СОВРЕМЕННЫЕ ПРОБЛЕМЫ ПАРОЛЬНОЙ АУТЕНТИФИКАЦИИ: АНАЛИЗ НЕДОСТАТКОВ ПАРОЛЬНОЙ ЗАЩИТЫ, СПОСОБЫ МИТИГАЦИИ И ВНЕДРЕНИЕ ДОПОЛНИТЕЛЬНЫХ СТЕПЕНЕЙ ЗАЩИТЫ

АННОТАЦИЯ

Ежедневно происходят атаки на вычислительные системы, и часто злоумышленники получают доступ к информации за счёт слабой степени защиты, не эксплуатируя при этом никаких уязвимостей. В данной статье рассматриваются проблемы парольной аутентификации, анализируются её недостатки и предлагаются варианты повышения защищённости систем за счёт внедрения дополнительных степеней защиты. Особое внимание уделяется многофакторной аутентификации, и другим современным подходам к обеспечению информационной безопасности.

Ключевые слова: информационная безопасность, защита конфиденциальной информации, политика безопасности, парольная защита, методы защиты информации, многофакторная аутентификация.

Анализ уязвимости однофакторной аутентификации

Главными проблемами в парольной защите, представляющей собой однофакторную аутентификацию, являются: недостаточная длина пароля, использование персональных данных в пароле и использование паролей из списка самых распространённых паролей.

Рисунок 1. Наиболее популярные пароли в 2022 году

Инциденты кибербезопасности демонстрируют распространенность слабых паролей, которые из года в год остаются не именными, а также использование одинаковых паролей на разных сервисах. Данное явление связано с тем, что пользователи не хотят и не могут запомнить большое количество парольных фраз.

Такие пароли уязвимы для следующих методов атак: перебор всех комбинаций и использование словарей с наиболее распространёнными паролями. Также появился относительно новый метод, перебор логинов, а не паролей, что статистически позволяет получить доступ к большему количеству аккаунтов пользователей за единицу времени.

Одним из примером последствий от таких уязвимостей является инцидент с сервисом Dropbox, где повторное использование одних и тех же паролей сотрудником привело к утечке данных пользователей.

Также пользователи склонны сохранять свои пароли и логины в браузере, что является ещё одним каналом утечки, так как зачастую не используется мастер пароль. Потому при компрометации машины, где установлен браузер, злоумышленник получает все сохранённые пары логин, пароль и часто этого достаточно, чтобы получить доступ к самым важным аккаунтам жертвы.

Ещё одной фундаментальной уязвимостью парольной однофакторной аутентификацией является наличие программ считывающих нажатия клавиш, что создаёт угрозу для подобных систем. Таким примером может служить недавний инцидент с использованием Snake Keylogger, который похищал данные жертвы и отправлял на подконтрольный злоумышленнику сервер. Данный случай не является уникальным, но демонстрирует уязвимость таких методов аутентификации.

Рассмотренные факты выявляют необходимость ужесточение требований к системам аутентификации, которые должны быть как удобными для пользователя, так и отвечать стандартам безопасности.

Способы хранения паролей

Обеспечение сохранности паролей на стороне сервера

Наиболее существенными уязвимостями в системах хранения паролей являются: хранение паролей в открытом виде и использование устаревших хеш-функций, что позволяет быстро перебрать все комбинации паролей.

В качестве стандартного метода защиты паролей применяется их хеширование. Благодаря необратимости функции, данный метод значительно повышает время необходимое для подбора пароля.

Также стоит учитывать, что существую "радужные таблицы", которые позволяют подобрать пароль за небольшой промежуток времени. Для противодействия данному виду атак используется метод добавления "соли"— случайной строки, присоединяемой к паролю перед хешированием.

Применение данного метода существенно снижает ценность скомпрометированных баз данных паролей для злоумышленников. Даже в случае несанкционированного доступа к хранилищу хешей восстановление исходных паролей требует индивидуального подбора для каждой записи, что занимает слишком большое количество времени.

Обеспечение сохранности паролей на стороне пользователей

Данное решение для управления паролями обеспечивает генерацию стойких паролей, хранение данных в зашифрованном виде с использованием мастер-пароля, напоминание о регулярной смене пароля, а также мониторинг компрометации паролей. Данные функции значительно снижаю риск успешной атаки на пользователя.

Однако, существуют инциденты, связанные с менеджерами паролей. Одним из наиболее значимых является: уязвимость AutoSpill (2023), позволяющая перехват паролей с помощью автозаполнения.

Минимизация рисков при использовании менеджеров паролей

– Использование мастер-паролей в виде запоминаемых кодовых фраз и отвечающих требованиям к стойкости пароля

– Выбор решений с открытым исходным кодом, прошедших независимый аудит безопасности.

Рассмотренные способы хранения паролей позволяют кратно увеличить конфиденциальность информации.

Использование многофакторной аутентификации для повышения безопасности

Современные системы аутентификации требуют использования двух или более независимых факторов верификации. Эти факторы основаны на трёх категориях: биометрический (я), состояние физического объекта (я имею) и основанный на знании (я знаю).

«Я» основан на уникальных биологических особенностях субъекта. Сюда входят отпечатки пальцев, сканирование радужной оболочки глаза, распознавание лица по ключевым точкам, анализ голоса или поведенческая биометрия. Этот фактор является неотъемлемым от субъекта, потому его невозможно потерять.

«Я имею» подразумевает наличие у пользователя физического объекта, который может менять своё состояние во времени или хранить информацию. Это может быть аппаратный токен или мобильное устройство. Главный риск здесь это потеря объекта.

«Я знаю» основывается на информации, известной только пользователю. Чаще всего этой информацией являются пароли. Основная слабость этого метода в том, что пользователь может забыть пароль или передать его третьему лицу.

Анализ решений

Если рассматривать второй фактор, то к числу распространенных методик относятся:

– отправка одноразовых паролей с использованием системы коротких сообщений (SMS);

– оправка одноразовых паролей с использованием электронной почты;

– использование устройств генерации паролей на основе времени;

– использование смарт-карт;

– использование уведомлений от приложений на устройстве пользователя;

Рассмотрим подробнее данные методы.

Получение паролей через систему коротких сообщений

Одним из наиболее распространенных методов доставки одноразовых паролей является использование SMS-сообщений. В этом случае пароль генерируется на стороне сервера и отправляется на мобильный телефон пользователя через SMS. Этот метод широко применяется в банковской сфере, электронной коммерции и других областях, где требуется дополнительная степень защиты.

Его основное преимущество заключается в простоте использования, так как пользователю не требуется устанавливать дополнительное приложение. Также так как все мобильные телефоны поддерживают получение SMS, то данный метод доступен широкому кругу лиц.

Но SMS-OTP имеет ряд существенных недостатков. Один из них: в зонах с плохим покрытием SMS может приходить с задержкой или не доходить совсем. Во-вторых, этот метод уязвим к атакам, такой как замена sim карты. Наконец, SMS передаются в открытом виде, что делает их потенциально уязвимыми для перехвата.

Получение паролей через Email

В данном случае одноразовые пароли отправляются на электронную почту пользователя.

Преимущество этого метода заключается в простоте реализации, так как большинство пользователей имеют электронную почту. Однако email-OTP имеет ряд недостатков. Во-первых, письма могут приходить с задержкой, что снижает скорость аутентификации. Во-вторых, этот метод уязвим к перехвату, так как возможен взлом почтовых аккаунтов, а также их утеря.

Решения для генерации одноразовых паролей на основе текущего времени

Другим популярным решением является использование специализированных приложений, таких как Google Authenticator, Microsoft Authenticator и Яндекс ключ:

Рисунок 2.  Google Authenticator

Также существуют аппаратные варианты предоставления аутентификации, такие как рутокен OTP:

Рисунок 3. Рутокен OTP

Способ заключается в генерации одноразовых паролей на основе общего секретного ключа, который синхронизируется между сервером и устройством пользователя. Обычно пароли появляются каждые 30 секунд и не требуют подключения к интернету для их генерации.

Преимущество этого метода заключается в том, что пароли генерируются локально на устройстве, что исключает риск перехвата в незащищённом канале связи и их перехвата. Кроме того, данное решение работает без доступа к внешней сети, что делает его независимым от доступа к информационным каналам связи.

Также данный метод применяется как один из факторов при обеспечении доступа к автоматизированным системам, обрабатывающим государственную тайну.

Однако у этого метода есть и недостатки. Если устройство слишком сложное в использовании, то необходимость установки и настройки приложения может вызвать сложность. Также существует риск потери доступа в случае утери устройства, обеспечивающего генерацию паролей, или его поломки. Стоит учитывать то, что, если время на устройстве и сервере не синхронизировано, будут возникать ошибки при генерации паролей, что приведёт отсутствию доступа к информации. Также при возможности установки времени на защищаемом устройстве, даёт возможность перебрать все комбинации для получения доступа.

Использование USB-ключей

USB-ключ представляет собой физическое устройство, которые хранит в себе токен, обеспечивающий ограниченный доступ к защищаемой информации. Такое устройство часто используются в корпоративных средах, где требуется повышенный уровень безопасности.

Примером USB-ключа являются рутокен:

Рисунок 4. Рутокен Lite

Данные решения обеспечивают защищённость за счёт того, что закрытый ключ никогда не передаётся на подключаемое устройство. В USB-ключ имеет собственные вычислительные блоки, которые и позволяют не передавать закрытый ключ. Устройства не требуют участия пользователя для передачи каких-либо кодов аутентификации.

Получение уведомления на устройстве пользователя

Некоторые компании, такие как Яндекс, Steam, Google предпочитают push-уведомлений для подтверждения входа. Пользователь получает уведомление на свое устройство и может подтвердить или отклонить запрос на аутентификацию.

Преимущество этого метода заключается в удобстве, так как пользователю не нужно вводить код вручную, а также в высокой скорости, поскольку подтверждение происходит практически мгновенно и простате настройки. Кроме того, уведомления могут содержать информацию о запросе, что помогает избежать фишинга.

Но push-уведомления имеют свои недостатки. Они зависят от интернет-соединения. Для их использования необходимо установить специализированное приложение. Наконец, существует риск утери устройства, что может привести к потере доступа к учётной записи.

Данные методы значительно повышают защищённость данных при относительно небольших затратах. Так, по информации из блога безопасности Google на 2019 год благодаря двухфакторной аутентификации успешность атак, направленных на конкретного пользователя, снизилась на 66%

Рисунок 5. Статистика google за 2019 год

Беспарольные системы аутентификации

Наиболее известными методами являются системы биометрической аутентификации, смарт-карты, использование ссылок для аутентификации, а также Single Sign-On метод аутентификации.

Данные методы требуют больше затрат, чем использование парольных методов, так как каждый из них требует покупки оборудования и развёртывания инфраструктуры. Главным преимуществом данных методов является снижение рисков обмана пользователей при аутентификации.

Стоит отметить наиболее распространённый из методов аутентификации: технология единого входа (SSO). Данный метод применяется повсеместно. Если рассматривать веб приложения, то чаще всего предлагается использовать сервисы Google, Yandex, VK, Microsoft как сервис, предоставляющий данную технологию. Однако, данный метод требует хорошей защиты аккаунта, используемого для входа, так как при его компрометации, злоумышленник может получить полный доступ ко всем сервисам жертвы.

Рисунок 6. Пример SSO для интернет-ресурса Habr.com

Наиболее перспективным из методов можно считать биометрическую аутентификацию, так как данный фактор является не отчуждаемым, что должно кратно повышать безопасность в сравнении с другими методами.

Рекомендации по обеспечению аутентификации в вычислительных системах

Рекомендации для пользователей:

Необходимо применять стойкие уникальные пароли для каждого аккаунта, использовать специализированные программы для генерации и хранения паролей, а также, если есть функционал, то использовать двухфакторную аутентификацию

Рекомендации для организаций:

Создание парольный политик, обсеивающих создание стойких паролей, требование к регулярной смене паролей, обеспечение надлежащего хранения паролей и обеспечение функционала двухфакторной аутентификации.

Заключение

В работе проведен анализ современных систем аутентификации, выявлены уязвимости традиционных парольных механизмов и исследованы альтернативные методы аутентификации. Проблема использования слабых и повторяющихся паролей сохраняет свою актуальность. Несмотря на повышенную безопасность, обеспечиваемую менеджерами паролей и двухфакторную аутентификацию, данные методы обладают определенными ограничениями. Беспарольные технологии аутентификации демонстрируют значительный потенциал, однако их массовое внедрение сопряжено с техническими и организационными сложностями. Также исходя из проведённого исследования были получены общие рекомендации по организации парольных политик.

Список литературы:

1. Use Strong Passwords [Электронный ресурс] - Режим доступа: https://www.cisa.gov/secure-our-world/use-strong-passwords (Дата обращения 03.04.2025)
2. Common Passwords Black Hat Hackers Exploit and How to Avoid Them [Электронный ресурс] - Режим доступа: https://lateral-connect.com/common-passwords-black-hat-hackers-exploit-and-how-to-avoid-them/ (Дата обращения 01.04.2025)
3. Common Passwords in RDP Attacks [Электронный ресурс] - Режим доступа: https://www.infosecurity-magazine.com/news/common-passwords-rdp-attacks/ (Дата обращения 01.04.2025)
4. Password reuse is rampant: nearly half of observed user logins are compromised [Электронный ресурс] - Режим доступа: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/ (Дата обращения 06.04.2025)
5. Why TOTP Won't Cut It [Электронный ресурс] - Режим доступа: https://www.netspi.com/blog/technical-blog/web-application-pentesting/why-totp-wont-cut-it/ (Дата обращения 06.04.2025)
6. Password managers are under threat in 2025. What the LastPass breach taught us [Электронный ресурс] - Режим доступа: https://mashable.com/article/password-manager-breaches-lastpass-lessons-learned (Дата обращения 06.04.2025)
7. TOTP (Time-based one-time Password algorithm) [Электронный ресурс] - Режим доступа: https://habr.com/ru/articles/534064/ (Дата обращения 05.03.2025)
8. Password Managers Hacked: A Comprehensive Overview [Электронный ресурс] - Режим доступа: https://www.beyondidentity.com/resource/password-managers-hacked-a-comprehensive-overview (Дата обращения 06.04.2025)
9. What is two-factor authentication (2FA)? [Электронный ресурс] - Режим доступа: https://www.microsoft.com/en-ie/security/business/security-101/what-is-two-factor-authentication-2fa (Дата обращения 06.04.2025)
10. Виды двухфакторной аутентификации: их плюсы и минусы [Электронный ресурс] - Режим доступа: https://www.kaspersky.ru/blog/types-of-two-factor-authentication/35584/ (Дата обращения 05.03.2025)
11. CrowdStrike - Passwordless Authentication [Электронный ресурс] - Режим доступа: https://www.crowdstrike.com/en-us/cybersecurity-101/identity-protection/passwordless-authentication/ (Дата обращения 06.04.2025)
12. OWASP Foundation - Password Storage Cheat Sheet [Электронный ресурс] - Режим доступа: https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html (Дата обращения 06.04.2025)
13. dlbi.ru - Анализ утекших учетных записей и паролей за 2024 год [Электронный ресурс] - Режим доступа: https://dlbi.ru/six-billion-passwords-2024/ (Дата обращения 05.03.2025)
14. Биометрические методы аутентификации: небольшое исследование [Электронный ресурс] - Режим доступа: https://habr.com/ru/articles/876080/ (Дата обращения 05.03.2025)
15. TWO-FACTOR AUTHENTICATION (2FA) COMPARISON OF METHODS AND APPLICATIONS [Электронный ресурс] - Режим доступа: https://journals.edu.pl/index.php/awdj/article/view/9/3 (Дата обращения 06.03.2025)
16. AutoSpill похищает учетные данные из менеджеров паролей для Android [Электронный ресурс] - Режим доступа: https://xakep.ru/2023/12/11/autospill/ (Дата обращения 06.03.2025)
17. The guardian - Dropbox hack leads to leaking of 68m user passwords on the internet [Электронный ресурс] - Режим доступа:  https://www.theguardian.com/technology/2016/aug/31/dropbox-hack-passwords-68m-data-breach (Дата обращения 06.03.2025)
18. Google Security Blog - New research: How effective is basic account hygiene at preventing hijacking [Электронный ресурс] - Режим доступа: https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html (Дата обращения 06.03.2025)
19. Рутокен Lite [Электронный ресурс] - Режим доступа: https://www.rutoken.ru/products/all/rutoken-lite (Дата обращения 09.03.2025)