Журнал "Information Security/ Информационная безопасность" #3, 2023

а что сложнее (или невозможно контро- лировать вообще). Контролируется ли состав оборудования и ПО, периферия (клавиатура, считыватели идентифика- торов), идентификаторы пользователей, пользовательские компьютеры, каналы, физический доступ – каждый из этих пунктов влияет на усиление или ослаб- ление требований к тому или иному аспекту реализации аутентификации пользователя. Контролируемость ком- понента позволяет оценить возможность его дискредитации. Если компонент неконтролируемый, его необходимо счи- тать дискредитированным, потому что проверить и убедиться, что компонент не дискредитирован, нельзя. С некоторой степенью условности можно сказать, что подсистема аутен- тификации может быть тем проще, чем более контролируемы все компоненты системы. Однако эта зависимость несколько сложнее чем "если в одном месте что-либо убавится, то в другом столько же присовокупится", хотя такое упрощение очень часто встречается на практике. Например, полностью теряют смысл меры по контролю идентифика- торов пользователей, если они приме- няются на неконтролируемых рабочих местах. А тем более абсурдно пытаться "компенсировать" неконтролируемость клиентского вычислительного устройства или неконтролируемость каналов использованием идентифицирующих или аутентифицирующих данных, опреде- ляющих пользователя как можно более однозначно. Эти характеристики не свя- заны, они не могут компенсировать одна другую. А вот обратный вопрос стоит как раз довольно остро: стоит ли передавать данные, которые вы не сможете изме- нить при компрометации, в компонент системы, который таки может быть ском- прометирован? Выиграете ли вы от того, что ваше лицо однозначно связано с вами, если после случайной утечки им будет расплачиваться за проезд любой желающий? Однако и тут играет роль не "фактор", а сменяемость или несменямость дан- ных: пароль, токен и папиллярный узор компрометируются одинаково легко, но первые два можно немедленно сменить, а третий – нет. Это и означает, что подсистема аутен- тификации должна проектироваться исходя из того, что в какой степени контролируемо: можно использовать систематически обновляемые аутенти- фицирующие данные, а можно – посто- янные, но намного серьезнее защищать подсистему аутентификации (для рас- пределенных систем – включая, разу- меется, их клиентскую часть). Неотделимые аутентифицирующие признаки хороши до тех пор, пока предъ- явить их может только тот, от кого они неотделимы. А можно ли вообще это обеспечить? Как перестать гнаться за количеством Вернемся к потенциальной атаке на аутентифицирующие данные, введенные в систему. Трудоемкость атаки на сложно выстроенную и защищенную подсистему аутентификации выше, ее привлекатель- ность, соответственно, ниже. Однако, в отличие от атаки на аутентифицирующие данные одного конкретного пользователя, успешная атака на все вводимые в систе- му данные намного эффективнее, так как позволяет заручиться данными любо- го количества пользователей системы. Атака дорогая, но в определенных усло- виях может оправдывать свою цену. В чем принципиальный залог успеш- ности (для злоумышленника) такой атаки, почему она вообще имеет смысл? Вводимые в систему данные повторяют- ся, и, зафиксировав их один раз, их можно повторить – имитация ввода аутентифицирующих данных. Если каж- дый пользователь каждый раз будет вводить разные данные, то собирать их не будет иметь никакого смысла. Определенным образом эту задачу решают одноразовые пароли или отправ- ляемые СМС с кодами подтверждения. Но и это не панацея от всех бед. Схема атаки на аутентификацию с помощью кода подтверждения из СМС давно хоро- шо известна, не станем ее приводить, чтобы не доводить до греха тех, кто пока о ней не знает. Что же касается одноразовых паролей, то их выработка псевдослучайна, ее алгоритм может быть восстановлен путем кропотливого исследования. Так же обстоит дело с реализациями аутентификации, в кото- рых к данным пользователя добавляются данные сеанса, эти данные не случайны, а значит, для злоумышленника принци- пиально возможно их выработать. Вообще говоря, нет ничего ужасного в том, чтобы смириться с мыслью, что любую схему реализации аутентификации при определенных усилиях можно обойти, ведь мы с самого начала погружения в защиту информации знаем, что абсо- лютная защита невозможна. Если конт- ролировать среду на клиентских машинах, каналы, серверную часть системы, исполь- зовать устройства генерации одноразовых паролей, добавлять сеансовые данные и т.д., можно сделать атаку на аутентифи- цирующие данные, введенные в систему, довольно непривлекательной задачей. В то же время еще в XIX веке сфор- мулирована максима, ошибочно припи- сываемая Марксу, о том, что нет такого преступления, на которое капитал не готов ради 300% прибыли. Есть и хорошее: в настоящее время уже разработана технология выработки аутентифицирующих данных, делающая эту атаку бессмысленной. Это аутенти- фикация по динамическим биометриче- ским данным: интерактивная рефлек- торная биометрия, данные рефлекторной реакции человека на случайный стимул. Не числом, а умением Исследования, проведенные в МФТИ, показали, что такие данные (на примере частного случая рефлекторной дуги – данных слежения взглядом за визуаль- ным стимулом на экране смартфона) могут быть положены в основу способа аутентификации с использованием недо- веренного устройства. Это важно, так как смартфоны никогда не будут массово доверенными, но точно будут использо- ваться гражданами – участниками циф- ровой экономики. Способ схематично выглядит так: сер- верная часть системы отправляет на смартфон пользователя случайную тра- екторию движения точки по экрану. Пользователь следит взглядом за точ- кой. Нейросеть в серверной части систе- мы проверяет полученную траекторию по модели рефлекторной дуги данного пользователя. Эта модель создается на стадии обучения нейросети, и повторить ее злоумышленнику невозможно, даже имея аналогичную нейросеть, так как невозможно точно повторить процесс машинного обучения. После приведенных рассуждений у читателя может возникнуть возраже- ние, что траектория стимула генериру- ется машиной, значит, псевдослучайна, как одноразовый пароль. Это так и есть, однако рефлекторная реакция человека, в отличие от сгенерированной машиной траектории, всегда будет разной, а вос- становить злоумышленнику понадоби- лось бы не траекторию стимула, а тра- екторию взгляда. Не стоит даже упоминать, что пре- имущество этого вида аутентифицирую- щих данных точно никак не связано с "фактором". С точки зрения "факторов" отпечаток пальца и рефлекторная дуга – это одно и то же. Вряд ли что-то может дискредитировать идею "факторов аутентификации" более наглядно. Итак, рассуждения о реалиях и про- блемах многофакторной аутентифика- ции привели к тем же двум основопо- лагающим выводам, что дает и рас- смотрение многих других инженерных вопросов: l ни в коем случае нельзя заменять проектирование ярлыками, даже очень устоявшимися; l инструмент должен оцениваться не сам по себе, а в контексте той задачи, для которой он выбирается; l факторы аутентификации – это не "знать" и "владеть", а контролируемость компонентов системы, ее архитектура и модель угроз. Есть системы, в которых достаточно ввода пароля с клавиатуры, а есть те, для аутентификации в которых понадо- бится нейросеть. Важно их не перепу- тать. l • 65 КОНТРОЛЬ ДОСТУПА www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru