"אבטחת המידע ואמינותו של שירות פספורט (Passport) של מיקרוסופט מוטלים בספק רב, ולא צפוי כי אלו ישתפרו במהלך השנתיים הקרובות. גיגה מאמינה כי בהסתמכות על שירות פספורט קיים סיכון גדול מדי, ומצד שני היתרונות הקיימים בשירות קטנים מדי, ולפיכך לא מומלץ לארגונים להשתמש בשירות זה, כתחליף לניהול בסיס המשתמשים הארגוני באופן עצמאי על ידי הארגון", כך אומרים בנייר עבודה חדש שפירסמו אנליסטים בתחום אבטחת מידע בחברת המחקר והייעוץ הבינלאומית גיגה אינפורמיישן גרופ.
שירות פספורט של מיקרוסופט הוא מערכת מבוססת אינטרנט, המיועד לביצוע התחברות חד פעמית למערכות שונות (single sign-on). השירות היה במקור בשימוש על ידי אתר MSN ושירותים מקוונים אחרים של מיקרוסופט, אולם הורחב על מנת לשמש כרכיב הזיהוי המרכזי ביוזמת NET של מיקרוסופט, ומשמש כיום אתרים רבים נוספים.
גיגה מציינת כי לשירות פספורט יש היסטוריה ארוכה של בעיות תפעוליות, הכוללות נקודות חולשה בתחום אבטחת מידע ונפילות שרתים שחלקן נמשכו מספר ימים. רק בתחילת החודש הנוכחי התגלה פגם אבטחה, שאם ינוצל לרעה עלול לחשוף את המידע הקיים ב"ארנק" של המשתמש בפספורט. מיד עם פרסום החור באבטחה פעלה מיקרוסופט לתיקון הבעיה, אולם הדבר התבטא בהורדה נוספת של המערכת.
גיגה מציינת כי אפשרי שגם עסקים מקוונים אחרים יסבלו מעת לעת מבעיות דומות. יחד עם זאת, החזון של מיקרוסופט, לפיו ארגונים ועסקים אחרים יסתמכו על מערכת פספורט לצורך זיהוי המשתמשים בעת ביצוע עסקות מסחר אלקטרוני מקוונות, מביא לעומס יתר על החברה. כל תקרית נוספת המתרחשת סביב פספורט פוגמת שוב ושוב באמינותה של מיקרוסופט, בכל הקשור ליכולתה להריץ ולתפעל שירות מאובטח ואמין אשר ארגונים אחרים יכולים לבסס עליו את עסקיהם המקוונים.
מאחר שארגונים המבססים את עסקיהם המקוונים על שירות זה צריכים להיות בטוחים מפני הונאות, שימוש לרעה במערכת, פגיעה במוניטין שלהם ועוד, ממליצה גיגה לארגונים לנהל את כל המידע הקשור למשתמשים שלהם בעצמם. האנליסטים של גיגה מציינים כי מידע אישי ופיננסי של המשתמשים שלהם הוא חשוב מכדי להפקיד אותו לניהולו של גורם חיצוני, במיוחד כאשר לגורם הזה יש היסטוריה ארוכה של בעיות ותקלות, כמו למערכת פספורט.
גיגה: אמינותו ובטיחותו של שירות "פספורט" של מיקרוסופט מפוקפקים
25.11.2001 / 13:50