Hotmails säkerhet
(2003-05-11)
Microsoft har en lustig idé som de kallar för "Net Passport". Det går ut på att man ska kunna använda sitt hotmail-lösenord för att logga in även på andra webbplatser. Med Passport går det snabbt och lätt att logga in och du behöver inte komma ihåg en massa olika lösenord utan det räcker med ett. Snabbt och lätt.
Ursäkta, en amatörmässig fråga kanske, men varför har vi lösenord? För att vi ska kunna logga in snabbt och lätt eller för att andra inte ska kunna logga in snabbt och lätt? Jag trodde det var det senare. Att andra inte ska kunna komma åt mitt konto.
En av principerna när man ska välja lösenord är att inte ta något man redan har på ett annat ställe, för att minimera skadorna om någon får tag i lösenordet. Men med Microsofts lösning lägger man alla äggen i samma korg. Det är väl i och för sig inget fel i det, om man bara ser till att ha en väldigt bra korg!
"Ditt .NET Passport-konto är skyddat av kraftfull onlinesäkerhet och en omfattande sekretesspolicy. Du bestämmer själv över hur dina uppgifter sprids."
Tills för några dagar sedan kunde man gå till en sida och fylla i valfri hotmail-adress samt sin egen adress och med en enkel knapptryckning få hotmail-kontots lösenord skickat till sin e-postadress. Det var den korgen det.
Det som hände för några dagar sedan var att någon berättade för Microsoft om säkerhetshålet som gjorde detta möjligt, och de kunde rätta till den bristen. Hur många som utnyttjat hålet före det kan vi bara spekulera i. Likaså hur många andra missar som finns som Microsoft inte känner till och som oärliga människor kan använda för att enkelt få tag i andra personers lösenord.
Att ha samma lösenord på flera webbplatser må vara användarvänligt, men det är inte förenligt med god säkerhet.
Rapporten om säkerhetshålet:
http://www.securityfocus.com/archive/1/320806