Hoe Internet ervoor zorgt dat we minder in controle zijn

Is “Self-Sovereign” identity de volgende stap?

Toen in 1998 de geboorte van het WorldWideWeb plaatsvond, kon niemand zich voorstellen dat het zich tot het medium zou ontwikkelen zoals wij dat nu kennen. Het internet zoals wij dit nu kennen is gebouwd zonder expliciete manier om een persoon of organisatie expliciet te identificeren. Het internet adresseringssystem is gebouwd voor het identificeren van fysieke eindpunten (Computers). Hierdoor gingen bedrijven en websites zelf eigen lokale accounts aanbieden om hun dienstverlening te kunnen faciliteren. We maken een account aan, geven een wachtwoord op, vullen desnoods nog wat andere gegevens in zoals bijvoorbeeld een emailadres en NAW en je kan aan de slag.

Gemiddeld 100 accounts per emailadres

De snelle uitbreiding van de dienstverlening via internet heeft er nu toe geleid dat er nu circa 3,5 miljard internet gebruikers zijn (Statistica, 2018). Een gemiddelde gebruiker heeft circa 100 accounts geregistreerd op 1 emailadres over het internet (Le Bras, 2015). Het probleem van deze verspreide identiteit opslag heeft men geprobeerd gedeeltelijk op te lossen met Federatieve standaarden zoals SAML en Outh.

Maar zoals we allemaal weten is het gebruik en beheer van gebruikersnamen en wachtwoorden een grote uitdaging. Zowel voor de gebruiker zelf als voor de websites gezien de steeds grotere toename in data lekken (ITRC, 2017). Maar hoe moeten we dan dit als maar groter wordend probleem oplossen? In een artikel uit 2008, beschrijven Kim Cameron, Reinhard Posch en Kai Rannenberg “A User-Centric Identity Metasystem”. Het beschrijft een ontwerp voor een systeem dat de gebruiker de controle geeft over zijn eigen gegevens, het verzamelen van die gegevens en de uitgave hiervan aan andere partijen. In dit artikel stellen zij dat de gebruiker bepaalt welke gegevens, wanneer met wie gedeeld worden. Een voorbeeld van zo’n oplossing is bijvoorbeeld Facebook. Maar er wordt dus nog steeds gebruik gemaakt van een identity provider.

De gebruiker als identity provider?

De volgende stap in deze ontwikkeling zou dan zijn dat de gebruiker zelf in controle is over de opslag en dat deze mobiel is. En “Self-Sovereign” identiteit (Soverin, 2016). De gebruiker is dan zijn eigen identity provider. Zie het als een digitaal paspoort of ID voor transactie met betrekking tot identiteitsinformatie die de gebruiker controleert. Je kan zelf data toevoegen of andere vragen dit te doen. Dit concept lijkt zeer geschikt om te implementeren met Distributed ledger technologie (DLT) zoals bijvoorbeeld Hyperledger. Zoals elke initiatief valt of staat dit met de adoptie door de industrie. Maar de vraag is hoelang de huidige situatie nog houdbaar is gezien de roep van gebruikers om betere beveiliging en privacy, en natuurlijk niet te vergeten de steeds strengere wetgeving hierop. De tijd zal het leren.

Georg-Grabner-IonIT

Georg Grabner

088-3320332

georg.grabner@ionit.nl

Bronvermelding:

Statistica (2018). Number of internet users worldwide from 2005 to 2017. Available at: Statica 2018 (Accessed: 3 May 2018)

Le Bras, T. (2015) Online Overload – It’s Worse Than You Thought. Available at: Dashlane Infographic (Accessed: 3 may 2018)

ITRC (2017). DATA BREACH REPORTS. Available at: IDtheftcenter (Accessed: 3 may 2018)

Cameron, K.,Posch, R.,Rannenberg, K. (2008) Proposal for a Common Identity Framework: A User-Centric Identity Metasystem. Available at: Identity blog (Accessed: 3 may 2018)

Soverin (2018). Sovrin™: A Protocol and Token for SelfSovereign Identity and Decentralized Trust. Available at: Sovrin (Accessed: 3 may 2018)