ИССЛЕДОВАНИЕ ПЕРСПЕКТИВНЫХ ТЕХНОЛОГИЙ АУТЕНТИФИКАЦИИ

Аннотация: Работа посвящена исследованию и анализу технологий аутентификации. Рассмотрены наиболее перспективные и актуальные в настоящее время технологии. Проанализированы существующие методы идентификации, выявлены направления развития данных технологий.

Ключевые слова: аутентификация, биометрические системы, многофакторные системы аутентификации, идентификация пользователя, смарт-карты.

В век повсеместного развития и внедрения информационных технологий в каждую деталь повседневной жизни вопрос, касающийся защиты информации, становится все более актуальным. Все чаще компании задумываются об использовании средств аутентификации в целях обеспечения высокого уровня защиты своих информационных активов. Зачастую пользователи используют стандартные средства, позволяющие провести идентификацию, такие как пароли или контрольные вопросы, при этом до сих пор не обеспечивается должный уровень информационной защиты. В таких случаях риски взлома и получения важной информации злоумышленником очень велики, а, следовательно, необходимо применять более совершенные методы аутентификации.

Целью статьи является изучение и анализ новых направлений в разработке методов и способов аутентификации. Задачами работы являются:

• исследование понятия аутентификации;
• определение основных понятий данной области;
• систематизация основных методов предметной области;
• проведение анализа данных методов и выявление их проблематики;
• выработка рекомендаций по работе с данными методами.

Процедура аутентификации выступает в качестве объекта исследования, в то время как предметом исследования можно считать перспективные разработки в данной области.

И так, что же такое аутентификация? Весьма простое понятие - процедура проверки подлинности. Следует отметить, что этот термин не следует путать с авторизацией (процедурой предоставления субъекту определённых прав) и идентификацией (процедурой распознавания субъекта по его идентификатору) [2]. В настоящее время аутентификация производится тремя основными способами:

• проверяется подлинность пользователя с помощью сравнения введённого им пароля с паролем, который сохранён в базе данных пользователей;
• подтверждается подлинность документа путём проверки его цифровой подписи по открытому ключу отправителя;
• проверяется контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

В любой системе аутентификации обычно можно выделить несколько элементов (схема 1.Элементы системы аутентификации):

Схема 1. Элементы системы аутентификации

• субъект, который будет проходить процедуру;
• характеристика субъекта — отличительная черта;
• хозяин системы аутентификации, несущий ответственность и контролирующий её работу;
• сам механизм аутентификации, то есть принцип работы системы;
• механизм управления доступом, предоставляющий определённые права доступа субъекту.

Определив, что представляет собой термин «аутентификация», и выяснив методы работы с ним, можно выявить проблемы, сопутствующие этому понятию. Основными угрозами аутентификации на различных устройствах являются:

• кража пароля, которая происходит с помощью фишинга: атакующий заманивает пользователя на входную страницу, которая внешне похожа на привычную ему, но это может быть «дополнительный» вход на реальную аутентификационную страницу;
• еще один распространенный фактор ослабления роли паролей — их многократное использование. В результате взлома слабозащищенного сайта может быть украден пароль к заведенному там аккаунту кратковременного пользования, а потом атакующие смогут с помощью того же пароля получить доступ к другим, более ценным аккаунтам человека;  
• схожий с предыдущим методом взлома — подбор паролей к краденым хэшам в режиме офлайн [4].

 Самая большая опасность состоит в том, что утрата пароля может пройти незамеченной, и выяснится это лишь позднее, уже на других устройствах. Существует тенденция, при которой электронные сервисы заменяются реальными, вследствие чего число угроз постоянно растет – уровень понимания механизмов отстает от прогресса, а количество способов защиты увеличивается – новые возможности появляются быстрее навыков [5].

В целях обычного использования сейчас не достаточно простой пары логин/пароль. По этой причине одним из наиболее многообещающих направлений в области аутентификации считается биометрия. Биометрические конструкций распознают пользователей, основываясь на их анатомических отличительных чертах (отпечатках пальцев, типе лица, рисунке линий ладони, радужной оболочке, голосе) либо поведенческих признаках (подписи, походки). Так как данные особенности на физическом уровне связаны с пользователем, биометрическое распознание является очень точным в роли механизма, отслеживающего наличие прав на возможность попасть в здание, получить доступ к компьютерной системе либо выехать за рубеж.

Биометрические концепции помимо прочего имеют исключительные достоинства — они не дают никакой возможности отказаться от совершенной транзакции и предоставляют право выяснить, использует ли человек несколько удостоверений на разные фамилии и имена или нет. Именно поэтому в определенных приложениях биометрические системы гарантируют большую степень безопасности [1].

При регистрации биометрическая система вносит образец биометрической особенности пользователя через датчик — к примеру, снимает субъект на камеру. Далее с биометрического образца извлекаются индивидуальные особенности — к примеру, минуции (небольшие детали линий пальца). Система оставляет извлеченные особенности в качестве стандарта в базе данных наравне с остальными идентификаторами, т.е. именем либо идентификационным номером. С целью аутентификации субъект предъявляет датчику ещё один биометрический экземпляр. Особенности, почерпнутые с него, выступают в роли запроса, который система сопоставляет с шаблоном объявленной личности с поддержкой алгоритма сравнения. Он возвращает показатель соответствия, отображающий уровень сходства между шаблоном и запросом. Система принимает заявку только при условии, что показатель соответствия превосходит предварительно установленный предел.

Биометрическая система уязвима только для двух типов ошибок. Если система никак не распознает легитимного пользователя, совершается отказ в обслуживании, а если злоумышленник неправильно идентифицируется в качестве авторизованного юзера, сообщается о проникновении. Такие перебои можно объяснить несколькими причинами — естественные ограничения и атаки злоумышленников [1]. Ошибочное несоответствие случается, если два образца с одного индивидуума обладают маленьким сходством, и система не способна их сравнить, если два образца с различных индивидуумов обладают очень высокой схожестью, и система некорректно объявляет их схожими. Ошибочное несоответствие проводит к отказу в обслуживании легитимного пользователя, поэтому способно послужить причиной проникновения самозванца. Так как у него отсутствует необходимость использования каких-либо особых мер для обмана системы, подобное вмешательство называют атакой нулевого усилия. Значительная доля исследований в сфере биометрии за минувшие 50 лет сконцентрирована на увеличении точности аутентификации — минимизации ошибочных несоответствий и соответствий.

Биометрическая система кроме того способна дать сбой вследствие враждебных манипуляций, которые могут произойти с помощью людей, работающих в данной организации, к примеру сисадминов, или посредством непосредственный атаки в системную инфраструктуру. Правонарушитель способен обмануть биометрическую систему, в случае если договорится с человеком, находящимся внутри организации (либо принудит его), или решит воспользоваться его халатностью (к примеру, невыходом из системы уже после окончания транзакции), или осуществит обманные манипуляции с механизмами регистрации и обработки исключений, какие первоначально изобретались с целью поддержки авторизованных субъектов [1]. Внешние преступники, кроме того, имеют все шансы спровоцировать нарушение в биометрической системе с помощью непосредственных атак в пользовательский интерфейс (датчик), модули экстракции качеств либо сравнения.

В биометрических системах находится небольшой кусок информации, полученной из биометрического шаблона, — защищенный эскиз. Обычно только этой части не хватает для полного восстановления уникального шаблона, но все-таки в ней содержится нужное количество данных для воссоздания шаблона, если в системе имеется другого биометрический образец, схожий с зарегистрированным раннее.

Для того чтобы получить защищенный эскиз, связывают биометрический шаблон с криптографическим ключом, но следует учесть, что  защищенный эскиз отличается от шаблона, который зашифрован обычными методами. При них зашифрованный шаблон и ключ расшифровки являются абсолютно разными частями, и шаблон защищен, только при условии защиты и ключа. При этом в защищенном шаблоне инкапсулируются как биометрический шаблон, так и криптографический ключ сразу. Если имеется только защищенный эскиз, то ни ключ, ни шаблон восстановить нельзя. Если системе предъявляют биометрический запрос, очень схожий с шаблоном, она имеет возможность воссоздать и уникальный шаблон, и криптоключ путем использования обычных способов определения ошибок.

Еще одним ярким перспективным направлением является метод многофакторной аутентификации. Это такой метод контроля доступа к компьютеру, в котором пользователю для получения доступа к информации необходимо предъявить более одного «доказательства механизма аутентификации» [3]. К категориям таких доказательств относят:

• знание – информация, которую знает субъект (пароль/пин-код);
• владение – вещь, которой обладает субъект (электронная или магнитная карта,  токен, флеш-память);
• свойство, которым обладает субъект (биометрия, природные уникальные отличия).

Для правильной и надежной работы системы многофакторной аутентификации многие продукты с такой функцией требуют от пользователя клиентское ПО. Многие разработчики ПО создали отдельные установочные пакеты для входа в сеть, идентификации данных веб-доступа и VPN- подключения, чтобы пользоваться подобными продуктами, а также токеном или смарт-картой, потребуется установить на устройство 4 или 5 пакетов особого обеспечения.

Способ многофакторной аутентификации до сих пор не стандартизирован. Специалисты реализуют ее самыми различными методами, исходя из этого, проблема заключается в ее способности к взаимодействию. Имеется достаточное количество процессов и нюансов, учитываемых при подборе, исследовании, испытании, внедрении и поддержки целостной системы управления идентификации безопасности, в том числе подходящие механизмы аутентификации и сопутствующих технологий.

Данный вид аутентификации обладает некоторыми минусами, которые мешают ее популяризации. Например, пользователю, не разбирающемуся в данной сфере, трудно отмечать развитие аппаратных токенов или usb- штекеров. Большинство пользователей не могут самостоятельно инсталлировать сертифицированное клиентское ПО, так как у них отсутствуют требуемые технические навыки, к тому же многофакторные процедуры нуждаются в дополнительных тратах на монтаж и оплату рабочих расходов. Большинство аппаратных комплексов, базирующихся на токенах, запатентованы, и многие разработчики взимают с пользователей ежегодную оплату. Для логистики важно то, что расположить аппаратные токены сложно, потому что они могут повредиться либо потеряться. Производство токенов для таких больших сфер, как банки либо разнообразные  крупные организации, нуждается в регулировании. Кроме расходов на монтаж многофакторной аутентификации существенную сумму составляет оплата технического обслуживания [3] .

Таким образом, подведем итог, что лучшими аутентифицирующими средствами являются:

• использование номеров снилс/уэк;
• личный визит для верификации;
• использование ЭЦП;
• SMS- подтверждение;
• смарт карты;
• биометрические данные.

Следует отметить, что комплексное использование средств, обозначенных в данной работе, повышает надежность и точность использования аутентификации, а, следовательно, повышение сохранности данных, поэтому дальнейшие работы и исследования в данной области будут вестись исключительно для дальнейшего апргрейда систем, позволяющих аутентифицировать пользователей.

Список литературы

1. Анил Д., Нандакумар К. Биометрическая аутентификация: защита систем и конфиденциальность пользователей [Электронный ресурс] URL: www.osp.ru/os/2012/10/13033122 (дата обращения 31.12.2016)
2. ГОСТ Р ИСО/МЭК 9594-8-98 Основы аутентификации
3. Гроссе Э., Упадхаяй М. Многофакторная аутентификация [Электронный ресурс] URL: www.osp.ru/os/2013/02/13034556 (дата обращения 31.12.2016)
4. Ричард Э. С. Аутентификация: от паролей до открытых ключей. - М.: Вильямс, 2002 – 432с.
5. Шелупанова А.А., Груздева С.Л., Нахаева Ю.С.. Аутентификация. Теория и практика обеспечения доступа к информационным ресурсам. - М.: Горячая линия – Телеком, 2009 – 552с.