Многофакторная аутентификация – лучше меньше, да лучше

Подсистема аутентификации – это практически всегда компромисс между удобством использования и степенью безопасности. Если бы была возможность, никто не запирал бы в квартиру дверь, чтобы вечером не возиться с ключами и ее отпиранием. Но реальность диктует свои условия, и большинство из нас старается поставить замки посложнее и понадежнее.

Парольная аутентификация

Наиболее распространенным способом аутентификации в автоматизированных системах является парольная. О недостатках парольной аутентификации написано и сказано очень много. Тем не менее простота, универсальность и дешевизна этой технологии приводит к тому, что ее продолжают достаточно широко использовать.

Но настолько ли это дешевое решение для организации, как выглядит на первый взгляд? Давайте посчитаем.

Сколько времени тратят пользователи на регулярные смены паролей в эксплуатируемых в организации системах?

Сколько времени теряют пользователи из-за того, что забывают свои пароли?

Сколько рабочего времени тратится у специалистов технической поддержки и администраторов на обработку таких инцидентов?

Сколько тратится средств и усилий по защите от различных сетевых атак на пароли?

Сколько тратится средств на обучение и повышение осведомленности пользователей по применению паролей?

Если все это грамотно посчитать, система парольной защиты уже не покажется такой уж дешевой. Система аутентификации на базе биометрии или аппаратных идентификаторов потребует значительных затрат при внедрении, но в эксплуатации она обойдeтся дешевле, при том, что позволит существенно повысить общий уровень ИБ в организации.

Внутри банка "Санкт-Петербург" регулярно проводятся внутренние тесты на проникновение. И практика показывает, что системы, имеющие однофакторную парольную аутентификацию, пен-тестерам практически всегда удается взломать, "подобрав" пароль к какой-либо учетной записи.

Но однофакторная аутентификация – это не обязательно парольная. Она может быть биометрической (например, по отпечатку пальца) или построена на базе аппаратных идентификаторов (Touch Memory, USB-токен, смарт-карта и т.д.). Такие системы во многом лишены недостатков парольной аутентификации.

Какую аутентификацию выбрать?

Если следовать теории, при выборе способа аутентификации для конкретной информационной системы необходимо оценить присущие ей угрозы. И, исходя из построенной модели угроз, выбирать способ аутентификации пользователей в системе.

Кто-то скажет, что если в организации в каждой системе будет своя уникальная подсистема аутентификации, то ничего хорошего из этого не получится. Это неудобно ни эксплуатировать, ни обслуживать. И будет абсолютно прав!

Необходимо стремиться к унификации подсистем аутентификации в различных автоматизированных системах. Идеально, когда система аутентификации едина, но в зависимости от критичности системы или выполняемых пользователем в системе действий может добавляться дополнительный фактор(ы) аутентификации.

Формирование модели угроз – достаточно трудоемкий процесс, поэтому на практике информационные системы в организации делят на две группы: на системы, к которым возможен доступ только с устройств в контролируемом периметре организации, и системы, к которым возможен удаленный доступ. Формируются модели угроз для этих двух категорий систем, а затем уже при необходимости проводится уточнение угроз для конкретных систем.

При разделении систем на эти два типа следует помнить, что в случае, когда злоумышленник получает удаленный доступ к компьютеру внутри периметра организации, то дальше он может проводить атаку как внутренний пользователь. Поэтому если у вас в организации открыт свободный доступ в Интернет с компьютеров организации, правильнее рассматривать все информационные системы как системы, к которым возможен удаленный доступ из сети Интернет.

В системах, доступ к которым осуществляется с компьютеров организации, находящихся внутри контролируемого периметра, возможно применение однофакторной аутентификации, если она обеспечивает приемлемый уровень безопасности в соответствии с построенной моделью угроз.

Когда речь идет о многофакторной аутентификации, обычно имеют в виду двухфакторную. Рассмотрим наиболее часто используемые варианты двухфакторной аутентификации на примере аутентификации в некоторой системе дистанционного обслуживания клиентов.

Вариант 1
Аутентификация происходит по паролю и криптографическому ключу, размещенному на жестком диске компьютера.

В этом случае злоумышленник, загрузив на компьютер пользователя вредоносное ПО, получает доступ сразу к обоим факторам аутентификации, может их скопировать и, соответственно, выдать себя за легального пользователя.

Вариант 2
Аутентификация происходит по паролю и криптографическому ключу, размещенному на внешнем носителе (обычно это USB-токен или смарт-карта), но в момент аутентификации криптографический ключ загружается в оперативную память компьютера (использование носителя с извлекаемым ключом).

Иногда ошибочно вторым фактором при такой системе аутентификации называют сам носитель криптографического ключа. На самом деле вторым фактором, так же, как и в первом случае, является ключ. И так же, как и в первом случае, он может быть украден злоумышленником: считан из оперативной памяти или с внешнего носителя после перехвата пароля для доступа к внешнему носителю.

Вариант 3
Аутентификация происходит по паролю и криптографическому ключу, размещенному на внешнем носителе, но в момент аутентификации криптографический ключ не загружается в оперативную память компьютера (использование носителя с неизвлекаемым ключом ЭП). В этом случае условно можно считать в качестве фактора "я имею" носитель ключа ЭП. Злоумышленник не может украсть у пользователя ключ ЭП, но, заразив компьютер пользователя вредоносным ПО, может осуществить несанкционированный доступ в защищаемую систему прямо с устройства пользователя. Использование пароля (PIN-кода) для доступа к носителю криптографического ключа не сильно улучшает ситуацию, т.к. он вводится обычно с клавиатуры и может быть перехвачен злоумышленником.

Поэтому многие организации стараются вынести второй фактор с того устройства, с которого осуществляется удаленная сессия с защищаемой системой.

Вариант 4
Аутентификация происходит по паролю и одноразовому коду, приходящему пользователю на сотовый телефон в SMS-сообщении. В данном варианте условно вторым фактором можно считать наличие у пользователя сотового телефона с определенным номером. Почему условно? Потому что реальной аутентификации устройства (сотового телефона) не происходит. Система защиты построена на гипотезе, что SMS с одноразовым паролем достаточно сложно перехватить. Но на данный момент существует целый спектр возможных атак на перехват SMS, от получения дубликата SIM-карты до взлома личного кабинета пользователя у провайдера сотовой связи и перенаправления SMS на нужный номер.

Вариант 5
Аутентификация происходит по паролю и одноразовому коду, который генерируется на мобильном устройстве (планшет или коммуникатор). Аналогично предыдущему варианту условно вторым фактором считается устройство, на котором генерируется одноразовый код. И так же, как в предыдущем варианте, существуют способы обхода данного вида аутентификации. Необходимо учитывать, что в случае работы пользователя с системой дистанционного обслуживания с мобильного устройства оба фактора опять "сходятся" в одном устройстве и при заражении этого устройства вредоносным ПО могут стать доступны злоумышленнику.

Как мы видим, все приведенные варианты аутентификации уязвимы. Приходится либо увеличивать число факторов аутентификации, либо защищать имеющиеся.

В ряде случаев бывает достаточно сложно внедрить во все автоматизированные системы, используемые в организации, единый способ аутентификации. Во многих случаях это потребует доработки систем, что зачастую долго и дорого. В таких случаях возможно использовать компромиссное решение.

Сама по себе парольная аутентификация не так уж плоха, вся проблема в так называемом человеческом факторе. Как говорится, нет человека – нет проблемы. Ряд решений по аутентификации (обычно это системы класса Single Sign-On) позволяют отделить пользователя от пароля, при этом сохранив механизм парольной аутентификации в автоматизированных системах. Основаны они обычно на перехвате окна ввода пароля пользователя. Перехватив окно ввода пароля, такие системы проводят аутентификацию пользователя по заданному алгоритму, например биометрическую, после чего, если аутентификация пользователя прошла успешно, такая система самостоятельно подставляет в окно ввода пароль пользователя.

При выборе факторов аутентификации необходимо обращать внимание на невозможность их передачи другому работнику. В этом отношении достаточно привлекательными выглядят системы биометрической аутентификации. Наш опыт использования аутентификации по отпечатку пальца показал, что применение подобных технологий позволяет практически исключить факты работы под учетной записью другого пользователя. Отказаться от авторства операции при использовании биометрической аутентификации также практически невозможно.

Из других современных способов аутентификации интерес представляют системы с использованием программы генерации одноразовых кодов, установленной на коммуникаторе пользователя. Такой аутентификатор пользователь тоже вряд ли будет передавать другому сотруднику.

Многофакторная аутентификация

При многофакторной аутентификации используются факторы следующих типов: "я знаю", "я имею", "я обладаю" (биометрия).

Давайте подумаем, а может быть двухфакторная аутентификация с двумя однотипными факторами: "я имею" + "я имею" или "я обладаю" + "я обладаю"? Безусловно!

Системы с таким подходом к аутентификации на данный момент не очень распространены. Но на рынке уже встречаются решения, позволяющие аутентифицировать пользователя по двум устройствам, взаимодействующим по Bluetooth, или по голосу и геометрии лица. Применение многофакторных систем аутентификации подобного типа выглядят достаточно перспективно.

Системы биометрической аутентификации постоянно совершенствуются. Понятно, что один биометрический фактор практически всегда можно подделать, но если использовать при аутентификации несколько биометрических факторов, обойти такую систему будет практически невозможно. Представьте, вы прикладываете к планшету ладонь, он считывает и проверяет рисунок вен, геометрию ладони, отпечатки пальцев. При этом с использованием встроенной камеры проводится проверка по геометрии лица.

Биометрическая аутентификация привлекательна для пользователя еще и тем, что обычно она достаточно проста в использовании, при этом аутентификаторы нельзя забыть, потерять или поменять, они всегда при тебе.

Как я уже отмечал, система аутентификации должна быть не только стойкой, но и удобной. Вы можете внедрить кучу различных факторов аутентификации, но если это не будет удобно, пользователь не станет пользоваться вашей системой или сделает все, чтобы облегчить себе жизнь, сведя на нет всю вашу навороченную безопасность. Вы никогда не задумывались, почему, несмотря на все предупреждения по безопасности, многие пользователи хранят PIN-коды вместе с пластиковой картой или даже пишут их на самой карте? При том, что речь идет о безопасности их личных сбережений.

"Лучше меньше, да лучше"

Кто застал в институте такой предмет, как "История КПСС", вероятно, знаком со статьей В.И. Ленина "Лучше меньше, да лучше". Этот универсальный принцип применим при решении многих задач, в том числе и при выборе системы аутентификации в эксплуатируемых в вашей организации автоматизированных системах.

Помимо непосредственно факторов аутентификации необходимо уделять внимание безопасности самой технологии. Прежде всего, безопасным способам передачи и хранения аутентификационных данных. Предпочтение следует отдавать системам, где хранящиеся аутентификационные данные не позволяют их использовать для регистрации в системе (хранение некой математической свертки, полученной на базе аутентификационных данных), а перехваченные аутентификационные данные не позволяют произвести повторную регистрацию в системе. Если же это не так, необходимо применение дополнительных средств защиты как от копирования, так и от подмены аутентификационных данных при их хранении и передаче.

Абсолютно надежных систем не бывает. Взлом любой системы – это вопрос времени и потраченных на это средств. Поэтому необходимо использовать специализированные системы для выявления попыток обхода (взлома) системы аутентификации (обычно используются системы класса SIEM). Только не нужно использовать правила типа "три раза неправильно введенный пользователем пароль". Вы получите 99% ложных срабатываний. Практика показывает, что пользователь умудряется 15 раз подряд ввести неправильный четырехзначный числовой PIN-код к USB-токену и заблокировать его. Неправильный ввод пароля 3 раза подряд – это достаточно стандартная ситуация. Стоит разработать правила по выявлению фактов регистрации новых пользователей с административными правами или повышению прав существующей учетной записи до административного уровня, работы автоматизированных средств (скриптов) обхода аутентификации, по контролю изменения настроек параметров аутентификации в системе, по контролю действий администраторов с учетными записями пользователей.

Грамотное использование Siem-системы во многих случаях может компенсировать недостатки, присущие конкретному способу аутентификации.