微软的分散ID梦想进入了现实世界

2021-03-03 02:06:12

多年来,科技公司一直在吹捧区块链技术,作为开发安全且分散的身份系统的一种手段。目标是建立一个平台,该平台可以存储有关官方数据的信息,而无需自己保存实际文件或详细信息。例如,去中心化的ID平台可能会存储一个经过验证的令牌来确认其中的信息,而不仅仅是存储对出生证明的扫描。然后,当您在酒吧刷卡或需要公民身份证明时,可以共享这些经过预先验证的凭据,而不是实际的文档或数据。微软一直是这一产品组合的领导者之一,并且正在详细说明其去中心化数字ID愿景的切实进展。

在今天的Ignite会议上,微软宣布它将在今年春季启动其“ Azure Active Directory可验证凭据”的公开预览。将该平台视为Apple Pay或Google Pay之类的数字钱包,但用于标识符而不是信用卡。微软从大学成绩单,文凭和专业证书开始,让您将其与两因素代码一起添加到其Microsoft Authenticator应用程序中。它已经在东京的庆应义,大学,比利时的法兰德斯政府以及英国的国家卫生服务局对该平台进行了测试。

"如果您有分散的身份证明,我可以验证您上学的地点,而我不需要您将所有信息都寄给我,微软云和企业标识部门的公司副总裁Joy Chik说。 “我所需要做的就是获得该数字证书,并且由于它已经被验证,因此我可以信任它。"

Microsoft将在未来几周内发布软件开发工具包,组织可使用该工具包开始构建发布和请求凭据的应用程序。该公司表示,从长远来看,它希望该系统可以在全球范围内用于从租房到为没有文件而苦苦挣扎的难民建立身份的所有事情,这实际上是所有分散身份验证工作的梦想。

例如,在NHS试点中,医疗保健提供者可以要求现有的NHS医疗保健工作者获得专业认证,他们可以依次选择允许该访问,从而简化了转移到以前需要更多工作的另一家医疗机构的流程。来回。在Microsoft的设置下,如果收件人不再需要访问权限,则还可以撤消对凭据的访问权限。

“在NHS系统中,每家医院的医护人员去之前,都要花费数月的时间来验证自己的资格,然后才能进行实践, k “现在从字面上看,需要五分钟才能入院并开始治疗患者。”

广泛采用分散式ID计划的最大障碍是互操作性。那里有10个竞争性框架不会使任何人都容易做。目前,有一些潜在的竞争对手,例如仍在测试中的万事达(Mastercard)产品。微软的无处不在可能使它成为集结大量用户的理想人选。考虑到这一点,该公司根据开放式身份验证标准(例如,万维网联盟的WebAuthn)开发了Azure Active Directory可验证的凭据。这将使客户更容易采用该平台,其他技术巨头也可以更轻松地在其产品中支持该平台的使用。目前,微软正与数字身份合作伙伴Acuant,Au10tix,Idemia,Jumio,Socure,Onfido和Vu Security合作,对该平台进行试验,Chik表示其目标是随着时间的推移迅速扩展该列表。

"我们相信要做到这一点,我们需要整个社区的参与。没有任何组织可以做到这一点,"微软安全,法规遵从和身份认证公司副总裁Vasu Jakkal说。 "一次,我们正朝着这一愿景迈进。

微软于2017年正式开始其去中心化身份计划的工作,并在过去几年中逐步构建了基础架构。该系统基于比特币区块链,并使用称为Sidetree的开放协议向区块链添加交易记录(在本例中为身份验证)。微软表示,Azure Active Directory可验证凭据使用Sidetree的自定义但仍开源的实施,称为Identity Overlay Network。组织将能够运行自己的ION“节点”来验证和存储其成员(例如公民,学生或雇员)的标识符。

"我们知道这不会在一夜之间发生,但是我们认为这将对用户和组织都具有吸引力,"微软的Chik说。 “并不是每个组织都希望成为个人信息的保管人,但他们需要它来验证信息或进行业务交易。这成为一种责任和义务,但这对于只需要验证数据的组织来说是一个吸引人的选择。"

尽管Microsoft不会将任何用户数据直接保存为分散身份方案的一部分,但这种方法可能使Microsoft帐户对已经垂涎的攻击者来说更有价值。怀疑的俄罗斯行为者最近进行的Solarwinds违规事件和相关的黑客攻击活动突显了组织在安全地实施Microsoft现有身份管理服务方面所面临的挑战。黑客利用对第三方IT服务公司Solarwinds的访问来渗透目标。从那里开始,在许多情况下,他们操纵了组织如何设置Microsoft Active Directory以便更深入地了解他们的Microsoft 365电子邮件系统和Azure云存储的缺陷。黑客还直接针对Microsoft,并查看了该公司受严格保护的一些源代码。

威胁情报公司CrowdStrike的首席执行官George Kurtz上周在证词中说:“威胁者利用了Windows身份验证体系中的系统缺陷。”他援引Active Directory和Azure Active Directory的“身份验证体系结构限制”。

微软表示,将建立其新的去中心化身份平台,以便即使帐户被盗,攻击者也不能仅仅使用您经过验证的凭据来获得学生的购买折扣或以您的名义申请贷款。

“除了控制访问权限外,开发人员还可以使用来自其分散标识符的密钥对用户数据进行加密,从而进一步保护用户数据,”微软发言人在一份声明中告诉《连线》。 "基于这种方法,不良行为者可能会获得对系统或数据存储的访问权限,但如果没有单个用户的密钥,就无法解密数据。

实际上,这意味着实施Azure Active Directory可验证凭据的组织可以构建其系统,以要求额外的身份验证(例如物理令牌)来访问您的学生成绩单或专业资格验证。但是,每个组织的实施可能略有不同的事实可能意味着保护不一致。分散ID计划长期以来一直面临的挑战是,即使它们减少了其他风险,它们也创造了新型风险的潜力。

“隐私,权力下放和可信赖性很难同时实现。康奈尔大学(Cornell University)的计算机科学家兼联合负责人EminGünSirer说:加密货币和合约倡议。 "但更重要的是,这些技术需要重新考虑身份的概念。在这里,大多数企业都会步履蹒跚,因为他们的业务模式与了解和利用用户的每一个数据并从中获利紧密地联系在一起。

GünSirer说,这并不意味着不可能有可用的分散式身份验证平台。像Microsoft这样的公司肯定可以推动新技术的大规模采用。但是,对于不想停止收集数据的组织和不想接受已经由像微软这样已经强大的公司驱动的另一项基本服务的组织而言,去中心化ID服务可能都是一项艰巨的任务。

"正确实施的去中心化数字身份解决方案有望为用户提供更多控制权,"昆·塞勒(GünSirer)说。我只是从根本上怀疑我们需要的突破可能来自集中的软件供应商。

想要最健康的最佳工具?查看我们的Gear团队精选的最佳健身追踪器,跑步装备(包括鞋子和袜子)和最佳耳机