Прочитав статью «Почему большинство россиян стали жертвами кибермошенничества?», решил поделиться своими представлениями в вопросе информационной безопасности. В приведенной статье утверждается, цитирую:
Как показывает исследование, россияне становятся «легкой добычей» кибермошенников в силу своей невнимательности или банальной лени. Каждый пятый участник исследования ни разу не менял пароль от своего основного почтового ящика. В социальных сетях пароль меняют ещё реже: 38% делают это не чаще раза в год, а 18% вообще его не меняют. А ведь частая смена пароля – одна из самых простых и эффективных мер по защите от кибермошенничества. Что ещё хуже, 25% опрошенных использует свой пароль от электронной почты на других ресурсах: в социальных сетях, интернет-магазинах и прочих сервисах. Поэтому, если пароль и данные учетной записи попадут в руки к злоумышленникам, то они могут завладеть не только вашей конфиденциальной информацией, но и вашими деньгами.В теории конечно все выглядит просто, но подобные статьи не рассматривают и не отражает сути проблем. В настоящее время проблема защиты информации от несанкционированного доступа приобретает все более серьезное значение. Но при этом во многих интернет ресурсах применяемый элемент защиты до сих пор остается одним из наиболее известных и старых методов обеспечения безопасности — пароль. К сожалению представления многих специалистов безопасности развивается инерционально, не учитывая современные тенденции развития информационных технологий и проблемы пользователей. Что на мой взгляд не совсем правильно. А те кто это осознает (например, компания Google и крупные социальные сети) постепенно продвигают для нас свои решения.
Конечно, большое значение имеет и сложность самого пароля. Большинство пользователей создает очень простые пароли: только из букв и цифр.
В данной статье я хочу рассмотреть обо всем по порядку и предоставить на обсуждение хабра-пользователей своё видение программно-аппаратных методов решения проблем связанных с информационной безопасностью в сети интернет.
Проблемы паролей
Рассмотрим основные проблемные вопросы применения паролей со стороны обычного пользователя:
1) Почему пользователи используют одинаковые или похожие пароли на многих сайтах?
Потому что этих сайтов у пользователя может быть очень много, и трудно хранить в памяти пароль каждого ресурса, если эти пароли разные и к тому же сложные. Зачастую, если продолжительное время не пользоваться каким либо интернет ресурсом то пароль этого ресурса в памяти успешно забывается. Как обычно, попытка авторизации на сайтах превращается в процесс перебора паролей, а количество перебора паролей может быть ограничена или сильно усложнена трудно читаемыми капчами. При этом вы оставляете на этих сайтах все свои пароли, которые легко могут быть сохранены с использованием несложных алгоритмов владельцами сайта. Очень неудобно, когда процесс авторизации превращается в пытку и может закончится пустыми попытками. Поэтому больше людей стараются запомнить и использовать один сложный пароль на многих ресурсах.
2) Почему пользователи не часто меняют пароли? По той же причине. Частая смена своих паролей геометрически увеличивает количество необходимых для запоминания паролей, что гарантированно увеличивает количество неудачных попыток авторизации на сайтах. Ведь нужно еще помнить, какой пароль был последним, а какие были предшествующими. К тому же большинство пользователей не могут хранить в памяти все сайты, на которых они когда либо регистрировались за всё время пользования интернетом. А значит в интернете множество давно забытых и заброшенных аккаунтов.
Где и каким образом хранить пароли?
Все эти трудности порождают не менее важную проблему: где и каким образом хранить список паролей, если запомнить весь этот зоопарк паролей мы не в состоянии?
Если в электронном виде, то сейчас слишком много разных десктопных и мобильных устройств с которыми приходиться работать с разного места (дома, на работе, в гостях), а значит список паролей придется держать либо на всех используемых устройствах либо в сети интернет (например, в облаке или в почтовом ящике). Но такой вариант сильно понижает безопасность — получив доступ к одному из этих устройств или получив доступ к хранилищу ваших паролей в интернете злоумышленник получает доступ ко всем вашим аккаунтам, а возможно также вашим банковским счетам. Хранить пароли в браузере также в высшей степени не безопасно. В большинстве браузеров легко можно посмотреть сохраненные пароли в настройках или же изменив в встроенном отладчике значение поля type=«password». Так что перспективы хранения паролей в электронном виде не радуют.
Если список паролей носить с собой, то столь же не безопасно — пароли могут быть без труда украдены карманниками в гостях, на работе, в общественных местах, на улице (возможно даже с применением грубой силы) или пока вы спите.
В общем однозначного ответа на вопрос где и каким образом хранить пароли я лично пока не нашел.
Как всё развивалось?
Если проследить за развитием требований информационной безопасности то легко можно заметить следующую тенденцию:
1) В самом начале для защиты от несанкционированного доступа использовались простые и удобные пароли, такие как sex или god.
2) Затем люди осознали, что подобные пароли являются очень простыми и легко угадываемыми. Поэтому появилось новое требование к паролям: минимальная длина пароля должна быть не менее 6 символов.
3) Большинство ресурсов также ввели обязательное подтверждения адреса электронной почты.
4) Появилась защита от ботов в виде капчи, требующий ввести символы с картинки после неудачной попытки авторизации. Капча также стало обязательном атрибутом при регистрации на большинства ресурсах в сети интернет.
5) Далее требования к паролям немного усложнились: минимальная длина пароля должна быть не менее 6 символов, к тому же пароль должен обязательно содержать в себе как буквы, так и цифры.
6) Со временем боты научились обходить простые капчи, что привело к использованию в интернет ресурсах сложных капчей с применением различных деформаций символов, зачеркнутых/перечеркнутых линий/кривых, с расположением символов под разными углами, на разной высоте, разными отступами и с применением разных эффектов яркости/контрасности и прочего. Это сильно усугубило восприятие пользователей к данной защите, так как пользователям стало очень трудно распознавать отображаемые символы.
7) Тем временем некоторые ресурсы начали внедрять дополнительный уровень защиты с использованием SMS подтверждения номера телефона.
8) Далее наиболее распространенная минимальная длина пароля увеличилась до 8 символов.
9) Сейчас мы наблюдаем, что многие ресурсы требуют использовать сложные пароли: минимальная длина пароля должна быть не менее 8 символов, к тому же пароль должен обязательно содержать в себе как заглавные, так и строчные буквы, включая цифры и другие знаки. При этом не рекомендуется, чтобы пароль включал в себя какие либо личных данных. Т.е. в целях безопасности сейчас от нас требуют придумывать наисложнейшие для запоминания пароли.
А что дальше?
Резонным становиться вопрос: а что же будет дальше? Мы должны будем запоминать сверх сложные пароли из 16-24 символов и пытаться расшифровать сверх сложные капчи, где образно говоря «чёрт ногу сломит»? На мой взгляд многие должны понять, что данное направление нужно рассматривать как тупиковый путь развития информационной безопасности. Нужны кардинально другие решения, сочетающие в себе как максимальную безопасность, так и максимальное удобство для пользователей.
На мой взгляд все эти сложности можно решить только одним образом — выдав каждому гражданину цифровой паспорт единого образца для подтверждения своей личности на всех интернет ресурсах. А для проверки цифрового паспорта интернет ресурсы должны направить свои запросы в единые центры авторизации граждан. Такое решение в определенной степени может положит конец анонимности в интернете, но позволит успешно решить все вышеуказанные проблемы безопасности при использовании паролей. При этом можно будет решать не только проблемы безопасности, но и проблемы социального характера. Например закрыть доступ к «сайтам для взрослых» для пользователей еще не достигшим совершеннолетия, решать проблемы авторских прав при копирование и распространении информации в интернете, проблему ответственности интернет ресурсов и их пользователей при недобросовестных отношениях, проблему кражи персональных данных, мошенничества в сети, аферы с денежными операциями и т.д.
Единые центры авторизации и цифровые паспорта граждан
Если вы заметили, я намеренно заменяю слово «пользователи» на слово «граждане». Тем самым намекая, что контролем и выдачей цифровых паспортов должны заниматься на государственном уровне. Этому есть ряд причин. Во первых никто не будет доверять какой-то одной организации аутентификацию пользователей во всём интернете. Кто получит такой уровень привилегий будет иметь почти полный контроль над всем интернетом, включая финансовый сектор. Этого не допустит ни одна страна в мире. Во вторых, только на законодательном уровне и соответствующими контролирующими органами можно осуществить контроль за выполнением обязательств различных интернет ресурсов и пользователей. А как многие догадываются, законы одних государств не распространяются на территории других государств. А значить единые центры авторизации пользователей должны быть созданы в каждой стране, чтобы законодательство этих стран регулировала вопросы выдачи цифровых паспортов и контроля поведения своих граждан в сети интернет. Но при этом единые центр авторизации страны должны также обеспечивать контролируемую и прозрачную авторизацию граждан других стран, проверяя цифровые паспорта иностранных граждан в центре авторизации этих страны.
Некоторые могут возразить, что для этого нужна 100% защита безопасности для таких центров авторизации. А раз не существует 100% защиты на единый замок, то лучше использовать имеющуюся парольную защиту как миллионы замков на каждом сайте. Следует учесть, что обеспечит надежность единого центра проверки подлинности гораздо эффективнее и надежнее, нежели существующего варианта, когда каждый интернет ресурс должен самостоятельно решать вопрос безопасности аккаунтов своих пользователей. И никто точно не знает степень надежности этих ресурсов, потому что для сайтов не существуют обязательных требований в обеспечении безопасности пользовательских данных. При этом большинство ресурсов сегодня вполне могут уйти от ответственности, при передаче имеющихся у них пользовательских данных третей стороне или даже публичном их раскрытии, потому что набор правил большинства сайтов не является документом, имеющим юридическую силу.
Вообще обычные паспорта то же всегда пытались подделать, так что борьба с мошенниками всегда будет продолжаться. Это примерно похоже на борьбу между вирусами и антивирусами. Ни один антивирус не гарантирует 100% защиты от новых вирусов, но появление новых вирусов оперативно анализируется и создается защита от подобных угроз. Так же единые центры авторизации должны круглосуточно мониторить попытки фальсификации данных и оперативно исправлять все выявленные угрозы безопасности. К примеру, если мы доверяем онлайн банковским операциям на сайте сбербанка, то вполне сможем доверить свои личные данные и единому центру авторизации, регулируемый на государственном уровне.
Те кого напрягает вопрос уничтожения анонимности в сети интернет могут использовать классическую схему авторизации на сайтах с использованием паролей. Ведь использование цифровых паспортов будет альтернативой, которая не потребует в обязательном порядке уничтожения обычной схемы регистрации и авторизации. Кого больше волнует анонимность могут пользоваться классической схемой авторизации, а кого больше волнует удобность и безопасность могут пользоваться авторизацией с использованием цифровых паспортов.
Только одно требование должно быть обязательным для интернет ресурсов внутри страны — они должны внедрить поддержку авторизации граждан с использованием цифровых паспортов. При этом передача цифрового паспорта не должна проходить через интернет ресурсы, а должна напрямую сверяться между пользователем и единым центром авторизации. Интернет ресурсы должны получить только конечное решение единого центра авторизации — авторизовать пользователя на сайте или отказать ему в этом.
Какими должны быть цифровые паспорта
С точки зрения безопасности лучшую защиту на сегодняшний день могут предоставить использование USB-токенов, защищенных пин кодом из 3-х попыток и (опционально) встроенным сканером отпечатков. В процессе авторизации можно использовать передачу на единый центр авторизации цифровую копию биометрического отпечатка, подписанного персональной цифровой подписью (криптографического преобразования закрытым ключом). При этом каким либо образом вытащить из USB-токена цифровую копию биометрического отпечатка и используемые ключи не возможно, а расшифровать передаваемые данные может только тот, кто имеет вторую пару открытого ключа. Для защиты от перехвата при каждой авторизации передаваемые данные должны быть уникальными, например при каждой авторизации вместе с копией биометрического отпечатка зашифровывать также случайную строку и значение счетчика успешных авторизаций. Еще лучше, если заранее созданы и сохранены персональные наборы открытых и закрытых ключей на каждый день в течении всего срока использования ключа (например, в течении 10-20 лет) а токен при авторизации сверяет дату со своими серверами и подписывает данные необходимым ключом на текущую дату. При этом открытые ключи также должны быть надежно защищены и находится только на сервере авторизации (например, во внутреннем сервере единого центра авторизации проверяющего достоверность полученных данных, но не имеющего прямого выхода к сети интернет).
С технической стороны всё это реализуемо. И лучше будет создать маленький токен micro-USB, напоминающий заглушку (подойдет на любые смартфоны и планшеты), вставляемый через свой переходник на обычный USB порт. В этом же USB переходнике может быть реализован сканер отпечатков. А снятие USB-переходника может автоматически активировать дополнительный уровень проверки, например SMS-авторизацию или сканирование отпечатка используя сенсоры мобильного устройства.
Сканер отпечатков на пару с пин кодом должны обеспечить защиту от кражи и утери цифрового паспорта. Полученный отпечаток пальца со сканера должен сверяться на самом USB-токене с сохраненной копией цифрового биометрического отпечатка. Это позволит исключить возможность использования краденного или утреннего цифрового документа, превратив кражу цифровых паспортов в бесполезное занятие.
Никто не усомниться в более эффективной надежности 128-1024 битных крипто ключей, по сравнению с нынешнеми 8-10 битными паролями. Тем более, если при каждой авторизации будут меняться исходные данные для шифрования, а каждый день автоматически сменятся цифровые подписи. Это же мечта любого системного администратора) К слову о системном администрирование — данный метод авторизации со временем может быть с успехом внедрен в процесс авторизации операционных системах и активно применяться для защиты информационных технологий в корпоративной среде, полностью снимая головную боль в этом вопросе от системных администраторов.
Более подробно схему авторизации в интернете с использованием ЭЦП я предложил в следующем топике «Схема авторизации с использованием электронных цифровых подписей вместо парольной защиты».
