Цифровая эра на аналоговых подходах. Не пора ли забыть о логинах и паролях?

Керівник центру IT-розробки «ID HUB»
Цифрова ера на аналогових підходах. Чи не час забути про логіни та паролі?
Почему онлайн-безопасность – это не только антивирус и firewall? Кто отвечает за сохранность паролей? Как выглядит настоящая электронная мобильность? Что такое Mobile ID и можно ли ожидать эту технологию в Украине?

Цифровой мир развивается намного быстрее, чем любые общества или системы, известные нам c начала времен. Усложняющиеся технологии породили десятки удобств и создали сотни угроз. Разумеется, отказаться от электронного комфорта человечество уже явно не в состоянии. Видимо, нам самим теперь придется «догонять» созданные нами же технологии. И так далее – эффект маховика действует не только в механике.

Парольная защита и защита пароля

Как и чем защищен пользователь в своей цифровой реальности, помимо технических средств? Большинство задач – около 98% – решаются с помощью пары «логин-пароль». От простейших личных кабинетов до секретной коммерческой переписки. От платежей в несколько гривен до контрактов в сотни миллионов.

Если задуматься, то эта схема принципиально не отличается от комбинации «пароль-отзыв», которой уже несколько тысяч лет. Если бы такой защиты было достаточно, цифровой мир не был бы подвержен такому числу угроз. Несколько миллионов кибер-атак ежедневно – и это только те, которые фиксируются. Кибер-охота ведется по всем законам природы и общества: атакам подвержено то, что представляет ценность для злоумышленника, а также то, что плохо защищено. Человек, пользователь – самое слабое звено в этой цепи.

Человек, пользователь – самое слабое звено в этой цепи.

Невероятно, но несмотря на все угрозы, вирусные атаки и огромные финансовые потери, едва ли не каждый пятый интернет-пользователь использует в качестве пароля незабвенные qwerty, 1q2w3e, password или 1234. Стоит ли говорить, что современным программам для взлома паролей требуется не более нескольких секунд, чтобы подобрать эти пароли?

Рано или поздно пользователи учатся на своих ошибках и придумывают надежный пароль. Но этот сложный пароль, как правило, один для всех ресурсов.

Другая крайность встречается в организациях с «принудительной» парольной политикой. Он меняется часто, содержит буквы, цифры и спецсимволы – иногда до 20 знаков. Держать в голове такую комбинацию не под силу никому. Для этого существуют желтые стикеры для записи пароля, а их можно приклеить на монитор. К сожалению, это далеко не единичные случаи.

Как следствие. Угроза заключается не только в том, что часть личной информации может быть предана огласке или использована против ее владельца. Главная опасность в том, что энергетические и транспортные сети, правительственные учреждения, сверхопасные объекты в любой момент могут быть парализованы, что отчасти и произошло во время атаки Petya.A.

Если не пароль, то что?

Для пользователя разработаны множество средств идентификации и авторизации, что, к сожалению, только добавляет путаницы. В этом многообразии имеет смысл разобраться более подробно.

Bank ID.

Признанная государством технология идентификации посредством банковских учреждений. Банки располагают большим количеством информации о своих клиентах: копии паспорта, кода, адрес, номер телефона, счета – все, что позволяет однозначно идентифицировать человека. Когда пользователю требуется осуществить какую-либо персональную операцию (например, запросить электронную справку), то ему не нужно подтверждать документально, что он – это он. За него это делает банк, выступающий в данном случае «центром доверия».

Признанная государством технология идентификации посредством банковских учреждений

В идеальной реализации это достаточно удобно, поскольку большинство из нас (если не все) как минимум единожды отдавали в банк полную информацию о себе.

Другое дело, что информация о клиентах коммерческого банка по ценности сопоставима с ценностью денег, и ни один банк не станет добровольно передавать собственную клиентскую базу прямому конкуренту. Попытки НБУ сделать технологию массовой посредством мощностей «Ощадбанка» заметного успеха не имели.

В конечном итоге получилась полурабочая система, изначально ориентированная на межбанковское взаимодействие, но которой сами же банки не доверяют. В остальных случаях использование Bank ID пользователем выглядит нецелесообразным.

OTP пароль (one-time password) одноразовый пароль, который необходимо ввести для подтверждения операции, в дополнение к стандартной паре «логин-пароль».

Пароль генерируется автоматически и поступает в виде текстового сообщения на мобильный телефон. Схема достаточно привычна для пользователей популярных систем онлайн-банкинга.

Надежность этого метода, безусловно, гораздо выше

Надежность этого метода, безусловно, гораздо выше — до момента утери телефона, в котором включена функция «запомнить меня» или «сохранить пароль». Да и стоимость оборудования, необходимого для работы такой системы, оправдывает ее далеко не всегда. К тому же, пароль поступает в виде обычного SMS, и перехватить это сообщение – задача далеко не нерешаемая.  Поэтому с 2016 года использование этой технологии не рекомендуется весьма авторитетным Национальным институтом стандартов и технологий США.

Smart-карта – еще один из методов.

Выполнена в виде пластиковой карты с чипом, где роль «мозга» выполняет сам чип. Потенциально smart-карта достаточно многофункциональна, поскольку в чип можно вложить много разных данных (включая ключ ЭЦП), а само хранилище хорошо защищено.

Выполнена в виде пластиковой карты с чипом, где роль «мозга» выполняет сам чип

Из минусов: карту нужно постоянно носить с собой. Ближайший пример – банковская карта с чипом. Чтобы считать smart-карту, требуется специальное оборудование (терминал). Это оправдано для учреждений и коммерческих организаций, но в частной жизни пользователя приобретать такой терминал вряд ли удобно.

В русле предыдущей и потенциально как более совершенная версия – ID-карта. Аналог внутреннего паспорта гражданина Украины, который содержит биометрические данные (в нашем случае – отпечаток пальца), фотографию, ФИО, данные о дате и месте рождения и выдачи карты.

ID-карты с встроенными ключами ЭЦП

На данный момент ID-карты лишены функционала smart-карт, но это не является техническим препятствием. Несколько дней назад анонсировано, что будут встроены ключи ЭЦП в ID-карты. По сути, везде, где может потребоваться документ и подпись пользователя, их можно будет дистанционно заменить картой. Например, в Эстонии жители страны даже голосуют на выборах, используя подобные идентификаторы.

Однако до сих пор непонятно, как и за чей счет будет решаться вопрос развития инфраструктуры, поскольку и в этом случае без считывающего терминала не обойтись.

Помимо прочего, получение ID-карты взамен существующего паспорта – дело сугубо добровольное. Трудно представить, что граждане Украины массово отправятся менять свои паспорта, даже в случае расширения функционала ID-карты.

Существует еще один чувствительный момент, связанный с электронной идентификацией личности. Это вопрос анонимности. В отдельных случаях она не только желательна, но и критична. Далеко не все ресурсы требуют юридической «деанонимизации» (например, электронная почта), но все они при этом требуют защиты.

Mobile ID

В вопросах электронной идентификации Украина во многом следует достаточно привычному пути – проб и ошибок. Теперь мы хотя бы понимаем преимущества и недостатки доступных нам технологий. И приходим к выводу, что большинство проблем решаются, если соблюдены два условия: распространенность считывающих устройств и развитость вспомогательной инфраструктуры.

Ответ на поверхности: мобильный телефон плюс уже имеющаяся сотовая сеть и инфраструктура ЭЦП.

Мобильный телефон плюс уже имеющаяся сотовая сеть и инфраструктура ЭЦП

Эти возможности сочетаются в технологии Mobile ID и в ее более совершенном варианте – Mobile Signature.

Прежде всего, эта технология вполне успешно работает во многих европейских странах, а также в ряде других государств, чей технологический уровень во многом уступает украинскому. Она построена по принципу «достаточно мобильного телефона», причем, любой марки, модели и возраста.

Если описывать технологию упрощенно, то в телефоне содержится описанная выше smart-карта (ее роль выполняет привычная нам SIM-карта), а сам телефон является считывающим устройством.

В защищенной области памяти SIM-карты записан ключ ЭЦП, который технически невозможно оттуда извлечь. В скрытом от пользователя режиме работает ПО на SIM-карте в комплексе со сложными алгоритмами криптографии.

Единственное, что требуется от пользователя, – это подтверждать операцию известным только ему кодом (аналог PIN-кода, который пользователь задает сам). Код передается по защищенному каналу, и его невозможно перехватить.

Исследования зарубежного опыта, тестирование и анализ гипотетических ситуаций показали, что такой комбинации факторов защиты более чем достаточно на десятилетия вперед.

  • Во-первых, «терминалы» есть практически у каждого. Телефон есть даже у тех, кто ни разу в жизни не был в сети интернет.
  • Во-вторых, телефон всегда при себе. Человек может не вернуться за забытым кошельком, паспортом и даже за водительским удостоверением. Но без средства связи он остаться не может.
  • В-третьих, почти полностью исключается человеческий фактор. Полный набор данных для идентификации неизвестен никому.

Поэтому пытаться узнать хоть какую-то часть – бесполезно. Злоумышленникам придется изобретать новые методы мошенничества, и это, увы, неизбежно. Но эти методы хотя бы не будут столь примитивными и столь впечатляюще эффективными.

Единственное, от чего Mobile ID не сможет защитить, – это от передачи в чужие руки телефона и разглашения персонального кода. Если пользователь делает это по собственной воле, то защиты от подобного нет и никогда не будет.

Перспективы?

Первый, уже привычный и отчасти логичный вопрос, который вызывает технология Mobile ID: зачем изобретать новое, если у нас уже давно есть ЭЦП?

Ответ будет таким. Mobile ID не выступает конкурентом традиционной ЭЦП и не отменяет ее. Речь идет о большей гибкости, мобильности, защищенности и намного большей функциональности такого решения.

Традиционная ЭЦП в 7 случаях из 10 используется по прямому назначению – для наложения подписи на документ, что случается несколько миллионов раз в месяц. Mobile ID предназначена в первую очередь для авторизации. А эта процедура происходит несколько десятков миллионов раз в день!

Говоря о гибкости, важно понимать, что Mobile ID по желанию пользователя предоставляет ему возможность как анонимной авторизации, так и персонифицированного входа на ресурс и вплоть до обеспечения юридической значимости любых действий с помощью квалифицированной подписи.

Что касается мобильности, то любому скептику предстоит самому ответить на вопрос, что делать с сертификатом ЭЦП на USB-носителе, если телефон под рукой есть, а времени, наоборот – нет?

Mobile ID в Украине должна заработать до конца 2017 года, если верить публичным заявлениям высших лиц государства. Разумеется, этому будет предшествовать целый ряд испытаний, этапов сертификации, тендеров и тому подобное. Такая сложность процедуры диктуется особенностями алгоритмов шифрования, требованиями стандартов ЕС и т.п. В конце концов, речь идет о защите персональных данных, и здесь нельзя допустить ошибки в выборе практической реализации технологии.

Но уже сейчас очевидно, что спрос на Mobile ID со стороны бизнеса и частных пользователей неожиданно высок. Есть надежда, что такое сочетание интересов и при поддержке государства обеспечит успешный запуск этой во всех смыслах прорывной для Украины технологии.



Добавить комментарий