Ny Microsoft-strategi for digital legitimasjon

Microsoft har skiftet strategi innen digital legitimasjon. Passport skal bygge på den uavhengige Kerberos-standarden og gjøres til en av flere kompatible legitimasjonsordninger.

Microsoft etablerte sin Passport-ordning i 1999. Dette digitale passet lagrer informasjon som du ofte blir bedt om å gi til web-tjenester, som navn, adresse, og så videre, slik at skjemaer kan fylles ut mer eller mindre automatisk. Det fungerer også som legitimasjon når du besøker nettsteder som krever pålogging. Hvis disse anerkjenner Microsoft-passet, gir én pålogging tilgang til alle. Har du aktivert Passport, holder du din legitimasjon foran deg, slik at alle Microsofts Passport-partnere gir deg automatisk tilgang til sine tjenester.

Microsoft Passport har i dag 165 millioner registrerte brukere, og rundt 75 partnere. Det er påkrevet for spesifikke Microsoft-tjenester som Hotmail og den digitale pengepungen Wallet, og for virusverntjenesten McAfee.com til Network Associates. Den har ikke fått den utbredelsen Microsoft håpet: Med bare 75 partnere utgjør ikke Passport noen reell standard for det som var målet, én pålogging for alle tjenester på Internett, eller, med andre ord, en form for universell digital legitimasjon.

Personvernorganisasjoner som Electronic Privacy Information Center (EPIC) og kommersielle aktører som Sun og Junkbusters har rettet hard kritikk mot Passport. I en offisiell klage til konkurransemyndighetene Federal Trade Commission (FTC) i juli fra EPIC og Junkbusters het det at Microsoft var i ferd med å bruke Windows-monopolet til å etablere et nytt monopol innen Internett-legitimering og -autentisering, at Passport gir Microsoft ukontrollerbar tilgang til en enorm database med personopplysninger - som sagt, 165 millioner brukere allerede i dag - og at Microsofts slette praksis innen IT-sikkerhet innebærer stor fare for lekkasjer til uvedkommende.

Påstanden om ulovlig bruk av Windows-monopolet til å etablere et nytt monopol, ble blant annet belagt med en henvisning til det som skjer når du første gang bruker et nyinstallert system under Windows XP til å aksessere Internett. Da får du nemlig opp et vindu med denne teksten, under overskriften "Legg ditt .NET Passport til Windows XP": "Du har nettopp koplet deg til Internettet. Du trenger et Passport for å bruke Windows XP Internett-egenskaper (som øyeblikksmeldinger, tale-chat og video) og til å aksessere .NET-tjenester på Internettet." Under er den tilforlatelige beskjeden "Klikk her for å sette opp ditt Passport nå". I nittini av hundre tilfeller vil Microsoft ha registrert enda en bruker.

I august ble klagen fra EPIC og Junkbusters utvidet med påstanden om at det er praktisk umulig for brukere å avslutte sin Passport-konto og slette personlig informasjon. Den utvidede klagen reiste også mistanke mot Microsoft for å prøve å gjøre det umulig å begi seg ut på Internett.

FTC har informert EPIC og Junkbusters at klagene er under etterforskning. Det er ikke satt noen tidsfrist i forbindelse med denne etterforskningen.

I forrige uke kunngjorde Microsoft en ny strategi for Passport, som til en viss utstrekning etterkommer krav som ligger implisitt i den omfattende kritikken. Microsoft sammenlikner Passport i dagens versjon med de første bankkortsystemene der kort til en bank ikke kunne brukes hos andre, og mener det er påkrevet med en standard som gjør det mulig for Passport og konkurrerende tjenester å brukes om hverandre. Microsoft foreslår følgelig at slike tjenester bygger på den uavhengige standarden Kerberos fra Massachusetts Institute of Technology, og har varslet at neste versjon av Passport, fra og med 2002, vil baseres på Kerberos.

En annen konsesjon til kritikken er at andre enn Microsoft skal gis anledning til å forvalte egne Passport-databaser, slik at Microsoft ikke samler alle Passport-brukere hos seg.



Den nye strategien har ikke fått kritikken til å forstumme, blant annet fordi Microsoft ikke tar opp motforestillinger knyttet til deres bruk av Windows XP til å fremme sin egen Passport-tjeneste, og fortsetter å avvise legitime bekymringer knyttet til misbruk av personopplysninger og manglende muligheter til å opptre anonymt på nettet.

Sun har varslet at de med det første vil kunngjøre et prosjekt for uavhengig og universell digital legitimasjon. Ifølge ZDNet er prosjektet døpt "Liberty" og er på et svært tidlig stadium.

Andre konkurrerende prosjekter for digital legitimasjon kjøres av AOL, først og fremst beregnet på egne abonnenter, og av Free Software Foundation med noe de kaller DotGNU.

Til toppen