Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel

Digitale identiteiten:

herbruikbaar en mobiel

Maarten Wegdam

Tuesday Update – 2 oktober 2012

Agenda

2

Mobiel

Context-enhanced authorization

Vertrouwen en herbruikbare identiteiten

Tuesday Update - 2 okt 2012

Noodzaak tot online vertrouwen

3

[EU digitale agenda, 2011]

“Elektronische-identiteitstechnologieën (e-ID) en authenticatiediensten zijn van essentieel belang voor internettransacties in de particuliere en de openbare sector.”

“Intussen blijft het gebrek aan vertrouwen in de online omgeving de ontwikkeling van de Europese online economie een spaak in het wiel steken.”


Internetbankieren fraude statistieken

4

[NVB, met 2012 geëxtrapoleerd] Tuesday Update - 2 okt 2012

5


Hoe erg is dit?

6

Directe schade

Kosten ter voorkoming

Rem op e-dienstverlening

veel hoger dan winst criminelen [“Measuring the cost of cybercrime”,

Anderson, Van Eeten e.a., WIES 2012]

Rem op e-dienstverlening:

vertrouwen bij gebruikers en

dienstaanbieders


Hergebruik identiteiten

– 4 party model –

7

gebruiker

identity

provider

relying party

broker/hub


8


9


10

Online hergebruik betrouwbare identiteiten is erg beperkt

• Behalve DigiD

• Indirect: via geld overmaken etc

Wel hergebruik offline identiteit:

paspoort!!


11 [2011 Tuesday Update]

Status hergebruik IDs in NL:

– impasse duurt voort ?


12


Wie vertrouwen we?

13

Overheid

Bank

Telecom operator

Notaris

Een gespecialiseerde MBK-er

Een stichting

Postbedrijf

Social network


Trust framework

14

gebruiker

identity

provider

relying party

trust framework

beheerder

broker/hub


Relying party perspectief

15

X aantal ‘eigen (online) identiteiten‘

• Wisselend of onbekend registratieproces

• Sommige gebruikers meerdere

• Gebruikersnaam/wachtwoord, soms SMS

• Soms mogen ze deels DigiD gebruiken

Gevolgen

• Irritatie bij gebruikers

• Verminderd gebruik online kanaal

• Vermijdbare kosten (bv helpdesk)


Dilemma’s relying party

16

Mixen DigiD, eigen, sociale en betrouwbare externe identiteiten ?

Hoe toekomstvast (= agile) worden ?

Gemak vs kosten vs betrouwbaarheid vs complexiteit vs coverage ?


Betrouwbaarheidsniveaus

17

Standaardiseer op (4) discrete levels

Combi technologie EN proces

Voordeel: schaalbaarheid, ontkoppeling

[STORK] [NIST] [eHerkenning] [ISO/IEC 29115 ]


STORK betrouwbaarheidsniveaus in 1 slide

18 Tuesday Update - 2 okt 2012

# Authenticatiemiddel Proces Voorbeeld

1 Gebruikersnaam/wachtwoord Self-asserted, alleen

check emailadres

Facebook, Google,

bol.com

2 “2 factor”, bv wachtwoord +

SMS one-time-password

Registratie via bekend

gegeven, bv thuisadres

GBA

DigiD midden

3 Smartcard (of soft

certificates)

Proces met

identiteitsbewijs, en

meer checks bv. fysieke

controle

DigiD midden +

registratie bij balie,

medischegegevens.nl,

online bankieren

4 Smartcard Idem, met altijd fysieke

controle

Qualified certificates,

PKIoverheid,

UZI pas

disclaimer:

gesimplificeerd!

Toepassen betrouwbaarheidsniveaus

19

4 – hoog Bv: PKI (Overheid)

3 – redelijk Bv: SMS + aangetekende post

2 – beperkt Bv: SMS + kopie paspoort

1– minimaal Bv: wachtwoord + online aanvraag

Au

the

ntica

tie

-op

lossin

g

(te

ch

nis

ch +

pro

ce

s)

e-d

ien

ste

n

risico’s STORK

betrouwbaarheidsniveaus


Agenda

20

Mobiel


Vertrouwen en herbruikbare identiteiten


Mobiel – wat statistieken

21

Wereldwijd • 6 miljard mobiele telefoons

• 1 miljard PCs

Nederland • %smartphones: >60% stijgend naar 67%

• 1.2 miljoen tablets

• Meer internetbankieren vanaf mobiel dan laptop

[Emerce, Mobile update mei 2012] Tuesday Update - 2 okt 2012

Waarom mobiel anders?

22

Wachtwoorden intikken een ramp

Een persoonlijk device (niet tablets …)

Bij apps alleen inloggen bij installatie

SIM kaart is een smartcard

Mobiel vaker kwijt dan een laptop/PC

Minder malware (nog ?)


23


24

• Regularly clear your browser's cache

• Wi-Fi – don't conduct Internet banking using

unsecured Wi-Fi networks.


Mobile-centric identity

25

Mobiel als authenticatiemiddel

• Personal device, altijd bij je

• Geen (weinig) additionele hardware kosten

• Tweede (?) kanaal

• Diversiteit telefoon platformen

Authenticati voor mobiele diensten

• Usability uitdagingen, bv wachtwoorden

• Geen tweede kanaal meer

• NFC & mobile payments (Sixpack/Travik)



26

Mobiel als authenticatiemiddel

• Personal device, altijd bij je

• Geen (weinig) additionele hardware kosten

• Tweede (?) kanaal

• Diversiteit telefoon platformen

Authenticatie voor mobiele diensten

• Usability uitdagingen, bv wachtwoorden

• Geen tweede kanaal meer

• NFC & mobile payments



27

Probleem

• maak autorisatie beslissingen dynamischer, bv, het nieuwe werken

Kans • gebruik context hiervoor, van mobieltje en

andere bronnen

Project • bruikbaarheid door use cases

• haalbaarheid door demonstrator

• Scope is werknemers.


CEA – the movie

http://youtu.be/lGUprbxJNvE

28 Tuesday Update - 2 okt 2012

http://youtu.be/lGUprbxJNvE

High level use-cases

29

Read-only outside the office for transactions

Used device

User proximity

Data loss prevention when travelling


Central: XACML standard

30

eXtensible Access Control Markup Language

Standard for centralized authorization

Attribute Based Access Control

Trend: more popular and mature


Context – low-hanging fruit

31

Location, location, location

Stuff derived from location

Used device (BYOD, enterprise mobility etc)

Used network (VPN/local, access point etc)

Time-of-day

Security incidents / events

And of course normal usage patterns


Conclusie context-enhanced

authorization project

32

Yes it is useful, yes it is feasible

But w.r.t. context: authenticity, quality & privacy

But w.r.t. dyn attributes / XACML: complexity of policies & scalability

Context is mostly location


Wrap-up

33

Hergebruik digitale identiteiten

• Online economie vereist vertrouwen, digitale identiteiten staan centraal hierin

• Hergebruik kan en moet meer

• Impasse m.b.t. hergebruik C2B identiteiten is er nog steeds , maar er gebeurt veel!


• Mobiel als authenticatiemiddel en authenticatie op mobiel

• Context-enhanced autorisation: gebruik mobiel als contextbron voor dynamische autorisatie

www.novay.nl | [email protected] | @maartenwegdam |

http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam Tuesday Update - 2 okt 2012

http://www.novay.nl/

mailto:[email protected]

http://maarten.wegdam.name/

http://www.linkedin.com/in/wegdam

Wrap-up

34














Wrap-up

35














Programma

36

16:20 Welkom & introductie

16:30 Maarten Wegdam, managing advisor @ Novay

17:15 Erik Hietkamp, directeur ICT @ Aegon

18:00 Buffet

19:15 Wim Hafkamp, CISO @ Rabobank

20:00 Afsluiting en napraten met hapje en drankje


IDentity.Next’ 12

“Making (y)our business with identity”

The Hague, 20-21 November 2011

#idn12

Novay Digital Identity Award 2012

38

Innovatieve concepten of producten

Uitreiking op

Submissie deadline: 19 oktober 2012

http://www.identitynext.eu/award


http://www.identitynext.eu/award

backup

39


Vier levels

40

level 1:

No or minimal assurance

no or minimal confidence in the asserted identity,

or no assurance at all.

level 2:

Low assurance medium confidence in the asserted identity.

Level 3:

Substantial assurance

high impact, high damages in case of an identity

misuse.

Level 4:

High assurance

addresses those services where damage caused

by an identity misuse might have a heavy

impact.

[Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay)] Tuesday Update - 2 okt 2012

Vier types van mobiele authn

41

SMS one-time-passwords

Mobile apps, bv OTP generators of tiQR

SIM-based, bv Mobile PKI

SIM augmented token (sticker)


Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel

Documents

Transcript of Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel