Dat digitale vod
Herbert Blankesteijn
Wie Windows XP heeft, een hotmailadres, of wie wel eens chat op Msn, heeft vrijwel zeker een Passport-account. Dat is niet zonder risico, is in mei gebleken.
Half mei heeft het internationale adviesbureau Gartner een opzienbarende stap gezet. Officieel ontraadde het bureau dat bedrijven nog gebruik zouden maken van de dienst Passport van Microsoft. Wat was er aan de hand?
Wie winkelt op het web, moet zich identificeren op elke site waar hij iets koopt. Dat houdt in het intikken van een gebruikersnaam en wachtwoord (dat geldt voor wie zich op een bepaalde site al heeft geregistreerd) of in het meest ongunstige geval het invullen van schermenvol formulieren met naam- en adresgegevens, voorkeuren, tot en met het creditcardnummer. Dit schrikt consumenten af, heeft Microsoft geredeneerd. Waarom zou iemand niet kunnen inloggen op één plek, om vervolgens op alle later te bezoeken sites automatisch te worden herkend? De ideale organisatie om dit gemak aan de wereld te brengen, vond Microsoft, was Microsoft. En de dienst die Microsoft heeft bedacht om transacties op internet makkelijker te maken voor consumenten en bedrijven, heet Passport.
Inderdaad zou iedereen hierbij baat kunnen hebben. Natuurlijk heeft Microsoft belang bij het bezitten van een standaard, maar geen enkel bedrijf kan beter een standaard afdwingen. Als een dergelijk systeem zou functioneren, zouden consumenten beter bediend worden en zou het bedrijfsleven meer verdienen.
Microsoft heeft inmiddels laten zien hoe je de wereld zo'n standaard oplegt. Wie een gratis mailadres van Hotmail wil, moet zich registreren bij Passport. Wie wil chatten via het Msn-netwerk - onder middelbare scholieren een voorwaarde om erbij te horen - moet zich registreren bij Passport. Wie een computer met Windows XP inwijdt, wordt zodanig gemaand een Passport-account af te sluiten dat het makkelijker is toe te geven dan te weigeren. In geen van deze gevallen is Passport nodig voor de werking van het product in kwestie. Maar wel heeft Microsoft zo 200 miljoen 'actieve' Passportaccounts onder zijn beheer gekregen.
Het afsluiten van een Passport-account kan weinig kwaad. Een e-mailadres is de enige vorm van identificatie die is vereist. De vakjes voor naam, adres en telefoonnummer zijn in eerste instantie niet eens bereikbaar voor de aanvrager. Zelfs een vals e-mailadres volstaat.
Dus om een gratis mailadres te krijgen, geef je Microsoft gewoon zijn zin en vul je valse gegevens in. Maar als je gebruik wilt maken van de overige voordelen van Passport, ligt het anders. In theorie kun je meebieden bij de rommelmarkt eBay, om daarna automatisch te worden herkend bij de aanschaf van een liedje bij de muziekdienst Pressplay. Dat werkt natuurlijk niet als je valse gegevens gebruikt. Alleen als je aan je Passport een Msn Wallet koppelt met naam, adres en creditcardinformatie die met elkaar kloppen, maak je kans van het steeds weer intypen van deze gegevens af te komen. Kans, want het aantal bedrijven dat meedoet is nog beperkt tot enkele tientallen. Er zitten 'groten' bij als Ebay, Lastminute.com, USAToday en Pressplay, maar Microsoft en daaraan gelieerde bedrijven domineren: MSN, Hotmail, de reissite Expedia, en het online tijdschrift Slate.
De ontsteltenis was groot toen in mei een Pakistaanse beveilingsexpert ontdekte dat je, om toegang te krijgen tot iemands passportgegevens, niets anders hoefde weten dan het mailadres waarmee deze bij Passport stond ingeschreven. Dit moest je op een bepaalde manier intikken in de adresbalk van de browser, en zo kon je toegang krijgen tot iemands mail, op zijn naam mail versturen en beantwoorden, zijn identiteit aannemen op Msn, op zijn kosten aankopen doen en ook het wachtwoord veranderen. Een blunder van jewelste, die Microsoft onmiddellijk heeft hersteld. Overigens is het creditcardnummer, nadat het de eerste maal is opgegeven, voor de legitieme houder niet meer te zien, dus ook niet voor een wachtwoordkaper. Aankopen doen kon een kaper daarom alleen onder bij Msn Wallet aangesloten bedrijven. Nu de fout is hersteld kennen eventuele kapers de creditcardnummers niet.
De Passport-zaak is ernstig, maar niet zo ernstig als hij lijkt. De meeste mensen hebben nooit creditcardinformatie opgegeven; andere hebben dat account alleen maar genomen om van het gezeur van Windows XP af te zijn en gebruiken niet eens een hotmailadres. Andere hebben juist véél accounts, voor allerlei wegwerpdoeleinden (schrijver dezes heeft er vier, waarvan een op een verzonnen mailadres). Geen van deze categorieën loopt ernstig risico.
Gartner stelt vast dat dit gat in de beveiliging een half jaar moet hebben bestaan voordat het aan het licht kwam. Al die tijd kan er misbruik van zijn gemaakt. Ongebruikte accounts kunnen geruisloos zijn gestolen. Daarom is het bedrijfsleven niet zeker van de identiteit van gebruikers van Passport. Vandaar het advies Passport niet te vertrouwen tot november 2003, of tot Microsoft bewijst dat de dienst betrouwbaar is.
Microsoft heeft het advies van Gartner afgedaan als 'niet constructief' en stelt van de fouten uit het verleden te hebben geleerd. Dat laatste is ongetwijfeld waar. Maar het huidige bewustzijn is één ding; de erfenis van twintig jaar slordig programmeerwerk is een ander. Het grote 'leermoment' voor Microsoft heeft zich voorgedaan toen Bill Gates begin 2002 de beveiliging uitriep tot prioriteit nummer 1 en een maand uittrok waarin het hele bedrijf lekken moest zoeken. Dat is onvoldoende geweest. Het probleem met Passport en de vele andere veiligheidsproblemen die zich sindsdien hebben voorgedaan tonen aan dat veilig zakendoen op internet op meer gebaseerd moet zijn dan pleisters op aangetroffen lekken.
KADER Liberty Alliance
Het vooruitzicht dat het gros van de transacties op internet via Microsoft zou lopen was teveel voor Bill Gates' aartsvijand Scott McNealy van Sun Microsystems. Dit zou Microsoft een schat aan marketinggegevens in handen geven. Zulke informatie kan direct commerciëel worden gebruikt, en er kan macht mee worden uitgeoefend, bijvoorbeeld door deze inlichtingen aan het ene bedrijf te onthouden en aan het andere te gunnen.
McNealy begon Liberty Alliance, net zo'n dienst als Passport, maar niet in handen van één bedrijf. Liberty Alliance is nu een onafhankelijke stichting (www.projectliberty.org) waaraan al 160 bedrijven deelnemen waaronder American Express, America Online, Cisco, Ericsson, France Telecom, General Motors, Hewlett-Packard, Mitsubishi, Nokia, Siemens en Sony. Sinds september 2001 wordt gewerkt aan open standaarden voor het systeem, die niemands eigendom zijn. Voornaamste bezwaar: het werkt nog niet. De consument kan zich nergens registreren om voorgoed van alle andere registraties af te zijn.
Liberty heeft dus nog geen veiligheidsproblemen gehad. Desondanks scheert Gartner Liberty en Passport over één kam: uit eigen enquêtes zou blijken dat consumenten en bedrijfsleven meer risico's dan waarde in dergelijke diensten zien.