Creditcardmaatschappij Mastercard en softwaregigant Microsoft slaan de handen ineen om de manier waarop mensen hun digitale identiteit beheren en gebruiken te verbeteren. Concreet houdt dit in dat de bedrijven willen komen tot een dienst waarmee consumenten hun identiteitsgegevens kunnen invoeren, beheren en delen om zo tot één digitale identiteit te komen die overal voor inzetbaar is.
Het online verifiëren van je identiteit is nu nog altijd afhankelijk van een fysiek of digitaal bewijs zoals een paspoortnummer, een adresbewijs, of een rijbewijs. Deze afhankelijkheid legt volgens de twee ondernemingen een enorme last op de gebruikers. Die moeten tientallen wachtwoorden voor verschillende identiteiten onthouden en lopen tegen steeds meer complexiteit aan in het bewijzen van hun identiteit en het beheren van hun gegevens.
Identiteitssysteem
‘Het digitale identiteitslandschap is gefragmenteerd, inconsistent en wat in het ene land werkt, werkt in een ander land vaak niet. We hebben nu de mogelijkheid om een systeem op te zetten dat mensen op de eerste plaats zet, hen controle geeft over hun identiteitsgegevens en waar deze worden gebruikt’, zegt Ajay Bhalla, hoofd van cyber- en intelligence-oplossingen bij Mastercard. ‘Werken met Microsoft brengt ons een stap dichter bij het tot stand brengen van een wereldwijde digitale identiteitsservice. We kijken ernaar uit om binnenkort volgende stappen bekend te maken.’
Volgens de bedrijven kan het digitale identiteitsinitiatief ook helpen voor identiteitsinclusie. ‘Meer dan één miljard mensen wereldwijd, voor het merendeel vrouwen, kinderen en vluchtelingen, worden niet officieel erkend; een digitale identiteit kan hun toegang tot gezondheidszorg, financiële en sociale diensten verbeteren.’ Ook zien Microsoft en Mastercard voordelen voor verificatie en fraudepreventie. ‘Eén digitale identiteit kan mensen helpen om te communiceren met een winkelier, een bank, een overheidsinstelling en talloze andere digitale serviceproviders met een grotere veiligheid en tegen lagere kosten. Daarnaast kan het helpen bij het verminderen van betalingsfraude en identiteitsdiefstal.’
Microsoft Azure
Dit initiatief dient als de basis voor nieuwe Mastercard-diensten die worden aangedreven door Microsoft Azure. Met deze samenwerking brengen Microsoft en Mastercard naar eigen zeggen hun sterke punten samen: Microsoft’s expertise op het gebied van identiteitstechnologie en de expertise van Mastercard om digitale interacties veilig te realiseren. Verdere details over de samenwerking en volgende stappen worden in de komende maanden gedeeld.
Ik ben benieuwd hoe dit initiatief zich verhoudt tot waar Tim Berners Lee mee bezig is, https://solid.inrupt.com/how-it-works
Of, dichter bij huis, IRMA van Bart Jacobs https://www.ru.nl/onderzoek/over/wetenschappelijke-topgebieden/cyber-security/meer-info/professor-bart-jacobs-winnaar-erc-advanced-grant/
Eens met Emil,
Dat het digitale landschap gefragmenteerd is, lijkt me nu (in huidig tijdsbeeld) nog even van voordeel voor de gebruiker.
Zodra er een basis is die de meest kritieke aanvallen kan weerstaan, zullen deze pas gevolgd gaan worden door de meute.
https://www.nu.nl/internet/5609627/digid-inloggegevens-van-honderden-nederlanders-gestolen-phishing.html
Dit soort berichten zullen geen positieve bijdrage leveren aan de groei van het vertrouwen 🙁
Nu heb ik een klein beetje ervaring met IRMA/DIGID en moet natuurlijk wel constateren dat het gebruik ervan nou niet de meest gebruiksvriendelijke manier is, DIGID is het beveiligingsvehikel waar hier in NL alles m.b.t. tot onze persoonlijke gegevens met onze overheid aan is opgehangen. Wachtwoord beleid en gegevensbeveiliging is nou eenmaal een lastige zaak, is van alle tijden en wordt overal als lastig ervaren.
Dat Microsoft en Mastercard hierin de handen ineenslaan, is niet vreemd. Beide opereren vanuit Azure dus daar zal het samenwerkingsinitiatief haar oorsprong wel gevonden hebben. Hiermee wordt ook direct de achilleshiel zichtbaar…
IRMA en de Dutch BlockChain Coalition (gebaseerd op TrustChain) hebben beide een proef lopen en daar hecht ik meer waarde aan dan een commerciële organisatie. Ik ben het eens met Microsoft, Mastercard en duizenden anderen dat een analoog (“papieren”) bewijs van je identiteit niet meer van deze tijd is. Het verbaasd me dan ook altijd dat als er een digitale transformatie op een of ander gebied zich voltrekt, dat er horden van mensen gaan piepen dat het digitaal niet veilig is en analoog vooral wel. Leven deze mensen onder een steen, hebben ze voordat de digitalisatie toeslag nooit de krant gelezen? Paspoorten, ID-bewijzen, geld, als waar je maar even gewin uit zou kunnen halen, worden al sinds jaar en dag nagemaakt. Er zijn boeken, films en tv-series genoeg geweest waarin dat keihard werd aangetoond. En dan praten we nog alleen maar over je identiteit. Als ik zie hoe nog grote delen van onze samenleving (overheid, zorg, onderwijs, etc…) nog met “papier” wordt omgegaan, onder het mom dat het digitaal voor niet veilig is, dan vraag ik me werkelijk af, of deze mensen enig realiteitsbesef hebben.
Terug naar de digitale identiteit. De discussie hierover bestaat al sinds overheden langzamerhand ook digitaal aan het transformeren zijn. De Nederlandse overheid kent een zwabberbeleid, eerst was er DigiD, toen kwamen idensys (en IDIN van de banken), nu weer afgeschaft, en zo verder…Door de blockchain technologie is dat in een stroomversnelling geraakt en misschien ook door de kostenpost burgerzaken bij alle gemeenten. Als je nu namelijk bij een instelling/organisatie/winkel iets wil, moet je daarvoor een paspoort, rijbewijs, ID-kaart of een waardepapier (uittreksel, kopie) hebben. Die moet je halen bij een gemeente en ervoor betalen. Het bijzondere is dat al deze documenten hun informatie betrekken uit digitaal opgeslagen informatie! Dus de gegevens zijn digitaal voorhanden, maar gaan ze vooral op “papier” zetten en “laten zien” aan anderen. Overigens wordt er bij deze “laten zien” activiteit beduidend meer getoond dan strikt noodzakelijk. Zo moet een jongere zijn ID laten zien als hij alcohol of tabak koopt en het enige dat hij of zij moet aantonen aan de overigens nauwelijks bij machte zijnde kassière van vaak dezelfde jonge leeftijd als de klant, is dat die 18 of 21 jaar of ouder is. Meer dan dat, is niet noodzakelijk.
Technisch gezien zijn de lopende PoC’s (Proof of Concepts) als IRMA en DBC een prima alternatief. De use case is het delen van persoonsgegevens attributen (leeftijd, woonplaats, inkomen, etc…) en de eigenaar (jijzelf) bepaald of je die deelt. Met een telefoon (waar door biometrische controle een veel betere beveiliging op zit, dan een handtekening of pincode) wordt de vragende partij alleen die informatie gegeven die noodzakelijk is om een transactie te doen. IRMA is overigens gebaseerd op PKI en het DBC is gebaseerd op TrustChain. Overigens BlockChain, TrustChain, IOTA zijn allemaal vormen van Distrubuted Ledger Technology).
Hiermee is ook bewezen dat het voor identiteit niet noodzakelijk is om van DLT gebruik te maken.
Dan rijst de vraag: wanneer zou je wel DLT gebruiken en wanneer niet? Ik ken tot nu toe maar twee situaties waar DLT een interessant alternatief is. Daar waar je de centrale autoriteit niet vertrouwd: corrupte overheden of instellingen. Lastig daarbij is, wie gaat dan van een dergelijke infrastructuur gebruik maken: nou in ieder geval niet die corrupte organisaties. Ze kunnen immers de zaak binnen een DLT niet veranderen. Een andere use case is daar waar er typisch sprake is van een transactieverwerking met gelijkwaardige partijen, zoals de handel, vervoer en dergelijke.
Vooralsnog is het zo dat zolang afnemende partijen “papieren” bewijzen van onze overheden vereisen, dat de digitale variant ook van die overheden af dient te komen. Daarom juich ik een initiatief als IRMA toe. Het is laagdrempelig, er moeten nog wel wat technische en beveiliging technische horden genomen worden, maar het belooft iets goeds.