standarden U2F för tvåfaktorsinlogg.
Enligt Apple själva är ansiktsigenkänningen säkrare är fingeravtrycksläsningen. Men det intressanta med fingeravtrycksläsare och ansiktsigenkänning är inte om det går att lura tekniken. Det är hur mycket bättre säkerheten blir för de allra flesta teknikanvändare. Det handlar om att höja säkerhetsnivån utan att göra för stora intrång i användarupplevelsen. För om säkerhet är bökigt väljs den bort till förmån för en bättre användarupplevelse.
Innan fingeravtrycksläsarna dök upp i våra mobiltelefoner var det många som faktiskt hoppade över pinkoden. Att behöva knappa in fyra siffror innan man kunde använda telefonen var en tröskel som upplevdes för hög. När fingeravtrycksläsarna blev tillräckligt snabba och träffsäkra var tröskeln plötsligt borta. Det är inte jobbigare att väcka en telefon som är skyddad med fingeravtryck än att väcka en telefon utan skydd alls. Resultatet är att fler skyddar sina telefoner på ett bättre sätt. Vilket är bra. Sannolikheten för en tappad eller stulen mobiltelefon är förhållandevis hög och skadan stor med tanke på vilken information som finns i en telefon.
Säkerhet är allas ansvar
Under cybersäkerhetsmånaden som pågår i oktober i EU och USA är Facebook är ett av flera företag som tar tillfället i akt för att utbilda sina användare om bland annat tvåfaktorsinlogg. Det är bra. Säkerhet är komplext och det krävs att många aktörer hjälps åt för att utbilda användarna.
Hit hör inte minst media, som behöver bli mer balanserad i sin rapportering. Det är inte rimligt att säkerhetshål som berör ett fåtal framställs som en katastrof för alla internetanvändare. Det riskerar antingen att skapa en uppgivenhet – ”det spelar ingen roll vad vi gör, säkerhetshålen är så stora och många ändå” – eller en trötthet – ”det kommer nya hål hela tiden, jag orkar inte bry mig”.
Och för oss användare finns det framförallt en sak de flesta av oss kan göra för att skydda våra känsliga uppgifter: utnyttja de möjligheter som erbjuds och inte välja bort dem bara för att de är valfria. Eller för krångliga.
Om skribenten
Anders Thoresson har bevakat IT och telekom sedan 1999, först som reporter på Ny Teknik och sedan 2006 som frilans. Genom åren har hans texter bland annat publicerats i Dagens Nyheter, Dagens Industri, Forskning och Framsteg, IVA Aktuellt och Ny Teknik. Han har också skrivit flera Internetguider åt IIS och gör poddcasten Digitalsamtal. Du når Anders via hans webbplats.
Vill du få tillgång till veckobrevet för DF Analys?