CC BY
47УДК.004.056.53
О. Серикулы
ДВУХФАКТОРНАЯ АУТЕНТИФИКАЦИЯ КАК МЕТОД ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Безопасность сети - ключевая проблема, стоящая перед ИТ-службами. Решение формируется из комплекса элементов, один из них -безопасная аутентификация - рассматривается в этой статье. В статье рассматривается использование двухфакторной аутентификации для защиты информации. Также в статье описываются принципы её работы, её преимущества и недостатки.
Ключевые слова: двухфакторная аутентификация, защита информации, аутентификация, одноразовые пароли, мобильные устройства.
В настоящее время Интернет стал основным способом коммуникации в нашей современной жизни. Благодаря Интернету пользователи получили возможность производить финансовые операции, меняться информацией с другими пользователями и тд. Возросшая производительность персональной техники, возможность сохранять большие объемы данных, а также повсеместное подключение к высокоскоростной сети привели к распространению хранения важной информации в интернете. Таким образом, мы понимаем, что обеспечение информационной безопасности - это важнейшая задача для любого предприятия. Помимо информации на персональных компьютерах, в защите нуждается информация, представленная сайтами и базами данных. Под защитой сайта подразумевается процесс разграничения уровня доступа к той или иной информации, в зависимости от прав у конкретного пользователя, зарегистрированного на сайте. Иными словами, предстоит аутентифицировать пользователя прежде чем давать ему доступы к определенной информации. Фальсификация личности на сегодняшний день представляет большую опасность в отношении наносимого финансового ущерба. По оценкам Zecurion Analytics за 2013 и 2014 гг., совокупные потери мировой экономики от подобных атак составили более 42 млрд долл. [1]. Традиционные процедуры аутентификации могут быть произведены с помощью:
• проверки пароля;
• аппаратного идентификатора;
• биометрии.
Аутентификация при помощи пароля наиболее распространен. Этот метод очень прост с точки зрения реализации. Считается что чем длиннее пароль, тем он более устойчив к взлому. Но даже стойкий пароль, удовлетворяющий современным требованиям безопасности, не является гарантией надежной защиты. Такие пароль имеют рядом недостатков:
>Их сложнее запомнить, поэтому пользователи будут записывать их на бумаге, которую можно будет украсть
> Длинные пароли медленно набираются, следовательно, риск их подсматривания увеличивается
> Желая упростить пароль для себя, пользователи могут использовать осмысленные слова (имена, даты рождения и т.д.)
Аппаратный идентификатор же можно потерять или украсть. Последний способ (использование биометрии) является наиболее надежным, но этот способ обладает свои недостатки. Физиологические признаки человека находятся «на виду», и существует множество способов их хищения незаметно для владельца. К примеру, существуют технологии копирования отпечатков пальцев с помощью муляжей, а также изготовление муляжей изображения лица и других биометрических признаков.
Для избегания таких недостатков большинство компаний стараются использовать многофакторную аутентификацию, то есть использовать несколько источников подтверждения подлинности. Общая схема двухфакторной аутентификации показана на рисунке 1.
Однако процесс многофакторной аутентификации не должен быть длительным и создавать неудобства для пользователей системы. Поэтому чаще всего используется два фактора для аутентификации, или же двухфакторная аутентификация. Суть двухфакторной аутентификации заключается в наличии у пользователя некоего идентификатора или одноразового кода на телефоне. Благодаря второму этапу аутентификации злоумышленникам необходимо не только знать пароль, но и завладеть смартфоном, токеном или смарт-картой для проникновения в личный кабинет, что делает более безопасными хранимые данные.
© Серикулы О., 2019.
ISSN 2223-4047
Вестник магистратуры. 2019. № 6-5(93)
Online Data
Рис. 1. Общая схема двухфакторной аутентификации
Для генерации одноразовых кодов используется алгоритм TOTP, который наследует черты его прародителя алгоритма HOTP.
TOTP (Time-based One Time Password Algorithm) — OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm) [2].
Одноразовые пароли с использованием алгоритма TOTP, несмотря на простоту, достаточно эффективны. Они позволяют генерировать новые пароли каждые 30 секунд. Пароль, не введенный в указанное время, устаревает и генерируется новый.
В генерации одноразовых паролей важное место занимает время. TOTP является устойчивым алгоритмом к криптографическим атакам, но, к сожалению, возможны и взломы. Так как не существует абсолютно защищенной системы, можно лишь усложнить способы взлома.
TOTP-алгоритм не использует счетчик для синхронизации клиента и сервера, а генерирует пароль в зависимости от времени, который действителен в течение некоторого интервала. Последовательность выполнения алгоритма следующая: клиент берет текущее значение таймера и секретный ключ, хеширует их с помощью какой-либо хеш-функции, в свою очередь сервер при получении кода проводит те же вычисления, после чего ему остается только сравнить эти значения. Он может быть реализован не только на хеш-функции SHA-1, в отличие от HOTP, поэтому хеш-функция также является входным параметром.
Также существует уязвимость, связанная с синхронизацией таймеров сервера и клиента, так как существует риск ресинхронизации информации о времени на сервере и в программном и/или аппаратном обеспечении пользователя. Поскольку TOTP использует в качестве параметра время, то при несовпадении значений все попытки пользователя на аутентификацию завершатся неудачей. В этом случае ложный допуск чужого также будет невозможен. Стоит отметить, что вероятность такой ситуации крайне мала.
Для реализации генерации одноразовых паролей, предполагается использовать мобильные устройства. Мобильная двухфакторная аутентификация имеет ряд преимуществ по сравнению с другими конструкциями. У множества пользователей имеются смартфоны, то есть не требуется никакого дополнитель-
ного оборудования или токенов. Однако этот подход также имеет свои недостатки. Пользовательские телефоны должны нести пользователи, а также иметь заряженные и в пределах досягаемости сотовой или Wi-Fi сети. Кроме того, если используются SMS, пользователь должен предоставить свой номер мобильного телефона службе, что может вызвать проблемы с конфиденциальностью.
Заключение. Обеспечение безопасности процесса аутентификации в системе критически важно. В обеспечении информационной безопасности в Интернете двухфакторная аутентификация является пока самым надежным инструментом. Предлагаемая система аутентификации позволяет добиться дополнительного уровня защиты.
Библиографический список
1. Отчёт об утечках конфиденциальной информации в 2015 году. Предварительные итоги [Электронный ресурс] // Zecurion Analytics: сайт. - URL: https://www.zecurion.ru/upload/iblock/1e5/Zecurion Data Leaks 2016 full.pdf (дата обращения: 27.03.2019).
2. Time-based One-time Password Algorithm [Электронный ресурс] // Википедия - свободная энциклопедия: сайт. - URL: http://ru.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm (дата обращения: 03.04.2019)
СЕРИКУЛЫ ОРЫНБЕК - магистрант, Международный университет информационных технологий, Казахстан.
