“Voor hoeveel verschillende sites gebruikt u hetzelfde wachtwoord? Vijftig? Honderd? Misschien nog meer?” Don Schmidt brengt het gesprek vanaf minuut één naar de kwintessens. “Wie zijn wachtwoord verliest, heeft tegenwoordig een groot probleem. Iemand anders kan zich op tientallen sites voor uw persoon uitgeven. Voor elke site een apart wachtwoord aanmaken kan natuurlijk, maar dan krijg je hetzelfde idee als met een portemonnee van tegenwoordig: voor elke dienst een ander pasje.” Schmidt haalt z’n portemonnee uit zijn jaszak en toont een dozijn aan verschillende kaarten. “Het zou toch enorm handig zijn als ik alles kon doen met één pas, ook op internet?”
MS Geneva
Om die problemen, verschillende identiteiten en bijbehorende veiligheidsrisico’s, te ondervangen heeft Don Schmidt binnen Microsoft het Geneva-project opgezet. Donderdag maakte Schmidt de definitieve namen van de verschillende componenten bekend. Het servergedeelte is Active Directory Federation Services 2.0 (ADFS 2.0) gedoopt en moet eind dit jaar verschijnen. Het cliëntgedeelte heet Windows CardSpace 2.0. Dit Windows-onderdeel is halverwege 2010 af. Beide onderdelen maken deel uit van Microsofts nieuwe platform op het gebied van federale identiteiten, waarmee bedoeld wordt dat je bij verschillende dienstverleners met dezelfde identiteit terecht kunt. “We zijn compatible in een aantal belangrijke standaarden, waardoor je op termijn zowel bij Amazon, IBM, Microsoft en Google met dezelfde identiteit terecht kunt. Het verschil zit hem in de verschillende permissies die je toegekend krijgt. Met dezelfde identiteit ziet het ene bedrijf jou als werknemer, de andere kan je weer zien als klant. Wij kunnen het zo afschermen dat bedrijven niet kunnen zien wat jouw rol bij andere organisaties is. Zo blijft je werkelijke identiteit altijd nog privé,” vertelt Schmidt.
Een voorbeeld van een federaal identiteitssysteem in Nederland is bijvoorbeeld DigiD. Met een enkele identiteit kun je bij verschillende (overheids)instanties terecht voor verschillende diensten. Naast een wachtwoord is er ook sprake van sms-authenticatie, waardoor een extra drempel wordt ingebracht wanneer een wachtwoord gestolen wordt. “Nederland is wat dit betreft veel verder dan de Verenigde Staten. Europa is überhaupt veel verder op het gebied van identiteitsmanagement,” concludeert Don Schmidt. “Ik ben blij dat overheden veel sneller inzien dat dit de toekomst is. Bij bedrijven gaat implementatie vaak heel traag.” Schmidt legt uit dat bij bedrijven vooral vertrouwen het probleem is. “Dat hopen we straks weg te nemen met de implementatie van de door Microsoft aangeworven U-Prove techniek, waardoor ook de meest kritische bedrijven over de streep moeten worden getrokken.” Schmidt vervolgt: “De meeste bedrijven maken zich grote zorgen over veiligheid. Ik zeg altijd: ‘You can’t have security without identity’. Identitymanagement is eigenlijk heel simpel, want je hoeft maar twee vragen te stellen. De eerste is: Ben je een legitieme gebruiker?, de tweede is: Waar heb je toegang toe?”
Oude silo-situatie
De techniek verschilt van het huidige systeem als volgt. Nu maakt elk bedrijf voor elke aparte klant een apart account. Bedrijf A maakt dus een account voor klant X. Als die klant X naast Bedrijf A ook zaken doet met Bedrijf B, dan moet Bedrijf B ook opnieuw een account maken voor klant X. Zo heeft klant X al snel een rits aan accounts. Schmidt noemt deze situatie het ‘silo-model’, omdat alle identiteiten bij bedrijven apart in een grote ‘silo’ verdwijnen. Schmidt: “Het is een defect model. Veel te veel euro’s gaan verloren aan het beheer van accounts en wachtwoorden. Ook zie je vaak dat ex-werknemers of ex-klanten nog toegang hebben tot netwerken terwijl ze allang de toegang ontzegd had moeten zijn.”
In de ogen van Schmidt is een ideale situatie er een waarin de gebruiker centraal staat, het ‘claims based model’. Cruciaal is hierin de ‘security token’ die door Microsoft wordt gebruikt in de vorm van een kaart in CardSpace. Als een gebruiker zich ergens wil aanmelden, krijgt deze van ADFS een kaart waarop de dienstverlener kan invullen welke rechten hieraan zijn toegekend. De kaart bevat geen authenticatieinformatie, want die blijft achter in de ADFS. Dit systeem is nu al in gebruik bij de RDW en DigiD.
“Applicaties hoeven geen moeite meer te doen om gebruikers telkens opnieuw te identificeren. Ook kunnen applicaties lokaal of in de cloud draaien en is de klantbeleving consistent.” Schmidt: “Het voordeel van ons systeem is dat het een raamwerk is en geen programma. Hierdoor kan het platform-onafhankelijk draaien.”
Gekleurde kaarten
Het systeem is te vergelijken met een kaartenbak met gekleurde kaarten. Eenmalig is een identificatie nodig om een kaartenbak (de CardSpace) aan te maken, daarna vult deze zich vanzelf met gekleurde kaarten (InfoCards): rood voor het werk, blauw voor Bol.com, groen voor Gmail en geel voor een SharePoint-omgeving bijvoorbeeld. Aan de kleur kan de dienstverlener zien wie de gebruiker is en welke permissies hij heeft zonder dat wachtwoordinformatie over het netwerk verstuurd hoeft te worden.
Volgens Don Schmidt voldoet de software aan alle denkbare standaarden, waardoor een snelle acceptatie niet lang hoeft te duren. Zo heeft Novell al een open-source versie van het systeem ontwikkeld en zijn andere partijen volop bezig met eigen invullingen. “Het is niet de vraag of de techniek het aankan, dat is inmiddels lang en breed bewezen. Het is de vraag of het economisch wenselijk is. Er zullen altijd zorgen om de privacy blijven,” weet ook Don Schmidt.
Lees ook:
Wachtwoorden zijn achterhaald
-
-
Er zijn nog geen reacties.Reageer
Preview