Mart Smeets op Twitter. Hmmm, denk ik dan. Is dat wel Mart, of is het een grappenmaker. Wehkamp is jaarlijks vele miljoenen kwijt aan internetfraude. Mensen die zich als anderen voordoen. Wat gebeurt er met jouw gegevens op internet?. Er zijn mensen die een Google search op hun eigen gegevens hebben staan, om erachter te komen waar hun telefoonnumer, sofinummer en hun naam wordt gebruikt. Je gegevens, en uiteindelijk je veiligheid en imago liggen te grabbel op internet.
Daar moet uiteraard iets gebeuren. Het liefst wil je een token hebben die wordt uitgegeven door een trusted party. Een party waar je je geen zorgen hoeft te maken over een commercieel voordeeltje dat ze willen maken met jouw gegevens. Sterker nog, gegevens moeten niet meer centraal worden opgeslagen maar op een token. PRIVIUM doet dat bijvoorbeeld met hun irisscan.
Maar goed, we weten wat we willen, maar we hebben nog geen oplossing. Hadden...
Vanmorgen weer gesproken met de eigenaren van Vipsnet. Dit bedrijf heeft zich gespecialiseerd in identity management. Ofwel, jij als gebruiker kunt zelf bepalen hoeveel informatie je aan welke internetpartij geeft. Ook kan je een paar verschillende identiteiten aannemen. Bijvoorbeeld voor je werk, prive, sport, bibliotheek, etc. Iedere identiteit geeft weer andere detailgegevens. Door een token te gebruiken kan je jezelf snel identificeren en weet de website dat jij het echt bent. Maar wel met de door jouw gewenste identiteit. Nu weet je in iedergeval dat Mart Smeets op internet Mart Smeets is. (ook natuurlijk op twitter, linkedin, facebook, hyves, etc).
Vipsnet is de broker tussen jou en de website. Je raakt een website aan, website vraagt wie je bent, vipsnet komt automatisch in aktie en geeft de minimaal noodzakelijke informatie door aan de website (niet je naam maar een nummer bijvoorbeeld, of je wel/niet 18 jaar bent), en je kan aan de slag. Dit alles zonder dat al je gegevens op straat liggen. vervolgens kan jij zelf op je PC je identiteiten onderhouden. Ze willen daarbij gebruik maken van een prachtig nieuwe vinding: Incard. Dit wil je nu al hebben in plaats van al die rare apparaten die je van banken krijgt.
Als bedrijf kan je ook gebruik maken van een dergelijke token. Bijvoorbeeld door een identiteit toe te voegen op de token van je medewerker wat zijn rol is binnen het bedrijf. Maar ook kan je opslaan tot welk bedrag gekocht mag worden op internet, welke informatie wel of niet gedeeld gedeeld wordt tijdens een transactie op internet.
In mijn ogen is dit een brilliante zet om fraude op internet aan te pakken. Bedrijven en burgers hebben er voordeel van. Je kan zover gaan dat jij alleen informatie wilt ontvangen van mensen die zich kunnen authoriseren op het web. Alle andere informatie van Wannabe's is onbetrouwbaar. Mooi is ook dat er niet een centrale database is. Want uiteindelijk wordt die gekraakt en ligt alles op straat. iedereen is verantwoordelijk voor zijn eigen identiteiten. Alleen de basisidentiteit wordt officieel vastgesteld en vastgelegd op de kaart. Weer een stap in de richting van werken in de 21ste eeuw.
Dat incard en vipsnet zien er complex uit terwijl er nu juist allerlei (open) standaarden zijn zoals openid, geneva etc die precies doen wat jij beschrijft.
BeantwoordenVerwijderenAls we iets moeten aanbieden is het bv openid, de authenticatie ligt dan bij de eindgebruiker. Hij/zij bepaalt dan wel waar zijn accountgegevens staan.
OpenID geeft je geen garantie dat het (in mijn voorbeeld) om Mart Smeets gaat. Daarom zal je ergens een keer een slag moeten maken naar een officiele stempel dat jij het echt bent. OpenID gaat nu iedereen (heb ik begrepen) authoriseren die een Facebookaccount heeft. Als dat waar is geeft het mij niet echt een gevoel van zekerheid.
BeantwoordenVerwijderenEn daarom is er nu Geneva (werknaam), een open standaard van MS, google etc. Identification providers die jij vertrouwt sta je toe om de authenticatie te doen zonder dat je dit dus zelf moet regelen. Lijkt veel op openid, de claim based authenticatie, maar dan net wat veiliger/flexibeler.
BeantwoordenVerwijderenWil je dus zeker weten of het echt Mart Smeets is, dan sta jij alleen toe dat bepaalde authenticatie providers worden gebruikt die jij weer vertrouwt. En die zouden weer een incard kunnen gebruiken (of eigelijk dus gewoon een token zoals veel banken al doen).
OpenId geeft je deze zekerheid niet, Geneva wel. OpenId geeft je echter wel dat een ieder verantwoordelijk is voor zijn eigen identiteit en dat je zelf bepaalt wat en hoeveel je prijs geeft van je privacy.
OpenId en Geneva spreken af hoe je als website eigenaar met externe ID's om moet gaan. Je gebruikt geen eigen aanmeld systeem meer, maar dat van een andere partij.
BeantwoordenVerwijderenBlijft zoals Roland zegt, wie is Mart Smeets.
Om dat te ondervangen heb je een partij nodig die het ID kan koppelen aan een fysieke persoon. Pas als Identity informatie wordt gekwalificeerd kun je je eigen identiteit weer claimen op internet. Dat doet Vipsnet.