Непарольная идентификация – вот один из главных трендов информационной безопасности последние пару-тройку лет. Смартфоны и ноутбуки, проверяющие отпечаток пальца пользователя уже достаточно распространены. Однако инженеры компьютерных компаний без устали изобретают все новые альтернативы традиционным паролям. В этой статье я разберу большинство таких альтернатив – и попутно их покритикую.

Традиционные, привычные всем пароли постепенно уходят в прошлое, так как сегодня они уже не обеспечивают должного уровня защиты данных. Конечно, чтобы войти в свой почтовый ящик или социальную сеть мы и сегодня практически всегда используем обычный пароль – как и в начале 90-х. Однако новые интернет-сервисы, прежде всего финансовые, требуют дополнительной защиты. Например, для подтверждения транзакций в мобильном или интернет-банке, для удаленного доступа к корпоративной сети и т.д. Для таких систем стандартные текстовые пароли оказываются слишком ненадежным способом авторизации. Тем более сегодня, когда сообщения об утечках подобных данных поступают как минимум каждую неделю.

Двухфакторная аутентификация

Очень распространенный в последнее время способ надежно идентифицировать пользователя в каком-либо онлайн-сервисе. У пользователя запрашивают аутентификационные данные двух разных типов. Суть подхода такова: чтобы сделать некое действие или куда-то войти, требуется дважды подтвердить тот факт, что вы – это вы. При этом используются два «ключа»: одним из них пользователь владеет в физическом плане, а второй – держит в памяти.

На практике это обычно выглядит так: на первом этапе запрашивается логин и пароль, на втором – требуется ввести специальный код, присылаемый по SMS или электронной почте. Именно так сегодня, к примеру, происходит замена пароля или пользовательских данных в Gmail и многих других сервисах электронной почты.

Намного менее распространены (но тоже нередко используются) корпоративные системы двухфакторной аутентификации, в которых на втором этапе защита запрашивает специальный USB-ключ или биометрические данные пользователя. Все это обеспечивает «двухслойную» – соответственно, более эффективную защиту аккаунта от несанкционированного проникновения.

Проблем тут, впрочем, хватает. Во-первых, скорость. На практике для использования двухфакторной аутентификации нужно как минимум несколько минут – в нашем быстростремительном мире это может оказаться неоправданной роскошью. К тому же попытку войти таким путем могут «обломить» проблемы со связью – например из-за них, по SMS не придет код верификации – и что тогда делать? Или мобильник потерян/украден, а пользователь еще не успел обзавестись новым? Или злоумышленники специально украли мобильник, чтобы преодолеть барьер двухфакторной защиты? В общем, это, конечно, хороший способ, но не очень удобный и точно не панацея от «угона» аккаунта.

Отпечаток пальца

Теперь переходим к биометрическим методам аутентификации. Из них самый сегодня распространенный – это идентификация пользователя по отпечатку пальца. Она уже остаточно давно применяется в IT-индустрии – например, в линейке офисных ноутбуков HP ProBook. Признаюсь, я сам едва не купил такой – но потом все же выбрал модель ProBook без сканера отпечатков – при работе дома он без надобности. А работал бы я в офисе – там он наверняка оказался бы востребован.

Среди широкого круга потребителей более известна технология сканирования отпечатков пальцев смартфонами. Популяризировать и широко внедрить эту технологию в мобильных аппаратах первой смогла корпорация Apple. Сегодня Touch ID используется не только для простой разблокировки смартфона, но и для совершения покупок в App Store или пользования сервисом Apple Pay. Многие банки и платежные системы также рассматривают возможность перехода на дактилоскопический сканер в качестве способа аутентификации.

Но и здесь хватает недостатков и проблем. Вы ездили в страны Шенгенской зоны в последние пару месяцев? То есть после того, как при выдаче шенгенских виз ввели биометрическую идентификацию по отпечатку пальца. Я – ездил. И видел, сколько времени на границе занимает эта самая проверка отпечатков пальцев для обладателей «биометрических» виз (мне повезло получить шенген раньше). Так вот: примерно в каждом втором случае сканер отпечатков сбоит, сканирование приходится повторять. Очередь, нервы, опаздывающий автобус…

Есть и проблема более «глобальная». Критики того же Touch ID справедливо замечают, что через свой сервис Apple попросту собирает базу данных отпечатков людей по всему миру. А используемые в смартфонах технологии не слишком совершенны – и в одном случае из 50 тысяч позволяют авторизоваться совсем другому человеку (немного, но…). Наконец, отпечатки пальцев уже научились подделывать, причем это оказалась совсем недорогая технология.

Радужная оболочка

Сканирование радужной оболочки глаза считается одной из самых перспективных технологий биометрической аутентификации, поскольку «радужка» столь же уникальна, как и отпечаток пальца. Пока она используется в основном в стационарных системах ограничения доступа – скажем, в здании, – все наверняка видели это в многочисленных голливудских фильмах. Теперь на повестке дня – адаптация технологии для мобильных устройств. Этим, в частности, активно занимается платежная компания Visa, которая работает над прототипом сканера радужной оболочки глаза, который будет использоваться в сервисе онлайн-платежей Visa Checkout.

Пока сканирование радужной оболочки считается одним из самых надежных методов идентификации, обмануть который слишком сложно – хотя работы ведутся…

Замечу, однако, что у всех биометрических методов вместе взятых есть один общий недостаток. Если базу данных с «биометрией» украли, то это очень большая проблема. Когда украдена база паролей, пользователь может изменить свой пароль всего за пару минут. Отпечаток пальца или «радужку» так быстро не изменишь – придется ждать реинкарнации в новом теле.

Ухо

Еще один перспективный способ идентификации пользователя – форма уха у каждого человека тоже уникальна. А смартфон мы подносим именно к уху (если гарнитурой не пользуемся). Так что стоит ожидать появления приложений, которые будут с использованием фронтальной камеры идентифицировать владельца смартфона именно по форме его уха.

Селфи

Идентификация личности пользователя с помощью селфи – это уже технологическая инициатива платежной компании MasterCard. Такая система также использует фронтальную камеру. Чтобы авторизоваться, пользователю потребуется лишь подмигнуть. Далее приложение сопоставит изображение со снимком-«образцом», сделанным ранее, и решит: может ли пользователь совершить ту или иную транзакцию.

Хотя тут, конечно, масса сложностей. Например, вид лица очень варьирует в зависимости от условий освещения, присутствия шапки или очков, состояния здоровья, наличия макияжа, взросления и старения человека. Как показывает практика, по причине тряски смартфона/планшета или неудачного освещения Android-приложения по идентификации личности дают сбой в 30-40% случаев.

Голос

Разумеется, голос человека очень индивидуален. И существует масса софта, который его замечательно анализирует. Отсюда и предложение: программа выводит на экран некую фразу, пользователь ее зачитывает в микрофон, – и получает доступ.

Но на голос, его тембр и прочие характеристики все же влияют многие факторы, начиная от простуды и заканчивая стрессом. Да и сторонние шумы никто не отменял. Наконец, взломать такую систему можно при помощи цифрового диктофона, соответствующего ПО, профессионального пародиста и т.д. Некоторые из проведенных исследований показывали: софт, преобразующий голос, мог обмануть проверку в 17% случаев.

Биение сердца

Еще один индивидуальный показатель. К тому же сенсор, считывающий пульс и определяющий «рисунок» сердцебиения, очень легко встроить в смартфон – как их сейчас встраивают в фитнес-браслеты.

Однако сердцебиение сильно варьируется в зависимости от времени суток, физических нагрузок, стресса, настроения и т.д. Не очень надежный фактор для аутентификации.

Мозговые волны

Электромагнитное излучение мозга также является уникальным для каждого человека, что позволяет использовать его для персональной идентификации. Принцип этого метода основан на реакции мозга на определенные сочетания слов. Специальные датчики считывают мозговые волны и предоставляют доступ, нарисовав неповторимую картинку мыслительных процессов.

Однако проблема в том, что мозговые волны тоже очень вариативны – тут, в отличие от отпечатков пальцев, не бывает двух одинаковых картинок. А стресс, время суток, усталость и другие факторы еще больше смазывают картину. Так что пока даже самые лучшие системы подобной идентификации показывают точность не выше 94%.

Манера печати на клавиатуре

Вот вам еще одна вполне индивидуальная черта. Специфический набор характеристик печати каждого человека также может заменить стандартный ввод пароля. Индийские ученые из Инженерного колледжа города Ченная создали алгоритм, который сопоставляет скорость печатания, продолжительность нажатия клавиш и паузы между нажатиями. Программа набирает определенную статистику, после чего эта статистика обрабатывается и закрепляется за пользователем, служа его идентификатором.

Но и тут возможны ошибки: любой журналист знает, что в усталом или «взвинченном» состоянии он работает за клавиатурой совсем не так, как в спокойном.

Эмотиконы

В этой технологии используется тот факт, что многие люди относятся к т.н. «визуалам» – они лучше запоминают визуальные образы, чем символьные. Принцип работы такой системы похож на работу с обычным паролем, только вместо букв и цифр пользователю предлагаются эмотиконы (смайлики), которые следует поместить в поле для ввода пароля.

Эту технологию предложили британские инженеры из компании Intelligent Environments: пользователь для получения доступа должен последовательно поместить в соответствующие ячейки четыре изображения из предложенных в наборе 44-х. То есть количество возможных вариантов составит более 3,5 млн против 10 тыс. вариантов четырехзначных паролей из цифр.

Недостатки: ну вот лично я, например, не визуал. И цифры с буквами запоминаю лучше, чем картинки.

Электромагнитные татуировки

Очень нестандартный, но довольно надежный метод. Пользователю делают татуировку (можно невидимую) специальными магнитными частицами – и уникальный рисунок становится «паролем», который считывается специальным сканером. Эта методика немного похожа на вживление пассивного радиочипа. Однако тут возникает проблема, сходная с «биометрической»: как в случае необходимости быстро «сменить пароль». Да и украсть такой пароль можно, например, незаметно просканировав человека.

Вживленный чип

Ну, про это мы уже слышали не раз. Правда, тут вот платежная компания PayPal предлагает более оригинальный вариант – проглотить специальный микрокомпьютер, который будет анализировать пульс, состав желудочного сока и прочую внутреннюю биометрическую информацию. Ребята явно начитались Уильяма Гибсона.

Корпоративный сектор

Все технологии, которые я рассмотрел, ориентированы прежде всего на широкий круг пользователей потребительских сервисов и устройств. В корпоративном сегменте для доступа к ПК, интернет-ресурсам, корпоративным и VPN-сетям традиционно используются не столько они, сколько немного другие технологии. Такие, например, как USB-ключи и смарт-карты, а также генераторы кодов (в виде брелока с кнопкой и небольшим экранчиком), технология SecureID и некоторые другие специфические технологии. К примеру, TAN-пароли (TAN, Transaction Authentication Number – аутентификационный номер транзакции). Это старый, но эффективный метод: пользователю выдается лист бумаги с заранее сформированным списком одноразовых паролей. Они вводятся один за другим при каждом входе в систему и/или совершении транзакции.

Впрочем, обо всех этих «корпоративных» методах я напишу как-нибудь в другой раз.

Виктор Демидов