Компания Danga Interactive (www.danga.com), прославившаяся созданием “Живого журнала”(ЖЖ, LiveJournal.com), разрабатывает систему распределенной идентификации OpenID (www.danga.com/openid/). Она позволит участникам пользоваться произвольными услугами на любых OpenID-сайтах, один раз к ней подключившись, после чего прохождение авторизации на других ресурсах уже не потребуется.

PINs бесплатен, понимает русский, сертифицирован OSI, шифрует данные 448-разрядным ключом и применяет военные технологии уничтожения секретных сведений

Системы, поддерживающие всевозможные средства идентификации личности при работе в Сети, существуют в достаточно большом количестве (одна из наиболее известных — Microsoft Passport). Идею единого подключения ко всем сервисам активно внедряют и порталы Google и Yahoo. Однако недостаток подобных подходов в том, что они представляют собой службу централизованного управления, и далеко не все пользователи интернета желают делегировать контроль за своими действиями частной компании. Есть единичные проекты распределенной поддержки идентификации, однако заложенные в них технологии далеко не лучшие. Другой минус действующих решений в том, что они предлагают статические формы проверок того, что пользователь XYZ — это именно Вася Иванов (например, с привязкой к е-адресу). OpenID же предлагает схему доступа на базе временного идентификационного ключа, даже без пароля.

OpenID-концепция во многом ориентирована на некоммерческие проекты, в частности блоги, и поддержку кросс-комментирования из разных систем. Поэтому предлагаемые ею подходы направлены не столько на обеспечение высокого уровня защиты (хотя и этому уделяется внимание), сколько на удобство клиентов. Одна из идей идентификации конкретного пользователя основана на использовании личной web-странички или адреса персональной информации в блоге, которая шифруется и закладывается в персональный цифровой ключ. Однако и такая схема содержит немало пробелов. Неясно, например, как отличить обычного пользователя от спамера, который, по аналогии со случайно генерируемым спамовским адресом наподобие hycdbxctlw@pupkin.com, точно так же может создать и произвольное число случайных названий “личных страничек”. Не многим лучше концепции централизованного идентификационного сервера принцип распределенных серверов, которые может запустить и поддерживать вообще кто угодно, при этом практически анонимно.

Возможно, OpenID завоюет популярность в некоммерческих службах и послужит хорошим дополнением к уже действующим общедоступным системам персональной идентификации LID (lid. netmesh.org), SourceID (www.sourceid.org) и др. Как нередко бывает, лучшим в подобных сегментах рынка оказывается тот, кто предложит удобные и в то же время высокотехнологичные решения. В этом плане одна из наиболее передовых на сегодня систем подобного назначения — Shibboleth (www.shibboleth.internet2.edu), развиваемая в рамках проекта по созданию интернет-технологий нового поколения — Internet2. Она обеспечивает защищенный доступ к всевозможным онлайновым услугам и развивается в основном на деньги Национального научного фонда США (который на днях выделил гранты на стыковку Shibboleth с grid-технологиями).

Пакет MyKeyRing прост в использовании и включаюет в себя ряд технологий интеллектуального заполнения полей

Проблема распределенных подходов в том, что без централизованного сервера можно обеспечить аутентификацию (“вы действительно тот, кем вы назвались?”), но не авторизацию (“имеете ли вы права для выполнения данной деятельности?”). Да и немалое число действующих централизованных систем подчас решает лишь узкую задачу, помогая ответить на вопрос “кто вы, пользователь?”, не имеющую отношения даже к аутентификации. Выход — в исследовании максимального числа различных систем под конкретные проекты, анализ их сильных и слабых сторон, возможно, стыковка, благо они часто поставляются в исходных текстах, или формирование универсальной высокоуровневой надстройки.

Судьёй на глобальном рынке всё равно будет пользователь — эффективные решения, упрощающие общение в Сети и способные завоевать популярность у большого числа сетевых жителей, со временем наверняка заинтересуют крупных сетевых игроков. Так было, например, с множеством почтовых служб и каталогов, плавно перешедших под крыло крупных порталов. Что касается платных услуг, то бессмысленно конкурировать с массовыми общедоступными решениями наподобие Microsoft Passport, которыми в любом случае будет пользоваться абсолютное большинство подключённых к Сети, а вот выпуск для них многофункциональных расширений и интеграционных сред может оказаться неплохим бизнесом.

В персональной защите

Впрочем, клиентам множества служб, требующих идентификационной информации, можно ограничиться и более простыми, настольными решениями. Имеется немало общедоступных программ, упрощающих ведение собственных паролей, которые не нужно будет запоминать или записывать на листочках. Из поставляемых в исходных текстах менеджеров паролей отметим прежде всего классическую многоплатформенную (для Windows, Linux, Solaris и Mac OS X) систему Password Gorilla (www.fpx.de/fp/Software/Gorilla/), которая хранит БД паролей в зашифрованном файле и даёт возможность копировать в буфер нужные логин и пароль для вставки в поля формы браузера или любой другой программы, требующей идентификационные сведения. Эта программа, не отличающаяся изысканным интерфейсом, решает только одну задачу ведения БД паролей в виде дерева с группами и подгруппами, но делает это хорошо.

Любителям возиться с Windows можно порекомендовать более красочную утилиту KeePass (keepass.sourceforge.net) с множеством опций и экзотической функцией генерации паролей случайными движениями мышью. Ещё один менеджер паролей Oubliette (www.sourceforge.net/projects/oubliette), поставляемый в исходных текстах, к сожалению, не ведёт тематическое дерево, предлагая лишь набор категорий с линейным списком паролей в них, он подойдет поклонникам компактности, простоты и элегантного дизайна.
Впрочем, наличие исходных текстов — не всегда плюс. Они полезны, если продукт должен эксплуатироваться в корпоративной среде с ответственными заданиями и его желательно в целях защиты немного подправить и дополнить. А менеджеры паролей для массового конечного пользователя как раз будут лучше защищены от взлома, если их исходные тексты отсутствуют. Таких бесплатно распространяемых менеджеров в Сети тоже достаточно. Некоторые из них приведены в таблице.

Основной недостаток таких программ в том, что они должны постоянно находиться в памяти, отслеживая обращение к формам браузера или регистрационных приложений, перегружая и без того нередко весьма длинный перечень всевозможных антивирусных и сервисных утилит. Любит это далеко не каждый пользователь. Впрочем, если форм не так много, то вполне можно обойтись обычным, разовым вызовом программы по желанию — удобные функции поиска нужного пароля присутствуют практически в каждом менеджере. А растущая популярность многопользовательских режимов работы с ПК, ноутбуком, КПК и смартфоном делает такие программы незаменимыми, благо базу паролей можно безопасно экспортировать в самые разные форматы.

НАЗВАНИЕ	САЙТ	ОПИСАНИЕ
Alternate Password DB	www.alternate-tools.com/pages/c_passdb.php?lang=ENG	Включает удобную функцию преобразования базы паролей в exe-файл, который можно брать с собой на КПК или флэш-брелке и затем использовать без установки основной программы. В дополнение к простым текстовым значениям позволяет хранить и извлекать зашифрованные (по алгоритму Blowish с 256-разрядным ключом) файлы
ID Manager	www.woodensoldier.info/en/soft/idm.htm	Позволяет вставлять пароли в форму в обход стандартного буфера Windows и настраивать сам процесс вставки. Гибко стыкуется с браузером и почтовыми клиентами
KeyFolder	www.mag2soft.com/KeyFolder/overview.asp	Отличается простым и в то же время приятным дизайном, средствами автоматической архивации БД, а также возможностью ассоциации множества web-адресов с одним логином/паролем. Реализует алгоритм шифрования MD5 с 128-разрядным ключом
Multipass	www.gbsoft.free.fr/index_en.html	Стандартный по набору функций менеджер, ведущий историю паролей
PC-Safe	www.geocities.com/bancika/software/index.html	Любительская программа, реализующая оригинальную идею “хранения” паролей, — в БД они вообще не записываются, а лишь используются в качестве ключей 160-разрядного шифрования абстрактных данных, поэтому от похищенной базы хакер вряд ли добьётся нужных сведений
SCARABAY	www.alnichas.info	Многофункциональная многопользовательская программа. Есть русскоязычная версия и подробное описание, но, к сожалению, отсутствуют средства построения дерева
Security	www.schmidtsoft.com/en.htm	Простая и симпатичная утилита, строит красивое дерево паролей