Паспорт Microsoft в Windows 10

Паспорт Microsoft существует довольно давно. Он служит единой точкой для всех продуктов Microsoft, таких как Outlook.com, OneDrive, Messenger (когда он был жив), людей, контактов и т. Д. В Windows 10, Microsoft Passport заменит пароли сильной двухфакторной аутентификацией, состоящей из зарегистрированного устройства и Windows Hello (биометрического) или PIN-кода. В этом сообщении представлен обзор того, как Microsoft намеревается использовать Microsoft Passport в Windows 10.

Что такое Microsoft Passport

В общем, Microsoft Passport состоит из двух служб — единого входа в систему, который позволяет членам использовать одно имя и пароль для входа в систему и услугу «Кошелек», которую участники могут использовать для быстрой и удобной покупки в Интернете.

Двухфакторная аутентификация в паспорте Microsoft

Microsoft представила двухфакторную аутентификацию пару лет назад, когда киберпреступники активизировали свою деятельность в Интернете. Однако в его текущем состоянии были проблемы с использованием двухфакторной аутентификации.

Сначала вы вводите пароль, а затем получаете PIN-код, который вы должны ввести. Если по телефону это становится проблемой, особенно если ОЗУ телефона низкое. Кроме того, в своем текущем сценарии, когда вы хотите пойти на двухфакторную аутентификацию, вам нужно создать разные пароли для разных приложений, которые вы используете. Вам даже нужно создать «пароль приложения» для почтового клиента Microsoft Outlook и ввести его вместо реального пароля Microsoft, который вы используете для входа в систему через веб-браузер.

Все это изменится с помощью Паспорт Microsoft в Windows 10, В настоящее время двухфакторная аутентификация является необязательной. Microsoft сделает обязательным для всех использование двухфакторной аутентификации. Это будет не так сложно, как сейчас. Будет два ключа: один с Microsoft и один с пользователем. Пользователю нужен только пользовательский ключ для доступа к защищенным приложениям Microsoft.

Первичный ключ с Microsoft — это сертификат или прошивка. То есть вам не нужно будет вводить эту информацию в поля входа. Тогда будет PIN-код, который вы получите. Этот PIN-код откроет двери для продуктов Microsoft.

Windows Hello

Мы уже говорили о ПИН. Пользователи, желающие получить дополнительную защиту, могут выбрать Windows Hello, который будет представлять собой какой-то жест, который вы используете на экране входа в систему, чтобы получить доступ к защищенным ресурсам.

Windows Hello is the name Microsoft has given to the new biometric sign-in system built into Windows 10. Because it is built directly into the operating system, Windows Hello allows face or fingerprint identification to unlock users’ devices. Authentication happens when the user supplies his or her unique biometric identifier to access the device-specific Microsoft Passport credentials, which means that an attacker who steals the device can’t log on to it unless that attacker has the PIN. The Windows secure credential store protects biometric data on the device. By using Windows Hello to unlock a device, the authorized user gains access to all of his or her Windows experience, apps, data, websites, and services, says TechNet.

Некоторые из существующих телефонов используют определенные виды жестов для экрана блокировки. Видно, как Windows Hello будет отличаться от текущих экранов блокировки, но Microsoft заявляет, что она будет лучше, чем текущие жесты на экранах блокировок, и обеспечит повышенную безопасность. Согласно TechNet, жест будет согласован с первым шагом в двухфакторной аутентификации — сертификатом, назначенным Windows.

В первый раз потребуется больше времени, так как вам нужно получить сертификат, а затем настроить PIN-код или Windows Hello. После того, как все настроено, вы можете получить доступ к продуктам Microsoft в будущем, просто введя ПИН или выбранный вами жест. Таким образом, от SMS не потребуется ждать PIN-кода. Вы просто рисуете жест, и вы входите.

Предпосылки для Microsoft Passport

Прежде чем вы сможете использовать Microsoft Passport на своем предприятии, вам необходимо убедиться в том, что вы отвечаете предварительным требованиям.

Режим Microsoft Passport	Azure AD	Active Directory (AD) на месте	Azure AD / AD гибрид
Аутентификация на основе ключа	Подписка на Azure AD	Служба федерации Active Directory (AD FS) (Windows 10) Несколько контроллеров домена Windows 10 на сайтеMicrosoft System Center 2012 R2 Configuration Manager SP2	Azure AD подпискаAzure AD ConnectA несколько контроллеров домена Windows 10 на сайтеConfiguration Manager SP2
Аутентификация на основе сертификатов	Поддержка Azure ADIntune или управление мобильными устройствами (MDM), отличное от Microsoft.	ADFS (Windows 10) Доменные службы Active Directory (AD DS) инфраструктура Windows 10 schemaPKIСистема диспетчеризации конфигурации SP2, Intune или не-Microsoft MDM	Azure AD подпискаPKI инфраструктураConfiguration Manager SP2, Intune или не-Microsoft MDM-решение

Как работает Microsoft Passport в Windows 10

Пакет Microsoft Passport, как было сказано ранее, будет основан на сертификате — асимметричной паре ключей — для обеспечения безопасности данных пользователя. Поставщик удостоверений — учетная запись Microsoft — создаст открытый ключ во время процесса регистрации и будет идентифицировать его каждый раз, когда пользователь попытается войти в систему. Если вместо сертификатов используется прошивка, они должны соответствовать: наличие такой прошивки должно быть там, а ключ, хранящийся криптографически на прошивке, должен совпадать с ключом, сгенерированным во время процесса регистрации.

Вот сложная часть. Сертификат не будет работать на всех устройствах, поскольку он будет храниться локально на устройстве, особенно если это сертификат, основанный на оборудовании. Он даже не отправляется на сервер. Таким образом, это может заставить пользователей пройти процесс регистрации на каждом устройстве отдельно. Однако открытый ключ (PIN-код или жест) может использоваться на разных устройствах, что облегчает пользователям, поскольку им не нужно запоминать разные PIN-коды и жесты.

Все сказанное, эта новая функция в Windows 10 обязательно приведет к удобству пользователя и повышению безопасности.

Паспорт Microsoft в Windows 10

Microsoft Passport существует довольно давно. Он служит единой точкой входа для всех продуктов Microsoft, таких как Outlook.com, OneDrive, Messenger (когда он был активен), сотрудников, контактов и многого другого. В Windows 10 Microsoft Passport заменит пароли строгой двухфакторной аутентификацией, которая состоит из зарегистрированного устройства и Windows Hello (биометрическая) или PIN-кода. Этот пост предлагает обзор того, как Microsoft намеревается использовать Microsoft Passport в Windows 10.

Что такое паспорт Microsoft

Вообще говоря, Microsoft Passport состоит из 2 служб – единой службы входа в систему, которая позволяет участникам использовать одно имя и пароль для входа в систему, и службы кошелька, которую участники могут использовать для быстрых и удобных покупок в Интернете.

Двухфакторная аутентификация в паспорте Microsoft

Microsoft ввела двухфакторную аутентификацию пару лет назад, когда киберпреступники увеличили свою активность в Интернете. Однако были проблемы с использованием двухфакторной аутентификации в ее текущем состоянии.

Сначала – вы вводите пароль, а затем вы получаете PIN-код, который необходимо ввести. Если на телефоне это становится проблемой, особенно если на телефоне мало оперативной памяти. Кроме того, в текущем сценарии, когда вы хотите использовать двухфакторную аутентификацию, вы должны создавать разные пароли для разных приложений, которые вы используете. Вам даже нужно создать «пароль приложения» для почтового клиента Microsoft Outlook и ввести его вместо реального пароля Microsoft, который вы используете для входа через веб-браузер.

Все это можно изменить с помощью Microsoft Passport в Windows 10 . Прямо сейчас двухфакторная аутентификация не является обязательной. Microsoft сделает обязательным для всех использование двухфакторной аутентификации. Это не будет так сложно, как сейчас. Там будет два ключа, один с Microsoft и один с пользователем. Пользователю нужен только ключ пользователя, чтобы получить доступ к защищенным приложениям Microsoft.

Первичным ключом у Microsoft будет сертификат или прошивка. То есть вам не нужно вводить эту информацию в поля для входа. Тогда будет PIN-код, который вы получите. Этот PIN-код откроет двери для продуктов Microsoft.

Windows Hello

Мы уже говорили о ПИН-коде. Пользователи, которым нужна дополнительная защита, могут выбрать Windows Hello, что было бы своего рода жестом, который вы рисуете на экране входа, чтобы получить доступ к защищенным ресурсам.

Windows Hello – это имя, которое Microsoft дала новой биометрической системе входа, встроенной в Windows 10. Поскольку Windows Hello встроена непосредственно в операционную систему, она позволяет идентифицировать лица или отпечатки пальцев для разблокировки пользовательских устройств. Аутентификация происходит, когда пользователь предоставляет свой уникальный биометрический идентификатор для доступа к учетным данным Microsoft Passport для конкретного устройства, что означает, что злоумышленник, который украл устройство, не сможет войти в него, если у этого злоумышленника нет PIN-кода. Безопасное хранилище учетных данных Windows защищает биометрические данные на устройстве. По словам TechNet, используя Windows Hello для разблокировки устройства, авторизованный пользователь получает доступ ко всем своим приложениям, данным, веб-сайтам и службам Windows.

Некоторые из существующих телефонов используют определенные виды жестов для блокировки экрана. Видно, чем Windows Hello будет отличаться от текущих экранов блокировки, но Microsoft действительно говорит, что это будет лучше, чем текущие жесты на экранах блокировки, и обеспечит повышенную безопасность. Согласно TechNet, этот жест будет сопоставлен с первым этапом двухфакторной аутентификации – сертификатом, который Windows назначил вам.

Первый раз займет больше времени, так как вам нужно получить сертификат, а затем настроить PIN-код или Windows Hello. После того, как все настроено, вы можете в будущем получить доступ к продуктам Microsoft, просто введя PIN-код или выбранный вами жест. Таким образом, вам не нужно будет ждать получения PIN-кода по SMS. Вы просто рисуете жест, и вы в.

Предварительные условия для Microsoft Passport

Прежде чем вы сможете использовать Microsoft Passport на своем предприятии, вам необходимо убедиться, что вы соответствуете предварительным требованиям.

Режим Microsoft Passport
Azure AD
Active Directory (AD) локально
Azure AD/AD гибрид

Аутентификация на основе ключей	подписка Azure AD	Служба федерации Active Directory (AD FS) (Windows 10) Несколько локальных контроллеров домена Windows 10Microsoft System Center 2012 R2 Configuration Manager с пакетом обновления 2 (SP2)	подписка Azure AD. Azure AD Connect. Несколько контроллеров домена Windows 10 на месте Configuration Manager SP2
Проверка подлинности на основе сертификатов	Azure AD subscriptionIntune или решение для управления мобильными устройствами сторонних разработчиков (MDM). Инфраструктура PKI	ADFS (Windows 10) Доменные службы Active Directory (AD DS). Инфраструктура schemaPKI для Windows 10. Диспетчер конфигурации SP2, Intune или решение не для Microsoft MDM	подписка Azure AD на инфраструктуру PKI Configuration Manager с пакетом обновления 2 (SP2), Intune или решение не для Microsoft MDM

Как работает Microsoft Passport в Windows 10

Microsoft Passport, как было сказано ранее, будет основан на сертификате – асимметричной паре ключей – для обеспечения безопасности пользовательских данных. Поставщик удостоверений – учетная запись Microsoft – создаст открытый ключ во время процесса регистрации и будет идентифицировать его каждый раз, когда пользователь пытается войти в систему. Если вместо сертификатов используется микропрограмма, они должны совпадать: наличие такой микропрограммы должно присутствовать и Ключ, хранящийся криптографически в прошивке, должен совпадать с ключом, сгенерированным в процессе регистрации.

Вот сложная часть. Сертификат не будет работать на разных устройствах, так как он будет храниться локально на устройстве, особенно если это аппаратный сертификат. Он даже не отправляется на сервер. Таким образом, это может заставить пользователей проходить процесс регистрации на каждом устройстве отдельно. Однако открытый ключ (PIN-код или жест) можно использовать на разных устройствах, что облегчает пользователям задачу, поскольку им не нужно запоминать различные PIN-коды и жесты.

Как уже говорилось, эта новая функция в Windows 10 наверняка приведет к удобству пользователя и повышению безопасности.

Национальная библиотека им. Н. Э. Баумана
Bauman National Library

Персональные инструменты

Microsoft Passport

Microsoft Passport

Разработчики:	Microsoft Corporation
Состояние разработки:	Активно
Операционная система:	Microsoft Windows
Платформа:	x86, x86-64
Локализация:	English
Лицензия:	Проприетарное
Веб-сайт	microsoft .com

Microsoft Passport — технология строгой двухфакторной аутентификации компании Microsoft Corporation, встраиваемая в операционную систему Microsoft Windows и заменяющая повторно используемые пароли сочетанием конкретного устройства и биометрического жеста или PIN-кода.

Содержание

Что такое Microsoft Passport

В Microsoft Passport реализована полностью интегрированная в Windows надежная двухфакторная проверка подлинности, которая заменяет повторно используемые пароли сочетанием конкретного устройства и биометрического жеста или PIN-кода. Впрочем, Microsoft Passport — это не просто замена традиционных систем двухфакторной проверки подлинности. Эта система в принципе аналогична смарт-картам: проверка подлинности выполняется с использованием криптографических примитивов вместо сравнения строк, а материал ключа пользователя надежно хранится внутри устойчивого к взлому оборудования. Microsoft Passport не требует и дополнительных компонентов инфраструктуры, например, устройств для использования смарт-карт. В частности, вам не нужна инфраструктура открытых ключей (PKI) для управления сертификатами, если ее у вас нет. Microsoft Passport сочетает в себе основные достоинства смарт-карт — гибкость в развертывании виртуальных смарт-карт и высокую безопасность физических, однако без их недостатков. [Источник 1]

Принцип работы Microsoft Passport

После того как пользователь настроит Microsoft Passport на компьютере, Microsoft Passport создаст новую пару из открытого и закрытого ключей на устройстве. Доверенный платформенный модуль (TPM) создает и защищает этот закрытый ключ. Если на устройстве нет микросхемы TPM, закрытый ключ шифруется и защищается программным обеспечением. Кроме того, устройство с поддержкой TPM создает блок данных, который можно использовать, чтобы убедиться, что ключ привязан к TPM. Эти данные аттестации можно использовать в вашем решении, чтобы решить, например, предоставить ли пользователю другой уровень авторизации. Чтобы включить Microsoft Passport на устройстве, пользователю необходимо иметь учетную запись Azure Active Directory или учетную запись Майкрософт, подключенную в параметрах Windows.

Принцип защиты ключей

Каждый раз при формировании материала ключа его необходимо защищать от атак. Самым надежным способом обеспечения такой защиты является использование специализированного оборудования. У использования аппаратных модулей безопасности для создания, хранения и обработки ключей для приложений, безопасность которых имеет важнейшее значение, длительная история. Смарт-карты являются особым типом аппаратных модулей безопасности, как и устройства, совместимые со стандартом TPM организации TCG. При любой возможности реализация Microsoft Passport пользуется для создания, хранения и обработки ключей имеющимся оборудованием TPM. Однако наличие оборудования TPM для работы Microsoft Passport и Microsoft Passport for Work не является обязательным.

Майкрософт рекомендует всегда использовать оборудование TPM. TPM защищает от множества известных и потенциальных атак, в том числе атак методом подбора PIN-кода. Кроме того, TPM обеспечивает дополнительный уровень защиты после блокировки учетной записи. После того, как TPM заблокирует материал ключа, пользователю будет необходимо сбросить PIN-код. Сброс PIN-кода означает, что все ключи и сертификаты, зашифрованные с использованием материала старого ключа, будут удалены.

Проверка подлинности

Если пользователь хочет получить доступ к материалу защищенного ключа, процесс проверки подлинности начинается с ввода пользователем PIN-кода или биометрического жеста для разблокировки устройства. Этот процесс иногда называют «освобождением ключа».

Приложение не может использовать ключи из другого приложения, а кто-либо не может применять ключи другого пользователя. Эти ключи используются для подписания запросов, отправляемых поставщику удостоверений или IDP для получения доступа к определенным ресурсам. Приложения могут использовать определенные API для запроса операций, которым требуется материал ключа для определенных действий. Для доступа через эти API-интерфейсы требуется явная проверка с помощью жеста пользователя, а материал ключа не предоставляется запрашивающему приложению. Вместо этого приложение запрашивает указанное действие (например, подписать фрагмент данных), а уровень Microsoft Passport выполняет саму работу и возвращает результаты. [Источник 2]

Сам процесс проверки подлинности выполняется следующим образом.

1. Клиент отправляет пустой запрос проверки подлинности в IDP. (Делается это только для подтверждения установления связи.)
2. IDP возвращает задачу, которая называется nonce.
3. Устройство подписывает элемент nonce соответствующим закрытым ключом.
4. Устройство возвращает исходный элемент nonce, подписанный элемент nonce и идентификатор ключа, который использовался для подписания элемента nonce.
5. IDP получает открытый ключ, указанный идентификатором ключа, проверяет с его помощью подпись на элементе nonce, а также проверяет соответствие элемента nonce, возвращенного устройством, первоначальному элементу nonce.
6. Если все проверки, выполняемые на шаге 5, проходят успешно, IDP возвращает два элемента данных: симметричный ключ, который зашифрован с помощью открытого ключа устройства, и маркер безопасности, зашифрованный с помощью симметричного ключа. Устройство расшифровывает симметричный ключ с помощью своего закрытого ключа, а затем расшифровывает маркер с помощью этого симметричного ключа.
7. Устройство выполняет обычный запрос проверки подлинности для первоначального ресурса, передавая маркер, полученный от IDP, в качестве подтверждения проверки подлинности.

При проверке подписи IDP удостоверяет, что запрос поступил от указанного пользователя и устройства. Закрытый ключ устройства подписывает элемент nonce, что позволяет IDP определить удостоверение запрашивающих пользователя и устройства с тем, чтобы можно было применить политики для доступа к содержимому с учетом пользователя, типа устройств или и того и другого. Например, IDP может разрешить доступ к одному набору ресурсов только с мобильных устройств и другому набору — с настольных устройств.

Подготовка к реализации Passport

Теперь, когда мы имеем основное представление о работе Microsoft Passport и Windows Hello, рассмотрим, как реализовать их в собственных приложениях. Для полной ясности: когда мы говорим об API, мы говорим об API Microsoft Passport. В настоящее время для Windows Hello отсутствуют API.

Существуют различные сценарии, которые можно реализовать с помощью Microsoft Passport. Например, просто вход в ваше приложение на устройстве. Другим часто используемым сценарием будет проверка подлинности в службе. Вместо использования имени и пароля для входа используется Microsoft Passport. В следующих главах мы обсудим реализацию нескольких различных сценариев, в том числе проверку подлинности в службах с помощью Microsoft Passport и способы перехода от существующей системы имени пользователя и пароля для входа к системе Microsoft Passport.

Регистрация новых пользователей

Чтобы выполнять вход с помощью Microsoft Passport с использованием поставщика идентификаторов (IDP), пользователю необходимо настроенное устройство, т. е. жизненный цикл Microsoft Passport начинается с настройки использования Microsoft Passport на устройстве. Когда устройство настроено, пользователь может задействовать его для проверки подлинности в службах. В данном разделе мы рассматриваем работу регистрации устройств: что происходит, когда пользователь запрашивает проверку подлинности, как хранится и обрабатывается материал ключа и как серверы и компоненты инфраструктуры задействованы на различных этапах этого процесса.

Процесс регистрации происходит следующим образом.

1. Пользователь настраивает учетную запись на устройстве. Эта учетная запись может быть локальной учетной записью на устройстве или учетной записью домена, хранимой на локальном домене Active Directory, учетной записью Майкрософт или учетной записью Azure AD. На новом устройстве этот шаг может быть столь же простым, как выполнение входа с использованием учетной записи Майкрософт. При выполнении входа с использованием учетной записи Майкрософт на устройстве с Windows 10 автоматически настраивается Microsoft Passport на этом устройстве. Пользователю не нужно выполнять никакие дополнительные действия для включения этой функции.
2. Для выполнения входа с использованием этой учетной записи пользователю нужно ввести имеющиеся учетные данные. IDP, «владеющий» учетной записью, получает учетные данные и выполняет проверку подлинности пользователя. Эта проверка подлинности IDP может использовать имеющийся второй фактор проверки подлинности или подтверждение. Например, пользователь, который регистрирует новое устройство с использованием учетной записи Azure AD, должен предоставить подтверждение по SMS, отправляемое Azure AD.
3. Когда пользователь предоставит подтверждение IDP, включатся проверка подлинности с PIN-кодом.

PIN-код будет связан с данными конкретными учетными данными.

Когда пользователь завершит эту процедуру, Microsoft Passport создаст на устройстве новую пару из открытого и закрытого ключа. TPM создаст и сохранит этот закрытый ключ. Если на устройстве нет TPM, то открытый ключ будет зашифрован и сохранен в программном виде. Этот начальный ключ называется защитным ключом. Он связан только с одним жестом. Иными словами, если пользователь зарегистрирует PIN-код, отпечаток пальца и лицо на одном устройстве, каждый из этих жестов будет иметь свой уникальный защитный ключ. Защитный ключ представляет собой надежную оболочку для ключа проверки подлинности в определенном контейнере. Каждый контейнер имеет лишь один ключ проверки подлинности, но может существовать несколько копий ключа, помещенных в оболочку разных уникальных защитных ключей (каждый из которых связан с уникальным жестом). Кроме того, в Microsoft Passport создается административный ключ, с помощью которого пользователь или администратор может при необходимости сбросить учетные данные. В дополнение к защитному ключу на устройствах с поддержкой TPM создается блок данных, содержащих аттестации из TPM.

Чтобы позволить пользователю получать доступ к приложению на нескольких устройствах, внутренней службе понадобится сохранить несколько ключей для одного пользователя. Поскольку каждый ключ уникален для каждого устройства, мы сохраним все эти ключи подключенными к одному пользователю. Идентификатор устройств используется, чтобы помочь оптимизировать серверную часть при проверке подлинности пользователей. Мы поговорим об этом подробнее в следующей главе. [Источник 3]

Восстановление учетной записи

Есть несколько способов восстановить учётную запись Windows Live ID. Во-первых, если не получается войти в свою учётную запись, для восстановления можно ответить на предварительно сохранённый секретный вопрос, также используя своё местоположение. Если с учётной записью предварительно был сопоставлен номер мобильного телефона, можно использовать его. Если ни один из указанных способов не сработал, можно воспользоваться «ручной» верификацией владельца. Этот процесс занимает некоторое время (до 48-72 часов). Для восстановления требуется предоставить ключевую информацию об учётной записи. Критерии очень строгие, поэтому требуется предоставить как можно больше деталей по каждому из вопросов. Возможно, придётся связаться с контактами из адресной книги учётной записи, чтобы предоставить такую информацию как заголовки писем и контактные адреса электронной почты. Не гарантируется, что агенты службы поддержки смогут идентифицировать личность владельца и помочь в восстановлении учётной записи.

Преимущества и недостатки использования паспорта

Преимущества для пользователей

• быстрая идентификация — в течение работы пользователю достаточно один раз ввести имя и пароль и получить доступ ко всем ресурсам, поддерживающим паспорт;
• уменьшение временных затрат — пользователь не тратит время на изучение, как же зарегистрироваться на сайте и на сам процесс регистрации. Он видит стандартные кнопки единого входа и сразу осуществляет вход;

анонимное использование — пользователь имеет возможность не раскрывать адрес электронной почты и другие свои настоящие данные.

Преимущества для владельцев ресурсов

• уменьшение времени разработки — на подключение паспорта требуется несколько часов. Это значительно меньше, чем нужно на разработку собственной системы идентификации пользователей. Тем более, чтобы обеспечить такой же уровень безопасности;
• снижение затрат на поддержку — нет необходимости разбираться с вопросами типа «я забыл пароль, что мне делать». Все вопросы уже решены и продуманы в паспорте;
• большая клиентская база — в настоящее время выдано уже более 200 миллионов паспортов. Все эти миллионы пользователей могут быстро и удобно воспользоваться вашим ресурсом и не уйдут с него на странице регистрации;
• Microsoft Passport тесно интегрирован с Windows XP. Пользователю достаточно один раз настроить паспорт, чтобы потом, входя в локальную сеть, автоматически проходить идентификацию в паспорте. Паспорт будет тесно интегрирован и с другими продуктами Microsoft, например, Windows .NET Server;
• готовность к подключению дополнительных сервисов — паспорт является ключевым сервисом из набора сервисов Microsoft, работа над которыми идет в настоящее время. Эти сервисы способны дать новое качество вашему ресурсу, но для их работы необходимо использование паспорта.

Паспорт, как и любая система, не лишена недостатков. Я бы выделил два основных недостатка: удаленность серверов идентификации и стоимость использования. Удаленность системы имеет значение, поскольку получается, что доступ к вашим ресурсам зависит не только от работоспособности вашего ресурса и паспорта, но и от работоспособности канала связи между вашим сервером и серверами паспорта. Ведь сейчас вся идентификация происходит в едином месте. Однако со временем эта проблема будет все менее актуальной. В планах Microsoft создание федеративной системы серверов. При этом идентификация будет проходить на ближайшем сервере, независимо от того, где пользователь получал свой паспорт. Другая проблема в стоимости использования. Использование паспорта бесплатно для клиентов. Но сервер, чтобы иметь возможность работать с паспортом, должен заключить договор и оплачивать ежегодную абонентскую плату. Стоимость которой, на текущий момент, достаточно высока. В этом направлении также ведутся работы. Возможно, стоимость использования в разных странах будет отличаться (как отличаются по стоимости локализованные версии продуктов). Также планируется возможность использования паспорта через ASP-провайдеров. [Источник 4]