Nyckeln som låser för hackare

Mottagaren av KTH:s stora pris 2016, Stina Ehrensvärd, är grundare av och vd för Yubico, företaget kring YubiKey – en innovation som gör det möjligt att enkelt och säkert logga in på olika webbplatser med en och samma nyckel.

Idag finns både Google, Facebook och Dropbox bland kunderna – med över en miljard slutanvändare som kan välja att säkra login med YubiKey.

Idén föddes för drygt tio år sedan, efter kontakter med en internetbank. Banken hade förklarat för Stina att hon skulle vara säker om hon använde ett användarnamn, lösenord och en mjukvara som banken tillhandahöll.

– Men en före detta hacker i min närhet konstaterade att det skulle ta honom ungefär ett dygn att skriva en kod som kunde hacka sig in i bankens system.
Bankens kommentar när Stina berättade vad ”hackern” sagt var heller inte särskilt förtroendeingivande, ”Snälla, be din kompis att låta bli det”.

”Hackern” var i själva verket Stinas man, KTH-alumnen Jakob Ehrensvärd. Och de två var inte bara ett par privat, utan också ett entreprenörs-team som arbetade med elektronikutveckling och design.

Kombinerat med insikten om de miljardbelopp som försvinner i internetbedrägerier väckte diskussionen med banken nu Team Ehrensvärds utvecklingslusta.

Hackade lösenord är det enskilt största säkerhetsproblemet på internet, påpekar Stina. Säkerhetslösningar som bygger på sms och appar i mobilen är relativt enkla att ta sig förbi genom så kallat nätfiske.

Smarta kort, som Bank-id, är säkrare, men kräver kortläsare och att användaren laddar ner en speciell programvara till varje enhet som ska användas.
– De lösningar som fanns var alltså antingen för enkla att hacka eller för krångliga att använda.

Men nog borde det väl gå att hitta ett enkelt och samtidigt säkert sätt att logga in på internet?
Stina och Jakob kom på att de istället för att utveckla speciell programvara för sin it-nyckel kunde låta den identifiera sig som ett sladdlöst tangentbord.

Den programvara som behövs för att ansluta ett sådant är standard i alla datorer idag.
– När vi väl utvecklat själva nyckeln så var vårt mål att alla skulle kunna logga in säkert med en och samma nyckel till obegränsat antal web-tjänster från vilken dator som helst.

Från den förlösande idén med tangentbordsanslutningen tog det bara några månader att ta fram en fungerande prototyp.
Den första versionen av YubiKey var en usb-nyckel som genererade ett engångslösenord genom ett enkelt knapptryck. Samtidigt startade Stina Yubico.

Att lotsa ut YubiKey på marknaden blev besvärligare.
– Att få företag intresserade av att köpa en ny produkt från ett nystartat bolag är en utmaning i sig. Säljer man IT-säkerhet är det extra tufft, företag vill helst köpa från större etablerade spelare, konstaterar Stina.

De inledande försöken på hemmamarknaden gav föga resultat. En svensk bank var mycket intresserad av att prova YubiKey – men inte förrän den först hade testats av någon annan bank och minst 50 000 användare.

Islossningen började istället på andra sidan världshaven.
Året efter att Yubico grundats, åkte Stina Ehrensvärd till en stor säkerhetsmässa i USA. Där stötte hon ihop med en amerikansk journalist som drev en podcast; Security now, om IT- säkerhet.

Två veckor senare förklarade poddaren, i en sändning som gick ut till hundra tusen lyssnare i ett femtiotal länder, att YubiKey var den mest intressanta nyheten han stött på under hela mässan. Det gav genast effekt.
– De lyssnarna blev våra första kunder. Vi blev globala i liten skala innan vi hade en enda svensk kund. Efter det fick vi långsamt men stadigt flera större amerikanska kunder.

I slutet av 2010 hade Yubico börjat få in större order. Men företaget hade bara ett tiotal anställda, var knappt lönsamt och hade begränsat kapital. Det var då som Stina Ehrensvärd skrev sitt livs första affärsplan.

Hennes strategi var att fokusera på en handfull av de största aktörerna i internetbranschen. På så sätt skulle antalet användare av YubiKey kunna skalas upp till över en miljard.
Men – för att klara det måste företaget också flytta till USA.

– Det är de stora internetdrakarna som bestämmer mycket om framtidens internet-standarder, och det är här i USA som man måste vara för att jobba nära dem. Det insåg jag redan ett halvår efter att Yubico startats, under en konferens i USA. Men det tog ytterligare fyra år innan vi var redo att flytta.

År 2011 flyttade familjen Ehrensvärd och större delen av Yubicos verksamhet till Palo Alto i USA.
Kvar i Sverige blev ett försäljningskontor, tillverkning, och en del av företagets utvecklingsverksamhet.
Samma år inleddes ett samarbete med Google kring en öppen standard för säker login, och flera andra viktiga kontakter knöts.

YubiKey har utvecklats med nya versioner som även har stöd för kontaktlös kommunikation för mobiler och mer avancerad kryptering.
En modell är så liten att den ryms inuti USB-porten på en dator; en design som används av alla anställda på Google och Facebook.

Ännu mer betydelsefullt för framtiden är FIDO U2F, den nya säkerhetsstandard som Yubico utvecklat i nära samarbete med Google.
Och som nu byggs in i ledande webb-läsare, IT-plattformar och flera större Internettjänster.
På det sättet får en miljard användare möjlighet att höja sin säkerhet på nätet.

I dag har Yubico nio av de tio ledande internetbolagen som sina kunder.
En imponerande resa på tio år, för det som startade som en liten konsultfirma i Stockholm.

En del av framgången kan ligga i Team Ehrensvärds sammansättning – industridesignern Stina och elektroingenjören Jakob blev ett par när han byggde en fungerande prototyp av hennes elevarbete under det tredje året på Konstfack. Det ledde till äktenskap, tre barn och ett kreativt samarbete.

– Vi började båda våra karriärer som entreprenörer. Först som konsulter åt andra företag, men med tiden blev vi sporrade att ta på oss större ansvar för hela produktutvecklingen, från idé till marknad.

Tidigare har paret Ehrensvärd bland annat arbetat med att utveckla en intelligent läkemedelsförpackning i papper.
Nu är Jakob teknisk chef och Stina vd på Yubico. De kompletterar varandra konstaterar hon.
– Men vi hade inte kunnat komma dit vi är idag utan våra medarbetare.

– När vi flyttade till USA hade vi inte så mycket i bagaget. Men vi hade två viktiga tillgångar: briljanta ingenjörer och modet. Vi vågade.

FAKTA

Stina Ehrensvärd

Ålder: 49 år
Familj: Man och tre barn, 22, 20 och 16 år
Bor: Palo Alto, Kalifornien
Gör: Grundare och vd för AB Yubico
Utbildning: Tre av fyra år på Konstfack industridesign
Aktuell med: KTHs stora pris 2016
Fritidsintressen: Tid med familj och vänner, att vandra i naturen, feelgood-filmer.

Yubico

Grundades: 2007
Omsättning: 200 MSEK
Antal anställda: 60
Verksamhet: Utvecklar, tillverkar och säljer YubiKeys samt en ledande innovatör bakom en ny global standard för internetsäkerhet – FIDO U2F (Fast IDentity Online Universal 2nd Factor) som fungerar med YubiKeys.
Lokalisering: I USA för större delen av försäljnings- och marknadsföringsverksamheten. I Sverige för större delen av utvecklingsverksamheten och tillverkningen. I Tyskland och England gällande säljare.
Namnen YubiKey och Yubico: Inspirerade av det engelska ordet ubiquitous som betyder överallt.


Text Ursula Stigzelius

Foto Yubico

KTH Magazine 05 APRIL, 2017