Online identificatie: we doen het onveilig en we weten het

Uit onderzoek van Perspective blijkt dat de aloude ‘wachtwoordparadox’ nog altijd van toepassing is: 42 procent van de Nederlanders kiest tegen beter weten in onveilige online wachtwoorden. Tel daar nog eens bij op dat bijna een derde van de meer dan tweeduizend ondervraagden hetzelfde wachtwoord voor meerdere accounts gebruikt, en het beeld is compleet: Nederlanders wéten dat dit uit veiligheidsoogpunt niet verantwoord is, en tóch doen ze het. En dat is zorgwekkend.

In tijden van toenemende aandacht voor cybersecurity, hacks en gegevens die op straat liggen, kunnen we dit opvallende resultaten noemen. Het laat zien dat een groot deel van de consumenten korte termijn gemak boven lange termijn veiligheid laat gaan. Andere cijfers uit het onderzoek bevestigen dit beeld. Zo schrijft meer dan veertig procent van de Nederlanders wachtwoorden ergens op, ook al brengt dit een aanmerkelijk risico met zich mee. Wachtwoordmanagers daarentegen en apps waarin de consument diverse wachtwoorden kan opslaan – worden nauwelijks gebruikt. En dat terwijl 56 procent zich zorgen maakt over de veiligheid van hun persoonlijke gegevens op het internet.

Oplossingen voor de wachtwoordparadox

Wat is nu de oplossing? Consumenten meer doordringen van de risico’s van hun gedrag? Bijvoorbeeld door de risico’s concreter te maken en herkenbaar te beschrijven. Maar het feit dat veel consumenten al wéten dat hun gedrag onveilig is, doet vermoeden dat deze oplossing hooguit bij een deel van de gebruikers daadwerkelijk het gedrag zal doen veranderen. Een meer voor de hand liggende oplossing is om consumenten veilige en eenvoudige online inlog- en identificatiemethoden aan te bieden waar geen aparte gebruikersnamen en wachtwoorden meer aan te pas komen. Zo worden ze beschermd tegen zichzelf.

Consumenten geïrriteerd bij nieuwe accounts…

Een ander blokje opvallende resultaten uit de rapportage van Perspective laat zien dat consumenten last hebben van de grote hoeveelheid gebruikersnamen en wachtwoorden bij de verschillende accounts die ze hebben. De gemiddelde Nederlander heeft 15-20 online accounts, en het onderzoek laat zien dat hoe meer accounts mensen hebben, hoe onveiliger ze met hun wachtwoorden omgaan. Meer dan de helft van de Nederlanders is bovendien meerdere keren per jaar wachtwoorden kwijt; bijna een kwart zelfs enkele malen per maand. Het verbaast dan ook niet dat bijna tachtig procent van de ondervraagden aangeeft behoefte te hebben aan één veilige inlogmethode waarmee overal ingelogd kan worden.

…en aanbieders lopen conversie mis

Een ander punt van ergernis is dat consumenten bij een nieuwe aanbieder vaak weer een geheel nieuw account moeten aanmaken, en daarvoor allerlei (persoons)gegevens zelf in moeten vullen. 77% geeft aan dat vervelend te vinden. Het gebeurt dan ook niet zelden dat consumenten in dit deel van de klantreis afhaken. Ze vinden het te veel moeite, te veel gedoe. Daarmee loopt de aanbieder conversie mis en wordt de klantreis afgebroken. Het lijkt er dus op dat zowel consumenten als online aanbieders profiteren van een online inlog- en identificatiemethode waarbij verstrekken van benodigde gegevens bij het aanmaken van accounts en het onthouden van wachtwoorden niet meer nodig is.

iDIN biedt een deel van de oplossing

Met het oog op deze ontwikkelingen, zijn de Nederlandse banken een aantal jaren geleden van start gegaan met de ontwikkeling van iDIN. We noemen iDIN weleens ‘het kleine broertje van iDEAL’, omdat het gebruik maakt van dezelfde technologie.

Doelbinding en dataminimalisatie

Met iDIN kunnen consumenten met de vertrouwde inlogmiddelen van hun bank zichzelf identificeren bij externe partijen, inloggen of leeftijd bevestigen (18+). Voorwaarde is wel dat de betreffende online aanbieder iDIN gebruikt. Om helemaal in lijn te zijn met de AVG, worden alléén de gegevens gedeeld die nodig zijn voor de betreffende actie, en worden ze alléén gebruikt voor het betreffende identificatie-, leeftijdsverificatie- of inlogproces. Dit zijn de principes van zogenaamde dataminimalisatie en doelbinding. Doordat gebruikers het inlogmiddel van hun banken al in hun bezit hebben, kunnen zij het direct gebruiken, zonder dat het nodig is zichzelf ergens aan te melden. Het proces dat een consument doorloopt om in te loggen via iDIN, is gebaseerd op de werkwijze van internetbankieren, iDEAL en Incassomachtigen. Met iDIN doet men geen betalingen. Websites en organisaties hebben geen inzicht in de betaalgegevens van de consument. De bank heeft ook geen inzicht in gegevens van de consument bij websites en organisaties.  

Win-winsituatie

In tijden van toenemende cybercrime, waarin conflicten verplaatsen van het fysieke slagveld naar het digitale domein, maken consumenten geen aanstalten om hun eigen online inlog- en identificatie-acties veilig te laten verlopen. Een zorgwekkende ontwikkeling, die deels het hoofd geboden kan worden door methoden aan te bieden waarbij veiligheid en privacy gewaarborgd worden. Een win-winsituatie, omdat het voor consumenten betrouwbaarheid, veiligheid en gemak combineert, en aanbieders helpt te voldoen aan de AVG-eisen en de klantreis te verbeteren.