Webklanten blijven lastige klanten. Gebruikers van webwinkels en online communities willen voldoende beveiliging, maar zonder dat ze daar zelf last van hebben of veel voor moeten doen. Dat is de afgelopen jaren niet gelukt met de traditionele beveiligingsbenadering. Met de nieuwe inzichten rond Identity 2.0 lijkt het wel te kunnen.

Beveiliging is het aanbrengen van hindernissen. Daar hebben gebruikers en beheerders vooral last van: zodra er iets niet klopt, werkt de boel niet meer. Dergelijke indernissystemen zijn zonder uitzondering ontstaan in hiërarchische werknemer-werkgeverrelaties. Een werknemer neemt een dergelijke hindernis rustig bij de koffiemachine.

In dit paradigma zijn alle beveiligingstechnieken en -specialisten groot geworden, die we op dit moment kunnen inzetten voor online systemen. Bij een webwinkel of een online community reageren gebruikers echter heel anders dan in een bedrijf. Rondkijken of het systeem van de concurrentie wél werkt, is immers snel gedaan. Deze mismatch tussen enterprisemiddelen en uitstraling, en online inzet heeft een reeks ingrijpende gevolgen. Een belangrijk signaal is het mislukken van alle grote initiatieven zoals Microsoft Passport, en het jaarlijkse uitstel van de doorbraak van PKI, nu al meer dan tien jaar op rij.

Deze mismatch leidt ook binnen projecten tot de nodige ellende. Het wordt bijvoorbeeld een ‘slepend project’, waarbij een heleboel heel gevoelige en ingewikkelde beveiligingsmiddelen maar niet goed willen aansluiten bij het concept van de webstore. Als het uiteindelijk toch een keertje werkt, dan alleen met véél concessies op de gevoelservaring van de bezoeker.

Een ander gevolg kan zijn dat ondernemers, immers altijd geïnteresseerd in zo veel mogelijk tevreden klanten, dan maar toegeven aan de verleiding om de beveiliging van hun webdiensten minimaal te houden. Maar als de beveiliging vervolgens onvoldoende blijkt, leidt dit tot een vertrouwenscrisis die het einde van de dienst kan betekenen.

Lukt het toch om voldoende beveiligingsmiddelen in te zetten, dan blijkt dat gebruikers er weinig belangstelling voor hebben. Het is lastig om wachtwoorden en certificaten te beheren, middelen als smartcards en biometrie maken inbreuk op de privacy en de hard- en software doet het niet goed op de machine van de klant, of het kost geld. Of dat allemaal. Kortom, de online ondernemer kan het eigenlijk alleen maar verkeerd doen. De evolutie van de beveiligingsmiddelen naar wat in marketingkreten Identity 2.0 heet, biedt echter een uitweg uit deze patstelling.

Site centric wordt user centric

De essentie van het denken rond Identity 2.0 is het loslaten van het paradigma van de traditionele éénrichtingsoplossing met een topzware centrale directory. Deze oplossing sluit namelijk niet aan op de realiteit van het web. Hij is opgehangen aan ‘autoriteiten’ die de eerbaarheid van ‘instellingen’ garanderen. Maar een site is geen autoriteit, hoe graag je dat ook zou willen. Ook niet als een andere zich autoriteit noemende entiteit dat zegt, inclusief oorkondes, openbare registers en gedragcodes.

Het probleem is dat de traditionele benadering vertrouwen ziet als een statisch object, dat bestaat omdat een accountant en een auditor ergens een ‘kwaliteitscertificaat’ op plakken. Deze myriade van best practices en normeringen zegt bedrijven wellicht iets, burgers denken bij een accountant net zo makkelijk aan Enron of andere gevallen iconen. Een webgebruiker baseert zich in de praktijk liever op de waardering van andere, ‘gewone’ gebruikers. Dat is de essentie van de ‘community’. Naast het aloude B2B en B2C is nu dus ook de C2C-dimensie zichtbaar geworden. In de C2C-biotoop wordt de consensus opgebouwd en onderhouden over wat op dat moment betrouwbaar is.

De community is de baas

Door betrouwbaarheid te benaderen vanuit de communitybenadering van Identity 2.0, wordt het mogelijk een beter passende en sluitende beveiliging op te zetten, en deze te zichtbaar te maken voor alle belanghebbenden. In het nieuwe denken kan iedereen een waarderingsgebaseerd identiteitssysteem opzetten, ook de gebruiker. Het werkt zodra genoeg anderen het systeem als sterk genoeg waarderen: iedere gebruiker kan z’n eigen ‘web of trust’ creëren, zoals dat al bij PGP bestaat voor e-mail. OpenID is de eerste tastbare uiting van het loslaten van het traditionele paradigma, waarmee gebruikers op verschillende blogs kunnen aanloggen.

De ICT-beveiligingsindustrie heeft uit de universitaire wereld het begrip ‘federatie’ op een presenteerblaadje aangereikt gekregen. Federatie vervangt de gebruikersidentiteit via één centrale instantie door een open stelsel met ‘identity providers’ waarin in feite iedereen een identiteit kan aanbieden. Identity providers maken bilaterale en multilaterale afspraken over hoe ze ‘federeren’, over welk protocol en hoe de vertrouwensrelatie in elkaar zit.

De mate van vertrouwen in de autoriteit van de aanbieder in één of meer federaties kan gebaseerd worden op de bewezen betrouwbaarheid (door eerdere transacties en waardering door de community). De aanbieders van webdiensten heten in dit stelsel ‘relying partners’, online voorzieningen die de beschikbare identiteiten gebruiken. Daarnaast zijn er subjecten, mensen en organisaties die één of meer digitale identiteiten hebben. In dit stelsel zal bijna iedereen meer dan één rol hebben – gebruikers kunnen immers zichzélf een identiteit verstrekken. Idealiter wordt dit ‘Plug and Play’ gemaakt met een encapsulating protocol, WS-Trust. Hiermee kunnen webservices de lastige vertaalslagen naar de onderliggende technologieën overbruggen. Ondanks dit zullen de meeste consumenten het nogal een gedoe vinden, dus het ligt voor de hand dat er een markt ontstaat voor vertrouwensmakelaars.

Hoe doen we dat

Wat kan de ondernemer hier nu mee in de praktijk? Je kunt wachten tot een ander al dit moois neerzet. Je kunt ook zélf of met een paar relaties of je ISP een open Identity Provider Dienst beginnen. Deze tuig je op met een paar technische voorzieningen die de gebruiker vertrouwd voorkomen. Zoals het een open source gedachte betaamt, is veel van de bijbehorende software dat ook, dus het systeem kan zeer eenvoudig en goedkoop beginnen. Een goede kandidaat is de zogeheten sms-nonce: een gebruiker is alleen bekend bij een gsm-nummer, waaraan een zelfgekozen gebruikersnaam hangt. De gebruiker logt in en het identitysysteem sms’t een éénmalige toegangscode.

De gebruiker kan als enige het gebruikersdossier beheren. Dit dossier kan bepalen welke gegevens opgenomen worden, hoe en door wie deze gebruikt mogen worden en wat er verder mee kan. De gebruiker heeft zo alle controle over zijn of haar gegevens, en het systeem biedt een beveiliging die lijkt op wat de banken aanbieden. Met alle prettige veiligheidsassociaties van dien.

Als de gebruiker tevreden is met de dienst, zal deze zelf zorgen voor de groei van het systeem, door het op meer plekken te willen gebruiken en het aan te bevelen aan vrienden en familie. Je klanten zijn je reclame, en naarmate het systeem bekender is, zal het door meer anderen vertrouwd worden.

De tweede stap is om in samenwerking met andere websites een gebruikersidentiteit over domeinen heen te gebruiken – je wilt niet voor iedere site een apart beveiligingssysteem inzetten. Door federatie kun je een gebruikersidentiteit en de daarmee samenhangende voordelen én kosten over meerdere sites delen. Stel dat een brancheorganisatie de veiligheid van haar leden wil benadrukken: dan kunnen alle deelnemende sites voor de authenticatie van de gebruikers gebruikmaken van één enkele faciliteit, die door de branchevereniging aangeboden en beheerd wordt. Hiermee kunnen sterkere maar dure authenticatiemiddelen binnen bereik komen, zoals smartcards.

Met eenvoudige diensten zoals iDeal en de nieuwe inzichten rond federatief werken en open identitysystemen komen nieuwe wegen in zicht. Hiermee treedt de beveiligingsindustrie uit de schaduwen van enterpriseautomatisering en ontstaan oplossingen die beter aansluiten op de verhoudingen op het Internet en de behoeftes van de aanbieders van B2C-systemen.

Het loslaten van de centrale hiërarchie van de enterprise lijkt met CardSpace ook Microsoft bereikt te hebben. Als onderdeel van .NET 3.0 zal het een grote toekomst hebben, zeker als het daadwerkelijk kan samenwerken met de technologieën van andere leveranciers. Of er hiermee een einde komt aan het zwalken in Identity Management-land, zoals we gezien hebben met MIIS (MicrosoftIdentity Integration Server) en ILM (Information Lifecycle Management), is nog onduidelijk.

Over de auteur

Peter Rietveld is Senior Security consultant bij Traxion in Waardenburg. Hij heeft in Utrecht Krijgsgeschiedenis en Internationaal Recht gestudeerd. Sinds 1997 werkt hij in de IT-beveiliging, en schrijft hij tweewekelijks een column op Security.nl. Hij heeft projecten uitgevoerd bij onder meer het UMC st. Radboud, Fokker, interxion, ABN Amro, Fortis, het ministerie van Defensie en de Belastingdienst.

Be Sociable, Share!

No related posts.