После того, как взлом систем компании Equifax скомпрометировал персональные данные более половины взрослого населения США, занимающиеся безопасностью фирмы активизировали разработки новых способов безопасного входа пользователей в сервисы. О нынешнем состоянии этих разработок рассказывает портал eWeek.
Процедура доказательства, что вы есть вы, всегда требовала применения определенных хитростей. В прошлые времена, когда персональная информация нечасто выносилась в Интернет, чтобы убедительно удостоверить личность, достаточно было задать пользователю несколько персональных вопросов. Правильно ответив на такие вопросы, вы могли получать доступ к различной закрытой информации. Однако прошлогодний взлом данных бюро кредитных историй Equifax серьезно подорвал уверенность, что статическая информация может надежно контролировать безопасность.
«Времена пригодности статической информации для идентификации личности давно прошли, но мы, как отрасль, не хотим этого не признать, — считает Роберт Кэпс, вице-президент и стратег по вопросам аутентификации компании NuData Security. — Раньше мы использовали для контроля номер карточки социального страхования и девичью фамилию матери с добавлением каких-нибудь уточняющих вопросов, например, какого цвета был ваш первый автомобиль или сколько вы платите по кредиту. Теперь вся эта информация попадает в руки жуликов».
Поскольку подобные вопросы также задаются при восстановлении аккаунтов, поиск более надежных способов удостоверения личности сегодня стал очень важной областью исследований.
Хотя использование секретной личной информации и, разумеется, паролей, пока не хочет вытесняться другими технологиями, компании и специалисты в области безопасности все активнее ищут новые подходы к персональной аутентификации.
Ниже перечисляются пять технологий, которые могут изменить то, как вы входите на закрытые сайты и доказываете, что вы есть вы.
1. Устройства в роли ключей. Эта технология не нова, но стала гораздо популярнее с распространением «умных» часов Apple Watch и других носимых устройств. Персональный гаджет все чаще становится средством защиты сервисов от мошенничества, и его можно использовать не только как инструмент платежа, но и как средство для автоматического входа на сайты.
Превратить устройство в ключ безопасности не намного сложнее, чем использовать push-технологию пересылки пользователю одноразовых кодов. В то время как использование текстовых SMS как второго канала аутентификации сегодня все больше считают небезопасным, в поле внимания попадают другие технологии.
Например, «вы представляете себя устройству, которое осуществляет криптографическую аутентификацию, или просто используете свой телефон как второй фактор, — пояснил Рич Смит, директор по исследованиям и разработкам провайдера решений аутентификации Duo Security. — При этом старую идею усиления и усложнения паролей реально уже никто не продвигает».
2. Особенности поведения пользователя. Хотя индивидуального характера вашего обращения с клавиатурой и мышью еще не достаточно, чтобы вас однозначно идентифицировать, если собрать вместе разнообразные особенности того, как пользователь просматривает веб-страницы или использует свой ПК, в итоге получается весьма отчетливый цифровой отпечаток, говорит Кэпс.
Исходя из различных аспектов пользовательского поведения — таких как частота нажимания клавиш, навигационные привычки, степень использования мыши или клавиши Tab и скорость прочитывания страниц — алгоритмы могут с вероятностью распознать, является ли пользователь авторизованным лицом, роботом или самозванцем.
«Все эти данные, взятые вместе, дают весьма неплохую аппроксимацию для суждения о том, тот ли человек взаимодействует с системой, — говорит Кэпс. — Получив соответствующую оценку, вы можете пустить в ход ряд действенных приемов. Например, если что-то вызвало недоверие, вы можете активировать более жесткий механизм аутентификации, потребовать дополнительные подтверждения и затруднить обход системы авторизации».
3. Новое в использовании браузеров. Времена, когда мы расстанемся с паролями, возможно, не и так уж далеки, по крайней мере, в отношении входа на наши любимые веб-сервисы. Группа вендоров, объединившихся в FIDO Alliance по стандартам аутентификации в Сети, создала новый стандарт под названием Web Authn. Эта спецификация касается не столько строгости удостоверения личности пользователя, сколько установления способа, которым устройства должны передавать аутентификационную информацию.
Например, можно сделать так, чтобы при входе на веб-сайт человек вводил свое имя пользователя, а сайт автоматически отправлял запрос на аутентификацию по внешнему каналу, скажем, через телефон с функциями биометрии. Благодаря стандарту Web Authn, который нужно будет интегрировать в разрабатываемые сайты и приложения, этот процесс будет органично протекать в фоновом режиме.
Пароли — не самый лучший способ аутентификации, и Web Authn делает шаг вперед, позволяя создать такие условия, что у нас больше не будут спрашивать пароли, говорит Смит.
4. Хитрости распознавания лиц. Вскоре после того, как Apple выпустила свой новейший смартфон Apple X, специалисты по безопасности взломали его технологию распознавания лица Face ID с помощью напечатанной на 3D-принтере и графически доработанной маски, обошедшейся в 200 долл. Хотя при процедуре настройки Face ID голова пользователя должна двигаться, успешный взлом доказал опасность использования для идентификации пользователя статичных в своей основе изображений.
Группа исследователей из Технологического института Джорджии создала усовершенствованную технологию, названную Real-Time CAPTCHA, которая вносит в процесс распознавания факторы случайности. Механизм аутентификации просит пользователя осуществить некоторое заранее не оговоренное действие, например, улыбнуться или сказать hello, уложившись в короткое временное окно.
Исследователи выяснили, что в случае машинной имитации ответа самому быстрому компьютеру для трансляции команды и модификации машинно-сгенерированного образа потребуется свыше 10 секунд, тогда как человек реагирует примерно за одну секунду.
«Если система использует образ статичного лица, это нехорошо, и задание пользователю должно быть случайным, — говорит Уэнке Ли, профессор компьютерных наук из того же института. — Люди реагируют на такие задания, естественно, лучше, чем машины. Это как раз то, что нам нужно — аутентифицировать через задачи, в которых люди всегда будут лучше машин».
В этой разработке отражаются и другие современные тренды в аутентификации, предполагающие использование коллекций исходных данных, чтобы технологию было сложнее обмануть.
5. Перспективы использования блокчейн. Похоже, что сегодня любой тренд в технологии несет в себе компонент блокчейн, и аутентификация тут не исключение. Компании интересуются возможностями блокчейн в роли технологии криптографического хранения данных, видя здесь способ обезопасить идентификационную информацию для функционирования публичных систем с распознаванием лиц.
«Думаю, что технология блокчейн здесь заработает, поскольку у нее есть довольно привлекательные особенности для идентификации и аутентификации, — говорит Уил Граджидо, директор Digital Guardian по вопросам защиты от продвинутых угроз. — В аспекте баз данных она является распределенной. Она использует P2P-коммуникации и никогда не имеет критических точек отказа. Она обладает прозрачностью, псевдоанонимностью и необратимостью, и если транзакции зарегистрированы, их нельзя удалить». Все эти атрибуты очень ценны для аутентификации.
Хотя некоторые из вышеперечисленных трендов весьма далеко уходят от сегодняшних реалий, аутентификация пользователей всегда двигалась вперед маленькими шагами. Пароли — первоначальный способ аутентификации — продолжают оставаться самым распространенным механизмом аутентификации.
Однако есть вероятность, что будущее нас от них избавит и заменит их более широкой комбинацией атрибутов, позволяющих реально идентифицировать пользователя.