What’s in a name? Die Engelse uitroep lijkt in de ict gewoonweg een invulling te krijgen in de vorm van een gebruikersnaam plus paswoord als hoeksteen van security. In zijn sessie ‘Identity Management’ maakte prof Audun Josang van de universiteit van Oslo duidelijk dat zowel eindgebruikers als dienstenleveranciers meer aan identiteitsbeheer moeten doen en dat een ‘user centric’-aanpak is aangewezen.
In eerste instantie zette hij overigens de puntjes op de ‘i’ inzake terminologie, met onder meer het onderscheid tussen ‘authorisatie’ en ‘toegangscontrole. ‘Authorisatie’ is wanneer een gebruiker wordt gecreëerd en die bepaalt welke rechten hij of zij heeft, en is dus een eenmalige procedure. Op basis daarvan wordt telkens weer bij een aanvraag tot toegang beslist de gebruiker toe te laten. Daarnaast definieert Jonsang ‘identiteit’ als de collectie van elementen die een entiteit in het ict-gebeuren beschrijven en zo’n entiteit kan naast een gebruiker ook een organisatie, een systeem etc zijn. Jonsang constateert dat het identiteitsbeheer van de gebruiker technologisch sterk wordt onderbouwd, maar spijtig genoeg nog uiterst zwak is aan de zijde van de ‘service providers’. Daardoor kan de gebruiker vaak niet echt zeker zijn of de service provider en de aangeboden dienst (zoals voor bankverrichtingen) ook echt de bona fide dienst betreft.
Voor de gebruiker geldt tevens dat hij in de dagelijkse praktijk een hele rist identiteiten heeft – een voor elke dienst waarvan hij of zij gebruik wil maken. Om de resulterende last van paswoorden en dies meer te verminderen, wordt vaak gekeken naar een ‘single sign on’ oplossing. Maar dan moet wel worden gewerkt aan nieuwe, gefedereerde sso-modellen, die een gebruiker ‘authenticeert’ bij verscheidene authenticatiesystemen. Hij lichtte daarbij de verschillen toe tussen een ‘front channel’ en een ‘back channel’ identiteitsfederatie (de afspraken lopen respectievelijk over de eindgebruiker of rechtstreeks tussen de authenticatiesystemen), evenals verschillen tussen een OpenID model, Microsofts InfoCard model. Volgens Josang omvat de geprefereerde oplossing een ‘local user-centric’ oplossing, waarbij gebruik wordt gemaakt van een ‘personal authentication device’ (pad), dat de echtheid van een opgeroepen dienst helpt bepalen. Als uitdagingen ziet hij hierbij nog de gebruiksvriendelijkheid voor de gebruiker, de integratie van zo’n pad met toepassingen door middel van een protocol en dies meer.
Fout opgemerkt of meer nieuws? Meld het hier