Choose language
← Vad är vad?

Vad är Tillitsnivåer och loa?

Hur trygga kan ni vara med att den som loggar in i era e-tjänster verkligen är rätt person? Förmågan att skydda känslig information mot cyberangrepp styrs av hur tillförlitlig er identitetshantering är. Detta mäts i LoA (Level of Assurance) – tillitsnivåer.

Vi går igenom vad LoA innebär och hur ni bestämmer vilken nivå som krävs för er verksamhet.

Vad är LoA (Level of Assurance)?

LoA är ett internationellt tillitsramverk som används för att värdera tillförlitligheten och säkerheten i hanteringen av digitala identiteter.

Ramverket bygger ursprungligen på en standard från NIST i USA, men den standard som fått störst genomslag är den internationella ISO/IEC 29115. Den delar upp LoA-nivåerna i fyra steg baserat på hur säker kontrollen av identiteten är.

De fyra ISO/IEC LoA-nivåerna

  • LoA1: Identifiering sker enbart via en e-postadress eller ett telefonnummer. Tilliten till identiteten är mycket låg.

  • LoA2: Identiteten kan kopplas till till exempel användarnamn och lösenord. Denna nivå bör bara användas när skyddsbehovet är lågt.

  • LoA3: Identiteten skyddas genom minst tvåfaktorsautentisering, ofta via en engångskod eller säkerhetsnyckel. Används när skyddsbehovet av informationen är relativt högt.

  • LoA4: Identiteten har styrkts vid ett personligt möte med en betrodd utgivare. Används när skyddsbehovet av informationen är mycket högt.

Svenska tillitsnivåer (DIGG)

ISO/IEC-standarden ligger till grund för det nationellt anpassade tillitsramverket i Sverige. Myndigheten för digital förvaltning (DIGG) använder det för att granska och godkänna e-legitimationer för det statliga kvalitetsmärket.

Svenska tillitsnivåer (DIGG)

  • Tillitsnivå 1: Användarnamn och lösenord ingår i DIGG:s definition, även om det inte kräver legitimering.

  • Tillitsnivå 2: Identiteten styrks med tvåfaktorsautentisering, till exempel genom något som enbart användaren har tillgång till (engångskod).

  • Tillitsnivå 3: Identiteten måste styrkas med en godkänd e-legitimation. Här återfinns de av DIGG godkända e-legitimationerna som Bank-ID och Freja eID Plus, samt SITHS för identifiering i tjänsten.

  • Tillitsnivå 4: Kräver personligt möte för att verifiera identiteten, eller att e-legitimationen skyddas i ett särskilt chip. Svenska Pass är i dagsläget den enda godkända e-legitimationen på denna nivå.

LoA i EU (eIDAS)

ISO/IEC-standarden styr också identifiering med utländska e-legitimationer inom EU, reglerat av eIDAS-förordningen. Nivåerna delas här upp i tre: låg, väsentlig och hög. Offentliga verksamheter ska erbjuda inloggning med utländska e-legitimationer genom eIDAS.

Välj rätt LoA-nivå för er

Valet av LoA-nivå ska alltid utgå från er organisations faktiska behov av skydd och säkerhet. Vårt råd är att ni först besvarar följande nyckelfrågor, innan ni fattar beslut om vilken nivå ni ska implementera.

Frågor för att bestämma LoA-nivå

  • Skyddsbehov: Hur stor blir skadan om informationen som ska skyddas hamnar i orätta händer?

  • Standardkrav: Måste er metod för identifiering vara officiellt DIGG-godkänd, eller räcker det att ni uppfyller kraven för en viss LoA-nivå?

  • Målgrupp: Vilka är det som ska identifieras och i vilket syfte? (Anställda, kunder, utländska användare, etc.)

  • Ansvar: Vem hanterar datan som autentiseringen sker emot (IdP-leverantör)?

  • Kostnad och tid: Vad är ett rimligt pris att betala för aktuellt behov, och hur lång tid är ni beredda att vänta på anslutning?

E-identitet hjälper er med råd och anslutning

Som er helhetspartner har E-identitet lösningar som täcker alla era behov – från LoA 2 till LoA 4. Vi tillhandahåller expertis, rådgivning och anslutning till allt från enklare inloggningsmetoder till samtliga av DIGG godkända svenska e-legitimationer.

Varmt välkommen att kontakta oss för att säkra er identitetshantering!

Kontakta oss Läs om autentisering & inloggning