Tillitsnivåer (LoA)

Vägledning om tillitsnivåer (LoA) ger en vägledning för tillitsnivåer

I dagsläget finns det i Sverige endast några få tillitsramverk för offentlig sektor. De är Tillitsramverk för kvalitetsmärket Svensk e-legitimation, Sambi och Skolfederationen. Dessa tillitsramverk har en gemensam grund i NIST SP 800-63 samt Kantara Initiative Identity Assurance Framework (IAF).

Med tillitsnivå avses grad av säkerhet och tillförlitlighet. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. Tillitsnivåer förkortas ofta LoA (Level of Assurance).

  • Tillitsnivåer för svenska e-legitimationer. De definieras i DIGG:s tillitsramverk för Svensk e-legitimation, som innehåller tillitsnivå 2-4.

  • Tillitsnivåer för e-legitimering över landsgränserna. De definieras i EU-förordningen eIDAS, som innehåller nivåerna låg, väsentlig och hög.

Båda bygger på samma internationella standard, ISO/IEC 29115, som definierar fyra tillitsnivåer. Tillitsnivå 1 definieras i ISO/IEC 29115 men har ingen motsvarighet i varken det svenska tillitsramverket eller i eIDAS-förordningen.[1]

 

Krav i KLASSA som berörs av tillitsnivåer (LoA):

9.2.1 Registrering och avregistrering av användare

9.2.4 Hantering av användares konfidentiella autentiseringsinformation

9.4.2 Säkra inloggningsrutiner

9.4.3 System för lösenordshantering

Tillitsnivå 1

  • Användarens identitet styrks inte alls.
  • Användaren identifieras genom exempelvis e-postadress och lösenord.
  • Det finns ingen tillit till identiteten, men viss tilltro till att det är samma individ över tid. Vissa krav på lösenord och hanteringen av dem.

Tillitsnivå 2

  • Användarens identitet verifieras genom att bevisa innehav av en tillhörighet som bara användaren kan antas förfoga över. Exempel kan vara kod som skickats i kodkuvert till sökandes folkbokföringsadress.
  • Användaren identifieras genom exempelvis engångslösenord från dosa eller mobiltelefon.
  • Det finns en viss tillit till identiteten, och krav på tvåfaktorsautentisering.

 Tillitsnivå 3

  • Användarens identitet verifieras på likvärdigt sätt som vid utgivning av en fullgod svensk legitimationshandling. E-legitimationen kan utfärdas på distans om utfärdaren redan har identifierat mottagaren, till exempel i samband med öppnandet av ett bankkonto eller vid en anställning.
  • Användaren identifieras genom exempelvis en skyddad app i en smarttelefon.
  • Det finns en hög tillit till identiteten, och krav på tvåfaktorsautentisering.

Tillitsnivå 4

  • Användarens identitet verifieras vid personligt besök genom en fullgod svensk legitimationshandling.
  • Användaren identifieras genom en e-legitimation som skyddas i ett särskilt chip, som kan finnas på till exempel ett plastkort, en mobiltelefon eller en USB-enhet.
  • Det finns en mycket hög tillit till identiteten, och krav på tvåfaktorsautentisering.

 

Se DIGG:s Tillitsramverk för kvalitetsmärket Svensk e-legitimation för vidare information

https://www.digg.se/4a39f5/globalassets/dokument/digital-identitet/e-legitimering/kvalitetsmarket-svensk-e-legitimation/tillitsramverk/tillitsramverk-for-svensk-e-legitimation.pdf

 

[1] https://www.digg.se/digital-identitet/e-legitimering/tillitsnivaer/

  • Senast ändrad: 2022-07-26 16:07