Возможно, вы слышали о недавних крупных скандалах, связанных с утечкой баз данных пользователей из крупнейших отечественных компаний. Курьерские службы, логистические центры и даже ведущие IT-корпорации — многие из них пострадали от того, что в их надежных системах безопасности были, тем не менее, обнаружены изъяны и уязвимые места. Обеспечение информационной безопасности — ключевая задача современного бизнеса, который хочет развиваться в сфере цифровой коммерции.
Функциональные, финансовые и персональные типы данных — всем им требуется обеспечить конфиденциальность, а значит, ограничить доступ, предоставив его только доверенным пользователям и системам. Решение этой задачи держится на трех неотчуждаемых друг от друга «сущностях» — идентификации, аутентификации и авторизации, которые, хотя и напрямую вытекают друг из друга, являются вещами принципиально разными. И чтобы разобраться с существующими методами аутентификации, прежде всего, дадим ей определение.
Зачем нужна аутентификация
Аутентификация — этап защиты информации, на котором проверяется подлинность личности пользователя. Иными словами, эта процедура позволяет удостоверить, что субъект, который обращается к некой защищенной информации, действительно является тем, за кого себя выдает.
Проблема безопасности в современных сетях состоит в том, что злоумышленники не ограничиваются попытками «увести» данные граждан, — зачастую им интересна кража цифровой личности пользователей. Когда на личность пользователя завязаны многие сервисы и системы (государственные, финансовые и проч.), то обеспечение их безопасности драматически возрастает. Это увеличивает нагрузку на средства аутентификации и требует выработки новых ее методов.
Основные методы аутентификации
В процессе аутентификации пользователь предоставляет системе набор уникальной информации, удостоверяющий его личность и право доступа. Этот набор называется фактором аутентификации. Различают четыре фактора аутентификации:
- Обладание (у пользователя есть дискета, флешка или токен)
- Знание (у пользователя есть логин, пароль или иные реквизиты)
- от утечки конфиденциальной информации из локальных баз данных
- от несанкционированного изменения данных
Метод аутентификации определяется фактором (или факторами), который используется при проверке личности пользователя. Традиционно выделяют две общие категории методов аутентификации — однофакторную и многофакторную. Раскроем каждую из них подробнее.
Однофакторная аутентификация
Парольная аутентификация
Наиболее распространенный и наименее эффективный метод удостоверения личности в информационных системах предполагает использование символьного пароля. При кажущейся простоте применения, парольный метод аутентификации имеет немало недостатков. При эксплуатации надежность защиты зависит от сложности заданного пароля. Чем пароль труднее, чем больше разнообразных символов содержит, тем сложнее его подобрать злоумышленникам. «Простой» пароль легко взломать банальным перебором (брутом), а «трудный» — тяжело запомнить самому пользователю, особенно, если на нескольких ресурсах он использует разные пароли.
Повысить эффективность парольной защиты может применение временных (одноразовых) паролей, когда для каждой попытки войти в систему пользователь должен запрашивать новый пароль. Временные пароли не нужно хранить или помнить наизусть — пользователю достаточно иметь на руках устройство, на которое они отправляются, например, телефон. Для передачи одноразового пароля, как правило, используют Push-уведомления или SMS-сообщения. Второй способ понемногу уходит в прошлое, поскольку SMS относительно просто перехватить. Впрочем, применение одноразовых паролей относится уже к аутентификации по двум факторам.
Биометрическая аутентификация
Метод аутентификации, использующий персональные биометрические данные, опирается на использование уникальных параметров человеческого тела: голос, лицо, отпечаток пальца и проч. Эти параметры считываются регистрирующим устройством, у которого есть сканер или камера — это умеют делать большинство современных смартфонов, поэтому распознавание лица и отпечатка пальца сегодня применяется во многих мобильных приложениях и операционных системах.
Биометрические параметры неотделимы от самого пользователя, они уникальны и позволяют установить личность человека с высокой точностью. Тем не менее биометрическая аутентификация не является панацеей: это дорогой и непростой для технической реализации метод. Более того, нередки случаи, когда злоумышленники подделывают отличительные черты человека, перехватывают чужие биометрические показатели и в дальнейшем ими пользуются.
Но в целом уровень доверия к этому методу постепенно возрастает. К биометрической аутентификации вовсю прибегают банки: если раньше биометрия помогала удостоверять личность сотрудников, то теперь это распространилось и на клиентов. Банковские приложения позволяют подтверждать денежные операции по отпечатку пальца, а в «физических» отделениях личность клиента может быть верифицирована при помощи сканирования лица специальной камерой.
Стоит отметить, что уже несколько лет в России работает Единая биометрическая система — запущенная Центральным Банком и «Ростелекомом» цифровая платформа, позволяющая идентифицировать получателей финансовых услуг по голосу и лицу.
Цифровые сертификаты и Электронная цифровая подпись
Обмениваясь данными с современным веб-сайтом, пользователь сталкивается с криптографическим электронным «удостоверением», подтверждающим, что подключение производится к настоящему ресурсу, а не к его фишинговой копии. Такое «удостоверение» называется цифровым сертификатом (в случае с сайтами — SSL-сертификатом). Сертификат сопоставляет криптографический ключ с его владельцем, поэтому его можно использовать для аутентификации пользователей.
Цифровой сертификат составляет часть системы электронной цифровой подписи, поскольку тоже основан на инфраструктуре открытых ключей. Ключ связывает сертификат с личностью человека, которому он принадлежит, и помогает проверить релевантность цифровой подписи. Электронная подпись поддерживает подтверждение авторства — то есть с ее помощью можно удостовериться, что документ исходит от определенного лица и имеет юридическую силу.
При таком методе аутентификации подлинным считается пользователь, обладающий секретным ключом шифрования. Метод с использованием цифрового сертификата считается более надежным, нежели парольный, хотя и у него есть недостатки. В частности, поскольку владелец обязуется сам хранить ключ шифрования, это создает риски кражи данных, если злоумышленник изыщет способ им завладеть.
Многофакторная аутентификация
Из сказанного выше видно, что любой метод, использующий один фактор аутентификации, имеет как плюсы, так и минусы. Нетрудно догадаться, что, объединив несколько факторов в рамках одной системы, можно взаимно компенсировать недостатки каждого из них. Набор методов, опирающихся на несколько факторов, называется многофакторной аутентификацией. Чаще всего используется аутентификация по двум факторам.
Наиболее известным методом двухфакторной аутентификации (2FA) является совместное использование постоянного и временного паролей. При этом пользователь знает постоянный пароль, а при попытке авторизоваться в системе (на сайте или приложении) он получает одноразовый код на персональное устройство, которое называется аппаратным токеном. При двухфакторной аутентификации в роли такого устройства де-факто выступает мобильный телефон пользователя. В роли аппаратных токенов могут выступать различные устройства — USB-ридеры, смарт-карты и проч.
Многофакторная аутентификация на базе токенов превосходит парольные, биометрические и криптографические методы по надежности и одновременной простоте ее внедрения. Аутентификация на основе двух факторов — наиболее популярный метод, развитие которого привело к появлению множества готовых решений по ее реализации. Ярким примером служит Google Authenticator — мобильное приложение, которое позволяет привязывать различные учетные записи к смартфону, и при всякой попытке ввести пароль и войти в систему будет генерировать одноразовый шестизначный цифровой код. Свои решения по 2FA предлагают ESET, Symantec, Thales и многие другие компании, занимающиеся информационной безопасностью. В нашем решении eKassir Identity Platform также поддерживается двухфакторная аутентификация.
Хотя двухфакторная аутентификация не дает абсолютной защиты — например, сегодня злоумышленники уже научились перехватывать одноразовые пароли — все же она создает гораздо более прочный заслон на пути к пользовательским данным. Использование нескольких факторов аутентификации составляет хорошую конкуренцию биометрии, которая, однако, уже не рассматривается сама по себе, а вполне может стать третьим фактором аутентификации при построении еще более комплексной и защищенной системы.
