Wilt u af van de authenticatie-pooier?

February 8, 2016

Stel, u woont in een appartementencomplex. Ieder appartement heeft natuurlijk een eigen voordeur. Maar het vreemde is: u heeft niet zelf de sleutel van die voordeur! Die is namelijk in het bezit van de conciërge, die beneden naast de hoofdingang zetelt. Hij houdt het complex in de gaten, wijst mensen de weg, neemt pakketjes aan en heeft de voordeursleutels van alle bewoners aan zijn bos hangen. En iedere keer als u uw appartement in wilt, loopt hij met u mee om uw voordeur open te doen.

Ik denk niet dat u graag in dit appartementencomplex zou willen wonen. Ik niet in ieder geval. Ik zou veel te bang zijn dat de conciërge stiekem mijn appartement in zou sluipen, of andere mensen binnen zou laten.

Misschien vinden we dit appartementencomplex vreemd, in de virtuele wereld vinden we deze situatie, waarin anderen bepalen of we ergens binnen komen, de normaalste zaak van de wereld!

Velen van u loggen in bij Spotify met hun Facebook-account. Of bij Airbnb met hun Google-account. Deze vorm van inloggen met één account bij verschillende, ongerelateerde, diensten heet federated identity management. Het werkt als volgt: de dienst waar je toegang toe wilt hebben, stuurt je door naar een centrale identity provider (Google of Facebook in de twee voorbeelden). Daar log je in met je (enige) username en wachtwoord. Als die kloppen, stuurt de identity provider een bericht terug naar de dienst, met de opdracht om je toegang te geven. Net als de conciërge die met je meeloopt om je voordeur open te doen.

Dit is handig, omdat je maar één username en wachtwoord hoeft te onthouden om toegang te krijgen tot al je accounts, alle diensten die je gebruikt en de websites die je bezoekt. En voor veel diensten en websites is dat ook eigenlijk geen probleem. Bijvoorbeeld als het gaat om toegang tot diensten waar je lid van bent. Denk aan een abonnement op een digitale krant, of toegang tot je digitale muziekcollectie, zoals Spotify.

Precies díe diensten dus waarvoor je ook geen sterk wachtwoord (een ongewoon woord dat hoofdletters, kleine letters en cijfers bevat) hoeft te gebruiken. Diensten waarvan je de toegang soms ook deelt met anderen, omdat je er niet slechter van wordt als anderen ook gebruik maken van jouw lidmaatschap. (Die dienst zelf wel, natuurlijk, want die loopt zo inkomsten mis. En als anderen meekijken bij Spotify of Netflix, weten ze wel wat je muziek- of filmsmaak is. Dat is een privacyrisico dat voor sommige diensten nog best wel groot kan zijn).

Anders wordt het als de account toegang geeft tot iets wat exclusief eigendom van jou is. Een account waar je wel een sterk wachtwoord voor kiest, en die je niet deelt met anderen, omdat toegang door anderen je schade kan berokkenen. Zou u bijvoorbeeld met uw Facebook-account in willen kunnen loggen bij uw bankrekening? Of daarmee uw belastingaangifte willen doen? Of zou u misschien toch een beetje bang zijn dat iemand bij Facebook daar ongemerkt misbruik van zou maken?

Vreemd genoeg is federated identity management razend populair. Er zijn verschillende standaarden voor (SAML, OpenID) en meerdere aanbieders van, zoals Google en Facebook dus. De Nederlandse overheid wil dit ook gaan gebruiken en is druk bezig met het ontwikkelen van Idensys, als vervanger van DigiD. DigiD is in zekere zin ook federatief, maar geeft alleen toegang tot overheidsdiensten. En DigiD zelf staat ook onder beheer van de overheid. Idensys gaat nog verder: je kunt er straks ook mee inloggen op bol.com. En in Idensys kan een willekeurige commerciële aanbieder identity provider worden, en zo dus in theorie toegang krijgen tot al jouw gegevens. (Bedenk dat DigiD toegang geeft tot je vooringevulde belastingformulier).

Dit kan, nee: dit moet anders!

De kern van het probleem is dat de gebruiker zelf geen essentieel onderdeel meer is van de stap die toegang verleent. Voerde hij vroeger zelf een username en wachtwoord in bij de dienst, nu vertrouwt de dienst blind op datgene wat de identity provider hem vertelt. Om dit securityprobleem op te lossen moet de gebruiker weer in de loop geplaatst worden. Dat kan op een aantal manieren. Bijvoorbeeld door een sterke vorm van authenticatie te gebruiken die rechtstreeks plaats vindt tussen de gebruiker en de dienstverlener. Op basis van een smart card, een secure USB-token, of cryptografische sleutels op de smartphone van de gebruiker.

Bovendien lost dit ook nog een ander belangrijk probleem op. Namelijk dat deze identity provider, als een soort van 'authenticatie-pooier', precies weet bij welke websites ik allemaal inlog. Simpelweg omdat ik hem altijd nodig heb om mij toegang te geven...

Deze column verscheen op 6 februari 2016 in het FD.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Ellen Timmer
, 2016-02-09 19:18:10
(reply)

Mij lijkt dat het belangrijk gaat worden dat burgers vrijheid hebben om hun eigen ‘identiteitsmanagement’ gaan voeren. Dus: aanbieders moeten worden verplicht om de burger een keuze te geven. Anders gezegd: het moet niet zo worden dat je alleen van een dienst gebruik kunt maken door in te loggen via Google, Facebook, LinkedIn, enz. Er moet altijd een alternatief zijn, zoals het aanmaken van een account of het inloggen via een betrouwbaarder dienstverlener.

De authenticatie-pooier onder de loep. // Jaap-Henk Hoepman
, 2016-02-10 08:30:31
(reply)

[…] Jaap-Henk Hoepman On security, privacy and (occasionally) other stuff « Wilt u af van de authenticatie-pooier? […]

Frans de Kok
, 2016-02-15 15:25:35
(reply)

(kopie van reactie bij FD) Hoepman laat zich vast wekelijks door zijn werkgever in het cafe uitbetalen met een loonzakje. Anders zal zijn werkgever zijn loon aan een conciërge (bank) moeten geven. In dat geval kan Hoepman alleen geld uitgeven door deze conciërge daarvoor een betaalopdracht te geven. Maar wie zegt dat deze conciërge zijn geld ook niet uitgeeft aan hele andere zaken. En daar komt nog bij dat zijn financiële conciërge nu ook makkelijk bij kan houden bij wie Hoepman zijn geld besteed. Uiteraard zal Hoepman zeggen dat het huidige elektronische betaalverkeer hem ook niet bevalt. Dat hij liever ziet dat privacy vriendelijkere betaal technologie zoals bitcoins overal gebruikt gaan worden. Daarin speelt een conciërge nog wel een rol. Maar doordat bitcoin onder meer gebruik maakt van slimme versleuteling kan de conciërge op eigen gelegenheid de bitcoins van Hoepman niet uitgeven en ook niet zien bij wie hij zijn bitcoins uitgeeft.

Idensys is een publiek/private samenwerking die tot doel heeft om heel Nederland aan veilige digitale sleutels te helpen voor overheids- en commerciële dienstverleners. Bij Idensys zal elke gebruiker inderdaad een soort conciërge moeten kiezen die betrokken is bij elke inlog poging. Echter Idensys richt zich net zoals bij bitcoins op slimme versleuteling om er voor te zorgen dat de conciërge niet op eigen gelegenheid gebruik maakt van Hoepmans digitale sleutels en ook niet bij kan houden welke websites hij bezoekt.

Overigens vergeet Hoepman nog te melden dat er naast een conciërge ook nog een sleutelmaker bestaat. Dit geldt voor Idensys maar ook voor een conciërge-loze oplossing die Hoepman graag heeft. En deze sleutelmaker kan sleutels voor Hoepmans appartement ook aan een derde afgeven. Binnen Idensys wordt daarom veel aandacht besteed aan de betrouwbaarheid van de sleutelmaker.

Hoepman kent Idensys en de zorgvuldige maatregels die daar uitgedacht zijn. Maar waarom schrijft hij dan een column waarin hij Idensys in de hoek drukt van het grote privacy gevaar? En waarom moet hij Idensys neerzetten met een term met een hele negatieve klank? Uiteraard heeft een columnist het recht of zelfs wel de plicht om prikkelend te schrijven. Een columnist mag zelfs de waarheid een beetje buigen om zijn verfrissende inzicht kracht bij te zetten. Maar waarom doet Hoepman dat dan niet gewoon onder eigen naam, zonder dat daarbij zijn universitaire en maatschappelijke status bij vermeld wordt om de inhoud nog meer geloofwaardigheid te geven. Ik denk dat ik het antwoord weet. Hoepman is namelijk van de rechter Twix. Ook in de academische wereld zijn er rechter en linker Twixen. En daarbij lijkt het geloof sterker dan de argumenten.

Bij het bereidingsproces van de linker Twix wordt slimme versleutelings technologie gebruikt voor betrouwbaarheid en privacy. En “that’s exactely what they say at the right Twix”. Bij de linker Twix wordt ook gezorgd vor bestrijding van ID-fraude en vooral gemak en keuze vrijheid voor gebruikers en dienstverleners. En daar hoor je ze van de rechter Twix niet over. Maar ja ik ben direct betrokken bij het bereiden van de linker Twix. Ik ben daar duidelijk over. En Hoepman zou dat ook moeten doen als mede-bereider van IRMA, een rechter Twix. Zeker als hij onder de noemer van zijn academische positie een serieuze column over de bereiding van Twixen schrijft.

Henk van Cann
, 2016-02-15 19:21:41
(reply)

Heren, heren. Wat als we van Twix eens naar Mars zouden gaan. De “blockchain” staat met rode wangetjes te stralen naar het vakgebied van IAM. En wat een pareltje staat daar te lonken: Vertrouwen door ontwerp (stemmen/consensus), centrale autoriteit is geminimaliseerd, single point of failure eruit, baas in eigen buik voor gebruikers, transactie historie verdwijnt nooit. Zo wat dingen die mij opvallen aan een blockchain (“de” blockchain bestaat niet) in relatie tot (federatieve) identities. Om de vergelijking van de discussie trachten op te pikken: In het wereldwijd gedecentraliseerde model van een blockchain zijn concierges ‘Nodes’. Samen kunnen ze een kwaadwillende concierges op een niet in te halen achterstand zetten (enkele uitzonderingssituaties daar gelaten, die je kunt zien aankomen).

Je hoeft niet te praten over toetreding, regels en beloning voor concierges of sleutelmakers in een blockchain oplossing: ze worden in het ontwerp beloond voor de services die ze verstrekken. En vanaf de aftrap van het spelletje loopt dat zoals het is ontworpen. Een gebruiker pikt de mores van de blockchain (plus de Identity Management oplossing er bovenop) of hij/zij pikt het niet. Even goede vrienden. Wel neemt met blockchain oplossingen de kwetsbaarheid toe als je private key wordt gepikt of verloren raakt. Dan hang je volgens mij ‘big time’ met een Blockchain-ID oplossing. Maar om een Blockchain oplossing heen kan ook een levendige service ontstaan van recovery, verzekering, detectie en dergelijke. Zoals dat nu in het Bitcoin bereik al is te zien. Ook lijken me second en third factor authentication oplossingen nuttig in combinatie met op blockchain gebaseerde elektronische identiteiten.

(Ik, misschien anderen ook) Zie de potentie van de blockchain als door de gebruiker passief of actief gestuurde IDprovider, serviceprovider èn attribuut-provider tegelijk. Dat is volgens mij geen science fiction meer. Het staat voor de deur met ontwikkelingen zoals bijvoorbeeld NXT en Ethereum. Net als de reis naar Mars overigens :-) Dus Twixen: let’s have break and a …

Ik ben benieuwd wat jullie visie hierop is. En wat jullie denken dat de reikwijdte van Blockchain technologie in de levenscyclus van een elektronische identiteit kan zijn.

Frans de Kok
, 2016-02-18 01:07:32
(reply)

Hoi Henk, Blockchain is inderdaad heel interessant. Echter mij is zelfs geen proefopstelling bekent van een blockchain achtige oplossing die tegemoet kan komen aan de eisen voor een Authenticatie oplossing voor de Nederlandse overheid, laat staan de gehele BV Nederland. Ik bedoel dan ook authenticatie voor 16 miljoen Nederlanders in ruimere zin. Inclusief machtigingen en attributen. En uiteraard ondersteuning van multi-middelen, keuze vrijheid, gebruikers gemak & controle, privacy, fraude bestrijding en eenvoud van aansluiten voor Dienstverleners. Vervolgens ook ondersteuning voor portalen (mijnpensionoverzicht.nl etc) en ander soortige dienstverlening door tussen personen (bijv kluwer.nl voor je belastingaangifte).

De aanpak van de overheid is om kleine stappen te maken en al lopende te leren en waar nodig de koers aan te passen. Eigenlijk een soort van Agile aanpak. Ik vind dat een goede keuze, grote ambitieuze ICT projecten dreigen nog wel een te falen bij de overheid. Daarnaast maakt deze aanpak het ook mogelijk om stapsgewijs technologie als blockchain en IRMA een plek te geven, als ze waarde toe kunnen voegen. Mogelijk in eerste instantie niet zodanig dat hun volledige potentie gebruikt wordt. Maar over tijd kan dat met deze aanpak altijd nog gebeuren. Ik ben ondertussen wel geïnteresseerd in praktische toepasbaarheid van Blockchain. Dus als je ideeën hebt.

Henk van Cann
, 2016-02-21 16:58:39
(reply)

Beste Frans,

Wellicht staan de blockchain spin offs nog te zeer in de kinderschoenen voor de doeleinden die je beschrijft. Daar komt bij dat ik zelf heel diep zou moeten duiken in beide onderwerpen om een antwoord op je probleemstelling te kunnen geven: hoe kun je stapsgewijs toegevoegde waarde uit de blockchain technologie in IAM/Federated Identity. Ik ben dat wel vast van plan: the best of both worlds opzoeken en benutten. Praktische toepasbaarheid van blockchain-tech is breed beschreven op het web. Twee voorbeelden van initiatieven waar meer speelt dan de digital currency alleen is: NXT (http://nxt.org), Ethereum (https://ethereum.org/). Om zelf te beoordelen hoe volwassen bepaalde initiatieven zijn, kun je doorzoeken op de early adopters van de ‘features’ die beide projecten proclameren.

Frans de Kok
, 2016-02-22 13:33:05
(reply)

Dank. Naast kleinere clubs zijn ook een aantal grote clubs gesproken op deze “distributed ledger technology”. Misschien is de toepassing van Blockchain al best dichtbij. Als centraal ontwerp voor toegangsdiensten zie ik het niet. Maar zo’n gedistribueerd grootboek moet ook voor toegangsdiensten iets kunnen betekenen.