Microsofts ‚CardSpace’ geknackt

Damit zeigten sie, dass ein Angreifer trotz der eingebauten Sicherheitsmaßnahmen auf die Identitätsdaten des Opfers zugreifen kann. Der Angriff und mögliche Gegenmaßnahmen sowie der technische Bericht stehen zum Download bereit.

Hintergrund: Seit Ausbruch der Phishing-Welle im Jahr 2004 ist Identitätsdiebstahl die am schnellsten wachsende Bedrohung im Internet. Um die unsichere Authentisierung durch Nutzername und Passwort abzulösen, hat Microsoft als Nachfolger von „MS Passport“ das System „CardSpace“ entwickelt. Es basiert auf offenen Standards, sodass es in verschiedene Applikationen eingebunden werden kann.

Internet-Nutzer können CardSpace mit Hilfe des Explorer 7 bereits heute als Alternative zur klassischen Passwort-basierten Authentifikation im Internet verwenden. U. a. Google, Yahoo und Verisign haben eine Unterstützung für CardSpace in Aussicht gestellt. Somit hat CardSpace das Potenzial, in Zukunft zur Absicherung einer Vielzahl von Anwendungen zu dienen.

Die Idee von Cardspace besteht darin, die Identitätsinformation von Nutzern im Browser zu speichern und in visueller Form einer „InfoCard“ anzuzeigen. Durch Klicken auf eine InfoCard wird ein Authentisierungsprozess angestoßen, bei dem der Nutzer nur noch die zu übertragenden Daten bestätigen muss.

Das CardSpace-System und die zugrunde liegenden kryptographischen Protokolle müssen für die Sicherheit der Identifikation sorgen und den Nutzer vor der Preisgabe seiner Daten an Angreifer schützen. Dass das mögliche Hacker nicht davon abhält, vertrauliche Daten auszuspähen, zeigte nun der Angriff der HGI-Studenten. Microsoft wurde natürlich sogleich informiert. (dsc)