Papierloos informatie over digitale identiteit elektronische handtekening en betrouwbare uitwisseling

OpenID richting zwaardere authenticatie en vertrouwen

Zoals ik in verschillende posts al eens beschreven heb ontbreken er op dit moment twee zaken aan OpenID:

1. Zwaardere authenticatie middelen
2. Het vertrouwen van je openid identiteit

Gelukkig zijn er verschillende ontwikkelingen die hier invulling aan geven. Ook handig dat deze ontwikkelingen worden ondersteund door grote partijen als Microsoft, Google en Sun. Deze partijen zijn enige tijd geleden toegetreden tot de OpenID foundation.

Zwaardere authenticatie middelen
Steeds meer openid providers breiden de mogelijkheden om je openid account te beschermen uit. De volgende voorbeelden zijn al beschikbaar:

• Openid en InfoCard (Microsoft CardSpace)
• Openid en Certificaat
• OpenID en OTP token

Alleen OpenID en SMS ben ik nog nergens tegengekomen, maar dat zal niet lang meer duren vermoed ik zo. Kortom het komende jaar zullen de openid providers het beveiligingsniveau verbeteren en beschikbaar maken in combinatie met zwaardere authenticatiemiddelen als OTP, SMS, Certificaat en InfoCard. Ik las nog een leuke post met goede uitleg over openid en infocard.

Het vertrouwen van je openid identiteit
Over het vertrouwensniveau van een openid account zijn nog weinig ontwikkelingen zichtbaar. Uiteraard zijn er de grotere bedrijven die hun werknemers een openid account geven en alleen deze accounts toegang geven binnen hun eigen domein. Ik bedoel hier echter meer het publieke vertrouwen. Bij het registreren van een openid account is het belangrijk dat de betreffende gebruiker een aantal controles doorloopt. Zo weten de dienstverleners die hun diensten openstellen voor een openid account dat jij daadwerkelijk die persoon, die functie, die kennis, die kleur ogen, die leeftijd etc.. hebt.

Ik noem hier bewust niet alleen je identiteit aangezien het in sommige gevallen bijvoorbeeld voloende is als de dienstverlener weet dat je ouder bent dan 18 jaar of dat je lid bent van de lokale voetbalvereniging. Dit worden claims genoemd. Weliswaar is de openid technologie niet ontstaan om dit vertrouwen op te lossen, maar met het oprichten van de OpenID foundation verwacht ik dat er langzaam een raamwerk zal ontstaan met richtlijnen voor openid providers. Een andere mogelijkheid is dat de authenticatie middelen zoals bij punt 1 genoemd voldoen aan specifieke vertrouwenskenmerken. Bijvoorbeeld je openid account in samenwerking met een PKIOverheid certificaat of Bankpas.

Er is echter ook nog een derde ontwikkeling gaande. Steeds vaker is de discussie dat in veel gevallen een dienstverlener veel te veel informatie vraagt die niet ter zake doet voor een transactie. In de fysieke wereld vraagt een winkelier niet om je adres, email, geboortedatum etc.. Zolang je maar netjes betaalt aan de balie. In de digitale wereld zijn we vaak geneigd om alle informatie te vragen die mogelijk is. Kijk zelf maar eens wat voor informatie je allemaal moet opgeven als je je aanmeldt bij een dienstverlener of een product koopt. Ook hier zijn een aantal ontwikkelingen gaande. De belangrijkste die ik nu even wil noemen is de aankoop door Microsoft van de U-Prove technologie van Credentica. Meer informatie is te lezen op de links, het gaat iets te ver om een en ander in deze post uit te leggen. De essentie is een ontwikkeling voor het uitwisselen van alleen die gegevens die relevant zijn voor een online transactie.

Belangrijkste ontwikkelingen OpenID:

1. Zwaardere authenticatie middelen
2. Vertrouwen van een openid account
3. Alleen die gegevens delen van je openid account die noodzakelijk zijn.

2 Responses to "OpenID richting zwaardere authenticatie en vertrouwen"

Feed for this Entry | Trackback Address