Исследование компании Deloitte показало, что более 90% паролей интернет-пользователей уязвимы к хакерским атакам. Действительно, в последние годы безопасность аутентификации по паролю подвергается все большему сомнению. В июне 2012 г. в публичный доступ были выложены 165 тыс. хэшей паролей от аккаунтов пользователей популярной социальной сети LinkedIn. Компания Rapid7 провела их анализ и составила небольшой отчет, в котором показала, насколько предсказуемы пользователи при выборе паролей. Из года в год в списке самых популярных паролей лидируют «password», «12345», «qwerty» и т. п.
Дело в том, что проблема не столько в самих паролях, сколько в людях, их использующих. Обычный человек просто не в состоянии помнить много длинных и устойчивых к взлому комбинаций. Другими словами, разработанные правила для создания паролей — минимальная длина, использование спецсимволов, различные регистры и т. д. — и эффективны и бесполезны одновременно. Они эффективны с точки зрения чистой теории (чем длиннее и «заковыристее» комбинация, тем она более устойчивая к взлому), но бесполезны с позиции удобства использования.
Согласно итогам исследования по компрометации данных, проведенного экспертами компании Verizon в 2013 г. (Verizon 2013 Data Breach Investigations Data Breach Investigations Report), атаки с использованием слабых паролей используются злоумышленниками очень широко.
Почти все компании, которые задумываются об угрозах безопасности, исходящих от вынужденной слабости парольной аутентификации, начинают с введения системы отправки одноразовых паролей через SMS. Этот путь прошли и Google, и Facebook, и Twitter и многие другие. Еще больше компаний используют SMS в качестве механизма восстановления доступа к аккаунту. Однако у данного решения есть как свои достоинства, так и недостатки. При всей своей простоте и доступности подобный способ имеет ненадежный и негарантированный механизм доставки секретного пароля. Никто не может гарантировать исправность мобильного телефона пользователя или его нахождение в зоне действия сети оператора. Кроме того, кто-то должен платить за отправление SMS. И, конечно, это не пользователь. Следовательно, компаниям, решившим повысить безопасность своих сервисов этим способом, придется взять на себя дополнительную финансовую нагрузку по оплате услуг оператора.
Понимание этих проблем подталкивает сервисы искать другие способы строгой аутентификации пользователей. В настоящий момент больше всего распространены программные и аппаратные генераторы одноразовых паролей. Однако и эти решения подвержены фишинг-атакам и кроме того требуют хранения «секрета» на сервере, что небезопасно в случае утечки базы пользователей. По этой же причине использовать одно устройство на разных сервисах не представляется возможным. Более продвинутым решением строгой аутентификации является использование USB-токенов с криптографией на борту. В процессе аутентификации используются асимметричные алгоритмы, что позволяет не хранить на сервере секретные ключи. Такого рода решения весьма эффективно могут работать на любых платформах, но только при наличии USB-разъема. Поэтому проблему аутентификации сегодня пробуют решить сразу с нескольких сторон. Кто-то ведет разработки в ключе биометрии, кто-то создает новые защищенные смарт-карты. И хотя созданные решения достаточно эффективны, применяются они очень ограниченно (главным образом в связи с отсутствием совместимости и поддержки во множестве существующих сервисов). Описанные проблемы заставляют крупных игроков интернет-бизнеса искать новые безопасные и универсальные решения строгой аутентификации. Именно поэтому с появлением FIDO в альянс вступили многие значимые в этой области компании.
Сообщество неравнодушных
FIDO Alliance (Fast Identity Online Alliance) — это сообщество технологических компаний, которые занимаются поиском надежного стандарта аутентификации пользователя, чтобы заменить привычные пароли. Альянс рассчитывает, что стандарт позволит людям и организациям использовать тот способ аутентификации, который покажется предпочтительным именно для них.
Альянс был создан в июле 2012 г. несколькими компаниями (Lenovo, PayPal, и др.), однако за короткий срок сумел привлечь множество сторонников со всех уголков мира. Сегодня Россия в альянсе представлена только одной организацией — компанией «Актив», занимающейся разработкой и производством
программно-аппаратных средств обеспечения информационной безопасности.
Примечательным событием в деятельности альянса стало вступление в него Google. Дело в том, что компания уже достаточно давно вела собственные разработки по усилению защиты пользователей. Результаты работы знакомы практически каждому пользователю сервисов «корпорации добра». Это одноразовые пароли через SMS, OTP-токены (отдельные физические устройства, на которые посылаются одноразовые пароли), или программный генератор одноразовых паролей «Google Authenticator». Но, несмотря на разнообразие применяемых решений, Google до сих пор продолжает активно искать новые, что свидетельствует о несовершенстве существующих.
В конце 2012 г. Google совместно с компанией Yubico провели исследовательскую работу по поиску нового решения, результатом которой стала тестовая сборка браузера Chrome, поддерживающая разработанный компаниями протокол двухфакторной аутентификации. В качестве перспективного даже рассматривалось футуристическое устройство в виде кольца с чипом NFC, однако на первом этапе использовалось аппаратное устройство компании Yubico, подключаемое по USB. Справедливости ради стоит отметить, что идея с «Кольцом Всевластия» не канула в небытие, а нашла своих фанатов на краудфандинговой площадке Kickstarter в виде проекта «NFC Ring».
Тем не менее, весной 2013 г. Google вместе с Yubico вступили в FIDO Alliance. И не просто вступили, а практически захватили власть, войдя в совет директоров альянса и создав собственную рабочую группу. Компания Yubico даже намекнула на ближайшие планы, заявив, что компания «будет частью рабочей группы, созданной Google, чтобы сосредоточиться на работе над стандартом двухфакторной аутентификации, представленным ранее в этом году». При этом разработанный открытый протокол аутентификации будет доступен в качестве отдельного предложения. Исходя из имеющейся информации, можно сделать вывод, что вступление Google в FIDO Alliance связано в первую очередь с желанием популяризации своего собственного стандарта.
Зачем это Google
Для ответа на этот вопрос потребуется немного технических подробностей. Первоначальная идея предполагала разработку универсальной системы аутентификации пользователей, где вместо пароля использовался бы программно-аппаратный комплекс. К примеру, гибридная система с USB-токеном и распознаванием голоса или NFC-чип и одноразовый пароль. Со временем идея трансформировалась и сейчас основной рабочей задачей FIDO Alliance является создание плагина для браузеров, который был бы всегда на связи с сервисом контроля данных, обеспечивая строгую аутентификацию пользователя.
На практике пользователям будет предложено два типа удостоверений FIDO: ID-ключ — уникальный идентификатор, подключенный к учетным записям пользователя в Интернете (в настоящее время эту функцию зачастую берут на себя социальные сети), и карта аутентификации. В последнем случае от пользователя потребуется выполнение определенных действий для удостоверения его личности или использование аппаратного ключа вместе с биометрическими или другими уникальными данными, подтверждающими владельца.
Для Google же главным звеном будет являться именно глобальный идентификатор, который позволит связать воедино разные учетные записи, созданные с его помощью. Именно с ним «слежка» за пользователями упростится в разы. Эксперты полагают, что технология позволит сервисам повысить адресность предоставляемой пользователю рекламы. Таким образом, для Google монетизация разрабатываемого стандарта будет обеспечена рекламой. Гипотетически возможно и использование технологии в разведывательной деятельности.
Строгая аутентификация в России
К сожалению, в России соотношение меда с дегтем в бочках и ложках традиционно противоположное. Сегодня наблюдается небольшое отставание в области защиты онлайн-аккаунтов отечественных сервисов. Дело в том, что владельцы сервисов не стремятся обезопасить своих пользователей, хотя бы в силу того, что не боятся их потерять. Максимум, на что они могут рассчитывать, — восстановления доступа через SMS. Очевидно, что активность в этом направлении должна быть подкреплена экономическими факторами, которых в России пока нет. Поэтому строгая аутентификация до сих пор остается скорее исключением, чем правилом.
Тем не менее, не все так плохо, как может показаться на первый взгляд. Решения по строгой аутентификации на веб-ресурсах в России существуют, но используются они пока только в тех сферах, где без них не обойтись. К примеру, в банковской сфере и в сфере госуслуг. В качестве примера уместно будет рассмотреть проект Рутокен Web, разрабатываемый уже упомянутой компанией «Актив» — тем самым единственным российским участником FIDO. Основная задача проекта Рутокен Web — замена небезопасной аутентификации по связке «логин-пароль» на двухфакторную аппаратную аутентификацию. В качестве первого фактора аутентификации предлагается наличие у пользователя USB-токена, а второго — знание уникального PIN-кода к нему. Как и в идее FIDO Alliance, принцип работы предполагает использование трех компонентов: аппаратного устройства, имеющего возможность осуществления электронной подписи, плагина для браузера, осуществляющего связь между USB-токеном и браузером, и серверной части, в которой реализуется проверка электронной подписи на сервере.
Однако в России существуют собственные криптографические стандарты. Как заявлено в пресс-релизе компании «Актив», участвуя в работе FIDO, компания стремится заложить в архитектуру разрабатываемого протокола возможность использования национальных криптографических стандартов и алгоритмов. Такой подход может оказаться интересен не только российским пользователям, но и пользователям в других странах, имеющих собственные требования к применению криптографии. Такая возможность модификации протокола в будущем позволит безболезненно переходить на новые более безопасные алгоритмы без замены архитектуры системы.
А где же Microsoft, Amazon и Apple?
Примечательно, что в альянс FIDO до сих пор не входят Microsoft, Amazon и Apple. Они, как и другие крупные сервисы, используют двухфакторную аутентификацию с SMS и одноразовыми паролями. Если вероятность вступления первых двух компаний в альянс существует, то по части Apple есть большие сомнения.
Дело в том, что в 2012 г. Apple купила компанию AuthenTec, специализирующуюся на сетевой безопасности и хорошо известную своими биометрическими сенсорами отпечатков пальцев. В том же году был получен патент на скрытый биометрический сенсор, что породило массу слухов о биометрической аутентификации в новых продуктах детища Стива Джобса.
Учитывая тактику Apple «сначала патентуем, потом думаем», многие восприняли эту новость скептически. Тем не менее, осенью компания анонсировала появление нового устройства со встроенным сканером отпечатков пальцев. Ожидается, что сканер будет встроен в экран устройства. Завязка на собственные устройства в построении схемы строгой аутентификации выглядит логичной для производителя оборудования. Особенно такого закрытого и бескомпромиссного как корпорация Apple, которая никогда не стремилась к поддержке общепризнанных стандартов.
Овчинка выделки стоит
Сегодня информация является, пожалуй, самым ценным ресурсом. После появления в твиттере миллиардера-инвестора Карла Айкана сообщения о том, что его структуры удерживают крупную позицию по акциям Apple и что он считает компанию недооцененной, всего за сутки курс акций Apple поднялся почти на 5%. С учетом размера компании это означает увеличение капитализации примерно на 15 млрд. долл. Но если бы доступ к аккаунту Айкана получил кто-то другой, никто не знает, куда бы качнулись акции, появись в этом твиттере ложная информация?
Взламывая чужие аккаунты, злоумышленники получают огромные возможности: от доступа к личной информации до публикации от имени мировых СМИ сообщений о смерти политиков. Доступность, целостность и конфиденциальность — основная триада информационной безопасности — утратили свою полноту. Реалии требуют внесения как минимум еще одного пункта — подтверждение авторства.