Новые методы аутентификации — угроза приватности?



    Специалистам известно, что однофакторная аутентификация по паролю устарела. Да, она подходит для малозначимых систем вроде Хабра, но действительно ценные активы неприемлемо защищать подобным образом. Не бывает «надёжных» и «стойких» паролей, даже криптостойкая парольная фраза на 44 бита энтропии малополезна, если не подкрепляется другими факторами аутентификации.

    Факторы аутентификации:

    1. «То, что ты знаешь» (Something You Know) — например, пароль
    2. «То, что ты имеешь» (Something You Have) — например, мобильный телефон или PKI-токен
    3. «То, чем ты являешься» (Something You Are) — например, клавиатурный почерк или другие биометрические признаки

    Многочисленные утечки баз данных с персональной информацией пользователей и сотрудников крупных организаций — лишнее тому доказательство. Согласно исследованию Data Breach Investigations Report от Verizon, причиной 81% всех взломов информационных систем и утечек данных в 2017 году стали скомпрометированные учётные записи. То есть «украденные» или «сбрученные» пароли.

    Но ради безопасности и более продвинутой аутентификации приходится чем-то жертвовать. К сожалению, пострадать может приватность пользователей. Некоторые современные технологии предусматривают либо слежку за поведением людей, либо забор биометрических данных.

    При некорректной реализации такие системы безопасности могут превратиться в некое подобие Большого брата, где будет практически невозможно обеспечить безопасность, сохранив анонимность.

    Новые методы аутентификации


    Даже последняя версия reCAPTCHA v3, которую на днях официально представила компания Google, применяет методы поведенческого анализа, то есть скрытно отслеживает действия пользователя.

    С точки зрения веб-мастера система работает так: вместе со страницей пользователю отдаётся библиотека reCAPTCHA и выполняется функция grecaptcha.execute. Пользователь ничего не замечает — но с этого момента его действия начинают отслеживаться серверами Google, а владельцу сайта выдаётся оценка конкретного пользователя по шкале от 0.0 (бот) до 1.0 (человек).



    На основании этой оценки можно автоматически запретить аутентификацию или другие действия на сайте. Например, к странице с вводом парольных данных допускают только юзеров с оценкой выше 0.5.



    Хотя reCAPTCHA не является конкретно системой аутентификацией, но это хорошая демонстрация поведенческого анализа, продвинутого анализа рисков (advanced risk analysis) или риск-ориентированной модели аутентификации (risk-based authentication). Это популярный подход в новых системах аутентификации, которые сейчас предлагаются на рынке. Вот как поставщики описывают риск-ориентированный подход:

    «Необходимость аутентификации, набор и тип факторов, требуемых для аутентификации данного клиента, определяются на основе оценки риска события и клиента «здесь и сейчас». Таким образом, процесс аутентификации адаптируется под клиента, его окружение и устройство. При высоком уровне доверия к этим факторам процедура аутентификации вообще незаметна (по сути, это просто идентификация) или минимальна для клиента. В случае выявлении риска клиент должен пройти аутентификацию с применением одного или нескольких факторов, а при высокой вероятности фрода доступ к сервисам будет полностью заблокирован».

    Принцип фонового поведенческого анализа немного напоминает алгоритм работы reCAPTCHA v3.

    На самом деле идея состоит в том, чтобы внедрить многофакторную аутентификацию, сохранив или даже повысив удобство для пользователей. Например, если вход в систему интернет-банка осуществляется с известного устройства, из типичного места, а система распознаёт клавиатурный почерк человека, то его могут пустить в систему вообще без пароля.

    Другой пример: при платеже из личного кабинета система не запрашивает дополнительное подтверждение для стандартных операций, которые клиент уже совершал ранее. Второй и/или третий фактор аутентификации запрашиваются при новом платеже новому контрагенту. Очевидно, нестандартный платёж повышает вероятность того, что некто получил несанкционированный доступ к счёту.

    Биометрия в России


    Да, поведенческий анализ со скрытой слежкой за действиями пользователя кажется сомнительной технологией, но при грамотной реализации он всё-таки позволяет сохранить анонимность человека и одновременно обеспечить аутентификацию в системе. Другое дело — сбор биометрических данных, которые по своей сути предполагают отказ от анонимности.


    Распечатанные на 3D-принтере маски позволяют обмануть биометрическую проверку в телефонах iPhone X

    Особенное беспокойство вызывает инициатива по развёртыванию биометричской идентификации в России, где утечки баз с персональными данными граждан стали обычным делом.

    На недавнем форуме инновационных финансовых технологий Finopolis 2018 рассказали, что в России «завершён этап стратегического обсуждения системы биометрической идентификации», а сейчас началось практическое внедрение этой технологии, которое займёт «не менее трёх лет».

    Речь идёт о Единой биометрической системе, к которой подключаются крупные банки и другие организации РФ. На первом этапе идёт массовый сбор биометрических данных у населения, работу координирует «Ростелеком».

    С официального сайта проекта:

    Единая биометрическая система — это цифровая платформа для удалённой биометрической идентификации, которая позволяет предоставлять новые цифровые коммерческие и государственные услуги для граждан в любое время и в любом месте. Система создана по инициативе Центрального банка Российской Федерации и Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, «Ростелеком» — разработчик и оператор Единой биометрической системы.

    Единая биометрическая система вместе с логином и паролем от Госуслуг позволяет банкам без личного присутствия гражданина открыть ему счёт, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получили возможность оцифровать волеизъявление и дистанционно подписывать документы.

    Единая биометрическая система обрабатывает два типа биометрии: голос и лицо, причем не по отдельности, а вместе. Две модальности позволяют определить «живого человека», а не имитацию его биометрии в цифровом канале.

    Лицо и голос — самые доступные и распространенные технологии на сегодняшний момент. Идентификация по рисунку вен, сетчатке глаза или отпечатку пальцев требует наличия специального считывающего оборудования, недоступного в массовом сегменте. Но доступность технологий на сегодняшний день не является ограничивающим фактором для их применения в будущем. Архитектура системы позволяет добавлять и другие модальности.

    «Ростелеком» является одним из лидеров на рынке кибербезопасности, поэтому система обеспечена высоким уровнем защиты.

    Уже выпущено мобильное приложение «Ключ» для Android для удалённой идентификации клиентов банков РФ. Приложение работает в связке с аккаунтом на портале госуслуг, при этом оно сканирует голос и лицо пользователя. Судя по отзывам на Google Play, приложение работает крайне нестабильно, в том числе использует недействительный сертификат.



    Вообще, сбор биометрической информации о гражданах постепенно становится нормой во всём мире. После теракта 11/09 представители 188 стран мира подписали соглашение, признавшее биометрию лица основной технологией идентификации для паспортов и въездных виз следующего поколения. В биометрические паспорта зашит чип, куда предполагается записывать отпечатки пальцев, фотографию сетчатки глаз, расстояние между зрачками и другую биометрическую информацию владельца.

    Тенденции таковы, что биометрическая проверка постепенно становится стандартной процедурой, а государство берёт на себя функцию сбора и хранения биометрических данных граждан. Возможно, биометрическая проверка станет применяться и для различных интернет-сервисов.

    Совершенствуя системы безопасности и аутентификации, в том числе с биометрической проверкой, важно помнить о главном:

    Анонимность — базовое право человека


    В мае 2015 года Совет по правам человека ООН принял документ, который прямо называет возможность анонимного использования интернета и шифрования личных данных частью базовых прав человека:

    Шифрование и анонимность позволяют индивиду использовать свое право на свободу мысли и выражения в цифровую эру и должны тщательно охраняться.

    Повсеместное внедрение биометрических паспортов началось после терактов 11 сентября. С тех пор ситуация с приватностью заметно ухудшилась под предлогом борьбы с терроризмом. В ООН отметили, что анонимность в интернете может быть применена злоумышленниками в том числе для организации терактов, но с тем же успехом преступления могут совершаться с помощью других каналов связи. Из-за ограниченного числа преступников нельзя отказывать в базовом праве всем остальным людям, считают в организации.

    Другими словами, при внедрении продвинутых систем аутентификации и биометрических проверок важно не выплеснуть с водой и ребёнка, то есть обеспечить надлежащую защиту персональных данных пользователей, тем более их биометрической информации.



    GlobalSign
    167,77
    Компания
    Поделиться публикацией

    Комментарии 19

      0
      В РФ для смартфонов лучшая безопасность как раз надежный пароль, а не биометрия. Если тебя «приняли» товарищи из соответствующих структур, то пароль ты всегда можешь забыть, тогда как твой палец и фейс всегда с тобой.
        +1
        На случай «забыл» есть еще терморектальный криптоанализ. Говорят хорошо работает.
          0
          Тренируйте жопные мышцы.
            0
            Не проще физически повредить нервные окончания в афедроне?
            Болевых ощущений никаких. Побочный эффект при длительном термическом воздействии ткани сгорают и в дальнейшем будет затруднен процесс регенерации.

            Для «случайно забыть пароль» принудительная депривация сна либо подобные техники… Примерно на третьи сутки будет проблематично выполнять действия которые ранее были доведены до автоматизма, также будет трудно вспомнить информацию которая достаточно давно хранится в сером веществе. Для усиления эффекта, менять регулярно пароли в измененном состоянии.

            И самое главное не хранить и не копировать на телефон никакой компрометирующей вас информации. Только котики, смехуечки и сугубо переписка с супругой(супругом) и деловая почта если телефон от работы.
            0

            Зависит от масштабов интереса. Терморектальный какие-нибудь рядовые применять по своей инициативе не будут. А палец отогнуть — никаких проблем. Но комментарий Ogra тут более уместен, конечно. Биометрия + чистый телефон лучше.

            0
            Как насчет того, чтобы просто не держать на смартфоне ничего, интересущего соответствующие структуры? Это же как-то просто глупо, расхаживать по городу с «уликами» в кармане, не?
              0
              Как это у вас, гражданин, на смартфоне вообще ничего нет? Подозри-ительно (с)
                0
                «Я в ваших смартфонах, инстаграммах, телеграммах ничего не понимаю. Купил просто, чтобы звонить. А почему iPhoneX — ну, чтобы нищебродом не казаться.»
            0
            Интересно, всё это делается ради безопасности граждан или ради тотального контроля?
              +1
              Проблема как раз в другом. В приложении Ростелекома в качестве источника данных используется обычная камера и микрофон. На рутовоном Андройде подменить эти данные нет никакой проблемы, соответственно можно получить доступ к банковским данным имея фотографию и сэмпл голоса. В общем в такой реализации это очень большая дыра в безопасности.
                0
                В рутовом андроиде вообще ничего не поможет. На то он и рут
                  +1
                  Я имею в виду не телефон жертвы, а свой собственный. Можно написать приложение, которое на рутовоном телефоне подменяет видиопоток с камеры и аудиопоток с микрофона. Получаем фотографию и семпл голоса и на основе этих данных генерим видео, которое скармливаем РосТелекомовскому приложению. И вот у вас полный доступ к личному кабинету любого человека в любом банке, который сотрудничает с РосТелекомом.
                    0
                    Действительно, ненадежно как-то.
                0
                А вот таким вот вопросом сторонники биометрии никогда не задавались: что делать, если биометрические данные скомпрометированы? Пароль можно сменить, токен или ключ-таблетку тоже, а с биометрией — пластические операции делать? Переучиваться на левшу? Пол менять? Скомпрометированы в смысле «украдена или слита база данных, позволяющая привязать ту или иную биометрию к конкретному человеку».
                  0
                  Шифрование и анонимности позволяют индивиду использовать свое право на свободу мысли и выражения в цифровую эру и должны тщательно охраняться.
                  А какие бывают анонимности?
                    0
                    О дурацких опечатках можно сообщать и в ЛС.
                    Шутка
                    А какие бывают анонимности?

                    Как минимум террористическая и педофильская
                    0
                    Не бывает «надёжных» и «стойких» паролей

                    Очень смелое утверждение. Всё зависит — для удаленного доступа пароль из 16 символов с энтропией 91 бит, с ограничением числа попыток до разумного предела (и чудовищными задержками после) — очень даже надежен.

                    Даже если кто-то добрался до солёного хэша — то даже тут (при правильном алгоритме) 91 бита хватит на века. Впрочем, если злоумышленник получил хэши, то это уже другая проблема на другом уровне.

                    Если же говорить про возможность его подсмотреть, заставить сказать etc — то биометрика и другие факторы не особо улучшают ситуацию, скорее даже ухудшают (как уже говорили выше).

                    К примеру, пальчик можно подделать (или дать по голове и приложить), со сканом сетчатки ситуация ненамного лучше — всё зависит от вектора атаки. Были уже случаи когда и пальчики резали, и голос записывали, а вот выудить пароль — тут уже нужны более отчаянные меры и полное сотрудничество того кто его знает.
                      0
                      А что если каждому человеку в какую-нибудь часть тела внедрить чип, и на основании него аутентифицировать?
                        0
                        Беспроводной? Тогда будут подходить с направленной антенкой и пользоваться. Едешь в автобусе, глядишь — а где-то на eBay оплачены покупки твоим кошельком.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое