Identiteit in de toekomst van embeddables en wearables
Jonathan Leblanc, global head of developer evangelism bij PayPal op #TNWEurope
Voortvloeiend uit de makersbeweging neemt technologische innovatie een enorme sprong voorwaarts rondom menselijke integraties. Enkele jaren geleden hadden we het nog over wearables, vandaag de dag hebben we het over embeddables en zelfs injectables. Omdat het menselijk lichaam op een natuurlijke manier een verlengde wordt van technologie zelf, verandert ook de identificatie van mensen: denk hierbij aan hartslag- en aderherkenning. Op de tweede dag van The Next Web Europe nam Jonathan Leblanc, global head of developer evangelism bij PayPal, ons mee op reis om te laten zien waar de toekomst van lichamelijke identificatie naartoe gaat.
Identiteit als technologie
Jonathan keek vroeger vanuit een technologisch perspectief naar identiteit. Pas totdat hij vanuit het psychologisch perspectief naar identiteit begon te kijken en eindelijk begreep hoe het menselijk gedrag in elkaar stak, zag hij dat het niet goed zat met de veiligheid van je online identiteit. Er zijn talloze beveiligingsmogelijkheden, het probleem echter is dat die in de meeste gevallen niet goed worden geïmplementeerd.
De grote uitdaging is om te begrijpen hoe technologie en identiteit samen komen en belangrijker nog, welke maatregelen we dienen te nemen om ook in de toekomst de veiligheid van onze identiteit garant te stellen.
Wachtwoorden
Het toepassen van wachtwoorden is de meest gebruikte manier om je inlog te beschermen voor vreemden. Je zou denken dat dit voldoende is, echter blijft Jonathan zich verbazen dat gebruikers nog steeds de meest simpele wachtwoorden gebruiken. Om zijn verhaal kracht bij te zetten liet hij onderstaande overzicht zien van de Top Passwords of 2014.
Je zou denken dat deze wachtwoorden maar door enkele mensen worden gebruikt. Onder de wachtwoorden die bij grote bedrijven zijn gelekt, blijkt dat 14 procent van de mensen een wachtwoord gebruikt dat in bovenstaande Top 10 voor komt. 40 procent gebruikt een wachtwoord uit de Top 100, bijna 80 procent gebruikt een wachtwoord uit de Top 500 en 91 procent heeft een wachtwoord uit de Top 1.000. Deze cijfers vertellen ons dat de waarschijnlijheid vrij groot is dat je met een Top 1.000 lijst van meest gebruikte wachtwoorden namens iemand anders kan inloggen.
Realistisch gezien is dit niet zozeer de fout van de gebruiker, maar van de fout van de toepassing van de technologie. Doordat we op zoveel verschillende sites een wachtwoord dienen aan te maken, gebruiken we vaak hetzelfde wachtwoord of een variant hiervan. Een oplossing die nu wordt toegepast is dat je een social login hebt van Facebook en dat je die al op meerdere sites of apps kan gebruiken om in te loggen.
Bron: Abstruse Goose
Een veel gebruikte techniek om een beveiligingssysteem te doorbreken, is de brute force-aanval. Ze proberen wachtwoorden die veelgebruikt worden en woorden die in het woordenboek staan. Mensen vergeten altijd wachtwoorden. Daarom gebruiken we altijd iets waar we ons aan kunnen herinneren. Van vroeger. Dat maakt ze zo zwak.
We hoeven de huidige manier van inloggen niet meteen te veranderen. Wel is het belangrijk om de beveiliging bij de bron aan te pakken. Dit kan door goede encryptietechnieken te implementeren. Bij het inloggen op een site merk je weleens dat het soms wat langer duurt. Jonathan gaf aan dat het niet komt doordat de verbinding of site langzaam is. Het is een veelgebruikte encryptietechniek om een brute force aanval onbehapbaar te maken.
Trust Zones
Bij het hanteren van trust zones, kijkt de beveiliging naar locatie-gebaseerd gedrag. Wanneer je altijd in Nederland bent en opeens vanuit Rusland of een ander land iets online bestelt, gaan er alarmbellen rinkelen. Er wordt opeens ander gedrag geconstateerd dan PayPal van je gewend is. Als je in het buitenland bent geweest, dan heb je vast wel eens gemerkt dat Facebook ook een dergelijke beveiligingstechniek gebruikt.
Naast location awareness zijn er nog andere beveiligingstechieken, zoals:
- Habit awareness
- Browser uniqueness
- Device fingerprinting
Stel dat je al 6 uur lang bent ingelogd en ze hebben alle informatie zoals je browserinstellingen, je mobiele telefoon, je wearables en inzicht in de manier hoe jij je browser gebruikt en PayPal weet aan de hand van je gedrag dat jij, jij bent, dan kun je prima voor enkele weken ingelogd blijven. Hiermee verandert de setup, de gebruikerservaring, afhankelijk van hoe waarschijnlijk het is dat jij, jij bent. Hiermee maak je het systeem bruikbaar en ontzettend veilig, gaf Jonathan aan.
Biometrie
Biometrische informatie is een ander beveiligingsmechanisme dat in steeds meer apparaten wordt toegepast. De vingerafdrukscanner is hier wellicht de bekendste van. Het is een unieke handtekening dat direct van jezelf komt. Alle nieuwe componenten die in wearables komen te zitten, maken het alleen maar makkelijker om je te identificeren en uiteindelijk de gebruikerservaring volledig te optimaliseren.
Privacy
Maar hoe zit het dan met privacy hoor ik je al denken. Interessant vond ik zelf dat het woord ‘privacy’ geen enkele keer in de keynote werd genoemd. Vragen uit het publiek, daar was dan ook geen ruimte voor. Hoe beter je iemand kunt identificeren, hoe beter je iemand kunt tracken, toch?
Maar ach, privacy is overrated. Privacy, dat hebben we al lang niet meer.