Opnieuw gat in beveiliging Passport gedicht

Voor de tweede keer in slechts enkele maanden tijd heeft Microsoft een beveiligingslek in zijn .NET Passport-service moeten dichten, zo meldt InternetNews. Het betreft een lek waarmee vier jaar oude hotmailaccounts gekraakt konden worden. De aanvallers gebruikten hiervoor de zogenaamde "Secret Question" en waren in staat om de paswoorden van de Passport-accounts te veranderen. Microsoft zegt dat er echter geen accounts gemanipuleerd zijn door slechtwillenden.

Het bekend worden van dit lek komt voor de ontwikkelaar op een niet zo handig tijdstip. Na een eerder ontdekt lek in het Passport raadde onderzoeksbureau Gartner aan om de service niet meer te gebruiken tot Microsoft kan aantonen dat hun technologie geen lekken meer bevat. Voor Gartner kwam dit lek dan ook niet als een verrassing, zo zegt hij. Microsoft beweert echter stellig dat hun service degelijk getest is en zegt dat het snel oplossen van problemen juist vertrouwen zou moeten opwekken bij de consument.

Ondertussen werken een aantal gerenommeerde Amerikaanse bedrijven samen aan een alternatief voor Microsofts paspoort, zo meldt ZDNet. De Liberty Alliance, waarin onder andere Sun Microsystems, MasterCard en Nokia zijn ondergebracht, werkt aan een soortgelijk aanmeldingssysteem. De standaardiseringsorganisatie OASIS werkt aan SAML, een standaard voor e-business communicatie die gebaseerd is op XML. Zowel de software van de Liberty Alliance als die van Microsoft zullen SAML gaan ondersteunen. Hierdoor hebben consumenten de vrijheid van kiezen voor een systeem, en toch het gemak van overal inloggen met maar een wachtwoord:

Microsoft Passport logo Maar vorig jaar verklaarde Microsoft dat het ook SAML zal ondersteunen. Liberty Alliance had dat al eerder beloofd. Niets belet dus nog dat SAML gebruikt zou worden tussen een Passport-server en eentje die gebaseerd is op Liberty. SAML wordt dan de brug tussen Liberty en Passport: wie inlogt op een Passport-site, zou meteen ook de Liberty-websites kunnen gebruiken. Het gevolg daarvan is dat de strijd tussen Passport en Liberty eigenlijk bijzaak wordt: SAML is dan de échte standaard geworden.

Door Tamara van Hal

Nieuwsposter

Feedback • 03-07-2003 09:03 36

03-07-2003 • 09:03

36

Bron: InternetNews

Lees meer

'Wachtwoordexplosie' baart VN-telecomorgaan zorgen
'Wachtwoordexplosie' baart VN-telecomorgaan zorgen Nieuws van 4 december 2006
Cross-site scripting brengt Hotmail-gebruikers in gevaar
Cross-site scripting brengt Hotmail-gebruikers in gevaar Nieuws van 7 juni 2005
eBay laat .NET Passport varen; Microsoft volgt
eBay laat .NET Passport varen; Microsoft volgt Nieuws van 30 december 2004
Microsoft stelt Passport-plannen rigoureus bij
Microsoft stelt Passport-plannen rigoureus bij Nieuws van 21 oktober 2004
Vernieuwde Hotmail maandag online gegaan
Vernieuwde Hotmail maandag online gegaan Nieuws van 3 december 2003
EU-ministers eens over biometrische kenmerken visa
EU-ministers eens over biometrische kenmerken visa Nieuws van 30 november 2003
Neowin werpt blik op nieuwe lay-out van Hotmail
Neowin werpt blik op nieuwe lay-out van Hotmail Nieuws van 20 november 2003
Ballmer : 'Beveiliging is topprioriteit van Microsoft'
Ballmer : 'Beveiliging is topprioriteit van Microsoft' Nieuws van 17 november 2003
Microsoft vergeet domeinnaam hotmail.co.uk te verlengen
Microsoft vergeet domeinnaam hotmail.co.uk te verlengen Nieuws van 9 november 2003
Rapport: 'personaliseren website verspilde moeite'
Rapport: 'personaliseren website verspilde moeite' Nieuws van 15 oktober 2003
Microsoft slaat nieuwe koers in op beveilingsgebied
Microsoft slaat nieuwe koers in op beveilingsgebied Nieuws van 2 oktober 2003
Dell scherpt beveiliging Windows aan voor levering
Dell scherpt beveiliging Windows aan voor levering Nieuws van 9 juli 2003
Gartner: bedrijfsleven moet Passport niet meer vertrouwen
Gartner: bedrijfsleven moet Passport niet meer vertrouwen Nieuws van 17 mei 2003
Mogelijke boete van twee biljoen dollar voor Microsoft
Mogelijke boete van twee biljoen dollar voor Microsoft Nieuws van 9 mei 2003
Ernstige fout in Microsoft Passport-service ontdekt
Ernstige fout in Microsoft Passport-service ontdekt Nieuws van 8 mei 2003
Microsoft past Passport-dienst aan voor web services
Microsoft past Passport-dienst aan voor web services Nieuws van 3 mei 2003
RSA maakt een alternatief voor Microsoft Passport
RSA maakt een alternatief voor Microsoft Passport Nieuws van 17 april 2003
Microsoft gaat akkoord met Passport-aanpassingen
Microsoft gaat akkoord met Passport-aanpassingen Nieuws van 31 januari 2003
Passport sourcecode vanaf november deels open
Passport sourcecode vanaf november deels open Nieuws van 12 oktober 2002
Microsoft verbetert beveiliging Passport
Microsoft verbetert beveiliging Passport Nieuws van 4 september 2002
Afsplitsing e-wallet van Passport in 2003
Afsplitsing e-wallet van Passport in 2003 Nieuws van 4 september 2002
Microsoft treft schikking met FTC over Passport
Microsoft treft schikking met FTC over Passport Nieuws van 10 augustus 2002
Passport wellicht ook voor creditcardbetalingen
Passport wellicht ook voor creditcardbetalingen Nieuws van 9 juli 2002
Amerika overweegt Passport landelijk in te voeren
Amerika overweegt Passport landelijk in te voeren Nieuws van 23 april 2002
Microsoft: "Passport kan de privacy zelfs vergroten"
Microsoft: "Passport kan de privacy zelfs vergroten" Nieuws van 21 april 2002
Meer producten en artikelen
Bedrijfsnieuws

Reacties (36)

-Moderatie-faq
36
31
22
12
0
0
Wijzig sortering
pietje63 3 juli 2003 10:04
Na een eerder ontdekt lek in het Passport raadde onderzoeksbureau Gartner aan om de service niet meer te gebruiken tot Microsoft kan aantonen dat hun technologie geen lekken meer bevat.
Dan zou je das nooit meer de Passport service kunnen gebruiken... Sorry hoor maar 'vrijwel' geen een systeem is 100% waterdacht. En hoe uitgebreider het systeem hoe groter de kans is dat er een foutje in zit.

Als hij deze uitspraak ook zou doen voor een OS dan zou opeens niemand meer zijn pc kunnen gebruiken, want elk OS bevat veel lekken.

Ik denk dat het dichten van een lek voordat er eerst veel problemen mee zijn geweest juist een positief punt.

* 786562 tommy84
Verwijderd @pietje633 juli 2003 11:30
Dan zou je das nooit meer de Passport service kunnen gebruiken... Sorry hoor maar 'vrijwel' geen een systeem is 100% waterdacht. En hoe uitgebreider het systeem hoe groter de kans is dat er een foutje in zit.
Met andere woorden, jij vindt het dom dat iemand zegt dat iets 100% veilig is? Dat is namelijk precies wat MS over passport beweerde, het was hun enige manier om te rechtvaardigen dat zoveel vertrouwelijke gegevens zomaar oproepbaar zouden zijn. Dat is de reden dat MS zo zwaar bekritiseerd wordt op elk lek dat TOCH gevonden wordt.

Conclusie is dat internet niet klaar is voor een dergelijk privacy gevoelig systeem, lekken van de ergste vorm zijn al gevonden en systemen veranderen steeds. Dat de claims van MS op dit passport-gebied niet kloppen is dus al gebleken, dus als ze straks weer beweren dat het nu echt 100% safe is heeft dan geen waarde meer.

Het gaat dus niet om een systeem dat NU 100% safe is. Maar een systeem dat ook bij wijzigingen 100% safe te houden is door perfecte programmeer en test trajecten. En die -zoals jij al zegt- bestaan niet.
Mac_Cain13 @pietje634 juli 2003 16:26
Natuurlijk bevat ieder systeem lekken, maar dat wil niet zeggen dat ze er zo snel mogelijk uit moeten en dat er geen enkel excuses is om een lek niet of erg laat te dichten!
Met grote systemen (zoals OSen en Passport) moet je de boel dus zoveel mogelijk in delen opbouwen en debuggen zo haal je makkelijk en snel lekken eruit. MS heeft nog wel eens de neiging alles op elkaar en door elkaar te gooien en zo word de boel nogal instabiel en krijg je onnodig veel lekken.
CAP-Team 3 juli 2003 09:11
Ik denk dat Microsoft pas écht een probleem heeft als er bijv. creditcard gegevens uitlekken door een fout in het passport systeem.

Het is op zich natuurlijk heel handig het systeem. Je logt één keer in en men heeft alle gegevens van je beschikbaar (bijv. als je iets wilt kopen).

Nadeel is dat zodra je wachtwoord bekend is een ander daar ook makkelijk misbruik van kan maken.

Security is dus iets wat men zeer goed voor elkaar moet maken, dit soort berichten zijn geen goede reclame voor Passport.
Verwijderd @CAP-Team3 juli 2003 09:30
Als je ergens echt 100% zeker van wilt zijn, maak je gebruik wat de CreditCard gegevens of -niet- of op een andere (onbereikbare) server opslaat.

Ik zou nooit dergelijke gevoelige gegevens op internet intoetsen bij het aanmaken van een account. Ik vind het niet erg om elke keer opnieuw me card op te snorren en dat nummer in te tikken. Ik zou het wel erg vinden als die gegevens ongewenst langer dan absoluut noodzakelijk opgeslagen zouden worden.

Maar goed, Ik denk dat Microsoft zijn lesje aardig aan het leren is. Zodra een foutje wordt ontdekt, is het vrij snel opgelost. Ik snap alleen zelf nog niet helemaal waarom zo'n dergelijk groot bedrijf geen mensen aanneemt om dergelijke fouten continu op te sporen... Ik bedoel, de procedure heeft bijne een week op diverse IRC kanalen, Websites en nieuwsgroepen gestaan. Het had dus niet zo lang hoeven duren, als Microsoft maar wat actiefer zocht, en zich niet als een onkwetsbare king of the hill gedraagt (er kan toch niets gebeuren, ons systeem is veilig).

ps. indien ze wel van dergelijke mannetjes hebben rondlopen, hebben die gasten duidelijk geen idee waar ze het beste kunnen zoeken IMO :)
Verwijderd 3 juli 2003 09:07
In ieder geval kunnen ze het "lek" dichten, dat is op zich een goeie zaak. Zolang je nog oplossingen hebt gaat t goed. Van fouten moet je leren, dus al deze nieuwe veranderingen komen het alleen maar ten goede. K zie hier t probleem niet van in hoor :)
bartvb @Verwijderd3 juli 2003 12:58
Geen probleem?
Mwoh. Ook dit is weer een super triviaal probleem. Je hebt geen echt technisch geavanceerde spullen of kennis nodig om van dit gat gebruik te maken.

Verder een beetje wazig dat MS zegt dat ze problemen snel oplossen.. 4 jaar vind ik nogal een tijd ;) Verder is dit gat al maaaaanden bekend en wordt het nu pas opgelost.

Ik beheer een redelijk grote site met iets van 8000 accounts (waarvan 70% hotmail ofzo) en zo ongeveer dagelijks komt er weer iemand in de problemen omdat zijn/haar account door iemand gehacked is. Soms door domweg raden van het wachtwoord of geheime vraag maar regelmatig ook door dit soort acties. Ik weet iig wel dat ik verre van Hotmail en Passport blijf ;)
jesternl @bartvb3 juli 2003 14:30
LEg me dan eens uit waarom het de schuld van Microsoft is dat gebruikers een wachtwoord kiezen wat mmakkelijk te raden is?
Verder is het lek niet vier jaar oud, het lek wekt op accounts die ouder dan vier jaar zijn.
hellbringer @jesternl3 juli 2003 22:27
Daarom gebruik ik mijn hotmail account ook waar het voor bedoelt is: spam
Speciaal een account om spam te ontvangen :?
Ik wil mijn spam wel doorstuuren als je het zo interessant vind om spam te lezen? :+ :+
Mon @jesternl3 juli 2003 15:53
Ik denk dat ze van dat hele "secret question" systeem afmoeten. Ik zag bij mij op school ook gewoon meerdere malen per week wachtwoorden geraden wordenl "Hoe heet mijn moeder/paard" bijvoorbeeld. Elke vriend of vriendin kan zulke woorden raden.
Ik weet niet of het er al is maar als je wachtwoord bijvoorbeeld je naam achterstevoren is moet ook gecheckt worden.
Ook kunnen ze met grote letters een link maken naar een Random password generator en die aanbevelen.
De huidge wachtwoorden van een "normaal" mens zijn vaak gemakkelijk te raden...
(Daarom gebruik ik mijn hotmail account ook waar het voor bedoelt is: spam :) belangrijkere dingen heb ik wel iets anders voor)
it0 @Verwijderd3 juli 2003 09:13
Dan heeft microsoft (laat ik vooral de volledige naame gebruiken anders ben ik aan het flamen) veel geleerd!(oeps toch geflamed).

De toegevoegde waarde van passport is wel dat het geïntegreerd is met hotmail/ebay/msn/etc ..
Verwijderd 3 juli 2003 10:07
Wat ik ik zo arrogant van ms vind is dat wanneer een bug publiek wordt. Ze het wel en 1 keer kunnen fixen! Want toevallig weet ik dat een bezoeker van webwereld het gat al wist begin mei! En ms ook op de hoogte heeft gesteld.
En dat gebeurt met de meeste security holes in MS software. Het moest eerst wereldwijde aandacht krijgen willen ze het fixen :(
pietje63 @Verwijderd3 juli 2003 10:36
Volgens mij is het dit keer andersom gegaag. Microsoft heeft het gat gedicht en daarna werd het publiek.

edit:

oops, toch niet
[quote]
after details were posted to a public mailing list.
[/quote]
Verwijderd 3 juli 2003 09:49
Jammer dat die twee gaten in de beveiliging erin zaten, maar ze zijn er nu weer uit, dus weer een stukje secureder. Als er 1 is die geplaagt wordt door hackers dan zal het hotmail/MS/windows zijn. eigenlijk is dat hartstikke gunstig, want dat betekent dat hun systemen steeds secureder worden. :P

lees ik nou goed dat eerst MS met een aanmeldingssysteem kwam en pas daarna Sun+nokia+xxx? Is ome Bill aan het innoveren geslagen en aapt de rest hem nu na? :+

[edit]typ-O
Largo @Verwijderd3 juli 2003 09:56
Sorry maar die redenatie gaat niet op. Als je een lek dicht betekend dat niet dat de toepassing goed gesecured is.
Het betekent namelijk dat de gebruikers jarenlang een al dan niet onaanvaardbaar risico op inbraak hebben gelopen.
garagaholic @Largo3 juli 2003 12:10
Ik kan me voorstellen dat de Nederlandse taal niet echt makkelijk is voor sommige mensen, maar om nu woorden als secureder en gesecured te gebruiken. Jongens toch.

Wanneer men veel gaten ontdekt en die ook dicht, wordt het systeem langzamerhand veiliger. Het feit dat het daarvoor niet zo veilig was, doet daar niks aan af.
Verwijderd 3 juli 2003 10:49
Jullie gaan er allemaal wel lichtjes over, ik snap echt die mentaliteit niet. Al jaren krijgen we minstens één keer per maand wel een waarschuwing over een lek, een virus, ... En elke keer reageert men van "en nu is het eindelijk veilig" En dit bedrijf zou ons dan palladium willen verkopen? Mij niet gezien hoor, ik wil niks meer van Microsoft.
Verwijderd @Verwijderd3 juli 2003 11:15
das het voordeel van een monopolie jehoeft helemaal geen goede zaken te verkopen

btw niemand betaald voor hotmail dus ik zie niet in waarom iedereen zou moeten klagen....
Beaves @Verwijderd3 juli 2003 11:28
btw niemand betaald voor hotmail dus ik zie niet in waarom iedereen zou moeten klagen....
Niemand betaald? Er zijn sinds kort betaalde diensten bijgekomen, zoals extra opslag cappaciteit en het kunnen lezen van POP3 accounts. Die diensten waren of gratis (POP accounts uitlezen), of de limiet was hoger (nu is het 2MB bij de gratis uitvoering).

Ik kan me niet voorstellen dat er veel mensen zijn die die diensten ook daadwerkelijk geld waard vinden, maar er zullen er vast wel een paar zijn. Die mensen hebben dus wel betaald en hebben recht op een goed werkend product. Die mogen dus best klagen, dat doe jij toch ook als je betaalde POP3 mail niet goed werkt of niet veilig is?
pinockio 3 juli 2003 10:01
Hahhaha wat lomp! Ik probeer nu mijn geheime vraag te wijzigen, hotmail vraagt (nogmaals) om mijn wachtwoord, ik vul het in, plus een nieuwe vraag en antwoord, en ik krijg:

"Sorry, je geheime vraag mag niet je wachtwoord bevatten en mag niet leeg zijn. Typ een andere geheime vraag."

(edit: blijkt dat de vraag minimaal een aantal karakters moet bevatten...)
Verwijderd 3 juli 2003 11:37
geen enkel systeem is 100%veilig, hackers vionden altijd wel een gaatje of een achterpoortje of een manier om een service uit te buiten. is dit de schuld van microsoft? zij proberen functionele software te maken waar de gebruiker iets mee kan. als die software gekraakt wordt is het niet de schuld van microsoft omdat niet alle gaatjes dicht zouden zijn, het is volledig de schuld van de hacker die er plezier in schept mensen schade te berokkenen. je gaat toch ook niet je architect aanklagen als er bij je thuis wordt ingebroken?
Verwijderd @Verwijderd3 juli 2003 12:56
geen enkel systeem is 100%veilig,
En daarom is het goed dat microsoft er een potje van maakt met de beveiliging?

Vreemde redenering.
bbr 3 juli 2003 13:25
Dar snap ik nou nooit eh.. haal die secret Question er dan ook gewoon uit. dat is zo lek als het maar kan, dat weet iedereen.

ik vul altijd 3425klj3h45jk135g23j5k ofzo in,, ik ga echt geen dictionary based woord daar intikke..
dr.gaatje 3 juli 2003 21:58
Het probleem met Passport is niet primair dat er af en toe gaten moeten worden gedicht. Bij elke technologie moet dat immers af en toe gebeuren. Dat dit bij Passport zoveel ophef oplevert is begrijpelijk: Het bedrijf heeft immers geen positieve 'track record' op dit gebied, ondanks hun recente focus op security.
De reden dat juist beveiligingsproblemen met Passport zo kritiek zijn is omdat bij Passport er slechts 1 bedrijf is (Microsoft) dat alle gebruikersinformatie in beheer heeft. Dus als er persoonsgegevens worden gekraakt, dan ligt meteen je hele netwerk identiteit op straat, inclusief credit card informatie. Dit staat nog los van de vraag of je uberhaupt wel je creditcardnummer door MS wil laten beheren ipv bv een bank.
Ik begrijp niet waarom MS, om dit soort problemen tegen te gaan, geen modulaire beveiliging toepast. Voor simpel hotmail volstaat een userid en password, maar stel dat je betalingen wil doen via Passport, waarom dan niet een extra beveiliging toepassen in de vorm van bijvoorbeeld een challenge-response systeem, met tokens, zoals de meeste banken gebruiken voor online transacties? Daarmee kun je voorkomen dat bij een eventueel gat, echte belangrijke privee informatie niet direct toegankelijk is. Banken passen deze technologie niet voor niets toe.
Los van dit alles zie ik toch meer toekomst in een federatief systeem, zoals de Liberty Alliance het voorstaat. Hiermee blijven gegevens als creditcard nummers, bankrekeningen, digitale handtekeningen, certificates, email adressen etc. in beheer van de gebruiker zelf, terwijl de data over verschillende 'identity provider' wordt uitbesteed. Zo blijft je creditcard informatie bij je bank, je email gegevens bij je provider, je GSM gegevens bij de telco en de eindgebruiker beslist wie wat en wanneer mag zien.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq