Vad är e-legitimation?

Vid första anblick kan det kanske tyckas att det är självklart vad en e-legitimation är, men i själva fallet är det ett komplext ämne som förtjänar att förklaras. Inte minst nu när cybersäkerhet, nätintrång, hackare och tvåstegsverifiering mer än någonsin behöver förstås och hanteras för att skydda vår egen och andras data.

En e-legitimation eller elektronisk identitetshandling kan jämföras med en vanlig id-handling, till exempel id-kort eller körkort. Skillnaden är att den användas för att identifiera innehavaren elektroniskt och på så vis kan användaren få åtkomst till olika myndigheters, företags och arbetsgivares elektroniska tjänster på nätet.

Kärt barn har många namn …
e-legitimation även kallad e-leg, eID eller e-ID

Det finns idag fyra e-legitimationer som är godkända av Myndigheten för digital förvaltning (DIGG) för privatpersoner och deras leverantörer inom både privat och offentlig sektor i Sverige: BankID, Mobilt BankID, Freja eID+, Svenska Pass och Telia E-legitimation. Inom vård och omsorg finns en femte godkänd e-legitimation för säker åtkomst av information; SITHS

Öka säkerheten och hindra cyberattacken

Genom öka säkerhetsmedvetenheten och implementera tvåfaktorslösning som låter användarna logga in med av DIGG godkänd e-legitimation i tjänster, system och appar, skyddas data från de som inte ska komma åt den.

Det bidrar till trygghet då regler och lagar styr hur tillförlitlig och säker en organisations hantering av identiteter är. Mer om tillitsnivåer nedan.
Vi uppmärksammas allt mer om hur antalet cyberattacker ökar och att alla kan drabbas. Att få sin identitet kapad eller bankkontot länsat är förstås en påfrestande upplevelse. Därför vill vi lyfta vikten av cybersäkerhet. Läs mer om i European Cyber Security Month (ECSM) här

Hur fungerar e-legitimering och hur ser processen ut?

En e-legitimering sker när en en e-legitimation stärker en individs identitet vid exempelvis inloggning till ett verksamhetssystem eller en app. För att detta ska fungera krävs ett bakomliggande samarbete av flera olika funktioner och system.

Användare:
Har en e-legitimation som kan används för att legitimera sig elektroniskt mot en tjänst.

E-legitimationsutfärdare:
Förser användaren med en e-legitimation och tillhandahåller de stödfunktioner som krävs.

Leverantör av identitetsintyg: kallas också för ”identity provider” eller IdP:
Utför en elektronisk identifiering av användaren, det vill säga kontrollerar att det är rätt person som legitimerar sig.

Tillhandahållare av e-tjänst: Kallas också för ”service provider” eller SP.
Är den som litar på det identitetsintyg som ställs ut, och kan vara såväl en privat som offentlig aktör.

Integrationsbroker

Integrationsbroker, på engelska även kallat Message Broker eller Integration Broker fungerar som en mellanhand för att underlätta när verksamheter behöver integrera tjänster och användardata. Man kan likna det med en mäklartjänst som agerar stöd för både SP och IDP

Integrationsbrokern hjälper till oavsett om rollen representerar en tjänst som Service Provider eller en organisation som vill identifiera användare mot en tjänst som Identity Provider

Hur vet man hur tillförlitlig en e-legitimation är?

För att beskriva hur säker och tillförlitlig en e-legitimation är delar man in dem i olika tillitsnivåer. Ju högre tillitsnivå desto säkrare är e-legitimeringen, både när det gäller teknisk och administrativ säkerhet.
Tillitsnivå påverkas av vilken inloggningslösning som valts och bedöms utifrån vilken skada som riskerar att uppstå om fel person får tillgång till e-tjänsten.
Att skydda innehavare och användares information mot dataintrång och andra cyberangrepp är av stor vikt och delvis grunden till LoA (Level of Assurance) ett tillitsramverk som togs fram av Amerikanska National Institute of Standards and Technology (NIST) och används för att värdera hur tillförlitlig och säker en organisations hantering av identiteter är.

Det har sedan kommit att ligga till grund för många organisationers och länders egna standarder. Den standard som i sin tur har fått störst genomslag är den internationella ISO/IEC 29115. Där delas LoA-nivåerna upp i fyra delar utifrån graden av tillit och hur säker kontrollen av identiteterna är, LoA nivåerna kan därför se olika ut för olika organisationer beroende på en rad olika faktorer.

LoA1: Mycket låg tillitsnivå – Användarens identitet kan inte styrkas.
LoA2: Relativt låg tillitsnivå – Användarens identitet kan kopplas till exempelvis användarnamn och lösenord.
LoA3: Relativt hög tillitsnivå – Användarens identitet skyddas genom minst tvåfaktorsautentisering.
LoA4: Mycket hög tillitsnivå – Användarens identitet kan styrkas med en identitetshandling som har lämnats ut vid ett personligt möte med en betrodd utgivare.

Vad gäller i Sverige?

Nämnda ISO/IEC-standarden ligger även till grund för det nationellt anpassade tillitsramverket i Sverige. Myndigheten för digital förvaltning – DIGG – som står bakom och använder det för att granska och godkänna e-legitimationer för det statliga kvalitetsmärket för e-legitimering; Svensk e-legitimation. Några skillnader mellan svenska tillitsnivåer och LoA enligt ISO/IEC finns dock.

Tillitsnivå 1: Ingår inte i det svenska ramverket eftersom det inte kräver legitimering. Här ingår även i DIGGS definition även användarnamn och lösenord.
Tillitsnivå 2: Identiteten kan styrkas med tvåfaktorsautentisering, exempelvis genom något som enbart användaren kan ha tillgång till som en engångskod.
Tillitsnivå 3: Precis som enligt ISO/EIC måste identiteten kunna styrkas med exempelvis en godkänd identitetshandling eller e-legitimation. Här återfinns de av DIGG godkända e-legitimationerna Freja eID Plus och BankID, samt Freja Organisations eID och SITHS för identifiering i tjänsten.
Tillitsnivå 4: Liksom enligt ISO/EIC krävs ett personligt möte för att verifiera identiteten. Användaren kan även identifieras genom en e-legitimation som skyddas i ett särskilt chip, som kan finnas på till exempel ett plastkort, en mobiltelefon eller en USB-enhet. Svenska Pass är den enda godkända e-legitimationen som uppfyller högsta nivån.

Svensk e-identitet hjälper till med både råd och anslutning

Oavsett svar motsvarande LoA 2-4 har Svensk e-identitet en lösning för er. Allt ifrån enklare inloggningsmetoder och egna lösningar till samtliga av DIGG godkända svenska e-legitimationer.

Varför göra det svårt när det kan vara enkelt? …

Läs mer under följande länkar

digg.se

Tillitsnivåer för e-legitimering

Kaka	Typ	Varaktighet	Beskrivning
__cf_bm		1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc		1 hour	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
__hssrc		session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_cfuvid		session	Calendly sets this cookie to track users across sessions to optimize user experience by maintaining session consistency and providing personalized services
ApplicationGatewayAffinity		session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
cookielawinfo-checkbox-advertisement		1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytical		1 year	Set by the GDPR Cookie Consent plugin to store the user consent for cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
cookielawinfo-checkbox-performance		1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent		1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
intercom-device-id-*		8 months 26 days 1 hour	Intercom sets this cookie that allows visitors to see any conversations they've had on Intercom websites.
intercom-id-*		8 months 26 days 1 hour	Intercom sets this cookie that allows visitors to see any conversations they've had on Intercom websites.
intercom-session-*		7 days	Intercom sets this cookie that allows visitors to see any conversations they've had on Intercom websites.
rc::a		never	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
rc::c		session	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
XSRF-TOKEN	0	1 day	This cookie is used for security purposes of the website.

Kaka	Typ	Varaktighet	Beskrivning
intercom-device-id-tbnb2681		8 months 26 days 1 hour	No description
test_cookie	0	11 months	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
wj4s	1	1 day

Kaka	Typ	Varaktighet	Beskrivning
_ga	0	14 months	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, camapign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assigns a randoly generated number to identify unique visitors.
_ga_7C9PW9YLV6		14 months	This cookie is installed by Google Analytics.
_gat_UA-7338076-9	0	1 minute	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_gid	0	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
CONSENT		2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
GPS	0	30 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
YSC	1		This cookies is set by Youtube and is used to track the views of embedded videos.

Kaka	Typ	Varaktighet	Beskrivning
ANONCHK		10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and verify ads' clicks on the Bing search engine. The cookie helps in reporting and personalization as well.
bcookie		1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser IDs.
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
MUID		1 year 24 days	Bing sets this cookie to recognise unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
VISITOR_PRIVACY_METADATA		6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
yt-remote-connected-devices		never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id		never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Kaka	Varaktighet	Beskrivning
__hstc	6 months	Hubspot set this main cookie for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_clck	1 year	Microsoft Clarity sets this cookie to retain the browser's Clarity User ID and settings exclusive to that website. This guarantees that actions taken during subsequent visits to the same website will be linked to the same user ID.
_clsk	1 day	Microsoft Clarity sets this cookie to store and consolidate a user's pageviews into a single session recording.
_fbp	3 months	Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website.
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
CLID	1 year	Microsoft Clarity set this cookie to store information about how visitors interact with the website. The cookie helps to provide an analysis report. The data collection includes the number of visitors, where they visit the website, and the pages visited.
hubspotutk	6 months	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
MR	7 days	This cookie, set by Bing, is used to collect user information for analytics purposes.
SM	session	Microsoft Clarity cookie set this cookie for synchronizing the MUID across Microsoft domains.