Защита информационных активов, или Хаос двухфакторной аутентификации

Развитие информационных технологий неразрывно связано с обеспечением адекватного уровня информационной безопасности при их использовании.


Специалисты считают, что методы  двухфакторной аутентификации, применяемые в нашем регионе, не являются достаточно надежными, не удобны для использования, при этом стоимости их внедрения чрезмерно высока. Не пора лизаменить их более совершенными?


Проще – не всегда лучше

Сегодня двухфакторная аутентификация стала абсолютно рядовым сервисом, получившим широкое распространение благодаря простоте реализации и высокому уровню психологического доверия к ней пользователей. Однако даже самое поверхностное исследование существующих способов реализации процедуры двухфакторной аутентификации позволяет сделать вывод о наличии достаточно противоречивых мнений по поводу безопасности данной технологии.

Попробовать разобраться с данной проблемой нам помогут мнения известных специалистов в области информационной безопасности, а также анализ уязвимостей, присущих данной технологии, эксплуатация которых позволяет обойти предусмотренные механизмы защиты учётных записей. Естественно, что к мнениям экспертов мы также приложим мнение специалистов Центра информационной безопасности DAAC System Integrator, базирующееся на опыте предоставлении услуг в области защиты информации на национальном рынке.        

Преодоление хаоса в понятии двухфакторной аутентификации логично начать с определений.

Итак, согласно ISO/IEC 27000:2014, аутентификация - это процесс, гарантирующий, что заявленные характеристики объекта являются подлинными. В контексте начатого разговора, целесообразно отметить, что методы
аутентификации классифицируются на: 

         а) однофакторную, или то, что нам известно: пароль, PIN-код, кодовая фраза и т.д.;
         б) двухфакторную - комбинация того, что нам известно и того, чем мы обладаем: smart-карта, брелок и код к ним;
         в) биометрическую, или то, что нас однозначно характеризует: отпечатки пальцев, радужная оболочка глаза, характерное поведение и т.д. Благодаря использованию таких уникальных факторов данный метод считается наиболее достоверным на сегодняшний день и поэтому будет рассматриваться особенно внимательно.    

Важно отметить, что только в случае использования комбинации приведённых выше методов, например, smart-карты с кодом и какого-нибудь биометрического фактора, аутентификацию можно считать многофакторной.

Как ни странно, но путаница в методах аутентификации чаще всего связана с выявлением правильного количества используемых факторов, так как данная относительно тонкая грань как, например, между двухфакторной и двухэтапной аутентификацией, умышленно размывается усилиями менеджеров по продажам, задача которых - продемонстрировать эффектность процедуры аутентификации, а не специфические нюансы обеспечения безопасности данного процесса.

На наш взгляд, нельзя считать двухфакторной эффектную и широко распространённую на нашем рынке процедуру проверки пароля, совмещенную с его подтверждением с помощью одноразового кода, присланного по электронной почте или SMS потому, что данная проверка может подтверждать только факт использования двух паролей, иными словами абсолютно однотипных факторов.  Очевидный факт владения smart-фоном не является существенным в данной ситуации, так как в процессе аутентификации не коррелируются связанные факторы различных типов. Даже если бы вместо пароля последовательно проверялись два биометрических признака, этот метод по-прежнему оставался бы не более чем двухэтапной аутентификацией.

Гораздо правильнее и, что очень важно, честнее по отношению к собственным клиентам поступают организации, реально коррелирующие факторы владения и знания, когда для подтверждения транзакции генерируется последовательность символов, половина которой сохраняется в smart-фоне, а другая часть вводится пользователем после каждой новой генерации кода. В данном случае smart-фон в действительности является фактором владения, а код, известный пользователю, - является фактором знания.

Главное отличие двухфакторной аутентификации и естественно, более высокого уровня безопасности состоит в том, что результат контроля факторов аутентификации становится известен только после сопоставления обоих факторов одновременно.

Таким образом, возможность компрометации такого метода аутентификации на порядок сложнее, так как обеспечивается невозможность подбора факторов аутентификации по отдельности. Ведь в таком случае злоумышленник уже не сможет подобрать пароль для второго этапа аутентификации, делая вывод об успехе первого по ответу вроде: "Теперь введите одноразовый код, полученный из SMS".

В пользу данного аргумента также свидетельствует то, что Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST Special Publication 800-63B, section 5.1.3.2 Out-of-Band Verifiers) еще в 2016 году не рекомендовал использовать SMS сообщения в качестве средства, входящего в состав двухфакторной аутентификации, указав на высокий риск их перехвата и спуфинга (спуфинг  -  ситуация, в которой один человек или программа успешно маскируется под другую путём фальсификации данных и позволяет получить незаконные преимущества – прим.ред).

Тем не менее, мы вынуждены констатировать что, не смотря на указанную выше рекомендацию, именно этот метод получил широкое распространение в нашей стране скорее всего благодаря простоте практической реализации. Таким образом, предоставляемые пользователям сервисы технологически полагаются на SMS - как наиболее простой и дружественный к пользователю метод, который эксперты при этом оценивают, как недостаточно надёжный.

Основные опасения экспертов NIST по поводу двухэтапной аутентификации через SMS безусловно связаны с тем, что уж слишком недорогими могут быть атаки злоумышленников, использующих методы социальной инженерии либо безнадёжное устаревание телефонных протоколов для передачи SMS, разработанных в далёких 80-х годах.

Кроме того, существуют очевидные недостатки двухэтапной аутентификации по SMS, непосредственно связанные с использованием мобильной телефонии, такие как:
- мобильный телефон должен быть всегда в зоне покрытия сети, иначе сообщение с кодом просто не дойдет;
- сообщения иногда приходят с задержкой и необходимо некоторое время на проверку подлинности, в течение которого выгодные предложения, например, при покупке авиабилетов, бывают уже недоступны;
 - повышенная вероятность получения спама, так как приходится сообщать организациям номер своего мобильного телефона.

Сделать безопасность приоритетом

Всех этих недостатков и уязвимостей удалось бы легко избежать в случае использования поставщиками услуг современного, надёжного, и самое главное, - безопасного способа аутентификации, основанного на методах анализа поведения пользователей (User and Entity Behavior Analytics). Данный метод, как уже отмечалось ранее, относится к методам биометрической аутентификации и, по мнению ведущих экспертов, давно уже не является экзотикой и в ближайшем будущем будет являться самой базовой функцией систем информационной безопасности.

Метод анализа поведения позволяет создать индивидуальный цифровой отпечаток пользователя на основе анализа его поведения с помощью технологии машинного обучения, анализирующего его действия во время сессии (типичное поведение легитимного пользователя в отличие от злоумышленника) и то, как он их осуществляет (поведенческая биометрия: скорость и навигация движения курсора, скорость и последовательность нажатия клавиш, паузы и т.д.).

Мы прекрасно понимаем, что сегодня цифровые следы нашего поведения в информационном пространстве характеризуют любого из нас гораздо больше, чем, например, персональные данные, о защите которых так много дискуссий после вступления в действие нового Европейского законодательства в данной области. Если немного отвлечься от темы то, что конкретно можно узнать о современном человеке зная его персональные данные, такие как: сведения о движимом и недвижимом имуществе, семейное положение и т.д.?  На самом деле - не так уж много, так как эти сведения не позволяют получить однозначный ответ на вопрос о том, а проживает-ли реально данный человек по месту регистрации, каким именно автомобилем пользуется в повседневной деятельности и насколько близкие у него отношения с членами семьи.

На наш взгляд, аналогичная ситуация складывается и с процессом двухфакторной аутентификации, так как в нём не анализируется отклонение от сформировавшегося поведения пользователя и далее на основании определённых подозрений не происходит автоматическое блокирование учётной записи до выяснения обстоятельств зарегистрированной системой аномалии.

Несмотря на то, что технологии анализа поведения пользователей существуют давно и достаточно успешно применяются для превентивного предотвращение банковского мошенничества, их внедрение для адаптивной аутентификации постоянно откладывается. Чаще всего это происходит потому, что организации просто не желают отходить от сформировавшихся в обществе стереотипов о безопасности SMS сообщений, используемых для этой цели, а также игнорируют явные неудобства пользователей, связанные с обязательным вводом паролей и кодов подтверждения для аутентификации либо подтверждения транзакций.

Таким образом, мы с вами являемся свидетелями ситуации, когда методы, применяемые сегодня для аутентификации поставщиками услуг являются не только не идеальными, но еще и дорогостоящими (ведь пакеты SMS операторам связи оплачиваем в конечном итоге мы с вами в качестве потребителей услуг).  При этом в вопросах их практического применения доминирует исключительно прагматический подход, связанный с простотой реализации данной технологии и достаточно низким уровнем осведомлённости пользователей в вопросах информационной безопасности.

Трудно назвать истинную причину, по которой современное, относительно недорогое, проверенное и несложное в реализации решение, обеспечивающее безопасность информационных систем и систем дистанционного банковского обслуживания финансовых организаций по всему миру, не находит широкого применения в нашей стране. А ведь её внедрение позволило бы на порядок повысить уровень безопасности процесса аутентификации обладателей как привилегированных учётных записей, роли которых предполагают широкие полномочия в информационных системах, так и большинства из нас, - самых обычных пользователей.

Мы очень надеемся, что благодаря нашим рассуждениям достижения, достигнутые в области машинного обучения систем анализа поведения пользователей, найдут практическое применение в нашем регионе и сделают нашу жизнь не только более комфортной, но  и гораздо более безопасной.


Андрей Сорокин,


Центр информационной безопасности 

DAAC System Integrator

Вернуться назад