ОБЗОРЫ

Компания Danga Interactive (www.danga.com), прославившаяся созданием "Живого журнала" (ЖЖ, LiveJournal.com), разрабатывает систему распределенной идентификации OpenID (www.danga.com/openid/). Она позволит участникам пользоваться произвольными услугами на любых OpenID-сайтах, один раз к ней подключившись, после чего прохождение авторизации на других ресурсах уже не потребуется.

Системы, поддерживающие всевозможные средства идентификации личности при работе в Сети, существуют в достаточно большом количестве (одна из наиболее известных - Microsoft Passport). Идею единого подключения ко всем сервисам активно внедряют и порталы Google и Yahoo. Однако недостаток подобных подходов в том, что они представляют собой службу централизованного управления, и далеко не все пользователи Интернета желают делегировать контроль за своими действиями частной компании. Есть единичные проекты распределенной поддержки идентификации, однако заложенные в них технологии далеко не лучшие. Другой минус действующих решений в том, что они предлагают статические формы проверок того, что пользователь XYZ - это именно Вася Иванов (например, с привязкой к э-адресу). OpenID же предлагает схему доступа на базе временного идентификационного ключа, даже без пароля.

OpenID-концепция во многом ориентирована на некоммерческие проекты, в частности блоги, и поддержку кросс-комментирования из разных систем. Поэтому предлагаемые ею подходы направлены не столько на обеспечение высокого уровня защиты (хотя и этому уделяется внимание), сколько на удобство клиентов. Одна из идей идентификации конкретного пользователя основана на использовании личной веб-странички или адреса персональной информации в блоге, которая шифруется и закладывается в персональный цифровой ключ. Однако и такая схема содержит немало пробелов. Неясно, например, как отличить обычного пользователя от спамера, который, по аналогии со случайно генерируемым спамовским адресом наподобие hycdbxctlw@pupkin.com , точно так же может создать и произвольное число случайных названий "личных страничек". Не многим лучше концепции централизованного идентификационного сервера принцип распределенных серверов, которые может запустить и поддерживать вообще кто угодно, при этом практически анонимно.

PINs бесплатен, понимает русский, сертифицирован OSI,

шифрует данные 448-разрядным ключом и применяет военные технологии уничтожения секретных сведений

Возможно, OpenID завоюет популярность в некоммерческих службах и послужит хорошим дополнением к уже действующим общедоступным системам персональной идентификации LID (lid. netmesh.org), SourceID (www.sourceid.org) и др. Как нередко бывает, лучшим в подобных сегментах рынка оказывается тот, кто предложит удобные и в то же время высокотехнологичные решения. В этом плане одна из наиболее передовых на сегодня систем подобного назначения - Shibboleth (shibboleth.internet2. edu), развиваемая в рамках проекта по созданию Интернет-технологий нового поколения - Internet2. Она обеспечивает защищенный доступ к всевозможным онлайновым услугам и развивается в основном на деньги Национального научного фонда США (который на днях выделил гранты на стыковку Shibboleth с grid-технологиями).

Проблема распределенных подходов в том, что без централизованного сервера можно обеспечить аутентификацию ("вы действительно тот, кем вы назвались?"), но не авторизацию ("имеете ли вы права для выполнения данной деятельности?"). Да и немалое число действующих централизованных систем подчас решает лишь узкую задачу, помогая ответить на вопрос "кто вы, пользователь?", не имеющую отношения даже к аутентификации. Выход - в исследовании максимального числа различных систем под конкретные проекты, анализ их сильных и слабых сторон, возможно, стыковка, благо они часто поставляются в исходных текстах, или формирование универсальной высокоуровневой надстройки.

Название

Сайт

Описание

Alternate Password DB  

www.alternate-tools.com/pages/

c_passdb.php?lang=ENG

Включает удобную функцию преобразования базы паролей в exe-файл, который можно брать с собой на КПК или флэш-брелке и затем использовать без установки основной программы. В дополнение к простым текстовым значениям позволяет хранить и извлекать зашифрованн

ID Manager  

www.woodensoldier.info/en/soft/idm.htm

Позволяет вставлять пароли в форму в обход стандартного буфера Windows и настраивать сам процесс вставки. Гибко стыкуется с браузером и почтовыми клиентами

KeyFolder

www.mag2soft.com/KeyFolder/overview.asp

Отличается простым и в то же время приятным дизайном, средствами автоматической архивации БД, а также возможностью ассоциации множества веб-адресов с одним логином/паролем. Реализует алгоритм шифрования MD5 с 128-разрядным ключом

KeyRing  

www.mykeyring.com

Многофункциональный, многопользовательский (бесплатный для одного пользователя), гибко настраиваемый и в то же время простой в использовании пакет, включающий ряд технологий интеллектуального заполнения полей, оригинальную систему быстрых меню, автоматиче

Multipass

gbsoft.free.fr/index_en.html

Стандартный по набору функций менеджер, ведущий историю паролей

PINs  

www.mirekw.com/winfreeware/pins.html

Не требует инсталляции и дополнительных файлов, сертифицирован институтом открытого кода OSI (Certified Open Source Software), имеются исходные тексты, поддерживает многопользовательский режим и русскоязычный интерфейс, понимает различные форматы вставки,

PC-Safe

www.geocities.com/bancika/software/index.html

Любительская программа, реализующая оригинальную идею "хранения" паролей, - в БД они вообще не записываются, а лишь используются в качестве ключей 160-разрядного шифрования абстрактных данных, поэтому от похищенной базы хакер вряд ли добьется нужных сведе

SCARABAY

www.alnichas.info

Многофункциональная многопользовательская программа. Есть русскоязычная версия и подробное описание, но, к сожалению, отсутствуют средства построения дерева

Security  

www.schmidtsoft.com/en.htm

Простая и симпатичная утилита, строит красивое дерево паролей

Судьей на глобальном рынке все равно будет пользователь - эффективные решения, упрощающие общение в Сети и способные завоевать популярность у большого числа сетевых жителей, со временем наверняка заинтересуют крупных сетевых игроков. Так было, например, с множеством почтовых служб и каталогов, плавно перешедших под крыло крупных порталов. Что касается платных услуг, то бессмысленно конкурировать с массовыми общедоступными решениями наподобие Microsoft Passport, которыми в любом случае будет пользоваться абсолютное большинство подключенных к Сети, а вот выпуск для них многофункциональных расширений и интеграционных сред может оказаться неплохим бизнесом.

В персональной защите

Впрочем, клиентам множества служб, требующих идентификационной информации, можно ограничиться и более простыми, настольными решениями. Имеется немало общедоступных программ, упрощающих ведение собственных паролей, которые не нужно будет запоминать или записывать на листочках. Из поставляемых в исходных текстах менеджеров паролей отметим прежде всего классическую многоплатформенную (для Windows, Linux, Solaris и Mac OS X) систему Password Gorilla (www.fpx.de/fp/Software/Gorilla/), которая хранит БД паролей в зашифрованном файле и дает возможность копировать в буфер нужные логин и пароль для вставки в поля формы браузера или любой другой программы, требующей идентификационные сведения. Эта программа, не отличающаяся изысканным интерфейсом, решает только одну задачу ведения БД паролей в виде дерева с группами и подгруппами, но делает это хорошо.

Любителям возиться с Windows можно порекомендовать более красочную утилиту KeePass (keepass.sourceforge.net) с множеством опций и экзотической функцией генерации паролей случайными движениями мышью. Еще один менеджер паролей Oubliette (sourceforge. net/projects/oubliette/), поставляемый в исходных текстах, к сожалению, не ведет тематическое дерево, предлагая лишь набор категорий с линейным списком паролей в них, он подойдет поклонникам компактности, простоты и элегантного дизайна.

Впрочем, наличие исходных текстов - не всегда плюс. Они полезны, если продукт должен эксплуатироваться в корпоративной среде с ответственными заданиями, и его желательно в целях защиты немного подправить и дополнить. А менеджеры паролей для массового конечного пользователя как раз будут лучше защищены от взлома, если их исходные тексты отсутствуют. Таких бесплатно распространяемых менеджеров в Сети тоже достаточно. Некоторые из них приведены в таблице.

Основной недостаток таких программ в том, что они должны постоянно находиться в памяти (как обычная программа или системная служба), отслеживая обращение к формам браузера или регистрационных приложений, перегружая и без того нередко весьма длинный перечень всевозможных антивирусных и сервисных утилит. Любит это далеко не каждый пользователь. Впрочем, если форм не так много, то вполне можно обойтись обычным, разовым вызовом программы по желанию - удобные функции поиска нужного пароля присутствуют практически в каждом менеджере. А растущая популярность многопользовательских режимов работы с ПК, ноутбуком, КПК и смартфоном делает такие программы незаменимыми, благо базу паролей можно безопасно экспортировать в самые разные форматы.