Pelle Sten

Problematisk säkerhetslösning i Stockholms stads e-tjänster

Jag noterade nyligen när jag skulle boka tvättstugan att Stockholmshem hade lanserat en ny sajt. Snyggt och fräscht som nya sajter oftast är. Men jag reagerade på två saker.

Stockholmshems nya sajt.

Det ena var att otroligt många sidor på stockholmshem.se som Google hade indexerat var försvunna och att de inte länkade till nya url:ar. Obegripligt att det kan ske 2019.

Det andra var att jag numera kunde logga in med BankID. Smidigt.

När jag klickade på länken till BankID-inloggningen hamnade jag på Stockholms stads sajt. Lite underligt tänkte jag, men det är ju ändå Stockholms stad som äger Stockholmshem, så kanske ändå rimligt.

Efter jag hade loggat in på Stockholmshem tänkte jag kolla in Bostadsförmedlingens sajt för att se om det hade dykt upp någon ny spännande lägenhet att drömma om. Döm om min förvåning när jag förstod att jag redan var inloggad!

Stockholms stads SSO loggar in användaren på alla e-tjänster samtidigt.

Då insåg jag: eftersom sajterna använder Stockholms stads inloggningssystem blir jag automatiskt inloggad på Stockholms stad alla e-tjänster om jag loggar in på en av sajterna.

Ur ett säkerhetsperspektiv finns det flera frågor att ställa om det här.

  • Förväntar man sig att bli inloggad på en sajt om man loggar in på en annan? Hur påverkar det ens säkerhetstänkande?
  • Hur reagerar de som upptäcker att de är inloggade på mer än en sajt? Tänker de att deras konton är hackade?
  • Omvänt så kan det också orsaka förvirring om man är inloggad på flera sajter och gör olika saker i olika webbfönster. Sedan när du är klar på den ena sajten loggar du ut därifrån, för det är ju så man gör. Men loggas du då ut från alla andra sajter du gör saker på?

En lösning på problemet för att minska förvirringen och osäkerheten bland användarna är att ge användaren ett meddelande när de går in på en annan sajt än den de har loggat in på ursprungligen med texten ”Vill du använda inloggningen från sajt x för att logga in här också?”

En annan lösning är att på inloggningssidan lista alla tjänster man loggar in på.

En tredje lösning är att avgränsa inloggningen i olika ”zoner”. Loggar man in på Stockholmshem är det bara där man blir inloggad. Loggar man in på Bostadsförmedlingen är det bara där man är inloggad.