ОБЗОРЫ
Компания Danga Interactive (www.danga.com), прославившаяся созданием "Живого журнала" (ЖЖ, LiveJournal.com), разрабатывает систему распределенной идентификации OpenID (www.danga.com/openid/). Она позволит участникам пользоваться произвольными услугами на любых OpenID-сайтах, один раз к ней подключившись, после чего прохождение авторизации на других ресурсах уже не потребуется.
Системы, поддерживающие всевозможные средства идентификации личности при работе в Сети, существуют в достаточно большом количестве (одна из наиболее известных - Microsoft Passport). Идею единого подключения ко всем сервисам активно внедряют и порталы Google и Yahoo. Однако недостаток подобных подходов в том, что они представляют собой службу централизованного управления, и далеко не все пользователи Интернета желают делегировать контроль за своими действиями частной компании. Есть единичные проекты распределенной поддержки идентификации, однако заложенные в них технологии далеко не лучшие. Другой минус действующих решений в том, что они предлагают статические формы проверок того, что пользователь XYZ - это именно Вася Иванов (например, с привязкой к э-адресу). OpenID же предлагает схему доступа на базе временного идентификационного ключа, даже без пароля.
OpenID-концепция во многом ориентирована на некоммерческие проекты, в частности блоги, и поддержку кросс-комментирования из разных систем. Поэтому предлагаемые ею подходы направлены не столько на обеспечение высокого уровня защиты (хотя и этому уделяется внимание), сколько на удобство клиентов. Одна из идей идентификации конкретного пользователя основана на использовании личной веб-странички или адреса персональной информации в блоге, которая шифруется и закладывается в персональный цифровой ключ. Однако и такая схема содержит немало пробелов. Неясно, например, как отличить обычного пользователя от спамера, который, по аналогии со случайно генерируемым спамовским адресом наподобие hycdbxctlw@pupkin.com , точно так же может создать и произвольное число случайных названий "личных страничек". Не многим лучше концепции централизованного идентификационного сервера принцип распределенных серверов, которые может запустить и поддерживать вообще кто угодно, при этом практически анонимно.
PINs бесплатен, понимает русский, сертифицирован OSI,
шифрует данные 448-разрядным ключом и применяет военные технологии уничтожения секретных сведений
Возможно, OpenID завоюет популярность в некоммерческих службах и послужит хорошим дополнением к уже действующим общедоступным системам персональной идентификации LID (lid. netmesh.org), SourceID (www.sourceid.org) и др. Как нередко бывает, лучшим в подобных сегментах рынка оказывается тот, кто предложит удобные и в то же время высокотехнологичные решения. В этом плане одна из наиболее передовых на сегодня систем подобного назначения - Shibboleth (shibboleth.internet2. edu), развиваемая в рамках проекта по созданию Интернет-технологий нового поколения - Internet2. Она обеспечивает защищенный доступ к всевозможным онлайновым услугам и развивается в основном на деньги Национального научного фонда США (который на днях выделил гранты на стыковку Shibboleth с grid-технологиями).
Проблема распределенных подходов в том, что без централизованного сервера можно обеспечить аутентификацию ("вы действительно тот, кем вы назвались?"), но не авторизацию ("имеете ли вы права для выполнения данной деятельности?"). Да и немалое число действующих централизованных систем подчас решает лишь узкую задачу, помогая ответить на вопрос "кто вы, пользователь?", не имеющую отношения даже к аутентификации. Выход - в исследовании максимального числа различных систем под конкретные проекты, анализ их сильных и слабых сторон, возможно, стыковка, благо они часто поставляются в исходных текстах, или формирование универсальной высокоуровневой надстройки.
Название | Сайт | Описание |
Alternate Password DB | www.alternate-tools.com/pages/ c_passdb.php?lang=ENG | Включает удобную функцию преобразования базы паролей в exe-файл, который можно брать с собой на КПК или флэш-брелке и затем использовать без установки основной программы. В дополнение к простым текстовым значениям позволяет хранить и извлекать зашифрованн |
ID Manager | www.woodensoldier.info/en/soft/idm.htm | Позволяет вставлять пароли в форму в обход стандартного буфера Windows и настраивать сам процесс вставки. Гибко стыкуется с браузером и почтовыми клиентами |
KeyFolder | www.mag2soft.com/KeyFolder/overview.asp | Отличается простым и в то же время приятным дизайном, средствами автоматической архивации БД, а также возможностью ассоциации множества веб-адресов с одним логином/паролем. Реализует алгоритм шифрования MD5 с 128-разрядным ключом |
KeyRing | www.mykeyring.com | Многофункциональный, многопользовательский (бесплатный для одного пользователя), гибко настраиваемый и в то же время простой в использовании пакет, включающий ряд технологий интеллектуального заполнения полей, оригинальную систему быстрых меню, автоматиче |
Multipass | gbsoft.free.fr/index_en.html | Стандартный по набору функций менеджер, ведущий историю паролей |
PINs | www.mirekw.com/winfreeware/pins.html | Не требует инсталляции и дополнительных файлов, сертифицирован институтом открытого кода OSI (Certified Open Source Software), имеются исходные тексты, поддерживает многопользовательский режим и русскоязычный интерфейс, понимает различные форматы вставки, |
PC-Safe | www.geocities.com/bancika/software/index.html | Любительская программа, реализующая оригинальную идею "хранения" паролей, - в БД они вообще не записываются, а лишь используются в качестве ключей 160-разрядного шифрования абстрактных данных, поэтому от похищенной базы хакер вряд ли добьется нужных сведе |
SCARABAY | www.alnichas.info | Многофункциональная многопользовательская программа. Есть русскоязычная версия и подробное описание, но, к сожалению, отсутствуют средства построения дерева |
Security | www.schmidtsoft.com/en.htm | Простая и симпатичная утилита, строит красивое дерево паролей |
Судьей на глобальном рынке все равно будет пользователь - эффективные решения, упрощающие общение в Сети и способные завоевать популярность у большого числа сетевых жителей, со временем наверняка заинтересуют крупных сетевых игроков. Так было, например, с множеством почтовых служб и каталогов, плавно перешедших под крыло крупных порталов. Что касается платных услуг, то бессмысленно конкурировать с массовыми общедоступными решениями наподобие Microsoft Passport, которыми в любом случае будет пользоваться абсолютное большинство подключенных к Сети, а вот выпуск для них многофункциональных расширений и интеграционных сред может оказаться неплохим бизнесом.
В персональной защите
Впрочем, клиентам множества служб, требующих идентификационной информации, можно ограничиться и более простыми, настольными решениями. Имеется немало общедоступных программ, упрощающих ведение собственных паролей, которые не нужно будет запоминать или записывать на листочках. Из поставляемых в исходных текстах менеджеров паролей отметим прежде всего классическую многоплатформенную (для Windows, Linux, Solaris и Mac OS X) систему Password Gorilla (www.fpx.de/fp/Software/Gorilla/), которая хранит БД паролей в зашифрованном файле и дает возможность копировать в буфер нужные логин и пароль для вставки в поля формы браузера или любой другой программы, требующей идентификационные сведения. Эта программа, не отличающаяся изысканным интерфейсом, решает только одну задачу ведения БД паролей в виде дерева с группами и подгруппами, но делает это хорошо.
Любителям возиться с Windows можно порекомендовать более красочную утилиту KeePass (keepass.sourceforge.net) с множеством опций и экзотической функцией генерации паролей случайными движениями мышью. Еще один менеджер паролей Oubliette (sourceforge. net/projects/oubliette/), поставляемый в исходных текстах, к сожалению, не ведет тематическое дерево, предлагая лишь набор категорий с линейным списком паролей в них, он подойдет поклонникам компактности, простоты и элегантного дизайна.
Впрочем, наличие исходных текстов - не всегда плюс. Они полезны, если продукт должен эксплуатироваться в корпоративной среде с ответственными заданиями, и его желательно в целях защиты немного подправить и дополнить. А менеджеры паролей для массового конечного пользователя как раз будут лучше защищены от взлома, если их исходные тексты отсутствуют. Таких бесплатно распространяемых менеджеров в Сети тоже достаточно. Некоторые из них приведены в таблице.
Основной недостаток таких программ в том, что они должны постоянно находиться в памяти (как обычная программа или системная служба), отслеживая обращение к формам браузера или регистрационных приложений, перегружая и без того нередко весьма длинный перечень всевозможных антивирусных и сервисных утилит. Любит это далеко не каждый пользователь. Впрочем, если форм не так много, то вполне можно обойтись обычным, разовым вызовом программы по желанию - удобные функции поиска нужного пароля присутствуют практически в каждом менеджере. А растущая популярность многопользовательских режимов работы с ПК, ноутбуком, КПК и смартфоном делает такие программы незаменимыми, благо базу паролей можно безопасно экспортировать в самые разные форматы.