Het internet is voor de meesten van ons onmisbaar. Winkelen, contacten onderhouden, bankieren, bloggen, we gebruiken het voor bijna alles. Cybercriminaliteit gooit echter roet in het eten en de vele wachtwoorden die we hebben voor onze online accounts zijn hier in belangrijke mate debet aan. De Verenigde Staten nemen het voortouw met een strategie voor cyber-identiteiten waarmee online aanloggen wordt verbeterd. Een ontwikkeling om in de gaten te houden!
Iedereen heeft zich er wel eens over verbaasd: iedere website een ander account en wachtwoord. We hebben ook allemaal onze manier gevonden om ermee om te gaan. Overal dezelfde gebruikersnaam proberen te gebruiken, of in elk geval je beperken tot een stuk of drie. En het wachtwoord? Ook hetzelfde natuurlijk. Dan kun je het tenminste onthouden. De wat meer geoefende onder ons hebben zelfs slimme software als wachtwoordkluisjes om de aanwas aan accounts te beheren.
Inmiddels raken we ook aardig verveeld door het overal moeten aanmaken van accounts wat vaak gepaard gaat met het achterlaten van veel persoonlijke gegevens. Het belemmert ook in zekere zin het doen van online zaken, want steeds vaker wordt dit ervaren als drempel. Waarom niet gewoon één account dat we overal kunnen gebruiken?
Niet naar één account
Het antwoord is minder eenvoudig. Maar de belangrijkste reden zijn wijzelf. Wij willen helemaal niet maar één account! Wanneer je online effecten gaat verhandelen, vinden we het acceptabel en logisch om de nodige persoonlijke gegevens uit te wisselen. Immers, een website die deze dienst aanbiedt moet wel een bepaalde mate van zekerheid hebben dat jij werkelijk bent wie jij zegt dat je bent. En deze zekerheid kan worden bereikt door het verzamelen van meerdere persoonlijke gegevens of bepaalde bewijzen, zoals een kopie van je paspoort. Maar dezelfde mate van zekerheid is lang niet in alle gevallen nodig. Bij het plaatsen van een berichtje op een forum zijn allicht je voornaam en emailadres voldoende.
Kernpunt is dat je wilt kunnen aantonen dat je een bepaald individu bent, maar slechts daar waar nodig meer persoonlijke gegevens wilt delen om de mate van benodigde zekerheid rondom je identiteit te vergroten.
Eén online account met de mogelijkheid om per geval te kiezen welke persoonlijke informatie je verstrekt, zonder dit te hoeven toevertrouwen aan één bepaalde dominante partij of overheid is dus heel wenselijk. Dit vergt echter technologie, een bepaalde organisatorische opzet, samenwerking tussen vele partijen, betrouwbare, te controleren afspraken en een dekkend juridisch kader. Om dit mogelijk te maken en is dus een bepaald ecosysteem nodig.
Strategie voor cyber-identiteiten
Dit is exact de inzet van het Amerikaanse "National Strategy for Trusted Identities in Cyberspace", kort NSTIC. NSTIC voorziet een cyberwereld – het Identiteit Ecosysteem – waarin het online aanloggen beter wordt. Je kunt straks kiezen om je aan te melden bij één of meerdere identiteitsproviders, welke aan jou betrouwbare credentials uitgeven die je identiteit aantonen. Deze credentials kun je vervolgens overal gebruiken. Het doel is om te bewerkstelligen dat online transacties veiliger, sneller en meer privacyrespecterend worden. Individuen en organisaties krijgen zo meer online vertrouwen omdat alle deelnemende partijen afspreken om een consistente standaard voor identificatie, autenticatie, beveiliging en privacy te gebruiken.
Eigenlijk is dit niet anders dan het gedachtegoed rondom identiteiten op het Internet zoals zich dat in de afgelopen jaren binnen de industrie aan het ontwikkelen is. Je kunt nu al bij Facebook een account aanmaken en die credentials vervolgens op allerlei andere sites gebruiken om je te identificeren. Facebook is dan je identiteitsprovider. Je zou dus kunnen stellen dat als je maar lang genoeg wacht, het Identiteit Ecosysteem vanzelf realiteit wordt. Misschien is dat ook wel zo, maar vast staat dat de urgentie tot het nodig hebben van een solide ecosysteem er nu is en de industrie nu eenmaal op basis van andere incentives functioneert. Algemeen belang is geen goede incentive voor de private sector. NSTIC zorgt daarom voor het kick-starten van deze ontwikkeling en doet dat langs twee assen: sturing en stimulans.
NSTIC stuurt de ontwikkeling door het schetsen van de grove richting en randvoorwaarden voor een Identiteit Ecosysteem. Grondbeginsel is echter dat niet de overheid maar juist de private sector deze ontwikkeling moet gaan leiden, dus wordt dit gefaciliteerd met het opzetten van de stuurgroep en basisprincipes.
De stuurgroep bestaat uit experts uit de industrie, die worden georganiseerd in veertien stakeholder groepen en een regieraad. Iedereen mag op vrijwillige basis deelnemen, ook niet Amerikanen. Ook ik ben lid van deze stuurgroep.
De regieraad moet toezien op de ontwikkeling van het Identiteit Ecosysteem, met in achtneming van vier principes voor identiteitsoplossingen, namelijk dat deze:
– privacy-bevorderend en vrijwillig zijn
– veilig en betrouwbaar zijn
– interoperable zijn
– kosten-effectief en eenvoudig te gebruiken zijn.
Ter stimulans heeft NSTIC een pilot-subsidieprogramma om onderdelen uit te werken die de strategie zullen gaan vormgeven. Deze pilots worden tot maximaal twee jaar en twee miljoen dollar gefinancierd.
NSTIC zal uiteindelijk moeten leiden tot een situatie waarin bijvoorbeeld student Suzan van Aalsen een digitale credential kan verkrijgen van haar mobiele telefoonprovider en een andere van haar universiteit, en met beide in staat is om aan te loggen bij haar bank, haar email, haar sociale netwerksites, de overheid, et cetera, zonder talloze wachtwoorden te hoeven onthouden. Met deze credentials kan zij ook bij haar webmail bijvoorbeeld alleen haar pseudoniem 'Suzan92' gebruiken, terwijl ze bij het aanloggen bij haar bank kan bewijzen dat zij echt Suzan van Aalsen is.
Stand van zaken
NSTIC zag het levenslicht al in april 2011, maar na een roerige opstartperiode is men nu klaar om echt aan de slag te gaan. Tijdens de op 15 en 16 augustus gehouden kickoff meeting in Chicago, heeft de stuurgroep uit haar midden de leden van de regieraad gekozen. Brett McDowell (Paypal) is gekozen als voorzitter van de regieraad en Bob Blakley (Citigroup) won de goedkeuring als voorzitter van de plenaire vergaderingen.
De regieraad bestaat verder uit verkozen afgevaardigden uit de veertien stakeholder groepen. Deze stakeholder groepen concentreren zich op specifieke zaken zoals mkb, interoperabiliteit, bruikbaarheid en privacy.
De volgende mijlpaal voor NSTIC is al in september, wanneer de gunningen in het pilot-subsidieprogramma bekendgemaakt worden. Op 29 en 30 oktober komt de stuurgroep weer bijeen.
Interessant
Waarom is deze ontwikkeling nu interessant voor Europa of Nederland? Welnu, binnen Europa kennen we al STORK (Secure idenTity accrOs boRders linKed) wat gaat zorgen voor grensoverschrijdende autenticatie van nationale digitale identiteiten. Daarnaast heeft Nederland ook al bouwstenen voor betrouwbare nationale digitale identiteiten: DigiD, eHerkenning, machtigingen, afsprakenstelsel én de publiek-private samenwerking.
Helaas zijn deze bouwstenen alleen geschikt voor communicatie met de overheid. Heel nuttig, maar niet bruikbaar voor het leeuwendeel van je dagelijkse online zaken. En precies op dat punt, namelijk in bijna alle dagelijkse handelingen die wij digitaal verrichten, gaat NSTIC een zichtbaar verschil maken.
NSTIC is uiteindelijk om meerdere redenen interessant om te volgen en om van te leren. Of het nu uiteindelijk gaat lukken of niet. NSTIC is namelijk een strategie met nationaal draagvlak, dient een maatschappelijk belang, wordt vanuit de private sector geleid en geeft uiteindelijk zichtbare meerwaarde voor individuen en organisaties.
Ook de rest van de wereld zal profiteren van een succesvolle implementatie van NSTIC, al is het alleen al dat je meer vertrouwen kan hebben in de diensten die we dagelijks van allerlei Amerikaanse bedrijven afnemen.
Het is voor geen enkele Europeaan interessant om privé gegevens aan een Amerikaanse onderneming te vertrouwen die toegang verschaft voor legio websites om de eenvoudige reden dat onder de Patriot Act al deze gegevens zonder medeweten kan worden opgevraagd en gebruikt worden.
Het is alsof je de sleutel van je huis aan iemand geeft die mogelijk je huis kan doorzoeken als deze daar aanleiding toe ziet.
Laten we op de eerste plaats onze identiteit zoveel mogelijk in eigen hand houden.
Op de tweede plaats zijn er zijn oplossingen genoeg om te voorkomen dat we een wachtwoord ter beschikking moeten stellen voor de toegang tot een online account. De belangrijkste is Email, hetgeen toch al gangbaar is om je identiteit te bevestigen. Als de online dienstverlener ons een veilige hyperlink toestuurt waarmee we onmiddellijk toegang krijgen simpelweg door erop te klikken (desnoods eenmalig) dan was het probleem al grotendeels opgelost. Voor het gebruiksgemak en indien gewenst ben je daarna met een Cookie voor altijd verlost van zowel gebruikersnaam en wachtwoord.
Het kan nog veiliger als iedereen eens uitgelegd kreeg hoe je een asymmetrisch sleutelpaar moet aanmaken (bv PGP), zodat ook de mailberichten zelf nagenoeg onkraakbaar de eindbestemming kunnen bereiken.
Ik kan niet begrijpen dat een miljoenen-verslindend NSTIC met deze oplossing komt, tenzij er meer achter zit natuurlijk. CISPA of zo ?
En dan zeker niet aan Facebook, dat zich in allerlei bochten wringt om zoveel mogelijk munt te slaan uit de (privé) gegevens van zijn gebruikers.
“Grappig” dat een knullig systeem als DigiD als “bouwsteen voor betrouwbare nationale digitale identiteiten” wordt betiteld. Jammer dat inplaats daarvan geen PKI certificaten worden gebruikt. Weliswaar is door Diginotar en een paar andere gevallen ook daarvan de betrouwbaarheid ter discussie komen te staan, maar het niet meer bestaan van Diginotar laat zien dat de corrigerende werking van het systeem aanzienlijk is.
@Gerrit, de reden dat ik E-Mail niet graag als verificatie methode zie is omdat E-Mail op zichzelf geen veilig transportmiddel is. Noch SMTP, noch POP zijn bij de reguliere providers beveiligd (SMTPS en POP over SSL is er wel, maar nagenoeg niemand levert het). Die secure link van jou kan dus iedereen afvangen, en doen alsof hij mij is. Geen goede oplossing.
@Pim, het principe van PKI is gegarandeerd veilig. Echter, er is nagenoeg geen onderscheid te maken voor een gebruiker of een certificaat van een ‘veilige’ of een ‘minder veilige’ leverancier af komt. Op een standaard OS installatie (ja, zowel Windows als Linux) zit er al een ton aan vertrouwde certificaten in het OS, waarbij je als gebruiker eigenlijk niet weet of die wel zo goed zijn. Je moet er maar op vertrouwen. Een globaal attest van veiligeid van een PKI, bijvoorbeeld door een sterren-ranking in je browser, zou al veel goeds doen (net als de EV-SSL Certificaten met de groene browser balk). Dan kan je in elk geval zien of een PKI Certificaat van een 1-ster of 5-sterren leverancier komt. Moeten we nog wel ff met z’n allen de eisen voor een 5-sterren certificaat vaststellen 🙂
NEVER WASTE A GOOD (identity)CRISIS!
Idee van digitale identiteiten – lees handtekening – werd ongeveer 10 jaar geleden ook al besproken omdat steeds meer overheden hun diensten digitaliseerden. Maar toen bleek dat de Overheids-PKI te duur was en dus kon jaren later rekenmeester Donner ons in een nachtelijke persconferentie vertellen dat DigID zo lek als een mandje was. En betreffende privacy zijn we misschien vergeten dat toen Intel een jaar of 12 geleden met een uniek processorID iedereen er toen schande over riep. Maar nu we allemaal bang gemaakt zijn voor terrorisme en digitale criminaliteit hoor je vrijwel niets over UDID op iPad en iPhone, die NIET vrijwillig is of uitgeschakeld kan worden. Sterker nog, we worden min of meer door de overheid gedwongen om deze te kopen (BYOD) om zo de digitale i-Overheidsdiensten af te nemen.
En de genoemde internationale afspraken om de digitale wereld te controleren zijn er ook al of worden stilletjes via de achterdeur gemaakt als ik kijk naar ophef over Patriot Act en ACTA. Digitale agenda van Europa wordt nu eenmaal gewoon gedicteerd vanuit de West-Indische compagnie die vrolijk de kapersbrieven afgeeft. Piet Hein zijn naam was klein maar zijn daden waren groot, hij heeft gewonnen de zilver(lingen)vloot. Want waarom hebben we eigenlijk betrouwbare cyber-identiteiten nodig als de stakeholders hiervan zelf zo onbetrouwbaar zijn?
Citigroup en PayPal lijken me ook niet echt vrienden van een open en transparant betaalsysteem, verre van dat zelfs. PayPal heeft dan ook GEEN Amerikaanse bankvergunnning, wel een Europese maar dat had ICESAVE ook dus dat zegt ook niet zoveel. Maar puriteinse admiraliteit heeft dan ook een opmerkelijke moraal. Want nadat ze ons met vergiftige appeltjes voor de dorst een schuldenberg gaven moeten we ze blijkbaar ook nog eens de billen kussen. Stellen dat Google, Apple, Facebook de nieuwe banken worden lijkt me dus een herhaling van zetten. Let’s hack the system and change the rules zijn de genoemde partijen trouwens ook niet onbekend als ik hun aversie tegen klokkenluiders in overweging neem.
Maar ik zal dan wel oud worden als ik terug verlang naar 1984, het laatste jaar van de Rijkspostspaarbank. Een oersaaie maar degelijke bank die nog een interessante rente gaf op mijn Zilvervloot en waar het nieuwe betalen nog niet uitgevonden was. Geen geld uit een blinde muur maar via een transparant loket waar je via een postwissel ook geld kon overmaken of verkrijgen. Het was dan wel geen flitskapitaal maar door eenvoudige opzet voor iedereen die op de basisschool met een pen had leren schrijven wel te begrijpen.