Met de CardSpace-software kunnen gebruikers eenvoudiger en sneller persoonlijke informatie en inloggegevens verschaffen bij websites. Die informatie wordt niet rechtstreeks aan de website verstrekt, maar deze ontvangt een gegenereerde code of 'token'. In combinatie met SSL (Secure Sockets Layer) zou het token moeten zorgen voor een ultieme extra beveiligingslaag.

Token onderscheppen

Vorige week zeiden onderzoekers van het Horst Görtz Institute for IT Security in Duitsland de virtuele identiteitssoftware van Microsoft te hebben gekraakt door via pharming het token te onderscheppen. Hierna kan de hacker de identiteit van het slachtoffer online gebruiken.

'Geen zorgen'

Op zijn blog zet Microsofts beveiligingschef Roger Halbheer echter grote vraagtekens bij de gevaren van zo'n CardSpace-hack. "Het is een belachelijke zaak. In het kort komt het hierop neer: als je alle waarschuwingen van het besturingssysteem negeert en alle beschermingsmogelijkheden van Vista weghaalt, is het mogelijk om CardSpace aan te vallen. Dat is waar, maar het baart me geen zorgen", aldus Halbheer.

Video van Cameron

Halbheer vraagt het publiek te oordelen of er sprake is van een kwetsbaarheid in CardSpace. Microsoft heeft nog niet officieel gereageerd op de CardSpace-kwestie, maar ook Kid Cameron, Chief Architect of Identity van het softwarebedrijf, ontkent dat het om een kraak gaat. "Het systeem valt niet te ondermijnen zonder medewerking van de gebruiker", aldus Cameron, die de stapen voor een aanval een voor een onderuithaalt in een filmpje.