О многофакторной аутентификации и не только
Курьезные вещи иногда имеют под собой какую-то вполне определенную подоплеку. Аутентификация – один из краеугольных камней безопасности. Заметим, что очень часто имеет место подмена понятий: очень часто, даже в банковском секторе, идут разговоры о необходимости именно идентификации клиента.
К счастью, для банков эта необходимость явно надуманная – клиент, как правило, не скрывает свои идентификационные данные (например, называет свою фамилию, имя, отчество при визите в отделение). Банку всего лишь необходимо удостовериться в том, что предоставленная информация о личности достоверна. И если в отделении банка последующие процедуры операциониста по проверке достоверности сообщенных клиентом идентификационных данных строго регламентированы (и при этом унифицированы во всех банках), то в случае предоставления банковских услуг в дистанционном режиме каждый банк практически действует так, как считает нужным. Дело в том, что в России пока отсутствует какой-либо внятный документ, определяющий требования к системе аутентификации при предоставлении банковских услуг в удаленном режиме.
Скажем прямо, российские банки не балуют своих клиентов разнообразием систем аутентификации при предоставлении финансовых услуг в системах ДБО. Пальцев на одной руке хватит, чтобы перечислить все наиболее часто применяемые инструменты: в рознице это одноразовый пароль по SMS, для корпоративных клиентов – та или иная разновидность усиленной квалифицированной подписи. Это может быть USB-токен с не извлекаемым ключом, а может быть и программная реализация усиленной квалифицированной подписи, ключ которой может находится как на внешнем носителе, так и храниться на жестком диске компьютера, который отвечает за функционирование корпоративного интернет-банка.
Какой же в идеале должна быть система аутентификации? Ответ очевиден – безопасной, удобной и недорогой. Увы, можно выбрать лишь два качества из имеющихся трех: удобная и недорогая система аутентификации не будет безопасной, в чем могут на деле убедиться клиенты российских банков.
Многие регуляторы в финансовой сфере, учитывая рост количества незаконных переводов банковских средств в системах ДБО, пришли к необходимости введения требований, а иногда и стандартов для систем аутентификации в решениях для дистанционного управления счетом – примером может послужить документ RTS SCA (Regulatory Technical Standards Strong Customer Authentication) Евросоюза. Любой эксперт в области аутентификации скажет, что для подтверждения личности пользователя и подтверждения транзакции необходимо использование многофакторной аутентификации. Число факторов невелико – всего три:
- Фактор знания (то, что знаю я (и только я) – пароль, кодовая фраза);
- Фактор владения (то, что имеется у меня (и только у меня) – ключ от сейфа, карта доступа);
- Биометрический фактор (то, что присуще мне от рождения – отпечатки пальцев, лицо, голос и масса других признаков).
Как правило, для обеспечения безопасности достаточно использования двух из трех. И если с использованием первых двух факторов: фактора знания и фактора владения вопросов практически не возникает, то третий фактор – биометрический, окутан массой мифов и домыслов. Начнем с того, что иногда можно услышать о том, что банк использует двухфакторную биометрическую аутентификацию, что есть явный нонсенс: многократное использование одного и того же фактора не делает аутентификацию многофакторной. Да, биометрической аутентификации присуща многомодальность: у человека масса биометрических признаков, данных ему природой. Правда, надо отдавать себе отчет, что использование всех этих биометрических признаков:
- носит вероятностный характер;
- биометрические признаки в режиме дистанционного обслуживания могут легко отчуждаться (можно предъявить видео или фото клиента, полученное без его ведома, можно подделать и голос). Следует, однако, отметить – в случае динамической биометрической аутентификации (которую использует ЕБС) последнее становится достаточно сложным.
- ужесточение требований к качеству аутентификации клиента обязательно повышает вероятность того, что клиент не будет аутентифицирован;
- сама схема биометрической аутентификации намного расширяет вектор возможных атак на систему аутентификации (желающие могут познакомится с документом NIST по теме биометрической аутентификации по ссылке https://pages.nist.gov/SOFA/SOFA.html).
Тема биометрической аутентификации стала настолько широко обсуждаемой, что на этой волне не могли не появиться компании, которые используют данный информационный повод для создания интереса к свои продуктам, которые зачастую вообще не имеют отношения к аутентификации. Так, очень часто стали говорить об аутентификации на основе рисков (Risk Based Authentication). Присмотревшись к такому методу аутентификации, нетрудно заметить следующее - предлагается совместить в одном решении три совершенно независимые технологии:
- поведенческую биометрию;
- контроль за используемым для входа в систему ДБО устройством;
- анализ транзакционных рисков.
Поведенческая биометрия основана на идее контроля за тем, как, какой скоростью вы работаете с клавиатурой, как перемещаете курсор. Вероятность правильной аутентификации клиента весьма невысока, да и слишком много факторов оказывают влияние на скорость работы с клавиатурой и мышью: время суток, условия освещения, ваше физическое и психологическое состояние – но, тем не менее, это действительно использование биометрического аутентификационного фактора, хотя в данном случае весьма ненадежного.
Во втором случае предполагается, что клиент банка использует всегда (или преимущественно) одно и тоже устройство для дистанционного управления счетом, и в том случае, если это так, и например, вы работаете с того же IP-адреса, что и ранее, а ваши географические координаты те же, что и ранее, то предлагается отказаться от использования второго фактора – например, не посылать SMS-пароль, тем самым упростить процесс аутентификации и сэкономить деньги банка. Говоря строго, данная технология никак не связана с аутентификацией вас как клиента банка. Более того, масса атак в системах ДБО использует технологию удаленного доступа к компьютеру легального клиента: для проведения атаки будет использован тот же компьютер, те же геолокационные данные и тот же IP-адрес легального клиента. В этих условиях вышеописанный механизм может оказать вам медвежью услугу, упростив задачу для мошенника.
Анализ транзакционных рисков – очень полезный механизм, но, увы, к аутентификации он тоже никакого отношения не имеет. Понятно, что транзакции, несущие малый уровень риска, банк может выполнить и без подтверждения от клиента – это упрощает жизнь клиенту, хотя и требует наличия системы оценки рисков на стороне банка. Какие транзакции несут наиболее низкие риски? Это переводы по шаблонам, переводы доверенным поставщикам, переводы налоговым органам, да и просто транзакции на малые суммы. Именно такой подход и позволяет создать систему аутентификации, которая будет одновременно удобна и безопасна. Но практически отсутствуют банки, которые могут предоставить такую систему в действии. Многие банки используют для оценки транзакционных рисков системы риск мониторинга, но только единицы могут похвастаться тем, что результат оценки риска учитывается в системе аутентификации ДБО. К тому же задачи фрод-мониторинговых систем не вполне совпадают с задачами системы оценки транзакционных рисков.
В целом, надо отметить, что сложившаяся картина на рынке систем аутентификации в финансовых учреждениях свидетельствует о том, что даже регулярно повышаемые операторами мобильной связи тарифы на рассылки SMS-сообщений для банков так и не вызвали каких-либо изменений в системах ДБО.
Экспертам отсутствие реальной реакции банков в этом отношении видится ошибочной, особенно с точки зрения дальнейшей непредсказуемости «тарифного зуда» компаний мобильной связи.
По материалам PLUSworld.ru