Плюсы и минусы двухфакторной аутентификации

Светлана КОНЯВСКАЯ, кандидат филологических наук, ОКБ САПР

АУТЕНТИФИКАЦИЯ нужна для того, чтобы подтвердить или опровергнуть заявленный статус. Например, авторство, отношение (членство в группе, семейное положение) либо право на доступ (к техническому средству, приложению, информации или, скажем, в помещение), либо право собственности.

Можно представить ситуацию, когда для надежного решения вопроса, например, о доступе - достаточно идентификации, иными словами, опознания. Так мы пропускаем в квартиру знакомых, узнавая их через "глазок" (идентификатор - знакомая внешность).

Если идентифицировать "на глаз" не получается, то запрашиваем другой идентификатор - "кто там?". Услышав, например, в ответ - "Милиция", можем сразу впустить незнакомца (безо всякой аутентификации), а можем потребовать подтверждения - показать документ. Аутентификация (подтверждение принадлежности признака субъекту) в данном случае необходима потому, что нам надо связать признак "сотрудник МВД" с реально стоящим перед дверью человеком, у которого так же, как и у оборотня в погонах, есть голова, ноги и ФИО. Итак, предъявленный идентифицирующий признак - "сотрудник милиции", а средство аутентификации - документ, объективно подтверждающий (фотография, печать и прочие реквизиты) связь субъекта и признака.

Многофакторная аутентификация

Многофакторной аутентификацией называют аутентификацию, при которой используются аутентификационные признаки разных типов¹.

Типы аутентифицирующих признаков и называются аутентификационными факторами.

Принято выделять следующие "факторы": "нечто, нам известное" (пароль), "нечто, нам присущее" (биометрика) и "нечто, у нас имеющееся" (документ или предмет, характеризующийся какой-то уникальной информацией. Обычно этот фактор сводится к формулировке "устройство", хотя такое сужение не всегда оправдано).

Двухфакторная аутентификация, согласно такой системе понятий, это аутентификация, при которой используется одновременно: пароль + устройство, пароль + биометрические данные или биометрические данные + устройство.

Какие доводы обычно приводятся в пользу такой аутентификации, в отличие от одно-факторной?

Стандартный ход заключается в том, что ввод пароля с клавиатуры как метод аутентификации имеет целый ряд очевидных недостатков и не может гарантировать надежной аутентификации.

Это, безусловно, так, но стоит ли из этого делать вывод о ненадежности "однофактор-ной" аутентификации вообще?

Существуют другие методы, например, электронная цифровая подпись (ЭЦП).

Подписывать ею документ может человек (автор, отправитель, архивариус) с использованием технических средств, а может какой-то процесс (например, при взаимной аутентификации технических средств путем обмена подписанными пакетами). Соответственно, ЭЦП, являясь реквизитом документа, позволяет аутентифицировать автора документа (отправителя пакета) или сам документ².

Вне зависимости от того, каким устройством сформирована и каким устройством проверяется ЭЦП, она представляет собой только один признак. Значит ли это, что метод ненадежен?

Другой, менее уязвимый довод в пользу двухфакторной (многофакторной) аутентификации сводится к тому, что чем больше факторов, тем меньше вероятность ошибок. Причем ошибок обоих типов - как "совпадения" и подтверждения статуса, которым пользователь в действительности не обладает (случайно или злонамеренно, например, путем перебора идентификаторов), так и ошибочного неподтверждения легального статуса из-за какого-либо сбоя.

Количество и качество

Для того чтобы аутентификация была на самом деле надежной, важно не количество типов предъявляемых признаков, а качество реализации механизма на обеих сторонах взаимодействия - как в части, находящейся у пользователя, так и в части, находящейся у проверяющей стороны.

Если база данных отпечатков пальцев хранится на бумажных носителях в шкафу, то аутентификация по биометрическому признаку будет и неудобной, и ненадежной - нужный листок может быть просто изъят. Точно так же может быть изъята (добавлена/искажена) запись пользовательских данных из базы, хранимой в памяти ПК, и сколько факторов ни было бы задействовано в процессе аутентификации, он не сможет повысить уровень защищенности.

Очень важно представлять себе весь процесс аутентификации в той или иной системе, а не только количество учитываемых факторов.

Например, мы подключаем устройство T (первый фактор) и вводим пароль (второй фактор), а процессор ПК сравнивает этот "комплект" с данными в базе, хранящейся в процессоре того же ПК. Достаточно очевидно, что может быть изменена база данных, подменен механизм проверки, искажен результат этой проверки и т.д. И все это вне зависимости от того, что устройство уникальное и пароль верен.

Но может быть совершенно иначе. Подключая устройство Ш, пользователь с помощью ПИН-кода аутентифицируется непосредственно в устройстве, автономный процессор которого сверяет ПИН с хранящимся в защищенной от модификации памяти Ш. Затем процессор Ш передает аутентифицирующие данные в процессор СЗИ, установленного в ПК.

Заметим, что это уже не ПИН, а данные, выработанные и хранящиеся непосредственно в Ш, которые пользователю недоступны3, а значит, аутентификацию с помощью Ш невозможно подменить предъявлением этих данных из какого-то другого источника.

Процессором СЗИ данные сверяются с базой, хранящейся в защищенной от модификации памяти СЗИ (а не ПК).

При таком алгоритме проверки аутентификация происходит ступенчато: сначала пользователь "признается" устройством Ш, а потом устройство Ш "признается" СЗИ. Все проверки происходят в доверенной среде, а все критичные данные защищены технологически.

При этом "снаружи" для пользователя и то, и другое - просто "двухфакторная аутентификация": пользователь подключает устройство (раз) и вводит известную ему последовательность символов (два).

Итак, довольно предсказуемо мы приходим к выводу о том, каковы они - плюсы и минусы двухфакторной аутентификации. Минус - это опасность формального подхода, ведь факторы, влияющие на надежность аутентификации отнюдь не исчерпываются типами идентифицирующих признаков. А все остальное - плюсы.

Комментарий эксперта

Ника Комарова, руководитель направления маркетинговых и PR-коммуникаций компании Aladdin

Несмотря на филологическую значимость и вполне удачную попытку объяснить сложные вещи простым языком, материал все же оставляет больше вопросов, чем дает ответов.

Без ответа остался самый важный вопрос: для чего же, собственно, нужны эти факторы? Суть любой защиты -максимальное усложнение задачи злоумышленнику. Для каждого фактора, будь то пароль, наличие ключа или биометрической характеристики, существует свой сценарий компрометации. Процедура регистрации пользователя, использующая в процессе аутентификации только один тип аутентификационных факторов, может быть уязвима. Комбинация в процедуре аутентификации двух и более типов аутентификационных факторов обеспечивает большую безопасность.

В процедуре аутентификации участвуют две стороны: пользователь (который до подтверждения своей подлинности является недовереннной стороной) и доверенная информационная система, к которой он хочет получить доступ. "Достаточно очевидно, что может быть изменена база данных, подменен механизм проверки, искажен результат этой проверки и т. п.", пишет автор. Но в таких условиях рассуждения о надежной аутентификации напоминают рассказ о надежном замке, который был в выбитой двери. Иными словами, при аутентификации в ненадежную систему независимо от используемого устройства для аутентификации компрометация неизбежна.

Как известно, надежность системы безопасности определяется надежностью ее самого слабого звена. В описании процесса аутентификации автор пишет "сначала пользователь "признается" устройством Ш, а потом устройство Ш "признается" СЗИ". Следующим этапом, по идее, является ПК пользователя, но вот каким образом реализуется связка "СЗИ - ПК", автор умалчивает. Если первый этап - пароль, далее сверхнадежные системы защиты, а последний этап - недоверенная среда, которую представляет собой ПК, то ни о какой безопасности не может быть и речи.

Стоит отметить, что и сама регистрация в системе все же предполагает три (а не две) взаимосвязанные, выполняемые последовательно процедуры: идентификации, аутентификации и авторизации. Финальный этап, на наш взгляд, незаслуженно упущенный автором, - авторизация, в ходе которой субъекту предоставляются определенные права доступа к информационным ресурсам. Если, конечно, речь не идет о полностью "равноправной" системе.

Опять же надежность аутентификации с использованием механизма ЭЦП зависит, прежде всего, от способа хранения закрытого ключа подписи. Если на моем рабочем столе лежит дискета с сохраненном на ней закрытым ключом, то надежность такого метода однофакторной аутентификации можно сравнить разве что с парольным вариантом регистрации в системе.

---

¹ Здесь и далее опираемся на понятия, определенные в кн.: Курило А.П., Мамыкин В. П. Обеспечение информационной безопасности бизнеса. С. 291-294.

² Подробнее о понятиях "ЭЦП" и "электронный документ" см.: Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Минск., - 2004. С. 23~28, 33~37; То же в эл. виде: http://www.accord.ru/Docs/books/opf/01 _opf.htm.

³ Они ему и не нужны, поскольку участвуют только во взаимодействии между техническими средствами.