Gartner warnt vor Microsoft Passport

Analysten von Gartner raten Firmen davon ab, den Dienst Microsoft Passport für die Authentifizierung von Kunden zu nutzen. Hintergrund sind Sicherheitsprobleme bei Passport.

Wie berichtet, hatte ein pakistanischer Sicherheitsexperte Anfang Mai entdeckt, das sich über eine manipulierte URL auf Grund eines Fehlers in der Logik der Webanwendung das Passwort jedes Accounts ändern lässt, für den der Benutzername bekannt sei. Laut Gartner dauert es sechs Monate, also bis November 2003, bis Microsoft "adäquate" Sicherheit bieten könne. Daher sollten die Unternehmen Passport bis November nicht nutzen. Dies berichtet die Computerwoche.

Derzeit existieren rund 200 Millionen Passport-Kunden. Neben Microsoft selbst nutzen auch andere Firmen den Service, darunter die Nasdaq, Ebay und Starbucks. Diesen rät Gartner außerdem, für all ihre ausgegebenen Passport-Identitäten in zusätzliche und sicherere Authentifizierungsmethoden zu investieren. Ein Microsoft-Sprecher bezeichnete Gartners Ratschläge als "unkonstruktiv". Passport sei zuverlässig und man habe aus der jüngsten Episode gelernt. "Auch wenn wir wissen, dass wir immer alles noch besser machen könnten, glauben wir, dass wir solide Prozesse und Prozeduren etabliert haben, um Passport vertrauenswürdig zu betreiben", so der Microsoft-Mann.

Neben Passport schade Microsofts Sicherheitsproblem auch der konkurrierende Liberty Alliance, so Gartner - auch wenn diese derzeit nicht als Service, sondern als Set XML-basierender Spezifikationen existierten. Aus Sicht des Endnutzers mache das wenig Unterschied, beide hätten eine ähnliche Oberfläche unabhängig von der im Hintergrund verwendeten Architektur. Analystin Litan erwartet allerdings nicht, dass Libertys Vordringen im B2B-E-Commerce durch die Passport-Panne beeinträchtigt wird. (Computerwoche/Jürgen Mauerer)