Archive for the 'Digitale Identiteit' Category

OpenID Connect een nieuw protocol voor realisatie online identiteit eco-systeem

Afgelopen maand is de OpenID Connect specificatie gelanceerd. OpenID connect is een protocol dat het mogelijk maakt om een betrouwbare, flexibele en interoperabele identiteit oplossing te realiseren, zodat je eenvoudig met je digitale identiteit terecht kan bij websites en applicaties via elke computer of mobiel apparaat. OpenID connect is al in gebruik bij grote internationale organisaties zoals Microsoft, Google, PayPal, Deutsche Telekom, SalesForce en anderen. Het protocol geeft veel flexibiliteit voor het inrichten van een identiteit eco systeem.

Vanuit Evidos werkte ik mee aan de OpenID Connect standaard en nam ik deel aan het internationale bestuur. Ik ben er trots op om meegewerkt te hebben aan het realiseren van OpenID connect in samenwerking met internationale deskundigen op het gebied van digitale identiteit. Ik hoop dat door het gebruik van de standaard we weer een stap verder komen in de richting van het betrouwbaar en eenvoudig gebruik van je individuele identiteit.

Nu is het aan de markt om aan de slag te gaan met het protocol en te kijken hoe dit in samenwerking met bestaande protocollen zoals SAML en OAUTH kan samenwerken om het gebruik van je digitale identiteit mogelijk te maken. De komende tijd zullen er diverse workshops worden georganiseerd om het protocol en de mogelijkheden verder toe te lichten.

In Nederland is het in iedergeval belangrijk dat ontwikkelingen als eHerkenning, DigiD en eID Stelsel NL zich verdiepen in deze nieuwe ontwikkelingen en kijken hoe dit de stelsel ontwikkelingen kan versterken. OpenID connect geeft de mogelijkheid om klaar te zijn voor de “mobiele toekomst” en is belangrijk in verband met de aansluiting bij de internationale ontwikkelingen en interoperabiliteit.

Meer informatie over de specificatie en de mogelijkheden kan je terugvinden op pagina.

Voor vragen over het gebruik van OpenID Connect of digitale identiteit, neem gerust contact op

OpenID Connect

OpenID Connect

How is your OpenID doing?

Time for an update about the current state of affairs and developments relating to OpenID – the possibility of choosing your own identity and reusing it on the web. 

It is already four years ago that Google announced that all Googlers could use their account as OpenID to login to (an)other website(s). Supported by major providers such as FaceBook, Google, Microsoft and PayPal, OpenID was intended to become the worldwide standard to set the consumer free from his or her massive number of passwords. Now, in 2012, all consumers are still using many different passwords on different website(s). Despite every consumer acknowledging the password problem and websites leaking passwords on a daily basis, only a few providers offer the possibility of using your own identity to login.  Time for an update about the current state of affairs and developments relating to OpenID – the possibility of choosing your own identity and reusing it on the web. 

OpenID, bring your own Identity (BYOID)

The development that allows consumers to use their own iPad, Iphone or laptop at work is gaining more and more attention. This development is commonly known as the “Bring your own device”  (BYOD) development. OpenID represents a similar development, whereby the consumer has the possibility of using his or her own online identity (OpenID) on the web (BYOID).

OpenID was originally created as a technique for making it easy to post a blog comment. The inventor, Brad Fitzpatrick, believed it was handy not to have to re-register every time you wanted to post a blog comment.  Major players such as Google, Microsoft and Facebook quickly signed up to the technical standard and OpenID became the brand mark that represented easy login to websites using your own ID. The international OpenID Foundation develops the technological standards and promotes the use of OpenID. The foundation is supported by the membership of technology and industry leaders, all directly benefit from the joint efforts in standardisation, developments and promotions.

What happened to OpenID?

Despite the popularity and emergence in 2007 the enthusiasm and the buzz surrounding OpenID gradually declined.  There was criticism from the community about the fact that Google, for example, wanted to be an OpenID provider yet it would not accept any other OpenIDs. In addition, the OpenID providers prefer to display their own logo rather than the OpenID logo. Consumers did not understand entering an OpenID URL as username and website(s) found it complicated to integrate it easily into their services.

Despite the OpenID logo gradually disappearing from websites, more and more websites did offer the possibility of logging in using your Facebook, Google or Paypal account. The underlying technology is still based on OpenID and related technology such as oauth.

Important for this follow-on success are the additional possibilities of social networks and sharing of information with your friends or other applications. These days, for example, you can easily log in to Spotify and AirBnB using a single identity that you already have. Facebook Connect is by far the most successful implementation, with in excess of 250 million logins per month. The question is whether every consumer is comfortable to have their identities managed by Facebook. Because of the dominant position of these major players consumers can still not always choose which OpenID they use to log in.

By using the experiences of the various OpenID providers and online service providers, the OpenID Foundation is working on two improvements for 2012. A great deal of work is being undertaken on the successor to the technical standard; OpenID Connect and a solution, Accountchooser, for the issue surrounding OpenID provider choice. More interesting OpenID technology standards like BackplaneX to come.

Accept OpenID on my website?

Due to the need to have a better relationship with existing users more and more websites are offering the possibility of linking your Facebook, Twitter or Google account. This is valuable because of the additional information that your website is able to obtain about the user and for sharing messages with their network of friends.

However, there are also additional benefits to be gained by supporting other OpenID providers, despite these not immediately providing the social benefits.

In recent years, many online webshops have opted to offer customers the possibility of making an online purchase without having to register (Fast Checkout). This is disastrous from the perspective of building a relationship with your customer, but is driven by the loss of sales conversions caused by registration barriers, e-mail verification and forgotten password procedures.

Reusing your identity by means of an OpenID can help webshops to still build a relationship with the customer easily, without losing sales conversions. It is for good reason that, the Dutch Online Retail association, has called for the development of an OpenID for online shopping (NL).

As an online provider you are also faced more and more often with new channels such as mobile or television. It is important that your existing method of identifying users can also support these channels. External OpenID providers and identity service providers like JanRain, Gigya and Prooflink are more specialised in this, as a result of which users do not have to register on your website first before being able to use your mobile application.

On the other hand you can of course implement the OpenID technology for our own accounts. Using OpenID technology standards does not oblige you to directly accept external OpenID’s.

Last but not least, as an online service provider you may not have the appropriate know-how for correctly organising password management. By accepting an OpenID it is no longer necessary to store passwords and you therefore void the risk of this data getting into the wrong hands.

Is this of value to the consumer?

Every consumer struggles with managing his or her passwords. Despite the various suggestions and tips for thinking of a good password, in practice there are two types of users: users who think of a different password for each website and maintain a list of these and users who use the same password on various websites.

The first group gets annoyed if the browser does not pre-fill the password on the basis of the “remember password” feature or when they have to login from a different PC or Mobile. After all, you then have to check the list to find that elaborate password.  There is then a great temptation to choose a password that you can easily remember.  In practice the largest group of users has a number of favourite passwords that they use as standard on various websites.

Hackers are also familiar with this behaviour and are increasingly searching for websites that don’t have their password management well organised. Using the data that they are able to retrieve easily from those websites they then attempt to gain access to as many other websites as possible. In some cases this is to ask friends or other contacts for money, allegedly because you are stranded somewhere while travelling.

Once such a hack has been uncovered this group of consumers is very busy trying to remember the websites on which they have used this data. With a race against the clock, they then have to change this data as much as possible.

An OpenID gives users the possibility of managing an identity from a central location.

Ultimately, as a user, you choose where or with whom you want this OpenID to be managed.  This choice depends on what a user considers to be important. Do I choose Google, a regional provider, a government facility or do I prefer to manage my own OpenID?  Ease of use, trust, costs and, potentially, insurance in the event of loss play a possible role in this. It is important that there are simple solutions that are easy to use by the cross-section of Internet users. Various parties such as banks, telecom, insurers, Apple and Google can play a potential role in this.  Organisations like the OpenIdentityExchange foundation work on the trust and governance for OpenID providers. This is not a technology problem. It is a business, legal, and social problem.

The central management of your identity creates potential risks because you will then be dependent on this account. In practice you may therefore have a number of OpenIDs so that you are not dependent on a single solution. That also provides you with the possibility to protect this OpenID better than just a password, for example via supplementary measures such as a code on your mobile or by means of biometry.

The next time that a website requests a password ask yourself whether this website is capable of protecting your data properly and if it is not, ask why they don’t offer you the option of using an OpenID. If you support this developments, think about becoming an OpenID ambassador!


The development of Bring your own Identity (BYOID) and using this on the web has further developed in recent years. This has been primarily driven from additional social interaction as offered by players such as Facebook, Twitter and Google.

OpenID provides the various technologies that make it possible to reuse an identity in increasingly better ways, whereby OpenID providers find it important to promote their own brand. On the basis of market developments it is expected that consumers shall bring their own OpenID more and more often if they wish to use an online service.

As an online service provider it is important that you prepare yourself for the possibilities of accepting OpenIDs. This may be driven by user demand but may also be driven by the various benefits associated with this for improved online service and customer relationship building.

Stand van zaken OpenID

Het is alweer drie jaar geleden dat Hyves bekend maakte dat alle Hyvers hun account als OpenID konden gebruiken om op andere website(s) in te loggen. Ondersteund door grote aanbieders als FaceBook, Google, Microsoft, PayPal zou OpenID de wereldwijde standaard worden om de consument van zijn grote hoeveelheid wachtwoorden te verlossen. Nu, 2012, maakt iedere consument nog altijd  gebruik van veel verschillende wachtwoorden op verschillende website(s). Ondanks dat iedere consument het wachtwoordprobleem herkent en websites dagelijks wachtwoorden lekken, bieden weinig dienstverleners de mogelijkheid om je eigen identiteit te gebruiken om in te loggen.  Tijd voor een update over de laatste stand van zaken en ontwikkelingen rondom OpenID, de mogelijkheid om je eigen identiteit te kiezen en hergebruiken op het web.  

OpenID, bring your own Identity (BYOID)

De ontwikkeling dat consumenten de mogelijkheid krijgen om hun eigen iPad, Iphone of laptop te gebruiken op het werk krijgt steeds meer aandacht. Deze ontwikkeling staat algemeen bekend als de “Bring your own device”  (BYOD) ontwikkeling. OpenID staat voor een vergelijkbare ontwikkeling waarbij de consument de mogelijkheid heeft om zijn eigen online identiteit (OpenID) te gebruiken op  het web (BYOID).

Oorspronkelijk is OpenID ontstaan als een techniek om eenvoudig een reactie op een blog te plaatsen. De bedenker, Brad Fitzpatrick, vond het handig als je niet bij iedere blogreactie opnieuw een registratie hoefde te doen.   Al snel sloten grote partijen als Google, Microsoft en Facebook zich aan bij de technische standaard en werd OpenID het merk dat staat voor het eenvoudig inloggen op websites met je eigen Identiteit. De internationale OpenID stichting ontwikkelt de technologische standaarden en promoot het gebruik van OpenID.

Waar is OpenID gebleven?

Ondanks de populariteit en opkomst in 2007 nam het enthousiasme en de buzz rondom OpenID langzaam af.  Vanuit de community ontstond kritiek op het feit dat bijvoorbeeld Google wel OpenID provider wil zijn, maar zelf geen andere OpenID’s accepteert. Daarnaast tonen de OpenID providers liever hun eigen logo in plaats van het OpenID logo. Consumenten begrepen het invoeren van een OpenID URL als gebruikersnaam niet en website(s) vonden het complex om het eenvoudig te integreren in hun diensten.

Ondanks dat het OpenID logo langzaam van website(s) verdween gingen steeds meer websites wel de mogelijkheid bieden om met je Facebook, Google of Paypal account in te loggen. De onderliggende techniek is nog altijd gebaseerd op OpenID en aanverwante technieken zoals oauth.

Belangrijk voor dit opvolgende succes zijn de aanvullende mogelijkheden van sociale netwerken en het delen van informatie met je vrienden of andere applicaties. Tegenwoordig kan je eenvoudig inloggen op bijvoorbeeld Spotify en AirBnB met één identiteit die je al hebt. Facebook Connect is verreweg de meest succesvolle implementatie met meer dan 250 millioen login’s per maand. De vraag is of iedere consument het prettig vindt om zijn identiteit door Facebook te laten beheren. Door de dominante positie van deze grote partijen, hebben consumenten nog altijd niet de keuze met welke OpenID ze willen inloggen.

Met de ervaringen van de verschillende OpenID aanbieders en onine dienstverleners werkt de OpenID foundation aan twee verbeteringen voor 2012. Er wordt hard gewerkt aan de opvolger van de technische standaard; OpenID Connect en een oplossing voor de keuzeproblematiek van de OpenID provider met de Accountchooser.

OpenID accepteren op mijn website?

Door de behoefte om een betere relatie te hebben met bestaande gebruikers bieden steeds meer websites de mogelijkheid om je Facebook, Twitter of Google account te koppelen. Dit is waardevol vanwege de aanvullende gegevens die je als website krijgt over de gebruiker en om berichten te delen met zijn vriendennetwerk.

Toch zijn er ook andere voordelen om andere OpenID providers te ondersteunen, ondanks dat je niet gelijk de sociale voordelen krijgt.

Veel online webshops hebben er de afgelopen jaren voor gekozen om klanten de mogelijkheid te bieden om een online aankoop te doen zonder registratie. Funest vanuit het perspectief om een relatie met je klant op te bouwen, maar gedreven door het conversie verlies van registratie, e-mail verificatie en wachtwoord vergeten procedures.

Het hergebruik van je identiteit door een OpenID kan webwinkels helpen om toch eenvoudig een relatie op te bouwen met de klant, zonder conversie verlies. Het is niet voor niks dat de een oproep heeft gedaan voor de ontwikkeling van een OpenID voor online winkelen.

Als online aanbieder krijg je ook steeds vaker te maken met nieuwe kanalen zoals mobiel of televisie. Het belangrijk dat je met de bestaande manier om gebruikers te herkennen ook deze kanalen kan ondersteunen. Externe OpenID providers zijn hier beter in gespecialiseerd, waardoor gebruikers niet eerst een registratie op je website moeten doen, voordat ze van je mobiele applicatie gebruik kunnen maken.  Aan de andere kant kun je zondermeer de OpenID technologie implementeren voor je eigen accounts.

Last but not least beschik je als online dienstverlener  wellicht niet over de juiste kennis om wachtwoordbeheer op een goede wijze te organiseren. Met het accepteren van een OpenID is het opslaan van wachtwoorden niet meer nodig en voorkom je het risico dat deze gegevens in verkeerde handen komen.

Is dit waardevol voor de consument?

Iedere consument worstelt met zijn wachtwoordbeheer. Ondanks de verschillende suggesties en tips om een goed wachtwoord te bedenken, zijn er in de praktijk twee type gebruikers. Gebruikers die voor iedere website een ander wachtwoord bedenken en dit op een lijstje bijhouden en gebruikers die hetzelfde wachtwoord gebruiken op diverse websites.

De eerste groep baalt ervan als de browser het wachtwoord niet vooraf invult op basis van “wachtwoord onthouden” feature of wanneer ze moeten inloggen vanaf een andere PC of Mobiel. Tenslotte moet je dan op je lijstje controleren wat dat moeilijk wachtwoord ook weer is.  De verleiding is dan groot om toch een wachtwoord te kiezen dat je makkelijk kunt onthouden.  In de praktijk heeft de grootste groep gebruikers een aantal favoriete wachtwoorden die ze standaard gebruiken op  verschillende websites.

Hackers kennen ook dit gedrag en gaan steeds vaker op zoek naar websites die hun wachtwoordbeheer niet goed georganiseerd hebben. Op basis van de gegevens die ze daar eenvoudig achterhalen proberen ze toegang te krijgen tot zoveel mogelijk andere website(s). In sommige gevallen om bijvoorbeeld je vrienden of andere contacten om geld te vragen, omdat je zogenaamd ergens op reis gestrand bent.

Wanneer een dergelijke hack bekend is, is deze groep consumenten erg druk om te bedenken op welke websites ze deze gegevens gebruikt hebben. Met een race tegen de klok moeten deze gegevens dan zoveel mogelijk gewijzigd worden.

Een OpenID geeft gebruikers de mogelijkheid om een identiteit vanaf een centrale plek te beheren.

Uiteindelijk kies je als gebruiker voor de manier waar of bij wie je deze OpenID wilt beheren.  De keuze is afhankelijk van wat een gebruiker belangrijk vindt. Kies ik voor Google, een regionale aanbieder, een overheidsmiddel of beheer ik liever mijn eigen OpenID?  Gebruikersgemak, vertrouwen, kosten en eventuele verzekering bij verlies spelen hierbij een mogelijke rol. Het is belangrijk dat er eenvoudige oplossingen zijn die goed te gebruiken zijn voor de doorsnee internetgebruikers. Diverse partijen zoals banken, telecom, verzekeraars, Apple en Google kunnen hier mogelijk een rol spelen.

Het centraal beheren van je identiteit levert mogelijk risico’s op, omdat je dan erg afhankelijk bent van dit account. In de praktijk zal je dus wellicht een aantal OpenID’s hebben om niet afhankelijk te zijn van één oplossing. Het geeft je echter ook de mogelijkheid om deze OpenID beter te  beveiligen dan alleen een wachtwoord, bijvoorbeeld via aanvullende maatregelen als een code op je mobiel of biometrie.

De volgende keer dat een website vraagt om een wachtwoord, vraag je dan af of deze website in staat is om je gegevens op een goede wijze te beschermen,  zo niet, vraag ze waarom ze niet de mogelijkheid leveren voor het gebruik van een OpenID.


De ontwikkeling om je eigen identiteit mee te brengen (BYOID) en gebruiken op het web heeft zich in de afgelopen jaren verder ontwikkeld. Primair gedreven vanuit de aanvullende sociale interactie die partijen als Facebook, Twitter en Google hierbij bieden.

OpenID biedt de verschillende technologieën om het hergebruik van een identiteit steeds beter mogelijk te maken, waarbij OpenID providers het belangrijk vinden om hun eigen merk te promoten.  Op basis van de marktontwikkelingen is de verwachting dat consumenten steeds vaker hun eigen OpenID zullen meebrengen als ze van een online dienst gebruik willen maken.

Als online dienstverlener is het belangrijk om je voor te bereiden op de mogelijkheden om OpenID’s te accepteren. Wellicht gedreven door de vraag van je gebruikers, maar ook omdat er diverse voordelen aan verbonden zijn voor een betere online dienstverlening en klantrelatie.

Market Research on OpenID developments

Just want to share my OpenID market research as one of my first contributions as a boardmember of the OpenID foundation.

From my background I thought it would valuable to step back from the current development of OpenID, collect market research, customer feedback, strength and weaknesses of OpenID and list some strategic considerations for future developments.

We discussed this presentation last week when the OpenID foundation gathered for the first face to face meeting in San Francisco and thought it would be valuable to share this prezi to th e openid community.

Although there is already a lot of 2011 activities planned by the OIDF that fit the outcome of this research, some of the outcomes will additionally be taken into account by the executive committee of the OIDF.

Feel free to comment or add your contributions.

Sociale Web forceert hergebruik digitale identiteiten van de bank

Twee weken geleden organiseerde ik een OpenID meetup met David Recordon als gastspreker. Een leuke bijeenkomst met goede voorbeelden van online diensten waar je ook eenvoudig met je facebook, twitter, linkedin of Hyves account kunt inloggen. Een verslag van de meetup staat op  Gisteren was er een bijeenkomst vanuit het CidSafe project, hoe een breed geaccepteerde veilige oplossing voor een consumentenid te introduceren? Goede bijeenkomst georganiseerd door Novay, met discussies over wat een veilig middel is, waarom de overheid dit niet doet, mogelijke businesscase en wat de rol van banken eventueel kan zijn.  Terugkijkend op beide bijeenkomsten ging ik op zoek naar een antwoord op de vraag waarom het hergebruik van consumenten identiteiten van bijvoorbeeld twitter  succesvol is, maar voor hogere niveau’s het niet lijkt te lukken om banken of telco’s aan te laten sluiten.

Hergebruik lijkt het nieuwe toverwoord in het identity landschap.  Hergebruik staat bij veel initiatieven (eHerkenning, identityexchange, CidSafe, OpenID) benoemd als belangrijk uitgangspunt voor het slagen van een oplossing van het identiteitsvraagstuk.

In verschillende discussies is er nog een verschil van interpretatie van het woord hergebruik. In veel gevallen is hergebruik het effect dat je één identiteit/ login kunt hergebruiken bij meerdere toepassingen. Wat mij betreft is dit niet de essentie, het gaat erom dat je een bestaande identiteit kunt hergebruiken, omdat hij direct beschikbaar is.  De consument heeft een gmail  account en kan direct aan de slag bij

Wat zou het prettig zijn als ik mijn bank login of mobiele telefoon ook direct kan hergebruiken bij mijn verzekeraar, maar waarom zou je dit aanbieden als bank of mobiele aanbieder?, wat is de businesscase?

Er wordt dan gesproken over de voordelen van het delen van de kosten van een dure authenticatie infrastructuur of eventuele extra inkomsten… Met meer dan 1 miljard kwartaal winst met de primaire dienstverlening van een bank, zou dit dan echt belangrijk zijn?….ik dacht het niet. Aangevuld met het nadeel van het mogelijke imagoverlies als er iets mis gaat met de login op een andere site, is dit een no-go.

Wanneer ik dan kijk naar de aanbieders van openid, dan gebeurt het toch. Wat is dan de businesscase voor bijvoorbeeld hyves, google en twitter? Tenslotte heeft Google ook een goed imago dat ze kunnen verliezen, wellicht nog een groter risico doordat hun inlogmethode van gebruikersnaam/wachtwoord eenvoudiger te phishen is dan de randomreader van de bank.  Google haalde  een kwartaalwinst van 2 miljard, dus dat  lijkt ook niet echt een logische rede voor het Google bestuur om met openid te starten. Waarom gebeurt het dan toch en wat kunnen banken en telco’s hier nu van leren?

De businessdriver is het sociale web, of zoals Chris Anderson van Wired laatst al publiseerde “The web is dead, long live the Internet” Het gaat erom dat steeds meer digitale diensten onderling op elkaar aansluiten, niet alleen via een webbrowser toegankelijk zijn en gegevens van elkaar kunnen hergebruiken op basis van toestemming door de consument.

Ik ben ervan overtuigd dat het deze socialisering van het web is, die ons gaat helpen het identiteitsprobleem op te lossen. Hierdoor kunnen we straks wel  onze bank of  telefoon login hergebruiken.

Partijen als Google, Hyves, Twitter, Flickr en LinkedIn worstelen al jaren met het probleem dat andere toepassingen rechten willen op de gegevens zoals die bij hun beschikbaar zijn. Hoe krijgen we je gmail adresbook, msn gegevens gesynchroniseerd met de (“Hoe krijg je je Gmail-adresboek, Windows Live hotmail adres boek gesynchroniseerd?“) applicatie zonder je Gmail login gegevens bekend te maken?

Dit is opgelost doordat Google, Hyves, Twitter en anderen gebruik zijn gaan maken van een nieuwe technische standaard, oauth. Zo geef je eenvoudig toestemming aan een andere online dienst om je persoonlijke gegevens of data te gebruiken, zonder je wachtwoord te delen. Zijdelings effect is dat je hierdoor ook eenvoudig kunt inloggen met je bestaande account op andere diensten. Deze techniek is geschikt voor mobiel, web en desktop.  Bij Twitter of andere idproviders zie je dan netjes een lijstje met de toestemmingen die je hebt gegeven

Twitter Oauth permissions

Met de opkomst van diensten als Yunoo, waar je inzicht in je financiën kunt krijgen, is er een behoefte om Yunoo direct toegang te geven tot je online banktransacties.  Hoe vervelend als je deze elke keer moet exporteren en importeren, waarbij je ook het realtime effect volledig mist.  Uiteraard wil ik niet dat Yunoo mijn banklogin krijgt.  Wat zou het eenvoudig zijn om Yunoo via oauth toestemming te geven tot mijn banktransacties en uiteraard niet om een transactie te doen.  Bij mijn telebankier applicatie zie ik dan netjes dat ik Yunoo toestemming heb gegeven en kan ik de toegang ook weer weigeren.

Zo komen er de komende tijd legio nieuwe innovatieve financiele services, waarbij dit handig zou zijn.  Ook voor andere dienstverleners zal dit gaan gelden, denk hierbij aan de toestemming om mijn realtime OV reisgegevens te gebruiken in een slimme reiswijzer,  realtime inzicht in mijn gespreksgegevens via een iphone of nieuwe inkomende nummers direct te mergen met mijn app. En in de nabije toekomst natuurlijk het geven van toestemming tot andere applicaties op mijn SIM kaart. Wellicht zelfs een mogelijkheid om straks via oauth/ digid burger als burger toestemming geven tot je geboorte akte?

Kortom, de banken en telco’s moeten mee in deze services beweging en zullen dus ook hun authenticatiediensten toegankelijk moeten maken om dergelijke toestemming tot consumentengegevens mogelijk te maken.  In veel van de discussies rondom digitale identiteit zitten meestal niet de verantwoordelijke voor de ontwikkelingen van dergelijke innovatieve retailservices aan tafel, anders was de discussie van de businesscase  snel geslecht. Deze ontwikkeling is niet te stoppen, hij is gaande, en maak als traditionele bank niet de fout te denken dat je het kunt stoppen, door hier niet aan mee te werken.

Tijdens het congres identitynext wil ik hier verder op ingaan tijdens de track “social consumer”, Ik nodig iedereen, die bezig is met het ontwikkelen van deze innovatieve services uit om de traditionele identiteitdenkers te overtuigen van deze ontwikkeling.

Spontane bijeenkomst “OpenID…

Spontane bijeenkomst “OpenID by David Recordon – FaceBook” 15 september Amsterdam CS

De doelstellingen voor

Het is alweer enige tijd geleden dat het openid protocol 2.0 is geintroduceerd. In de tussentijd zijn er allerlei aanvullingen ontwikkeld, maar nooit een nieuwe versie gedefinieerd. Na de laatste IIW bijeenkomst lijkt daar verandering in te komen. De volgende doelstellingen zijn geformuleerd:

  • Integrating the UX extension (in which the user interacts with the OP in a pop-up window) into the core specification: 12
  • Evolving the discovery specification for OpenID, including adding OpenIDs using e-mail address syntax: 10
  • Integrating attributes (claims) into the core specification: 9
  • Integrating the OAuth Hybrid specification into the core specification: 8
  • Supporting an optional active client (identity selector) and non-browser applications: 8
  • Improve security, including investigating enabling use at levels of assurance above NIST level 1: 8
  • Better support for mobile devices: 8
  • Addressing the problem of long URLs (where browsers limit URL length to 2048 or sometimes 256 characters):

Lees meer in deze post

TrustFrameWork en OpenIdentiteit

Belangrijk onderdeel voor het accepteren van een digitale identiteit die is uitgegeven door een derde partij zijn de liabilities. Wat als de identiteit niet juist is, wat is het niveau van uitgifte etc.. Binnen OpenID wordt hier voolop aandacht aan besteedt. Een goede omschrijving van de problematiek kan je hier lezen:

Een amerikaans artikel, maar wel duidelijk in de problematiek.

Bloggen of twitteren…

Tot mijn grote schrik zag ik dat het alweer 5 maanden geleden is dat ik een artikel plaatste op mijn weblog. Na mijn besluit om per 1 januari voor mijn zelf te starten met Evidos zijn er genoeg ontwikkelingen om iets over te publiceren. Ik heb het nog even geprobeerd met mijn Twitter account @papierloos, maar daar moet ik nog een beetje aan wennen, ik hoop het binnenkort weer een keertje te proberen.

Sinds januari ben ik druk met de verdere ontwikkeling van openid in Nederland. Op is een overzicht gemaakt van interessante informatie. Op dit moment wordt aan de site gewerkt. Het openid event was een succes en ik wijs iedereen graag op het videoverslag.

Ondertussen help ik verschillende organisaties bij het accepteren van externe authenticatievoorzieningen als DigiD, eHerkenning of OpenID. Belangrijk punt hierbij zijn de discussies over het betrouwbaarheidsniveau voor authenticatie. Het ziet er naar uit dat internationaal, maar ook in Nederland concrete stappen gemaakt worden om deze LOA’s (levels of assurance) langzaam te standaardiseren.

Op staat een goed artikel over de ontwikkelingen om OpenID te accepteren op Overheid websites. Het lijkt erop dat ook hier een vorm van eHerkenning wordt gestart.

Tot slot wijs ik graag nog even op het weblog dat DigiNotar sinds kort is gestart. Ik heb er vertrouwen in dat Bart, Jaap, Zivko, Marcel en alle andere kennis experts leuke “onafhankelijk en vertrouwde” artikelen zullen plaatsen

Authenticiteit van nieuwsberichten

Eind januari was er enige ophef over een nieuwe shirtsponsor voor Feyenoord.

Een e-mail die afkomstig lijkt van de perswoordvoerder van Feyenoord, heeft op menig redactie voor gefronste wenkbrauwen gezorgd. De club zou een nieuwe shirtsponsor hebben gevonden in Fisherman’s Friend. Het ging om een vervalsing, maar verschillende journalisten trapten in de grap.

In dit geval was de schade beperkt. Maar eind september was er het zes jaar oude nieuwsbericht over American Airlines dat het aandeel 75% liet dalen.

Al met al een paar duidelijke voorbeelden dat de authenticiteit van een persbericht steeds belangrijker wordt om grote schade te voorkomen. Waarom maken huidige persvoorlichters, nieuwsverspreiders als ANP of Bloomberg nog geen gebruik van een digitale identiteit?

Hoe eenvoudig is het om de elektronische nieuwsberichten te voorzien van een elektronisch waarmerk! XML berichten kunnen voorzien worden van een XML handtekening, PDF berichten kunnen tegenwoordig eenvoudig gewaarmerkt worden en een e-mail bericht biedt ook eenvoudige mogelijkheden.

Opvallend genoeg zijn er nog weinig activiteiten op dit gebied, zowel internationaal en nationaal, terwijl de risico’s toch vrij groot zijn.