Сегодня проблемы аутентификации в Windows сложно назвать надуманными. К аутентификации по паролю предъявляются все более сложные требования. Пароль длиной в восемь символов, содержащий три набора из четырех, уже не является настолько устойчивым к взлому, как два-три года назад. А если вы поставите длину пароля еще больше, пользователи начнут записывать их на бумаге и приклеивать к монитору.
Сегодня 45% времени работы службы поддержки, по данным Gartner, уходит на сброс паролей. Да и несложно подсчитать время взлома пароля на современном оборудовании. А если атака будет распределенной, с нескольких компьютеров? Некоторые цифры о времени взлома пароля путем подбора в Windows приведены в таблице 1.
Если считать, что на предприятии установленное время жизни пароля — 42 дня, как это рекомендовано Microsoft, то несложно оценить вероятность взлома пароля за этот период (таблица 2).
Выходов из данной ситуации несколько — применение аппаратной аутентификации на базе смарт-карт или ключей eToken или использование средств биометрической аутентификации. Сегодня на рынок средств аутентификации все чаще выходят средства биометрической аутентификации. Давайте посмотрим, что же это такое.
Биоэлектронные системы
Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем — биометрической и контактной на базе смарт-карт или USB-ключей. Что скрывается за понятием «биометрия»? Фактически мы используем эти технологии каждый день, однако это понятие как технический способ аутентификации появилось относительно недавно. Биометрия — это идентификация пользователя по уникальным, присущим только данному пользователю, биологическим признакам. Такие системы являются самыми удобными, с точки зрения самих пользователей, так как им не приходится ничего запоминать и такие характеристики весьма сложно потерять. При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает определенный биологический параметр. Далее он обрабатывается по определенным алгоритмам и сравнивается с кодом. Просто? С точки зрения пользователя — безусловно. Однако у данного метода существуют и свои недостатки.
К достоинствам биометрических сканеров обычно относят то, что они никак не зависят от пользователя (например, можно ошибиться при вводе пароля) и никто не может передать свой биологический идентификатор другому человеку, в отличие от пароля. Однако, как показали проведенные в США исследования, биометрические сканеры, основанные на отпечатках пальцев, довольно легко обмануть с помощью муляжа. Или ситуация с отказом в доступе, осуществляемом на основании распознавания голоса, в случае если человек простужен.
К биометрическим относятся различные методы. Все их можно разбить на две подгруппы:
- статические методы, которые основываются на физиологической (статической) характеристике человека, то есть уникальном свойстве, данном ему от рождения и неотъемлемом от него. К статическим относятся форма ладони, отпечатки пальцев, радужная оболочка, сетчатка глаза, форма лица, расположение вен на кисти руки и т. д.;
- динамические методы, которые основываются на поведенческой (динамической) характеристике человека — особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия (подписи, речи, динамики клавиатурного набора).
Методы формирования и применения биометрических характеристик в целях идентификации или верификации личности называются биометрическими технологиями (БТ). В БТ используются как статические, так и динамические источники биометрических характеристик. Примеры источников статических биометрических характеристик приведены в таблице 3.
Идеальная биометрическая характеристика человека (БХЧ) должна быть универсальной, уникальной, стабильной, собираемой. Универсальность означает наличие биометрической характеристики у каждого человека. Уникальность означает, что не может быть двух человек, имеющих идентичные значения БХЧ. Стабильность — независимость БХЧ от времени. Собираемость — возможность получения биометрической характеристики от каждого человека.
Реальные БХЧ не идеальны и это ограничивает их применение (см. таблицу 4). В результате экспертной оценки указанных свойств таких источников БХЧ, как изображения и термограммы лица, отпечатков пальцев, геометрии руки, радужной оболочки глаза (РОГ), изображения сетчатки, подписи, голоса, изображения губ, ушей, динамики почерка и походки, установлено, что ни одна из характеристик не удовлетворяет требованиям по перечисленным свойствам. Необходимым условием использования тех или иных БХЧ является их универсальность и уникальность, что косвенно может быть обосновано их взаимосвязью с генотипом или кариотипом человека.
Распознавание по отпечаткам пальцев
Распознавание по отпечаткам пальцев — самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации). Ведущие производители оборудования (сканеров отпечатков пальцев):
- BioLink, http://www.biolink.ru/, http://www.biolinkusa.com/;
- Bioscrypt, http://www.bioscrypt.com/;
- DigitalPersona, http://www.digitalpersona.com/;
- Ethentica, http://www.ethentica.com/;
- Identix, http://www.identix.com/;
- Precise Biometrics, http://www.precisebiometrics.com/;
- Saflink, http://www.saflink.com/.
Ведущие производители сенсоров (считывающих элементов для сканирующих устройств):
- Atmel, http://www.atmel.com/, http://www.atmel-grenoble.com/;
- AuthenTec, http://www.authentec.com/;
- Veridicom, http://www.veridicom.com/;
- Fujitsu, http://www.fujitsu.com/.
Распознавание по форме руки
Данный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), получаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека. Ведущие производители:
- Recognition Systems, http://www.recogsys.com/, http://www.handreader.com/;
- BioMet Partners, http://www.biomet.ch/.
Распознавание по радужной оболочке глаза
Этот метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, позволяющее выделить из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека.
Iridian — крупнейший производитель в данной области, на решениях этой компании базируются практически все разработки других: LG, Panasonic, OKI, Saflink и т. д. (http://www.iridiantech.com/).
Распознавание по форме лица
В данном статическом методе идентификации строится двух- или трехмерный образ лица человека. С помощью камеры и специализированного программного обеспечения на изображении или наборе изображений лица выделяются контуры бровей, глаз, носа, губ и т. д., вычисляются расстояния между ними и другие параметры, в зависимости от используемого алгоритма. По этим данным строится образ, выраженный в цифровой форме для сравнения. Причем количество, качество и разнообразие (разные углы поворота головы, изменения нижней части лица при произношении ключевого слова и т. д.) считываемых образов может варьироваться в зависимости от алгоритмов и функций системы, реализующей данный метод. Ведущие производители:
- AcSys Biometrics, http://www.acsysbiometrics.com/;
- A4 Vision, http://www.a4 vision.com/;
- Cognitec Systems, http://www.cognitecsystems.de/, http://www.cognitec.com/;
- Identix, http://www.identix.com/;
- Imagis, http://www.imagistechnologies.com/;
- Vicar Vision, http://www.vicarvision.nl/;
- ZN Vision, http://www.zn-ag.com/.
К динамическим относят те характеристики, которые могут меняться со временем. Это такие параметры, как почерк, подпись, голос и т. д.
Распознавание по рукописному почерку
Как правило, для этого динамического метода идентификации человека используется его подпись (иногда написание кодового слова). Цифровой код идентификации формируется по динамическим характеристикам написания, то есть для идентификации строится свертка, в которую входит информация по графическим параметрам подписи, временным характеристикам нанесения подписи и динамики нажима на поверхность в зависимости от возможностей оборудования (графический планшет, экран карманного компьютера и т. д.). Ведущие производители:
- CIC (Communication Intelligence Corporation), http://www.cic.com/;
- Cyber-SIGN, http://www.cybersign.com/;
- SOFTPRO, http://www.signplus.com/;
- Valyd, http://www.valyd.com/.
Распознавание по клавиатурному почерку
Метод в целом подобен описанному выше, однако вместо подписи в нем используется некое кодовое слово, а из оборудования требуется только стандартная клавиатура. Основная характеристика, по которой строится свертка для идентификации, — динамика набора кодового слова. Ведущие производители:
- BioPassword Security Software, http://www.biopassword.com/;
- Checco, http://www.biochec.com/.
Распознавание по голосу
В настоящее время развитие этой одной из старейших технологий ускорилось, так как предполагается ее широкое использование при сооружении интеллектуальных зданий. Существует достаточно много способов построения кода идентификации по голосу: как правило, это различные сочетания частотных и статических его характеристик. Ведущие производители:
- Nuance, http://www.nuance.com/;
- Persay, http://www.persay.com/;
- Voicevault, http://www.voicevault.com/.
Однако стоит учесть, что идентификация по статическим характеристикам более надежна, так как не зависит от психоэмоционального состояния человека.
Помимо перечисленных производителей сейчас на рынке биометрии появилась новая группа компаний, чьи решения называются промежуточными. Как правило, это «программное обеспечение-посредник» между оконечным оборудованием и программными системами, в которые интегрируются процедуры биометрической идентификации. Причем посредник может реализовать как просто регистрацию в системе с использованием измерений биометрического сканера (например, Windows Logon), так и самостоятельные функции, например создание криптографических контейнеров с помощью ключа, получаемого только по определенному отпечатку пальца.
Недостатки
К недостаткам биометрической аутентификации стоит отнести следующие. Прежде всего, это недостатки самих биометрических сканеров. Например, сканеры отпечатков пальцев могут быть оптическими и электронными. Первые обеспечивают более качественное изображение, однако быстрее загрязняются и более требовательны к чистоте рук. Вторые — менее надежные и качественные, зато могут распознавать отпечатки не слишком чистых пальцев.
Второй недостаток — это крайне сложная корректная настройка оборудования, вернее, речь идет об установке корректного порогового значения ошибки. FAR (False Acceptance Rate) — вероятность допуска в систему незарегистрированного человека, FRR (False Rejection Rate) — это процент ложных отказов в допуске. Порог чувствительности является своеобразной гранью идентификации. Человек, имеющий сходство какой-либо характеристики выше предельного, будет допущен в систему, и наоборот. Значение порога администратор может изменять по своему усмотрению. Таким образом, это накладывает определенные обязательства на администратора системы, ведь обеспечение баланса между удобством и надежностью требует больших усилий.
Третьим недостатком, связанным с внедрением таких систем, является недовольство сотрудников компаний, связанное с возможностью контроля рабочего времени. Тем более что системы учета рабочего времени сотрудников все равно существуют.
Биометрические сканеры невозможно применять для идентификации людей с некоторыми физическими недостатками, как утверждает профессор антропологии Университетского колледжа Лондона Анжела Сесс. Так, применение сканеров сетчатки глаза будет сложным для тех, кто носит очки или контактные линзы, а человек, больной артритом, не сможет ровно положить палец на сканер отпечатка. Еще одна проблема — рост. Сканирование лица может оказаться затруднительным, если рост человека ниже 1,55 м или выше 2,1 м. Преступники, по словам профессора Сесс, смогут легко обмануть биометрические системы. К недостаткам такого способа идентификации можно еще отнести возможность воспользоваться муляжом отпечатка, что было успешно продемонстрировано заключенными шотландской тюрьмы строгого режима Glenochil.
Биометрия в Windows 7
В состав Windows 7 входит биометрическая платформа Windows — Windows Biometric Framework, которая обеспечивает единообразное представление сканеров отпечатков пальцев и других биометрических устройств в форме, удобной высокоуровневым приложениям, а также позволяет единообразно использовать приложения для анализа отпечатков пальцев. В предыдущих версиях Windows сканеры отпечатков пальцев поддерживались как средство регистрации в системе. Такими сканерами сейчас оборудованы многие переносные компьютеры, но для их работы были необходимы драйверы и специальное программное обеспечение. Теперь поддержка таких устройств является частью Windows 7, и для их работы ничего, кроме драйвера, не требуется.
Анализ мер по снижению риска биометрической аутентификации
Если на предприятии вместе с Windows 7 планируется внедрение биометрического механизма проверки, например сканирования отпечатков пальцев, следует заранее учесть следующие соображения.
- Биометрические системы обычно требуют хранения на компьютере информации, которая может использоваться для установления личности. По этой причине предприятию придется заниматься обеспечением конфиденциальности.
- Многие современные переносные компьютеры обладают встроенными сканерами отпечатков пальцев, что может упростить внедрение биометрического решения, однако по функциональности и качеству распознавания такие встроенные устройства уступают специализированному оборудованию. Следует сравнить относительное качество по таким показателям, как коэффициент ложного пропуска, коэффициент ложного отказа, коэффициент ошибок кроссовера, коэффициент ошибок регистрации и пропускная способность.
- Если по характеру работы пользователи или компьютеры оказываются в загрязненных помещениях, где сложно поддерживать чистоту рук или требуются перчатки, сканеры отпечатков использовать не удастся. Эту проблему можно решить за счет систем анализа других физиологических параметров, например геометрии лица, радужной оболочки глаза или ладони.
- Наряду с биометрическим подтверждением пользователю необходимо предоставлять какое-либо иное свидетельство, например ключевую фразу, PIN-код или смарт-карту, поскольку биометрические устройства можно обмануть.
Процесс снижения рисков
Особенности внедрения биометрических средств на каждом предприятии свои. Однако общую последовательность действий определить можно.
- Установить, какие из имеющихся механизмов проверки биометрических данных больше подходят нуждам предприятия.
- Проанализировать внутреннюю документацию по обеспечению конфиденциальности, чтобы убедиться в возможности управления конфиденциальными биометрическими данными.
- Определить требования к оборудованию, используемому при биометрическом сканировании, и наметить сроки выполнения этих требований.
- Определить элементы инфраструктуры, необходимые для биометрического сканирования, такие как инфраструктура публичных ключей или требования к клиентскому программному обеспечению.
- Установить, у каких сотрудников могут возникнуть проблемы с использованием биометрической системы, и подобрать для них альтернативные варианты, например проверку по имени пользователя и паролю или смарт-карте с PIN-кодом.
- Заранее обучить пользователей обращению с системой биометрической проверки подлинности, а тех, кто не сможет ею пользоваться, — альтернативным методам проверки.
- Провести масштабный пилотный запуск в целях выявления и разрешения проблем до начала повсеместного внедрения.
- Следуя инструкциям производителя по сканированию и проверке, ввести данные о пользователях в биометрическую систему.
- Обучить пользователей обращению с системой, обеспечить помощь для тех, кто испытывает трудности.
- Необходимо учесть, что некоторые пользователи могут категорически отказаться применять биометрическую систему. Для таких пользователей следует предусмотреть альтернативный способ проверки подлинности.
Использование групповой политики для снижения рисков, связанных с биометрической проверкой
Доступные в данной категории параметры находятся в разделе редактора групповых политик Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsБиометрия.
В таблице 5 приведены параметры этой технологии, применимые к Windows 7.
В заключение хотелось бы подчеркнуть, что биометрическая аутентификация пока не может служить альтернативой многофакторной аутентификации на смарт-картах. На сегодня, по моему мнению, это скорее удобство, чем полноценная технология безопасности. Но, может быть, это поможет пользователям не забывать свои пароли, кто знает?
Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security Trusted Advisоr