De mens: zwakste schakel van elektronische identiteit
We zijn allemaal op zoek naar eenvoudige en veilige manieren om onszelf online te identificeren. Het probleem is dat we mensen zijn met menselijke eigenschappen. Dat maakt ons een zwakke schakel… We vergeten dingen. We raken dingen kwijt. We lezen instructies niet. We delen wachtwoorden (vaak vrijwillig of per ongeluk) en gebruiken deze vaak opnieuw.
Wanneer we dit alles vergelijken met de veiligheid van een moderne PKI-oplossing, vormen wij (de mensen) het grootste risico en probleem bij het bouwen van de identiteitsecosystemen van de toekomst. In dit artikel bespreek ik een aantal uitdagingen rondom de relatie tussen mensen en elektronische identiteiten.
Mensen en het wachtwoorddilemma
Wanneer ik spreek op een evenement begin ik vaak met de vraag: “Wie van jullie is weleens een wachtwoord vergeten?”, waarop vrijwel iedereen zijn hand opsteekt. Hetzelfde geldt voor het kwijtraken van auto- of huissleutels. In de laatste twee gevallen kun je contact opnemen met de autodealer of een slotenmaker bellen. Maar stel je voor wat er zou gebeuren als je te horen kreeg: “Voor hulp moet u de beveiligingscodes doorgeven die u na montage van het huisslot of aanschaf van de auto op een veilige plek hebt opgeslagen.” Ik vermoed dat er dan heel wat verlaten auto’s en huizen zouden zijn. Toch is dit hoe het er in de digitale wereld aan toegaat.
Zelfs bij iets (zogenaamd) eenvoudigs als het instellen van tweefactorauthenticatie moet je een aantal beveiligingscodes opslaan, voor het geval dat je je telefoon kwijtraakt. Bijna dagelijks zie ik berichten langskomen over mensen die hun bitcoins kwijt zijn omdat ze de gegevens van hun geheime sleutel zijn verloren. Naar schatting gaat 20% van alle bitcoins verloren omdat er geen manier is om ze te herstellen. Bovendien ben ik echt niet de enige die bestanden heeft verloren omdat ik niet meer bij mijn geheime PGP-sleutel kon komen. Ik had beter moeten weten en zelf een systeem moeten bedenken waarmee ik mijn sleutel zou kunnen herstellen. Mijn punt; we moeten deze verantwoordelijkheid niet bij mensen zelf leggen.
Onze digitale identiteit en digitale erfenis
Een andere uitdaging is hoe men digitale bezittingen nalaat wanneer iemand komt te overlijden. Een beroemd verhaal is dat van de Canadese cryptobeurs QuadrigaCX. De CEO overleed en hij was de enige die toegang had tot de privésleutel. Of toch niet?
En het gaat niet alleen om digitale valuta. Hoe zit het met foto’s? Het is heel gewoon om foto’s en fotoalbums tegen te komen bij het leeghalen van de woning van iemand die is overleden. Vaak brengen ze dierbare herinneringen uit het verleden naar boven. Maar wat gebeurt er als steeds meer foto’s digitaal zijn? Als steeds meer bezittingen digitaal zijn. Denk aan video's, boeken, NFT's. Video’s. Kunnen de lampen in je smart-home nog wel aan?
Banken beschikken al over een juridisch kader voor het overdragen van eigendommen, zoals bankrekeningen en kluisjes aan nabestaanden. Ik denk dat er in de toekomst voor banken een belangrijke rol is weggelegd op het gebied van elektronische identiteit. De afhandeling van digitale bezittingen is daar een onderdeel van.
Identiteitsverificatie en aanwezigheid
Een van de dingen die me het meeste zorgen baart, is de koppeling tussen de digitale identiteit en degene die die identiteit op enig moment gebruikt. Bij de meeste elektronische identiteiten - zoals BankID in Scandinavië, itsme, iDIN en DigiD in de Benelux, en vele anderen - bestaat er weinig twijfel over wie de eigenaar van de identiteit is. Maar wie maakt er op een specifiek moment gebruik van? Aangezien de elektronische identiteit kan worden gebruikt voor juridische doeleinden, zoals het ondertekenen van documenten, mag er geen twijfel bestaan over wie de gebruiker van de elektronische identiteit is. Er zijn gevallen van fraude bekend waarbij naaste verwanten van slachtoffers een lening konden afsluiten omdat zij toegang hadden tot inloggegevens en fysieke apparaten. Een ander soort fraude met elektronische identiteit is wanneer oplichters slachtoffers opbellen en doen alsof ze van de bank zijn. In Noorwegen proberen ze consumenten met een smoesje zover te krijgen dat ze hun BankID gebruiken (“u moet even uw BankID gebruiken om te verifiëren dat u het bent”), waarna ze geld kunnen overmaken naar hun eigen rekening. Voorheen hield de rechter de eigenaar van de BankID hiervoor aansprakelijk. De laatste tijd is hier gelukkig verandering in gekomen en wordt geoordeeld dat de gebruiker niet aansprakelijk kan worden gesteld.
We hebben een betere manier nodig om vast te stellen wie de elektronische identiteit daadwerkelijk gebruikt. Naar mijn mening ligt de toekomstige oplossing in dynamische biometrie via meerdere sensoren. Dit is gebaseerd op je manier van lopen (tred), welke Bluetooth-apparaten zijn verbonden - d.w.z. geen verbinding meer met de smartwatch is een indicatie dat de gebruiker niet aanwezig is - tot de meer geavanceerde technieken voor het detecteren van hartpatronen (ECG) of hersengolven (EEG).
Kortom: Je mobiele apparaat “weet” of jij het apparaat vasthoudt of iemand anders.
Identiteit in het digitale tijdperk - controle versus beheer
Als je mensen vraagt of ze controle willen hebben over hun gegevens en elektronische identiteit, is het antwoord ja. Maar willen ze deze ook beheren? In de meeste gevallen denk ik van niet. Ik vergelijk het met het alarmsysteem van mijn huis, waarover ik de baas ben. Ik kan het systeem naar wens in- en uitschakelen. Die verantwoordelijkheid en controle vind ik fijn. Ik bepaal wie er toegang heeft. Ik vertrouw erop dat het beveiligingsbedrijf niet zonder mijn toestemming mijn huis binnengaat, dat ze de brandweer waarschuwen als er brand is en onderhoud plegen wanneer dit nodig is. Persoonlijk wil ik dezelfde situatie voor mijn elektronische identiteit. Een vertrouwde entiteit die mijn elektronische identiteit voor me beheert, terwijl ik de baas blijf.
Ik zou zelfs nog een stap verder willen gaan en het beheer van mijn privacy- en cookietoestemmingen aan mijn bank willen overlaten, zodat bijvoorbeeld een site waarvan de voorwaarden niet overeenkomen met mijn instellingen automatisch geblokkeerd wordt.
Namens iemand handelen
Tot slot wil ik het hebben over het gebrek aan autorisatiemodellen. Dit heeft tot gevolg dat mensen hun inloggegevens delen wanneer ze iemand toegang willen geven tot hun bankrekening of medische gegevens. Om je elektronische identiteit te gebruiken heb je (nog steeds) wachtwoorden nodig en die zijn eenvoudig te delen.
De uitdaging is dat de aard van wachtwoorden is veranderd. Oorspronkelijk (lang voor het computertijdperk) waren wachtwoorden een manier om fysiek toegang te krijgen tot een plek. Als je het woord wist dat de wacht wilde horen (het wachtwoord dus) mocht je naar binnen. Maar het zei niets over wie je was.
Zo’n 60 jaar geleden werd er bij de eerste computers voor gekozen om door middel van wachtwoorden toegang te verlenen tot een computer, een bestandssysteem of een e-mailaccount. Het probleem is dat we nog steeds hetzelfde mechanisme en dezelfde mindset hanteren om te verifiëren wie iemand is, bijvoorbeeld voor het ondertekenen van een contract. Als je vandaag de dag dus je wachtwoord met iemand deelt, geef je die persoon eigenlijk toestemming om uit jouw naam te handelen, ook op juridisch vlak. Hoewel er verschillende autorisatiemodellen in omloop zijn, moeten deze worden verbeterd en een intrinsiek onderdeel gaan vormen van toekomstige elektronische identiteitssystemen.
Dit is van belang om een passende oplossing te creëren voor de elektronische identiteit van kinderen, ouderen en andere personen die daar zelf niet toe in staat zijn.
Tot slot
Er zijn allerlei interessante ontwikkelingen gaande op het gebied van de elektronische identiteit. Hierbij denk ik vooral aan de gedecentraliseerde identiteit, waarbij de gebruiker en niet de dienstverlener centraal staat. Als we onze menselijke eigenschappen niet serieus nemen, zijn gedecentraliseerde identiteiten echter gedoemd om te mislukken. Mensen verwachten dat hun accounts kunnen worden hersteld. We verwachten dat onze bezittingen worden overgedragen aan onze nabestaanden. Om dit te bereiken, moet de koppeling tussen de persoon en de elektronische identiteit moet worden verbeterd.
Conclusie: Er zijn vertrouwde entiteiten nodig die de identiteit van gebruikers namens die gebruikers beheren.
Ik kijk uit naar dit nieuwe jaar en de vorderingen binnen het domein van de elektronische identiteit.