Многие рыночные наблюдатели рассматривают двухфакторную аутентификацию (two-factor authentication, 2FA) как надежный метод идентификации, но действительно ли она настолько устойчива к взлому? Рассуждения на эту тему старшего вице-президента и CTO ImageWare Systems Дэвида Хардинга приводит портал ComputerWeekly.

Давно известно, что пароли являются одним из самых слабых методов аутентификации пользователей. Один из первых случаев взлома пароля произошел еще в 413 г. до н. э. Тогда в одном из ночных сражений, которые состоялись в ходе Пелопонесской войны, греческая армия для определения того, где свой солдат, а где чужой, решила воспользоваться кодовой фразой. Однако она стала известна войскам Спарты, и те не преминули выдать себя за союзников греков. В итоге греческая армия потерпела сокрушительное поражение.

Сегодня общепринятой практикой является установка минимально возможных требований к паролям, как по длине (количество символов), так и по сложности (вариации символов, цифр и знаков). Как следствие, они часто становятся слабым местом в инфраструктуре безопасности организации. Справиться с ситуацией помогают базы паролей, предоставляя пользователям безопасное хранилище сложных паролей, что избавляет их от необходимости запоминать их. С другой стороны, следствием такого подхода является формирование единой точкой отказа (single point of failure), что чревато для безопасности конечных точек.

Чтобы повысить уровень защиты, многие организации начали применять для управления точками доступа вспомогательный слой безопасности — 2FA. Его минус состоит в том, что при потере, воровстве или взломе устройства (например, из-за вредоносного ПО), большинство 2FA-систем компрометируется. «2FA не позволяет идентифицировать личность. Она идентифицирует устройство. В ИБ-индустрии это принято называть „апроксимацией идентичности“. Это не идентификация личности, — говорит старший вице-президент и CTO ImageWare Systems Дэвид Хардинг. — Процедура идентификации или аутентификации предполагает, что устройство принадлежит или находится у конкретного человека, однако на деле это предположение ничем не подкрепляется. Все, что нам известно об устройстве — факт его наличия».

Недавние случаи взлома 2FA

Можно привести несколько недавних примеров компрометации 2FA. В августе 2019 г. был взломан аккаунт CEO Twitter Джека Дорси. Защита с помощью 2FA не воспрепятствовала злоумышленникам разместить в его аккаунте ряд сообщений оскорбительного характера. Подобная судьба постигла биржу криптовалют Binance. В результате взлома она лишилась 7 тыс.

Многие думают, что скомпрометировать систему 2FA — очень сложная задача. На самом деле это не так. Одним из самых простых методов взлома аутентификации, особенно в США, является SIM swap, когда злоумышленник переключает целевой номер мобильного телефона на новый номер. После этого на него поступают все текстовые сообщения, в том числе SMS с кодами подтверждения 2FA, что открывает преступнику доступ к платежным и другим системам жертвы.

Эксперты также обнаружили, что системы 2FA были скомпрометированы с помощью ряда вредоносных программ. Одной из таких является Cerberus — тип вредоносного ПО на базе Android. В феврале 2020 г. было установлено, что Cerberus удалось украсть коды у 2FA-сервиса Google Authenticator. Существует также вредоносное ПО TrickBot, которое обходит решения 2FA путем перехвата одноразовых кодов, которые отправляются банковскими приложениями посредством SMS и push-уведомлений.

Также для обхода защиты 2FA применяется социальная инженерия. Злоумышленники научились выдавать себя за целевой банк: в ответ на попытку подключения к банковскому профилю они требуют у жертвы «подтвердить свою личность», раскрыв им только что отправленный банком защищенный код. «Многие из этих вещей не требуют каких-либо реальных технических навыков, и это действительно пугает, — говорит Хардинг. — Как шутят финансисты: „Чтобы овладеть банковским счетом, не нужно никаких технических навыков, достаточно обладать долей обаяния“. Первые выявленные нами случаи обхода двухфакторной аутентификации как раз были связаны с социальной инженерией».

Как улучшить защиту 2FA

Чтобы противостоять целевым атакам, 2FA должна стать ориентированной на личность, а не на устройство, и в этом аспекте одним из лучших методов идентификации может выступать биометрия. Ее применение — гарантия того, что устройство держит в руках владелец, а не кто-то другой. «Единственный способ подлинной аутентификации — это полагаться на биометрию. Она позволяет сопоставить заранее известную биометрическую информацию с пользователем, который проходит процедуру аутентификации», — говорит Хардинг.

Биометрическая защита стала неотъемлемой частью повседневной жизни. К числу наиболее распространенных видов относятся распознавание отпечатков пальцев и лица, встроенные в телефон, а также идентификация пользователя по голосу, когда он звонит в банк, например. «Эти биометрические системы уже находятся в карманах людей, остается только использовать их, — добавил Хардинг. — Биометрия стала популярной благодаря Apple и Android. Ирония в том, что они добавили ее не для защиты, а для удобства пользователя».

Однако сама по себе она не является идеальным средством защиты. Как показали недавние примеры из ИБ-практики, биометрическую защиту можно обмануть при помощи фальшивых образов или информации. Например, уже доказано, что сканер отпечатков пальцев можно обмануть с помощью желатиновых конфет (техника взлома, известная как gummy bear hack), а сенсор распознавания лиц может не отличить лицо человека от фотографий из Facebook, которым придали трехмерность.

Подобным эксплойтам противостоят находящиеся в разработке системы противодействия спуфингу (подмена лица при помощи поддельного биометрического параметра), встроенные в биометрические считыватели. Например, Face-ID теперь умеет считывать контуры лица. «Раньше некоторые из этих систем аутентификации было очень легко обмануть, — утверждает Хардинг. — Ключевым моментом в развитии биометрии является возможность противодействия спуфингу».

Распознавание радужной оболочки глаза — одна из наиболее безопасных форм биометрии, которая изначально устойчива к спуфинг-атакам. В снятом в 1993 г. фильме «Разрушитель» можно увидеть вымышленный пример обхода этого вида защиты, когда Саймона Феникс в исполнении Уэсли Снайпса извлек у охранника глазное яблоко. На самом деле, глаз — это очень сложная структура, которая быстро разрушается, поэтому такую «технику взлома» можно рассматривать как чистую фантастику.

Тем не менее, одна из ключевых проблем биометрии заключается в том, что она обычно подтверждает биометрическую идентичность на устройстве, а не через централизованную базу данных. Кроме того, такие системы позволяют разблокировать интеллектуальные устройства нескольким людям. В этом случае применение биометрии подтверждает право человека использовать то или иное устройство, но оно не идентифицирует его как личность.

«Фактически Touch ID — сканер отпечатков пальцев Google — не идентифицирует пользователя. Он сверяет зарегистрированные отпечатки пальцев с вводимыми на самом устройстве. Я знаю это, потому что запрограммировал его, — говорит Хардинг. — Мой отпечаток пальца, который зарегистрирован на моем телефоне, — не единственный отпечаток. Помимо него имеется отпечаток пальца жены, чтобы она могла переключать музыку, когда я за рулем. Но для телефона это не имеет значения: он откроет доступ, если распознает хотя бы один из запрограммированных отпечатков, но он не может отличить меня от нее».

Еще одним недостатком биометрии является частота ложноположительных и ложноотрицательных срабатываний. В первом случае речь идет об ошибочных совпадениях, чаще всего они поступают от систем распознавания лиц. Несмотря на отрицательный результат, система может срабатывать. Во втором случае система может не срабатывать, даже если совпадения истинные. Это особенно актуально для сканеров отпечатков пальцев, которые часто отказываются распознавать отпечатки влажных пальцев.

«Отпечатки пальцев около 30% людей не так просто считать. Этому есть объяснение. Во-первых, с возрастом человека папиллярные узоры деградируют, во-вторых, у некоторых людей они нечеткие, что объясняется генетическими причинами. И в-третьих, на них влияет то, что человек делает в жизни, будь то работа или хобби, — говорит Хардинг. — Я страдаю от всех трех, и мне каждые две недели приходится заново регистрировать свой отпечаток пальца на iPad и iPhone».

Вместо того чтобы полагаться на устройство, организации могут использовать для хранения биометрических данных централизованную базу данных. Туда с целью доступа к определенному набору услуг могут быть занесены все зарегистрированные пользователи, поэтому датчики будут искать отпечатки пальцев в базе, а не на самом устройстве. Такой подход смещает акцент с аутентификации устройства на аутентификацию пользователя. Дополнительный уровень безопасности обеспечивает комбинация многофакторной аутентификации (multi-factor authentication, MFA) с биометрией. MFA обеспечивает организации надежным уровнем безопасности, который не может быть достигнут при помощи одной только биометрии или 2FA, требующих трех (или более) уровней аутентификации.

По мере того как «умные» устройства становятся совершеннее, они предоставляют новые и более совершенные средства биометрической аутентификации. «Вскоре мы увидим камеры с ультравысоким разрешением. В какой-то момент появится технология, работающая с инфракрасным излучением, — считает эксперт. — В конце концов, уже имеется технология защиты при помощи распознавания радужной оболочки глаза, со временем будет появляться все больше разновидностей биометрической технологии». Сегодня большинство интеллектуальных устройств располагают считывателями отпечатков пальцев и датчиками распознавания лица, но для более безопасных систем, как для той же системы распознавания радужной оболочки глаз, требуются специальные устройства. Это значит, что стоимость мобильных устройств вырастет и станет особенно заметной, если ими потребуется обеспечить множество сотрудников, которым нужен подобного рода доступ.

Выводы

Полагаться на систему 2FA более безопасно, чем просто на пароли, однако она недостаточно надежная для современной организации. Аналогичным образом, вместо аутентификации самих устройств организациям следует переключиться на создание централизованной базы данных для безопасного хранения и идентификации персональных данных. «Будущее аутентификации — аутентификация личности, — говорит Хардинг. — Все остальное является „апроксимацией идентичности“, у которой нет будущего».