Maakt Microsoft Infocard het internet veiliger?
Dagelijks worden duizenden mensen op internet het slachtoffer van fraudeurs en identiteitsdieven, en elke maand neemt het aantal phishing aanvallen weer toe. Ondanks allerlei initiatieven hebben computercriminelen nog altijd vrij spel. Maar niet voor lang meer, als het aan Microsoft ligt. De softwaregigant wil met haar InfoCard identiteits management systeem het probleem aanpakken. Volgens sommigen zou dit na de introductie van cryptografie wel eens de grootste bijdrage aan Internet security kunnen zijn.
Het InfoCard systeem zal eerst via Vista worden verspreid en moet een "identiteitslaag" aan het internet toevoegen. Iets wat al verschillende security bedrijven geprobeerd hebben, maar wat nog niet is gelukt: Het vervalsen van iemand z'n identiteit tegengaan, en het verifieren vereenvoudigen.
Microsoft denkt nu de oplossing te hebben. De computer van de gebruiker bevat InfoCards bestanden, die versleutelde websites toegang geven tot geauthenticeerde informatie van de gebruiker. Een American Express InfoCard bestaat uit je naam, adres en rekeningnummer, die allemaal door American Express geauthenticeerd zijn. Als een website om persoonlijke gegevens vraagt, dan kun je die via de InfoCard op een veilige manier verstrekken, waarbij de uitgever van die bepaalde InfoCard voor de verificatie zorgt.
"Auto-complete, cookies en wachtwoorden zijn lapmiddelen. Met InfoCards weten gebruikers altijd precies wat er gaande is en hebben altijd controle" zegt Microsoft's Kim Cameron.
Privacy voorstanders hebben misschien hun bedenkingen, maar het InfoCard zou gebruikers meer controle over hun gegevens moeten geven, niet minder. Een InfoCard bevat mogelijk 30 verschillende gegevens over een persoon, alleen de gegevens die de persoon wil vrijgeven, worden gedeeld. Op die manier kan iemand z'n afkomst gecontroleerd worden, zonder dat de rest van z'n identiteit bekend wordt. (Wired)
De nieuwe phishing-aanvallen zullen zich dus nu gaan richten
op deze InfoCard gegevens. Deze staan toch al op de
computer, dus de eigenaar kan met een muisklik inderdaad de
Postbank toegang geven tot zijn (complete?) InfoCard
bestand. Makkelijk, hoeft 'ie ook niets meer in te typen.
Oh, wacht even de Postbank vraagt nooit naar
persoonsgegevens? Dat weet de ontvanger van deze mail (of
webpagina) niet.....
Niet dat ik per definitie tegen Microsoft ben, maar ik zie
hier een analogie met de PKI-hype die rond 2000 hadden. Die
beloofde eigenlijk het zelfde.
Ik ben benieuwd wat het brengt, want niet de hele wereld
(lees: 100% van de gebruikers) maakt gebruik van Microsoft
producten.
Och, iedereen die MSN gebruikt maakt gebruik van Passport zijn er maar
een paar miljoen alleen al in Nederland.
Iedereen die hotmail gebruik in Nederland gebruikt passport (zijn er bijna
een miljoen)
Iedereen die MSDN abbonement heeft gebruikt passport.
Ik denk dat je het een keer de plank misgelagen hebt.
Niet dat ik per definitie tegen Microsoft ben, maar ik zie
hier een analogie met de PKI-hype die rond 2000 hadden. Die
beloofde eigenlijk het zelfde.
PKI is een infrastructure die maakt geen beloften.
Dat je die infrastructure voor bepaalde doeleinden kunt gebruiken is waar,
maar het is altijd degene (partij) die voor implementatie zorgt die de
gradiatie van mogelijkheden (en onmogelijkheden) met daarbij behorende
functionaliteit waarborgt.
Los hiervan is PKI geen hype hoor, als jij gebruik maakt van secure SMTP,
SSH, Secure POP of HTTPS maak jij gebruik van PKI. (tenzij je geen
gesigned certificaten gebruikt uiteraard).
Wat overigens wel vreemd is (een ander verhaal) is dat DIGI-ID bestaat,
immers men heeft miljoenen in Overheid-PKI gestopt, en Digi-ID kan op
geen enkele wijze aan de veiligheids (mogelijkheden) van pki tippen.
passport gebruikt niemand?
Och, iedereen die MSN gebruikt maakt gebruik van Passport zijn er maar een paar miljoen alleen al in Nederland.
Iedereen die hotmail gebruik in Nederland gebruikt passport (zijn er bijna een miljoen)
Iedereen die MSDN abbonement heeft gebruikt passport.
Ok.. En noem nu eens een instantie of wat dan ook buiten MS die het gebruikt?
Mooi zo!
De nieuwe phishing-aanvallen zullen zich dus nu gaan richten
op deze InfoCard gegevens. Deze staan toch al op de
computer, dus de eigenaar kan met een muisklik inderdaad de
Postbank toegang geven tot zijn (complete?) InfoCard
bestand. Makkelijk, hoeft 'ie ook niets meer in te typen.
..............
Het staat er niet duidelijk, maar met "Card" wordt vaak een
smartcard bedoeld. Behalve geheugen zit daat ook een
cryptografische micro-processor op. De en/decryptie vindt
dus plaats in de kaart, en daar kom jij niet bij.
Verder het gebruikelijke PKI-verhaal.
SF
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!