Новые методы аутентификации — угроза приватности?

Специалистам известно, что однофакторная аутентификация по паролю устарела. Да, она подходит для малозначимых систем вроде Хабра, но действительно ценные активы неприемлемо защищать подобным образом. Не бывает «надёжных» и «стойких» паролей, даже криптостойкая парольная фраза на 44 бита энтропии малополезна, если не подкрепляется другими факторами аутентификации.

Факторы аутентификации:

1. «То, что ты знаешь» (Something You Know) — например, пароль
2. «То, что ты имеешь» (Something You Have) — например, мобильный телефон или PKI-токен
3. «То, чем ты являешься» (Something You Are) — например, клавиатурный почерк или другие биометрические признаки

Многочисленные утечки баз данных с персональной информацией пользователей и сотрудников крупных организаций — лишнее тому доказательство. Согласно исследованию Data Breach Investigations Report от Verizon, причиной 81% всех взломов информационных систем и утечек данных в 2017 году стали скомпрометированные учётные записи. То есть «украденные» или «сбрученные» пароли.

Но ради безопасности и более продвинутой аутентификации приходится чем-то жертвовать. К сожалению, пострадать может приватность пользователей. Некоторые современные технологии предусматривают либо слежку за поведением людей, либо забор биометрических данных.

При некорректной реализации такие системы безопасности могут превратиться в некое подобие Большого брата, где будет практически невозможно обеспечить безопасность, сохранив анонимность.

Новые методы аутентификации

Даже последняя версия reCAPTCHA v3, которую на днях официально представила компания Google, применяет методы поведенческого анализа, то есть скрытно отслеживает действия пользователя.

С точки зрения веб-мастера система работает так: вместе со страницей пользователю отдаётся библиотека reCAPTCHA и выполняется функция grecaptcha.execute. Пользователь ничего не замечает — но с этого момента его действия начинают отслеживаться серверами Google, а владельцу сайта выдаётся оценка конкретного пользователя по шкале от 0.0 (бот) до 1.0 (человек).



На основании этой оценки можно автоматически запретить аутентификацию или другие действия на сайте. Например, к странице с вводом парольных данных допускают только юзеров с оценкой выше 0.5.



Хотя reCAPTCHA не является конкретно системой аутентификацией, но это хорошая демонстрация поведенческого анализа, продвинутого анализа рисков (advanced risk analysis) или риск-ориентированной модели аутентификации (risk-based authentication). Это популярный подход в новых системах аутентификации, которые сейчас предлагаются на рынке. Вот как поставщики описывают риск-ориентированный подход:

«Необходимость аутентификации, набор и тип факторов, требуемых для аутентификации данного клиента, определяются на основе оценки риска события и клиента «здесь и сейчас». Таким образом, процесс аутентификации адаптируется под клиента, его окружение и устройство. При высоком уровне доверия к этим факторам процедура аутентификации вообще незаметна (по сути, это просто идентификация) или минимальна для клиента. В случае выявлении риска клиент должен пройти аутентификацию с применением одного или нескольких факторов, а при высокой вероятности фрода доступ к сервисам будет полностью заблокирован».

Принцип фонового поведенческого анализа немного напоминает алгоритм работы reCAPTCHA v3.

На самом деле идея состоит в том, чтобы внедрить многофакторную аутентификацию, сохранив или даже повысив удобство для пользователей. Например, если вход в систему интернет-банка осуществляется с известного устройства, из типичного места, а система распознаёт клавиатурный почерк человека, то его могут пустить в систему вообще без пароля.

Другой пример: при платеже из личного кабинета система не запрашивает дополнительное подтверждение для стандартных операций, которые клиент уже совершал ранее. Второй и/или третий фактор аутентификации запрашиваются при новом платеже новому контрагенту. Очевидно, нестандартный платёж повышает вероятность того, что некто получил несанкционированный доступ к счёту.

Биометрия в России

Да, поведенческий анализ со скрытой слежкой за действиями пользователя кажется сомнительной технологией, но при грамотной реализации он всё-таки позволяет сохранить анонимность человека и одновременно обеспечить аутентификацию в системе. Другое дело — сбор биометрических данных, которые по своей сути предполагают отказ от анонимности.


Распечатанные на 3D-принтере маски позволяют обмануть биометрическую проверку в телефонах iPhone X

Особенное беспокойство вызывает инициатива по развёртыванию биометричской идентификации в России, где утечки баз с персональными данными граждан стали обычным делом.

На недавнем форуме инновационных финансовых технологий Finopolis 2018 рассказали, что в России «завершён этап стратегического обсуждения системы биометрической идентификации», а сейчас началось практическое внедрение этой технологии, которое займёт «не менее трёх лет».

Речь идёт о Единой биометрической системе, к которой подключаются крупные банки и другие организации РФ. На первом этапе идёт массовый сбор биометрических данных у населения, работу координирует «Ростелеком».

С официального сайта проекта:

Единая биометрическая система — это цифровая платформа для удалённой биометрической идентификации, которая позволяет предоставлять новые цифровые коммерческие и государственные услуги для граждан в любое время и в любом месте. Система создана по инициативе Центрального банка Российской Федерации и Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, «Ростелеком» — разработчик и оператор Единой биометрической системы.

Единая биометрическая система вместе с логином и паролем от Госуслуг позволяет банкам без личного присутствия гражданина открыть ему счёт, вклад или предоставить кредит. Таким образом, банки могут завершить цифровизацию клиентского пути, а граждане получили возможность оцифровать волеизъявление и дистанционно подписывать документы.

Единая биометрическая система обрабатывает два типа биометрии: голос и лицо, причем не по отдельности, а вместе. Две модальности позволяют определить «живого человека», а не имитацию его биометрии в цифровом канале.

Лицо и голос — самые доступные и распространенные технологии на сегодняшний момент. Идентификация по рисунку вен, сетчатке глаза или отпечатку пальцев требует наличия специального считывающего оборудования, недоступного в массовом сегменте. Но доступность технологий на сегодняшний день не является ограничивающим фактором для их применения в будущем. Архитектура системы позволяет добавлять и другие модальности.
…
«Ростелеком» является одним из лидеров на рынке кибербезопасности, поэтому система обеспечена высоким уровнем защиты.

Уже выпущено мобильное приложение «Ключ» для Android для удалённой идентификации клиентов банков РФ. Приложение работает в связке с аккаунтом на портале госуслуг, при этом оно сканирует голос и лицо пользователя. Судя по отзывам на Google Play, приложение работает крайне нестабильно, в том числе использует недействительный сертификат.



Вообще, сбор биометрической информации о гражданах постепенно становится нормой во всём мире. После теракта 11/09 представители 188 стран мира подписали соглашение, признавшее биометрию лица основной технологией идентификации для паспортов и въездных виз следующего поколения. В биометрические паспорта зашит чип, куда предполагается записывать отпечатки пальцев, фотографию сетчатки глаз, расстояние между зрачками и другую биометрическую информацию владельца.

Тенденции таковы, что биометрическая проверка постепенно становится стандартной процедурой, а государство берёт на себя функцию сбора и хранения биометрических данных граждан. Возможно, биометрическая проверка станет применяться и для различных интернет-сервисов.

Совершенствуя системы безопасности и аутентификации, в том числе с биометрической проверкой, важно помнить о главном:

Анонимность — базовое право человека

В мае 2015 года Совет по правам человека ООН принял документ, который прямо называет возможность анонимного использования интернета и шифрования личных данных частью базовых прав человека:

Шифрование и анонимность позволяют индивиду использовать свое право на свободу мысли и выражения в цифровую эру и должны тщательно охраняться.

Повсеместное внедрение биометрических паспортов началось после терактов 11 сентября. С тех пор ситуация с приватностью заметно ухудшилась под предлогом борьбы с терроризмом. В ООН отметили, что анонимность в интернете может быть применена злоумышленниками в том числе для организации терактов, но с тем же успехом преступления могут совершаться с помощью других каналов связи. Из-за ограниченного числа преступников нельзя отказывать в базовом праве всем остальным людям, считают в организации.

Другими словами, при внедрении продвинутых систем аутентификации и биометрических проверок важно не выплеснуть с водой и ребёнка, то есть обеспечить надлежащую защиту персональных данных пользователей, тем более их биометрической информации.

---