Digitale identiteitsportefeuillesbeperken verkeer gevoelige data

Gebruikers zou het gemakkelijker worden gemaakt hun persoonlijke gegevens te overzien en te beheren bij hun interacties met onlineservices. En de hoeveelheid gevoelige gegevens die over internet verstuurd moet worden, zoals wachtwoorden of creditcardgegevens, zou kunnen worden beperkt of zelfs helemaal kunnen worden geëlimineerd.
Maar wat houden deze digitale identiteitsportefeuilles precies in? Bieden ze werkelijk de geclaimde voordelen? En hebben organisaties ook voordelen bij dit fenomeen dat primair op de eindgebruiker gericht lijkt? Het gehele speelveld overziend zou het nog wel even kunnen duren voordat dergelijke hulpmiddelen gemeengoed worden.

Registreren
Bij interacties met onlineservices, zoals het kopen van een artikel, het opvragen van informatie of het geven van een reactie op een weblog, is het meestal nodig jezelf te registreren. De informatie die gevraagd wordt, kan relevant zijn – zo kan het nodig zijn om een gebruikersnaam en een wachtwoord in te vullen voor authenticatie – maar even vaak gaat het om overbodige en irrelevante informatie die louter voor marketingdoeleinden bestemd lijkt.
Binnen de context van één organisatie of samenwerkende organisaties zijn er al geruime tijd oplossingen beschikbaar in de vorm van webaccessmanagement- en federated-identitytechnieken. Hiermee kan het aantal credentials voor medewerkers of businesspartners beperkt worden, een vorm van single sign-on. Echter, voor bezoekers van websites die onafhankelijk zijn van elkaar, was er tot nu toe nog geen adequate oplossing om het aantal accountgegevens en andere informatie die ingegeven moeten worden, te consolideren. Het steeds maar weer moeten invullen van, vaak dezelfde, informatie wordt door veel mensen als een last ervaren. Bovendien blijkt dat veel mensen hun accountgegevens vergeten als ze een bepaalde website lange tijd niet meer hebben bezocht.
Om die reden hebben enkele leveranciers en open-sourcegemeenschappen producten ontwikkeld waarmee persoonlijke informatie van websites verzameld en hergebruikt kan worden. De initiatiefnemers hopen dat mensen het met deze digitale identiteitsportefeuilles online gemakkelijker krijgen en vaker bereid zijn (commerciële) websites te bezoeken.
Hoewel deze producten onafhankelijk van elkaar zijn ontwikkeld, hebben ze een gemeenschappelijke basisarchitectuur. In essentie komt het erop neer dat iemand die zijn gegevens bij een website heeft ingevoerd, deze gegevens of een selectie hiervan opnieuw kan gebruiken bij een andere website. Zodra bepaalde informatie nodig is voor een website, wordt verwezen naar de website waar deze informatie zich bevindt. Deze website bevestigt dan de authenticiteit van de informatie. De eerste website fungeert in dit geval als identityprovider ofwel identity broker, de tweede als identity consumer ofwel serviceprovider (sommige implementaties spreken hier van relying party). Deze werkwijze heeft ook als voordeel dat vertrouwelijke informatie, zoals wachtwoorden en creditcardgegevens, niet meer door de gebruiker over internet verstuurd hoeft te worden.
De authenticatiegegevens en andere persoonlijke informatie (eigenlijk de verwijzingen hiernaar) die in de digitale identiteitsportefeuilles in sets verzameld en bijeengebracht worden, is te vergelijken met een echte portefeuille waarvan rijbewijs, bankpasjes, creditcards, verzekeringspasjes en branchespecifieke loyaliteitskaarten veelal de inhoud vormen – pasjes en kaarten die persoonlijke maar voor een groot deel verschillende informatie bevatten.

Investeringen
De exploitanten van commerciële websites zouden er belang bij moeten hebben om in de nieuwe technologie te investeren, omdat de gedachte is dat meer mensen hun websites zullen bezoeken zodra er geen registratieformulieren meer ingevuld hoeven te worden. Maar de investeringen zijn vrij aanzienlijk, omdat web­applicaties aangepast moeten worden om met de nieuwe technologie overweg te kunnen. Naast de gebruikelijke manier om te registreren moet er een button of link komen die de digitale identiteitsportefeuille activeert, waarmee geregistreerd kan worden.
Ook de consumenten moeten een stap zetten: de digitale identiteitsportefeuille moet eerst worden samengesteld; zij moeten persoonlijke informatie verzamelen van websites en hiervan overzichten maken. Indien de informatie niet voorhanden is, zal deze door de gebruiker zelf samengesteld moeten worden. Beide partijen, exploitanten en consumenten, zouden wel eens een afwachtende houding kunnen aannemen, totdat de ander de eerste stap zet. Om gebruikers over de streep te krijgen, is het in ieder geval noodzakelijk dat er gewerkt wordt met een consistente en intuïtieve gebruikersinterface. Dat is nog niet bij alle implementaties het geval. Ook zou de digitale identiteitsportefeuille portable moeten zijn, dus in zijn geheel meegenomen moeten kunnen worden op bijvoorbeeld een usb-stick. Ook dat wordt nu nog niet ondersteund.
Vanuit het oogpunt van security moeten er eveneens kanttekeningen worden geplaatst. De voorstanders van digitale identiteitsportefeuilles claimen dat phishers het nakijken hebben, omdat consumenten zich niet meer om wachtwoorden hoeven te bekommeren. Deze worden dan immers door de identityprovider beheerd en zonder wachtwoorden zou er niet veel meer te phishen zijn. Maar behalve wachtwoorden blijft er voor phishers nog genoeg andere interessante informatie over, zoals creditcardgegevens. Om te bewerkstelligen dat ook dit type gegevens niet meer door de consument ingegeven hoeft te worden, zal het nodig zijn dat creditcardmaatschappijen bereid zijn om op te treden als identityprovider en betalingstransacties te autoriseren voor andere partijen. Het is de vraag of creditcardmaatschappijen hiertoe bereid zijn. Voor een businesscase zouden de verliezen veroorzaakt door phishing groter moeten zijn dan de investeringen die nodig zijn om als identityprovider dienst te doen.
En hoewel de communicatie met identityproviders bij de nieuwe technologieën gebeurt op basis van bestaande en gedegen beveiligingsprotocollen, is het niet duidelijk welke waarborgen er zijn om te voorkomen dat malafide websites zich in het spel mengen en als identityprovider of serviceprovider optreden.

Privacy
Overigens bestaat er geen enkele identityprovider die door alle andere websites zou worden geaccepteerd voor het beheren van wachtwoorden en andere vertrouwelijke informatie (dit is de belangrijkste reden dat Microsoft Passport nooit is aangeslagen), al is het wel denkbaar dat binnen verwante organisaties, zoals overheid, onderwijs of bepaalde gebruikerscommunities, één organisatie binnen de groep als, branchespecifieke, identityprovider optreedt. In de meeste gevallen zal het nodig zijn dat de gebruiker zelf als identityprovider fungeert. Dat betekent dat de gebruiker op voorhand een aantal persoonlijke gegevens moet samenstellen, die vervolgens bij toekomstige bezoeken aan websites gebruikt kan worden om zich te registreren of aan te melden.
Daarnaast zijn er bedenkingen rondom het aspect privacy. Want ook met de nieuwe technologie blijft het voor bezoekers van commerciële websites onduidelijk wat er met hun persoonlijke informatie gebeurt. Een gebruiker zou met de nieuwe technologie zelfs uit het zicht kunnen verliezen welke informatie precies in het spel is en zich minder bewust kunnen zijn van het feit dat er überhaupt persoonlijke informatie in het geding is. Bovendien krijgt de identityprovider inzicht in het onlinegedrag van degenen van wie de persoonlijke informatie wordt beheerd. Dit gegeven legt een zware druk op het vertrouwen tussen identityprovider en eindgebruiker.
Ten slotte moeten we ons afvragen wat organisaties hebben aan deze service die in de eerste plaats voor eindgebruikers lijkt te zijn bedoeld. Voor partnerorganisaties die services willen delen en deze gezamenlijk willen aanbieden aan businesspartners, is er een duidelijke businesscase en zijn er inmiddels diverse standaarden en technieken op de markt op het terrein van federated identity. Maar een organisatie heeft er geen belang bij dat een relatie of medewerker gemakkelijker diensten kan afnemen bij een andere organisatie waarmee geen enkel samenwerkingsverband bestaat of die zelfs een concurrent kan zijn.
Al met al lijkt het erop dat het helemaal aan de gebruiker zelf is of hij tijd en moeite wil investeren in deze nieuwe digitale identiteitsportefeuilles.

Dr. Rob van der Staaij (rob.van.der.staaij@ordina.nl) is managementconsultant bij Ordina.