Yubicos Stina Ehrensvärd drömmer om en framtid utan lösenord

2019-04-18 06:00  

Bristande säkerhet är det största hotet mot internet, enligt det svenska snillebolaget Yubico. Och för att råda bot på problemet måste dagens lösenord dö, menar vd:n Stina Ehrensvärd.

Stina Ehrensvärd är trött, mycket trött. Under de senaste dygnen har hon rest från Silicon Valley, it-branschens Mecka på den amerikanska västkusten, till Tyskland och sedan vidare till Stockholm.

Nu sitter hon och dricker kaffe i soligt konferensrum i det svenska säkerhetsbolagets huvudkontor på Olof Palmes gata. På bordet framför ligger hennes välkända luffarkeps, som bland annat har synts på bilder i teknikbibeln Wired.

– Den absolut största delen av våra ingenjörer sitter här. Vi har en del nyckelpersoner på plats i Silicon Valley, som vår tekniske chef Jakob Ehrensvärd. Men det är en viktig del av vår verksamhet som finns i Stockholm, säger Stina Ehrensvärd till Ny Teknik.

Stina Ehrensvärd kvicknar snabbt till när vi kommer in på den sensationella resan som Yubico har gjort sedan hon och maken Jakob Ehrensvärd startade säkerhetsbolaget 2007. Bolagets innovation består bland annat i säkerhetsnyckeln Yubikey, som fungerar som ett extra, supersäkert skyddslager på internet.

Metoden kallas för tvåfaktorsautentisering, och gör att det är omöjligt att logga in på dina konton hos exempelvis Facebook eller Google utan din Yubikey. Och för att säkerhetsnyckeln ska kunna användas, måste den först anslutas till mobilen eller datorn via usb-porten.

Läs mer: Här är tekniken som ska göra nätet fritt från lösenord

– Vilka andra pratade om tvåfaktorsautentisering när vi startade Yubico 2007? Knappt någon. Samtidigt har problemet med bristande säkerhet på nätet blivit allt större, och är det enskilt största hotet mot internet i dag. En siffra som jag har hört är att 80 procent av alla nätbedrägerier beror på hackade lösenord eller andra mindre säkra inloggningsmetoder. Av dessa bedrägerier är majoriteten phishing-attacker. Och det problemet löser vi med vår teknik, säger hon.

Yubico har 19 av 20 it-jättar som kunder

I fjol landade Yubicos försäljningsintäkter på 640 miljoner kronor. Det är en ökning med 300 miljoner kronor sedan 2016. I dag har Yubico 19 av 20 it-jättar på kroken, däribland Google, Facebook och Microsoft. Men vägen dit var knappast spikrak. De första åren var synnerligen tuffa, erkänner Stina Ehrensvärd.

Genombrottet kom först efter att Google hade hört av sig 2010. Vid den tidpunkten hade sökjätten drabbats av en omfattande attack där användarkonton hackades, och delar av Googles källkod stals.

Kunde det unga svenska säkerhetsbolaget hjälpa till att förbättra säkerheten för Googles anställda genom att bygga in stöd för asymmetrisk kryptering i sin Yubikey? Det är en krypteringsteknik som använder två olika nycklar: en för att låsa in informationen och en annan för att låsa upp den.

Läs mer: Yubicos nya säkerhetsnyckel passar både Iphone och Android

Resultatet av samarbetet blev en helt ny standard som Google och Yubico döpte till U2F. I december 2014 antogs sedan standarden av Fido Alliance – ett organ med över 150 medlemmar, bland annat Google, Microsoft, Paypal, Visa och Mastercard.

– Google har inte haft en phishingattack sedan bolaget började använda våra säkerhetsnycklar. Dessutom har Googles supportärenden som har med lösenordshantering åt den egna personalen att göra minskat med 92 procent. Det är den typen av besparingar, både när det gäller tid och pengar, som har lett till att så många it-jättar blivit kunder hos oss. Förståelsen för att säkerheten på nätet är livsviktig har ökat bland bolagen, det märker vi tydligt, säger Stina Ehrensvärd.

Utvecklar en ny värlsstandard för digital säkerhet

Nu skrivs nästa kapitel i historien om Yubico. I början av mars godkände organisationen World Wide Consortium (W3C) den nya säkerhetsstandarden Webauthn, som Yubico har haft en viktig roll i utvecklingen av.

Med den nya standarden, som är en vidareutveckling av U2F, är inte användarnamn och lösenord längre ett måste för att logga in hos tjänster som Facebook. Webauthn gör det nämligen möjligt för webbsidor att kommunicera säkert med både externa hårdvarunycklar, exempelvis en Yubikey, och säkerhetschip som byggs in direkt i telefoner och datorer.

Webbläsare som Chrome, Firefox, Edge och Safari har redan i dag stöd för Webauthn. Men standarden kommer också byggas in hos många webbsajter i snabb takt. Det är Stina Ehrensvärd övertygad om. För henne representerar Webauthn ett viktigt steg framåt mot en framtid helt utan lösenord - inte minst för digitala id-lösningar.

Läs mer: Stina Ehrensvärd blev årets kvinnliga stjärnskott

– På sikt tror jag att folk kommer att använda sin Yubikey, eller någon annan säkerhetsnyckel, för autentisering. Och sedan kopplar man den nyckeln till olika identitetsutfärdare, må så vara Facebook eller en e-legitimation som Bank-id. Jag tror också att Webauthn-standarden kommer att kunna byggas in i exempelvis betaltjänster och iot-lösningar längre fram, och bli lite som hur ssl-certifikatet har varit en hörnsten för säkerhetslösningar på nätet.

Bank-id har fått enormt genomslag i Sverige på kort tid. Hur ser du på tjänsten?

– Det är många som frågar om det. Jag tycker att tjänsten är bra och det finns ingen anledning att slänga ut något som fungerar. Istället kan man komplettera och vidareutveckla med ännu säkrare teknik som Yubikey och Webauthn.

Å andra sidan har Bank-id skapats av ett konsortium av svenska banker. Rent generellt, kan det vara ett problem när banker får en sådan dominerande ställning?

– Det är en intressant fråga. Det var aldrig tänkt att Bank-id skulle få en dominerande ställning, har jag hört. Nu har det blivit lite så. Om du tittar på Storbritannien har den brittiska regeringen valt en annan väg. Där har man i stället utvecklat systemet Gov.uk Verify, som använder fem upphandlade identitetsförmedlare. En av dessa är en bank, och en annan ett kommersiellt säkerhetsbolag, till exempel. Den modellen tycker jag är vettig, för då skapar man konkurrens och innovation. Digidentity, som är en av identitetsförmedlarna, har stöd för vår teknik. Om jag varit engelsk medborgare skulle jag alltså kunna använda min Yubikey för att betala skatt i England – samtidigt som samma säkerhetsnyckel gör det möjligt för mig att logga in på Facebook. Det är den revolutionerande lösningen med Webauthn och U2F.

”Vår teknik hade kunnat stoppa dataintrånget hos Hillary Clinton”

Under 2019 är siktar Yubico på att nå en omsättning på närmare en miljard kronor. Samtidigt finns det inte oändligt många it-bolag i Silicon Valley, eller i andra delar världen för den delen, att sälja säkerhetsnycklar till.

Stina Ehrensvärd är mycket väl medveten om detta, och pekar snabbt ut den finansiella sektorn och den statliga sfären som två viktiga tillväxtområden för Yubico.

– Vi har redan Cern och företag som Novartis och Dyson som kunder. Samt ett gäng svenska kommuner. En annan fjäder i hatten är att Barack Obamas valarbetare använde Yubikey under en av hans valkampanjer.

Skulle er teknik ha kunnat stoppa dataintrånget hos Demokraterna under Hillary Clintons valkampanj 2016?

– Ja, eftersom phishing användes vid den attacken. Hade Clinton och Demokraterna gjort som Obama, hade världen kanske sett annorlunda ut i dag.

Yubico: Vi är inte rädda för konkurrens från Google

På sistone har Yubico mött allt hårdare konkurrens – i synnerhet från samarbetspartnern Google. På kort tid har sökjätten dels lanserat en egen säkerhetsnyckel, kallad Titan Security Key, dels sjösatt ett projekt med målet att även Android-telefoner ska kunna användas som säkerhetsnycklar.

Läs mer: Yubico-vd: ”Vi siktar på miljarder enheter”

– Google är fortfarande en av våra största kunder, även efter att de hade lanserat sin egen nyckel. Faktum är vår försäljning snarare ökade i kölvattnet av det. Man kan se det som att Google har hjälpt oss med marknadsföring av tekniken, säger Stina Ehrensvärd med ett stort leende.

Men hur ska ni, ett förhållandevis litet bolag, fortsätta kunna ligga steget före jättar som Google?

– Vi ska fortsätta att jobba tillsammans med jättarna, det är grejen. Jag får alltid den frågan, ”är ert mål notering eller uppköp?”. Men vi är inte redo att sälja än. Yubico har en mission, och det är att göra internet säkrare för alla. För att kunna fortsätta utveckla och etablerar standarder som Webauthn vill vi vara ett oberoende bolag i några år till. Det ger oss nämligen möjligheten att samarbeta med alla teknikjättarna. Vi kan vara lite som ett slags FN eller Silicon Valleys motsvarighet till Schweiz, säger Stina Ehrensvärd.

Stina Ehrensvärd

Gör: Vd för säkerhetsföretaget Yubcio.

Bor: San Francisco, USA.

Ålder: 51.

Utbildning: Industridesign vid Konstfack.

Yubico

Gör: Krypteringsteknik för säkra inloggningar på nätet.

Ort: Stockholm, Palo Alto och Melbourne

Startår: 2007.

År på 33-listan: 2009, 2010, 2011.

Anställda: 182.

Försäljningsintäkter 2018: 460 miljoner kronor.

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt