Microsoft muss Passport patchen

Microsofts Verifizierungssystem "Passport" hat ein Sicherheitsproblem. Angreifer können damit Passwörter bei bestimmten Passport-Accounts zurücksetzen und sie so übernehmen.

Das Problem befindet sich in dem Teil des Codes, der für Anwender, die ihr Passwort vergessen haben, zuständig ist. Die so genannte "Secret Question", die beantwortet werden muss, um an das Passwort zu gelangen, kann bei Accounts, die vor Einführung dieses Sicherheits-Features erstellt wurden, von Dritten manipuliert werden, erklärt Victor Manuel Alvarez Castro, eigenen Angaben zufolge Sicherheits-Berater.

Alle Passport-Accounts, die nach Einführung der "Secret Question" im August 1999 erstellt wurden, sind von dem Problem nicht betroffen. Übeltäter, die die Lücke ausnutzen wollen, müssen neben der Mail-Adresse auch das Heimatland des Passport-Mitglieds wissen, um den Account erfolgreich zu übernehmen. Bei US-Bürgern sind zudem das Bundesland und der jeweilige Zip-Code erforderlich.

Microsoft hat die Sicherheitslücke eigenen Angaben zufolge inzwischen gepatcht. Zuvor wurde das Update-Feature allerdings zeitweise abgeschaltet.

Benutzer die vom Problem betroffen sein könnten, sollten sich nach Meinung von Microsoft ohne Schwierigkeiten einloggen können und eine valide Geheimfrage eingeben. Microsoft wirft dem Entdecker der Lücke vor, sich vor der Veröffentlichung in einem Forum nicht an Microsoft gewandt zu haben. (uba)

tecCHANNEL Buch-Shop

Literatur zum Thema Webtechnik

Bestell-Link

Titel von Pearson Education

Bestellung

PDF-Titel (50% billiger als Buch)

Downloads