Двухфакторная аутентификация при помощи фоновых шумов — надежно или нет?

Опубликовано Olga Geo Окт 28, 2015 | нет комментариев

Что такое двухфакторная аутентификация известно большинству активных “потребителей” интернета. Она доступна на множестве серьезных сайтов, ведущих работу с данными пользователей: в социальных сетях, почтовых сервисах, онлайн-банкинге. Но, к сожалению, задействуют возможности этого типа аутентификации еще далеко не все пользователи. Чаще всего это происходит из-за некоторого неудобства стандартной процедуры 2FA.

Ведь сейчас для получения одноразового пароля в основном используются либо СМС, поступающие на телефон, либо программные или аппаратные токены.

При использовании SMS требуется:

• наличие под рукой самого телефона;
• устойчивый сигнал мобильной связи (что присутствует далеко не всегда и не везде);
• определенные усилия от пользователя: разблокировать телефон, прочитать сообщение, ввести присланный код в браузере, отправить форму подтверждения.

В случае, если применяется token, неудобства несколько другие, но они тоже есть:

• чтобы получить токен, надо идти в банк;
• устройство нужно постоянно держать при себе;
• следует хранить в памяти (или записанным в надежном месте) PIN-код токена;
• приходится следить, чтобы токен не потерялся.

Как показывает практика, не все готовы идти на такие “жертвы” — даже ради собственной безопасности.

Поэтому разработчики ПО и специалисты по защите данных постоянно совершенствуют средства аутентификации, всячески пытаясь облегчить этот процесс для владельцев аккаунтов. Например, активно развиваются биометрические методы аутентификации (сканирование сетчатки глаза, отпечатков пальцев, селфи-аутентификация).

А не так давно команда разработчиков из Цюриха, работающая в Швейцарской высшей технической школе, придумала новый способ, при котором двухфакторная авторизация происходит автоматически и вообще не требует никаких усилий, кроме установки на смартфон одной-единственной программы. Называется эта технология Sound-Proof и основана она на записи и дальнейшем сравнении фоновых шумов в месте нахождения пользователя.

Как осуществляется такая двухфакторная аутентификация?

Когда происходит попытка войти на сайт, поддерживающий метод Sound-Proof, установленное на телефоне приложение в течение 3 секунд ведет запись фонового шума в месте, где находится пользователь. Параллельно микрофон компьютера тоже записывает шум. Потом образцы сличаются на сервере. Если фоновые шумы совпадают, то это означает, что оба устройства (компьютер и смартфон) находятся в одном месте, и система защиты данных разрешает вход в учетную запись.

Для работы системы не требуется устанавливать на компьютер какое-либо ПО — достаточно только приложения на телефоне или планшете и разрешения вашему браузеру использовать микрофон. А значит, можно проходить авторизацию с чужого ноутбука или компьютера (например, в кафе). Даже телефон доставать не нужно: приложение работает автономно, в фоновом режиме. Правда, смартфон или планшет должны быть в сети — посредством соединения Wi-Fi или мобильного интернета.

Если судить по количеству затрат труда пользователя в процессе аутентификации (точнее, их отсутствию) — метод практически идеальный. Но так ли он идеален в других отношениях?

Некоторые минусы новой технологии

• Если сайт, использующий сравнение фоновых шумов, будет достаточно посещаем, то реализация метода может потребовать обработки серверами больших объемов данных. А значит, потребуется очень мощное и дорогостоящее оборудование.
• Качество микрофонов телефона и компьютера может быть совершенно разным — и запись шума тоже получится разная. К тому же, в некоторых стационарных компьютерах вообще нет микрофона.
• В случае, когда усилия злоумышленников направлены на конкретного человека, мошеннику будет несложно оказаться в том же месте, что и потенциальная жертва. Тогда и фоновые шумы совпадут.
• Хакер может осуществить автозалив и под видом пользователя войти в аккаунт после сравнения шумов на сервере. Такое возможно, так как при подобном методе аутентификации никакие другие данные, кроме фонового шума, не анализируются. (В отличие от функции CWYS, используемой в алгоритме OCRA, позволяющей учитывать множество дополнительных параметров конкретной транзакции.) Более того, поскольку приложение работает в фоновом режиме, пользователь может узнать о том, что его взломали, только тогда, когда его средства уже уйдут на другой счет и отменить операцию будет невозможно.
• Стоит не забывать, что в ходе подобной авторизации применяется вероятностная оценка. Это означает, что используется некий порог, по которому определяется совпадение двух образцов звука, следовательно, существует вероятность допустить ошибку, опровергнув верное заключение, или приняв ложное.

Стоит ли применять такой способ аутентификации?

Для входа в некоторые аккаунты, преимущественно развлекательного характера, метод сравнения фоновых шумов может оказаться достаточно удобным. Вряд ли хакер будет по пятам следовать за пользователем в кафе или другое общественное место, чтобы взломать страницу Facebook.

Если же речь идет об учетных записях, которые открывают доступ к финансовым операциям, то уместнее будут другие, более проверенные способы аутентификации. Например, токен, генерирующий одноразовые пароли.

Преимущество этого средства не только в его высокой надежности, но и в возможности настроить процедуру аутентификации в зависимости от потребностей клиента. Так, продукты компании Protectimus включают в себя как функцию подписи данных (CWYS), с которой двухфакторная аутентификация становится еще более надежной и может защитить пользователя от автозаливов, подмен данных и реплейсеров, так и интеллектуальную идентификацию, способную упростить в некоторых случаях вход в аккаунт.

Существуют разные технологии аутентификации, и только пользователю решать, какая из них подходит в каждом конкретном случае. Следует лишь помнить, что не всегда стоит выбирать самый простой и необременительный путь. Ведь надежно защищенные данные стоят того, чтобы не экономить на них ни времени, ни средств.