Picnic 07: Identity 2.0

De laatste presentatie die ik tijdens Picnic 2007 bijwoonde ging over Identity 2.0 en werd gehouden door Dick Hardt. Leuk verhaal, enthousiast verteld zoals je zelf kunt zien op deze video-opname.

Na een algemene introductie over wat identity allemaal behelst verteld Hardt waarom de huidige vorm van identity in de toekomst zich zal ontwikkelen naar identity 2.0.


De simpelste vorm van identificeren wie je bent is verbaal: Gewoon vertellen wie je bent. Op basis van vertrouwen werd dit aangenomen. Dit is een vorm van niet geverifieerde identificatie.
Daarnaast heb je ook geverifieerde identificatie: op basis van officieel document met foto. Met behulp van zo'n officieel document toon je aan dat je bent wie je zegt dat je bent en krijg je toegang tot bepaalde diensten, producten. Hierbij is sprake van een 'assymetric trust relation': er is geen relatie tussen degene die het document uitgeeft en degene die het ter identificatie accepteerd. Hierdoor is het schaalbaar en heb je veel privacy.

Wat is digital identity? Site registration? Dat is niet geverifieerd net als gesproken identificatie maar dan met nog minder aanknopingspunten: je kan de persoon niet zien, horen of er mee praten en je weet niet eens of er wel een echte persoon achter de computer zit. Je kunt op het internet op zoek gaan naar digital records om te bepalen of de persoon ook echt bestaat maar en hoe zit het met authority?

Is een username en password digital identity? Die dienen alleen voor authenticatie: ze geven alleen aan dat er een directory entry bestaat voor de persoon. Hardt noemt dit identity 1.0 (directory centric, de informatie zit in silo's en het is dus moeilijk schaalbaar). Eigenlijk is het vandaag de dag is het nog niet mogelijk om online te bewijzen dat je bent wie je zegt dat je bent.

Verified digital identity is vandaag de dag niet wat je geeft aan de site maar wat de site weet van jou. Bijvoorbeeld je Ebay reputatie. Is ook niet portable een andere site kan er niets mee. Dit is dus ook weer een vorm van Identity 1.0

Wat je zou willen is iets gecentreerd om de gebruiker waarbij de gebruiker zijn identity kan gebruiken op de diverse sites. Dat is Identity 2.0

Voor identity 2.0 is een architectuur voorgesteld en er zullen in 2008 de eerste pilot plaatsvinden. Het komt er op neer dat je alle authoritive data van de verschillende instanties worden door een agent opgehaald en centraal opgeslagen worden op een site. Die gegevens kunnen dan weer doorgegeven worden aan andere partijen met behulp van een agent. hoe je bewijst dat je bent wie je bent aan de agent Geen trust tussen issuer en de agent nodig en de agent en de relying party. Wel tussen issuer en relying party natuurlijk. Via dit usercentric model krijg je veel privacy doordat het ophalen van de gegevens en het doorgeven van de gegevens aan de relying partij gescheiden van elkaar gebeurd. Het is een simpel en open model waarmee je je gegevens van de ene site naar de andere site kunt doorgeven.

In 2017 gebruiken we volgens Hardt een minimale hoeveelheid wachtwoorden hebben we rijke profielen , portable credentials en reputation services (bijv gebaseerd op bijdrage in blogosphere, wikipedia etc) en is het mogelijk om andere (systemen en mensen) tijdelijk acties te laten ondernemen in jouw naam.

Tijdens de presentatie noemde Hardt een tool genaamd Sxipper: een Firefox pluging waarmee je het vervelende invullen van formulieren en wachtwoorden een stuk eenvoudiger maakt. De gegevens die je in Sxipper in hebt gevoerd kun je vervolgens oproepen in formulieren. Ik heb er nog geen ervaring mee maar ga er de komende tijd zeker naar kijken.

Voor meer informatie bekijk de blog van Dick Hardt.
Een andere interessante blog over dit onderwerp is de blog van Kim Cameron.