Василий Мамаев
Независимый эксперт по биометрическим системам
На предприятии, где я работал, главный бухгалтер имел ключ доступа (флешку) с электронной цифровой подписью, которой пользовался для отправки в вышестоящие инстанции отчетной бухгалтерской документации. Конечно, по правилам передавать эту флешку другим сотрудникам нельзя, но главбух имеет право на отгул, болезнь, его могут вызвать на совещание, а бухгалтерский процесс непрерывен: начисление зарплаты и закупка материалов останавливаться не должны. Ничего не оставалось, как отдавать флешку доверенным сотрудникам, благо все равно допустить ошибку было очень трудно, поскольку контроль за финансовой деятельностью велся постоянно.
Главное то, что электронная подпись обеспечивала достоверную передачу информации по незащищенным каналам связи и отсутствие противоправных действий со стороны третьих лиц.
Главбух мог довериться своим сотрудникам, поскольку работал с ними не один год и знал всех досконально, тем более что отчетные документы они сами и готовили, но не на всех предприятиях и видах работ такую возможность упрощения своей жизни можно допускать. Оборонные предприятия, опасные производства, обработка драгоценных материалов - все это требует проверки личности, которая на настоящее время приводится по принципам
Очевидно, что только биометрия позволяет точно сказать, что человек на другом конце линии связи - это тот, кто там должен быть.
Биометрические системы становятся совершеннее год от года, процесс улучшения распознавания биометрических характеристик продолжается, достигнутые вероятности ошибок, связанных с пропуском нарушителя, составляют 10-6 и менее, но (!) все равно остаются вероятностными характеристиками. Даже анализ ДНК дает самый точный, но вероятностный результат1. Кстати, если посмотреть на значения вероятности, которая практически полностью определяет родство человека по ДНК, то она составляет 10-8 и менее, что находится не так далеко от возможной идентификации личности по другим биометрическим характеристикам (лицо, отпечаток пальца/ладони, радужная оболочка глаза, голос, сосудистое русло кисти руки).
Эти проценты – принципиальная возможность ошибиться в том, что там, где вы ждете, находится именно нужный вам человек.
В Интернете есть ролики, показывающие, как обмануть биометрическую систему – можно сделать пластиковый муляж пальца, предъявить фотографию проверяемого лица и постараться обойти проверку системы по биометрическим характеристикам. Однако надо отметить, что выполнить хорошую подделку не так просто, поскольку разработчики биометрических систем проводят постоянную работу по защите от обмана
Системы контроля доступа становятся все изощреннее, но и те, кто хочет их обойти, тоже придумывают свои способы обхода. В статье "Алгоритмы повышенной защиты доступа и способы народной борьбы с ними"2 приводится пример, как солдаты срочной службы, имея массу свободного времени, обнаружили способ прохода через биометрический шлюз с поочередно открывающимися дверями и входом-выходом из него по карте. Им понадобился всего месяц, чтобы обнаружить, что шлюз можно открыть, поднося карты синхронно с двух сторон шлюза и в пределах короткого времени открывая ручки замков. После такой манипуляции обе двери шлюза оставались открытыми, что они и продемонстрировали разработчику системы. В Интернете есть ролики, показывающие, как обмануть биометрическую систему – можно сделать пластиковый муляж пальца, предъявить фотографию проверяемого лица и постараться обойти проверку системы по биометрическим характеристикам. Однако надо отметить, что выполнить хорошую подделку не так просто, поскольку разработчики биометрических систем проводят постоянную работу по защите от обмана.
Объекты повышенной важности, а также удаленные ресурсы должны быть защищены надежными способами. Рассматривая варианты, разработчики систем безопасности предложили использовать многофакторную идентификацию, предусматривающую сразу несколько проверочных ступеней.
Здесь необходимо сделать отступление и привести термины, определяющие основные понятия:
Считается, что наиболее надежным и простым средством обеспечения доступа является токен – компактный ключ доступа с интегрированным чипом Smart-карты3. Токены, реализованные на основе Smart-карт, позволяют генерировать и хранить ключи шифрования, обеспечивая тем самым строгую аутентификацию при доступе к компьютерам, данным и информационным системам. Однако, как я рассказывал в начале статьи, его можно передать другому человеку, что приводит к необходимости вводить дополнительные меры контроля.
Многофакторная, или расширенная, идентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и других решений для конечных пользователей
Казалось бы: а давайте сделаем токен с биометрией и решим все проблемы. Тем более, что эта задача технически вполне может быть решена4 (рис. 1). Однако и здесь есть некоторые проблемы, одна из которых та, что наиболее просто сделать токен со считыванием отпечатка пальца, но датчики съема отпечатков пальцев в таких размерах показали свою низкую надежность работы. Необходимо вспомнить и тот фактор, что у некоторого процента людей отпечатки пальцев идентифицируются достаточно тяжело5. Распознавание многих групп людей по отпечатку пальца также затруднено, особенно это касается работников физического труда, людей со слабо выраженными и стертыми папиллярными узорами, с дерматологическими дефектами, а также пожилых людей с сухой кожей. Кроме того, "простые" биометрические сканеры из-за постоянного контакта с пальцами часто загрязняются.
Внедрение многофакторной идентификации - способ защититься от попыток взлома. Приказ ФСТЭК от 11 февраля 2013 г № 17 прямо требует проведения двухуровневой проверки6.
Но внедрение многофакторной идентификации требует дополнительных затрат. Особенно это проявляется в социальном секторе - не все пенсионеры могут себе позволить купить токен с биометрией, да и потерять его при условии редкого пользования им достаточно просто.
Другое дело сотовый телефон - для всех категорий граждан (в том числе для пенсионеров) он стал незаменимой вещью, находящейся постоянно при владельце.
Мы уже научились пользоваться программами в смартфонах, которые обеспечивают нам доступ к банковским сервисам, и привыкли, что данные сервисы при двухфакторной идентификации - пароль доступа к приложению и пароль по СМС - обеспечивают надежность работы сервисов банка.
Многофакторная, или расширенная, идентификация уже сегодня применяется рядом российских компаний в сфере финансов при создании сервисов интернет-банкинга, мобильного банкинга, файлообмена и других решений для конечных пользователей7. Она основана на совместном использовании нескольких факторов (знаний, средств или объектов хранения одной из информационных составляющих легитимной процедуры аутентификации), в том числе биометрической идентификации, что значительно повышает безопасность использования информации, по меньшей мере, со стороны пользователей, подключающихся к информационным системам по защищенным и незащищенным каналам связи
В качестве примера может послужить процесс двухфакторной идентификации пользователя, реализованный рядом российских банков: вход в личный кабинет пользователя посредством сети Интернет возможен после ввода пароля на странице, после чего (в случае подтвержденной правомерности) следует передача одноразового пароля (в виде SMS) на мобильный телефон, ранее зарегистрированный пользователем. Однако и здесь присутствует тот же недостаток: телефон может оказаться у другого лица. И здесь опять необходимо применять средства аутентификации, и в том числе биометрической идентификации. Телефон с мультимодальной биометрией, например голос и лицо, позволяет идентифицировать личность человека и серьезно затруднить попытки несанкционированного доступа к банковским сервисам.
У двухфакторной идентификации или аутентификации есть еще один недостаток - сложность применения. Не всегда пользователю удобно иметь токен, вводить два пароля, предъявлять свои лицо и голос. Вроде бы это все при нас и запоминать пароли почти не надо, но возникает вопрос: а может быть, есть что-нибудь еще проще? Ведь мои биометрические характеристики всегда со мной и, может быть, есть механизм их постоянной оценки и использования при необходимости? У человека достаточно много биологических характеристик, и среди них есть такие, которые можно отслеживать постоянно, например пульс, давление, влажность кожи, параметры движений и походки и др. Направления исследований по этим темам начинают развиваться, и их применение с учетом успешного внедрения биометрических систем может быть актуально
Потенциал биометрии не использован до конца. И если мы сейчас понимаем, что без биометрии не обойтись, то на первое место выходят такие факторы использования, как удобство в применении, надежность в работе и, главное, защита от возможных нарушителей.
___________________________________________
1 Оценка результатов ДНК-анализа для решения вопросов идентификации личности, см.: Ракитин В.А., Корниенко И.В. // Материалы VI Всероссийского съезда судебных медиков. – М. – Тюмень, 2005. – С. 239–241. https://ru.wikipedia.org/wiki/Аутентификация_по_радужной_оболочке_глаза.
2 http://www.aktivsb.ru/statii/algoritmy_povyshennoy_zashchity_dostupa_i_sposoby_narodnoy_borby_s_nimi.html.
3 "Современные методы аутентификации: токен и это всё о нем! https://aladdin-rd.ru/company/pressroom/articles/a0d8c4f0-16de-4780-a77b-54696640f7cb.
4 "Создано кольцо, которое заменит ключи и банковские карты" http://24hitech.ru/sozdano-kolco-kotoroe-zamenit-kluchi-i-bankovskie-karty.html.
5 "Биометрические методы идентификации личности: обоснованный выбор и внедрение" https://www.itweek.ru/security/article/detail.php?ID=70964.
6 Приказ ФСТЭК от 11 февраля 2013 г. № 17 "Об утверждении требований о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах".
7 "Многофакторная (двухфакторная) аутентификация" http://www.tadviser.ru/index.php/ Статья: Многофакторная_(двухфакторная)_аутентификация#cite_note-2.
Опубликовано: Журнал "Системы безопасности" #5, 2017
Информация и фото с http://lib.secuteck.ru/articles2/sys_ogr_dost/mnogofaktornaya-biometricheskaya-identifikatsiya