Sicherheit von Microsofts Passport fraglich
Auf Slashdot tauchte ein rund ein Jahr altes Papier auf, in dem die Autoren Microsofts Passport-Protokoll analysierten – mit alarmierendem Ergebnis.
Durch einen Artikel auf der News-Site Slashdot tauchte ein Papier von zwei AT&T-Sicherheitsexperten zu Microsofts Identifikations- und Anmelde-Service Passport erneut auf. Schon im Juni 2000 hatten sich David P. Kormann und Aviel D. Rubin das Passport-Protokoll der Redmonder vorgenommen und kamen zu dem Schluss, dass das System erhebliche Risiken birgt. Derzeit bietet Microsoft Passport als Account-Aggregation- beziehungsweise Single-Sign-On-Dienst an – wer ein Passport-Konto hat, muss sich nur einmal am System anmelden und braucht sich dann bei den teilnehmenden Websites nicht erneut zu identifizieren.
Bei Microsofts .NET-Initiative beziehungsweise den im Rahmen von Hailstorm angebotenen Diensten fällt Passport eine zentrale Rolle zu: Es soll letztlich dazu dienen, die Kunden mit einer Online-Identität auszustatten. Das für Oktober angekündigte Windows XP integriert die Verwaltung von Passport-Konten in seiner Benutzerverwaltung. Zudem weist das System schon beim ersten Zugriff aufs Internet darauf hin, dass für einige der mitgelieferten Internetprogramme ein Passport-Konto zwingende Voraussetzung ist.
Insofern könnte die Veröffentlichung der AT&T-Experten und die erneute Diskussion darum Microsoft einigen Erklärungsaufwand bescheren: Damit Passport mit jedem Webbrowser funktioniert, benutzt Microsoft nur die darin standardmäßig angebotenen Mechanismen wie SSL, HTTP-Redirects und Cookies. Bei Webbrowsern, die mehrere Personen nutzen, besteht die Gefahr, dass Cookies nicht gelöscht werden und einen Benutzer mit der Identität seines Vorgängers versehen. Auch mit herkömmlichen Angriffen, zum Beispiel einer man in the middle attack (siehe "Spionage am Arbeitsplatz" in Ausgabe 12/2001 von c't, Seite 232)", wäre es Angreifern möglich, die Zugangsdaten allzu vertrauensseliger Benutzer zu bekommen. Nach derzeitigem Dokumentationsstand auf den Passport-Servern hat Microsoft zudem am Verfahren seit Veröffentlichung des Papiers nichts Wesentliches verändert, auch wenn von Erweiterungen die Rede ist – die Kritikpunkte in dem Papier von Kormann und Rubin scheinen also bis heute weiter zu bestehen. (ps)
