Реквием по паролям

Современные методы аутентификации. Начало

19.01.2010
14:40
Алексей Комаров

Вы все еще используете пароли?

Тогда мы идем к вам!

 

«Аутентикация»…

 

Слово, вынесенное в название раздела является, по идее, правильным переводом английского слова authentication, - термина из сферы информационной безопасности. Слово обозначает процедуру проверки на основании некой уникальной информации личности человека, который пытается получить доступ к данным (идентификация), а также выяснение, является ли этот субъект тем, за кого себя выдает.

 

В русском языке, однако, прижился модифицированный вариант этого термина – аутентификация. Видимо, аналогом для подобной метаморфозы послужила идентификация (identification), которая определяется как процедура распознавания субъекта по его идентификатору (какой-либо информации – числу, строке символов и т.д.).

 

Причина этого лингвистического казуса представляется вполне ясной – понятия «аутентификация» и «идентификация» столь близки, что порой их путают даже квалифицированные специалисты. Вот и сейчас – определения даны, а ясности пока нет. Попробуем разобраться более детально.

 

Для простоты представим себе проходную предприятия и охранника, который обязан контролировать проход на территорию и задерживать всех посторонних. Всех сотрудников внесли в списки, и для того, чтобы пройти мимо бдительного сотрудника охраны, нужно назвать себя. Дальше происходит то, что как раз и называется идентификацией: в имеющейся «базе учетных данных» происходит поиск идентификатора. Если сотрудник начал работать недавно и еще не попал в списки, охранник его не пропустит – в базе нет такого идентификатора. В этом примере подлинность субъекта не проверяется – зная ФИО любого сотрудника можно незаконно проникнуть на охраняемую территорию. Таким образом, идентификация не обеспечивает высокой степени безопасности, так как идентификатор легко отделим от субъекта и может быть использован посторонним.

 

Описанный недостаток присущ всем системам идентификации вне зависимости от принципа, лежащего в их основе. Всем знакомые турникеты-«вертушки», открывающиеся от приложенной карточки с беспроводной радиометкой RFID, тоже никак не проверяют личность субъекта. Понятно, что такой способ приемлем, например, для контроля прохода в метро, но для обеспечения действительно надежной защиты он не годится.

 

Отличный пример аутентификации подарили нам отечественные мультипликаторы. В 15-м выпуске «Ну, погоди!» Бегемот-охранник на входе в Дом Культуры не только спрашивает у Волка идентификатор («Кто?»), но и проверяет, соответствует ли Волк тому, за кого он пытается себя выдать («заяц», «зебра», «черепаха»). Другими словами, Бегемот проводит аутентификацию субъекта.

 

 

…и ее факторы

 

Каким же способом можно проводить аутентификацию? Прежде чем ответить на этот вопрос, введем еще одно понятие. Фактор аутентификации – это определенный вид уникальной информации, предоставляемый субъектом системе при его аутентификации.

 

Вернемся к аналогиям. На этот раз воспользуемся образами из шпионских романов. Агенту Смиту необходимо встретиться со связным и передать ему секретную информацию. Друг друга они не знают и никогда раньше не встречались. Как Смит сможет удостовериться, что перед ним действительно связной, а не вражеский агент? Различают всего четыре фактора аутентификации. Рассмотрим их все.

 

«У Вас продается славянский шкаф?» - это пример первого фактора, когда субъект что-то знает. На практике это может быть пароль, логин, кодовая фраза – словом, любой секрет, известный обеим сторонам.

 

Связной может предъявить, например, половину разорванной фотографии или что-то еще, что есть только у него – это пример второго фактора аутентификации, основанного на том, что у субъекта есть что-то. В современных системах информационной безопасности для этих целей используются токены – персональные аппаратные средства аутентификации.

 

Для обеспечения безопасности встречи можно условиться, что она должна состояться на третьей скамейке справа от входа в Центральный парк. Третий фактор – субъект находится в определенном месте. В информационных системах могут определяться, например, IP-адрес компьютера субъекта или считываться данные радио-метки.

 

Ну и наконец, Смиту могли показать фотографию связного, чтобы он смог его узнать. Четвертый фактор (субъект обладает некой биологической особенностью) применяется только в случае, когда субъект аутентификации – человек, а не, например, сервер или процесс, не имеющие отпечатков пальцев, структур ДНК или радужной оболочки глаза.

 

Рассмотрим представленные факторы подробнее.

 

Страсти по паролям

 

Широко распространено мнение, что парольная аутентификация – самая простая и дешевая из всех возможных. Действительно, для ее внедрения в информационную систему организации не нужно приобретать дополнительного программного или аппаратного обеспечения и нанимать квалифицированных специалистов.

 

Однако как показывает практика, а также исследования авторитетных компаний, пароли обходятся компаниям достаточно дорого. Дело в том, что для того, чтобы пароли были действительно надежными, они должны быть длинными, сложными и случайными. Например, широко известно, что на сегодняшний день для обеспечения приемлемого уровня защиты криптографические алгоритмы должны использовать ключи длиной 256 бит. Считается, что на современном уровне развития техники перебор всех вариантов этого ключа (2²⁵⁶ или около 10⁷⁷) потребует значительно больше времени, чем то, за которое информация устареет (15 лет).

 

Если попробовать подсчитать «стойкость пароля», состоящего из строчных и прописных латинских букв и цифр, то для достижения такой же 256-битной надежности (2²⁵⁶ вариантов перебора) нужен случайный пароль длиной 43 символа. Например, такой: 09fqt9PJ0nsRNBkBqGGnFpHp7BsgnliKTR25vQLlXe8. Естественно, ни один пользователь не в состоянии запомнить подобный пароль, поэтому администраторы безопасности, зажмурив глаза, все-таки позволяют использовать более короткие пароли, требуя, однако, их регулярной смены.

 

В компаниях же, где требования к парольной политике сформулированы хотя бы в минимальном соответствии с реальными угрозами, основной проблемой становятся пользователи, записывающие свои пароли на бумажках, и пользователи, регулярно забывающие свои пароли. Если опасность первого способа запоминания пароля очевидна (обычно пользователи оставляют бумажку с паролем вблизи компьютера, поэтому любой может воспользоваться информацией и проникнуть в систему), то «забывчивость» сотрудников может показаться спорным «камнем в огород» парольной защиты.

 

Дело в том, что в случае такой «амнезии» на пароли, пользователю приходится просить администратора безопасности сбросить защиту паролем (чтоб была возможность, во-первых, зайти в систему, а во-вторых, поставить новый пароль для защиты). Вот эта самая процедура сброса пароля пользователя и является потенциально слабым местом в системе информационной безопасности компании. Ведь чаще всего администраторы выполняют такие просьбы просто по телефонному звонку. Стоит ли говорить, что звонящий может оказаться кем угодно? В компании даже из 100 человек далеко не всех можно узнать по голосу.

 

Для повышения безопасности приходится значительно усложнять эту процедуру, что автоматически влечет за собой рост стоимости поддержки системы парольной аутентификации: простои в работе сотрудника, рабочее время администратора – все это по оценкам Gartner Group выливается в сумму от $30 до $140 в год на одного пользователя.

 

Клавиатурные «шпионы»

 

Помимо атаки, основанной на подборе пароля пользователя, серьезную опасность для этого метода аутентификации представляют клавиатурные «шпионы». «Шпион» (от англ. spyware) – это вредоносное ПО, которое, при наличии физического доступа, может быть установлено злоумышленником на целевой компьютер за несколько минут, пока сотрудник отлучился, забыв заблокировать рабочую станцию. Трех-пяти минут, которые обычно устанавливают как тайм-аут для автоматической блокировки при бездействии пользователя, вполне достаточно, чтобы хозяин ушел достаточно далеко, а злоумышленник успел подключить флешку, запустить с нее «шпиона» и заблокировать рабочую станцию, с тем, чтобы вернувшийся с чашкой кофе хозяин компьютера ничего не заподозрил.

 

Установленный «шпион» в дальнейшем никак себя не проявляет, максимально маскируя свое присутствие на компьютере «жертвы». Он практически не определяется штатными средствами и может «жить» на чужом ПК сколь угодно долго. Даже если «хозяин» регулярно обновляет антивирусную базу (что на практике случается довольно редко), из-за большого количеством модификаций такого класса программ лишь очень малая их часть обнаруживаются локально установленными антивирусами.

 

Другой возможный путь заражения компьютера «шпионом» – это электронная почта и интернет. Имеющиеся в практически любом современном программном обеспечении уязвимости позволяют «заразить» компьютер даже при простом посещении сайта без скачивания и установки чего-либо. Эффективно борются с такими угрозами буквально считанные единицы шлюзовых решений для фильтрации и очистки трафика. Все остальные пользователи, а особенно домашние, если их провайдер не предлагает услугу «чистый интернет», подвергаются риску при посещении даже самых привычных  сайтов. Современные хакеры нередко взламывают благонадежные сайта (новостные или спортивные) и «заряжают» их, успешно обманывая те «наивные» средства обеспечения интернет-безопасности, которые основаны на простой URL-фильтрации. Сегодня сайт «чист» с точки зрения наличия активного вредоносного контента, а завтра - уже кишит spyware.

 

На сайтах многих банков можно встретить так называемые виртуальные клавиатуры, которые позволяют без нажатий клавиш, щелкая мышкой по нарисованной на экране клавиатуре, ввести пароль. Действительно, классические шпионы и трояны-перехватчики становятся бессильны против такого механизма ввода пароля, однако современные продукты злодейской мысли уже давно научились распознавать текущий открытый сайт и при необходимости делать скриншоты части экрана вокруг курсора мыши при нажатии на ее левую кнопку.

 

Всю собранную за время своей работы на зараженном компьютере информацию шпион может пересылать по протоколам электронной почты или через сеть Интернет своему хозяину. Это позволяет в удаленном режиме собирать всю пользовательскую информацию, просто заманив человека на специально подготовленный сайт. И никакого физического доступа! После сбора нужных паролей можно опять же в удаленном режиме аккуратно удалить все следы присутствия злонамеренного кода на ПК для уменьшения риска своего раскрытия. Вот и все.

 

Среди пользователей, озабоченных проблемами безопасности собственных паролей, широкую популярность получили приложения, позволяющие хранить логины и пароли на внешних носителях - USB-флеш накопителях или, что более безопасно, смарт-картах и USB-ключах с чипом смарт-карты. Такой подход не требует от пользователя ввода пароля ни с реальной, ни с виртуальной клавиатуры, позволяя автоматически подставлять их в нужные поля браузера или Windows-приложения. Хранение пароля на внешнем носителе позволяет использовать длинные и сложные пароли, которые даже не нужно запоминать.

 

К большому сожалению пользователей и радости злоумышленников, самые продвинутые современные кейлоггеры могут подключаться, например, к процессу Internet Explorer и получать пароли непосредственно из поля ввода. В этом случае пароль будет украден даже несмотря на то, что он не был введен с клавиатуры. Другие браузеры и приложения также подвержены такому типу атак.

 

Есть еще надежда на спасенье

 

Прочитав все вышеперечисленное, могло сложиться впечатление, что ситуация с компьютерной безопасностью просто ужасающая, однако на самом деле не все так страшно, и выход есть. Для преодоления всех ухищрений компьютерных мошенников и повышения безопасности своих данных на сегодняшний день уже существуют надежные средства, о которых мы расскажем во второй части нашего повествования.

Благодарим компанию Aladdin Security Solutions за помощь в подготовке материала
www.aladdin.ru

 

Окончание читайте в статье «Откройте, это свои!»