Аутентификация — компромисс между ценой и безопасностью

Аутентификация — компромисс между ценой и безопасностью

В предыдущей статье было рассказано об основных процессах, происходящих в компьютерных системах, когда пользователь подключается к ним. Человек «представляется», сервис «узнаёт» его, затем проверяет уровень доступа и разрешает какие-либо действия с данными. В этой статье речь пойдет о процессе аутентификации пользователя.

04.09.2019  |   Безопасность Благо тотальной слежки Узнавание человека компьютерной системой — один из важнейших этапов во взаимодействии сервисов со своими пользователями. Привычность этого процесса не должна вводить в заблуждение: в дверь, которую открывает этот ключ, пускать посторонних нельзя. Ведь цифровые сервисы — это большая часть жизни любого человека.

Компромисс

Любой механизм, управляющий доступом, — это компромисс между надежностью, безопасностью, удобством и сложностью (а значит, и дороговизной) реализации. Теоретически можно сделать подключение пользователя к компьютерной системе исключительно надежным и безопасным на уровне, близком к 100%. Однако сложность этого механизма (и не только техническая) будет совершенно неприемлема для массового применения.

Как можно заметить, со временем и с развитием технологий аутентификация всё равно становится всё сложнее и запутаннее. Раньше, когда электронные системы только появились, самым трудным для их пользователей было запоминание паролей или кодов доступа. Однако сейчас, когда компьютерных сервисов стало очень много, человек вынужден ориентироваться в целом зоопарке разных механизмов аутентификации.

Хорошо, что, как правило, они имеют похожие правила и построены на некоторых базовых принципах, которые можно выделить и разобраться в их сильных и слабых местах.

Знаю

Первый принцип — идентифицировать пользователя по некоторым секретным данным, известным только ему. Система узнаёт человека, который представляется ей и вводит эту информацию: пароль, PIN, особую фразу, код. Для сервиса, подключившись к которому можно сделать что-то, серьезно влияющее на жизнь конкретного человека (например, снять все деньги со счета), такой вид аутентификации явно слаб.

18.04.2019  |   Безопасность Как наличие VPN влияет на уровень криптобезопасности По сути, система, которая проводит аутентификацию пользователя по одному паролю, проводит равенство между личностью и этим набором символов. Знаешь код — значит, человек, которым ты представился, это ты и есть. И не стоит думать, что сказанное — это какое-то высокопарное художественное описание. В данном случае пароль — доступ к сокровенной информации и полномочия к распоряжению личными делами, а значит, пароль — это конкретный человек.

Защита одним паролем слаба, потому что набор символов можно подобрать, украсть, перехватить, забрать. Частое явление — слишком простые пароли, которые можно узнать, выведав личные данные, находящиеся в открытом или не надежно защищенном доступе: имена членов семьи, питомцев, даты рождения, любимые блюда, названия спортивных команд или музыкальных групп.

Другая проблема с паролями — многие используют одну комбинацию символов для доступа к самым разным сервисам. Злоумышленник, получив пароль от одного сервиса, сможет подключиться к нескольким.

Владею

Более сложный и надежный способ аутентификации — когда пользователь предъявляет системе какой-то предмет, физически находящийся только у него. Естественно, электронные сервисы не могут использовать для этой цели любую редкую вещь — она должна иметь электронную «начинку».

18.03.2019  |   Безопасность Как изменения в процессах коммуникации влияют на безопасность бизнеса Обычно это носители информации: флеш-накопители, карты с чипом, специальные устройства с защищенной памятью. В таких приборах записаны электронные криптографические ключи, сертификаты, программы, запускающие обмен информацией с механизмом доступа к сервису.

Этот способ всем хорош, но он достаточно дорог и не может быть применен в действительно массовых системах. Кроме того, посторонний вполне может завладеть и таким электронным ключом. Это будет уже классическое воровство, кража или грабеж, но возможности, которые в итоге будут открыты для преступника, часто намного превышают прибыль от воровства, например, какого-нибудь украшения или кошелька.

Для компьютерной системы в данном случае конкретный человек — это уже электронное устройство. Тот и является пользователем, кто вставил флеш-карту в разъем компьютера. Он получает все личные данные, права и полномочия на действия в сервисе, для которого он — настоящий. Потому что другого способа отличить того самого человека от постороннего у компьютерной системы нет.

Отличаюсь

11.10.2018  |   Безопасность Угрозы от которых не защищает ваша служба информационной безопасности Более технологичная и современная методика аутентификации пользователя — проверка биометрической информации. Здесь электронные системы уже вплотную подбираются к идентификации конкретного человека: по его характеристикам, по физическим параметрам, имеющимся только у этого индивидуума или достаточно редко повторяющимся у разных людей.

Можно вспомнить весьма распространенную в последнее время технологию распознавания отпечатка пальца или радужки глаза. В этом же списке находятся способы аутентификации по форме уха, ДНК, по лицу, походке, голосу.

Суть одна: компьютерная система пытается распознать конкретного человека без применения дополнительных кодов или устройств, по глубоко индивидуальным признакам. И у этой кажущейся практически безупречной техники аутентификации на самом деле находят немало слабых мест и недостатков, начиная с самых банальных — подделки.

Известны исследования хакерских групп и специалистов по безопасности, в которых они с легкостью обманывают современные биометрические системы, показывая им распечатанные на принтере фотографии или взятые при помощи обычного скотча отпечатки пальцев.

Другая проблема, которую иногда упускают из вида, — воровство, потеря контроля над биометрическими данными. Когда такие данные какого-либо человека становятся доступны постороннему (в результате сканирования, подделки или другими способами) или группе лиц (например, на черном рынке вместе с номерами ворованных банковских карт), то жертва такой утечки уже не сможет их с легкостью заменить, так же как пароль — последствия приобретают катастрофические очертания.

Многофакторная аутентификация

Вполне логичное решение проблемы безопасности аутентификации — использовать несколько способов проверки пользователя одновременно. Осуществляется это сочетанием разных технологий (например, парольной защиты и биометрической) или запросом дополнительных кодов по другим каналам проверки.

Распространенная приблизительно с начала десятых годов XXI века технология двухфакторной аутентификации — пример такого решения. Пользователь, подключаясь к сервису, вводит уже привычное сочетание логина и пароля, а система присылает ему в ответ на это дополнительный код по другому каналу связи, например по СМС.

07.09.2018  |   Безопасность IoT и биометрия: от кражи личности до сердечного приступа Нетрудно догадаться, что популярность этой технологии привела к тому, что пытливые умы злоумышленников сумели найти ее слабые стороны. Сотовая связь — не самый надежный канал для передачи секретных данных, которыми в случае с двухфакторной аутентификацией оказывается код подтверждения, высланный системой. Для преступника, который хочет получить доступ, например, к банковскому аккаунту жертвы, создание условий для перехвата СМС от банка — лишь вопрос цены. Оборудование для этой цели понадобится достаточно дорогое, но если прибыль превышает затраты — то почему нет?

Еще одна проблема с кодами в СМС — современные пользователи чаще всего подключаются к сервисам с помощью смартфонов, на которые же и получают секретные цифры для доступа. Получается, что изначальное условие — разделение каналов аутентификации — не выполняется.

Если на телефоне жертвы установлена «вредная» программа, перехватывающая подключение к какой-либо системе, то она же без труда прочитает данные и из СМС, которые часто доступны для множества приложений мобильного устройства.

Именно с этой проблемой связан процесс перехода многих сервисов от подтверждающих кодов в СМС к пуш-сообщениям. В отличие от первых, при пересылке таких сообщений сотовые каналы связи не задействуются. Отправление сервисом и прием в приложении происходит по зашифрованным интернет-каналам, с применением современных криптографических технологий, таких как TLS.

Существует еще немало технологий, или, как их называют, факторов аутентификации: по географическому положению, по одноразовым кодам и других, в этой статье перечислены лишь самые распространенные.

Глобальная аутентификация

19.12.2018  |   Безопасность Средняя цена кибератаки — $500 000 в месяц. Как справится с уязвимостями IoT Проблемы с безопасностью появились не вчера, и те решения, которые существуют сейчас, демонстрируют тот самый, описанный выше компромисс между стоимостью, удобством и безопасностью систем аутентификации: чтобы и пользователей не отпугивала слишком трудная процедура, и стоила она не очень дорого, и уровень защиты позволял ликвидировать самые явные угрозы.

Однако есть подозрение, что через не очень большой промежуток времени большинство проблем будет решено, причем это решение придет с неожиданной стороны. С дальнейшим распространением высокоскоростных сетей, с увеличением охвата устройствами Интернета вещей, с усложнением систем искусственного интеллекта и с объединением всех этих факторов настанет что-то похожее на глобальную аутентификацию.

Каждый из членов общества будет постоянно идентифицирован, его профиль станет всеобщим для множества систем, а факторы аутентификации будут комплексными и станут включать в себя всю информацию, которую человек генерирует в течение жизни. И тогда у нас появятся совсем другие проблемы. Какие? Наверное, скоро узнаем.

Иллюстрация: The Next Web

аутентификация безопасность интернет вещей Поделиться: Подписаться Подписаться Еще кое-что важное Правительство Японии призывает к скорейшему принятию CBDC Бутерин раскрыл дорожную карту Ethereum 2.0 Личная безопасность в цифровом мире. Как оградить себя от злого умысла

Комментариев нет:

Отправить комментарий