Dom voorbeeld? Op internet vallen mensen massaal voor exact hetzelfde trucje. Zes procent van de ontvangers van zogenaamde phishing-mails klikt ten minste op de link in het bericht, zo blijkt uit cijfers van VeriSign. Daarna zijn zij nog maar één stap verwijderd van het invullen van hun login en wachtwoord voor hun Paypal-rekening of online bank.

En er zijn minder domme voorbeelden. Twee weken geleden ontving ik een via AOL instant messenger een bericht van een zakelijke relatie die bij Google werkt. 'Hey check this out.' Het laatste woord is onderstreept en linkt naar een bestand minicop.exe. Ik verwacht een Cartman uit Southpark die op z'n driewieler rondjes fiets of een ander geinig filmpje.

Noem me paranoïde, maar ik haalde het bestand eerst door een virus scanner. Niets aan te zien, zegt Symantec. Maar ik krijg zelden IM's van deze persoon, en zeker nooit geinige filmpjes. Bovendien logde ze na het verzenden van het bericht meteen af. Als het bestand zo hilarisch is, had ze daar toch wel over willen babbelen? Er klopt iets niet en ik kieperde het bestand ongeopend in de prullenmand.

Een dikke week later gaan bij de virusscanner opeens alle alarmbellen af. Hij heeft een virus gevonden in de prullenmand. Minicop wordt resoluut vernietigd. Ik haal opgelucht adem, maar weet zeker dat ten minste zes procent van de ontvangers van een soortgelijk bericht er wel voor zouden vallen. Het zou me ook niets verbazen als het zestig procent zou zijn.

Moeten we nu weer met het vingertje gaan wijzen? Natuurlijk moet AOL het lek dichten, maar software zal altijd beveiligingsgaten bevatten. Het fundamentele probleem van de onveiligheid op internet draait om vertrouwen.

Waarom vertrouwde ik in eerste instantie het bestand? Omdat ik de afzender vertrouwde – totdat ik twijfels kreeg over haar authenticiteit. Datzelfde vertrouwen zegt dat het acceptabel is om een snoepje aan te nemen van een kennis maar niet van een onbekende, maar hier was het juist lastig om het onderscheid te maken tussen de kennis en onbekende.

De Passport waar Microsoft vier jaar geleden de lottrompet over stak, ging ervan uit dat consumenten en webwinkels de softwaregigant vertrouwden om privacygevoelige informatie op te slaan. Microsoft zou als een tussenpersoon tussen de klant en de winkel gaan staan. De klant geeft hem opdracht om een betaling te doen. De winkel vertrouwt dat Microsoft de correcte gegevens doorgeeft en accepteert de betaling.

Maar Microsoft kwam er al snel achter dat de onderneming het vereiste vertrouwen niet had. Passport wordt vandaag alleen nog gebruikt om in te loggen op Microsoft diensten zoals Hotmail – daarvoor geniet de softwareleverancier wel vertrouwen.

Toch is het idee achter Passport zo gek nog niet, en bovendien verre van dood. Winkels en individuen op internet zoeken niet naar informatie maar naar vertrouwen, naar betrouwbare claims. In de bar krijg je een stempeltje om te laten zien dat je voor de toegang betaald hebt, of (in Amerika) om te bewijzen dat je oud genoeg bent en alcohol mag drinken. Het gaat de barman niet om je geboortedatum, hij zoekt een claim die bewijst dat je oud genoeg bent – niet hoe oud je bent.

Zowel een stempeltje als een rijbewijs kunnen die claim verschaffen. Maar voor een dief is het stempeltje vrijwel waardeloos en het café kan elke dag een andere stempel gebruiken, terwijl een rijbewijs nieuwe deuren opent. De portier vervult in dit proces een fundamentele rol: hij vertaalt de claim van de bezoeker dat hij op 17 maart 1984 is geboren in een claim dat hij oud genoeg is om te drinken. Bovendien verschaft hij met een uniek stempeltje een betrouwbaar controlemiddel dat voor de klant ondoorzichtig is maar voor de barman betrouwbaarheid garandeert.

Het voorbeeld van de bar werkt slechts in een richting: de barman vertrouwt hem maar de bezoeker niet. Het is echter slechts een kleine stap naar een portier die beide partijen vertrouwen of twee portiers die aan elkaar informatie doorspelen. Op internet krijgen we straks precies hetzelfde. Tussen onze computer en de online bank of webwinkel komt een vertrouwenspersoon te zitten die we beiden vertrouwen en die slechts claims doorspeelt, geen informatie.

Als consument kiezen we zelf aan wie we onze informatie toevertrouwen: aan Microsoft, de Liberty Alliance of misschien wel aan de bank (volgens onderzoek vertrouwen veel consumenten banken om deze rol te vervullen).

Die vertrouwenspersoon is niet alleen een doorgeefluik, we kunnen hem bovendien allerlei ingewikkelde controles laten uitvoeren waarvoor de gemiddelde consument gillend wegholt. Gebruikt de bank zijn gebruikelijke url? Draait de site opeens Windows in plaats van Linux en zit hij wel op zijn gebruikelijke ip-adres? Waarom komt die e-mail of IM van een vriend uit Groningen opeens uit Litouwen?

Je moet tamelijk naief zijn om voor het praatje van de zwerver uit het begin van deze column te vallen. En als het allemaal goed loopt, zal een authenticatiesysteem dat uitgaat van claims een hoop phishing-leed voorkomen. En had wellicht zelfs kunnen worden voorkomen dat een virus dat AIM-account van die kennis bij Google besmette en zich op die manier verder verspreidde.

Meer weten? Lees hier verder over hoe de online identiteitswereld de toekomst ziet.