Двухфакторная аутентификация

Анатолий Ализар

≡ Архив | архивная статья | 01.06.2004 13:43

Чем больше сайтов используют парольную защиту, тем изобретательнее становятся методы воровства паролей, которые применяют хакеры. Традиционная система «логин-пароль», очевидно, требует усовершенствования.

Например, шведский банк Nordea PLC раздает пользователям услуг онлайн-банкинга специальные скрэтч-карты, на которых отпечатано 50 кодов, сгенерированных банковской криптосистемой. Чтобы войти в личный раздел на сайте, пользователь должен ввести национальный ID-номер (вроде нашего номера паспорта) и PIN-код из 4 символов, а также один из 50-ти кодов, отпечатанных на карте. Таким образом, карты хватает на 50 сеансов связи с банком. Как только последний код использован — банк автоматически высылает клиенту новую карточку с кодами.

Это лишь один способ так называемой двухфакторной аутентификации, которая все чаще
используется в системах, где требуется повышенная защита.

Обычная связка «логин-пароль» не удовлетворяет современным требованиям к защите транзакций. Эксперты все чаще высказывают мнение, что пароль — это конструкция из прошлого, весьма несовершенная и неудобная в использовании. Человеческий мозг не приспособлен к работе с множеством длинных паролей и PIN-кодов. К сожалению, ему гораздо проще запомнить комбинацию «1234», чем «kR7bw1Eq2W», хотя второй пароль гораздо качественнее. Десятки паролей второго типа запомнить практически невозможно, и поэтому на рынке появились даже специальные программы, которые хранят множество паролей в зашифрованном виде. Например, Symantec Norton Password Manager. Но такие программы тоже защищена одним-единственным мастер-паролем, утеря которого станет катастрофой.

Узнать же чужой пароль не составляет никакого труда. Для этого существует множество методов: кейлоггеры, которые записывают все нажатия клавиш (такие программы часто устанавливаются в интернет-кафе); программы для подбора несложных паролей; специальные вирусы; сайты, которые предлагают пользователю зарегистрироваться с одной целью — узнать его пароль и т.д.

Двухфакторная аутентификация лишена всех вышеперечисленных недостатков, и потеря пароля не является критичной. Кроме использования одноразовых паролей. Есть и другие варианты для усовершенствования парольной защиты. Например, некоторые компании раздают своим сотрудникам специальные электронные устройства или карточки, которые на основе базового пароля «на лету» генерируют временные пароли в зависимости от времени входа в систему. Таким образом, хакеру недостаточно знания пароля, чтобы войти в систему, да и потеря устройства ничего ему не даст, потому что он не знает пароль пользователя, чтобы ввести его в устройство.

Например, в настоящее время MasterCard тестирует подобную систему в Великобритании, Германии и Бразилии. Пользователь проводит смарт-картой по специальному кард-ридеру и вводит свой PIN-код, после чего получает одноразовый пароль, который принимают нескольких десятков компаний, включая Office Max и British Airways.

Системы биометрической аутентификации действуют по тому же принципу, но только один или оба пароля заменяются отпечатком пальца или изображением сетчатки глаза.

Несмотря на очевидную эффективность двухфакторной аутентификации, она до сих пор не получила должного распространения даже в банках. «Они боятся сделать первый шаг, потому что не хотят, чтобы клиенты ушли в другие банки, где сервис проще», -
говорит Авива Литан (Avivah Litan), аналитик Gartner.

Проблема еще и в том, что внедрение систем двухфакторной аутентификации — это довольно дорогостоящее удовольствие, стоимость которого пока что превышает ущерб от мошенничества даже в банковской сфере. Кроме того, пользователь легко запутается в десятках скрэтч-карточек, если каждый сервис введет подобную систему защиты. Поэтому рынок ждет, когда будет разработан единый стандарт на двухфакторную аутентификацию, и можно будет использовать одно и то же устройство/карточку для генерации паролей на всех сайтах. Например, Nordea и другие скандинавские банки уже начали сотрудничать с государственными ведомствами с целью разработки такой универсальной системы. Аналогичная работа ведется в рамках международного проекта
Liberty Alliance.

Рано или поздно пользователи станут более серьезно относиться к безопасности в интернете, по мере того как их жизнь, работа и финансовые транзакции будут все больше перемещаться в Сеть. «Чем больше добра в доме, тем лучший замок ты поставишь на дверях», — приводит аналогию Роберт Чезнат (Robert Chesnut), вице-президент по безопасности интернет-компании eBay.

комментарии(0)

разделы: Архив