Парольная защита: прошлое, настоящее, будущее

Владимир Безмалый

Классификация средств идентификации и аутентификации

Электронные системы идентификации и аутентификации

Контактные смарт-карты и USB-ключи

Бесконтактные смарт-карты

Комбинированные системы

Применение eToken для контроля физического доступа

Применение гибридных смарт-карт для контроля физического доступа

Биоэлектронные системы

Распознавание по отпечаткам пальцев

Распознавание по форме руки

Распознавание по радужной оболочке глаза

Распознавание по форме лица

Распознавание по почерку

Распознавание по набору на клавиатуре

Распознавание по голосу

Middleware

Недостатки биометрической аутентификации

Электронные ключи с одноразовыми паролями

Выводы

 

Одним из важнейших методов защиты для соблюдения конфиденциальности является разграничение доступа. Практически с момента создания первых многопользовательских операционных систем для ограничения доступа используются пароли. Вспомним историю.

Операционные системы Windows 95/98 сохраняли пароль в PWL-файле (как правило, USERNAME.PWL) в каталоге Windows. Вместе с тем стоит отметить, что несмотря на то, что содержимое PWL-файла было зашифровано, извлечь из него пароли было довольно просто. Первый алгоритм шифрования версии Windows 95 позволял создавать программы для расшифровки PWL-файлов. Однако в версии Windows 95 OSR2 этот недостаток был устранен. Тем не менее система защиты паролей в OSR2 содержала несколько серьезных недостатков, а именно:

  • все пароли были преобразованы к верхнему регистру, что значительно уменьшало количество возможных паролей;
  • применяемые для шифрования алгоритмы MD5 и RC4 позволяли реализовать более быстрое шифрование пароля, но достоверный пароль Windows должен был иметь длину не менее девяти символов.
  • система кэширования пароля, по существу, была ненадежна. Пароль мог быть сохранен только в том случае, если никто из персонала без соответствующего разрешения не имел доступа к вашему компьютеру.

В операционных системах, используемых в настоящее время (Windows XP/2000/2003), применяется более надежная защита парольного метода аутентификации. Но в то же время необходимо выполнять следующие рекомендации Microsoft:

  • длина пароля должна составлять не менее восьми символов;
  • в пароле должны встречаться большие и маленькие буквы, цифры и спецсимволы;
  • время действия пароля должно составлять не более 42 дней;
  • пароли не должны повторяться.

В дальнейшем эти требования будут только ужесточаться. К чему это приведет, вернее, увы, уже привело? Чем сложнее пароли, чем больше приложений требуют ввод пароля, тем выше вероятность того, что пользователи для всех приложений, в том числе и для аутентификации в ОС, будут использовать один и тот же пароль, к тому же записывая его на бумаге. Хорошо это или плохо? Допустимо ли?

С одной стороны — явно недопустимо, так как резко возрастает риск компрометации пароля, с другой — слишком сложный пароль (типа PqSh*98+) трудно удержать в голове. Пользователи явно будут или выбирать простой пароль, или постоянно забывать сложный и отвлекать администратора от более важных дел. Исследования Gartner показывают, что от 10 до 30% звонков в службу технической поддержки компаний составляют просьбы сотрудников по поводу восстановления забытых ими паролей.

По данным IDC, каждый забытый пароль обходится организации в 10-25 долл. Добавим сюда еще необходимость его постоянной смены и требование неповторяемости паролей. Что делать? Каков выход?

На самом деле уже сегодня существует несколько вариантов решения этой нелегкой проблемы.

Первый вариант. На видном месте в комнате (на стене, на столе) вывешивается плакат с лозунгом. После этого в качестве пароля используется текст, содержащий, предположим, каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.

Второй вариант. В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. При этом указанный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив их целостность. Примером такого конверта может служить конверт с PIN-кодом к платежной карте. Эти конверты хранятся в сейфе начальника подразделения или в сейфе службы информационной безопасности. Единственной сложностью при таком способе является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учета конвертов. Однако если принять во внимание экономию времени администраторов сети и приложений, то эта плата не является чрезмерной.

Третий вариант — использование многофакторной аутентификации на базе новейших технологий аутентификации. В качестве примера рассмотрим двухфакторную аутентификацию. Основным преимуществом такой аутентификации является наличие физического ключа и PIN-кода к нему, что обеспечивает дополнительную устойчивость к взлому. Ведь утрата аппаратного ключа не влечет за собой компрометацию пароля, поскольку, кроме ключа, для доступа к системе нужен еще PIN-код к ключу.

Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают все большее распространение в связи с широким развитием интернет-технологий, и системы биометрической аутентификации.

В настоящее время основным способом защиты информации от несанкционированного доступа (НСД) является внедрение так называемых средств AAA (Authentication, Authorization, Accounting — аутентификация, авторизация, управление правами пользователей). При использовании этой технологии пользователь получает доступ к компьютеру лишь после того, как успешно прошел процедуры идентификации` и аутентификации.

Стоит учесть, что на мировом рынке ИТ-услуг сегмент ААА постоянно растет. Эта тенденция подчеркивается в аналитических обзорах IDC, Gartner и других консалтинговых фирм. Такой же вывод можно сделать, внимательно просмотрев ежегодный обзор компьютерной преступности Института компьютерной безопасности США и ФБР за 2005 год (рис. 1).

 

Рисунок

Рис. 1. Данные по объему потерь от разных видов атак за 2005 год, долл.
Суммарный объем потерь за 2005 год — 130 104 542 долл.
Количество предприятий-респондентов (США) — 700

Как видно из диаграммы, ущерб от кражи конфиденциальной информации значительно увеличился. То есть каждая из опрошенных компаний потеряла в среднем более 350 тыс. долл. вследствие кражи конфиденциальной информации. Это исследование подтверждает тенденции, наметившиеся в последние несколько лет. Согласно отчету Института компьютерной безопасности США и ФБР за 2004 год, кража чувствительных данных уже тогда входила в число опаснейших угроз — ущерб от нее составлял около 40% от общего объема ущерба всех его угроз. При этом средний объем потерь был равен более 300 тыс. долл., а максимальный объем — 1,5 млн долл.

Исходя из этого, можно сделать вывод, что кража конфиденциальной информации имеет один из наиболее высоких рейтингов среди всех ИТ-угроз в США. Стоит отметить, что найти виновного без решения вопросов идентификации и аутентификации невозможно!

Среди основных сервисов безопасности:

  • идентификация и аутентификация;
  • контроль защищенности;
  • контроль целостности и аутентичности информации;
  • межсетевое экранирование;
  • построение VPN;
  • протоколирование/аудит;
  • разграничение доступа;
  • управление безопасностью;
  • фильтрация контента;
  • шифрование.

Отметим, что вопросы разграничения доступа решаются в обязательном порядке при создании любой информационной системы. В наше время, когда системы становятся все более распределенными, трудно переоценить важность корректного разграничения доступа. При этом требуется все более надежная защита систем аутентификации как от внешних, так и от внутренних злоумышленников. Стоит понимать, что пользователи не склонны усложнять себе жизнь и стараются пользоваться как можно менее сложными паролями. А следовательно, для устранения этого в дальнейшем все чаще будут применяться программно-аппаратные средства аутентификации, которые постепенно придут на смену традиционным паролям (рис. 2).

 

Рисунок

Рис. 2. Рост рынка средств информационной безопасности

Классификация средств идентификации и аутентификации

Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные (рис. 3). В отдельную подгруппу в связи с их специфическим применением можно выделить входящие в состав электронных средств системы одноразовых паролей.

 

Рисунок

Рис. 3. Классификация программно-аппаратных систем идентификации
и аутентификации

В электронных системах идентификационные признаки представляются в виде кода, хранящегося в защищенной области памяти идентификатора (носителя) и, за редким исключением, фактически не покидающего ее. Идентификаторы в этом случае бывают следующие:

  • контактные смарт-карты;
  • бесконтактные смарт-карты;
  • USB-ключи (USB-token);
  • iButton.

В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические.

Статическая биометрия основывается на данных (шаблонах), полученных путем измерения анатомических особенностей человека (отпечатки пальцев, узор радужки глаза и т.д.), а динамическая — на анализе действий человека (голос, параметры подписи, ее динамика).

На мой взгляд, биометрические системы аутентификации не получили широкого распространения по нескольким причинам:

  • высокая стоимость подобных систем;
  • отсутствие хорошо подготовленного профессионального персонала;
  • сложность настройки таких систем;
  • противодействие со стороны сотрудников, так как руководство получает возможность контролировать все их перемещения и фактически производить контроль рабочего времени.

В комбинированных системах применяется одновременно несколько признаков, причем они могу принадлежать как к системам одного класса, так и к разным.

Электронные системы идентификации и аутентификации

В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-ключи (USB-token).

Контактные смарт-карты и USB-ключи

USB-ключи работают с USB-портом компьютера и изготавливаются в виде брелоков. Что такое USB-ключ, мы рассмотрим на примере eToken от компании Aladdin.

eToken — персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и электронными цифровыми подписями (ЭЦП). eToken может быть выполнен в виде стандартной смарт-карты или USB-ключа:

  • смарт-карта требует для подключения к компьютеру PC/SC-совместимого устройства чтения смарт-карт. Она может применяться как средство визуальной идентификации (на смарт-карте eToken PRO/SC может быть размещена информация о ее владельце и фотография (ID-бэдж) для использования службой безопасности предприятия). Смарт-карты могут быть изготовлены из белого пластика для последующей печати (фотографии, персональных данных и т.д.) с предварительной надпечаткой, а также с наклеенной магнитной полосой либо в виде эмбосированных карт (с выдавленными символами);
  • USB-ключ — напрямую подключается к компьютеру через порт USB (Universal Serial Bus), совмещая в себе функции смарт-карты и устройства для ее считывания.

Если сравнивать две эти технологии, то становится очевидно, что выбор одной из них зависит от технологии безопасности, принятой в компании. Так, если планируется введение автоматизированного пропускного режима и при этом на пропусках должны быть фотография, имя владельца и прочая информация, то предпочтительно воспользоваться смарт-картами. Однако стоит учесть, что потребуется купить также устройства чтения смарт-карт.

Если пропускной режим уже введен и необходимо лишь обеспечить дополнительный контроль и ужесточить режим входа в некоторые помещения — стоит обратить внимание на eToken PRO со встроенными радиометками. Ведь службе физической безопасности, отвечающей за пропускной режим, гораздо проще контролировать пропуска при наличии на них фотографии, фамилии и имени владельца, хотя eToken PRO со встроенным RFID-чипом и аналогичная смарт-карта одинаковы по функциональности.

Основные области применения eToken (рис. 4):

 

Рисунок

Рис. 4. Возможности eToken

  • двухфакторная аутентификация пользователей при доступе к серверам, базам данных, приложениям, разделам веб-сайтов;
  • безопасное хранение секретной информации: паролей, ключей ЭЦП и шифрования, цифровых сертификатов;
  • защита электронной почты (цифровая подпись и шифрование, доступ);
  • защита компьютеров от несанкционированного доступа (НСД);
  • защита сетей и каналов передачи данных (VPN, SSL);
  • клиент-банк, системы типа e-banking и e-commerce.

При работе с многофакторной аутентификацией пользователь получает целый ряд преимуществ. В частности, ему требуется помнить всего один пароль к eToken вместо нескольких паролей к приложениям. Кроме того, теперь отпадает необходимость в регулярной смене паролей. Да и в случае утери eToken ничего страшного не произойдет. Ведь для того, чтобы воспользоваться найденным (украденным) eToken, необходимо еще знать его пароль. Все это существенно повышает уровень безопасности организации. Вместе с тем стоит понимать, что eToken поддерживает работу и интегрируется со всеми основными системами и приложениями, использующими технологии смарт-карт или PKI (Public Key Infrastructure), — так называемыми PKI-ready-приложениями.

Основное назначение eToken:

  • строгая двухфакторная аутентификация пользователей при доступе к защищенным ресурсам (компьютерам, сетям, приложениям);
  • безопасное хранение закрытых ключей цифровых сертификатов, криптографических ключей, профилей пользователей, настроек приложений и пр. в энергонезависимой памяти ключа;
  • аппаратное выполнение криптографических операций в доверенной среде (генерация ключей шифрования, симметричное и асимметричное шифрование, вычисление хеш-функции, формирование ЭЦП).

В качестве средства аутентификации eToken поддерживается большинством современных операционных систем, бизнес-приложений и продуктов по информационной безопасности и может применяться для решения следующих задач:

  • строгая аутентификация пользователей при доступе к информационным ресурсам: серверам, базам данных, разделам веб-сайтов, защищенным хранилищам, зашифрованным дискам и пр.;
  • вход в операционные системы, службы каталога, гетерогенные сети (операционные системы Microsoft, Linux, UNIX, Novell) и бизнес-приложения (SAP R/3, IBM Lotus Notes/Domino);
  • внедрение систем PKI (Entrust, Microsoft CA, RSA Keon, а также в удостоверяющих центрах и системах с использованием отечественных криптопровайдеров «Крипто-Про», «Сигнал-Ком» и т.д.) — хранение ключевой информации, аппаратная генерация ключевых пар и выполнение криптографических операций в доверенной среде (на чипе смарт-карты);
  • построение систем документооборота, защищенных почтовых систем (на основе Microsoft Exchange, Novell GroupWise, Lotus Notes/Domino) — ЭЦП и шифрование данных, хранение сертификатов и закрытых ключей;
  • организация защищенных каналов передачи данных с использованием транспорта Интернет (технология VPN, протоколы IPSec и SSL) — аутентификация пользователей, генерация ключей, обмен ключами;
  • межсетевые экраны и защита периметра сети (продукты Cisco Systems, Check Point) — аутентификация пользователей;
  • шифрование данных на дисках (в продуктах типа Secret Disk NG) — аутентификация пользователей, генерация ключей шифрования, хранение ключевой информации;
  • единая точка входа пользователя в информационные системы и порталы (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) и приложения под управлением СУБД Oracle — строгая двухфакторная аутентификация;
  • защита веб-серверов и приложений электронной коммерции (на основе Microsoft IIS, Apache Web Server) — аутентификация пользователей, генерация ключей, обмен ключами;
  • управление безопасностью корпоративных информационных систем, интеграция систем защиты информации (Token Management System) — eToken является единым универсальным идентификатором для доступа к различным приложениям;
  • поддержка унаследованных приложений и разработка собственных решений в области ИБ.

Характеристики USB-ключей приведены в табл. 1.

Сегодня на рынке представлены следующие типы USB-ключей:

  • eToken R2, eToken PRO — компания Aladdin;
  • iKey10xx, iKey20xx,iKey 3000 — компания Rainbow Technologies;
  • ePass 1000, ePass 2000 — фирма Feitian Technologies;
  • ruToken — разработка компании «Актив» и фирмы АНКАД;
  • uaToken — компания ООО «Технотрейд».

USB-ключи — это преемники смарт-карт, в силу этого структура USB-ключей и смарт-карт идентична.

Бесконтактные смарт-карты

Бесконтактные смарт-карты (БСК) широко используются в различных приложениях как для аутентификации (режим электронного пропуска, электронный ключ к двери и т.д.), так и для разного рода транспортных, идентификационных, расчетных и дисконтных приложений.

Важным свойством БСК, выделяющим ее из ряда других смарт-карт, является отсутствие механического контакта с устройством, обрабатывающим данные с карты. Фактически надежность технических элементов систем, использующих БСК, определяется надежностью микросхем. Последнее обстоятельство приводит к существенному снижению эксплуатационных расходов на систему по сравнению с аналогичными системами, применяющими смарт-карты с внешними контактами.

Порядок проведения операций с БСК и устройством чтения/записи памяти карты (в дальнейшем — считывателем) определяется программным приложением. При поднесении пользователем карты к считывателю происходит транзакция, то есть обмен данными между картой и считывателем, и возможное изменение информации в памяти карты. Максимальное расстояние для осуществления транзакций между считывателем и картой составляет 10 см. При этом карту можно и не вынимать из бумажника. С одной стороны, это позволяет пользователю удобно и быстро произвести транзакцию, а с другой — при попадании в поле антенны карта вовлекается в процесс обмена информацией независимо от того, желал этого пользователь или нет.

Типичная начальная последовательность команд для работы приложения с картой включает:

  • захват карты (выбирается первая находящаяся в поле антенны считывателя карта), если необходимо — включение антиколлизионного алгоритма (команда антиколлизии сообщает приложению уникальный серийный номер захваченной карты, точнее уникальный номер встроенной в карту микросхемы);
  • выбор карты с данным серийным номером для последующей работы с памятью карты или ее серийным номером.

Указанная последовательность команд выполняется за 3 мс, то есть практически мгновенно.

Далее следует аутентификация выбранной области памяти карты. Она основана на использовании секретных ключей и будет описана ниже. Если карта и считыватель узнали друг друга, то данная область памяти открывается для обмена данными и в зависимости от условий доступа могут быть выполнены команды чтения и записи, а также специализированные команды электронного кошелька (если, конечно, область соответствующим образом была размечена при персонализации карты). Команда чтения 16 байтов памяти карты выполняется за 2,5 мс, команды чтения и изменения баланса кошелька — за 9-10 мс. Таким образом, типичная транзакция, начинающаяся с захвата карты и приводящая к изменению 16 байтов памяти, совершается максимум за 16 мс.

Для аутентификации сектора памяти карты применяется трехпроходный алгоритм с использованием случайных чисел и секретных ключей согласно стандарту ISO/IEC DIS 9798-2.

В общих чертах процесс аутентификации можно представить так. Чипы карты и устройства для работы с ней обмениваются случайными числами. На первом шаге карта посылает считывателю сформированное ею случайное число. Считыватель добавляет к нему свое случайное число, шифрует сообщение и отправляет его карте. Карта расшифровывает полученное сообщение, сравнивает свое случайное число с числом, полученным в сообщении; при совпадении она заново зашифровывает сообщение и направляет его считывателю. Считыватель расшифровывает послание карты, сравнивает свое случайное число с числом, полученным в сообщении, и при совпадении чисел аутентификация сектора считается успешной.

Итак, работа с сектором памяти возможна только после успешной аутентификации сектора выбранной карты и пока карта находится в поле антенны считывателя. При этом все данные, передаваемые по радиочастотному каналу, всегда шифруются.

Начальные (так называемые транспортные) ключи, а также условия доступа к секторам задаются во время первичной персонализации карты на заводе-изготовителе и секретным образом сообщаются эмитенту. В дальнейшем, в процессе вторичной персонализации карточки эмитентом или пользователем приложения, ключи обычно меняются на другие, известные только эмитенту или пользователю. Также (это определяется конкретным приложением) при вторичной персонализации изменяются и условия доступа к секторам памяти карты.

Бесконтактные смарт-карты разделяются на идентификаторы PROximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15693 и ISO/IEC 14443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации (табл. 2).

Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64-разрядные серийные номера.

Системы идентификации на базе PROximity криптографически не защищены, за исключением специальных заказных систем.

Каждый ключ имеет прошиваемый 32/64-разрядный серийный номер.

Комбинированные системы

Внедрение комбинированных систем существенно увеличивает количество идентификационных признаков и тем самым повышает безопасность (табл. 3).

В настоящее время существуют комбинированные системы следующих типов:

  • системы на базе бесконтактных смарт-карт и USB-ключей;
  • системы на базе гибридных смарт-карт;
  • биоэлектронные системы.

В корпус брелока USB-ключа встраиваются антенна и микросхема для создания бесконтактного интерфейса. Это позволяет организовать управление доступом в помещение и к компьютеру, используя один идентификатор. Такая схема применения идентификатора исключает ситуацию, когда сотрудник, покидая рабочее место, оставляет USB-ключ в разъеме компьютера, что дает возможность работать под его идентификатором.

Сегодня наибольшее распространение получили два идентификатора подобного типа: RFiKey — от компании Rainbow Technologies и eToken PRO RM — от фирмы Aladdin Software Security R.D. Устройство RFiKey поддерживает интерфейс USB 1.1/2.0 и функционирует со считывателями HID Corporation (PR5355, PK5355, PR5365, MX5375, PP6005) и российской компании Parsec (APR-03Hx, APR-05Hx, APR-06Hx, APR-08Hx, H-Reader). eToken RM — USB-ключи и смарт-карты eToken PRO, дополненные пассивными RFID-метками.

Применение eToken для контроля физического доступа

RFID-технология (Radio Frequency IDentification — радиочастотная идентификация) является наиболее популярной сегодня технологией бесконтактной идентификации. Радиочастотное распознавание осуществляется с помощью закрепленных за объектом так называемых RFID-меток, несущих идентификационную и другую информацию.

Из семейства USB-ключей eToken RFID-меткой может быть дополнен eToken PRO/32K и выше. При этом надо учитывать ограничения, обусловленные размерами ключа: RFID-метка должна быть не более 1,2 см в диаметре. Такие размеры имеют метки, работающие с частотой 13,56 МГц, например производства «Ангстрем» и HID.

Помимо традиционных преимуществ RFID-технологий, комбинированные USB-ключи и смарт-карты eToken, используя единый «электронный пропуск» для контроля доступа в помещения и к информационным ресурсам, позволяют:

  • сократить расходы;
  • защитить инвестиции, сделанные в ранее приобретенные СКУД, за счет интеграции eToken с большинством типов RFID-меток;
  • уменьшить влияние человеческого фактора на уровень информационной безопасности организации: сотрудник не сможет покинуть помещение, оставив комбинированную карту на рабочем месте;
  • автоматизировать учет рабочего времени и перемещений сотрудников по офису;
  • провести поэтапное внедрение путем постепенной замены выходящих из эксплуатации идентификаторов.

Применение гибридных смарт-карт для контроля физического доступа

Гибридные смарт-карты содержат разнородные чипы: один чип поддерживает контактный интерфейс, другой — бесконтактный. Как и в случае гибридных USB-ключей, гибридные смарт-карты решают две задачи: контроль доступа в помещение и к компьютеру. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет заменить на такие карты обычные пропуска и перейти к единому электронному пропуску.

Смарт-карты подобного типа предлагают следующие компании: HID Corporation, Axalto, GemPlus, Indala, Aladdin и др.

В России компанией Aladdin Software Security R.D. разработана технология производства гибридных смарт-карт eToken PRO/SC RM. В них микросхемы с контактным интерфейсом eToken PRO встраиваются в бесконтактные смарт-карты. Смарт-карты eToken PRO могут быть дополнены пассивными RFID-метками производства HID/ISOPROx II, EM-Marin (частота 125 кГц), Cotag (частота 122/66 кГц), «Ангстрем»/КИБИ-002 (частота 13,56 МГц), Mifare и других компаний. Выбор варианта комбинирования определяет заказчик. Дополнительно на карту можно нанести логотип компании, фотографию сотрудника или магнитную полосу, что позволяет отказаться от обычных пропусков и перейти к единому электронному пропуску.

Биоэлектронные системы

Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем — биометрической и контактной на базе смарт-карт или USB-ключей.

Что скрывается за понятием «биометрия»? Фактически мы используем такие технологии каждый день, однако как технический способ аутентификации биометрия стала применяться относительно недавно. Биометрия — это идентификация пользователя по уникальным, присущим только ему одному биологическим признакам. Такие системы являются самыми удобными, с точки зрения самих пользователей, поскольку не нужно ничего запоминать, а потерять биологические характеристики весьма сложно.

При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает конкретный биологический параметр. Далее он обрабатывается по определенным алгоритмам и сравнивается с кодом, содержащимся в базе данных.

Просто? С точки зрения пользователя — безусловно. Однако у данного метода существуют как достоинства, так и недостатки.

К достоинствам биометрических сканеров обычно относят то, что они никак не зависят от пользователя (например, пользователь может ошибиться при вводе пароля) и пользователь не может передать свой биологический идентификатор другому человеку, в отличие от пароля. А, например, подделать узор, имеющийся на пальце у каждого человека, практически невозможно. Однако, как показали исследования, проведенные в США, биометрические сканеры, основанные на отпечатках пальцев, довольно легко вводили в заблуждение с помощью муляжа отпечатка пальца или даже пальца трупа. Распространен также отказ в доступе, осуществляемый на основании распознавания голоса, если человек просто простыл. Но самый большой недостаток биометрических систем — это их высокая цена.

Все биометрические технологии можно разделить на две группы:

  • статические методы, которые основываются на физиологической (статической) характеристике человека, то есть уникальном свойстве, присущем ему от рождения и неотъемлемом от него. К статическим биологическим признакам относятся форма ладони, отпечатки пальцев, радужная оболочка, сетчатка глаза, форма лица, расположение вен на кисти руки и т.д.(табл. 4);
  • динамические методы, которые основываются на поведенческой (динамической) характеристике человека — особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия (подписи, речи, динамики клавиатурного набора).

Идеальная биометрическая характеристика человека (БХЧ) должна быть универсальной, уникальной, стабильной и собираемой. Универсальность означает наличие биометрической характеристики у каждого человека. Уникальность — что не может быть двух человек, имеющих идентичные значения БХЧ. Стабильность — независимость БХЧ от времени. Собираемость — возможность получения биометрической характеристики от каждого индивидуума. Реальные БХЧ не идеальны, и это ограничивает их применение. В результате экспертной оценки таких источников БХЧ, как форма и термограмма лица, отпечатки пальцев, геометрия руки, структура радужной оболочки глаза (РОГ), узор сосудов сетчатки, подпись, особенности голоса, форма губ и ушей, динамика почерка и походки, было установлено, что ни один из них не удовлетворяет всем требованиям по перечисленным выше свойствам (табл. 5). Необходимым условием использования тех или иных БХЧ является их универсальность и уникальность, что косвенно может быть обосновано их взаимосвязью с генотипом или кариотипом человека.

Распознавание по отпечаткам пальцев

Это самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации).

Ведущие производители сканеров отпечатков пальцев:

Распознавание по форме руки

Данный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), делаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека.

Ведущие производители такого оборудования:

Распознавание по радужной оболочке глаза

Данный метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации этого метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, выделяющее из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека.

Фирма Iridian (http://www.iridiantech.com/) — крупнейший производитель в данной области, на ее решениях базируются практически все разработки других компаний: LG, Panasonic, OKI, Saflink и др.

Распознавание по форме лица

В данном статическом методе идентификации строится двух- или трехмерный образ лица человека. С помощью камеры и специализированного программного обеспечения на изображении или наборе изображений лица выделяются контуры бровей, глаз, носа, губ и т.д., вычисляются расстояния между ними и другие параметры — в зависимости от используемого алгоритма. По этим данным строится образ, преобразуемый в цифровую форму для сравнения. Причем количество, качество и разнообразие (разные углы поворота головы, изменение нижней части лица при произношении ключевого слова и т.д.) считываемых образов может варьироваться в зависимости от алгоритмов и функций системы, реализующей данный метод.

Ведущие производители подобных устройств:

Распознавание по почерку

Как правило, для этого динамического метода идентификации человека используется его подпись или написание кодового слова.

Цифровой код идентификации формируется по динамическим характеристикам написания, то есть для идентификации строится свертка, в которую входит информация по графическим параметрам подписи, временным характеристикам нанесения подписи и динамике нажима на поверхность в зависимости от возможностей оборудования (графический планшет, экран карманного компьютера и т.д.).

Ведущие производители таких устройств:

Распознавание по набору на клавиатуре

Метод в целом аналогичен вышеописанному, однако вместо подписи в нем используется некое кодовое слово, а из оборудования требуется только стандартная клавиатура. Основная характеристика, по которой строится свертка для идентификации, — динамика набора кодового слова.

Ведущие производители подобного оборудования:

Распознавание по голосу

В настоящее время развитие этой одной из старейших технологий ускорилось, так как предполагается ее широкое использование при сооружении интеллектуальных зданий. Существует достаточно много способов построения кода идентификации по голосу — как правило, это различные сочетания частотных и статистических характеристик последнего.

Ведущие производители таких устройств:

Однако стоит учесть, что идентификация по статическим характеристикам более надежна, так как не зависит от психоэмоционального состояния идентифицируемого субъекта.

Middleware

Кроме вышеуказанных производителей, в настоящее время на рынке биометрии появилась новая группа компаний, решения которых называются middleware. Как правило, это «программное обеспечение — посредник между конечным оборудованием и программными системами, в которые интегрируются процедуры биометрической идентификации. Причем middleware может реализовать как просто вход в систему с использованием измерений биометрического сканера (например, Windows Logon), так и самостоятельную функциональность, например создание криптографических контейнеров с помощью ключа, получаемого только по определенному отпечатку пальца.

Недостатки биометрической аутентификации

Из недостатков биометрической аутентификации можно отметить следующие.

Во-первых, это недостатки самих биометрических сканеров. Конечно же, они будут разными у разных типов сканеров. Однако их объединяет то, что они есть! Например, сканеры отпечатков пальцев могут быть оптическими и электронными. Первые обеспечивают более качественное изображение, однако быстрее загрязняются и более требовательны к чистоте рук. Вторые — менее надежные и качественные, однако могут распознавать даже грязные руки. Итак, можно сделать вывод, что выбор биометрической технологии для каждого конкретного случая должен быть разным.

Во-вторых, это крайне сложная корректная настройка оборудования, точнее установка корректного порогового значения ошибки. FAR (False Acceptance Rate) — это процент ложных отказов в допуске, FRR (False Rejection Rate) — вероятность допуска в систему незарегистрированного человека. Порог чувствительности является своеобразной гранью идентификации. Человек, имеющий сходство какой-либо характеристики выше предельного, будет допущен в систему, и наоборот. Значение порога администратор может изменять по своему усмотрению, то есть это предъявляет к нему весьма высокие требования, ведь поддержка баланса между удобством и надежностью требует больших усилий.

В-третьих, при внедрении биометрических систем можно столкнуться с сопротивлением сотрудников компаний, обусловленным возможностью контроля их рабочего времени. Тем более что системы для учета рабочего времени сотрудников тоже существуют.

Биометрические сканеры невозможно применять для идентификации людей с некоторыми физическими недостатками, утверждает профессор антропологии Университетского колледжа (University College) Лондона Анжела Сесс (Angela Sasse). Так, применение сканеров сетчатки глаза будет сложным для тех, кто носит очки или контактные линзы, а человек, больной артритом, не сможет ровно положить палец на сканер отпечатка.

Еще одна проблема — рост. Сканирование лица может стать затруднительным, если рост человека менее 1,55 м или более 2,1 м. Преступники, по словам г-жи Сесс, смогут легко обмануть биометрические системы. Некоторые срезают свои отпечатки пальцев или сжигают их кислотой. Есть и неумышленные случаи — например люди с поврежденными руками.

К недостаткам такого способа идентификации можно отнести возможность воспользоваться муляжом отпечатка, что было успешно продемонстрировано заключенными шотландской тюрьмы строгого режима Glenochil.

Электронные ключи с одноразовыми паролями

Идентификаторы на базе генераторов разовых паролей применяются чаще всего для организации веб-доступа или систем типа e-banking. Идею использования одноразовых паролей поясняет схема, приведенная на рис. 5.

 

Рисунок

Рис. 5. Использование одноразовых паролей

Аппаратные реализации генераторов одноразовых паролей называют ОТР-токенами. Они имеют небольшой размер и выпускаются в различных формфакторах:

  • карманный калькулятор;
  • брелок;
  • смарт-карта;
  • устройство, комбинированное с USB-ключом;
  • специальное программное обеспечение для карманных компьютеров.

В качестве примера решений OTP можно привести линейку RSA SecurID, ActivCard Token, комбинированный USB-ключ Aladdin eToken NG-OTP. В частности, одной из распространенных аппаратных реализаций одноразовых паролей является технология SecurID, предлагаемая компанией RSA Security. Она основана на специальных калькуляторах — токенах, которые ежеминутно генерируют новый код. В токен встроена батарейка, заряда которой хватает на 3-5 лет, после чего токен нужно менять. Существуют и другие реализации одноразовых паролей. Например, можно генерировать пароль по событию — нажатию клавиши на устройстве. Такое решение предлагает компания Secure Computing в виде продукта Safeword. Аппаратную реализацию технологии «запрос-ответ» представляет корпорация CryptoCard.

Различие между технологиями RSA Security ID и eToken NG OTP заключается в том, что разовый пароль в RSA SecurID изменяется через заранее заданные промежутки времени (синхронизация по времени), а в продукте eToken NG смена разового пароля производится по нажатию кнопки (синхронизация по событию).

Рассмотрим подробнее реализацию генератора разовых паролей на примере продукта компании Aladdin-устройства eToken NG OTP (рис. 6).

 

Рисунок

Рис. 6. eToken NG

eToken NG — функциональный аналог eToken PRO, имеющий встроенный генератор одноразовых паролей. Он предназначен для аутентификации пользователей при их подключении к защищенным информационным ресурсам, а также для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.

Устройство выпускается в двух модификациях: 64 и 32 Кбайт памяти (внутри защищенного чипа смарт-карты). Оно имеет аппаратно реализованные алгоритмы RSA/1024, DES, 3DES, SHA-1 и аппаратный генератор одноразовых паролей.

При необходимости получить соединение с сетью пользователь вводит PIN-код, а затем генерирует разовый пароль, нажимая кнопку на eToken NG. При этом пароль формируется как PIN-код плюс Token-код. На стороне сети этот пароль проверяется с помощью специального серверного ПО.

Второй вариант такого подхода реализован в продуктах компании RSA Security. С точки зрения конечного пользователя, разница между обычной процедурой регистрации в системе Windows и аутентификацией в системе RSA SecurID состоит лишь в том, что вместо стандартного пароля требуется ввести составной код доступа, состоящий из личного PIN-кода и комбинации цифр, которая в данный момент отображается на экране жетона-аутентификатора. Затем этот код доступа отсылается серверу RSA Authentication Manager, который и выполняет проверку подлинности пользователя.

RSA SecurID for Microsoft Windows обеспечивает интеграцию с контроллерами доменов Windows и каталогами Active Directory. База данных пользователей и групп сервера аутентификации RSA Authentication Manager синхронизирована с каталогом Active Directory.

Выводы

Рассмотрев различные технологии аппаратно-программной и парольной аутентификации, можно сделать вывод, что применение паролей все меньше соответствует требованиям безопасности, так как с увеличением сложности пароля и количества паролей для запоминания будет возрастать роль человеческого фактора:

пользователи всегда будут выбирать наиболее простые, с их точки зрения, пароли;

при ужесточении политики паролей пользователи будут идти на всяческие ухищрения, облегчающие им пользование паролями, но снижающие безопасность (например, наклеивать стикеры с паролем на монитор, клавиатуру, записывать пароль в блокнот и т.д.);

с ростом вычислительных мощностей процесс подбора паролей будет происходить все быстрее.

В связи с этим необходим переход на многофакторную аутентификацию, из всех видов которой самым надежным сегодня является применение USB-ключей (смарт-карт).

 

Литература

  1. Сабанов А.Г. Об идентификации и аутентификации, или Что такое ААА.
  2. eToken — универсальное средство для безопасного доступа к информационным ресурсам//Aladdin Software.
  3. Давлетханов М. Недостатки биометрии//http://www.infobez.ru/article.asp?ob_no=2881.
  4. Давлетханов М. Что такое биометрия?//http://infobez.ru/article.asp?ob_no=1020.
  5. Задорожный В.В. Обзор биометрических технологий. Защита информации. Конфидент//2003. № 5 (53).

 

В начало В начало

КомпьютерПресс 9'2008

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует