Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel

464 views

Published on

In Dutch. Zoals gepresenteerd op de Novay Tuesday Update netwerkevent van 2 oktober 2012, over digitale identiteiten in de financiële sector.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
464
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel

  1. 1. Digitale identiteiten:herbruikbaar en mobielMaarten WegdamTuesday Update – 2 oktober 2012
  2. 2. Agenda Vertrouwen en herbruikbare identiteiten Mobiel Context-enhanced authorization2 Tuesday Update - 2 okt 2012
  3. 3. Noodzaak tot online vertrouwen “Elektronische-identiteitstechnologieën (e-ID) en authenticatiediensten zijn van essentieel belang voor internettransacties in de particuliere en de openbare sector.” “Intussen blijft het gebrek aan vertrouwen in de online omgeving de ontwikkeling van de Europese online economie een spaak in het wiel steken.” [EU digitale agenda, 2011]3 Tuesday Update - 2 okt 2012
  4. 4. Internetbankieren fraude statistieken4 [NVB, met 2012 geëxtrapoleerd] Tuesday Update - 2 okt 2012
  5. 5. 5 Tuesday Update - 2 okt 2012
  6. 6. Hoe erg is dit? Directe schade veel hoger dan winst criminelen [“Measuring the cost of cybercrime”, Anderson, Van Eeten e.a., WIES 2012] Kosten ter voorkoming Rem op e-dienstverlening: vertrouwen bij gebruikers en Rem op e-dienstverlening dienstaanbieders6 Tuesday Update - 2 okt 2012
  7. 7. Hergebruik identiteiten – 4 party model – identity broker/hub provider gebruiker relying party7 Tuesday Update - 2 okt 2012
  8. 8. 8 Tuesday Update - 2 okt 2012
  9. 9. 9 Tuesday Update - 2 okt 2012
  10. 10. Online hergebruik betrouwbare identiteiten is erg beperkt  • Behalve DigiD • Indirect: via geld overmaken etc Wel hergebruik offline identiteit: paspoort!!10 Tuesday Update - 2 okt 2012
  11. 11. Status hergebruik IDs in NL: – impasse duurt voort ?11 Tuesday Update - 2 okt 2012 [2011 Tuesday Update]
  12. 12. 12 Tuesday Update - 2 okt 2012
  13. 13. Wie vertrouwen we? Overheid Bank Telecom operator Notaris Een gespecialiseerde MBK-er Een stichting Postbedrijf Social network13 Tuesday Update - 2 okt 2012
  14. 14. Trust framework identity provider broker/hub trust framework beheerder gebruiker relying party14 Tuesday Update - 2 okt 2012
  15. 15. Relying party perspectief X aantal ‘eigen (online) identiteiten‘ • Wisselend of onbekend registratieproces • Sommige gebruikers meerdere • Gebruikersnaam/wachtwoord, soms SMS • Soms mogen ze deels DigiD gebruiken Gevolgen • Irritatie bij gebruikers • Verminderd gebruik online kanaal • Vermijdbare kosten (bv helpdesk)15 Tuesday Update - 2 okt 2012
  16. 16. Dilemma’s relying party Mixen DigiD, eigen, sociale en betrouwbare externe identiteiten ? Hoe toekomstvast (= agile) worden ? Gemak vs kosten vs betrouwbaarheid vs complexiteit vs coverage ?16 Tuesday Update - 2 okt 2012
  17. 17. Betrouwbaarheidsniveaus Standaardiseer op (4) discrete levels Combi technologie EN proces Voordeel: schaalbaarheid, ontkoppeling [STORK] [NIST] [eHerkenning] [ISO/IEC 29115 ]17 Tuesday Update - 2 okt 2012
  18. 18. disclaimer: gesimplificeerd! STORK betrouwbaarheidsniveaus in 1 slide# Authenticatiemiddel Proces Voorbeeld1 Gebruikersnaam/wachtwoord Self-asserted, alleen Facebook, Google, check emailadres bol.com2 “2 factor”, bv wachtwoord + Registratie via bekend DigiD midden SMS one-time-password gegeven, bv thuisadres GBA3 Smartcard (of soft Proces met DigiD midden + certificates) identiteitsbewijs, en registratie bij balie, meer checks bv. fysieke medischegegevens.nl, controle online bankieren4 Smartcard Idem, met altijd fysieke Qualified certificates, controle PKIoverheid, UZI pas 18 Tuesday Update - 2 okt 2012
  19. 19. Toepassen betrouwbaarheidsniveaus betrouwbaarheidsniveausAuthenticatie-oplossing 1– minimaal (technisch + proces) e-diensten Bv: wachtwoord + online aanvraag 2 – beperkt STORK Bv: SMS + kopie paspoort risico’s 3 – redelijk Bv: SMS + aangetekende post 4 – hoog Bv: PKI (Overheid) 19 Tuesday Update - 2 okt 2012
  20. 20. Agenda Vertrouwen en herbruikbare identiteiten Mobiel Context-enhanced authorization20 Tuesday Update - 2 okt 2012
  21. 21. Mobiel – wat statistieken Wereldwijd • 6 miljard mobiele telefoons • 1 miljard PCs Nederland • %smartphones: >60% stijgend naar 67% • 1.2 miljoen tablets • Meer internetbankieren vanaf mobiel dan laptop [Emerce, Mobile update mei 2012]21 Tuesday Update - 2 okt 2012
  22. 22. Waarom mobiel anders? Wachtwoorden intikken een ramp Een persoonlijk device (niet tablets …) Bij apps alleen inloggen bij installatie SIM kaart is een smartcard Mobiel vaker kwijt dan een laptop/PC Minder malware (nog ?)22 Tuesday Update - 2 okt 2012
  23. 23. 23 Tuesday Update - 2 okt 2012
  24. 24. • Regularly clear your browsers cache • Wi-Fi – dont conduct Internet banking using unsecured Wi-Fi networks.24 Tuesday Update - 2 okt 2012
  25. 25. Mobile-centric identity Mobiel als authenticatiemiddel • Personal device, altijd bij je • Geen (weinig) additionele hardware kosten • Tweede (?) kanaal • Diversiteit telefoon platformen  Authenticati voor mobiele diensten • Usability uitdagingen, bv wachtwoorden • Geen tweede kanaal meer • NFC & mobile payments (Sixpack/Travik)25 Tuesday Update - 2 okt 2012
  26. 26. Mobile-centric identity Mobiel als authenticatiemiddel • Personal device, altijd bij je • Geen (weinig) additionele hardware kosten • Tweede (?) kanaal • Diversiteit telefoon platformen  Authenticatie voor mobiele diensten • Usability uitdagingen, bv wachtwoorden • Geen tweede kanaal meer • NFC & mobile payments26 Tuesday Update - 2 okt 2012
  27. 27. Context-enhanced authorization Probleem • maak autorisatie beslissingen dynamischer, bv, het nieuwe werken Kans • gebruik context hiervoor, van mobieltje en andere bronnen Project • bruikbaarheid door use cases • haalbaarheid door demonstrator • Scope is werknemers.27 Tuesday Update - 2 okt 2012
  28. 28. CEA – the movie http://youtu.be/lGUprbxJNvE28 Tuesday Update - 2 okt 2012
  29. 29. High level use-cases Read-only outside the office for transactions Used device User proximity Data loss prevention when travelling29 Tuesday Update - 2 okt 2012
  30. 30. Central: XACML standard eXtensible Access Control Markup Language Standard for centralized authorization Attribute Based Access Control Trend: more popular and mature30 Tuesday Update - 2 okt 2012
  31. 31. Context – low-hanging fruit Location, location, location Stuff derived from location Used device (BYOD, enterprise mobility etc) Used network (VPN/local, access point etc) Time-of-day Security incidents / events And of course normal usage patterns31 Tuesday Update - 2 okt 2012
  32. 32. Conclusie context-enhanced authorization projectYes it is useful, yes it is feasibleContext is mostly locationBut w.r.t. context:authenticity, quality & privacyBut w.r.t. dyn attributes / XACML:complexity of policies & scalability32 Tuesday Update - 2 okt 2012
  33. 33. Wrap-up Hergebruik digitale identiteiten • Online economie vereist vertrouwen, digitale identiteiten staan centraal hierin • Hergebruik kan en moet meer • Impasse m.b.t. hergebruik C2B identiteiten is er nog steeds , maar er gebeurt veel! Mobile-centric identity • Mobiel als authenticatiemiddel en authenticatie op mobiel • Context-enhanced autorisation: gebruik mobiel als contextbron voor dynamische autorisatie www.novay.nl | maarten.wegdam@novay.nl | @maartenwegdam |33 http://maarten.wegdam.name (blog) | Update - 2 okt 2012 Tuesday http://www.linkedin.com/in/wegdam
  34. 34. Wrap-up Hergebruik digitale identiteiten • Online economie vereist vertrouwen, digitale identiteiten staan centraal hierin • Hergebruik kan en moet meer • Impasse m.b.t. hergebruik C2B identiteiten is er nog steeds , maar er gebeurt veel! Mobile-centric identity • Mobiel als authenticatiemiddel en authenticatie op mobiel • Context-enhanced autorisation: gebruik mobiel als contextbron voor dynamische autorisatie www.novay.nl | maarten.wegdam@novay.nl | @maartenwegdam |34 http://maarten.wegdam.name (blog) | Update - 2 okt 2012 Tuesday http://www.linkedin.com/in/wegdam
  35. 35. Wrap-up Hergebruik digitale identiteiten • Online economie vereist vertrouwen, digitale identiteiten staan centraal hierin • Hergebruik kan en moet meer • Impasse m.b.t. hergebruik C2B identiteiten is er nog steeds , maar er gebeurt veel! Mobile-centric identity • Mobiel als authenticatiemiddel en authenticatie op mobiel • Context-enhanced autorisation: gebruik mobiel als contextbron voor dynamische autorisatie www.novay.nl | maarten.wegdam@novay.nl | @maartenwegdam |35 http://maarten.wegdam.name (blog) | Update - 2 okt 2012 Tuesday http://www.linkedin.com/in/wegdam
  36. 36. Programma 16:20 Welkom & introductie 16:30 Maarten Wegdam, managing advisor @ Novay 17:15 Erik Hietkamp, directeur ICT @ Aegon 18:00 Buffet 19:15 Wim Hafkamp, CISO @ Rabobank 20:00 Afsluiting en napraten met hapje en drankje36 Tuesday Update - 2 okt 2012
  37. 37. IDentity.Next’ 12“Making (y)our business with identity”The Hague, 20-21 November 2011 #idn12
  38. 38. Novay Digital Identity Award 2012Innovatieve concepten of productenUitreiking opSubmissie deadline: 19 oktober 2012http://www.identitynext.eu/award38 Tuesday Update - 2 okt 2012
  39. 39. backup39 Tuesday Update - 2 okt 2012
  40. 40. Vier levels level 1: no or minimal confidence in the asserted identity, No or minimal assurance or no assurance at all. level 2: medium confidence in the asserted identity. Low assurance Level 3: high impact, high damages in case of an identity Substantial assurance misuse. Level 4: addresses those services where damage caused by an identity misuse might have a heavy High assurance impact. [Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay)]40 Tuesday Update - 2 okt 2012
  41. 41. Vier types van mobiele authn SMS one-time-passwords Mobile apps, bv OTP generators of tiQR SIM-based, bv Mobile PKI SIM augmented token (sticker)41 Tuesday Update - 2 okt 2012

×