CC BY
4УДК 004.056
Зайка В.М.
студент кафедры информационной безопасности Севастопольский государственный университет (г. Севастополь, Россия)
ПРИМЕНЕНИЕ ОЯ-КОДОВ ДЛЯ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ
Аннотация: системы аутентификации пользователей играют важнейшую роль в защите цифровых активов и обеспечении безопасного доступа к конфиденциальной информации. Данная статья посвящена рассмотрению технологии QR-кодов и их применению в системах аутентификации пользователей. В статье рассматриваются принципы работы QR-кодов, оцениваются преимущества и недостатки использования QR-кодов по сравнению с традиционными методами аутентификации, описываются основные компоненты и этапы, необходимые для программной реализации подсистемы аутентификации на основе QR-кодов, с последующим анализом практических примеров, демонстрирующих ее эффективность в различных контекстах.
Ключевые слова: QR-код, аутентификация, безопасность, мобильные устройства, идентификация пользователя.
Аутентификация пользователей является краеугольным камнем кибербезопасности, облегчая проверку личности пользователей перед предоставлением доступа к ресурсам или услугам. Традиционные методы аутентификации, такие как пароли и РГЫ-коды, подвержены различным угрозам безопасности, включая атаки методом перебора и фишинг-мошенничество. В ответ на эти вызовы появились инновационные подходы, использующие такие технологии, как рЯ-коды, для улучшения процессов аутентификации.
рЯ-код представляет собой двухмерную матричную структуру штрих-кода, кодирующую данные, расположенных в виде квадратной сетки. Каждый
символ рЯ-кода состоит из номинально квадратных модулей, структурированных в регулярную матрицу, и включает область кодирования и функциональные шаблоны, называемые шаблонами поиска, разделителями, шаблонами синхронизации и направляющими шаблонами.
Процесс кодирования рЯ-кода включает преобразование данных, таких как буквенно-цифровые символы или двоичные данные, в формат, подходящий для хранения в сетке. Это преобразование выполняется с помощью ряда шагов, включая сегментацию данных, выбор режима и кодирование с исправлением ошибок. Различные режимы кодирования, включая цифровое, буквенно-цифровое, байтовое и иероглифическое, позволяют эффективно представлять различные типы данных [1]. Кроме того, кодирование с исправлением ошибок, обычно реализуемое с использованием кодов Рида-Соломона, повышает устойчивость рЯ-кодов к повреждению данных во время передачи. Расшифровка рЯ-кодов основана на методах обработки изображений, позволяющих определить положение и ориентацию рЯ-кода на отсканированном изображении и идентифицировать шаблоны и, следовательно, точно извлекать закодированную информацию.
В системах аутентификации рЯ-коды генерируются динамически на основе учетных данных пользователя или токенов сеанса и служат временными идентификаторами для инициирования процессов аутентификации. Пользователи сканируют рЯ-код, отображаемый в интерфейсе аутентификации, с помощью мобильного приложения, которое связывается с сервером аутентификации для подтверждения личности пользователя (рис. 1). Такой подход сводит к минимуму риск кражи учетных данных и фишинговых атак, поскольку токен аутентификации является временным и не поддается перехвату.
Рис. 1. Модель аутентификации пользователя с помощью рЯ-кода.
Аутентификация по рЯ-коду является отличной альтернативой традиционным методам аутентификации, предлагая уникальный набор преимуществ и недостатков по сравнению с аутентификацией на основе пароля, биометрических данных и ЗЫБ-сообщений [2].
1. Аутентификация на основе пароля. Аутентификация на основе пароля является широко распространенным методом из-за его доступности и простоты реализации. Однако он страдает от присущих ему уязвимостей в системе безопасности, таких как повторное использование пароля, слабый выбор пароля и подверженность атакам методом перебора и по словарю. Пользователи часто с трудом запоминают сложные пароли, что приводит к использованию ненадежных или легко угадываемых учетных данных. Кроме того, пароли могут быть скомпрометированы различными способами, включая фишинг, социальную инженерию и утечку данных. Несмотря на попытки повысить безопасность паролей с помощью таких мер, как многофакторная аутентификация (ЫЕЛ), фундаментальные недостатки паролей сохраняются.
2. Биометрическая аутентификация. Биометрическая аутентификация использует уникальные физиологические или поведенческие особенности людей, такие как отпечатки пальцев, распознавание лиц или сканирование радужной оболочки глаза, для подтверждения личности. Она обеспечивает повышенную безопасность и удобство, устраняя необходимость запоминать пароли или носить с собой идентификационные жетоны. Однако биометрическая аутентификация также имеет свои недостатки. Биометрические системы могут отличаться по точности и надежности, что приводит к частым ошибочным принятиям или отклонениям, подрывая доверие пользователей. Кроме того, внедрение систем биометрической аутентификации сопряжено со значительными затратами и технической сложностью, включая проблемы с приобретением оборудования и интеграцией, что делает их менее доступными для организаций с ограниченными ресурсами. Несмотря на эти проблемы, биометрическая аутентификация остается привлекательным вариантом для приложений, требующих строгих мер безопасности и удобства пользователей.
3. Аутентификация на основе SMS. Аутентификация на основе SMS основана на одноразовых паролях (OTP), которые передаются пользователям с помощью службы коротких сообщений (SMS) для подтверждения личности. Она отличается простотой и удобством, для аутентификации требуется только мобильный телефон с поддержкой SMS. Однако аутентификация на основе SMS уязвима для перехвата, подмены и обмена SIM-картами, что нарушает конфиденциальность и целостность кодов аутентификации. Проблемы с надежностью могут возникнуть из-за задержки или сбоя в доставке SMS в районах с плохим покрытием сети или при перегрузке сети, что приводит к сбоям аутентификации. Кроме того, аутентификация на основе SMS зависит от доступности и надежности мобильных сетей, которые могут быть подвержены перебоям в работе, что приводит к зависимостям и рискам. Несмотря на широкое распространение, аутентификация с помощью SMS постепенно вытесняется в пользу более безопасных альтернатив.
По сравнению с традиционными методами аутентификации, аутентификация с помощью рЯ-кода имеет определенные преимущества и недостатки [3]. Во-первых, она обеспечивает удобство, поскольку пользователям не нужно запоминать сложные пароли или носить с собой физические токены. Это упрощает процесс аутентификации и повышает общий уровень взаимодействия с пользователем, особенно в тех случаях, когда требуется частая аутентификация. Кроме того, рЯ-коды могут содержать криптографические токены или сеансовые ключи, повышая безопасность от несанкционированного доступа и фишинговых атак. Внедряя такие меры безопасности в рЯ-код, организации могут усовершенствовать свои системы аутентификации и защитить конфиденциальную информацию. Кроме того, аутентификация с помощью рЯ-кода отличается высокой степенью масштабируемости, требует минимальной инфраструктуры и позволяет охватить большую базу пользователей без значительных затрат. Такая масштабируемость делает его хорошо подходящим для приложений, требующих аутентификации для различных групп пользователей или платформ.
Однако аутентификация по рЯ-коду также имеет свои ограничения и недостатки. Одной из основных проблем является безопасность. рЯ-коды могут быть подвержены подделке или перехвату, особенно если они не реализованы безопасным образом. Злоумышленники потенциально могут подделывать рЯ-коды, что может привести к нарушениям безопасности и несанкционированному доступу к системам или данным. Кроме того, уровень использования технологии рЯ-кодирования пользователями различается, и некоторые пользователи менее знакомы с ней или чувствуют себя комфортно с ней. Такое различие в знаниях может привести к сопротивлению или скептицизму в отношении использования аутентификации по рЯ-коду, особенно в среде, где пользователи привыкли к традиционным методам аутентификации. Кроме того, аутентификация по рЯ-коду зависит от наличия смартфонов или сканирующих устройств, что может ограничить доступность для определенных групп пользователей. Пользователи, не имеющие доступа к таким устройствам, могут столкнуться с препятствиями
для аутентификации, что потенциально может привести к их исключению из определенных сервисов или платформ.
Таким образом, хотя каждый метод аутентификации имеет свои сильные и слабые стороны, аутентификация с помощью рЯ-кода предлагает привлекательную альтернативу, которая обеспечивает баланс между безопасностью, удобством использования и доступностью.
Программная реализация подсистемы аутентификации по рЯ-коду предполагает интеграцию различных компонентов и согласование последовательных процессов для обеспечения бесперебойной работы. Основными компонентами программной реализации подсистемы аутентификации по рЯ-коду являются:
1. Сервер аутентификации, который отвечает за управление учетными данными пользователей, генерацию рЯ-кодов и проверку запросов на аутентификацию. Внутренний сервер должен быть сконфигурирован для обработки процесса аутентификации по рЯ-коду, что включает в себя ряд важных аспектов. Эти аспекты охватывают проверку и анализ данных, закодированных в рЯ-коде, а также осуществление подтверждения личности пользователя и разрешение доступа к необходимым ресурсам. Дополнительно, важной составляющей является бесшовная интеграция с каталогами, обеспечивающая сохранность пользовательской информации и обеспечивающая доступ к ней для целей аудита и контроля. Внутренний сервер должен реализовывать надежные меры безопасности, включая применение шифрования для защиты передаваемых данных, проведение проверки подлинности пользователей и обеспечение защиты от распространенных угроз и уязвимостей, характерных для веб-приложений.
2. Мобильное приложение, позволяющее пользователям сканировать рЯ-коды и взаимодействовать с сервером аутентификации для проверки личности. Приложение, предназначенное для аутентификации по рЯ-коду, требует соответствующей функциональности для приема и обработки данных, полученных из рЯ-кода, а также для взаимодействия с сервером аутентификации.
Оно должно быть способно адекватно обрабатывать информацию, содержащуюся в рЯ-коде, и проводить соответствующие проверки с использованием предоставленных данных.
3. База данных, которая хранит данные для аутентификации пользователей, включая имена пользователей, пароли и токены сеанса.
4. Генератор рЯ-кодов, который генерирует уникальные рЯ-коды на основе параметров аутентификации или токенов сеанса.
5. Протокол аутентификации, определяющий протоколы связи и форматы данных, используемые для обмена аутентификационными сообщениями между мобильным приложением и сервером аутентификации.
Программная реализация подсистемы аутентификации по рЯ-коду включает в себя следующие процедурные шаги:
1. Регистрация пользователя: внесение своих учетных данных (например, имя пользователя, пароль) на сервер аутентификации.
2. Генерация токена аутентификации. После успешного входа в систему сервер аутентификации генерирует токен сеанса или аутентификационный токен для пользователя.
3. Генерация рЯ-кода, содержащего токен аутентификации или идентификатор сеанса.
4. Отображение рЯ-кода в интерфейсе аутентификации, обычно в виде веб-страницы или экрана мобильного приложения.
5. Сканирование рЯ-кода с помощью мобильного приложения, которое фиксирует закодированные данные и передает их на сервер аутентификации.
6. Проверка подлинности. Сервер аутентификации сверяет полученные данные с сохраненным токеном аутентификации или идентификатором сеанса.
7. Предоставление доступа. После успешной аутентификации сервер аутентификации предоставляет доступ к запрошенным ресурсам или службам.
8. Ведение журнала и аудит. События аутентификации и попытки доступа регистрируются для целей мониторинга и аудита, обеспечивая подотчетность и прослеживаемость.
Примером аутентификации по рЯ-коду может служить следующий алгоритм, предложенный Фаткиевой Р.Р. и Шкодиной Е.В. [4]. Пользователь начинает процесс аутентификации через рЯ-код, запрашивая соответствующую операцию у сервера через веб-приложение. Сервер генерирует набор уникальных значений, включая ЛЕБ-ключ, случайное число и дайджест, произведенный из информации о браузере и 1Р-адресе. Дополнительно, сервер формирует зашифрованный дайджест, полученный путем операции ХОЯ между случайным числом и клиентской информацией. Эти значения ассоциируются с запрашиваемой аутентификацией и конкатенируются в строку, представляющую рЯ-код, который затем отправляется в ответ на запрос браузера.
На втором этапе пользователь сканирует рЯ-код с помощью камеры мобильного устройства. Мобильное устройство создает строку, содержащую фрагмент информации, необходимой для проверки факта запроса аутентификации по рЯ-коду и наличия аккаунта в базе данных сервера. В случае успешного прохождения проверок сервер формирует дайджест из ранее сгенерированного случайного числа и идентификатора пользователя из базы, который отправляется обратно на мобильное устройство вместе с ЛЕБ-ключом в открытом виде.
Мобильное устройство генерирует аналогичную строку, используя имеющиеся у него пользовательские данные, и сравнивает ее с полученной от сервера строкой. Этот шаг позволяет устройству проверить целостность запросов к серверу и верифицировать его.
В заключительном этапе мобильное приложение формирует дайджест из 1ЫЕ1-номера устройства, пароля от аккаунта, ранее использованного случайного числа и метки времени, и отправляет его на сервер. Сервер, в свою очередь, генерирует такой же дайджест, используя данные из базы. Если значения, полученные от мобильного приложения и сервера, совпадают, то пользователь считается аутентифицированным. В случае успешной аутентификации создается сессия для веб-клиента. Этот метод позволяет пользователям приложения
отказаться от использования многоразового пароля от аккаунта, делая процесс аутентификации более удобным и безопасным.
Аутентификация по рЯ-коду стала универсальным решением для проверки личности в цифровых системах. Рассмотрим применение аутентификации по рЯ-коду в различных отраслях деятельности. В секторе здравоохранения аутентификация по рЯ-коду используется для улучшения проверки личности пациента и контроля доступа к электронным медицинским картам. Больницы и клиники размещают рЯ-коды на браслетах или идентификационных картах пациентов, что позволяет медицинским работникам сканировать коды с помощью мобильных устройств, оснащенных сканерами рЯ-кодов. Отсканировав рЯ-код, медицинские работники могут безопасно получить доступ к истории болезни пациента, планам лечения и информации об аллергии, хранящейся в системе. Этот упрощенный процесс аутентификации повышает безопасность пациентов, уменьшает количество административных ошибок и обеспечивает соблюдение правил конфиденциальности.
Банки и финансовые учреждения все чаще используют рЯ-код для обеспечения безопасности онлайн-транзакций и доступа к счетам. Клиенты могут подтвердить свою личность, отсканировав рЯ-коды, отображаемые на банковских веб-сайтах или в мобильных банковских приложениях, с помощью своих смартфонов. рЯ-коды содержат зашифрованные токены аутентификации или данные транзакции, которые передаются на серверы банка для проверки. Этот метод аутентификации обеспечивает повышенную безопасность по сравнению с традиционной аутентификацией на основе пароля, поскольку рЯ-коды устойчивы к фишинговым атакам. Кроме того, аутентификация по рЯ-коду упрощает двухфакторную аутентификацию (2ЕЛ), объединяя то, что пользователь знает (например, пароль), с тем, что у него есть (например, смартфон).
Аутентификация по рЯ-коду используется для контроля доступа и организации мероприятий в таких местах, как конференции, концерты и корпоративные мероприятия. При регистрации посетители получают рЯ-коды
по электронной почте или через мобильные приложения, которые служат электронными билетами или пропусками на вход. Организаторы мероприятий устанавливают сканеры рЯ-кодов на входе, чтобы подтвердить личность посетителей и предоставить доступ к месту проведения. Аутентификация по рЯ-коду позволяет быстро зарегистрироваться, сокращает время ожидания в очередях и предоставляет организаторам данные для отслеживания посещаемости в режиме реального времени. Кроме того, рЯ-коды могут динамически генерироваться и обновляться для предотвращения несанкционированного копирования или передачи билетов.
В контексте устройств Интернета вещей (1оТ), реализация аутентификации через рЯ-код представляет собой механизм, который облегчает процесс подключения смартфонов или планшетов пользователей к сети устройств 1оТ, предоставленных производителем. Этот метод обеспечивает простоту настройки новых устройств «умного дома» и устанавливает безопасное сетевое соединение. Пользователи имеют возможность сканировать предоставленные производителем рЯ-коды с помощью своих мобильных устройств, что инициирует процесс аутентификации и подключения к сети устройств 1оТ. Это упрощает установку новых устройств и их интеграцию в существующую инфраструктуру 1оТ, обеспечивая при этом безопасность передачи данных и защиту от несанкционированного доступа.
Также рЯ-коды используются для проверки подлинности различных продуктов. Данная проверка включает сканирование рЯ-кода на упаковке с помощью мобильного устройства, идентификацию продукта по уникальному идентификатору, проверку его подлинности с использованием данных из рЯ-кода и базы данных производителя, предоставление дополнительной информации о продукте и уведомление о возможных проблемах или рисках.
Технология рЯ-кодов представляет собой многообещающее решение для аутентификации пользователей, обеспечивающее баланс между безопасностью и удобством. Несмотря на ее преимущества, для полной реализации ее потенциала необходимо решить такие проблемы, как уязвимости в системе безопасности и
приемлемость для пользователей. Понимая принципы аутентификации по QR-коду и внедряя надежные программные решения, организации могут повысить уровень своей кибербезопасности, обеспечивая при этом бесперебойный пользовательский опыт.
СПИСОК ЛИТЕРАТУРЫ:
1. ГОСТ Р ИСО/МЭК 18004-2015 Информационные технологии (ИТ). Технологии автоматической идентификации и сбора данных. Спецификация символики штрихового кода QR Code. Введ. 2016-02-01. М., 2016. 108с. [Электронный ресурс]. — URL: https://star-pro.ru/gost/r-isomek-18004-2015 (дата обращения: 13.05.2024);
2. Урвачев, П. М., Трушина, К. Е., Строчкина, С. А., Гасанов, З. А. Обзор методов аутентификации [Электронный ресурс]/ П. М. Урвачев, К. Е. Трушина, С. А. Строчкина, З. А. Гасанов // Современные вопросы устойчивого развития общества в эпоху трансформационных процессов : сборник материалов III Международной научно-практической конференции, Москва, 11 ноября 2022 года. - Москва: Общество с ограниченной ответственностью "Издательство АЛЕФ", 2022. - С. 132-138. - EDN SJJAXK— URL: https://www.elibrary.ru/item.asp?id=49923992 (дата обращения: 13.05.2024);
3. Турсынбеков, М. Эффективная проверка QR-кода для предотвращения подмены в системах аутентификации [Электронный ресурс]/ М. Турсынбеков // Международный научный журнал «ВЕСТНИК НАУКИ» - №2 4 (73) - Том 4 - 2024 г. — URL: https://cyberleninka.rU/article/n/effektivnaya-proverka-qr-koda-dly a-predotvrascheniya-podmeny-v-sistemah-autentifikatsii/viewer (дата обращения: 13.05.2024);
4. Фаткиева, Р. Р. Метод аутентификации на основе QR-кода для применения в медицинских приложениях [Электронный ресурс]/ Р. Р. Фаткиева, Е. В. Шкодкина // Региональная информатика (РИ-2020) : XVII Санкт-Петербургская международная конференция. Материалы конференции, Санкт-Петербург, 28-30
октября 2020 года. Том Часть 2. - Санкт-Петербург: Региональная общественная организация "Санкт-Петербургское Общество информатики, вычислительной техники, систем связи и управления", 2020. - С. 138-140. - EDN HDIQWE — URL: https://www.elibrary.ru/item.asp?edn=hdiqwe (дата обращения: 13.05.2024).
Zayka V. M.
Sevastopol State University (Sevastopol, Russia)
APPLICATION OF QR CODES FOR USER AUTHENTICATION
Abstract: user authentication systems play a critical role in safeguarding digital assets and ensuring secure access to sensitive information. This article is dedicated to examining the technology of QR codes and their application in user authentication systems. The article discusses the principles of QR codes operation, evaluates the advantages and disadvantages of using QR codes compared to traditional authentication methods, describes the main components and stages necessary for the software implementation of an authentication subsystem based on QR codes, followed by an analysis of practical examples demonstrating its effectiveness in various contexts.
Keywords: QR code, authentication, security, mobile devices, user identification.
