Gartner: kwetsbaarheid Passport is fundamenteel

De zwakke plek in Passport zat in het feit dat het inloggen bij Hotmail een vijftien minuten durende autorisatie oplevert voor alle Passport-onderdelen. Een programmeur had Microsoft gedemonstreerd hoe hij via een Hotmail-bericht iemands financiële gegevens - inclusief credit-cardnummer - kon stelen door in het bericht code te verwerken die alle cookies van die persoon terugstuurt. Daarmee bleken gegevens eenvoudig van Microsofts Passport-servers te halen, waaronder de gegevens in het onderdeel Wallet. Microsofts oplossing verkleint de genoemde vijftien minuten tot een halve minuut, maar pakt volgens Gartner de kern van het probleem niet aan. Die is namelijk dat een pure software-oplossing voor dit soort beveiligingsbehoeften nooit sluitend is. Het verplaatsen van de Passport-mechanismen van de browser naar het besturingssysteem (in de vorm van de Kerberos-PKI-technologie in Windows) biedt volgens de analisten wellicht soelaas, maar dat duurt nog zeker tot 2003. Beter nog zou een authenticatiesysteem op basis van smartcards zijn. Dat zal volgens Gartner echter nog langer op zich laten wachten. (fbl) Zie ook onze eerdere berichtgeving:Microsoft Passport uit lucht door lek - 5 november 2001