Авторизация без пароля

Билл Гейтс высказал этум мысль еще в 2004 году на конференции по безопасности, а теперь практически все ведущие умы в сфере информационных технологий соглашаются с его аргументами: пароли ненадежны и могут быть взломаны или украдены. Особенно в том случае, если пользователи останавливаются на таких простых вариантах, как «123456» или «qwerty», — а согласно исследованию компании Imperva, это происходит довольно часто. Надежные на первый взгляд программы хранения паролей только усугубляют ситуацию, так как они сами защищены такими же ключами. Для мошенника задача взлома мастер-пароля еще более привлекательна.

Сегодня уже существует достаточное количество альтернатив стандартным методам аутентификации. CHIP расскажет о текущей ситуации в области развития этих систем
и представит основные способы беспарольной авторизации. Все новые методы будут оцениваться с точки зрения надежности и удобства.

ГРАФИЧЕСКИЙ ПАРОЛЬ

Удобство (по десятибальной  шкале): 6 Надежность (по десятибальной  шкале): 5 Сфера применения: аутентификация в Windows 8 посредством сенсорного экрана При установке графического паролявам будет предложено выполнить три различных жеста на любом изображении — например, нарисовать окружность или другой объект либо закрасить участок картинки. При аутентификации необходимо повторить действия в такой же последовательности. Если вход в систему оказался невозможен, Windows 8 предложит воспользоваться стандартным способом аутентификации, предусматривающим ввод имени пользователя и пароля. Недостаток этого метода в том, что следы пальцев на сенсорном экране могут выдать последовательность ваших действий. Если же вы пользуетесь мышью, то придется смириться с некоторыми неудобствами.

ПЛИТКИ И ЦИФРЫ

Удобство (по десятибальной  шкале): 6 Надежность (по десятибальной  шкале): 4 Сфера применения: смартфоны, планшеты На смартфоне пользователь проходит аутентификацию путем ввода четырехзначного PIN-кода, который он получает от провайдера. Похожий способ входа в систему использует интерфейс Metro в Windows Phone 7 и Windows 8: для авторизации пользователь должен прикоснуться к определенным плиткам в установленной последовательности. Однако путем перебора всех возможных вариантов (brute force) можно очень быстро взломать четырехзначный код. Цепочка минимум из шести плиток обеспечивает наиболее высокую безопасность. Но при этом возникает та же проблема, что и при использовании паролей: никто не может и не хочет запоминать длинные последовательности нажатий.

РАСПОЗНАВАНИЕ ЛИЦА

Удобство (по десятибальной  шкале): 9 Надежность (по десятибальной  шкале): 8 Сфера применения: аутентификация с помощью веб-камеры Данная технология предусматривает идентификацию пользователя на основе уникального строения лица. Специализированная программа сравнивает изображение, полученное с веб-камеры, с сохраненной ранее фотографией человека и оценивает степень совпадения важнейших признаков. Если процент совпадения достаточно высок, программа открывает доступ.

После того как Нгуен Дук Минь из Южной Кореи на конференции по безопасности Black Hat в 2009 году, используя фотографию, смог обойти несколько сканеров по аутентификации лица, появились системы распознавания «живого» лица, которые ориентированы на определенные последовательности изменения мимики.

В Windows XP, Vista и 7 уже сегодня можно пройти авторизацию посредством распознавания лица — например, воспользовавшись программой Luxand Blink.

ОТПЕЧАТОК ПАЛЬЦА

Удобство (по десятибальной  шкале): 9 Надежность (по десятибальной  шкале): 3 Сфера применения: аэропорт, аутентификация посредством смарт-карты Сканер снимает отпечаток вашего пальца и сравнивает его с образцом, сохраненным в базе данных. Специальная программа фиксирует в отпечатке только специфические разветвления, окончания линий или шрамы, что значительно ускоряет процесс. При аутентификации программа сканера накладывает образец на снятый отпечаток и определяет степень совпадения идентификационных признаков. Образец, как правило, хранится непосредственно вв сканере отпечатков пальцев или на смарт-карте, так как использование для этих целей жесткого диска чревато тем, что образец может попасть в руки злоумышленника, который сумеет видоизменить его с помощью любого графического редактора. Сканеры, ограничивающиеся оценкой содержащихся в отпечатке характеристик, с 2002 года считаются легко уязвимыми для взлома.

Японскому специалисту в области шифрования Цутому Мацумото удалось обойти устройство для сканирования отпечатков пальцев при помощи искусственного пальца из желатина, на который он, используя программу Photoshop и скотч, нанес чужой отпечаток. По-настоящему
надежные сканеры (ZF 1 от Dermalog), которые учитывают также температуру человеческого тела, преломление света и многие другие факторы, связанные с распознаванием живых и неживых объектов, для обычного пользователя слишком дороги или вовсе недоступны.

Компания Dermalog предлагает множество способов идентификаци. Скриншот с сайта www.dermalog.de

Компания Dermalog предлагает множество способов идентификаци.

OPENID

Удобство (по десятибальной  шкале): 6 Надежность (по десятибальной  шкале): 5 Сфера применения: аутентификация на интернет-порталах Эта система идентификации поддерживается такими гигантами, как Yahoo!, Microsoft, Facebook и Google, что способствует ее быстрому распространению. Количество пользователей системы составляет более 500 миллионов. Уже в 2009 году число сайтов, поддерживающих технологию OpenID, по данным экспертов, достигало 50 000.

Для использования системы необходимо зарегистрироваться у одного из провайдеров OpenID — например, на www.myopenid.com. Там вы получите URL-адрес, который можно использовать для авторизации на сайтах с поддержкой OpenID. Для этого на соответствующей странице необходимо ввести полученный URL-адрес в поле «Войти, используя OpenID».

OpenID — сервис публичный и бесплатный, однако он подвержен фишингу. Поскольку при аутентификации происходит передача данных провайдеру OpenID, трафик может быть перенаправлен на страницу, внешне похожую на сайт этого провайдера.

  БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ

Удобство (по десятибальной  шкале): 6 Надежность (по десятибальной  шкале): 10 Сфера применения: аутентификация на интернет-порталах Наиболее сложный, но самый надежный метод аутентификации был разработан Фраунгоферовским институтом. Он основан на комбинации различных биометрических технологий и OpenID. Этот сложный на первый взгляд способ очень прост в использовании. Сначала нужно зарегистрироваться на сайте http://bioid.com. Для биометрического распознавания службе требуется доступ к веб-камере и микрофону. Вы также можете подключить к компьютеру имеющуюся у вас видеокамеру. Биометрическая идентификация включает в себя распознавание лица и анализ голосовых характеристик. После регистрации достаточно открыть сайт, который поддерживает OpenID. Взглянув на камеру и произнеся несколько слов, вы сможете войти в систему.

Без сомнения, система с двойной биометрической защитой надежна. Образцы содержат только математическую информацию, и на их основе невозможно воспроизвести чье-либо
лицо или голос.

БЛОКИРОВКА ЭКРАНА (PATTERN LOCK)

Удобство (по десятибальной  шкале): 7 Надежность (по десятибальной  шкале): 3 Сфера применения: снятие блокировки в смартфоне Данная возможность идентификации распространена, прежде всего, на мобильных устройствах под управлением ОС Android. На сенсорном экране отображается девять точек. В процессе настройки функции необходимо провести по этим точкам пальцем. Аналогично осуществляется снятие блокировки экрана.

Использовать графическую блокировку на ПК под управлением Windows позволяет программа XUS PC Lock, предоставляя возможность использования мыши.

Недостаток этого метода состоит в том, что при нерегулярной чистке дисплея достаточно повернуть устройство к солнцу под определенным углом, чтобы увидеть следы всех загрязнений и, соответственно, последовательность нажатий при аутентификации. Кроме того, многие аппараты позволяют принимать входящие звонки, не требуя при этом снятия блокировки. Пока продолжается разговор, все данные в телефоне остаются доступными.

ЧИП-КАРТА/USB-НАКОПИТЕЛЬ

Удобство (по десятибальной  шкале): 9 Надежность (по десятибальной  шкале): 8 Сфера применения: аутентификация на рабочем ПК Идентификация посредством смарт-карты или USB-накопителя используется главным образом в корпоративной среде. На носителе информации сохраняется один или несколько идентификационных признаков. Это могут быть личные данные, защищенные паролем, и биометрическая информация — например, образец отпечатка пальца.

При авторизации носитель данных подключается к ПК. Контролирующая программа запрашивает аутентификацию, чтобы убедиться в том, что за компьютером находится настоящий владелец карты или USB-накопителя. Программа Dekart Logon допускает, например, ввод PIN-кода или биометрическую идентификацию при наличии соответствующего оборудования. Покидая рабочее место, пользователь может заблокировать ПК просто путем извлечения носителя данных.

Поскольку наряду с биометрической идентификацией требуется так же наличие действующей смарт-карты или USB-накопителя, данный способ является довольно надежным. При этом его можно еще больше обезопасить за счет использования нескольких биометрических способов аутентификации.

АУТЕНТИФИКАЦИЯ ПУТЕМ РАСПОЗНАВАНИЯ ДВИЖЕНИЙ ТЕЛА

Удобство (по десятибальной  шкале): 8 Надежность (по десятибальной  шкале): 5 Сфера применения: авторизация с использованием Microsoft Kinect Контроллер Kinect, разработанный для приставки Xbox 360, регистрирует в трех плоскостях движения игроков и помещение, в котором они находятся. В настоящее время Kinect располагает функцией распознавания лица, которая действует в сочетании с идентификатором Kinect ID. Если система распознавания настроена, для аутентификации достаточно просто взглянуть на устройство.

Сообщество Open Source решило на этом не останавливаться: если Kinect способен распознавать лица, то почему бы ему не обратить внимание и фигуру игрока или его характерные движения, регистрируемые в момент приближения к компьютеру? Впоследствии эти данные могут быть использованы для идентификации — при условии, разумеется, что они были сохранены системой. Наиболее совершенный в настоящее время проект, официально поддерживаемый компанией Microsoft, называется «Kinect SDK–Распознавание жестов в реальном времени». Он предусматривает соединение отдельных точек на теле пользователя с помощью двухмерных векторов и сохранение производимых жестов в качестве образцов движений.

Сложно сказать, насколько высока надежность системы аутентификации на основе учета движений тела. Возможно, найдутся злоумышленники, которые, например, смогут воспроизвести их при помощи программы Cinema 4D.

Максимальная надежность

Существующих способов аутентификации на ПК и смартфонах будет достаточно для обычных пользователей. Но эти методы не подходят для аэропортов, особых помещений банков и специальных учреждений, ведущих борьбу с терроризмом. В местах, подверженных опасности, вместо авторизации с помощью пароля будут использоваться улучшенные системы биометрической идентификации.

Трехмерное распознавание лица С помощью сетки инфракрасных лучей происходит сканирование головы в трех плоскостях, а затем сравнение полученного изображения с сохраненными ранее образцами.

Сканирование сетчатки глаза В качестве идентификационного признака служат кровеносные сосуды глазного дна.

Сканирование вен Инфракрасное излучение регистрирует положение и толщину кровеносных сосудов.

Сканирование вен с помощью аппарата Fujitsu   Строение кисти руки Длина, толщина и ширина отдельных пальцев, а также общие характеристики кисти руки регистрируются с помощью зеркал и проверяются при идентификации Аутентификация посредством сканирования глаз

Как только фронтальные камеры в мобильных устройствах достигнут необходимого уровня качества, пользователи смартфонов и планшетов смогут использовать надежный способ идентификации, заключающийся в сканировании радужной оболочки или сетчатки глаз.

В интернет-магазине приложений Apple App Store для устройств с фронтальной камерой уже сегодня можно найти два недорогих приложения для сканирования глаз. Но они не обеспечивают серьезной защиты и, по словам разработчиков, созданы в развлекательных целях. Eye Scanner имитирует аутентификацию путем сканирования радужной оболочки глаза. Retinal Scanner действительно фиксирует характерные особенности глазного дна, но не сохраняет эти данные. Таким образом, нет возможности сравнения сетчатки с существующим в памяти образцом.

Разработчики приложений для платформы Android, по всей видимости, серьезнее подходят к данной проблеме: программа BioLock определяет центральную точку радужной оболочки глаза и измеряет радиусы зрачка и внешнего края радужки. Затем она переводит информацию с темных и светлых участков радужной оболочки в цифровой формат. Так создается образец, который служит для сравнения при аутентификации пользователя мобильного устройства. Проблема состоит в том, что сканирование радужной оболочки зависит от освещения: она меняет свои размеры в зависимости от интенсивности света. По этой причине в BioLock есть дополнительная функцию распознавания лица и голоса, а также возможность установки PIN-кода. Программа способна не только блокировать мобильное устройство, но и защищать установленные приложения, отдельные документы и список контактов.

ПОДЕЛИТЬСЯ


Предыдущая статьяSymbian — "плохой" бренд для Nokia
Следующая статьяНовые смартфоны Samsung начального уровня
КОММЕНТАРИИ