Onegini: Universeel inloggen, maar toch veilig

Het Woerdense bedrijf Onegini laat gebruikers op een veilige manier met bijvoorbeeld een Google- of Facebookaccount financiële producten inzien. Maar het ziet ook een markt voor webwinkels.

Onegini heeft voor verzekeraar Aegon de eerste zogenoemde Secure Social Login-oplossing geleverd. Door het gebruik van sociale accounts (Facebook, Google, LinkedIn) kunnen consumenten op een vertrouwde  manier toch veilig inloggen. De Nederlandsche Bank is meegegaan in de risicoanalyse van Aegon en geeft daarmee aan dat vernieuwing geen afbreuk hoeft te doen aan veiligheid, zo stelt de onderneming.

Directeur, Denis Joannides, in het verleden onder meer betrokken bij NHow, een kennisnetwerk voor zelfstandige ICT-professionals, zegt dat zijn bedrijf de eerste is die een combinatie biedt van goede beveiliging en veelgebruikte logins. “Facebook biedt alleen de mogelijkheid van een universele login, maar bedrijven willen onder meer aan de hand van inloggedrag en bijvoorbeeld het IP-nummer verdachte activiteiten op het spoor kunnen komen. Google wordt daar wel iets beter in, maar wij kunnen bijvoorbeeld een verificatie-SMS sturen als dat nodig is.”

Bovendien wil Joannides voorkomen dat de profielen van Facebook of andere accounts worden leeggetrokken, zoals hij het formuleert. “Wij scheiden de login-gegevens van de profielen zelf en die garantie geven we ook aan gebruikers.”

Onegini levert drie producten: Onegini.me, Onegini Business en Onegini Mobile. Met Onegini.me nemen klanten een Digitale Identiteit mee die ze kunnen gebruiken voor het online zaken doen. Aansluiten op Onegini.me gebeurt via standaarden zoals SAML, OAuth en OpenID Connect. De verzekeraar of webwinkel bepaalt het gewenste beveiligingsniveau en welke gegevens hij van de klant wilt ontvangen. Onegini verzorgt de validatie van data en extra authenticatie, indien nodig.

Bij de zakelijke variant kan software draaien bij de organisatie zelf. Het bedrijf bepaalt dan welke Identity Providers men wil activeren en hoe de authenticatie flows moeten plaatsvinden. Gebruikers kunnen bij de mobiele variant nog steeds met hun eigen account inloggen, waarna ze de mogelijkheid hebben een pincode te gebruiken. Joannides: “Wij verwachten dat het merendeel van de omzet zal komen van Onegini.me.”

Onegini heeft wel allerlei concurrenten, maar vaak zijn het technische oplossingen die geen breed draagvlak hebben. “Het aantrekkelijke van onze oplossing zit hem in het gebruik van accounts die consumenten vertrouwd vinden. Dat zie je nog maar weinig op de markt.” Ook DigiD, dat in de toekomst breder inzetbaar wordt, ziet Joannides niet als een bedreiging. “Vermoedelijk gaat het om een beperkte vrijgave, met behoorlijk wat beperkingen.”

Naast Aegon heeft het bedrijf nog twee klanten: SURFnet en een niet nader genoemd Belgisch telecombedrijf. Bij webwinkels is nog te weinig aandacht voor de beveiliging van hun klantgegevens, aldus Joannides. “Voor webwinkels geldt toch evenzeer dat je vooral gebruiksgemak en veiligheid wilt bieden.”