Специалисты спорят, готова ли Сеть к появлению глобальных служб аутентификации
Корпорация Microsoft завершает работы над новой версией своей Web-службы глобальной аутентификации Passport, которая должна стать одним из центральных звеньев инициативы .Net. Параллельно с этим заметно активизируются защитники права на тайну частной жизни.
Очередной вариант средств аутентификации Passport 2.0, которые войдут в состав набора Web-служб Hailstorm, появился как реакция на жалобы пользователей, недовольных недостаточным, по их мнению, уровнем безопасности, обеспечиваемым системой Passport. В Федеральную торговую комиссию США был направлен иск против использования средств Passport в новой операционной системе Windows XP.
«Учитывая то, что Passport становится все более важной частью инициативы .Net, в Microsoft подчеркивают свое стремление обеспечить более высокую степень безопасности в новых версиях службы аутентификации», — отметил Кит Браун, инженер компании DevelopMentor, в своей заметке, опубликованной на сайте разработчиков MSDN.
Версия Passport 2.0 будет поддерживать новые функции, направленные на повышение уровня безопасности, в том числе и технологию P3P (Platform for Privacy Preferences).
Браун и другие специалисты, непосредственно связанные с проектом Microsoft Hailstorm, утверждают, что вслед за Passport 2.0 корпорация планирует выпустить новую версию этой службы, обеспечивающую еще более высокий уровень безопасности. В Web-службах Microsoft следующего поколения, сроки появления которых пока не называются, в основу системы аутентификации будет положен стандарт обеспечения безопасности Kerberos. Наряду с Kerberos система аутентификации станет поддерживать смарт-карты, а также биометрические и цифровые сертификаты.
Kerberos — стандарт, разработанный исследователями Массачусетсского технологического института. В настоящее время он представлен на утверждение комитета Internet Engineering Task Force. Корпорация Microsoft планирует использовать вариант Kerberos, аналогичный тому, который был включен в операционную систему Windows 2000.
«Он станет основным средством безопасной аутентификации подписчиков Passport, обращающихся к Web-службам, — сообщил технический консультант Microsoft Дэвид Чаппелл. — Таким же образом будет производиться аутентификация пользователей Hailstorm».
«Несмотря на утверждения о том, что усилия Microsoft в области безопасности не могут удовлетворить пользователей, интеграцию в Passport средств Kerberos я рассматриваю как очень существенное дополнение, — заметил Ричард Смит, один из руководителей группы Privacy Foundation, подписавшей обращение в Федеральную торговую комиссию. — Использование Kerberos — важный шаг в направлении повышения безопасности, однако это не следует напрямую связывать с защитой тайны частной жизни. Но думаю, что с помощью Kerberos разработчикам Microsoft удастся решить целый ряд вопросов, касающихся безопасности».
Служба аутентификации Passport позволяет своим пользователям сообщить системе основные данные о себе (например, адрес электронной почты или почтовый индекс). После этого они могут регистрироваться на любом Web-сайте, поддерживающем Passport, без повторного ввода информации персонального характера. Microsoft использует данную технологию в своей Internet-службе MSN, а также в целом ряде других технологий (в частности, в бесплатной электронной почте Hotmail). Кроме того, уже более 200 партнеров корпорации поддерживают Passport, в том числе Internet-магазины Starbucks.com и Buy.com.
По мере дальнейшего развития рынка Web-служб и соответствующего программного обеспечения роль аутентификационных систем, подобных Passport, возрастает. В корпорации AOL Time Warner работают над созданием аналогичной аутентификационной технологии одноразовой унифицированной подписки Magic Carpet («ковер-самолет»), которая упростит клиентам AOL доступ к Web-ресурсам компании. По словам представителей AOL, в настоящее время Magic Carpet уже является одним из компонентов службы AOL Screen Name Service.
Несмотря на множество вопросов, связанных с обеспечением безопасности и защитой тайны частной жизни, специалисты в целом с интересом относятся к технологии Passport.
«Такие средства обязательно будут востребованы, — отметил инженер компании Goldman Sachs Group. — Перед подобными службами открывается огромный рынок».
В Goldman Sachs разработали свою собственную систему аутентификации, поддерживающую различные клиентские Internet-службы (в частности, средства для участия в операциях на фондовом рынке), но, по словам ее представителей, эта система не в состоянии полностью удовлетворить потребности компании: «Мы стараемся делать все возможное, однако решить данную задачу очень сложно».
«Microsoft может столкнуться и с другими трудностями, — заметил Браун. — Интеграция средств Kerberos, P3P и прочих технологий не позволяет справиться с целым рядом более очевидных вопросов. К примеру, вполне возможно появление сайтов с фальшивым приглашением зарегистрироваться в Passport. В результате злоумышленники получат в свое распоряжение информацию об именах и паролях нерасчетливых клиентов».
«Прежде всего нам следует спросить себя, готова ли Сеть к появлению подобных служб, — резюмировал Браун. — Лично у меня пока нет ответа на этот вопрос».