Журнал "Information Security/ Информационная безопасность" #3, 2023

Зачастую технологии защиты данных базируются на избыточности, и это порождает устойчивое ощущение, что, когда чего-то много, это лучше, чем когда мало. Часто это так и есть. Однако все-таки важны не мантры, а нюансы. Мантры, или "количество перейдет в качество" Идея, мотивирующая многофактор- ность, сводится обычно примерно к сле- дующим выкладкам: при многофактор- ной аутентификации злоумышленнику нужно украсть кроме пароля еще и токен, а это сложнее сделать незаметно. Еще сложнее – незаметно украсть глаз или руку. Это, в принципе, так и есть. Но важно ли это? Это важно, если мы представляем себе атаку, при которой злоумышленник собирается физически прийти на рабо- чее место жертвы и там все это предъ- являть – токен, глаз и руку. В этом слу- чае, действительно, существенно быстрее и проще добыть один пункт номенклатуры, чем несколько. Здесь можно согласиться с тем, что подготовка такой атаки – с физическим доступом к компьютеру жертвы – несколько упро- щается по мере снижения количества применяемых аутентификаторов. В то же время нельзя не заметить, что, скорее всего, до успешной реали- зации этой атаки злоумышленник не дойдет, даже имея с собой нужный глаз, так как его просто не пропустит охрана (или СКУД), или, если он завладеет и идентификатором СКУД тоже, соседи по кабинету что-то заподозрят, увидев эту похожую на кадры боевика сцену. В жизни бывает всякое, но все же хакеры чаще работают удаленно. Атака, при которой злоумышленник получает введенные легальным пользователем аутентифицирующие данные и потом их предъявляет при доступе к целевому ресурсу, реализуется обычно вовсе без физического доступа к компьютеру жертвы. После ввода данных в систему уже не имеет значения, что стало их источни- ком – знание, предмет, действие или что-то еще. Эти данные уже "просто нули и единицы", поэтому для оценки сложности и трудоемкости атаки на аутентифицирующие данные в этом слу- чае важны отнюдь не "факторы", а учет сложности того, где и как злоумышлен- нику перехватывать данные, введенные в систему. Чем сложнее организовано движение данных в подсистеме аутен- тификации, тем дороже атака: она тре- бует от хакера специального исследо- вания, высокой квалификации. При этом важно не принимать за потенциальную сложность атаки слож- ность аутентификации для пользователя. Психологический эффект на пользова- теля это оказывает: горько – значит, помогает. Злоумышленнику же от этого только лучше, так как пользователи при сложной аутентификации часто оши- баются и материал для анализа у него накапливается быстрее. Количество не всегда переходит в лучшее качество. Если иметь две руки человеку предпочтительнее, чем одну, то иметь три – вряд ли предпочтитель- нее, чем две. Связь между сложностью организации атаки на аутентифицирующие данные и "многофакторностью" если и есть, то не причинно-следственная. Рассмотрим это радикальное утверждение на при- мерах. Логические ошибки, или "Чем ниже голова, тем глубже мысли" Аутентифицирующие данные вводятся пользователем в компьютерную систему через устройства ввода-вывода, и это не произвольные устройства, пользова- тель не свободен использовать то, что ему нравится. Сколько ни называй пароль вслух или показывай его видео- камере, до тех пор, пока не введешь его с клавиатуры, ничего не получится. Но ведь система может требовать ввод пароля с универсальной клавиатуры, а может со специальной, и, если ввести не с той, тоже ничего не получится. То есть канал ввода данных опреде- ляется все-таки не "фактором" (оба паро- ля – точно фактор "знать"), а архитекту- рой подсистемы аутентификации. Одна- ко, действительно, чем больше требуется ввести различных данных, тем, как пра- вило , больше потребуется и устройств ввода, а это значит, что хакеру придется диверсифицировать усилия, атака усложнится. Вместе с тем может быть и иначе. Например, если используются комбини- рованные считыватели 2 , то появляется удобная локализация атаки – общий канал ввода данных в систему от этого считывателя. Доверенность канала между этим устройством и целевой системой становится заметно более кри- тичным требованием, хотя "факторов" и "много". Если же представить себе, что в систе- му нужно ввести несколько паролей, но через разные интерфейсы, эффект от этой "множественности" будет точно таким же, как от "многофакторности", хотя все пароли останутся только паро- лями. Корреляцию нельзя путать с причин- но-следственной связью, иначе неизбеж- ны выводы типа "рост потребления моро- женого приводит к росту числа разво- дов". Факторы поважнее "факторов" Подсистема аутентификации, как и вся система в целом, во-первых, должна проектироваться, во-вторых, должна про- ектироваться целесообразно. Очевидно, что целью ни в каком слу- чае не может быть применение таких или сяких данных в качестве аутенти- фицирующих. Подсистема аутентифи- кации проектируется исходя из требо- ваний к ней, а также особенностей архи- тектуры системы. А именно – что конт- ролировать в данной системе проще, 64 • ТЕХНОЛОГИИ Реалии и проблемы многофакторной аутентификации этом номере снова обратимся к вопросу “факторов” аутентификации, и, не стоит скрывать, снова в критическом ключе. В опубликованной в прошлом номере статье 1 упомянуто, что ни при каких действиях с аутентифицирующими данными, классифицированными по “факторам”, эти самые факторы не используются. Единственное их применение – это построение идеологемы “многофакторная аутентификация”. Рассмотрим связанные с этой идеологемой реалии и вытекающие из них проблемы. В Светлана Конявская, АО “ОКБ САПР”, кафедра защиты информации ФРКТ МФТИ 1 Конявская С.В. Проблемы использования биометрии в качестве фактора аутентификации // Information Security/Информационная безопасность. 2023. № 2. С. 32–35. 2 Обычно комбинируется считыватель того или иного биометрического признака и какого-либо аппаратного идентификатора, но есть и другие примеры, например токены с клавиатурой на корпусе.