Gartner: системе Microsoft Passport доверять нельзя

Gartner: системе Microsoft Passport доверять нельзя

Одно из наиболее известных в мире аналитических ИТ-агенств Gartner Dataquest опубликовало новые рекомендации, в которых предостерегает компании от внедрения системы аутентификации Microsoft Passport. Причиной для таких выводов послужило недавнее обнаружение в системе аутентификации серьезнейшей уязвимости, позволяющей путем несложных манипуляций захватить чужую учетную запись Passport. Как оказалось, зная адрес электронной почты пользователя, можно осуществить сброс пароля его учетной записи, набрав в браузере единственный URL.

 
  http://www.compulenta.ru/
  

Одно из наиболее известных в мире аналитических ИТ-агенств Gartner Dataquest опубликовало новые рекомендации, в которых предостерегает компании от внедрения системы аутентификации Microsoft Passport. Причиной для таких выводов послужило недавнее обнаружение в системе аутентификации серьезнейшей уязвимости, позволяющей путем несложных манипуляций захватить чужую учетную запись Passport. Как оказалось, зная адрес электронной почты пользователя, можно осуществить сброс пароля его учетной записи, набрав в браузере единственный URL.

Опасность кражи учетной записи угрожала всем 200 млн. пользователям Passport. Аналитики Gartner особо подчеркивают, что уязвимость была обнаружена спустя только полгода после внедрения системы сброса пароля. Сколько реальных случаев взлома Passport имели место за это время, неизвестно, хотя в Microsoft утверждают, что их немного. По мнению экспертов Gartner, Microsoft не смогла должным образом протестировать безопасность Passport, а значит, этой системе аутентификации нельзя доверять. Скорее всего, в будущем появится информация о новых дырах в этой системе, полагают аналитики.

Исходя из этого, Gartner рекомендует всем финансовым компаниям, торговым системам, эмитентам кредитных карт и прочим организациям, использующим или планирующим использовать Passport для решения серьезных бизнес-задач отказаться от внедрения Passport, по меньшей мере, до ноября нынешнего года, когда Microsoft обещает завершить тестирование своей системы аутентификации на безопасность. Тем, кто уже использует систему в своем бизнесе, рекомендуется известить о проблемах с безопасностью всех клиентов и, если это возможно, отказаться от использования системы до ноября.

Кроме того, в Gartner полагают, что дыра в Passport вызовет недоверие в отношении подобных систем со стороны потенциальных клиентов, в результате чего спрос на них останется низким до конца 2004 г. Подобный негативный эффект Microsoft сможет смягчить, открыв код Passport для независимого тестирования.

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться