Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel
description
Transcript of Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel
Digitale identiteiten:
herbruikbaar en mobiel
Maarten Wegdam
Tuesday Update – 2 oktober 2012
Agenda
2
Mobiel
Context-enhanced authorization
Vertrouwen en herbruikbare identiteiten
Tuesday Update - 2 okt 2012
Noodzaak tot online vertrouwen
3
[EU digitale agenda, 2011]
“Elektronische-identiteitstechnologieën (e-ID) en authenticatiediensten zijn van essentieel belang voor internettransacties in de particuliere en de openbare sector.”
“Intussen blijft het gebrek aan vertrouwen in de online omgeving de ontwikkeling van de Europese online economie een spaak in het wiel steken.”
Tuesday Update - 2 okt 2012
Internetbankieren fraude statistieken
4
[NVB, met 2012 geëxtrapoleerd] Tuesday Update - 2 okt 2012
5
Tuesday Update - 2 okt 2012
Hoe erg is dit?
6
Directe schade
Kosten ter voorkoming
Rem op e-dienstverlening
veel hoger dan winst criminelen [“Measuring the cost of cybercrime”,
Anderson, Van Eeten e.a., WIES 2012]
Rem op e-dienstverlening:
vertrouwen bij gebruikers en
dienstaanbieders
Tuesday Update - 2 okt 2012
Hergebruik identiteiten
– 4 party model –
7
gebruiker
identity
provider
relying party
broker/hub
Tuesday Update - 2 okt 2012
8
Tuesday Update - 2 okt 2012
9
Tuesday Update - 2 okt 2012
10
Online hergebruik betrouwbare identiteiten is erg beperkt
• Behalve DigiD
• Indirect: via geld overmaken etc
Wel hergebruik offline identiteit:
paspoort!!
Tuesday Update - 2 okt 2012
11 [2011 Tuesday Update]
Status hergebruik IDs in NL:
– impasse duurt voort ?
Tuesday Update - 2 okt 2012
12
Tuesday Update - 2 okt 2012
Wie vertrouwen we?
13
Overheid
Bank
Telecom operator
Notaris
Een gespecialiseerde MBK-er
Een stichting
Postbedrijf
Social network
Tuesday Update - 2 okt 2012
Trust framework
14
gebruiker
identity
provider
relying party
trust framework
beheerder
broker/hub
Tuesday Update - 2 okt 2012
Relying party perspectief
15
X aantal ‘eigen (online) identiteiten‘
• Wisselend of onbekend registratieproces
• Sommige gebruikers meerdere
• Gebruikersnaam/wachtwoord, soms SMS
• Soms mogen ze deels DigiD gebruiken
Gevolgen
• Irritatie bij gebruikers
• Verminderd gebruik online kanaal
• Vermijdbare kosten (bv helpdesk)
Tuesday Update - 2 okt 2012
Dilemma’s relying party
16
Mixen DigiD, eigen, sociale en betrouwbare externe identiteiten ?
Hoe toekomstvast (= agile) worden ?
Gemak vs kosten vs betrouwbaarheid vs complexiteit vs coverage ?
Tuesday Update - 2 okt 2012
Betrouwbaarheidsniveaus
17
Standaardiseer op (4) discrete levels
Combi technologie EN proces
Voordeel: schaalbaarheid, ontkoppeling
[STORK] [NIST] [eHerkenning] [ISO/IEC 29115 ]
Tuesday Update - 2 okt 2012
STORK betrouwbaarheidsniveaus in 1 slide
18 Tuesday Update - 2 okt 2012
# Authenticatiemiddel Proces Voorbeeld
1 Gebruikersnaam/wachtwoord Self-asserted, alleen
check emailadres
Facebook, Google,
bol.com
2 “2 factor”, bv wachtwoord +
SMS one-time-password
Registratie via bekend
gegeven, bv thuisadres
GBA
DigiD midden
3 Smartcard (of soft
certificates)
Proces met
identiteitsbewijs, en
meer checks bv. fysieke
controle
DigiD midden +
registratie bij balie,
medischegegevens.nl,
online bankieren
4 Smartcard Idem, met altijd fysieke
controle
Qualified certificates,
PKIoverheid,
UZI pas
disclaimer:
gesimplificeerd!
Toepassen betrouwbaarheidsniveaus
19
4 – hoog Bv: PKI (Overheid)
3 – redelijk Bv: SMS + aangetekende post
2 – beperkt Bv: SMS + kopie paspoort
1– minimaal Bv: wachtwoord + online aanvraag
Au
the
ntica
tie
-op
lossin
g
(te
ch
nis
ch +
pro
ce
s)
e-d
ien
ste
n
risico’s STORK
betrouwbaarheidsniveaus
Tuesday Update - 2 okt 2012
Agenda
20
Mobiel
Context-enhanced authorization
Vertrouwen en herbruikbare identiteiten
Tuesday Update - 2 okt 2012
Mobiel – wat statistieken
21
Wereldwijd • 6 miljard mobiele telefoons
• 1 miljard PCs
Nederland • %smartphones: >60% stijgend naar 67%
• 1.2 miljoen tablets
• Meer internetbankieren vanaf mobiel dan laptop
[Emerce, Mobile update mei 2012] Tuesday Update - 2 okt 2012
Waarom mobiel anders?
22
Wachtwoorden intikken een ramp
Een persoonlijk device (niet tablets …)
Bij apps alleen inloggen bij installatie
SIM kaart is een smartcard
Mobiel vaker kwijt dan een laptop/PC
Minder malware (nog ?)
Tuesday Update - 2 okt 2012
23
Tuesday Update - 2 okt 2012
24
• Regularly clear your browser's cache
• Wi-Fi – don't conduct Internet banking using
unsecured Wi-Fi networks.
Tuesday Update - 2 okt 2012
Mobile-centric identity
25
Mobiel als authenticatiemiddel
• Personal device, altijd bij je
• Geen (weinig) additionele hardware kosten
• Tweede (?) kanaal
• Diversiteit telefoon platformen
Authenticati voor mobiele diensten
• Usability uitdagingen, bv wachtwoorden
• Geen tweede kanaal meer
• NFC & mobile payments (Sixpack/Travik)
Tuesday Update - 2 okt 2012
Mobile-centric identity
26
Mobiel als authenticatiemiddel
• Personal device, altijd bij je
• Geen (weinig) additionele hardware kosten
• Tweede (?) kanaal
• Diversiteit telefoon platformen
Authenticatie voor mobiele diensten
• Usability uitdagingen, bv wachtwoorden
• Geen tweede kanaal meer
• NFC & mobile payments
Tuesday Update - 2 okt 2012
Context-enhanced authorization
27
Probleem
• maak autorisatie beslissingen dynamischer, bv, het nieuwe werken
Kans • gebruik context hiervoor, van mobieltje en
andere bronnen
Project • bruikbaarheid door use cases
• haalbaarheid door demonstrator
• Scope is werknemers.
Tuesday Update - 2 okt 2012
CEA – the movie
http://youtu.be/lGUprbxJNvE
28 Tuesday Update - 2 okt 2012
High level use-cases
29
Read-only outside the office for transactions
Used device
User proximity
Data loss prevention when travelling
Tuesday Update - 2 okt 2012
Central: XACML standard
30
eXtensible Access Control Markup Language
Standard for centralized authorization
Attribute Based Access Control
Trend: more popular and mature
Tuesday Update - 2 okt 2012
Context – low-hanging fruit
31
Location, location, location
Stuff derived from location
Used device (BYOD, enterprise mobility etc)
Used network (VPN/local, access point etc)
Time-of-day
Security incidents / events
And of course normal usage patterns
Tuesday Update - 2 okt 2012
Conclusie context-enhanced
authorization project
32
Yes it is useful, yes it is feasible
But w.r.t. context: authenticity, quality & privacy
But w.r.t. dyn attributes / XACML: complexity of policies & scalability
Context is mostly location
Tuesday Update - 2 okt 2012
Wrap-up
33
Hergebruik digitale identiteiten
• Online economie vereist vertrouwen, digitale identiteiten staan centraal hierin
• Hergebruik kan en moet meer
• Impasse m.b.t. hergebruik C2B identiteiten is er nog steeds , maar er gebeurt veel!
Mobile-centric identity
• Mobiel als authenticatiemiddel en authenticatie op mobiel
• Context-enhanced autorisation: gebruik mobiel als contextbron voor dynamische autorisatie
www.novay.nl | [email protected] | @maartenwegdam |
http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam Tuesday Update - 2 okt 2012
Wrap-up
34
Hergebruik digitale identiteiten
• Online economie vereist vertrouwen, digitale identiteiten staan centraal hierin
• Hergebruik kan en moet meer
• Impasse m.b.t. hergebruik C2B identiteiten is er nog steeds , maar er gebeurt veel!
Mobile-centric identity
• Mobiel als authenticatiemiddel en authenticatie op mobiel
• Context-enhanced autorisation: gebruik mobiel als contextbron voor dynamische autorisatie
www.novay.nl | [email protected] | @maartenwegdam |
http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam Tuesday Update - 2 okt 2012
Wrap-up
35
Hergebruik digitale identiteiten
• Online economie vereist vertrouwen, digitale identiteiten staan centraal hierin
• Hergebruik kan en moet meer
• Impasse m.b.t. hergebruik C2B identiteiten is er nog steeds , maar er gebeurt veel!
Mobile-centric identity
• Mobiel als authenticatiemiddel en authenticatie op mobiel
• Context-enhanced autorisation: gebruik mobiel als contextbron voor dynamische autorisatie
www.novay.nl | [email protected] | @maartenwegdam |
http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam Tuesday Update - 2 okt 2012
Programma
36
16:20 Welkom & introductie
16:30 Maarten Wegdam, managing advisor @ Novay
17:15 Erik Hietkamp, directeur ICT @ Aegon
18:00 Buffet
19:15 Wim Hafkamp, CISO @ Rabobank
20:00 Afsluiting en napraten met hapje en drankje
Tuesday Update - 2 okt 2012
IDentity.Next’ 12
“Making (y)our business with identity”
The Hague, 20-21 November 2011
#idn12
Novay Digital Identity Award 2012
38
Innovatieve concepten of producten
Uitreiking op
Submissie deadline: 19 oktober 2012
http://www.identitynext.eu/award
Tuesday Update - 2 okt 2012
backup
39
Tuesday Update - 2 okt 2012
Vier levels
40
level 1:
No or minimal assurance
no or minimal confidence in the asserted identity,
or no assurance at all.
level 2:
Low assurance medium confidence in the asserted identity.
Level 3:
Substantial assurance
high impact, high damages in case of an identity
misuse.
Level 4:
High assurance
addresses those services where damage caused
by an identity misuse might have a heavy
impact.
[Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay)] Tuesday Update - 2 okt 2012
Vier types van mobiele authn
41
SMS one-time-passwords
Mobile apps, bv OTP generators of tiQR
SIM-based, bv Mobile PKI
SIM augmented token (sticker)
Tuesday Update - 2 okt 2012