Användbarhetsboken berättar hur man gör webbplatser tillgängliga och användbara. Läs den här, eller beställ från Bokus eller Adlibris.

Rensa bort inaktiva användarkonton

Ett användarkonto som inte längre används tar upp diskutrymme till ingen nytta. I sig kanske inte något stort problem, hårddiskar är billiga. Värre kan vara att populära användarnamn är upptagna utan att komma till bruk.

Därför kan det vara en god idé att bestämma hur länge ett konto får vara inaktivt innan det rensas bort.

Om du har användarens e-postadress, kan det vara uppskattat att sända en varning en månad före och ge användaren en chans att rädda sitt användarnamn. Om användaren inte gör något sänd en sista varning 24 timmar innan kontot utplånas.

Att koppla användarkontot till en verklig människa

För att en användare skall bli identifierad krävs att det finns en koppling mellan användarkontot och den verkliga människan.

Gör kopplingen lagom säker

Kopplingen mellan användarkonto och verklig människa kan göras på en mängd olika sätt, och även på detta område gäller det att hitta en balans mellan bekvämlighet och säkerhet. Ju säkrare man vill vara, desto krångligare och dyrare blir det vanligen att ordna.

Osäkra kopplingar

Ofta räcker det för webbplatsen med en begränsad visshet i kopplingen mellan användaridentitet och verklig identitet. Här är några sådana metoder.

Användarens egen uppgift

Att användaren säger att hon är en viss person är naturligtvis så långt ner på säkerhetsskalan man kan komma, men i sammanhang där användaren har något att tjäna på att uppge sitt korrekta namn kan det fungera. Räkna dock med att hitta en och annan ”Kalle Anka” bland användarna.

E-postadress

Ett av de absolut vanligaste sätten är att kräva att användaren uppger en e-postadress och att sedan skicka ett e-brev till denna adress som användaren antingen skall svara på eller klicka på en länk i.

Eftersom det är lätt för vem som helst att skaffa en Hotmail-adress ligger naturligtvis även denna metod långt ner på säkerhetsskalan.

Personnummer

Att be användaren uppge sitt personnummer är ytterligare en metod. Det är förvånansvärt svårt att gissa sig fram till ett fungerande personnummer (bara vart tionde försök lyckas), men för den som vill lura systemet är det naturligtvis inget hinder.

Att be om personnummer kan vara integritetskänsligt, och utestänger alla människor i hela världen utom de få som har ett svenskt personnummer.

Vanlig adress

Ett betydande steg i säkerhet – och i krångel – tar man genom att skicka användarnamnet och lösenordet i ett vanligt brev till det namn och den adress användaren uppger.

Även detta går naturligtvis att lura, men bara med visst besvär.

Säkra kopplingar

Var gränsen går för att man skall känna sig trygg i hopkopplingen mellan människa och användarkonto är en bedömningsfråga. Ingen metod kan ge fullständiga garantier mot bedrägerier.

Den nivå man tycks ha valt åtminstone hos svenska myndigheter är att den elektroniska identifieringen måste vara minst lika säker som när någon i den verkliga världen legitimerar sig med sitt id-kort.

Generellt kan man säga att de metoder som godtas är sådana som just kräver att användaren i något skede personligen och med id-kort bevisat sin identitet.

Konventionell legitimering

Detta görs vanligen genom att skicka inloggningsuppgifterna i ett rekommenderat brev som användaren måste gå till sitt postutlämningsställe och legitimera sig för att få ut.

Överförd säkerhet

En av de mest spridda autentiseringsmetoderna bland dem som betraktas som säkra är BankID . För att få ett sådant måste användaren ha ett konto i en internetbank (och för att ha det måste hon någon gång ha legitimerat sig på konventionellt sätt).

Elektroniskt id-kort

Det finns numera elektroniska id-kort. De ser ut som vanliga konventionella, men har dessutom en datorkrets. För att använda det måste användaren ha tillgång till en dator med en kortläsare, samt kunna id-kortets lösenord.

Visa upp sig

I vissa sammanhang är det lättare att fastställa identitet. Till exempel för intra­nät­en, där kontrollen är informellare men lika sträng. Där får användaren sitt konto i samband med anställningen.

comments powered by Disqus