Во многих статьях можно заметить упор на то, что биометрическая идентификация — это хорошо всегда, во всех случаях без всякого разбора, а пароли — прошлый век.
Давайте посмотрим, так ли это на самом деле.
Угрозы
Парольные угрозы:
1. Угроза прямого подбора пароля через интерфейс
2. Угроза подбора пароля по известному хешу, в том числе, полученному с помощью тайминг-атак
3. Перехват пароля, передаваемого по сети
4. Чтение пароля шпионской программой
5. Кража пароля с материального носителя, где он хранится, угадывание пароля или слабый пароль
6. Кража пароля методами социальной инженерии
7. Получение пароля с помощью пытки
Угрозы биометрической идентификации:
1. Угроза кражи биометрической информации с сервиса авторизации
2. Перехват биометрической информации, передаваемой по сети
3. Чтение биометрической информации с физически или программно (если возможно) взломанного устройства аутентификации
4. Кража биометрической информации с человека или, если сохранено, с носителя информации. Кража отпечатков пальцев с любой поверхности, к которой прикасался человек.
5. Считывание биометрической информации с помощью методов социальной инженерии или поддельных устройств.
6. Получение биометрической информации насильно: отрезание пальца, копирование отпечатков насильно
Для всех пунктов предполагается возможность дальнейшей подделки либо отсылкой информации вклиниванием в устройство или канал связи, либо обман датчика устройства биометрической идентификации.
Парирование угроз
Парольная защита
1. Прямой перебор через интерфейс
для локального интерфейса парируется простой задержкой при вводе.
для сетевого интерфейса парируется блокированием подключений по IP, с которых осуществляется атака
Дополнительно, сетевой интерфейс может требовать парольную аутентификацию только с компьютера, подлинность которого удостоверена сертификатом.
Таким образом, угроза неактуальна, если данные методы правильно применяются с системе аутентификации.
2. Угроза подбора пароля по известному хешу
Парируется наличием алгоритмов, обладающих свойствами устойчивости к нахождению коллизий, а так же достаточно медленных для прямого перебора (не более 10 млн. в секунду на обычном компьютере).
Радужные таблицы парируются хешированием с длинным модификатором.
Так же всё парируется длинной пароля и его случайностью.
Угроза также неактуальна при правильном парировании, хотя и требует более длинных и случайных паролей (15-18 символов минимум).
3. Перехват пароля, передаваемого по сети
Даже если шифрованная связь не установлена, пароль с клиента может передаваться с помощью хеширования с ключом по любому алгоритму, пригодному для проверки подлинности (HMAC, sha-3). Клиент и сервер обменяются своими частями синхропосылки, сервер пошлёт постоянный модификатор пароля. После этого и клиент, и сервер будут знать хеш пароля. Сервер захеширует обеими частями синхропосылки постоянный хеш пароля, а клиент сначала захеширует пароль с постоянным модификатором, после чего тоже захеширует его обеими частями синхропосылки.
Каждое сообщение в таком случае будет подписываться хешем (MAC-хешем) с ключом, равным этому хешу.
Это требует разработки нового программного обеспечения и немного большего сетевого трафика.
Если уже установлена шифрованная связь, то угроза неактуальна.
То есть, даже при нешифрованной связи, угроза неактуальна, если разработать иную систему шифрования.
4. Чтение пароля шпионской программой
Возможно парировать только если пароль вводится со специального устройства, поддерживающего хеширование как указано выше, либо если пароль вводится на само устройство, которое производит аутентификацию с помощью криптографического сертификата.
И то, и другое сейчас не распространено, но возможно.
Однако, для многих аккаунтов, угроза слабо актуальна, так как ценность аккаунта не на столько высока, чтобы заражать компьютер специально или даже искать этот пароль на уже заражённом компьютере, особенно, если пароль хранится в менеджере паролей.
5. Кража пароля с материального носителя, где он хранится, угадывание пароля или слабый пароль
1. Возможно использование защищённого носителя информации
2. Возможно использование мнемоник для запоминания пароля
3. Возможно использование шифрования для парирования непосредственного чтения с носителя информации (хранение с помощью менеджера паролей)
Таким образом, в данном случае, парирование угрозы может быть эффективным уже сейчас.
6. Кража пароля методами социальной инженерии
Парируется с помощью обучения пользователей и правильных стандартых процедур парольной защиты, используемых во всех компаниях.
Угроза парирована достаточно, хотя и не до конца.
7. Получение пароля с помощью пытки
Не парируется, за исключением случаев, когда ввод специального пароля заблокирует аккаунт или уничтожит некоторую зашифрованную информацию.
Вывод об актуальности угроз парольной защиты
Угрозы парольной защиты можно признать неактуальными в случае:
1. Пользователи обучены (осведомлены)
2. Пользователи снабжены специальными криптографическими устройствами, системы аутентификации также учитывают особенности безопасной парольной защиты
3. Используется криптографическое преобразование при передачи пароля через недоверенные системы
4. Пароли хранятся на специальных устройствах либо на защищённых компьютерах в специальных менеджерах паролей
5. Существуют аварийные пароли для уничтожения информации в случае пыток
6. Используются специально предназначенные для этих целей криптографические алгоритмы
Всё это возможно сделать.
Биометрическая аутентификация
1. Угроза кражи биометрической информации с сервиса авторизации
Парируется специальными методами, но гораздо более сложными, чем хеширование. Не всегда эти методы применяются, не до конца разработаны.
Таким образом, парирование возможно только в будущем, когда придумают рабочий и недорогой аналог хеширования биометрической информации.
До тех пор возможна кража такой информации.
Даже пароли сейчас часто хранятся в базе с недостаточно стойкими хешами, что уж говорить про более сложные способы хеширования биометрической информации: скорее всего, многие системы вообще не будут их применять.
2. Перехват биометрической информации, передаваемой по сети
Парируется шифрованием канала связи.
В отличие от пароля, здесь необходимо полноценное шифрование с проверкой подлинности с помощью электронной подписи.
Впрочем, всё это уже есть.
3. Чтение биометрической информации с физически или программно (если возможно) взломанного устройства аутентификации
Парируется с помощью мер физической и программной защиты устройств.
4. Кража биометрической информации с человека или, если сохранено, с носителя информации
Очевидно, что в некоторых ситуациях украсть информацию можно, в буквальном смысле, с мебели. Если имеется необходимый доступ к мебели, посуде, которой касался человек, и т.п., то можно украсть отпечатки пальцев.
Записывая речь человека, затем можно синтезировать звуки, который система биометрической идентификации посчитает похожими. Всё это считывание можно делать совершенно без ведома человека.
Вспомните, что сейчас есть системы, которые читают текст вслух. Их надо доработать и они смогут обманывать.
Хуже дело обстоит с рисунком сосудов сетчатки и радужки. Здесь просто так информацию не считаешь.
Угроза не парируется. Точнее, парируется только лишь более сложными системами аутентификации, которые смогут различить подделку. Однако парирование не такое уж и надёжное.
5. Считывание биометрической информации с помощью методов социальной инженерии или поддельных устройств
Представим себе, что для того, чтобы снять деньги с банкомата (или воспользоваться другим устройством), вам потребуется пройти процедуру считывания радужной оболочки.
А теперь представим себе, что это устройство фальшивое. Известно, что у нас в стране в начале 2010-х обнаруживали фальшивые банкоматы, месяцами стоящие в людных местах.
Кто сказал, что в одну из таких фальшивок не попадётся любой человек? Особенно, если ему срочно нужно будет иметь доступ к возможностям, для которых необходимо пройти считывание биометрических параметров.
Учитывая возможное повсеместное распространение технологий биометрической идентификации, такая угроза может быть чрезвычайно актуальна.
Вопрос лишь в том, как дальше ввести куда надо, скажем, рисунок радужной оболочки или сетчатки глаза. Но, я думаю, умельцы найдутся.
Кроме этого, в отличие от пароля, рисунок сетчатки глаза не сменишь. Один раз просрал — будут входить всегда, если смогут обмануть считыватель.
6. Получение биометрической информации насильно: отрезание пальца, копирование отпечатков насильно и т.п.
В отличие от пароля, человек не сможет сообщить аварийный пароль, блокирующий доступ к аккаунту (хотя сейчас только некоторые СКУД оборудованы аварийными пин-кодами на случай захвата сотрудника злоумышленниками).
Как бы ни старался человек, изменить свою биометрическую информацию он вряд ли сможет.
Однако, в отличие от пароля, который можно узнать в одном месте, а ввести в другом или удалённо, биометрическая идентификация требует человека для ввода биометрической информации (исключая отрезанные пальцы или системы подделки голоса).
Таким образом, злоумышленнику будет сложнее скрытно заставить человека пройти идентификацию, чем при парольной защите, но только в случае, если считывающие устройства расположены на территории контролируемой зоны, специально оснащены шлюзами (человек должен войти в шлюз строго один) и охраняются.
В противном случае угроза вообще никак не парируется.
Выводы по парированию угроз биометрической идентификации
Парирование угроз для отпечатков пальцев невозможно, так как современные методы считывания:
1. не отличают отрезанный палец от настоящего
2. обходятся простейшими любительскими методами
3. не требуют особых талантов для получения отпечатка пальца
4. не имеют защиты от насильственного использования пальца
Вряд ли в будущем будет намного лучше, баланс всё равно сохранится на стороне злоумышленников.
Так же, как и отпечатки, теоретически можно подделать и рельеф лица.
Вывод: отпечатки пальцев небезопасны никогда, кроме этого, опасны, если система не отличает отрезанный палец от живого
Системы аутентификации по голосу более сложны, современные системы требуют произнесения тестовой фразы, которая может быть заранее не известна злоумышленнику.
Однако, это не значит, что их нельзя обмануть.
Самые надёжные системы работают на рисунках деталей глаза. Здесь необходимо либо подделывать глаз (что, вроде бы, затруднительно), либо физически взламывать устройство считывания.
Однако, если устройство биометрической идентификации работает удалённо, то и это не проблема, так как у сервера нет никакой возможности проверить, действительно ли информация считана с человека или введена злоумышленником в специальное или взломанное устройство (либо передана по взломанному каналу связи).
Таким образом, биометрическая идентификация может работать только в условиях:
1. Наличия физически защищённого считывателя в специально охраняемом шлюзе на территории контролируемой зоны. Охранники должны знать как может выглядеть физический взлом.
2. Сам считыватель не может быть удалённым, то есть работает на территории контролируемой зоны рядом с системой аутентификации по защищённому каналу.
3. Если устройство защищает само себя с помощью биометрии, то оно может находится где угодно, но должно быть хорошо защищено от физического взлома (при попытке взлома должно уничтожаться даже в выключенном состоянии). Вряд ли это будет эффективно для гражданских устройств.
4. Недопустимо использование идентификации без считывания рисунка сетчатки глаза (насчёт радужной оболочки — не знаю)
Сравнение и выводы
Таким образом, мы видим, что биометрическая идентификация, фактически, пригодна к использованию
1. либо как усиление защиты (второй фактор аутентификации, да и то вопрос)
2, либо в очень физически защищённых устройствах, которые вряд ли будут по карману обычному человека
3. либо как устройства, работающие на территории контролируемой зоны в специально отведённых зонах. Скорее всего, как часть системы контроля доступа.
Причём в системах контроля доступа на объектах высокого риска всё равно невозможно будет избежать ввода пин-кода, так как необходимо будет иметь возможность ввести аварийный пин-код, блокирующий доступ и поднимающий тревогу.
Будущее за устройствами с пин-кодами, вводимыми с отдельной клавиатуры, которые будут отображать аутентификационную и платёжную информацию и осуществлять авторизацию с помощью паролей-ключей или асимметричного шифрования.
Однако более простые сайты будут использовать классическую парольную защиту, предполагая защищённым компьютер пользователя.
Автор: fdsc
