Archive for the 'OpenID' Category

OpenID ontwikkelingen en nu?

De afgelopen week maakten Microsoft en Google beide bekend dat ze hun gebruikersaccount geschikt maken voor gebruik met het OpenID protocol. Microsoft had dit keer de primeur met zijn LiveID op maandag en Google volgde met zijn Google account (gmail etc..) op dinsdag.

Hierdoor zijn er in 1 klap weer honderden miljoenen gebruikers op het Internet voorzien van een OpenID. Aangezien ook veel Nederlandse consumenten een Google (Gmail) of Microsoft (hotmail, msn) account hebben is het toch steeds interessanter om te kijken wat het nut en voordeel OpenID kan hebben voor Internetdienstverleners.

Op dit moment zijn er 2 potentiele voordelen te noemen:

  1. Gebruikers die zich al geregistreerd hebben via Google of Microsoft hoeven geen “pietje puk” registratiegegevens meer bij u op de website in te vullen. Wanneer iemand zich met zijn OpenID aanmeldt krijg je als dienstverlener deze gegevens van Google of Microsoft. (Bijvoorbeeld e-mail adres). Dit kan een gebruiker als makkelijk ervaren. Uiteraard na toestemming van eindgebruiker.
  2. De gebruiker gebruikt zijn OpenID op verschillende websites en zal dus zijn inlogggegevens beter onthouden. Hierdoor zal hij uw helpdesk niet belasten met wachtwoordreset, of  zelfs afhaken om in te loggen.

De volgende partijen zouden toch eens moeten nadenken over een implementatie van OpenID:

  • Kleine dientverleners die gebruik willen maken van het imago van Microsoft of Google. (Log bij ons aan met je Google of Microsoft account)
  • Dienstverleners waarbij klanten slechts een beperkt aantal keer inloggen (webshop etc.)

Welke partijen denken nog niet direct over de implementatie van OpenID:

  • Grote dienstverleners waarbij de klant al wekelijks inlogt
  • Dienstverleners die het vertrouwensniveau en imago van MS of Google niet als een voordeel zien.

Bepaal zelf of OpenID al iets is voor uw organisatie, implementatie hoeft nog niet direct.

Wel is zeker dat iedereen moet nadenken over de komst van externe identiteitproviders en hoe/ onder welke voorwaarden je deze kan gaan accepteren binnen de eigen dienstverlening. Binnen nu en twee jaar wordt iedereen hiermee geconfronteerd.

Why organisations should implement user-centric authentication…

Now that developments of User Centric Authentication(UCA) are taking off quickly, I think the Identity Community needs to convince their “customers” to start implementing. The “customers” of UCA are organizations that offer Internet applications like Google, MySpace, Banks, Accountants and many others. Within the identity community these organizations are defined as relying party’s (RP’s).

Although I like tools like http://demand.openid.net to put a little pressure, I think we should help the RP’s with a fact sheet to show the pro’s of UCA. The sheet should also help ambassadors of UCA to convince their general management to prioritize User Centric Authentication.

I couldn’t find any fact sheet so I started to collect the facts myself, please help to make this list complete so in the end the Relying Party’s will see the benefits themselves.

Why relying party’s should implement User Centric Authentication

Pro’s

  • Outsourcing authentication saves costs. As a relying party you don’t have to worry about lost user names, passwords, a costly infrastructure, upgrading to new standards and devices. You can just focus on your core. From research the average costs per user for professional authentication are approximately 34 euro a year. In the future you will pay a few cent per authentication request (transaction based). Report from gartner, Any other calculation reports available on this?
  • Your customers are demanding user centric authentication. User centric authentication gives your customers comfort. No registration hassle and low barriers of entry to your service. Offering UCA to your customers can be a unique selling point and stimulate user participation.
  • Open up your service to a large group of potential customers. You are probably more interested in the potential customers you don’t know, versus the customers you already service. UCA makes this possible. If you can trust the identity of new customers you can start offering services in a minute.
  • The identity provider follows new developments. When a new authentication token or protocol is introduced you don’t have to replace your whole infrastructure.
  • Time to market. Due to legislation you are suddenly confronted with an obligation to offer two factor authentication. UCA is very easy to integrate and you are up and running a lot quicker
  • Data sharing. If the identity provider also offers the option to provide additional (allowed) attributes of the end-user you don’t have to store all this data yourself. If for example I go on holidays for a few weeks I just update my temporarily address in stead of calling the customer service of my local newspaper!
  • Quickly offer new services under your brand . If you take over a company or want to offer a third party service under your brand/ infrastructure UCS makes it much easier to manage shared users. How much time does this take at the moment…
  • Corporate image. As SourceForge states they also offer openid support to join the web 2.0 space and benefit from the first mover buzz. Besides adding a good authentication mechanism provided by a trusted identity provider could add value to your own service. Like adding a trust seal of your SSL certificate provider.

Potential Con arguments

  • I still have to manage the authorization. Although the authentication is outsourced, I still have to bind the identity to my internal authorization rules/ roles/ structure. So the registration process is still time consuming. (At least it is less time consuming if you outsource the identification process)
  • Bulk introduction. If i introduce a new service where authentication is required I just do a mass introduction sending all my customers new authentication credentials and preregister them within my authorization DB. With UCA I have to be sure everybody is able to authenticate and I can’t preregister. (It’s just a matter of time before all of your users are familiar with UCA, what about the costs off rolling out yourself…)
  • Support stays. I still get support calls because my customers need to follow a procedure to register and bind their identity to my authorization roles. If my customers can’t login it is unclear that I can’t solve this and that they should call their identity provider (UCA will be as common as the availability of water, electricity or Internet. Everybody knows they need to call their Internet provider if they don’t have Internet access)
  • A Christmas tree of login frames. How many login frames do I have to display. Please login to my site if you have an infocard click here, if you have an OpenID click here, if you use higgens click here, if you still use our account click here. (UCA standards will merge. Besides you will probably only select a few identity providers you trust. What about just asking the username first…this makes it possible to have only one login frame)
  • My authentication is my identity. Providing your customers a smartcard, OTP token or password makes it possible to promote your brand. With a user centric token I don’t have any marketing visibility anymore. (New authentication tokens make it possible to show your brand during the user centric authentication process)
  • What if the identity provider is not available. My service is off line if my customers can’t authenticate.. (Do you implement your own water system, electricity generator, Internet backbone? User centric authentication is the core competence of the identity provider, they will do better than offering your own)

OpenID richting zwaardere authenticatie en vertrouwen

Zoals ik in verschillende posts al eens beschreven heb ontbreken er op dit moment twee zaken aan OpenID:

  1. Zwaardere authenticatie middelen
  2. Het vertrouwen van je openid identiteit

Gelukkig zijn er verschillende ontwikkelingen die hier invulling aan geven. Ook handig dat deze ontwikkelingen worden ondersteund door grote partijen als Microsoft, Google en Sun. Deze partijen zijn enige tijd geleden toegetreden tot de OpenID foundation.

Zwaardere authenticatie middelen
Steeds meer openid providers breiden de mogelijkheden om je openid account te beschermen uit. De volgende voorbeelden zijn al beschikbaar:

  • Openid en InfoCard (Microsoft CardSpace)
  • Openid en Certificaat
  • OpenID en OTP token

Alleen OpenID en SMS ben ik nog nergens tegengekomen, maar dat zal niet lang meer duren vermoed ik zo. Kortom het komende jaar zullen de openid providers het beveiligingsniveau verbeteren en beschikbaar maken in combinatie met zwaardere authenticatiemiddelen als OTP, SMS, Certificaat en InfoCard. Ik las nog een leuke post met goede uitleg over openid en infocard.

Het vertrouwen van je openid identiteit
Over het vertrouwensniveau van een openid account zijn nog weinig ontwikkelingen zichtbaar. Uiteraard zijn er de grotere bedrijven die hun werknemers een openid account geven en alleen deze accounts toegang geven binnen hun eigen domein. Ik bedoel hier echter meer het publieke vertrouwen. Bij het registreren van een openid account is het belangrijk dat de betreffende gebruiker een aantal controles doorloopt. Zo weten de dienstverleners die hun diensten openstellen voor een openid account dat jij daadwerkelijk die persoon, die functie, die kennis, die kleur ogen, die leeftijd etc.. hebt.

Ik noem hier bewust niet alleen je identiteit aangezien het in sommige gevallen bijvoorbeeld voloende is als de dienstverlener weet dat je ouder bent dan 18 jaar of dat je lid bent van de lokale voetbalvereniging. Dit worden claims genoemd. Weliswaar is de openid technologie niet ontstaan om dit vertrouwen op te lossen, maar met het oprichten van de OpenID foundation verwacht ik dat er langzaam een raamwerk zal ontstaan met richtlijnen voor openid providers. Een andere mogelijkheid is dat de authenticatie middelen zoals bij punt 1 genoemd voldoen aan specifieke vertrouwenskenmerken. Bijvoorbeeld je openid account in samenwerking met een PKIOverheid certificaat of Bankpas.

Er is echter ook nog een derde ontwikkeling gaande. Steeds vaker is de discussie dat in veel gevallen een dienstverlener veel te veel informatie vraagt die niet ter zake doet voor een transactie. In de fysieke wereld vraagt een winkelier niet om je adres, email, geboortedatum etc.. Zolang je maar netjes betaalt aan de balie. In de digitale wereld zijn we vaak geneigd om alle informatie te vragen die mogelijk is. Kijk zelf maar eens wat voor informatie je allemaal moet opgeven als je je aanmeldt bij een dienstverlener of een product koopt. Ook hier zijn een aantal ontwikkelingen gaande. De belangrijkste die ik nu even wil noemen is de aankoop door Microsoft van de U-Prove technologie van Credentica. Meer informatie is te lezen op de links, het gaat iets te ver om een en ander in deze post uit te leggen. De essentie is een ontwikkeling voor het uitwisselen van alleen die gegevens die relevant zijn voor een online transactie.

Belangrijkste ontwikkelingen OpenID:

  1. Zwaardere authenticatie middelen
  2. Vertrouwen van een openid account
  3. Alleen die gegevens delen van je openid account die noodzakelijk zijn.

OpenID ontwikkelingen 2008

Afgelopen week verschenen verschillende nieuwsartikelen dat Google ook OpenID gaat ondersteunen (Geruchten…)

Voor de komende tijd zijn de volgende zaken belangrijk voor een verdere ontwikkeling van OpenID. Een uiteenzetting kan je hier lezen.

OpeniD en Orange

In Frankrijk geeft Orange (Telecom) sinds deze week hun gebruikers de mogelijkheid om hun gebruikersnaam OpenID geschikt te maken. Een eerste stap van een grote dienstverlener om aan te haken bij het OpenID initiatief.

Op deze wijze kunnen Orange gebruikers met hun gebruikersnaam/ wachtwoord combinatie ook terecht bij andere “OpenID enabled” websites.

Orange accepteert nog geen externe openid gebruikers ter vervanging van hun eigen gebruikersnaam/wachtwoord combinatie. Ze geven aan hier wel naar te kijken. Hier komt natuurlijk weer het vraagstuk om de hoek kijken in hoeverre je kan vertrouwen op de “openid” van een ander. Denk wel dat er veel dienstverleners zijn die voor hun diensten zouden willen vertrouwen op de “openid” van Orange..

Indien ze het puur beschouwen als een vervanging van hun eigen authenticatiemethode en wellicht gegevens overnemen bij een registratie zie ik geen probleem om hier mee te starten. Tenslotte zijn er nog altijd de controle mechanismen van Orange om te kijken of de nieuwe klant wel klant mag worden.

Langzaam zie je dus een eerste stap ontstaan waarbij bedrijven hun eigen ID’s openID geschikt maken (Ze worden zelf openid provider) Commercieel ook interessant want bij het inloggen bij een andere website ga je toch even langs de website van orange met alle mogelijkheden van dien…

Een risico is natuurlijk dat het voor de eindgebruiker onduidelijker wordt waar hij zijn orange openid invoert. Het potentieel voor eventueel phising neemt toe. Tenslotte kan ik als “slechte” dienstverlener het openid inlogscherm van orange nabootsen en de credentials van de eindgebruiker afvangen en bij Orange inloggen.

Met de mogelijkheden van security tokens, antiphising doormiddel van plaatjes etc. denk ik dat uiteindelijk de commerciele voordelen zullen winnen…

Wie wil in Nederland zijn accounts openid geschikt maken? ik hoor het graag!

OpenID Electronic Signature

Following the developments on OpenID and all kind of new applications that are created, I tried to find a way to use your openID for electronic signatures or online approval. I think the following application could be an interesting scenario to make a next step.

In general you could say an electronic signature = Document*Identity. So the identity should be uniquely linked to the document. Although we know that high-end electronic signatures based on qualified certificates are a good mechanism for many applications, a mediate level of digital signatures could be very usefull. Silanis decribes this in more detail and uses the term electronic proces signature.

The application I propose using the OpenID framework works as follows:

  1. Service Provider provides a contract, form etc in a browser to the end-user
  2. End user fills in his details and clicks on sign button
  3. PDF or XML is presented once more (What you see is what you sign) in a signing window provided by an independent trust provider.
  4. End user provides his OpenID username and selects sign
  5. End user is redirected to his OpenID provider to authenticate
  6. If authentication is OK, the signature service “server signs” the PDF or XML document using a X509 certificate and incorporates (Seals) the openid credentials
  7. Result is a PDF or XML signed document legally binding to an openid.

Please see above scenario in action looking at the demonstration video. For the demonstration we used the option to upload a PDF file. Also XML document format is possible, the document can also be provided using webservices, e-mail or FTP.

For internal OpenID servers, like SUN is working on, you could already start using this mechanism for internal approval. Looking at “external” environments, OpenID providers should work on the level of trust for issuing openid’s .

I also provided the demo online, so you can test the application yourself.

Please provide your feedback or comments.

OpenID en de belgische identiteitskaart

Afgelopen week las ik een berich over een initiatief waarbij openid gekoppeld gaat worden aan de bestaande belgische ID kaart E-ID. Op deze manier krijg je een extra niveau van beveiliging voor het gebruik van je openID. Ipv je wachtwoord gebruik je je ID kaart om toegang te krijgen bij je OpenID provider.

openeid

Dit zijn ook voor Diginotar belangrijke ontwikkelingen, zeker als het vertrouwensniveau van OpenID steeds hoger wordt. Ik vraag mij alleen af of het gebruikte token (Belgische E-ID) ook als attribuut aan de dienstverlener kan worden doorgegeven. Alleen op deze wijze kan de dienstverlener het vertrouwensniveau van de Belgische E-ID binnen openID gebruiken en dus niet alleen de openID gebruiker. Ik zal het eens navragen.

De toekomst van OpenID

Simon Willison geeft een goede presentatie over OpenID en de toekomstige mogelijkheden. Dit deed hij 27 februari tijdens het congres “the future of webapps” in London.

De moeite waard wanneer je meer wilt weten over OpenID en de toekomstige mogelijkheden.

Mijn argumenten rondom het ontbreken van een betrouwbaarheidsniveau binnen OpenID, een van de belangrijkste randvoorwaarden voor digitale identiteit, blijft hierbij nog altijd bestaan.

OpenID voor website authenticatie

In mijn voorspellingen voor 2007op het gebied van digitale identiteit noemde ik al de ontwikkelingen rondom OpenID. Met de ondersteuning van OpenID door een aantal grote partijen; AOL, Microsoft, DIGG lijkt 2007 het momentum voor openid.

OpenID Momentum

Steeds meer webapplicaties maken gebruik van een digitale identiteit. Je kunt inloggen op basis van een gebruikersnaam en wachtwoord, certificaat, random reader en andere mogelijkheden. Of je nu e-mail leest, reacties geeft op een weblog of een boek koopt, op een zeker moment vertel je de dienstverlener wie jij bent. Digitale identiteit is belangrijk en maakt het Internet bruikbaar. Het onderhouden van je identiteiten wordt steeds ingewikkelder. Hoeveel verschillende wachtwoorden gebruik je nu al en hoe vaak geef je niet dezelfde informatie bij de online registratie? Om bovenstaande zaken te beperken staat tegenwoordig de term “user centric