Аутентификация, то есть надежное подтверждение подлинности пользователя — ключевой элемент минимально безопасной информационной системы. Если система не может быть уверена, что перед ней находится именно тот, за кого выдает себя обратившийся к ней пользователь, нет смысла говорить о более сложных механизмах защиты.
И если посмотреть правде в глаза, до сих пор решение этой, казалось бы, простой задачи наталкивается на трудности. Появившиеся за полвека развития компьютерной техники методы аутентификации укладываются в три класса, в зависимости от используемого так называемого аутентификационного фактора — уникальной информации, предъявление которой доказывает подлинность пользователя. Вот эти три класса:
- аутентификация по паролю («что я знаю»);
- аппаратные средства аутентификации («что я имею»);
- биометрическая аутентификация («кем я являюсь»).
Рассмотрим, насколько каждый из этих классов адекватен задачам сегодняшнего дня.
Пароли, пароли, пароли…
Аутентификация по паролю — самый «древний» и до сих пор популярный метод. Преимуществом является удобство реализации, так как для ввода пароля требуется только клавиатура или сенсорный экран.
Стойкость этого метода аутентификации основана на предположении о том, что пароли известны только пользователям, а их разнообразие, зависящее от длины парольного слова и объема используемого алфавита, исключает перебор (даже с помощью компьютера). Кроме того, канал ввода пароля в систему должен быть доверенным, то есть исключать возможность перехвата при вводе и передаче, и, наконец, сам пароль должен надежно храниться и периодически меняться пользователем.
Однако как показывает практика, ни одно из этих предположений на практике не может быть выполнено на 100%.
Начнем с того, что большинство пользователей не способны запомнить сложные пароли. Статистика1 показывает, что если пользователей не принуждать, то 10% выберут пароль длиной не более 5 символов, 60% — не более 7. А ведь для того чтобы исключить перебор с помощью современной вычислительной техники, пароль должен содержать не менее 8 символов, включающих цифры и латинские буквы с различением регистров. В этом случае количество паролей достигает 218 триллионов. Но если пользователь будет выбирать только цифры — это число сократится в 2 млн раз, до количества, которое персональный компьютер способен перебрать за несколько минут.
Чтобы представить себе реальную картину стойкости используемых паролей, достаточно воспользоваться тем же исследованием компании Positive Technologies. Например, около 8% паролей приходится на варианты «123…». 52% пользователей выбирают числовые пароли (как правило, номера телефонов и дни рождений), 4% паролей совпадают с именем пользователя, почти 15% можно найти в общедоступных словарях. Конечно, можно принудительно заставить пользователя выбирать длинный и неслучайный пароль, однако в этом случае с большой вероятностью пользователь приклеит стикер с ним на монитор или запишет его карандашом на клавиатуре. Если гиперболизировать ситуацию, то получается, что либо пароль будет секретным, но простым, либо несекретным, но сложным.
Конечно, сценарий, по которому злоумышленник может использовать неограниченное число попыток подбора, тем более с помощью программы, возможен в очень ограниченном числе случаев. Как правило, при удаленной аутентификации (например на сайте) серия из 5–10 неудачных попыток подбора считается атакой, от которой защищаются запросом CAPTCHA-кода (искаженной последовательностью символов, которую прочитать может только человек) и блокированием запросов от подозрительного IP-адреса. Но если на сайте миллион пользователей (не так много для популярных социальных сетей, почтовых служб, платежных систем), и для каждого из них можно попробовать 5 самых популярных паролей (пусть на них приходится всего 1%), то будет дискредитировано 10 тыс. записей! И защититься от этого можно, только если весь миллион пользователей использует сложные и длинные пароли.
Другим важным условием стойкости механизма парольной аутентификации является невозможность его перехвата. Даже в закрытых системах здесь слишком много возможностей для потенциального злоумышленника:
- подглядывание при наборе пароля пользователем, в том числе с применением скрытых средств видеонаблюдения (например, «случайно» оставленного мобильного телефона);
- использование кейлогеров — средств, тайно записывающих все нажатия на клавиатуре; они могут быть как программными («троянцы»), так и аппаратными (небольшое устройство с проходным разъемом и памятью, включаемое в разъем для клавиатуры, особенно опасно, так как абсолютно автономно и не обнаруживается антишпионскими программами);
- фишинг («выуживание») паролей путем предъявления пользователю ложных интерфейсов ввода (программные окна, фальшивые сайты);
- перехват побочного электромагнитного излучения от клавиатуры, кабеля, соединяющего ее с системным блоком;
- перехват акустического излучения клавиатуры при вводе пароля. Это кажется экзотикой, но в нескольких исследованиях показана возможность различения по звуковым колебаниям нажимаемых клавиш2.
Особую проблему представляют пароли при удаленной аутентификации. В этом случае вероятность перехвата информации, которой обмениваются между собой, например, пользователь и веб-сервер, приближается к единице. Здесь многое зависит от используемого протокола аутентификации. Конечно, передача пароля в открытом виде, как это было, например, в протоколе PAP, давно не практикуется. Отходят в прошлое и протоколы, которые передавали пароли в виде хеш-образа, так как перехваченный хеш открывает возможность для неограниченного подбора пароля (см. выше). В настоящее время, как правило, используются протоколы двусторонней аутентификации типа «запрос — ответ». Но здесь необходимы аккуратная реализация всех звеньев протокола и высокая компетентность пользователей. Если же пользователь просто вводит пароль и не проверяет сертификат посещаемого сайта, то ему легко навязать фальшивый фишинг-сайт, через который пароль окажется в руках у злоумышленника.
Как видим, при использовании этого метода, особенно в открытых системах, надежная аутентификация гарантирована, только если используется «сильный» протокол и «сильный» пароль. Добиться этого, полагаясь только на сознательность пользователей и недоверенную вычислительную среду, очень трудно.
Железный век
Успехи микроэлектроники и дезавуирование парольной защиты привели к появлению в 90-х годах доступных систем аппаратной аутентификации. Этот вид аутентификации основан на том, что каждый пользователь обладает неким уникальным электронным устройством. Наибольшее распространение получили смарт-карты и аппаратные токены3 — автономные и USB. Лидерами этого рынка являются компании Active Card, Aladdin Knowledge Systems и Rainbow Technologies (обе входят в компанию SafeNet), RSA Data Security, VASCO.
Преимущество современных аппаратных токенов в том, что они позволяют аппаратно реализовать наиболее важные части протоколов аутентификации.
Токены первого поколения, которые все еще используются, по запросу системы попросту возвращали секретное значение. И хотя само значение в отличие от «человеческого» пароля могло быть существенно более сложным и длинным, в целом токены первого поколения были подвергнуты тем же атакам, что и обычные парольные механизмы.
Современные токены второго поколения аппаратно реализуют алгоритмы шифрования, хеширования и электронной цифровой подписи, поэтому позволяют надежно реализовать наиболее критические элементы протоколов аутентификации, а также решать гораздо больший круг задач информационной безопасности. «Секрет» в таких токенах всегда остается внутри и никогда не передается даже в компьютер; извлечь его оттуда в принципе невозможно. Токеном можно и шифровать файлы, и подписывать электронные документы.
Проблема использования токенов заключается только в необходимости установки драйверов и другого ПО, что может оказаться невозможным при работе из интернет-кафе, гостиницы, с коммуникатора и т. д. Однако и одних драйверов здесь недостаточно: для реализации механизма аутентификации необходимо ПО промежуточного слоя (например криптопровайдера). Поэтому здесь еще можно ожидать интересных технологических новинок.
Еще более простое устройство, удобное для удаленной аутентификации, — автономный токен, напоминающий брелок от автосигнализации. В небольшом корпусе с цифровым дисплеем находится генератор одноразовых паролей (OTP). При нажатии на кнопку устройство выдает последовательность из шести цифр, которую пользователь вводит в поле для ввода пароля в веб-форме. В целях усиления надежности такого способа аутентификации можно совместить одноразовый пароль с запоминаемой частью, тогда укравший устройство не сможет получить доступ к данным. Перехваченная или подсмотренная злоумышленником комбинация ничего ему не дает, так как действительна лишь единожды.
Резюме: аппаратные средства простой однофакторной аутентификации обеспечивают решение задачи аутентификации, однако при условии, что токен или смарт-карты не будут утеряны владельцем или переданы другому лицу.
Блеск и нищета биометрии
Биометрическая аутентификация предполагает измерение и сопоставление с базой данных уникальных характеристик человека: лица, радужной оболочки глаза, папиллярного узора (отпечатки пальцев), голоса и других. В конце 90-х начинается бум биометрии, на нее возлагаются слишком большие надежды. Действительно, в идеале биометрические устройства позволяют совместить идентификацию (ввод имени) и аутентификацию (доказательство подлинности). На первый взгляд, преодолеваются недостатки парольной и аппаратной аутентификации: биометрические характеристики дают необходимое разнообразие, их невозможно забыть, потерять, передать другому. Плюс к этому добавляется удобство для пользователя, которому, как в голливудских фильмах, достаточно только приложить руку к сканеру и «получить доступ».
Перегретый интерес к биометрии демонстрирует следующий факт: по прогнозам Yano Research Institute, при объеме рынка биометрических систем в 2003 году в $700 млн на 2008-й прогнозировалось $4,6 млрд: средний рост — около 100% в год! На самом деле в 2009 году, по данным Acuity Market Intelligence, объем рынка достиг только $2,5 млрд, и на ближайшее десятилетие эта исследовательская компания прогнозирует рост менее чем в 20% в год.
Так что по прошествии некоторого времени после бума аутентификации, который подогревался в том числе заинтересованными фирмами-производителями, приходится признать, что в чистом виде эти системы аутентификации себя не оправдали. Провалом, например, обернулась эксплуатация после событий 11 сентября системы FaceIt. Установленная во многих американских аэропортах, она должна была опознавать преступников по базе фотографий. Однако печальный опыт показал, что здесь нет ни безопасности (не удалось задержать ни одного преступника), ни удобства (ложными срабатываниями система просто доводила до исступления полицейских). Это касается и других методов биометрической аутентификации. В начале 2002 года японский криптограф Цутомо Мацумото наглядно продемонстрировал, что с помощью «суперклея», желатина и формовочного пластика можно по отпечатку пальца (!) изготовить его муляж, «признаваемый» биометрическим сканером. Аналогичные результаты были получены и другими энтузиастами, о чем можно узнать, например, из книги Бёрда Киви «Гигабайты власти».
В целом, слабость биометрии заключается в том, что используемые биометрические признаки (изображение лица, снимок глаза, отпечаток пальца) могут быть скопированы с человека, в том числе помимо его воли. Разработчики ищут биометрические признаки, которые имеют скрытый характер, но которые было бы удобно использовать. В этом плане весьма интересна, например, представленная еще в 2005 году японской Fujitsu методика на основе распознавания рисунка кровеносных сосудов ладони.
В настоящее время биометрическая аутентификация освоила несколько ниш. Например, она находит применение в потребительской сфере, где используется в телефонах и ноутбуках. У владельцев мобильных устройств она создает иллюзию удобной и исключительно надежной аутентификации, к тому же с претензией на эксклюзивность, что, собственно, от нее и требуется.
Есть ли выход?
Как видим, ни одна из систем аутентификации, имея очевидные преимущества, не свободна от недостатков. Все они гарантируют высокую надежность аутентификации только в условиях безопасного окружения при понимании ограничений того или иного метода. Парольная аутентификация надежна только при наличии защищенного соединения между пользователем и системой, использовании сложных паролей, защиты от подмены интерфейса и кейлогеров. Аппаратные средства аутентификации надежны, только если можно гарантировать, что пользователи их не потеряют или не передадут злоумышленникам.
В настоящее время рынок информационной безопасности логически приходит к использованию многофакторной аутентификации, когда пользователь для доказательства своей подлинности должен предъявить два и более аутентификационных факторов разной природы. Например, системы интернет-платежей и банки, практикующие интернет-услуги, уже несколько лет используют метод аутентификации, при котором пользователь должен ввести как пароль, так и цифровой код, который он получает посредством СМС-сообщения. При этом предполагается, что к мобильному телефону имеет доступ только его владелец, хотя ничто не мешает злоумышленникам с этой целью украсть мобильный телефон или по фальшивой доверенности оформить у мобильного оператора новую сим-карту.
В удаленных системах, как наиболее уязвимых к атакам на механизм аутентификации, используют и другие факторы: например, IP-адрес компьютера (хотя подавляющее большинство интернет-пользователей имеют динамический адрес), характеристики компьютера (MAC-адрес, серийные номера процессора, жестких дисков и т. д.), а также CAPTCHA-коды для различения людей и ботов (поскольку боты имеют гораздо больше возможностей для лобовых атак).
Перспективным представляется сочетание USB-токенов с требованием ввода паролей или биометрических данных. То есть пользователь должен не только вставить в разъем компьютера токен, но и ввести PIN-код, доказав, что он является законным владельцем токена. Такие решения уже появились на российском рынке и внедрены в ряде компаний. Другим интересным примером являются считыватели смарт-карт, оснащенные одновременно сканером отпечатка пальца, — например, доступные на российском рынке устройства фирмы Athena. Необходимость использования двухфакторных систем только осознается; интересно, что даже в хрестоматийной для этой области книге4 такие системы не упоминаются.
Итак, в настоящее время российский рынок испытывает оживление в секторе надежных решений аутентификации. Связано это с осознанием государственными организациями и частными компаниями потребности в системном развитии информационной безопасности. Слабости простых, «умолчательных» подходов к аутентификации сегодня не только очевидны теоретически, но и подтверждаются инцидентами, с которыми приходится сталкиваться сотрудникам информационных служб.
Заметный импульс к наведению порядка в «информационном хозяйстве» по вопросам ИБ дал вступивший в силу с нового года закон «О персональных данных», под действие которого потенциально попадают десятки тысяч российских организаций. Отечественные потребители уже вкусили как удобство мобильных финансовых сервисов (интернет-платежи, интернет-банкинг), так, увы, и их уязвимость. В 2009 году зафиксированы случаи опустошения электронных кошельков WebMoney и «Яндекс.Деньги» (с помощью троянских программ), в 2008-м киберпреступники смогли похитить у клиентов Альфа-Банка 12 млн руб. По признанию экспертов финансовый кризис создал волну мошенничеств именно в киберобласти — как наименее «затоптанной».
Наконец, после десятилетия простоя программы «Электронная Россия» правительство (по крайней мере на словах) полно решимости перейти к широкому предоставлению населению госуслуг через Интернет, как это имеет место в развитых странах. Шансов довести проект до логического завершения на этот раз заметно больше, чем 10 лет назад, так как технологическая база достигла необходимого уровня насыщения. И главная проблема, требующая решения, — это аутентификация, которая гарантирует, что перед порталом государственного органа именно тот гражданин, кто себя за него выдает. Высказанная в начале этой дискуссии наивная идея о том, чтобы каждому гражданину выдать пароль, довольно быстро сменилась более серьезным предложением о выдаче неких «социальных карт», которые будут реализовывать аппаратную и, скорее всего, двухфакторную аутентификацию. Так что интересные новости с рынка аутентификации еще впереди.
версия для печати
другие статьи автора
оставить комментарий (0) 
