Gartner: bedrijfsleven moet Passport niet meer vertrouwen

Het gerenomeerde onderzoeksbedrijf Gartner raadt de financiele sector en de rest van het bedrijfsleven af nog langer gebruik te maken van Microsofts .NET Passport. Twee betrokken analisten van Gartner, John Pescatore en Avivah Litan, waren zeer kritisch over de Passport-dienst van Microsoft. Ze zeiden te verwachten dat het niet zou blijven bij deze ene beveiligingsfout: het probleem van elk programma met ernstige beveiligingsproblemen. Pescatore en Litan zijn van mening dat een 'full open-source review' de negatieve impact voor Microsoft en de e-commerce markt kan beperken.

Gartner raadt gebruik en adoptie van de Passport technologie af tot minimaal november van dit jaar óf tot Microsoft kan bewijzen dat Passport veilig is. Dat bewijs zou men in Redmond kunnen leveren door Passport te onderwerpen aan een grootschalige security review, waarbij ook externe partijen betrokken moeten worden. De waarschuwing van Gartner komt voor Microsoft op een vervelend moment, gezien de boetes die boven het hoofd van de softwarereus hangen op grond van een onderzoek van de FTC. De FTC liet weten Microsoft scherp in de gaten te houden en waar noodzakelijk boetes uit te delen. Het onderzoek van de FTC is echter niet publiek.

Reacties (51)

Verwijderd 17 mei 2003 16:12

Als ik het dus goed begrijp:
Paspoort functie is niet veilig zat voor het bedrijfsleven. Waarom dan wel voor de gewone consument?

Ik vind dat dit ook wil zeggen dat het niet aan te raden is voor 'gewone' gebruikers. Ook zij kunnen er privacygevoelige informatie in hebben staan die bij ondeskundig of onveilig gebruik en opslag (door Microsoft) deze personen ernstig (financieel) kunnen schaden.

En zeer waarschijnlijk hebben de gewone cnsumenten heel wat minder middelen om hun scahde bij Microsoft te achterhalen.

Oftewel ik zou willen stellen: Microsoft .Net Paspoort is (nog) niet te vertrouwen. Voor bedrijfsleven en consument niet.

ACM Software Architect @Verwijderd • 17 mei 2003 16:55

Voor het bedrijfsleven zou Passport o.a. voor betalingen gebruikt moeten kunnen worden meen ik. Zodra bedrijven dat niet meer via Passport doen wordt het voor consumenten automatisch ook veiliger.

kodak @Verwijderd • 18 mei 2003 03:53

Gezien Gartner alleen een uitspraak doet voor het bedrijfsleven en geen mening geeft of het veilig is voor de consument kan uit het betoog van ze niet worden afgeleid dat ze gebruik van Passport wel of niet adviseren aan de consument.
Maar inderdaad: als het bedrijfsleven al wordt geadviseerd er bij weg te blijven zou ik als consument hier ook mijn conclussies uit willen trekken die voor mij het veiligst zijn.

PeterB 17 mei 2003 16:20

De Passport dienst is bedoeld als een authenticatie service waar andere bedrijven in kunnen deelnemen. Passport dient dan als een 'single signon' mechanisme. Denk hierbij aan webwinkels etcetera. Overigens moeten hier de inkomsten vandaan komen.

Gartner mikt met zijn waarschuwing waarschijnlijk voornamelijk op die potentiele deelnemers.

memphis @PeterB • 17 mei 2003 17:24

Ja, en iedereen is anoniem op het internet.....

De nut van het Pasport heb ik nooit begrepen, ik kan tot nu toe zonder en zal dat voorlopig ook wel kunnen. Maar zoals jij dat zegt moet ik je helaas teleurstellen. De functionaliteit van het Pasport wordt steeds groter. Er zijn sites de je pas mag zien als je je bij het Pasport hebt aangemeld. Ook een gratis Hotmail moet al een pasport account kennen.

Nog effe en je moet ook een pasport hebben voor het bezoeken van de Microsoft site of als ze hun zin krijgen een pasport als je het internet op wilt.

Dat er aan de andere kant een algemeen systeem nodig is om online veilig te kunnen betalen kan ik het wel mee eens zijn maar dagelijks worden er bewijzen geleverd dat het internet toch niet zo veilig is als het eruit mag zien. Dit heeft natuurlijk mede te danken aan de onkennis van div. banken en andere instellingen op het gebied van beveiligingen.

comecme @memphis • 17 mei 2003 18:30

Zowel voor Hotmail als voor MSN Messenger is bij mijn weten een Passport account noodzakelijk. Ik denk dan ook dat het grootste gedeelte van de Passport-accounts er alleen maar t.b.v. Hotmail.

Thanatos 17 mei 2003 15:50

Of zij even voor mij bepalen wat ik niet zou moeten gebruiken.

Zij bepalen niks, ze geven alleen maar meningen en adviezen, aan jou de keuze wat je ermee gaat doen.

C7RL @Thanatos • 17 mei 2003 15:59

Dat is nou juist het probleem, Managers van grote bedrijven zien het "advies" van Gartner als de waarheid en niets anders dan de waarheid. Als een blinde koe lopen ze achter gartner aan. Of dit nu juist is of niet (want men doet zelf geen onderzoek) doet er niet toe. Als gartner zegt:"spring in die sloot!" dan springt men in die sloot. Tuurlijk zeg dit meer over je manager dan over gartner maar als iedere manager dit doet........

Verwijderd @C7RL • 17 mei 2003 17:26

Dat is nou juist het probleem, Managers van grote bedrijven zien het "advies" van Gartner als de waarheid en niets anders dan de waarheid. Als een blinde koe lopen ze achter gartner aan. Of dit nu juist is of niet (want men doet zelf geen onderzoek) doet er niet toe

Leuke anekdote over die koe, maar vergeet je nu niet te vertellen waarom managers van ieder en lek bedrijf als een blinde koe achter Gartner aanlopen?

Omdat Gartner die positie verdiend en bewezen heeft!

Gartner is al jarenlang een adviesbureau wat met voorspellingen komt die puur op feiten gebaseerd zijn, en waarmee bedrijven vaak goed uit de voeten kunnen. Als Gartner iets zegt, dan was het in het verleden altijd zo dat dat een gegronde statement met onderbouwing was. En dat is hier nu weer zo. M.a.w., natuurlijk loopt men achter Gartner aan, Gartner heeft namelijk simpelweg vaak gelijk. Gartner heeft zich al lang bewezen en heeft die positie verdiend.

arjankoole @Verwijderd • 17 mei 2003 18:11

Omdat Gartner die positie verdiend en bewezen heeft!

vroeger: ja, maar de onafhankelijkheid van Gartner heeft schafde opgelopen omdat onderzoeken betaald bleken te zijn. (voornamelijk een rel toen Linux werd afgekraakt ten gunste van Windows).

Ik denk echter wel dat dit een duidelijk voorbeeld is dat Gartner weer z'n oude status wil terug krijgen en bewijzen dat het niet van Microsoft is en naar de pijpen van Microsoft danst. Desalnietemin zet ook nog steeds de nodige kanttekens bij een aantal (ook recente) onderzoeken.

Verwijderd @Verwijderd • 18 mei 2003 09:25

Volgens mij, tijd voor een rapport over Gartner. Ze bestaan al een tijdje dus laten we 's kijken welke van hun voorspellingen/trends bewaarheid zijn geworden.

AlterEgo @Verwijderd • 17 mei 2003 19:26

Als iedereen achter Gartner aanloopt, dan heeft Gartner DUS gelijk met de voorspellingen:

Self-fullfilling prophecy.

Dat heeft niets met waarheid of objectiviteit te maken. Dat is een natuurwet

EfBe 17 mei 2003 17:55

Ach ja, Gartner. Ze doen een bewering, nl. dat het niet bij deze ene security flaw zal blijven. Lijkt me vrij uit de lucht gegrepen, zonder diepgaande kennis van de service zelf.

Het Open Source review concept is in theorie aardig, maar sinds wanneer is dat BETER dan een review van bv een 100-tal doorgewinterde software-engineers en onderzoekers op de MS campus? Een 17 jarig scriptkiddie uit Noorwegen kan dat beter?

Ik heb mn twijfels.

Gerco

@EfBe • 17 mei 2003 18:06

Nee, maar dat 17 jarige scriptkiddie is niet in dienst van Microsoft en zal dus ook niet door zijn baas opgedragen krijgen om die ene flaw die hij net gevonden heeft te verzwijgen op straffe van ontslag. Ik weet hoe het gaat bij veel (grote) softwarebedrijven en daar geld vaak het motto 'als de klant het niet weet, deert het niet', ook als het gaat om security fouten.

Dit even los van het feit dat de meeste OSS programmeurs helemaal geen 17 jarige scriptkiddies zijn, maar veelal professionele programmeurs voor respectabele bedrijven die in hun vrije tijd wat bijklussen.

Florimon @EfBe • 17 mei 2003 18:58

Het Open Source review concept is in theorie aardig, maar sinds wanneer is dat BETER dan een review van bv een 100-tal doorgewinterde software-engineers en onderzoekers op de MS campus? Een 17 jarig scriptkiddie uit Noorwegen kan dat beter?

Dat doet me denken aan een nieuwsitem laatst, waarin een juwelier zijn pand rondom had beveiligd met verstevigd hang- en sluit-werk, alarm-installaties e.d., kosten noch moeite gespaard. De tent werd leeggeroofd door dieven die gewoon een gat in het dak zaagden. "Oeps, daar hadden we niet aan gedacht" moest de eigenaar bekennen.

2 ogen zien altijd meer dan 1, en 1000000 paar ogen zien meer dan 100. En juist bij "doorgewinterde software-engineers en onderzoekers" zou wel eens het gevaar op de loer kunnen liggen dat zij zo doorgewinterd zijn, dat ze geeneens oog meer hebben voor de meest voor de hand liggende 'loopholes'.

En ook al zal het Open Source Review concept uiteindelijk misschien niet BETER blijken te zijn, het is in elk geval niet SLECHTER. Wanneer de sterkte van een beveiligingssysteem afhangt van het aantal mensen dat de algoritmen te zien krijgt, is het sowieso een slecht beveiligingssysteem. 'Security through obscurity' werkt gewoon niet - dat heeft het kraken van het DVD CSS systeem door een 17-jarig Noors Linux hackertje maar weer eens bewezen.

burne @Florimon • 17 mei 2003 19:35

En juist bij "doorgewinterde software-engineers en onderzoekers" zou wel eens het gevaar op de loer kunnen liggen dat zij zo doorgewinterd zijn, dat ze geeneens oog meer hebben voor de meest voor de hand liggende 'loopholes'.

Goed punt.

Het gaat echter alleen op wanneer iemand niet de gewoonte heeft om veilig te programmeren. Omgekeerd, iemand die gewend is om juist wel veilig te programmeren zal uit gewoonte dingen veilig opzetten.

De basis van Gartner's advies is de observatie dat Passport blijkbaar door een team wat niet getrained is om veilige code te schrijven. Ergens in het proces van het resetten van je password word een parameter van een pagina aan een script doorgegeven. Hoe men op het idee gekomen is om dat op die manier, zonder enige vorm van encryptie, beveiliging, controle of beperking, toe te laten is onbegrijpelijk. Het is geen foutje, het is geen vergeten stap, het is een onvergevelijke blunder van het allerhoogste niveau. Het is het definitieve bewijs dat Passport aan dezelfde fouten leidt als andere producten van Microsoft. Het werkt aardig, maar de basis is slordig, en de mensen die het gemaakt hebben, hebben nooit fundamenteel nagedacht over hoe een veilig transactie-systeem in elkaar steekt.

Het feit dat Microsoft ondanks vele miljoenen en een maand lang alleen security-audits dit niet gevonden heeft toont aan dat die miljoenen en die maand vertraging geen meetbaar effect hebben gehad. Geldverspilling die alleen de dommen onder hun klanten een goed gevoel heeft gegeven.

En dat het door een buitenstaander gevonden is, toont aan dat er zeer waarschijnlijk nog meer vergelijkbaar domme fouten in Passport zitten, en dat die evengoed door buitenstaanders te vinden zijn.

freaky @EfBe • 19 mei 2003 14:46

Ik niet...

simpel voorbeeldje, kijk naar hoeveel miljarden er in kopieerbeveiliging gestoken word, door hoeveel professionals er aan gewerkt word, hoe goed ze beweren dat het werkt en hoe goed het na 2 weken nog werkt.... (niet dus)

intGod 17 mei 2003 23:05

One-pass security is nooit veilig. Als men 1 keer inbreekt ligt je hele wereld wij open.

Ik had laatst nog de discussie waarom we geen nt-authentication doorvoeren op het intranet, de urenregistratie en meer van dat. Een 'collega' vond het namelijk vervelend dat ze meer dan 1 keer een wachtwoord moest intypen.

Er zal altijd een compromis moeten gevonden worden tussen gebruikersgemak (lees: tegemoet komen aan de oneindige luiheid en, sorry, domheid der gebruiker) en het beveiligen van systemen.

Zolang mensen 1 en het zelfde wachtwoord gebruiken over het hele internet (het liefst de naam van hun vriendin of de nummerplaat van hun auto of hun geboortedatum. Ja, of 71nu>&lt

en zolang mensen hun wachtwoord zonder problemen meedelen aan vader, vriend, vriendin, broer, minnaar, collega of de eerste beste man met een pet met een blinkend logo op zullen de systeembeheerders bepaalde niveau's van veiligheid moeten opdringen.

Ergo: Wie in het verleden voor passport heeft gekozen heeft so wie so niet goed nagedacht (hallo marktplaats

)

Frank-L @intGod • 18 mei 2003 01:52

Als iedereen voor 20 verschillende sites of programma's passwoorden moet verzinnen is het ook niet veilig. Allemaal dezelfde is stom, en allemaal verschillend is niet te onthouden. En dan ook nog eens vragen om om de zoveel tijd je passwoord te wijzigen!

Single-sign-on is in principe het veiligst, zolang het centrale systeem maar goed in elkaar zit. Dan hoeft er maar 1 programma waterdicht te worden gemaakt in plaats van allemaal apart. Helaas zat in de Passport implementatie een ongelofelijk stomme fout.

Maar het principe vind ik prima. Je hoeft je creditcard nummer maar aan 1 site toe te vertrouwen i.p.v. aan een hele hoop. En je hoeft maar 1 wachtwoord te onthouden. Jammer van de brakke implementatie.

kodak @Frank-L • 18 mei 2003 04:03

Beveiliging en gebruiksgemak zijn twee verschillende dingen die bijna nooit verenigbaar zijn.
Je redenering "Als iedereen voor 20 verschillende sites of programma's passwoorden moet verzinnen is het ook niet veilig." heeft niets met veiligheid te maken maar met gebruiksgemak. Het is zeker wel veiliger waneer je er nog maar 11 weet en in de rest niet meer kan komen door je vergeetachtigheid. Handig is wat anders.
Het is ook nog nooit bewezen dat Single-sign-on het veiligst is. Het valt eerder te bewijzen dat het het onveiligst is aangezien een totaal veilig centraal systeem zeer zelden voorkomt en je dan bij kraak meteen overal in zit.

Verwijderd @kodak • 18 mei 2003 16:31

Je hebt gelijk dat verschillende passwords veiliger is, omdat als er 1tje achterhaald wordt, de rest nog steeds veilig is.

Maar als het gebruikersgemak omlaag gaat, gaat de veiligheid mee omlaag, want wat gebeurt er als iemand 20 passwords moet onthouden? Dan worden ze netjes opgeschreven en op de monitor geplakt. Als het 1 of 2 passwords zijn, worden ze (wellicht

) nog gewoon onthouden.

M.a.w. te weinig passwords is niet altijd veilig, maar te veel dus ook niet. En zo komen we altijd weer ergens in het midden uit.

PeterB 17 mei 2003 15:53

Feit is dat het beveiligingslek wat onlangs boven water kwam wel erg knullig was. Zie www.tweakers.net/nieuws/26874. Als dit representatief is voor de kwaliteit van de software achter passport hou ik mijn hart vast.

C7RL @PeterB • 17 mei 2003 16:14

Ik ben benieuwd of we deze exploit straks ook terug zien in de Matrix deel III

SS_Trunks 17 mei 2003 15:45

Volgens mij heeft Gartner z'n smeergeld niet gehad deze maand

Swerfer 17 mei 2003 15:49

Laat ze eerst met meer bewijzen komen dan die éne bekende beveiligings fout...

ACM Software Architect @Swerfer • 17 mei 2003 16:57

"Die ene" was toevallig wel een heel suffe bug en bij mijn weten zijn er in Passport wel eerder vergelijkbare bugs gevonden, vandaar ook de boete-regeling van de FTC...

Sowieso presenteert MS de Passport service als een all-in identificatie en authenticatie systeem. Zo'n systeem moet gegarandeerd veilig gemaakt worden en mag zeker geen knullige bugs bevatten waardoor een wachtwoord gereset kan worden door jan en alleman...

Verwijderd 17 mei 2003 20:01

Een plaatje zegt meer dan duizen woorden...
http://pub.datux.nl/zooi/linuxair.jpg

Verwijderd @Verwijderd • 17 mei 2003 20:09

Maar om je leven nou in de handen te leggen van een stel vrijwilligers...

Aaargh! @Verwijderd • 17 mei 2003 21:30

Maar om je leven nou in de handen te leggen van een stel vrijwilligers...

Juist dat maakt het veilig, omdat het voor de programmeeurs persoonlijk is.

Verwijderd @Verwijderd • 17 mei 2003 22:00

Je zegt het zelf al, die mensen doen het VRIJWILLIG, en mensen van bijvoorbeeld Microsoft hebben hele andere redenen om software te maken..

Bovendien kan "de wereld" zelf in de source kijken of alles wel ok is, terwijl het bij Microsoft puur een kwestie van vertrouwen is.

cavey @Verwijderd • 18 mei 2003 15:32

mooie sluik reclame

Zijn dat Boeings of Airbussen? Airbussen vertrouw ik niet zo namenlijk, ongeacht de software

[edit]
Dit is natuurlijk een zwaar offtopic post van me. magoe.

Verder, Garten is idd voor bedrijven, wat boeit een consument hun nou?

Ik snap de heisa niet zo, goed, ze adviseren de bedrijven om voorlopig geen Passport functionaliteit aan te nemen.. dit heeft gevolgen voor de web-winkels..... voor de consument verandert er niet echt veel: Web winkels zonder passport zijn er al... dus hoeven ze alleen maar de winkels met passport te vermijden... Is nog maar de vraag natuurlijk hoe veilig die andere winkels zijn, maar goed...

Die fout in passport was wel erg knullig en waarschijnlijk ook al veel langer bekend, want er zijn denk ik genoeg mensen die hun hotmail account opeens ontoegankelijk hadden zien worden terwijl ze de dag ervoor nog mee aan het mailen waren (en msn'n ...)

Verwijderd @garagaholic • 17 mei 2003 21:52

Microsoft maakt al langer anti-linux campagnes die
ongeveer van het zelfde nivo zijn:
http://pub.datux.nl/zooi/anti-linux.jpg

Verwijderd 17 mei 2003 15:40

Er worden de laatste dag aan zowel linux als windows klappen uitgedeeld. Gaat men eindelijk objectief worden dan. Lange tijd was er de "Linux is perfect en Microsoft is rommel" en "net omgekeerd is waar" groep. De laatste dagen is men ernstig met de kleine fouten bezig en niet meer zozeer met vooroordelen.

ANdrode

@Verwijderd • 17 mei 2003 18:46

De objectieve analisten zijn nu echt objectief.
Althans, in de meeste gevallen..
Dus niet die ene test van getunede 2K3 server tegen samba.

De reacties op dit soort berichten worden trouwens nog steeds een kleine flamewar

dus daar kunnen we nog wel wat aan veranderen

offtopic:
[quote]
de laatste dagen is mijn ernstig
[/quote] moet imho [quote]
de laatste dagen is men ernstig
[/quote] zijn.

Op dit item kan niet meer gereageerd worden.

Gartner: bedrijfsleven moet Passport niet meer vertrouwen

Lees meer

Reacties (51)

Sorteer op:

Weergave: