De beveiliging van webgebaseerde oplossingen vindt van origine plaats op de server. In die omgeving zitten immers gegevens over de identiteit van de gebruiker, controlevoorzieningen op gebruikersnaam/wachtwoord-combinaties en dergelijke. Het invoeren van persoons- en authenticatiegegevens door een gebruiker voor een internetdienst is meestal een kwestie van het steeds weer intypen van informatie in de browser. Waarbij je je regelmatig afvraagt of het wel zo verstandig is al die gegevens gewoon op een site in te typen. In het beste (slechtste?) geval wordt Internet Explorer als hulpmiddel gebruikt om de gebruikersnaam/wachtwoord-combinatie te onthouden en zonder omhaal de volgende keer dat dezelfde site bezocht wordt alvast in te vullen. Veilig is anders en echt handig is het nog steeds niet.
Enkele jaren geleden was de oplossing die Microsoft voor dit probleem propageerde het inmiddels weggezakte Passport. Het ideale was dat websites internetbreed gebruik zouden maken van gegevens die in een centrale serveromgeving van Microsoft werden opgeslagen, zodat gebruikers – na daar eenmaal aangemeld te hebben – een veelheid aan sites konden bezoeken zonder steeds opnieuw persoonlijke informatie in te voeren. Daar staken twee problemen de kop op: wie vertrouwt Microsoft met zijn of haar identiteitsgegevens en welke sites willen gebruik maken van Microsoft Passport bij het registreren en inoggen van de gebruiker? Deze problemen bleken onoverkomelijk. Zowel gebruikers als een groot deel van de it-industrie kozen eieren voor hun geld en besloten er geen gebruik van te maken. Er ontstonden allerlei concurrerende technologieën, ondermeer van de Liberty Alliance onder leiding van Sun en het gebruik van Passport bleef goeddeels beperkt tot Microsoft MSN-sites.
Inmiddels is Microsoft, onder aanvoering van zijn eigen identity management goeroe Kim Cameron, tot een ander inzicht gekomen. De wereld is groter dan één enkele leverancier van identiteitsgegevens. Een internetbrede toepassing van identiteitsgegevens betekent een diversiteit aan leveranciers hiervan. Dat roept een nieuw probleem op. Als de gebruiker van diverse leveranciers van identiteiten, de 'identity providers', gebruik gaat maken, hoe kan de gebruiker dan gemakkelijk en veilig de juiste provider voor de juiste website gebruiken? En hoe kan een website een veelheid aan identity providers gebruiken voor het registreren en aanmelden?
Het antwoord, wat Microsoft betreft, wordt met Vista meegeleverd. Het heet Cardspace. Cardspace is een met Vista meegeleverde ingebouwde desktop 'identity selector'. Deze geeft de desktopgebruiker de mogelijkheid de op het internet aanwezige identity providers in te zetten voor websites naar keuze. Daarmee heeft Microsoft voor zichzelf en zijn desktop een plaats gereserveerd in het zich snel uitbreidende Web 2.0-landschap. Ook heeft Microsoft een les getrokken uit zijn eerdere ervaring met Passport: de interfaces met Cardspace worden gestandaardiseerd. Daarmee ligt de identiteit van de gebruiker niet meer vast op de serverzijde van het internetlandschap, maar gaat de desktop een belangrijke rol spelen. De laatste geeft met Cardspace de identiteit van de gebruiker op internet uit. Een kale browser is dan niet afdoende om gebruik te kunnen maken van persoonlijke webdiensten; Cardspace – dat met Windows wordt meegeleverd – geeft de juiste identiteitsgegevens aan de juiste website.
De brede adoptie van Cardspace heeft nog een lange weg te gaan en is absoluut niet gegarandeerd. Bovendien zijn er kapers op de kust zoals het concurrerende Higgins-project van IBM en Novell's open source en puur browser-gebaseerde initiatieven zoals OpenID. Maar de desktop staat weer in de belangstelling, ook als het om internetdienstverlening gaat.
Peter Valkenburg
CTO bij Everett
