Аутентификация пользователей — современные методы

Подсистема аутентификации пользователей — важнейший компонент корпоративной системы информационной безопасности, и ее значение трудно переоценить. Подсистема аутентификации подтверждает личность пользователя информационной системы и поэтому должна быть надежной и адекватной, то есть исключать все ошибки в предоставлении доступа. Существующие методы аутентификации различны по степени надежности, и, как правило, с усилением защиты резко возрастает цена систем, что требует при выборе средств аутентификации анализа рисков и оценки экономической целесообразности применения тех или иных мер защиты. Однако в последнее время «соотношение сил» в области эффективности применяемых методов аутентификации меняется.Средства аутентификации можно разделить на три группы («фактора») в соответствии с применяемыми принципами: принцип «что вы знаете» («you know»), лежащий в основе методов аутентификации по паролю; принцип «что вы имеете» («you have»), когда аутентификация осуществляется с помощью магнитных карт, токенов и других устройств; и принцип «кто вы есть» («you are»), использующий персональные свойства пользователя (отпечаток пальца, структуру сетчатки глаза и т. д.). Системы строгой аутентификации используют 2 и более факторов при аутентификации пользователей.На сегодняшний день средства аутентификации первой группы («you know») являются самыми экономичными по стоимости, но одновременно и наименее надежными. Пароль пользователя можно подсмотреть, перехватить в канале связи, да и просто подобрать. Если политика безопасности требует применения сложных паролей, пользователям трудно их запоминать, и нередко на самом видном месте появляются бумажные листочки с записями паролей (например, прикрепляются к монитору). Последствия особенно опасны в системах, где используется принцип «единого входа» (single sign-on), когда сотрудник применяет один пароль для аутентификации и работы со многими корпоративными приложениями и источниками информации. Часто, не осознавая важности аутентификации, сотрудники практикуют передачу личного пароля коллегам. Здесь стоит отметить, что процедура аутентификации тесно связана с другими процессами в системе информационной безопасности (ИБ), например с мониторингом действий в системе, и при расследовании инцидента, не имея строгой идентификации пользователя, нередко очень тяжело установить причину инцидента.Системы строгой аутентификации, построенные на факторе «you know» и «you have», предоставляют больше возможностей для усиления защиты. Например, работу токенов, которые генерируют одноразовые пароли, не имея соединения с защищаемой системой, очень сложно подделать, а сам пароль не может быть повторно использован. Примерами могут служить устройства RSA SecureID и Vasco Digipass. Наиболее интересно применение этих устройств в таких областях, как электронная коммерция, включая интернет-банкинг, или для организации защиты ключевых с точки зрения безопасности пользователей (администраторов информационной системы и руководителей). Этими устройствами можно пользоваться для проведения аутентификации при удаленном доступе с рабочего места, имеющего низкий уровень доверия, например при работе в интернет-кафе. Но такой способ аутентификации также не лишен недостатков — токен, например, можно передать вместе с ПИН другому пользователю.С этой точки зрения более строгую аутентификацию обеспечивают средства, основанные на биометрических методах, интерес к которым сейчас активно растет, что связано не в последнюю очередь с постепенным снижением их стоимости.Биометрические системы идентификации, доступные в настоящее время или находящиеся в стадии разработки, включают системы доступа по отпечатку пальца, запаху, ДНК, форме уха, геометрии лица, температуре кожи лица, клавиатурному почерку, отпечатку ладони, рисунку вен ладони, структуре сетчатки глаза, рисунку радужной оболочки глаза, подписи и голосу.Аутентификация по отпечаткам пальцевЭта биометрическая технология, вполне вероятно, в будущем будет использоваться наиболее широко. Преимущества средств доступа по отпечатку пальца — простота использования, удобство и надежность. Весь процесс идентификации осуществляется довольно быстро и не требует особых усилий от пользователей. Вероятность ошибки при идентификации пользователя намного меньше в сравнении с другими биометрическими методами. Кроме того, устройство идентификации по отпечатку пальца достаточно компактно — в настоящее время уже производятся подобные системы размером меньше колоды карт.Использование для идентификации геометрии рукиЭтот метод сегодня применяется в более чем 8 000 организаций, включая колумбийский парламент, международный аэропорт Сан-Франциско, больницы и иммиграционные службы. Преимущества идентификации по геометрии ладони сравнимы с аутентификацией по отпечатку пальца в части надежности, хотя устройство для считывания отпечатков ладоней занимает больше места. Наиболее удачное устройство, Handkey, сканирует как внутреннюю, так и боковую сторону руки.Аутентификация по радужной оболочке глазаПреимущество сканирования радужной оболочки состоит в том, что образец пятен на радужной оболочке находится на поверхности глаза, и от пользователя не требуется специальных усилий — фактически видеоизображение глаза может быть отснято на расстоянии метра, что делает возможным использование таких сканеров в банкоматах. Идентифицирующие параметры могут сканироваться и кодироваться, в том числе и у людей с ослабленным зрением, но неповрежденной радужной оболочкой. Катаракта — повреждение хрусталика глаза, который находится позади радужной оболочки, также никоим образом не влияет на процесс сканирования радужной оболочки.Аутентификация по сетчатке глазаСканирование сетчатки происходит с использованием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры для сетчатки глаза получили большое распространение в сверхсекретных системах контроля доступа, так как эти средства аутентификации характеризуются одним из самых низких процентов отказа в доступе зарегистрированным пользователям и почти нулевым процентом ошибочного доступа. Однако такая болезнь глаз, как катаракта, может отрицательно воздействовать на качество получаемого изображения и увеличивать вероятность ошибок.Идентификация по чертам лица (по геометрии лица)Одно из быстро развивающихся направлений в биометрической индустрии. Данный метод наиболее близок к тому, как люди идентифицируют друг друга, и в этом его привлекательность. Развитие этого направления связано с быстрым ростом мультимедийных видеотехнологий. Однако большинство разработчиков пока испытывают трудности в достижении высокого уровня исполнения таких устройств. Тем не менее, можно ожидать появления в ближайшем будущем специальных устройств идентификации личности по чертам лица в залах аэропортов для защиты от террористов и т. п.Исходя из данных, приведенных в таблице, можно выделить две наиболее востребованные сегодня технологии, — это биометрическая идентификация с использованием папиллярного узора пальца (отпечатка) и радужной оболочки глаза.Вопреки бытующему мнению о том, что «обмануть» сканер отпечатков пальцев несложно, следует отметить, что в настоящее время ведущим производителям устройств сканирования отпечатков пальцев удалось создать комбинацию аппаратного и программного обеспечения, устойчивую к подделкам и муляжам. А для систем биометрической идентификации на основе радужной оболочки глаза стоимость создания «муляжа» сопоставима со стоимостью совокупного владения системой. Таким образом, возникновение «ошибок второго рода» (то есть предоставление доступа человеку, не имеющему на это права) практически исключено.Конечно, есть и проблемы. Под воздействием некоторых факторов биологические особенности, по которым производится идентификация личности, могут изменяться. Например, возможна деформация папиллярного узора при порезах и ожогах. Поэтому частота появлений «ошибок первого рода» (отказ в доступе человеку, имеющему на это право) при использовании однофакторной идентификации в биометрических системах достаточно велика. Решением данной проблемы является применение систем многофакторной аутентификации, которые идентифицируют личность сразу по нескольким факторам, например по отпечатку пальца, геометрии ладони и рисунку вен ладони.В этом случае вероятность «ошибок первого рода» резко снижается, а общая степень надежности системы растет пропорционально количеству используемых факторов. В качестве фактора, ускоряющего развитие биометрических средств аутентификации, необходимо отметить существенное снижение стоимости устройств сканирования. Так например, себестоимость некоторых сканеров отпечатков пальцев уже снизилась до 50 долларов. Этот факт позволяет утверждать, что в ближайшем будущем стоимость сканеров отпечатков пальцев будет соизмерима (если не меньше) со стоимостью токенов.Рассматривая рынок систем биометрической идентификации, можно выделить три основных направления их использования: системы гражданской идентификации, системы контроля и управления доступом и системы учета рабочего времени. Сегодня аналитики прогнозируют серьезное развитие всех трех направлений и, в частности, систем гражданской идентификации в связи со стартом проекта «Российский биометрический паспорт» в Калининграде и Калининградской области. Это послужило мощным импульсом к развитию биометрической индустрии в России — снижается стоимость устройств, растет надежность, повышается уровень зрелости общества, необходимый для массового принятия технологии. Что касается мирового рынка биометрической идентификации, аналитики предсказывают рост его объема до 4 млрд. долларов в 2007 г.

Развитие рынка биометрической идентификации и удешевление технологий позволит использовать эти средства и в решениях по обеспечению информационной безопасности компаний, и в корпоративных системах учета рабочего времени (особенно для контроля бизнес-процессов, требующих строгой персонализации и персональной ответственности). Таким образом, можно с большой долей уверенности утверждать (это подтверждает и наш собственный опыт работы по созданию комплексных систем ИБ), что биометрическая идентификация как таковая ляжет в основу будущей инфраструктуры информационной безопасности предприятия, а также будет использована во многих прикладных решениях.