Двухфакторная идентификация в СКУД
Для минимизации риска в системах контроля и управления доступом (СКУД), применяется двухфакторная идентификация — комбинация двух и более методов авторизации пользователя.
С одним из простейших примеров двухфакторной идентификации вы сталкиваетесь, снимая наличные деньги в банкомате. Для этого требуется пластиковая карта и пин-код. В учреждениях здравоохранения, факторами идентификации зачастую являются: проксимити-карта, использующаяся медработниками, для входа в здание больницы, и персональный код. То есть, врач прикладывает к считывателю карту, а затем вводит на клавиатуре набор цифр. Это просто и относительно быстро. Однако нет ли здесь просчета — не пришлось ли пожертвовать безопасностью ради этой простоты?
Проксимити-карта критический подход
К сожалению, использование карт доступа совместно со вводом паролей не является столь защищённым методом контроля доступа, каким он кажется на первый взгляд. Конечно, такая комбинация является более безопасной, чем простой ввод пароля, однако о серьёзной степени надёжности здесь говорить уже не приходится. Проксимити-карты используются в системах контроля физического доступа на объекты на протяжении более чем трёх десятилетий. В настоящее время с их помощью осуществляется также управление доступом пользователей в компьютерные сети. Однако хороши ли проксимити карты для контроля доступа на объекты здравоохранения?
В каждую проксимити-карту «зашит» фиксированный идентификационный номер, называемый серийным номером карты. Card serial number, CSN — передача его на считыватель осуществляется в открытом, незашифрованном виде. Серийный номер карты привязывается к личности пользователя. Иными словами, фиксированный идентификатор CSN играет роль имени пользователя. Его использование в паре с паролем или PIN-кодом позволяет провести в рамках СКУД операцию, аналогичную входу в компьютерную сеть.
_________________________________________
Новые карты радиочастотной идентификации, помимо хранения серийного номера, позволяют записывать и сохранять на карте и другие данные. Шифровать информацию при записи и передаче, а также позволять безопасный обмен данными со считывателями. Однако всё это используется лишь для контроля физического доступа и не применяется при обеспечении доступа в компьютерные сети. Меры повышенной защищённости должны внедряться по согласованию с производителем карт. К тому же их применение снижает скорость обмена информацией при идентификации пользователя; не всё просто здесь обстоит и с совместимостью карт с различным оборудованием аналогичного типа. Поэтому в большинстве программных решений персональной идентификации используется только лишь фиксированный код, не привязанный к конкретному технологическому исполнению карт.
Получается, что у всех радиочастотных карт есть «общий знаменатель» — серийный номер карты, работа с которым осуществляется быстро и без лишних хлопот с совместимостью. Однако при отсутствии шифрования номер этот достаточно просто перехватить, а саму карту клонировать. Таким образом, карточная система является всего лишь вариацией комбинации логин/пароль.
В большинстве решений с использованием проксимити-карт процедура ввода пароля фактически опущена. Но даже там, где она предусмотрена, производители позволяют пользователю применять «упрощённую» процедуру входа (grace period), когда ввод пароля требуется не при каждой попытке авторизации. То есть, в начале рабочего дня требуется предъявить карту и ввести PIN-код, а в следующие 4-8 часов предъявитель карты может проходить через точку доступа беспрепятственно. Понятно, что произойдёт, если в этот интервал времени карта будет утеряна либо украдена: её сможет использовать кто угодно, даже не зная пароля.
Удобство или безопасность
В обычной жизни вопросы безопасности принято отодвигать на второй план. Проксимити-карты изначально не предназначались для защиты компьютерных сетей, приложений и важных данных, однако есть множество организаций, которые «для удобства» пользуются этой технологией для защиты критически важных активов.
Есть ли у этого метода альтернатива? Она должна быть не менее удобной, чем использование карты в сочетании с паролем, и при этом система должна «узнавать» пользователя, запрашивающего разрешение на доступ. То, чем сотрудник организации в принципе способен поделиться с кем-либо ещё, не даёт нам стопроцентно достоверное представление о том, кто он, собственно, такой. То, что может быть с лёгкостью скопировано — например, серийный номер карты — также не позволяет гарантировать идентичность пользователя. Получается, что единственный выход в таких случаях — положиться на биометрию.
Биометрия
Широко распространённой биометрической технологией является персональная идентификация по отпечаткам пальцев. Решения на «пальчиках» более удобны, чем СКУД с использованием карт, к тому же они не требуют наличия у пользователей каких-либо предметов, при помощи которых он может запросить разрешение на доступ. Всё, что требуется от пользователя — приложить палец к считывателю. При использовании такого рода решений в здравоохранении с помощью биометрии можно не только контролировать доступ в помещения клиники, но и доступ к защищённым данным о состоянии здоровья пациентов.
При этом не все дактилоскопические технологии одинаково пригодны к использованию. Чтобы система смогла эффективно работать, очень важно правильно выбрать сенсоры, способные работать в реальных условиях объекта и обеспечивать стабильные результаты считывания вне зависимости от пола, расы, возраста и состояния здоровья пользователей. Чтобы контроль доступа работал бесперебойно, сенсор должен работать в любое время и с любыми пользователями.
______________________________________________________
Развитие технологий распознавания по отпечаткам пальцев позволило обойти все «узкие места» дактилоскопии. В современных реализациях такого рода считывателей используются так называемые мультиспектральные методы получения изображений. Сканеры отпечатков пальцев считывают не только с поверхностного слоя кожи, но и на некоторую глубину, игнорируя разного рода факторы, ранее негативно влиявшие на результаты идентификации — степень влажности и загрязнённость кожи, угол контакта и т.п. При помощи таких сканеров намного быстрее, чем раньше, производятся как первичная регистрация в системе, так и штатная идентификация существующих пользователей. Это исключает затраты времени персонала охраны на дополнительные проверки и использование вторичных методов идентификации, применяемых при затруднениях с первичным распознаванием.
На смену устаревшим и компромиссным с точки зрения безопасности решениям контроля доступа должны прийти те, которые позволяют чётко привязать права доступа к конкретному пользователю. Спектр угроз, которым подвергаются организации, при переходе на электронный документооборот делает всё более вероятными кражи информации и хакерские атаки. Дальнейшее использование технологий, созданные ещё до тотальной компьютеризации, бессмысленно и опасно, ведь их возможности никоим образом не защитят нас ни от сегодняшних, ни тем более от будущих угроз. Биометрия — метод, удачно сочетающий в себе защищённость и удобство. И за ней, несомненно, будущее.