Foto: SXC
Studenten des Horst Görtz Instituts für IT-Sicherheit (HGI) der Ruhr-Universität haben Microsofts neues Identity-Management-System "CardSpace" geknackt, wie die Uni in einer Aussendung mitteilt. Trotz der Sicherheitsmaßnahmen können Angreifer damit auf Personendaten wie Kreditkartennummern und Passwörter zugreifen.

Identity Management

Identitätsdiebstahl zählt zu der am schnellsten wachsenden Bedrohung im Internet. Mit Web-basierten Identity-Management-Systemen versucht die Industrie die unsichere Authentisierung durch Nutzername und Passwort abzulösen. CardSpace wurde von Microsoft als Nachfolger von MS Passport entwickelt und basiert auf offenen Standards, sodass es in verschiedene Applikationen eingebunden werden kann.

Alternative zur Passwort-Identifizierung

Nutzer können CardSpace mit Hilfe des Internet Explorer 7 oder Firefox 2 (mit speziellem Add-On) als Alternative zur klassischen Passwort-basierten Authentifikation im Internet verwenden. Dabei werden die Identitätsinformationen in Form der InfoCard angezeigt. Wird die InfoCard angeklickt, wird der Authentisierungsprozess in Gang gesetzt. Der Nutzer muss nur die zu übertragenden Daten bestätigen. Die Studenten haben nun jedoch gezeigt, dass das System unsicher ist und mittels Anti-DNS-Pinning, DNS-Rebinding, DNS-Spoofing und Drive-By-Pharming geknackt werden kann. Microsoft ist laut den Studenten bereits über das Problem informiert worden und arbeitet an einer Lösung. (red)