Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Bron: InternetNews

Voor de tweede keer in slechts enkele maanden tijd heeft Microsoft een beveiligingslek in zijn .NET Passport-service moeten dichten, zo meldt InternetNews. Het betreft een lek waarmee vier jaar oude hotmailaccounts gekraakt konden worden. De aanvallers gebruikten hiervoor de zogenaamde "Secret Question" en waren in staat om de paswoorden van de Passport-accounts te veranderen. Microsoft zegt dat er echter geen accounts gemanipuleerd zijn door slechtwillenden.

Het bekend worden van dit lek komt voor de ontwikkelaar op een niet zo handig tijdstip. Na een eerder ontdekt lek in het Passport raadde onderzoeksbureau Gartner aan om de service niet meer te gebruiken tot Microsoft kan aantonen dat hun technologie geen lekken meer bevat. Voor Gartner kwam dit lek dan ook niet als een verrassing, zo zegt hij. Microsoft beweert echter stellig dat hun service degelijk getest is en zegt dat het snel oplossen van problemen juist vertrouwen zou moeten opwekken bij de consument.

Ondertussen werken een aantal gerenommeerde Amerikaanse bedrijven samen aan een alternatief voor Microsofts paspoort, zo meldt ZDNet. De Liberty Alliance, waarin onder andere Sun Microsystems, MasterCard en Nokia zijn ondergebracht, werkt aan een soortgelijk aanmeldingssysteem. De standaardiseringsorganisatie OASIS werkt aan SAML, een standaard voor e-business communicatie die gebaseerd is op XML. Zowel de software van de Liberty Alliance als die van Microsoft zullen SAML gaan ondersteunen. Hierdoor hebben consumenten de vrijheid van kiezen voor een systeem, en toch het gemak van overal inloggen met maar een wachtwoord:

Microsoft Passport logo Maar vorig jaar verklaarde Microsoft dat het ook SAML zal ondersteunen. Liberty Alliance had dat al eerder beloofd. Niets belet dus nog dat SAML gebruikt zou worden tussen een Passport-server en eentje die gebaseerd is op Liberty. SAML wordt dan de brug tussen Liberty en Passport: wie inlogt op een Passport-site, zou meteen ook de Liberty-websites kunnen gebruiken. Het gevolg daarvan is dat de strijd tussen Passport en Liberty eigenlijk bijzaak wordt: SAML is dan de échte standaard geworden.

Lees meer over

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (36)

Na een eerder ontdekt lek in het Passport raadde onderzoeksbureau Gartner aan om de service niet meer te gebruiken tot Microsoft kan aantonen dat hun technologie geen lekken meer bevat.
Dan zou je das nooit meer de Passport service kunnen gebruiken... Sorry hoor maar 'vrijwel' geen een systeem is 100% waterdacht. En hoe uitgebreider het systeem hoe groter de kans is dat er een foutje in zit.

Als hij deze uitspraak ook zou doen voor een OS dan zou opeens niemand meer zijn pc kunnen gebruiken, want elk OS bevat veel lekken.

Ik denk dat het dichten van een lek voordat er eerst veel problemen mee zijn geweest juist een positief punt.

* 786562 tommy84
Dan zou je das nooit meer de Passport service kunnen gebruiken... Sorry hoor maar 'vrijwel' geen een systeem is 100% waterdacht. En hoe uitgebreider het systeem hoe groter de kans is dat er een foutje in zit.
Met andere woorden, jij vindt het dom dat iemand zegt dat iets 100% veilig is? Dat is namelijk precies wat MS over passport beweerde, het was hun enige manier om te rechtvaardigen dat zoveel vertrouwelijke gegevens zomaar oproepbaar zouden zijn. Dat is de reden dat MS zo zwaar bekritiseerd wordt op elk lek dat TOCH gevonden wordt.

Conclusie is dat internet niet klaar is voor een dergelijk privacy gevoelig systeem, lekken van de ergste vorm zijn al gevonden en systemen veranderen steeds. Dat de claims van MS op dit passport-gebied niet kloppen is dus al gebleken, dus als ze straks weer beweren dat het nu echt 100% safe is heeft dan geen waarde meer.

Het gaat dus niet om een systeem dat NU 100% safe is. Maar een systeem dat ook bij wijzigingen 100% safe te houden is door perfecte programmeer en test trajecten. En die -zoals jij al zegt- bestaan niet.
Natuurlijk bevat ieder systeem lekken, maar dat wil niet zeggen dat ze er zo snel mogelijk uit moeten en dat er geen enkel excuses is om een lek niet of erg laat te dichten!
Met grote systemen (zoals OSen en Passport) moet je de boel dus zoveel mogelijk in delen opbouwen en debuggen zo haal je makkelijk en snel lekken eruit. MS heeft nog wel eens de neiging alles op elkaar en door elkaar te gooien en zo word de boel nogal instabiel en krijg je onnodig veel lekken.
Ik denk dat Microsoft pas écht een probleem heeft als er bijv. creditcard gegevens uitlekken door een fout in het passport systeem.

Het is op zich natuurlijk heel handig het systeem. Je logt één keer in en men heeft alle gegevens van je beschikbaar (bijv. als je iets wilt kopen).

Nadeel is dat zodra je wachtwoord bekend is een ander daar ook makkelijk misbruik van kan maken.

Security is dus iets wat men zeer goed voor elkaar moet maken, dit soort berichten zijn geen goede reclame voor Passport.
Als je ergens echt 100% zeker van wilt zijn, maak je gebruik wat de CreditCard gegevens of -niet- of op een andere (onbereikbare) server opslaat.

Ik zou nooit dergelijke gevoelige gegevens op internet intoetsen bij het aanmaken van een account. Ik vind het niet erg om elke keer opnieuw me card op te snorren en dat nummer in te tikken. Ik zou het wel erg vinden als die gegevens ongewenst langer dan absoluut noodzakelijk opgeslagen zouden worden.

Maar goed, Ik denk dat Microsoft zijn lesje aardig aan het leren is. Zodra een foutje wordt ontdekt, is het vrij snel opgelost. Ik snap alleen zelf nog niet helemaal waarom zo'n dergelijk groot bedrijf geen mensen aanneemt om dergelijke fouten continu op te sporen... Ik bedoel, de procedure heeft bijne een week op diverse IRC kanalen, Websites en nieuwsgroepen gestaan. Het had dus niet zo lang hoeven duren, als Microsoft maar wat actiefer zocht, en zich niet als een onkwetsbare king of the hill gedraagt (er kan toch niets gebeuren, ons systeem is veilig).

ps. indien ze wel van dergelijke mannetjes hebben rondlopen, hebben die gasten duidelijk geen idee waar ze het beste kunnen zoeken IMO :)
In ieder geval kunnen ze het "lek" dichten, dat is op zich een goeie zaak. Zolang je nog oplossingen hebt gaat t goed. Van fouten moet je leren, dus al deze nieuwe veranderingen komen het alleen maar ten goede. K zie hier t probleem niet van in hoor :)
Geen probleem?
Mwoh. Ook dit is weer een super triviaal probleem. Je hebt geen echt technisch geavanceerde spullen of kennis nodig om van dit gat gebruik te maken.

Verder een beetje wazig dat MS zegt dat ze problemen snel oplossen.. 4 jaar vind ik nogal een tijd ;) Verder is dit gat al maaaaanden bekend en wordt het nu pas opgelost.

Ik beheer een redelijk grote site met iets van 8000 accounts (waarvan 70% hotmail ofzo) en zo ongeveer dagelijks komt er weer iemand in de problemen omdat zijn/haar account door iemand gehacked is. Soms door domweg raden van het wachtwoord of geheime vraag maar regelmatig ook door dit soort acties. Ik weet iig wel dat ik verre van Hotmail en Passport blijf ;)
LEg me dan eens uit waarom het de schuld van Microsoft is dat gebruikers een wachtwoord kiezen wat mmakkelijk te raden is?
Verder is het lek niet vier jaar oud, het lek wekt op accounts die ouder dan vier jaar zijn.
Daarom gebruik ik mijn hotmail account ook waar het voor bedoelt is: spam
Speciaal een account om spam te ontvangen :?
Ik wil mijn spam wel doorstuuren als je het zo interessant vind om spam te lezen? :+ :+
Ik denk dat ze van dat hele "secret question" systeem afmoeten. Ik zag bij mij op school ook gewoon meerdere malen per week wachtwoorden geraden wordenl "Hoe heet mijn moeder/paard" bijvoorbeeld. Elke vriend of vriendin kan zulke woorden raden.
Ik weet niet of het er al is maar als je wachtwoord bijvoorbeeld je naam achterstevoren is moet ook gecheckt worden.
Ook kunnen ze met grote letters een link maken naar een Random password generator en die aanbevelen.
De huidge wachtwoorden van een "normaal" mens zijn vaak gemakkelijk te raden...
(Daarom gebruik ik mijn hotmail account ook waar het voor bedoelt is: spam :) belangrijkere dingen heb ik wel iets anders voor)
Dan heeft microsoft (laat ik vooral de volledige naame gebruiken anders ben ik aan het flamen) veel geleerd!(oeps toch geflamed).

De toegevoegde waarde van passport is wel dat het geïntegreerd is met hotmail/ebay/msn/etc ..
Wat ik ik zo arrogant van ms vind is dat wanneer een bug publiek wordt. Ze het wel en 1 keer kunnen fixen! Want toevallig weet ik dat een bezoeker van webwereld het gat al wist begin mei! En ms ook op de hoogte heeft gesteld.
En dat gebeurt met de meeste security holes in MS software. Het moest eerst wereldwijde aandacht krijgen willen ze het fixen :(
Volgens mij is het dit keer andersom gegaag. Microsoft heeft het gat gedicht en daarna werd het publiek.

edit:

oops, toch niet
[quote]
after details were posted to a public mailing list.
[/quote]
Jammer dat die twee gaten in de beveiliging erin zaten, maar ze zijn er nu weer uit, dus weer een stukje secureder. Als er 1 is die geplaagt wordt door hackers dan zal het hotmail/MS/windows zijn. eigenlijk is dat hartstikke gunstig, want dat betekent dat hun systemen steeds secureder worden. :P

lees ik nou goed dat eerst MS met een aanmeldingssysteem kwam en pas daarna Sun+nokia+xxx? Is ome Bill aan het innoveren geslagen en aapt de rest hem nu na? :+

[edit]typ-O
Sorry maar die redenatie gaat niet op. Als je een lek dicht betekend dat niet dat de toepassing goed gesecured is.
Het betekent namelijk dat de gebruikers jarenlang een al dan niet onaanvaardbaar risico op inbraak hebben gelopen.
Ik kan me voorstellen dat de Nederlandse taal niet echt makkelijk is voor sommige mensen, maar om nu woorden als secureder en gesecured te gebruiken. Jongens toch.

Wanneer men veel gaten ontdekt en die ook dicht, wordt het systeem langzamerhand veiliger. Het feit dat het daarvoor niet zo veilig was, doet daar niks aan af.
Jullie gaan er allemaal wel lichtjes over, ik snap echt die mentaliteit niet. Al jaren krijgen we minstens één keer per maand wel een waarschuwing over een lek, een virus, ... En elke keer reageert men van "en nu is het eindelijk veilig" En dit bedrijf zou ons dan palladium willen verkopen? Mij niet gezien hoor, ik wil niks meer van Microsoft.
das het voordeel van een monopolie jehoeft helemaal geen goede zaken te verkopen

btw niemand betaald voor hotmail dus ik zie niet in waarom iedereen zou moeten klagen....
btw niemand betaald voor hotmail dus ik zie niet in waarom iedereen zou moeten klagen....
Niemand betaald? Er zijn sinds kort betaalde diensten bijgekomen, zoals extra opslag cappaciteit en het kunnen lezen van POP3 accounts. Die diensten waren of gratis (POP accounts uitlezen), of de limiet was hoger (nu is het 2MB bij de gratis uitvoering).

Ik kan me niet voorstellen dat er veel mensen zijn die die diensten ook daadwerkelijk geld waard vinden, maar er zullen er vast wel een paar zijn. Die mensen hebben dus wel betaald en hebben recht op een goed werkend product. Die mogen dus best klagen, dat doe jij toch ook als je betaalde POP3 mail niet goed werkt of niet veilig is?
Hahhaha wat lomp! Ik probeer nu mijn geheime vraag te wijzigen, hotmail vraagt (nogmaals) om mijn wachtwoord, ik vul het in, plus een nieuwe vraag en antwoord, en ik krijg:

"Sorry, je geheime vraag mag niet je wachtwoord bevatten en mag niet leeg zijn. Typ een andere geheime vraag."

(edit: blijkt dat de vraag minimaal een aantal karakters moet bevatten...)
geen enkel systeem is 100%veilig, hackers vionden altijd wel een gaatje of een achterpoortje of een manier om een service uit te buiten. is dit de schuld van microsoft? zij proberen functionele software te maken waar de gebruiker iets mee kan. als die software gekraakt wordt is het niet de schuld van microsoft omdat niet alle gaatjes dicht zouden zijn, het is volledig de schuld van de hacker die er plezier in schept mensen schade te berokkenen. je gaat toch ook niet je architect aanklagen als er bij je thuis wordt ingebroken?
geen enkel systeem is 100%veilig,
En daarom is het goed dat microsoft er een potje van maakt met de beveiliging?

Vreemde redenering.
Dar snap ik nou nooit eh.. haal die secret Question er dan ook gewoon uit. dat is zo lek als het maar kan, dat weet iedereen.

ik vul altijd 3425klj3h45jk135g23j5k ofzo in,, ik ga echt geen dictionary based woord daar intikke..
Het probleem met Passport is niet primair dat er af en toe gaten moeten worden gedicht. Bij elke technologie moet dat immers af en toe gebeuren. Dat dit bij Passport zoveel ophef oplevert is begrijpelijk: Het bedrijf heeft immers geen positieve 'track record' op dit gebied, ondanks hun recente focus op security.
De reden dat juist beveiligingsproblemen met Passport zo kritiek zijn is omdat bij Passport er slechts 1 bedrijf is (Microsoft) dat alle gebruikersinformatie in beheer heeft. Dus als er persoonsgegevens worden gekraakt, dan ligt meteen je hele netwerk identiteit op straat, inclusief credit card informatie. Dit staat nog los van de vraag of je uberhaupt wel je creditcardnummer door MS wil laten beheren ipv bv een bank.
Ik begrijp niet waarom MS, om dit soort problemen tegen te gaan, geen modulaire beveiliging toepast. Voor simpel hotmail volstaat een userid en password, maar stel dat je betalingen wil doen via Passport, waarom dan niet een extra beveiliging toepassen in de vorm van bijvoorbeeld een challenge-response systeem, met tokens, zoals de meeste banken gebruiken voor online transacties? Daarmee kun je voorkomen dat bij een eventueel gat, echte belangrijke privee informatie niet direct toegankelijk is. Banken passen deze technologie niet voor niets toe.
Los van dit alles zie ik toch meer toekomst in een federatief systeem, zoals de Liberty Alliance het voorstaat. Hiermee blijven gegevens als creditcard nummers, bankrekeningen, digitale handtekeningen, certificates, email adressen etc. in beheer van de gebruiker zelf, terwijl de data over verschillende 'identity provider' wordt uitbesteed. Zo blijft je creditcard informatie bij je bank, je email gegevens bij je provider, je GSM gegevens bij de telco en de eindgebruiker beslist wie wat en wanneer mag zien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True