In deze serie van blogs sta ik stil bij de nog steeds geldige informatiekundige constructieprincipes die garant staan voor betere “informatiebouwwerken”. Ze zijn soms, in de vaart van de voortschrijdende technologie, een beetje vergeten. Met als gevolg soms wankele of slecht onderhoudbare en uitbreidbare “informatiebouwwerken”. Deze keer over de noodzaak van het ontkoppelen van identificatie/authenticatie (wie je bent) en autorisatie (wat je mag). Hoeveel inlogcombinaties heb jij in gebruik? Waarschijnlijk meer dan 30. Nog dagelijks stoeien we met inlognamen en wachtwoorden voor al die dienstverleners die we online bezoeken. In theorie is de oplossing simpel maar in de praktijk gaat het nog steeds moeizaam.
Onderscheid tussen wie ben ik, ben ik het echt en wat mag ik
In de fysieke wereld maken we wie we zijn bekend met onze lichaamskenmerken (we worden herkend) of met een gewaarmerkt document (rijbewijs, paspoort, identiteitskaart). In de digitale wereld doen we dit met een digitaal kenmerk dat met ons is verbonden (een emailadres, mobiel nummer of apparaat met digitaal certificaat).
Ongemerkt doen we met die middelen meerdere dingen tegelijk. We identificeren onszelf (ik ben Jan Jansen), maken ook duidelijk dat we het echt zijn (authenticatie) en laten zien dat we ook iets mogen (autorisatie) bijvoorbeeld een auto besturen of een betaling doen vanaf een rekening.
Omdat deze drie functies vaak ongemerkt door elkaar lopen ontstaat een sleutelbos aan middelen, voor elk van onze bevoegdheden. Neem het rijbewijs als bewijs dat ik een auto mag besturen. Dat moet je nu volgens de wegenverkeerswet verplicht bij je dragen als je een auto bestuurt. Maar dat is bij een politiecontrole eigenlijk niet nodig. Als ik mij kan identificeren en kan aantonen dat ik het echt ben bijvoorbeeld met het BSN op mijn paspoort (mijn geverifieerde identiteit) kan een politiefunctionaris mijn rijbevoegdheid ook opvragen uit een centraal register. Mijn autorisatie om te mogen besturen is immers apart centraal vastgelegd en opvraagbaar voor bevoegde personen (helaas niet voor die verhuurder op mijn vakantieadres dus die wil het rijbewijs wel zien).
Een ander bekend voorbeeld is de rijkspas. Nog steeds worden passen opnieuw uitgegeven en ingevorderd om iemand toegang te geven tot een gebouw (autoriseren). Dat terwijl een eenmaal uitgegeven pas als identiteit enkele jaren geldig is. Men zou kunnen volstaan met het koppelen van een bevoegdheid aan een bestaand bewijs van identiteit.
Zie hier de conceptuele eenvoud voor de eindgebruiker van het ontkoppelen van een geverifieerde identiteit en de autorisaties die daarbij horen. In principe zou ik aan één digitale identiteit genoeg hebben om mij bij allerlei dienstverleners kenbaar te maken waarmee die dienstverleners vervolgens toegangsrechten aan mijn identiteit kunnen koppelen in een apart register. Voor DigiD (en nog een aantal andere middelen) werkt dat inmiddels zo bij diensten van de Overheid. Daar ben ik van die sleutelbos af!
Identiteitsfraude ligt op de loer en hoe zit het met privacy?
De keerzijde van deze eenvoud is dat als ik mijn digitale identiteit kwijt ben of hij is gehackt, dat ikzelf dan nergens meer in kan of iemand anders namens mij kan handelen op internet. Daarom zijn aanvullende procedures ingericht zoals het opnieuw kunnen instellen van een wachtwoord via een emailadres of een extra authenticatie via een andere weg (2-factor authenticatie).
Toch hebben in de prakrijk veel mensen een veelheid aan gebruiksnaam/wachtwoord combinaties. De schuldige daarvan: “luie” dienstverleners/webwinkels. Die geven allemaal hun eigen geverifieerde identiteit uit in plaats van een bestaande te hergebruiken (hoewel het steeds vaker kan met DigiD, eIdas of een Facebook of Google identiteit).
Slechts één digitale identiteit voor alles is ook een risico want een “single point of failure”. Dus moet je in het ontwerp ook rekening houden met het scenario dat het mis gaat en een procedure bedenken voor het geval de extern herbruikbare identiteit is verloren (Als ik mijn paspoort verlies in het buitenland kan ik een vervangend reisdocument krijgen) of het middel tijdelijk niet beschikbaar is (DigiD ligt eruit).
Tenslotte is het risico van één identiteit voor al mijn digitale handelingen dat mijn handel en wandel in de digitale wereld bij één instantie in principe technisch is te volgen. De uitgever van de identiteit zal hier waarborgen moeten verstrekken voor mijn privacy in de voorwaarden van gebruik. Dat doen ze niet allemaal….Het lijkt ontzettend handig om met je Facebookaccount overal in te loggen maar daarmee verzamelt Facebook wel heel veel gegevens over jouw gedrag op internet (waar je koopt bijvoorbeeld).
Slim autorisatiebeheer en veilig toegang verlenen
Een maatregel om identiteitsfraude tegen te gaan is te zorgen dat autorisaties een beperkte duur hebben. Uiteindelijk draait het om de autorisatie of toegang. Je wilt als gebruiker iets kunnen doen of een bevoegdheid uitoefenen. Een paspoort en rijbewijs hebben ook een beperkte geldigheid. Door een beperkte geldigheid aan een autorisatie te koppelen in plaats van aan een identiteit kun je de gebruiker dwingen om zich na een bepaalde periode opnieuw te identificeren. Eventueel met extra waarborgen. Pas als is vastgesteld dat jij het echt bent, heb je weer toegang. Daarmee wordt de kans op misbruik kleiner. Daarom vraagt Google of Microsoft of je password manager bijvoorbeeld regelmatig opnieuw om je te identificeren, met een 2e factor. Maar er zijn meer factoren te bedenken bij voorkomen van fraude zoals onmogelijk maken om in korte tijd in te loggen op twee geografisch ver verwijderde plekken.
Ontkoppelen maakt meervoudig gebruik mogelijk!
Als ontwerper is het dus zaak om na te denken over de voor- en nadelen van uitgeven van een eigen identiteit aan een gebruiker of acceptatie van een extern geverifieerde identiteit. Het voordeel van dat meervoudig gebruik mag niet leiden tot een hoger risico op identiteitsfraude of privacy schending. Daarbij moet je uit gaan van een digi-onkundige gebruiker die niet altijd zorgvuldig met zijn digitale identiteit om gaat. Dus bij hergebruik is eigenlijk 2-factor authenticatie een must.
Door het autorisatiebeheer te koppelen aan de dienst (ergens toegang krijgen, email verwerken, betalingen doen, iets bestellen) en identiteiten beheer te laten verzorgen door een aparte dienstverlener (identity provider) is het mogelijk om in de digitale wereld met een beperkte set identiteiten toch veilig te handelen met een veelheid aan dienstverleners. Dan ben je dus van die 30 inlogcombinaties af. Dit inzicht heeft eindelijk gezorgd voor gebruiksgemak bij het veilig afnemen van overheidsdiensten (met DIGID en eHerkenning) zelfs in Europees verband (eIDAS). Nu nog de private dienstverleners zover krijgen!
Andere blogs uit deze serie:
De 1ste blog, over betekenisloze identiteitsaanduiding, lees je hier.
De 2de blog gaat over het principe van ontkoppelpunten in het ontwerp en lees je hier.
De 3de blog gaat over eenduidige en consistente taal: link.
De 4de blog gaat over verantwoordelijkheidsverdeling en functiescheiding: link.
De 5de blog gaat over dat de verantwoordelijkheid voor besluiten zo laag mogelijk in de organisatie moet liggen: link.
De 7de blog gaat over enkelvoudige registratie van stamgegevens: link.
De 8de blog gaat over data en metadata scheiden in opslag en verwerking: link.