поиск по сайту
Плюсы и минусы двухфакторной аутентификации
С. В. Конявская, к. ф. н.
Плюсы и минусы двухфакторной аутентификации

Аутентификация нужна для того, чтобы подтвердить или опровергнуть заявленный статус. Например, авторство, отношение (членство в группе, семейное положение) или право на доступ (к техническому средству, приложению, информации, или, скажем, в помещение), или право собственности.

Можно представить ситуацию, когда для надежного решения вопроса, например, о доступе - достаточно идентификации, иными словами, <опознания>. Так мы пропускаем в квартиру знакомых, узнавая их через <глазок> (идентификатор - знакомая внешность).

Если идентифицировать <на глаз> не получается, то запрашиваем другой идентификатор: <кто там?>, и, услышав ответ <Милиция>, можем сразу впустить незнкомца (безо всякой аутентификации), а можем потребовать подтверждения - показать документ. Аутентификация (подтверждение принадлежности этого признака этому субъекту) в данном случае необходима потому, что нам надо связать признак <сотрудник МВД> с реально стоящим перед дверью человеком, у которого, так же, как и у оборотня в погонах, есть голова, ноги и ФИО. Итак, предъявленный идентифицирующий признак - <сотрудник милиции>, а средство аутентификации - документ, объективно подтверждающий (фотография, печать и прочие реквизиты) связь субъекта и признака.

Пока все совершенно тривиально.

Многофакторной аутентификацией называют аутентификацию, при которой используются аутентификационные признаки разных типов (заметим, не несколько признаков, а признаки нескольких типов)[1].

Типы аутентифицирующих признаков и называются аутентификационными факторами.

Принято выделять следующие <факторы>: <нечто, нам известное> (пароль), <нечто, нам присущее> (биометрика) и <нечто, у нас имеющееся> (документ или предмет, характеризующийся какой-то уникальной информацией (обычно этот фактор сводится к формулировке <устройство>, хотя такое сужение не всегда оправдано)).

Двухфакторная аутентификация, согласно такой системе понятий, это аутентификация, при которой используется одновременно: пароль+устройство, пароль+биометрические данные или биометрические данные+устройство.

Какие доводы обычно приводятся в пользу такой аутентификации, в отличие от <однофакторной>?

Стандартный (и, надо сказать, эффективный) ход заключается в том, что ввод пароля с клавиатуры как метод аутентификации имеет целый ряд очевидных недостатков и не может гарантировать надежной аутентификации.

Это безусловно так, но стоит ли из этого делать вывод о ненадежности <однофакторной> аутентификации вообще?

Существуют другие методы, например, электронная цифровая подпись (ЭЦП). Подписывать ею документ может человек (автор, отправитель, архивариус) с использованием технических средств, а может какой-то процесс (например, при взаимной аутентификации технических средств путем обмена подписанными пакетами). Соответственно, ЭЦП, являясь  реквизитом документа, позволяет аутентифицировать автора документа (отправителя пакета) или сам документ[2]. Вне зависимости от того, каким устройством сформирована и каким устройством проверяется ЭЦП, сама по себе она представляет собой только один признак. Значит ли это, что метод ненадежен?

Другой, менее уязвимый довод в пользу двухфакторной (многофакторной) аутентификации сводится к тому, что чем больше факторов, тем меньше вероятность ошибок. Причем ошибок обоих типов - как <совпадения> и подтверждения статуса, которым пользователь в действительности не обладает (случайно или злонамеренно, например, путем перебора идентификаторов), так и ошибочного неподтверждения легального статуса из-за какого-либо сбоя.

На эту тему хочется привести еще один пример из жизни. Время от времени мне приходят почтовые извещения о заказном письме, выписанные на человека с моей фамилией и инициалами, зарегистрированного по моему адресу: но мужского пола. На почте я предъявляю извещение, в котором написано <Конявский С. В.>, и паспорт, в котором написано <Конявская С. В.>. В качестве дополнительного признака (заметим, другого типа) показываю штамп о регистрации по указанному адресу.

Еще ни разу с помощью этих манипуляций получить заказное письмо мне не удалось, поскольку работающие на выдаче специалисты требуют, чтобы <Конявский С. В.> явился за своим письмом сам.

Легко понять, почему так происходит - на почте просто нет базы данных, позволяющей убедиться в том, что никакого Конявского С. В., зарегистрированного по данному адресу, не существует.

Таким образом, для того чтобы аутентификация была на самом деле надежной, важно не количество типов предъявляемых признаков, а качество реализации механизма на обеих сторонах взаимодействия - как в части, находящейся у пользователя, так и в части, находящейся у проверяющей стороны.

Если база данных отпечатков пальцев хранится на бумажных носителях в шкафу, то аутентификация по биометрическому признаку будет и неудобной, и ненадежной - нужный листок может быть просто изъят. Точно так же может быть изъята (или добавлена, или искажена) запись пользовательских данных из базы, хранимой в памяти ПК, и сколько факторов ни было бы задействованно в процессе аутентификации, он не сможет повысить уровень защищенности.

Поэтому очень важно представлять себе весь процесс аутентификации в той или иной системе, а не только количество учитываемых факторов.

Например, мы подключаем устройство T (первый фактор) и вводим пароль (второй фактор), а процессор ПК сравнивает этот <комплект>  с данными в базе, хранящейся в процессоре того же ПК. Достаточно очевидно, что может быть изменена база данных, подменен механизм проверки, искажен результат этой проверки, и т. д. И все это вне зависимости от того, что устройство уникальное и пароль верен.

Но может быть совершенно иначе. Подключая устройство Ш, пользователь с помощью ПИН-кода аутентифицируется непосредственно в устройстве, автономный процессор которого сверяет ПИН с хранящимся в защищенной от модификации памяти Ш. Затем процессор Ш передает аутентифицирующие данные в процессор СЗИ, установленного в ПК.

Заметим, что это уже не ПИН, а данные, выработанные и хранящиеся непосредственно в Ш, которые пользователю недоступны[3], а значит, аутентификацию с помощью Ш невозможно подменить предъявлением этих данных из какого-то другого источника.

Процессором СЗИ данные сверяются с базой, хранящейся в защищенной от модификации памяти СЗИ (а не ПК).

При таком алгоритме проверки аутентификация происходит ступенчато: сначала пользователь <признается> устройством Ш, а потом устройство Ш <признается> СЗИ. Причем все проверки происходят в доверенной среде, а все критичные данные защищены технологически.

При этом <снаружи>, для пользователя и то, и другое - просто <двухфакторная аутентификация>: пользователь подключает устройство (раз) и вводит известную ему последовательность символов (два).

Итак, довольно предсказуемо мы приходим к выводу о том, каковы они - плюсы и минусы двухфакторной аутентификации. Минус, как это и бывает обычно в защите информации, - это опасность формального подхода, ведь факторы, влияющие на надежность аутентификации отнюдь не исчерпываются типами идентифицирующих признаков. А все остальное - плюсы.



[1] Здесь и далее опираемся на понятия, определенные в кн.: Курило А. П., Мамыкин В. Н. Обеспечение информационной безопасности бизнеса. С. 291-294.

[2] Подробнее о понятиях ЭЦП и электронный документ см.: Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Мн., 2004. С.  23-28, 33-37; То же в эл. виде: http://www.okbsapr.ru/docs/books/opf/01_opf.htm .

[3] Они ему и не нужны, поскольку участвуют только во взаимодействии между техническими средствами.


ФорумФорум
Форум ОКБ САПР
Вопросы специалистовВопросы специалистов
Вопросы, которые нам присылают, и наши ответы на них