CC BY
32УДК 044.77
Новиков А. Л.
магистр, студент образовательной программы
«Компьютерные системы и сети» Национальный исследовательский университет «Высшая школа экономики», подразделение «Московский институт электроники и математики
им. А.Н. Тихонова» (г. Москва, Россия)
ОРГАНИЗАЦИЯ МНОГОФАКТОРНОЙ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ В КОРПОРАТИВНОЙ СЕТИ
Аннотация: существует множество вариантов обхода защиты корпоративной сети, в особенности, если аутентификация пользователей в данной сети - однофакторная. Многофакторная аутентификация, в свою очередь, позволяет добавить дополнительные уровни защиты и заметно усложнить любые попытки нарушителя получить доступ к данным компании. Объектом исследования является проведение тестирования разработанной системы многофакторной аутентификации, анализ уровня сложности пароля и токена, необходимого для обеспечения надежного входа в систему. Раскрываются проблемы, связанные с расчетом вероятности успешной атаки методом подбора пароля. Были изучены отечественные и зарубежные научные источники по теме надежной аутентификации пользователей. В результате установлено, какими характеристиками должна обладать разработанная система аутентификации. Практическая значимость заключается в применении разработанной системы на реальной практике, например, в небольшой корпоративной сети с установленными веб-серверами и серверами баз данных внутри офисного здания.
Ключевые слова: аутентификация, сетевые технологии, brute-force атаки, кибербезопасность, авторизация.
Вступление
Актуальность работы заключается в обеспечении сохранности данных в корпоративной сети с помощью многоуровневой системы аутентификации. Данная система должна подразумевать не только наличие пароля у пользователей сети, но и безопасную передачу данных между сетевыми устройствами, например, маршрутизаторами и коммутаторами. Кроме того, для входа пользователей в сеть могут потребоваться дополнительные меры безопасности, в совокупности образующие систему многофакторной аутентификации.
Стандарт «ГОСТ Р ИСО/МЭК 15408-1-2002» [1, С. 9], внесённый Гостехкомиссией России 1 апреля 2004 года, описывает связь между основными субъектами и объектами обеспечения безопасности. В стандарте отмечается, что безопасность, в первую очередь, является защитой активов от угроз. Разработчики стандарта утверждают, что необходимо учитывать все виды угроз, но в области безопасности наибольшее внимание следует уделять угрозам, связанными с действием человека. Ниже представлена взаимосвязь между высокоуровневыми концепциями безопасности (Рис. 1).
Рис. 1. Понятия безопасности и их взаимосвязь
В процессе исследовательской работы была создана система многофакторной делегированной аутентификации пользователей, обеспечивающая защищенный доступ пользователей к данным в корпоративной сети. В качестве основной проблемы исследования выступали анализ уровня защищенности разработанной системы аутентификации и изучение возможностей ее модернизации.
Обзор литературы
Виды аутентификаций. Аутентификация охватывает множество различных областей «гиперсвязанного мира», включая онлайн-платежи, связь, управление правами доступа и т. д. В исследовательской работе [2, C. 2] анализируется информация об эволюции систем аутентификации в сторону многофакторной аутентификации, начиная с описания однофакторной аутентификации, затрагивая схемы двухфакторной аутентификации. Кроме того, в данной работе утверждается, что многофакторная аутентификация будет использоваться непосредственно при взаимодействии с человеком, обеспечивая быструю, удобную и надежную аутентификацию для доступа к сервисам корпоративной сети.
Аутентификация остается фундаментальной защитой от несанкционированного доступа к устройству или любому другому конфиденциальному приложению как в автономном, так и в онлайн-режиме. Раньше транзакции удостоверялись прежде всего физическим присутствием, например, с помощью восковой печати. Ближе к настоящему времени, с развитием технологий стало понятно, что валидация, основанная только на идентификации отправителя, не всегда адекватна и достаточно безопасна.
Первоначально для аутентификации субъекта использовался только один фактор. К тому времени однофакторная или же односторонняя аутентификация (single-factor authentication, SFA) использовалось практически повсеместно из-за ее простоты и удобства для пользователя [3, C. 16]. В качестве примера можно привести использование пароля или PIN-кода для подтверждения владения
идентификатором пользователя. Судя по всему, это самый слабый уровень аутентификации. Поделившись паролем, можно немедленно скомпрометировать учетную запись. Более того, неавторизованный пользователь также может попытаться получить доступ, используя перебор по словарю, радужные таблицы поиска или методы социальной инженерии. Как правило, при использовании этого типа аутентификации учитываются минимальные требования к сложности пароля.
Мировой IT-рынок быстро пришел к осознанию того, что аутентификация только с одним фактором не может обеспечить адекватный уровень защиты из-за ряда угроз безопасности. В качестве следующего шага в развитии системы аутентификации была предложена двухфакторная аутентификация (two-factor authentication, 2FA), которая объединяет репрезентативные данные (комбинацию имени пользователя и пароля) с фактором личного владения, например, смарт-картой или телефоном [4, C. 6]. Сегодня доступны три типа факторных групп для подключения человека с установленными учетными данными:
- фактор знания - фактор известный пользователю, например, пароль;
- фактор владения - то, чем владеет пользователь, например, смарт-карты, смартфоны или другие токены;
- биометрический фактор - то, чем является пользователь, например, биометрические данные или модель поведения.
Впоследствии была предложена многофакторная аутентификация (multi-factor authentication, MFA) для обеспечения более высокого уровня безопасности и облегчения непрерывной защиты вычислительных устройств, а также других критически важных сервисов от несанкционированного доступа за счет использования более двух категорий учетных данных. По большей части MFA основан на биометрии, которая представляет собой автоматическое распознавание людей на основе их поведенческих и биологических характеристик [5, С. 695]. Этот шаг обеспечил повышенный уровень безопасности, поскольку от пользователей требовалось представить
доказательства своей личности, которые зависят от двух или более различных факторов. Развитие методов аутентификации от однофакторной до многофакторной продемонстрирована ниже (Рис. 2).
Рис. 2. Развитие методов аутентификации от однофакторной до многофакторной
Brute-force атаки. Кроме того, в научной работе [6, C. 5] авторы разрабатывают систему многофакторной аутентификации пользователей в рамках мобильного приложения. Авторы оценивают систему с точки зрения простоты и производительности против различных типов атак. Система случайным образом выбирает два из трех этапов аутентификации, которые необходимо пройти для успешного входа в систему. На первом этапе пользователь выбирает правильный шаблон ячеек из сетки ячеек. На втором этапе пользователь выбирает пять символов из десяти в соответствии с числовым кодом, созданным при регистрации. Последний этап представляет пользователю два контрольных вопроса, на которые он должен ответить. Кроме того, авторы математически оценивают систему, чтобы измерить ее устойчивость к атакам методом перебора (brute-force).
Предполагая наихудший сценарий атаки методом перебора, пытающийся использовать все комбинации каждые 120 секунд путем захвата набора символов, присутствующего в сетке, вероятность будет очень низкой. Комбинации по вероятности связаны с выбором определенного количества элементов из большего набора и перестановкой, когда порядок имеет значение. Перестановки могут допускать повторение. Чтобы вычислить общее количество перестановок с повторениями, авторы используют формулу пг, где n - общее
количество элементов, а r — количество элементов в выбранном шаблоне или коде доступа. Вероятность для первого этапа рассчитывается по формуле:
р = ^ = (2-Г (1)
(п-г)!
В результате работы, авторы построили общую вероятность для обоих этапов, зафиксировав общее количество ящиков на уровне n = 36 и варьируя количество ящиков, которые можно выбрать r. По мере увеличения количества выбранных ящиков вероятность будет уменьшаться, однако при выборе восьми общая вероятность для обоих этапов равна 2,7* 10-17. Предполагая, что машина работает со скоростью атаки 1 миллиард клавиш в секунду, авторы выяснили, что для взлома пароля потребуется 1,17 года.
Виды токенов для аутентификации. Учитывая тот факт, что в данной статье рассматривается непосредственно аутентификации пользователей в корпоративной сети относительно небольших размеров, то наиболее приемлемым фактором аутентификации пользователей, учитывая наличие пароля, будет аутентификация по программному токену. Программный токен подразделяется на несколько видов:
1. One-Time Password (OTP) - одноразовые коды, которые пользователь должен вводить один раз за все время работы, т.е. после ввода такой токен обычно удаляется.
2. Hash-based one-time password (HOTP) - одноразовые коды на основе счетчика входа; в данном случае сгенерированный код действителен до тех пор, пока пользователь не запросит другой код, и он (код) не будет проверен сервером аутентификации, при этом генератор создания OTP и сервер синхронизируются каждый раз, когда код проверяется и пользователь получает доступ.
3. Time-based one-time password (TOTP) - одноразовый код на основе времени; Начальное значение для TOTP является статическим, как и в случае
HOTP, однако, коды в данном случае изменяются с истечением времени, заданного в настройках сервера.
Авторы исследовательской статьи [7, С. 132] рассмотрев структуру HOTP и TOTP токенов, пришли к выводу, что TOTP токены являются наиболее подходящими для обеспечения безопасной аутентификации пользователей в сети, так как в структура TOTP токена является модернизированной версией структуры HOTP, т.е. алгоритм, который используется в HOTP имеется и в TOTP. Но при этом необходимо учитывать, что проверяющий сервер должен быть в состоянии справиться с потенциальным сдвигом во времени при загрузке токенов TOTP, чтобы свести к минимуму любые потери/ошибки при передаче данных (кода) пользователю. Также стоит отметить, что отправка одноразовых кодов зависит от некоторых внешних факторов, таких как широкополосное покрытие (для SMS и звонков) и интернет-соединение (для электронной почты или приложений для обмена сообщениями), и в случае, если у пользователя отсутствует перечисленное, значение токена не придет на устройство пользователя, и он не сможет ввести код и подтвердить свою личность.
Методы исследования
Описание системы аутентификации. Проанализировав информацию из вышеупомянутой статьи, можно сделать вывод о том, что TOTP токены является самым подходящим для данной работы, так как сеть располагается в одном офисе. Кроме того, приложение, которое будет загружать коды для аутентификации пользователей, не требует подключения к глобальной сети (выхода в Интернет), что уменьшает вероятность удаленного хищения данных пользователей. Пользователями в данном случае выступают работники офиса. Общий алгоритм работы разработанного временного токена представлен на рисунке 3.
Рис. 3. Алгоритм процесса работы временного токена
В качестве проверки корректности делегированной аутентификации пользователей, было создано две простых веб-страниц. Вход пользователей в систему происходит на главной странице веб-сервиса, и панель входа состоит из трех полей:
- usemame - идентификатор работника офиса (например, PID 101);
- password - пароль для входа в аккаунт, состоит из 8-ми английских букв, из строчных и прописных;
- token - шестизначный временной код для подтверждения входа (персонал с правами администратора имеет восьмизначный код).
Все необходимые данные пользователей (PID, пароль и параметры токена) задаются на рабочей панели администрации. Администратор выставляет необходимые параметры (например, время до смены токена). Для загрузки временных кодов используется приложение «HelloID Authenticator». Кроме того, каждый пользователь имеет OTP, которым он может воспользоваться в случае неисправности приложения. Пример с выставленными данными в панели аутентификации представлен на рисунке 4. Данная система может значительно
обезопасить данные в корпоративной сети от попыток злоумышленников удаленно авторизироваться в корпоративной сети. При этом работники офиса будут иметь неограниченное число ввода паролей, что снижает количество повторных запросов новых паролей.
Форма для аутентификации
Имя пользователя:
PID101
Пароль:
Токен:
I 382902)
Забыли пароль?
Рис. 4. Главная страница с панелью аутентификации
Предотвращение brute-force атак. Пароль - это, в первую очередь, набор символов, который (при отсутствии ограничений на ввод) можно определить перебором всех возможных комбинаций, например, удаленная программа работающий на основе brute-force. Не смотря на наличие постоянно меняющегося токена TOTP, у каждого пользователя системы также имеется экстренный одноразовый токен OTP, который он может ввести в случае утраты/неисправности приложения для TOTP.
Для стандартной клавиатуры можно воспользоваться правилом комбинаторики «размещений с повторением», т.е. число различных размещений с повторениями из n элементов по к равно:
А* = пк, (2)
Из формулы 1 число повторений n необходимо заменить на сумму всех возможных символов и получить формулу количества комбинаций для стандартной клавиатуры в следующем виде:
S = (Cl + Cu + Cn + CS)N, (3)
где:
1) S - количество возможных комбинаций;
2) Cl - количество срочных букв;
3) Cu - количество прописных букв;
4) Cn - количество чисел;
5) Cs - количество специальных знаков (например, «!», «#»);
6) N - количество символов в пароле
Таким образом, при использовании всех возможных символов на английской клавиатуре и заданном пароле на 6 символов по формуле 1 можно рассчитать следующее количество возможных комбинаций: S = (26+26+10+33)-6 = 735 091 890 625. Итак, можно сделать вывод, что для подбора пароля, включающего в себя все 4 вида символов, удаленной программе потребуются сутки, и за это время сетевой администратор, скорее всего, успеет распознать угрозу и закрыть сессию.
Однако, у пользователя могут возникнуть проблемы при запоминании и ввода пароля, включающего в себя специальные знаки и цифры, и это резко увеличивает вероятность ошибки при вводе пароля. При этом, сохранять пароли в файле - является небезопасным решением. Но в данной работе рассматривается многофакторная аутентификация, следовательно пароль у пользователя - не один. Таким образом, в текущей задаче имеется два поля ввода, где первое поле принимает все возможные строчные буквы английского алфавита, а второе поле принимает все возможные числа от 0 до 9, а количество символов в обоих паролях будет составлять 6 символов. Подставив значения для первого поля в формулу 1, количество комбинаций получается следующее: Sp = 266 = 308 915 776. А для второго поля: St = 106 = 1 000 000.
Результаты и выводы
Анализируя полученные значения, можно прийти к выводу, что такой метод защиты будет недостаточно эффективен против взлома методом подбора пароля. В соответствии с данными из исследований [8] от компании «Hive Systems» на момент 2022 года пароли подобной сложности можно взломать практически моментально при высоких характеристиках взламывающего
устройства. В соответствии с информацией из данного источника (см. приложение 3) количество символов во втором поле нужно увеличить минимум до 16. Для первого поля в пароль необходимо включить прописные буквы и цифры, а количество символов увеличить минимум до 9 (Рис.5).
PID161 - UdcPSRRw - 77590251 PID102 - yhKuzDagQ - 22627899 PID231 - mNTDovtX - 65830533
PID202 - EfaKmSOlA - 30787617
После анализа brute-force : PIDIBI - tMrC80iDK - 5243977751707035 PID102 - 34IewV4Llu - 088481693656074Э PID201 - hVGFbxn9Q - 8677990372832654 PID202 - HBcCUraYhA - 2325805614575881
Рис. 5. Изменение паролей при анализе на brute-force атаки
Сегодня аутентификация имеет большее значение, чем когда-либо прежде. В эпоху цифровых технологий большинство пользователей будут полагаться на биометрические данные в вопросах, касающихся безопасности систем и авторизации, в дополнение к обычным паролям. Несмотря на то, что проблемы с конфиденциальностью, безопасностью, удобством использования и точностью все еще существуют, многофакторная аутентификация становится системой, которая предлагает надежную безопасность и простоту использования, необходимые современным пользователям при получении доступа к конфиденциальным данным. Несмотря на то, что разработка идеально сбалансированного решения для надежной аутентификации, подходящего для всех, вероятно, неосуществима, стоит заметить, что разработка решения для аутентификации, которое хорошо подходит для конкретного приложения, безусловно, выполнимо.
СПИСОК ЛИТЕРАТУРЫ:
1. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. - М.: Госстандарт России, 2002. - 40 с.
2. Ometov, A., Bezzateev, S., Makitalo, N., Andreev, S., Mikkonen, T., Koucheryavy, Y., Multi-Factor Authentication: A Survey, Laboratory of Electronics and Communications Engineering, Tampere University of Technology, pp. 2-4, Tampere, Finland, January 5, 2018, DOI:10.3390/cryptography2010001.
3. Нестеров С. А. Информационная безопасность и защита информации: Учеб. пособие. - СПб.: Издательство Санкт-Петербургского государственного политехнического университета, 2009. - 126 с.
4. Голуб В.А. Системы контроля доступа: Учебно-методическое пособие к курсу "Методы и средства защиты информации". - Воронеж: Изд-во ВГУ, 2004. - 15 с.
5. Chatterjee, K.; others. Authentication techniques for e-commerce applications: A review. In Proceedings of the International Conference on Computing, Communication and Automation (ICCCA), pp. 694-691, Noida, India, 29-30 April 2016, DOI: 10.1109/CCAA.2016.7813811.
6. Monther A., Saoud A., Multi-Factor Authentication System, College of Technological Innovation, Zayed University, International Conference on Research and Innovation in Computer, Abu Dhabi, pp. 1-5, UAE, Faculty of Computer and Information Technology, Jordan University of Science and Technology, Irbid, Jordan, August, 2017.
7. Lumburovska, L., Dobreva, J., Andonov, S., Mihajloska Trpcheska, H., Dimitrova, V., A Comparative Analysis of HOTP and TOTP Authentication Algorithms. Which one to choose, Faculty of Computer Science & Eng. Ss. Cyril and Methodius University, pp. 131 - 135, Skopje, R. N. Macedonia, International Scientific Journal "Security & Future".
8. Neskey, C., Are Your Passwords in the Green, Hive Systems, Infographic, March 2, 2022. [Электронный ресурс]. URL: https://www.hivesystems.io/ (дата обращения: 25.05.2023).
Novikov A.L.
HSE Tikhonov Moscow Institute of Electronics and Mathematics
(Moscow, Russia)
ORGANIZATION OF MULTI-FACTOR
AUTHENTICATION OF USERS IN A CORPORATE NETWORK
Abstract: there are many options for bypassing the protection of a corporate network, especially if user authentication in this network is one-factor. Multi-factor authentication, in turn, allows you to add additional layers of protection and significantly complicate any attempt by an intruder to gain access to company data. The object of the study is to test the developed multi-factor authentication system, analyze the level of complexity of the password and token required to ensure a secure login to the system. The problems associated with calculating the probability of a successful attack using the password guessing method are disclosed. Domestic andforeign scientific sources on the topic of reliable user authentication were studied. As a result, it was established what characteristics the developed authentication system should have. The practical significance lies in the application of the developed system in real practice, for example, in a small corporate network with installed web servers and database servers inside an office building.
Keywords: authentication, network technologies, brute-force attacks, cybersecurity, authorization.
