Archives for posts with tag: identity-management

De overheid is al jaren bezig met het invoeren van een nationaal elektronisch identiteitsstelsel (eID stelsel). Dit is belangrijk om een aantal redenen. Ten eerste wordt het steeds belangrijker om ook in de digitale wereld mensen betrouwbaar te kunnen identificeren. Ook is het niet fair dat in de fysieke wereld mensen moeten aantonen dat ze ouder zijn dan 18, terwijl de webshop dat niet hoeft te doen omdat ze dat niet kan doen. De vraag rijst dan of een paspoort of ID kaart ook voor digitaal gebruik geschikt gemaakt kan worden. Zo zou DigiD veiliger gemaakt kunnen worden. Tenslotte is de afhankelijkheid van DigiD een groot probleem: als DigiD uitvalt of gehackt wordt zijn alle digitale overheidsloketten waar burgers moeten inloggen onbereikbaar geworden.

Maar al die jaren is de overheid geen stap verder gekomen. Het laatste miljoenen project, Idensys, lijkt op sterven na dood. Na uittreden van een aanbieder zijn er nog maar drie aanbieders over, waarvan KPN tijdelijk geen middelen uitgeeft. Uit arren moede (zo lijkt het) is maar besloten om DigiD iets veiliger te maken door het uitbrengen van een DigiD app (ter vervanging van het steeds onveiligere SMS authenticatie). Alleen iDIN, het authenticatiemiddel van de banken, lijkt nog enig leven beschoren.

Maar een nationaal eID stelsel lijkt verder weg dan ooit. En dat terwijl de noodzaak alleen maar is toegenomen.

Naar mijn mening is Idensys mislukt omdat de overheid teveel aan de markt heeft willen overlaten. Voor succesvolle invoering van een nationaal eID-stelsel zal de overheid de regie moeten nemen. Maar dan rijst de vraag: welke keuzes heeft de Nederlandse overheid als het gaat om het invoeren van een nationale elektronische identiteit (eID)? Welke beslissingen moet de overheid nemen? En wat moet ze zelf doen, en wat moet ze aan anderen overlaten?

(Een wellicht makkelijker te lezen pdf versie van deze post is ook beschikbaar)

Read the rest of this entry »

I was invited to speak at the Bitcoin in Education (BCINED) conference held in Groningen, September 5, 2017. Topic of my presentation: “Blockchain & Identity: Why you should avoid the blockchain like the plague“. While listening to the morning keynotes, praising the many benefits of using blockchains in education and for managing (academic) credentials in particular, I realised my message might provide a very much needed counterpoint. The short summary: using blokchain for identity management is ridiculous.
Read the rest of this entry »

Eergisteren nam ik deel aan een debat over het nieuwe Nederlandse eID stelsel (oftewel Idensys zoals het nu heet. Eerder schreef ik over de rampzalige gevolgen van de destijds nieuwe koers van het stelsel. Is er in de tussentijd iets veranderd?
Read the rest of this entry »

De Nederlandse overheid werkt al een aantal jaren aan een nieuw eID stelsel (een elektronische vorm van identificatie online) ter vervanginging van DigiD. Dat is ook wel nodig, want DigiD is kwetsbaar, wat tot grote schade kan leiden. Onder deze druk, en vanwege het feit dat marktpartijen de oorspronkelijke plannen voor het eID stelsel niet zagen zitten, heeft de overheid er onlangs voor gekozen een andere koers te varen. Het eID stelsel wordt een uitbreiding van eHerkenning (een systeem voor online identificatie voor bedrijven), en gaat Idensys heten. Dat is wat mij betreft niet alleen een stap terug (eHerkenning is gebaseerd op verouderde en relatief onveilige concepten), maar zelfs een stap in de verkeerde richting.

De oorspronkelijke plannen voor een eID stelsel

Read the rest of this entry »

Attribute based credentials (ABCs) allow users to prove properties about themselves without disclosing any additional information, and without being traceable. ABCs therefore implement privacy friendly identity management. Within the IRMA project of the Privacy & Identity Lab we are busy making ABCs practical by implementing them on a smart card. This allows them to be used, for instance, in national electronic identity card schemes. We are currently studying how to implement some recent ideas on how to improve ABCs in terms of functionality, securty and privacy.

Read the rest of this entry »

Today I read an interesting paper by Marian Harbach and colleagues from the University of Hannover. They have studied the factors that influence the acceptance of new methods authentication online. In particular, they have studied user attitudes towards using the new German electronic identity card (nPA) as a replacement for username/password based authentication online. This is highly relevant for our own work on IRMA, a platform for authentication based on attribute based credentials.

Read the rest of this entry »

To access an online account you need to sign in. Traditionally, this requires you to enter a username and password. Typically, these are different for each service you have access to. In a business context, it makes sense to centralise the management of both user accounts and the services they are authorised to access. This has given rise to a form of federated identity management, where users sign in to one single central identity provider. This identity provider usually also manages the user authorisation and seamlessly logs the user in to the desired service. The advantages are obvious: the user only needs to remember a single username and password, and the business manages service authorisations in a single place.

Unfortunately, this federated model of identity management is used more in more in a consumer setting as well. Examples are services like Facebook Connect which: “makes it easier for you to take your online identity with you all over the Web, share what you do online with your friends and stay updated on what they’re doing. You won’t have to create separate accounts for every website, just use your Facebook login wherever Connect is available”. This is an incredibly bad idea.

Read the rest of this entry »