Руководители Microsoft пообещали, что компания будет интегрировать OpenID со своим программным обеспечением управления идентификационной информацией CardSpace, которое теперь предлагается вместе с Vista. «Объединение CardSpace и OpenID 2.0 – это действительно гигантский шаг вперед», - подчеркнул Манди. За счет интеграции этих двух технологий, как заметил Манди, Microsoft рассчитывает «снять вопрос о возможности использования посредника для проведения атаки». В такого рода атаках, которые все чаще используются для фишинга, хакеры крадут уязвимую информацию, создавая фиктивный Web-сайт, передающий информацию между жертвой атаки и легитимным Web-сайтом.
Сделать регистрацию проще
OpenID – это новый свободно распространяемый стандарт, который упрощает задачу регистрации на множестве различных Web-сайтов. Гейтс и Манди на конференции много говорили о том, как их компания планирует упростить защиту и облегчить процесс управления цифровыми идентификационными записями.
Специалисты по ИТ могут добиться этих целей, избавившись от паролей для регистрации и заменив их на надежные методы аутентификации на основе сертификатов, такие как смарт-карты. «Пароли не только ненадежны. Они создают серьезную проблему. Чем больше у вас паролей, тем все становится хуже, - заметил Гейтс. – В целом мы рассматриваем смарт-карты и сертификаты как средства, которые должны использоваться для решения данной задачи. Мы предложим сертификаты как альтернативу ненадежным паролям».
Microsoft рассчитывает, что появление 1 мая пакета Identity Lifecycle Manager 2007, который был представлен на RSA, станет серьезным стимулом к активному использованию смарт-карт. Это программное обеспечение интегрирует технологию (которую в 2005 году Microsoft приобрела с покупкой компании Alacris) с разрабатываемым корпорацией решением Identity Integration Server. Данный продукт упростит интеграцию надежных средств аутентификации, таких как смарт-карты, в сети Microsoft.
По мнению Манди, защита будет работать, если технологические компании до определенной степени изменят свое отношение к ней. «Защита действительно была камнем преткновения, - заметил Манди. – Как это можно изменить, чтобы механизмы защиты стали проще для всех, кто хочет получить разрешение на доступ к сети».
Разные мнения
Microsoft планирует добиться этого, делая ставку на использование таких технологий, как IPsec и IPv6. Компания уже применяла эти технологии два с половиной года назад во внутренних системах управления доступом, которые позволяют предоставлять сотрудникам и специалистам, работающим по контракту, доступ к необходимым им данным и приложениям, но, как подчеркнул Манди, изолируют их от остальной части сети.
Поскольку почти каждую неделю приходят сообщения об обнаружении все новых нарушений защиты (зачастую после потери мобильного компьютера), компаниям необходимо подумать о безопасности не только периметра своих сетей. «Модель угрозы меняется коренным образом. Мы можем и дальше инвестировать в эту идею крепости, повсеместной защиты, но я не думаю, что это разумно, - заметил Манди. – Наш замок достаточно уязвим, поскольку многие наши активы из него пропали».
И все же идея, изложенная руководителями Microsoft, впечатлила далеко не всех. «Это была самая пустая и не наглядная презентация, которую мне доводилось видеть на RSA за многие годы, - заметил директор по технологии подразделения Counterpane компании BT Group Брюс Шнейер. – Мне кажется, что большинство тех, кто находился в аудитории, могли бы порассуждать на эту тему, поскольку именно такой путь обеспечения защиты мы все и выбрали».
Выступление, во время которого Гейтс и его преемник сидели бок о бок и иногда один заканчивал мысль другого, по мнению Шнейера, выглядело весьма символично с точки зрения передачи власти. Гейтс уйдет со своего поста в июле 2008 года, и тогда всю исследовательскую работу в Microsoft возглавит Манди.
Тем не менее Шнейер не думает, что Гейтс появится на конференции в следующем году. «В следующем году Крейг вернется, но Билл нет», - заметил он.