Web

Microsoft stopft Passport-Leck

02.07.2003

MÜNCHEN (COMPUTERWOCHE) - Microsoft hat eine Sicherheitslücke im Authentifizierungsdienst Passport beseitigt, über die sich Hacker Zugang zu Nutzer-Accounts verschaffen konnten. Das Leck steckte in einer Funktion, über die sich Anwender mittels einer geheimen Frage vergessene Passwörter wiederbeschaffen konnten. Nach Angaben des Sicherheitsberaters Manuel Alvarez Castro waren Nutzerkonten betroffen, die eingerichtet wurden, bevor Microsoft die Funktion im August 1999 implementierte. Sie enthielten im entsprechenden Datenfeld Code, über den sich Hacker das Passwort zusenden lassen konnten, ohne die Frage zu kennen. Dazu mussten sie neben der E-Mail-Adresse allerdings weitere Anmeldedaten des zu knackenden Accounts ausspionieren.

Wie viele Nutzer betroffen waren, wollte Microsoft nicht verraten. Nachdem die Fragefunktion zeitweise deaktiviert wurde, hat der Hersteller am Montag einen Patch eingespielt, der das Leck beheben soll. Jeff Jones, Senior Director der Trustworthy-Computing-Abteilung bei Microsoft, empfiehlt Passport-Nutzern darüber hinaus, eine gültige Frage einzugeben und das Passwort zu ändern. In einem Statement kritisierte Jones die Vorgehensweise Castros. Der bislang unbekannte Sicherheitsexperte habe Microsoft nicht verständigt, sondern die Sicherheitslücke ohne Vorwarnung in verschiedenen Security-Newsgroups veröffentlicht. (lex)