3. Noodzaak tot online vertrouwen
“Elektronische-identiteitstechnologieën (e-ID)
en authenticatiediensten zijn van essentieel
belang voor internettransacties in de
particuliere en de openbare sector.”
“Intussen blijft het gebrek aan vertrouwen in de
online omgeving de ontwikkeling van de
Europese online economie een spaak in het
wiel steken.”
[EU digitale agenda, 2011]
3 Tuesday Update - 2 okt 2012
6. Hoe erg is dit?
Directe schade
veel hoger dan winst criminelen
[“Measuring the cost of cybercrime”,
Anderson, Van Eeten e.a., WIES 2012]
Kosten ter voorkoming
Rem op e-dienstverlening:
vertrouwen bij gebruikers en
Rem op e-dienstverlening dienstaanbieders
6 Tuesday Update - 2 okt 2012
7. Hergebruik identiteiten
– 4 party model –
identity
broker/hub
provider
gebruiker relying party
7 Tuesday Update - 2 okt 2012
13. Wie vertrouwen we?
Overheid
Bank
Telecom operator
Notaris
Een gespecialiseerde MBK-er
Een stichting
Postbedrijf
Social network
13 Tuesday Update - 2 okt 2012
21. Mobiel – wat statistieken
Wereldwijd
• 6 miljard mobiele telefoons
• 1 miljard PCs
Nederland
• %smartphones: >60% stijgend naar 67%
• 1.2 miljoen tablets
• Meer internetbankieren vanaf mobiel dan laptop
[Emerce, Mobile update mei 2012]
21 Tuesday Update - 2 okt 2012
22. Waarom mobiel anders?
Wachtwoorden intikken een ramp
Een persoonlijk device (niet tablets …)
Bij apps alleen inloggen bij installatie
SIM kaart is een smartcard
Mobiel vaker kwijt dan een laptop/PC
Minder malware (nog ?)
22 Tuesday Update - 2 okt 2012
24. • Regularly clear your browser's cache
• Wi-Fi – don't conduct Internet banking using
unsecured Wi-Fi networks.
24 Tuesday Update - 2 okt 2012
25. Mobile-centric identity
Mobiel als authenticatiemiddel
• Personal device, altijd bij je
• Geen (weinig) additionele hardware kosten
• Tweede (?) kanaal
• Diversiteit telefoon platformen
Authenticati voor mobiele diensten
• Usability uitdagingen, bv wachtwoorden
• Geen tweede kanaal meer
• NFC & mobile payments (Sixpack/Travik)
25 Tuesday Update - 2 okt 2012
26. Mobile-centric identity
Mobiel als authenticatiemiddel
• Personal device, altijd bij je
• Geen (weinig) additionele hardware kosten
• Tweede (?) kanaal
• Diversiteit telefoon platformen
Authenticatie voor mobiele diensten
• Usability uitdagingen, bv wachtwoorden
• Geen tweede kanaal meer
• NFC & mobile payments
26 Tuesday Update - 2 okt 2012
27. Context-enhanced authorization
Probleem
• maak autorisatie beslissingen dynamischer, bv,
het nieuwe werken
Kans
• gebruik context hiervoor, van mobieltje en
andere bronnen
Project
• bruikbaarheid door use cases
• haalbaarheid door demonstrator
• Scope is werknemers.
27 Tuesday Update - 2 okt 2012
28. CEA – the movie
http://youtu.be/lGUprbxJNvE
28 Tuesday Update - 2 okt 2012
29. High level use-cases
Read-only outside the office for transactions
Used device
User proximity
Data loss prevention when travelling
29 Tuesday Update - 2 okt 2012
30. Central: XACML standard
eXtensible Access Control Markup Language
Standard for centralized authorization
Attribute Based Access Control
Trend: more popular and mature
30 Tuesday Update - 2 okt 2012
31. Context – low-hanging fruit
Location, location, location
Stuff derived from location
Used device (BYOD, enterprise mobility etc)
Used network (VPN/local, access point etc)
Time-of-day
Security incidents / events
And of course normal usage patterns
31 Tuesday Update - 2 okt 2012
32. Conclusie context-enhanced
authorization project
Yes it is useful, yes it is feasible
Context is mostly location
But w.r.t. context:
authenticity, quality & privacy
But w.r.t. dyn attributes / XACML:
complexity of policies & scalability
32 Tuesday Update - 2 okt 2012
33. Wrap-up
Hergebruik digitale identiteiten
• Online economie vereist vertrouwen, digitale identiteiten
staan centraal hierin
• Hergebruik kan en moet meer
• Impasse m.b.t. hergebruik C2B identiteiten is er nog
steeds , maar er gebeurt veel!
Mobile-centric identity
• Mobiel als authenticatiemiddel en authenticatie op mobiel
• Context-enhanced autorisation: gebruik mobiel als
contextbron voor dynamische autorisatie
www.novay.nl | maarten.wegdam@novay.nl | @maartenwegdam |
33 http://maarten.wegdam.name (blog) | Update - 2 okt 2012
Tuesday http://www.linkedin.com/in/wegdam
34. Wrap-up
Hergebruik digitale identiteiten
• Online economie vereist vertrouwen, digitale identiteiten
staan centraal hierin
• Hergebruik kan en moet meer
• Impasse m.b.t. hergebruik C2B identiteiten is er nog
steeds , maar er gebeurt veel!
Mobile-centric identity
• Mobiel als authenticatiemiddel en authenticatie op mobiel
• Context-enhanced autorisation: gebruik mobiel als
contextbron voor dynamische autorisatie
www.novay.nl | maarten.wegdam@novay.nl | @maartenwegdam |
34 http://maarten.wegdam.name (blog) | Update - 2 okt 2012
Tuesday http://www.linkedin.com/in/wegdam
35. Wrap-up
Hergebruik digitale identiteiten
• Online economie vereist vertrouwen, digitale identiteiten
staan centraal hierin
• Hergebruik kan en moet meer
• Impasse m.b.t. hergebruik C2B identiteiten is er nog
steeds , maar er gebeurt veel!
Mobile-centric identity
• Mobiel als authenticatiemiddel en authenticatie op mobiel
• Context-enhanced autorisation: gebruik mobiel als
contextbron voor dynamische autorisatie
www.novay.nl | maarten.wegdam@novay.nl | @maartenwegdam |
35 http://maarten.wegdam.name (blog) | Update - 2 okt 2012
Tuesday http://www.linkedin.com/in/wegdam
36. Programma
16:20 Welkom & introductie
16:30 Maarten Wegdam, managing advisor @ Novay
17:15 Erik Hietkamp, directeur ICT @ Aegon
18:00 Buffet
19:15 Wim Hafkamp, CISO @ Rabobank
20:00 Afsluiting en napraten met hapje en drankje
36 Tuesday Update - 2 okt 2012
38. Novay Digital Identity Award 2012
Innovatieve concepten of producten
Uitreiking op
Submissie deadline: 19 oktober 2012
http://www.identitynext.eu/award
38 Tuesday Update - 2 okt 2012
40. Vier levels
level 1: no or minimal confidence in the asserted identity,
No or minimal assurance or no assurance at all.
level 2:
medium confidence in the asserted identity.
Low assurance
Level 3: high impact, high damages in case of an identity
Substantial assurance misuse.
Level 4: addresses those services where damage caused
by an identity misuse might have a heavy
High assurance impact.
[Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay)]
40 Tuesday Update - 2 okt 2012
41. Vier types van mobiele authn
SMS one-time-passwords
Mobile apps, bv OTP generators of tiQR
SIM-based, bv Mobile PKI
SIM augmented token (sticker)
41 Tuesday Update - 2 okt 2012