CardSpace wordt geleverd met Windows Vista en is bedoeld om het voor de internetgebruiker eenvoudiger en veiliger te maken om inloggegevens en persoonlijke informatie te verschaffen. Wanneer een website om persoonlijke informatie vraagt, zoals een adres of creditcardnummer, dan kan deze informatie worden opgeslagen op de computer van de gebruiker, of bij een externe partij die de identiteit kan bevestigen (de identity provider).

CardSpace kan deze informatie bewaren als virtuele identiteitskaart op de computer van de gebruiker. Wanneer een website om informatie vraagt, kan een gebruiker simpelweg één van deze identiteitskaarten kiezen, waardoor niet alle informatie opnieuw hoeft te worden ingevuld.

Persoonlijke informatie

Wanneer een gebruiker inlogt op een website, kan hij de identity provider vragen om de inloggegevens automatisch te verschaffen, zodat de gebruiker zelf niet allerlei verschillende inloggegevens hoeft te onthouden. Dit concept wordt single sign-on genoemd. De persoonlijke informatie wordt daarbij niet rechtstreeks aan de website verschaft, maar in plaats daarvan ontvangt de website een gegenereerde code, een zogenaamd 'token', hetgeen in combinatie met SSL (Secure Sockets Layer) zou moeten zorgen voor een ultieme extra beveiligingslaag.

Informatie onderschept

Sebastian Gajek, Xuan Chen en Jörg Schwenk, de onderzoekers van het Horst Görtz Institute for IT Security in Duitsland tonen echter aan dat het mogelijk is om deze token te onderscheppen via CardSpace. Een hacker die daarin slaagt kan de token vervolgens zelf gebruiken om toegang te krijgen tot de beoogde website en wellicht gevoelige informatie naar deze site te versturen. Dit staat lijnrecht tegenover het doel van Microsoft, dat met CardSpace juist wil bijdragen aan de strijd tegen identiteitsdiefstal.

Pharming

De token kan worden onderschept wanneer een gebruiker wordt omgeleid naar een malicieuze webserver. Het DNS van het slachtoffer wordt aangepast waarna de gebruiker naar de webserver wordt omgeleid. Op deze server wordt de token vervolgens onderschept. Dit heet pharming.

Het draait op dit moment echter nog wel om een theoretische dreiging, aangezien de methode volgens de onderzoekers nog niet actief is gebruikt om online identiteiten te kapen. Volgens het drietal is het echter aannemelijk dat dit op korte termijn zal gebeuren. Microsoft zegt het probleem op dit moment te onderzoeken.