54 Behörighet och identifiering

Att folk går på phishing (när en sajt utger sig för att vara en annan, i syfte att lura av användaren känslig information, till exempel lösenord) är inte så konstigt när de riktiga sajterna ser ut så här:

Man har varit för snål för att köpa ett certifikat som är kopplat till något av de rotcertifikat som webbläsaren känner igen. Istället förväntas jag som kund ta ställning till om jag litar på ett företag vars namn jag aldrig hört. “Finansiell ID-teknik BID AB” – i mina öron låter det faktiskt lite skumt, ett namn där man slängt på lite för många tillitsord, en doft av desperation. Dessutom är URLen inte samma som den jag knappade in – var kommer den där ettan i www1 ifrån?

Men – ska jag göra något med Skatteverket så måste jag blint lita på dem. Och därmed har Skatteverket tränat bort ytterligare lite av mina “det här ser skumt ut”-reflexer.

(I rättvisans namn skall sägas att jag inte är säker på vem som snålat, om det är Skatteverket eller BankID.)

P.S: Minns plötsligt att jag varit upprörd över Skatteverket en gång tidigare. Jämfört med hur det var för tre år sedan är trots allt den nya säkerhetslösningen ett steg framåt.

Gick för en tid sedan in på Skatteverket för att deklarera elektroniskt. Möttes av detta:

En bra illustration till att i säkerhetssammanhang måste man få detaljerna helt rätt – blir det litet fel blir antingen användaren orolig att hon håller på att bli lurad, eller så lär hon sig att inte vara så noga med detaljerna.

“Accepterar du certifikatet från webbplatsen ‘www1.skatteverket.se’?” Jag gick in på “www…”, inte på “www1...”. Vad betyder 1:an? Är jag utsatt för phishing (att någon har gjort en webbplats som liknar Skatteverkets i syfte att komma över hemliga uppgifter från mig)?

“Säkerhetscertifikatet har utfärdats av ett företag som inte är säkert.” Finns det alls någon anledning för mig att inte omedelbart fly från denna webbplats?

“Säkerhetscertifikatet har inte förfallit och är fortfarande giltigt.” Hur skiljer sig detta från “är gilitigt”? Varför denna språkligt omotiverade tonvikt vid att det kan förfalla – det låter nästan som att man förväntar sig att det skall göra det vilken minut som helst.

“Varning: ‘www1.skatteverket.se’ försäkrar att innehållet är säkert. Du bör endast installera/visa innehållet om du litar på att ‘www1.skatteverket.se’ gör denna försäkran.” Meningslös utsaga. I början berättar den att ‘www1.skatteverket.se’ gjort en försäkran, i slutet uppmanas jag att ifrågasätta om föräkran är gjord. Kanske försöker de skriva “om du litar på www1.skatteverket.se”. Kanske försöker de skriva att det inte är säkert att försäkran gjorts (trots att det står det).

Och vad betyder knappen “Alltid”?

Det räcker med att en detalj är fel för att förlora användare i ett sådant här sammanhang. Här är en räcka av felaktigheter och oklarheter (inte alla under Skatteverkets kontroll, men alla drabbar dem likfullt). Hur användarna reagerar vet jag inte, men jag tror detta kan leda till två saker:

• En del kommer inte att våga använda tjänsten

• En del kommer att dra slutsatsen att den nog är legitim, det slaffsiga utförandet till trots – och lära sig att sänka sin misstänksamhet. Vilket gör det lättare för riktiga bedragare att lyckas på nätet.