Контакты
Подписка
МЕНЮ
Контакты
Подписка

Плюсы и минусы двухфакторной аутентификации

Плюсы и минусы двухфакторной аутентификации

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Плюсы и минусы двухфакторной аутентификации

Светлана КОНЯВСКАЯ, кандидат филологических наук, ОКБ САПР

АУТЕНТИФИКАЦИЯ нужна для того, чтобы подтвердить или опровергнуть заявленный статус. Например, авторство, отношение (членство в группе, семейное положение) либо право на доступ (к техническому средству, приложению, информации или, скажем, в помещение), либо право собственности.

Можно представить ситуацию, когда для надежного решения вопроса, например, о доступе - достаточно идентификации, иными словами, опознания. Так мы пропускаем в квартиру знакомых, узнавая их через "глазок" (идентификатор - знакомая внешность).

Если идентифицировать "на глаз" не получается, то запрашиваем другой идентификатор - "кто там?". Услышав, например, в ответ - "Милиция", можем сразу впустить незнакомца (безо всякой аутентификации), а можем потребовать подтверждения - показать документ. Аутентификация (подтверждение принадлежности признака субъекту) в данном случае необходима потому, что нам надо связать признак "сотрудник МВД" с реально стоящим перед дверью человеком, у которого так же, как и у оборотня в погонах, есть голова, ноги и ФИО. Итак, предъявленный идентифицирующий признак - "сотрудник милиции", а средство аутентификации - документ, объективно подтверждающий (фотография, печать и прочие реквизиты) связь субъекта и признака.

Многофакторная аутентификация

Многофакторной аутентификацией называют аутентификацию, при которой используются аутентификационные признаки разных типов1.

Типы аутентифицирующих признаков и называются аутентификационными факторами.

Принято выделять следующие "факторы": "нечто, нам известное" (пароль), "нечто, нам присущее" (биометрика) и "нечто, у нас имеющееся" (документ или предмет, характеризующийся какой-то уникальной информацией. Обычно этот фактор сводится к формулировке "устройство", хотя такое сужение не всегда оправдано).

Двухфакторная аутентификация, согласно такой системе понятий, это аутентификация, при которой используется одновременно: пароль + устройство, пароль + биометрические данные или биометрические данные + устройство.

Какие доводы обычно приводятся в пользу такой аутентификации, в отличие от одно-факторной?

Стандартный ход заключается в том, что ввод пароля с клавиатуры как метод аутентификации имеет целый ряд очевидных недостатков и не может гарантировать надежной аутентификации.

Это, безусловно, так, но стоит ли из этого делать вывод о ненадежности "однофактор-ной" аутентификации вообще?

Существуют другие методы, например, электронная цифровая подпись (ЭЦП).

Подписывать ею документ может человек (автор, отправитель, архивариус) с использованием технических средств, а может какой-то процесс (например, при взаимной аутентификации технических средств путем обмена подписанными пакетами). Соответственно, ЭЦП, являясь реквизитом документа, позволяет аутентифицировать автора документа (отправителя пакета) или сам документ2.

Вне зависимости от того, каким устройством сформирована и каким устройством проверяется ЭЦП, она представляет собой только один признак. Значит ли это, что метод ненадежен?

Другой, менее уязвимый довод в пользу двухфакторной (многофакторной) аутентификации сводится к тому, что чем больше факторов, тем меньше вероятность ошибок. Причем ошибок обоих типов - как "совпадения" и подтверждения статуса, которым пользователь в действительности не обладает (случайно или злонамеренно, например, путем перебора идентификаторов), так и ошибочного неподтверждения легального статуса из-за какого-либо сбоя.

Количество и качество

Для того чтобы аутентификация была на самом деле надежной, важно не количество типов предъявляемых признаков, а качество реализации механизма на обеих сторонах взаимодействия - как в части, находящейся у пользователя, так и в части, находящейся у проверяющей стороны.

Если база данных отпечатков пальцев хранится на бумажных носителях в шкафу, то аутентификация по биометрическому признаку будет и неудобной, и ненадежной - нужный листок может быть просто изъят. Точно так же может быть изъята (добавлена/искажена) запись пользовательских данных из базы, хранимой в памяти ПК, и сколько факторов ни было бы задействовано в процессе аутентификации, он не сможет повысить уровень защищенности.

Очень важно представлять себе весь процесс аутентификации в той или иной системе, а не только количество учитываемых факторов.

Например, мы подключаем устройство T (первый фактор) и вводим пароль (второй фактор), а процессор ПК сравнивает этот "комплект" с данными в базе, хранящейся в процессоре того же ПК. Достаточно очевидно, что может быть изменена база данных, подменен механизм проверки, искажен результат этой проверки и т.д. И все это вне зависимости от того, что устройство уникальное и пароль верен.

Но может быть совершенно иначе. Подключая устройство Ш, пользователь с помощью ПИН-кода аутентифицируется непосредственно в устройстве, автономный процессор которого сверяет ПИН с хранящимся в защищенной от модификации памяти Ш. Затем процессор Ш передает аутентифицирующие данные в процессор СЗИ, установленного в ПК.

Заметим, что это уже не ПИН, а данные, выработанные и хранящиеся непосредственно в Ш, которые пользователю недоступны3, а значит, аутентификацию с помощью Ш невозможно подменить предъявлением этих данных из какого-то другого источника.

Процессором СЗИ данные сверяются с базой, хранящейся в защищенной от модификации памяти СЗИ (а не ПК).

При таком алгоритме проверки аутентификация происходит ступенчато: сначала пользователь "признается" устройством Ш, а потом устройство Ш "признается" СЗИ. Все проверки происходят в доверенной среде, а все критичные данные защищены технологически.

При этом "снаружи" для пользователя и то, и другое - просто "двухфакторная аутентификация": пользователь подключает устройство (раз) и вводит известную ему последовательность символов (два).

Итак, довольно предсказуемо мы приходим к выводу о том, каковы они - плюсы и минусы двухфакторной аутентификации. Минус - это опасность формального подхода, ведь факторы, влияющие на надежность аутентификации отнюдь не исчерпываются типами идентифицирующих признаков. А все остальное - плюсы.

Комментарий эксперта

Ника Комарова, руководитель направления маркетинговых и PR-коммуникаций компании Aladdin

Несмотря на филологическую значимость и вполне удачную попытку объяснить сложные вещи простым языком, материал все же оставляет больше вопросов, чем дает ответов.

Без ответа остался самый важный вопрос: для чего же, собственно, нужны эти факторы? Суть любой защиты -максимальное усложнение задачи злоумышленнику. Для каждого фактора, будь то пароль, наличие ключа или биометрической характеристики, существует свой сценарий компрометации. Процедура регистрации пользователя, использующая в процессе аутентификации только один тип аутентификационных факторов, может быть уязвима. Комбинация в процедуре аутентификации двух и более типов аутентификационных факторов обеспечивает большую безопасность.

В процедуре аутентификации участвуют две стороны: пользователь (который до подтверждения своей подлинности является недовереннной стороной) и доверенная информационная система, к которой он хочет получить доступ. "Достаточно очевидно, что может быть изменена база данных, подменен механизм проверки, искажен результат этой проверки и т. п.", пишет автор. Но в таких условиях рассуждения о надежной аутентификации напоминают рассказ о надежном замке, который был в выбитой двери. Иными словами, при аутентификации в ненадежную систему независимо от используемого устройства для аутентификации компрометация неизбежна.

Как известно, надежность системы безопасности определяется надежностью ее самого слабого звена. В описании процесса аутентификации автор пишет "сначала пользователь "признается" устройством Ш, а потом устройство Ш "признается" СЗИ". Следующим этапом, по идее, является ПК пользователя, но вот каким образом реализуется связка "СЗИ - ПК", автор умалчивает. Если первый этап - пароль, далее сверхнадежные системы защиты, а последний этап - недоверенная среда, которую представляет собой ПК, то ни о какой безопасности не может быть и речи.

Стоит отметить, что и сама регистрация в системе все же предполагает три (а не две) взаимосвязанные, выполняемые последовательно процедуры: идентификации, аутентификации и авторизации. Финальный этап, на наш взгляд, незаслуженно упущенный автором, - авторизация, в ходе которой субъекту предоставляются определенные права доступа к информационным ресурсам. Если, конечно, речь не идет о полностью "равноправной" системе.

Опять же надежность аутентификации с использованием механизма ЭЦП зависит, прежде всего, от способа хранения закрытого ключа подписи. Если на моем рабочем столе лежит дискета с сохраненном на ней закрытым ключом, то надежность такого метода однофакторной аутентификации можно сравнить разве что с парольным вариантом регистрации в системе.


1 Здесь и далее опираемся на понятия, определенные в кн.: Курило А.П., Мамыкин В. П. Обеспечение информационной безопасности бизнеса. С. 291-294.

2 Подробнее о понятиях "ЭЦП" и "электронный документ" см.: Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Минск., - 2004. С. 23~28, 33~37; То же в эл. виде: http://www.accord.ru/Docs/books/opf/01 _opf.htm.

3 Они ему и не нужны, поскольку участвуют только во взаимодействии между техническими средствами.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2007
Посещений: 19732

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Светлана

Светлана  Конявская

кандидат филологических наук, ЗАО "ОКБ САПР"

Всего статей:  45

  Автор

Ника Комарова

Ника Комарова

Руководитель направления маркетинговых и PR-коммуникаций компании Aladdin

Всего статей:  5

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций