Sikkerheds-bjørne-tjeneste

Jeg har - de facto - opgivet den digitale signatur.

"Hvad...", vil nogen måske sige, "...nu er den jo lige ved at blive sikker?" - ja, netop, vil jeg så svare. "Og hvad så...?" vil andre sikkert bemærke - og ja, det har jo aldrig rigtigt været en folkesag, den der digitale signatur, så det er vel ikke noget særligt at vende den ryggen. Men det som dog (forhåbentlig) gør det en lille smule interessant er, at jeg faktisk har været rigtig glad for den.

Men først tror jeg lige, at jeg vil tale lidt om sikkerhedsseler. Kan I huske dengang at sikkerhedsselerne begyndte at komme frem? Kan I huske de der faste seler, som altid var for lange - eller for korte - og som altid snoede og krøllede, så det var et større puslespil at få dem på? Når man så havde fået dem på, så var de enten for løse eller også sad man snøret ind, så man blev helt gasblå i ansigtet. Og skulle de endelig sidde tåleligt, så opdagede man, at man ikke kunne læne sig frem og nå det, som man havde lagt i handskerummet, uden først at skulle tage dem af igen.

Dengang var der mange gode kræfter, som prøvede at få os til at bruge selen, og der var rigtigt mange gode undskyldninger for ikke at gøre det. Hvorfor? Tjo, min påstand er, at det simpelthen var for besværligt. Glem alt om den store risiko og alle de andre gode argumenter - det var en sten i skoen i hverdagen. Nu, hvor rulleseler stort set er standardudstyr, så tænker man ikke længere over det - man spænder bare selen. Ja, og tiden var en anden dengang - dengang kunne man også gå og prale af at have kørt en ordentlig brandert hjem - og det skulle man bare lige prøve på i dag.

Hvad har det så med den digitale signatur at gøre? Jo, hvis sikkerhed skal fungere, så skal det være nemt at bruge - ja, helst så nemt, at man ikke tænker over det, når man bruger det. Bliver det for besværlig - eller såmænd bare for tydeligt - ja, så er der en stor chance for, at man begynder at omgå eller undgå det i stedet.

Den digitale signatur var (i det mindste for mig) løftet om en digital identitet - om muligheden for et signon - om et sted, som kunne sige god for, at jeg var mig. Den ting, som betød, at jeg ikke længere behøvede at oprette brugernavne med tilhørende passwords alle mulige steder. Og, ikke mindst, en sikkerhed, som jeg kunne administrere hos mig, fremfor at skulle stole på at alle mulige rundt omkring forvaltede fornuftigt.

Men, som med alle gode sager, så havde den mange ejere, og deres dagsordner var desværre ikke altid den samme som min:

Bankerne mente ikke at den var sikker nok - og selvom den holdning oprindeligt nok mest at alt var politisk, så er det nok sandt, at vi skal over i noget med en to-faktor autentifikation, for at de kan opnå tilstrækkelig sikkerhed imod misbrug - ikke mindst hvis den ene faktor er fysisk, og derfor ikke så nem at kopiere.

Det offentlige blev udfordret på, at deres professionelle brugere er langt mere mobile end gennemsnittet - og på at computere hos dem sjældent er personlige, men snarere noget i retning af "public terminals". Tid blev derfor en faktor - det var ikke nok, at man havde logget ind, næh, man skal med jævne mellemrum bekræfte, at man stadig er den samme, for jo længere tid der går, jo større er sandsynligheden for, at nogle andre har snuppet skærmen og tastaturet (for en mere teknisk diskussion af udfordringerne, se f.eks. SOSI-projektet).

Begge aspekter har trukket den digitale signatur i en retning, hvor den er blevet mere og mere besværlig at kopiere (desværre også for den retmæssige bruger) - og mere og mere besværlig at bruge.

Jeg bruger normalt Ubuntu, når jeg skal en tur på nettet - opstartstiden slår Windows med en størrelsesorden, og trods det, at den er mere tidssvarende, så kører den væsenligt bedre på utidssvarende hardware som min. Og skulle jeg endelig lige have en Windows kørende, så bruger jeg altid Firefox - den passer simpelt bedre til mine vaner, og hvor den før simpelthen var bedre, så er den udslagsgivende faktor i dag, at jeg har kunnet tilpasse den præcist til mine ønsker. Desværre har jeg efter sidste fornyelse af min digitale signatur, ikke længere kunnet få den til at fungere i andet end Internet Explorer. Og det er simpelthen for besværligt at skulle skifte browser - eller måske endda reboote - bare for at skulle bruge digital signatur.

Det andet problem er, at jeg nu bliver tvunget til at afgive mit password langt oftere end tidligere. At man lige skal aktivere signaturen, er en fin ting - og det ville have været rart, hvis den ikke, som før, var en del af den rodebunke af sager med stærkt varierende grad af følsomhed, som udgør en browsers keystore . Men nu er den simpelthen blevet for hysterisk. Og - som for at føje spot til skade - så tror de websites, som bruger den, heller ikke rigtigt på den, så har man først sagt "logout", så kommer man ikke ind igen, førend hele browseren er blevet genstartet, hvorved hele cirkusset starter en gang til.

Så det kan godt være, at den digitale signatur er blevet mere sikker, og derfor nu kan nå grupper, som før måtte vende den ryggen, men samtidigt er den blevet for besværligt for en casual user som mig. Og jeg vurderer, at det nu, trods alt, er blevet nemmere at rekvirere tastselv-koder og oprette brugerlogins de steder, hvor jeg nu kommer på nettet. Hvad ejerne af projekt "digital signatur" ser som et fremskridt, ser jeg som et tilbageskridt.

...og nu var jeg ellers lige blevet så glad for den!

PS: Jeg ved, at der en af mine læsere som nu sidder og griner, for han har vist mig, hvordan jeg alligevel kan få den flyttet - det husker jeg skam udemærket, pointen var såmænd også kun, at det nu er blevet alt for besværligt set i forhold til alternativet.