Журнал "Information Security/ Информационная безопасность" #2, 2023

Факторы вводятся для того, чтобы сформулировать на их основе понятие о двухфакторной (или многофакторной) аутентификации. "Общим местом" является список из трех факторов: l знание; l владение; l биометрия (обладание некоторой био- логической особенностью). Двухфакторная аутентификация, как правило, означает комбинацию из "знать" и "владеть". Согласно стандарту NIST "Руководство по цифровой идентификации. Аутенти- фикация и управление жизненным циклом" биометрический фактор является дополнительным, способным подтвердить обладание субъекта тем предметом, кото- рый для него воплощает фактор "владе- ния" (например, биометрическое подтвер- ждение того, что данная смарт-карта – этого человека): "Биометрия ДОЛЖНА использоваться только как часть много- факторной аутентификации с физическим аутентификатором (то, что у вас есть)" [Раздел 5.2.3]. То есть в многофакторной аутентификации этот "фактор" может быть только третьим. Если заменить ввод пароля к смарт-карте предъявлением отпечатка пальца, то аутентификация перестанет считаться многофакторной, допустимо только добавить предъявление биометрического признака 1 . Иногда к факторам также относят рас- положение в определенном месте [1. С. 13], но согласно ISO/IEC 29003 – это не фактор, а только свидетельство. В то же время согласно ISO факторов все-таки четыре, но четвертый – это не располо- жение в пространстве, а то, что субъект "обычно делает" (например, какие-то пове- денческие паттерны) [Раздел 3.6]. Думается, что проблема использова- ния биометрии в качестве фактора аутентификации связана не с особенно- стями биометрии, а с ущербностью самой классификации аутентифицирую- щих данных через "факторы". Определение фактора аутентифика- ции дано в ГОСТ Р 58833–2020 "Иден- тификация и аутентификация. Общие положения": "…фактор аутентификации: вид (форма) существования аутентифи- кационной информации, предъявляемой субъектом доступа или объектом доступа при аутентификации". Рассмотрим, что удается почерпнуть из этого определения. «"Аутентификационная информация" и "информация, предъявляемая субъ- ектом доступа или объектом доступа при аутентификации" – это одно и то же, так что это уточнение ничего не добавляет к основной части – "вид (форма) существования аутентифика- ционной информации". "Форма существования" – это формула, естественная для научного дискурса вообще, и к понятию информации она применяется достаточно часто. По системе определений, сформулированной А.А. Стрельцовым [2. С. 10–33], информа- ция существует в форме сведений и сообщений , при этом и та, и другая форма существования информации опре- делены и четко отделены одна от другой. По системе определений В.А. Конявского [3. С. 179–191], в цифровой среде следует говорить не об информации как таковой, а о ее отображении (если провести парал- лель с системой определений Стрельцова, то в ней сведения отображаются в сообще- ниях). Отображается информация или в статической форме – в форме данных (чисел, представляющих собой упорядо- ченное множество символов), или в форме процессов – динамической форме. В обеих системах дефиниций понятна природа определяемых феноменов, понят- ны их взаимосвязи и следствия из них – "форма существования" информации в виде сведений и сообщений позволяет выделить и определить предмет право- отношений, форма существования в виде данных и процессов – построить модель электронного документа и его защиты. Что позволяет прояснить "существо- вание аутентифицирующей информации в форме факторов аутентификации"? Анализируя перечень "факторов аутен- тификации" (поскольку определение должно рассматриваться не изолиро- ванно, а в совокупности с практикой применения термина), можно сделать вывод, что "вид" и "форма" здесь харак- теризуют парадоксальным образом как раз не форму, а содержание. На содер- жательном уровне "факторы" и "аутен- тификационные данные" действительно некоторым образом связаны. 1. Фактор "знание" связан с паролями в том смысле, что пароль требуется знать. 2. Фактор "владеть"» связан с аппа- ратным идентификатором в том смысле, что чтобы его предъявить, он у пользо- вателя должен быть в наличии ("владеть" тут не очень подходит, потому что обыч- но владельцем идентификаторов являет- ся организация, не пользователь, но если это личный идентификатор – то да, "владеть"). 3. Фактор "биометрия" связан с папил- лярным узором на пальце тем, что это биометрический признак. 4. Фактор "расположение в простран- стве" связан с геолокационными данными в том смысле, что они сообщают о том, где в пространстве расположен объект. 5. Фактор "обычное поведение" связан с поведенческими паттернами в том смысле, что они его описывают. Однако даже с учетом наличия этой смысловой связи "расположение в про- странстве" – это не форма и не вид существования геолокационных данных, даже метафорически вряд ли можно сказать, что геолокационные данные существуют в форме (или в виде) рас- положения в пространстве. Это выска- зывание не имеет смысла. То же, если попытаться подставить в эту конструк- цию другие факторы: пароль существует в форме знания, ТМ-идентификатор существует в форме владения и т.д. Скорее "факторы" определяют, чем в реальном физическом мире является источник аутентифицирующих данных – знанием, характеристикой какого-то предмета, физиологической особен- ностью, местом, образом действия. Именно источник, ведь компьютерная система не может работать ни с пред- 32 • СПЕЦПРОЕКТ Проблемы использования биометрии в качестве фактора аутентификации бычно первым, что узнают люди о защите информации, становятся именно “факторы аутентификации” – заветные “знать/владеть”. Но получить внятный ответ на вопрос, что же это такое, очень сложно. Как правило, ответ дается в виде списка этих самых “факторов”. В бытовом процессе узнавания этот прием используется часто: ребенку объясняют, что такое цвет, перечислением цветов, а не объяснением природы этого явления, и многое другое постигается таким же образом. Но что хорошо в детстве – не вполне уместно в защите информации. О Светлана Конявская, заместитель генерального директора ЗАО “ОКБ САПР”, к.ф.н. 1 Благодарю А.Г. Сабанова за это уточнение, данное в личной беседе.