Мультифакторная аутентификация (МА) — одна из тех немногочисленных тем, светлое будущее которых считается предопределённым. Если вам не довелось о ней слышать, можете быть уверены, что услышите скоро: МА вышла из разряда «чистых теорий», и теперь не проходит недели, чтобы какой-нибудь вендор не сообщил о воплощении её в своих продуктах. Так, на неделе минувшей это сделала Microsoft в облачной платформе Windows Azure.
Суть МА сводится к простому постулату: особо важные данные следует защищать не одним, не двумя, а минимум тремя «замками», причём замки эти должны быть различного вида. Это принципиальный момент, который и определяет на порядки более высокую (по сравнению, скажем, с «однофакторным» паролем) надёжность всей защитной схемы: злоумышленник может украсть или подделать ключ (фактор) от одного замка, но ему придётся затратить несравненно больше усилий, чтобы выкрасть все три ключа.
Минимально достаточный случай МА — трёхфакторный. Здесь в качестве одного «замка» выступает тайное знание — то есть нечто такое, что должен знать только сам пользователь и больше никто (сгодится обычный пароль). Фактор номер два представляется чем-то, чем обладает пользователь и никто больше: скажем, пластиковая карта (с чипом или магнитной полосой — не важно, главное, что такого больше нет ни у кого). Наконец, фактор номер три в идеале должен быть чем-то таким, что присуще пользователю, и только ему, от природы. Здесь сам бог велел использовать биометрию: в качестве третьего фактора может послужить отпечаток пальца, рисунок радужки и т. п.
Наверное, можно придумать и более многофакторную схему, важно только помнить, что «замки» должны быть разных категорий, чтобы их невозможно было скомпрометировать одним приёмом (любопытно, кстати, что вышеупомянутая защита Windows Azure этому требованию не удовлетворяет). В общем и целом трёхфакторная МА считается достаточно надёжной для любых применений на массовом рынке.
Двухфакторная авторизация уже широко применяется: мы пользуемся ею, например, расплачиваясь «пластиком» (карта — раз, пин-код — два). Однако и скомпрометировать такую систему относительно просто. Вспомните скиммеров, крадущих информацию с магнитного стрипа и подсматривающих «пин» (см. «Как 3D-печать помогла скиммерам») чуть ли не с помощью одного устройства. С трёхфакторной МА этот фокус не пройдёт. Вот почему такие надежды возлагались на поставленный компанией Apple последний эксперимент с поп-биометрией. Apple можно ругать или хвалить, но нельзя отрицать: когда она реализует какую-то функцию в своих продуктах, это означает готовность данной функции к массовому «употреблению». Интегрированный в iPhone 5s сенсор для снятия отпечатков пальцев Touch ID как раз стал таким аттестатом зрелости для технологии определения личности по папиллярному узору. Увы, Touch ID не только не помог, но и навредил имиджу мультифакторной аутентификации — из-за событий прошлой недели, когда Touch ID удалось взломать.
Назвав отпечаток пальца «лучшим паролем» и намекнув на абсолютную непогрешимость Touch ID («высокая разрешающая способность сенсора», «чтение подкожного слоя» и т. п.), Apple не столько убедила публику в надёжности своего продукта, сколько подстегнула задор тех, кто ломает цифровые замки из спортивного интереса. Если помните, немедленно был объявлен краудфандинговый конкурс на взлом (в первые же сутки организаторы собрали почти 20 тысяч долларов, и, хоть главный спонсор потом платить отказался, призовые всё равно получились приличными), а уже через сорок восемь часов взлом состоялся. Всё, что требовалось от претендента на приз, — продемонстрировать воспроизводимый процесс разблокировки нового «Айфона» отпечатком пальца, снятым, например, с пивного бокала (а то и с самого корпуса телефона, где «пальчики» пользователя уж точно остались). Что и было проделано известным под псевдонимом Starbug хакером из легендарного коллектива Chaos Computer Club (CCC; ведёт родословную с начала 80-х и связан с множеством ярких — даже государственной важности — дел).
Метод взлома прост до смешного. С помощью хорошего цифрового фотоаппарата или сканера делается снимок отпечатка пальца, оставшегося на стеклянной поверхности. Картинку минимально обрабатывают в графическом редакторе (чистят; возможно, инвертируют) и печатают лазерным принтером на прозрачной плёнке. Затем на получившийся оттиск наносят латексное молочко, застывающее в эластичный резиновый слепок, отлепляют последний и делают классическое движение почтового служащего: выдыхают и припечатывают (вот демонстрационный ролик)! Латексные бороздки с осевшей на них влагой принимаются Touch ID за настоящий палец. Собственно говоря, тот же метод работает и против большинства других пальцевых сканеров, имеющихся на рынке, а известен он уже ровно десять лет!
Демонстрация Starbug требует задать минимум два вопроса. Первый таков: почему Apple, наверняка знавшая, что сенсор Touch ID «сломают», и сломают быстро (уж испытать самый популярный метод обмана папиллярных сканеров она должна была даже из любопытства!), всё равно установила его в новый смартфон, не оснастив никакими дополнительными защитными свойствами? («Подкожное сканирование» оказалось лишь рекламной уловкой, а «беспрецедентно высокая разрешающая способность», как видите, легко перекрывается бытовыми устройствами.) Хуже того, Apple рекламирует Touch ID как «безопасную» функцию и включила её в список самых важных инноваций своего топового продукта. Почему? Кончились идеи? Безалаберность перевалила за критическую отметку? Компанию одолела бюрократия и первые её лица теперь не ведают, что творится в лабораториях и сборочных цехах? Допустил бы такое Джобс?
Кто-то скажет, что 5s / Touch ID стал первым шагом мультифакторной аутентификации на широкий рынок, что первый блин комом — и его, конечно, будут дорабатывать… Однако ведь Apple могла, но даже не попыталась реализовать хотя бы двухфакторную защитную схему (достаточно было проверять вместе с отпечатком пальца, например, пин-код).
Для тех, кто верит, что Apple не была и не является инженерной компанией, ответ на первый вопрос очевиден (см. «Как «убить» Mac и iPhone строчкой текста»). Но лично мне более важным кажется ответ на вопрос номер два: не станет ли Touch ID последним гвоздём в гроб папиллярной биометрии?
Ведь дедуктивная последовательность здесь не бог весть какая сложная. Узнавание пользователя по отпечатку пальца является самым дешёвым и в то же время самым проработанным из биометрических методов. За последние десять–пятнадцать лет пальцевые сенсоры появлялись в продуктах разных производителей (включая и таких гигантов, как IBM), а Apple, вступив в игру, словно бы подвела черту: эксперименты кончились, можно приступать к массовой эксплуатации! Однако за те же десять лет стало ясно, что отпечаток пальца сам по себе (читайте: однофакторная схема) не может служить достаточной защитой, его необходимо комбинировать с другими технологиями аутентификации — да вот беда, они сами нуждаются в достаточно надёжном компаньоне (вспомните, почему удаётся скимминг).
Короче говоря, строить трёхфакторную систему аутентификации с использованием «отпечатков пальцев» практического смысла нет: её взлом — задача решённая и дешёвая. Но и какой практический смысл тогда вообще в установке пальцевых сенсоров на тех же смартфонах, персоналках или PC? Apple забудет о «пальчиках» как о неудавшемся эксперименте, а для всех нас они останутся лишь в художественной литературе и, возможно, как старая, но удобная технология установления личности в практике правоохранительных органов. Мультифакторные защиты для широкого рынка будут строиться с использованием других технологий.