Studenten knacken Microsofts CardSpace

synaix Newsletter Ausgabe 06 / 2008 vom 03.06.2008

Als Hacker im Namen der IT-Sicherheit haben Xuan Chen und Christoph Löhr, zwei Studenten der Ruhr-Universität, einen erfolgreichen Angriff auf Microsofts neues Identity-Management-System "CardSpace" gestartet.

Identitätsdiebstahl ist derzeit die am schnellsten wachsende Bedrohung im Internet. Um die unsichere Authentisierung durch Nutzername und Passwort abzulösen, hat die Industrie neuartige Web-basierte Identity-Management-Systeme entwickelt. Microsoft hat als Nachfolger von "MS Passport" ein System Namens CardSpace entwickelt. CardSpace basiert auf offenen Standards, so dass es in verschiedene Applikationen eingebunden werden kann. Internet-Nutzer können CardSpace mit Hilfe des Internet Explorer 7 oder des Firefox 2 (mit speziellem Add-On) bereits heute als Alternative zur klassischen Passwort-basierten Authentifikation im Internet verwenden.

Firmen wie Google, Yahoo und Verisign haben eine Unterstützung für CardSpace in Aussicht gestellt. CardSpace hat somit das Potenzial, in Zukunft zur Absicherung einer Vielzahl von Anwendungen von eCommerce über Online-Banking bis hin zur elektronischen Gesundheitskarte zu dienen.

Die Idee von CardSpace besteht darin, die Identitätsinformation von Nutzern im Browser zu speichern und in visueller Form (InfoCard) anzuzeigen. Durch Klicken auf eine InfoCard wird ein Authentisierungsprozess angestoßen, bei dem der Nutzer nur noch die zu übertragenden Daten bestätigen muss. Das CardSpace-System und die zugrunde liegenden kryptographischen Protokolle sorgen für die Sicherheit der Identifikation und schützen den Nutzer vor der Preisgabe seiner Daten an Angreifer.

Die beiden Studenten am Horst Görtz Institut für IT-Sicherheit (HGI) konnten nach Mitteilung der Ruhr- Universität nun zeigen, dass ein Angreifer trotz der eingebauten Sicherheitsmaßnahmen auf die Identitätsdaten des Opfers zugreifen kann. Sie haben Microsoft informiert - das Unternehmen untersucht derzeit das Problem.

Der Angriff und mögliche Gegenmaßnahmen sowie der Technische Bericht sind im Internet veröffentlicht (http://demo.nds.rub.de/cardspace/).