De Amerikaanse start-up OneID komt met nieuwe technologie en een aanpak die wellicht het einde van het wachtwoord in zal luiden. Daarmee komt dan ook direct een eind aan alle risico’s die verbonden zijn aan het wachtwoord, zoals vergeten wachtwoorden, yellow notes met wachtwoorden en natuurlijk de mogelijkheid om wachtwoorden te kraken. De vraag is echter of de markt klaar is voor een dergelijke oplossing, en of er wel een vraag bestaat.
De oplossing van OneID is erop gericht om de gebruiker online met één klik veilig in te laten loggen, betalen of zich identificeren. Het is niet meer nodig om wachtwoorden, credit card gegevens, of andere gevoelige gegevens te versturen over het internet. Het maakt hierbij handig gebruik van het feit dat de meeste mensen tegenwoordig over meerdere elektronische apparaten beschikken.
De identiteit van de gebruiker wordt vastgesteld via het actieve apparaat (bijvoorbeeld de pc waaraan je werkt) en een controle apparaat (bijvoorbeeld een smartphone). Op het actieve apparaat klikt de gebruiker op de OneID button om in te loggen. Vervolgens wordt er een verificatie naar de smartphone gestuurd waarop de gebruiker de login actie kan bevestigen. Mocht de gebruiker het tweede apparaat niet binnen bereik hebben, dan is het mogelijk om met een (éénmalige) pincode alsnog in te loggen.
Gebruikers van OneID kunnen hun gegevens en hun authentiserende apparaten, waarvan er meerdere kunnen zijn, beheren via de website van het bedrijf. De gevoelige gebruikersinformatie wordt hierbij niet centraal, maar gedistribueerd opgeslagen, vergelijkbaar met een torrent-netwerk. Dit maakt het voor hackers bijzonder ingewikkeld om gebruikersgegevens bij elkaar te krijgen en te misbruiken.
Websites inloggen met OneID mogelijk maken slaan alleen verificatiecodes op en geen andere gevoelige gegevens. Dit is voor de websitebeheerder ook een aangename gedachte, aangezien deze gegevens ook niet meer in verkeerde handen kunnen vallen. De wel opgeslagen verificatiecodes bevatten geen geheime informatie en zijn derhalve niet interessant voor een kwaadwillende.
De vraag is nu of OneID een oplossing in handen heeft die werkelijk veilig is, en dusdanig gebruiksvriendelijk dat het op grote schaal geadopteerd gaat worden. Initiatieven als Passport, OpenID zijn nooit echt aangeslagen bij het grote publiek, terwijl ze wel goed werken en geen kosten voor de gebruiker met zich meebrengen.
Voor- en nadelen
Zonder een uitputtende lijst samen te willen stellen zie ik wel een aantal voordelen van de OneID oplossing:
• Veiligheid op meerdere niveaus
• Meerdere toepassingen in één oplossing
• Gebruik van apps (helpt waarschijnlijk de massa over de streep)
Maar ook een aantal nadelen:
• Commercieel bedrijf (start-up)
• Geduchte concurrentie
• Gebrek aan transparantie
Als het bedrijf van start gaat kent het een sterke concurrentie. Veel online gebruikers hebben al een Google, Facebook en / of Twitter account en kunnen daardoor ook gebruik maken van single sign-on op verschillende andere websites. De prijs die ze hiervoor betalen is weliswaar aanzienlijk, maar voor de meeste mensen toch onzichtbaar. Hier zijn het de bekende namen en de eenvoud die het hem doen.
Ik denk dat OneID een mooie oplossing heeft die op zich heel aantrekkelijk zou zijn voor veel gebruikers en zeker voor website beheerders. Toch vrees ik dat deze oplossing niet de graal is waar we naar zoeken. Het bedrijf kiest een technische insteek (zie website), is weinig transparant en zal naar mijn verwachting de slag met de concurrentie niet kunnen maken. Het gevolg is dat de oplossing niet aan zal slaan bij het grote publiek.
Als OneID er niet in slaagt om Google, Facebook en Twitter aan zich te binden acht ik de kans groot dat we niet alleen blijven zitten met wachtwoorden, maar ook met wachtwoordoplossingen van Google, Facebook en Twitter. Gewoon, omdat de massa dat kent, begrijpt en bereid is om de prijs te betalen die ermee gemoeid is.
Amerika heeft weer iets uitgevonden om ons te indentiviseren en onze activiteiten op internet op te slaan.
Je moet wel erg dom zijn om dit Amerikaanse product te vertrouwen en je land, economie en je eigen persoon in dergelijk gevaar te brengen.
Mja, onze politici vertellen je niet hoe privacy ons land en economie beschermt tegen de concurentie van Amerika, en daarom sukkellen we nog even verder in de economische crisses. Sweet dreams!
@Marcel : OpenId is versnipperd en gebruikt geen token. Overigens was het wel de naam die ook bij mij opkwam, maar OpenId heeft in mijn ogen nooit lekker gewerkt, ik ben er een jaar of 2-3 geleden vanaf gestapt.
@Ruud: Username en wachtwoord zijn goed, maar zou aangevuld moeten worden met een token om phishing tegen te gaan.
Ook de Nederlandse overheidsdiensten weten je te vinden als je verdachte zoektermen op internet gebruikt. Ze kunnen je dus gewoon in de gaten houden, ook als je andere info verspreidt. Dus waarom maken we ons dan zo druk als het om Amerikaanse bedrijven gaat? Omdat ze in Amerika nog erger paranoïde zijn dan wij?
Het gaat m.i. om twee vragen. De eerste vraag is: Is het een probleem dat er mensen zijn die iets te verbergen hebt en ze daarom iedereen in de gaten houden?
De tweede vraag is: als jij niets te verbergen hebt, is er dan iets tegen dat ze iedereen in de gaten houden?
Het is typisch Nederlands om te roepen dat er wel oplossingen moeten komen “maar niet in mijn straat”…
@ Henri,
Eens een smartcard of token is een goede toevoeging. Dan heb je in mijn ogen “best of both worlds”.
De one-id is nog te prematuur en ik verwacht dat hier nog niet serieus naar gekeken gaat worden.
Maar ja, dit kan zo maar eens veranderen als er aangetoond kan worden dat het ook echte veilig is en goed functioneert.
Eerst zien en dan pas geloven.
Welke authenticatie gebruikt wordt, wordt bepaald door de provider, niet de gebruiker. Als gebruiker kun je er wat van vinden, maar op zijn best is je keuze wel of niet meedoen. Als de provider je werkgever is, dan heeft die keuze zware consequenties.
Alle gebruikers hebben een mening over hoe het zou moeten – en een andere mening, trouwens. Dat komt de adoptiegraad niet ten goede. De provider doet wat hij zich kan veroorloven. Niemand doet SSO voor de gebruiker. Google doet het bijvoorbeeld omdat het al zijn diensverlening wil integreren en gebruikers wil binden.
Zo lang er geen alternatief is voor gebruikersnaam-wachtwoord wat aantrekkelijk is voor providers (meestal is dat: goedkoop te implementeren en beheren), dan zal dit het de-facto authenticatiemiddel blijven. En als one-id de providers aanspreekt, dan zou het wel eens de nieuwe standaard kunnen worden. Het lijkt in ieder geval goedkoop te implementeren, beheer moet zich nog bewijzen. VHS was ook niet het beste video-cassette formaat, maar had wel als eerste de vereiste adoptiegraad.