смс кода является видом дистанционной идентификации
NIST: SMS нельзя использовать в качестве средства аутентификации
Американский институт стандартов и технологий (NIST) выступил за отказ от использования SMS в качестве одного из элементов двухфакторной аутентификации. В очередном черновике стандарта Digtial Authentication Guideline представители ведомства указывают, что «[внеполосная аутентификация] с помощью SMS будет запрещена стандартом и не будет допускаться в его последующих изданиях».
Документ не является обязательным, но в соответствии со стандартами NIST строят свою инфраструктуру многие государственные учреждения и компании США, поэтому такое решение может серьезно изменить подходы к обеспечению информационной безопасности уже в ближайшем будущем.
Под внеполосной аутентификацией здесь подразумевается использование второго устройства для идентификации личности пользователя.
Почему SMS нельзя использовать для аутентификации
В документе NIST напрямую не указаны причины того, почему SMS не следует использовать в качестве элементов двухфакторной системы аутентификации. Тем не менее, очевидно, что представители Института учли в черновике многочисленные сообщения о взломах и перехватах SMS.
В частности, широкую огласку получила история с взломом Telegram-аккаунтов российских оппозиционеров. О том, что система авторизации по SMS в мессенджере возможно скомпрометирована заявил Павел Дуров. По мнению создателя Telegram, атака не могла быть осуществлена без вмешательства спецслужб. Однако эксперты Positive Technologies провели собственное исследование, в результате которого им удалось перехватить коды аутентификации Telegram и WhatsApp с помощью уязвимостей сетей SS7.
В результате был получен полный доступ к учетным записям в мессенджере — осуществивший подобную атаку злоумышленник сможет не только перехватывать данные, но и вести переписку от имени жертвы.
Кроме того, ранее мы публиковали результаты исследования защищенности сетей SS7. Итоговый уровень безопасности сетей SS7 всех исследованных операторов мобильной связи оказался крайне невысок. В 2015 году в отношении операторов связи и их сетей SS7 могли быть реализованы атаки, связанные с утечкой данных абонентов (77% успешных попыток), нарушениями в работе сети (80%) и мошенническими действиями (67%).
Популярность этой темы легко проверить. Соответствующие запросы в поисковых системах выдают ссылки на специализированные ресурсы в закрытом интернете:
В закрытом сегменте сети можно найти массу сервисов для взлома SS7:
Заказы на подобные взломы также размещаются вполне открыто:
Кроме того, уязвимостям подвержены не только технологические сети SS7, но и алгоритмы шифрования радиоинтерфейса. Атаки на сеть SS7 можно осуществлять из любой точки мира, а возможности злоумышленника не ограничиваются взломом мессенджеров. И сейчас все эти атаки становятся доступны не только спецслужбам, но и злоумышленникам, никак не связанным с государством.
Что теперь будет
Лучшие практики, публикуемые NIST не являются юридически обязывающими стандартами. Однако многие государственные ведомства и агентства США следуют им, что также делают и многие компании, представляющие ИТ-отрасль. Поэтому многие из них после столь однозначеного вердикта Института стандартов и технологий начнут присматриваться к альтернативным способам аутентификации, помимо SMS.
Среди таких альтернатив, к примеру, приложения, доставляющие пользователям двухфакторные коды, обновляющиеся каждые 30 секунд — среди них такие, как Google Authenticator, Authy, Duo. Крупные корпорации разрабатывают инструменты, которые работают на основе похожих принципов (RSA SecureID).
Тем не менее, полного и повсеместного отказа от систем аутентификации, основанных на применении SMS в ближайшем будущем не произойдет. Однако постепенно будет расти число сервисов, которые поддерживают двухфакторную аутентификацию не только через SMS, но и внутри своих приложений. И именно такие системы будут показывать лучшие результаты в деле обеспечения безопасности пользователей.
Организация аутентификации по СМС по примеру Telegram/Viber/WhatsApp
Представим, что перед вами стоит задача организовать аутентификацию пользователя (в мобильном приложении, в первую очередь) так, как это сделано в Telegram/Viber/WhatsApp. А именно реализовать в API возможность осуществить следующие шаги:
Мне потребовалось некоторое количество времени, чтобы осознать, как правильно это сделать. Моя задача — поделиться наработанным с вами в надежде, что это сэкономит кому-то времени.
Я постараюсь кратко изложить выработанный подход к этому вопросу. Подразумевается, что у вас API, HTTPS и, вероятно, REST. Какой у вас там набор остальных технологий неважно. Если интересно — добро пожаловать под кат.
Мы поговорим о тех изменениях, которые следует проделать в API, о том, как реализовать одноразовые пароли на сервере, как обеспечить безопасность (в т.ч. защиту от перебора) и в какую сторону смотреть при реализации это функциональности на мобильном клиенте.
Изменения в API
В сущности требуется добавить три метода в ваше API:
1. Запросить СМС с кодом на номер, в ответ — токен для последующих действий.
Действие соответствует CREATE в CRUD.
Если всё прошло, как ожидается, возвращаем код состояния 200.
Если же нет, то есть одно разумное исключение (помимо стандартной 500 ошибки при проблемах на сервере и т.п. — некорректно указан телефон. В этом случае:
HTTP код состояния: 422 (Unprocessable Entity), в теле ответа: PHONE_NUMBER_INVALID.
2. Подтвердить токен с помощью кода из СМС.
Действие соответствует UPDATE в CRUD.
Аналогично. Если всё ок — код 200.
Если же нет, то варианты исключений:
3. Форсированная отправка кода повторно.
Аналогично. Если всё ок — код 200.
Если же нет, то варианты исключений:
Особенности реализации одноразовых паролей
Вам потребуется хранить специальный ключ для проверки СМС-кодов. Существует алгоритм TOTP, который, цитирую Википедию:
OATH-алгоритм создания одноразовых паролей для защищенной аутентификации, являющийся улучшением HOTP (HMAC-Based One-Time Password Algorithm). Является алгоритмом односторонней аутентификации — сервер удостоверяется в подлинности клиента. Главное отличие TOTP от HOTP это генерация пароля на основе времени, то есть время является параметром[1]. При этом обычно используется не точное указание времени, а текущий интервал с установленными заранее границами (например, 30 секунд).
Грубо говоря, алгоритм позволяет создать одноразовый пароль, отправить его в СМС, и проверить, что присланный пароль верен. Причём сгенерированный пароль будет работать заданное количество времени. При всём при этом не надо хранить эти бесконечные одноразовые пароли и время, когда они будут просрочены, всё это уже заложено в алгоритм и вы храните только ключ.
Пример кода на руби, чтобы было понятно о чём речь:
Алгоритм описан в стандарте RFC6238, и существует масса реализацией этого алгоритма для многих языков: для Ruby и Rails, для Python, для PHP и т.д..
Строго говоря, Telegram и компания не используют TOTP, т.к. при регистрации там, вас не ограничивают по времени 30-ю секундами. В связи с этим предлагается рассмотреть альтернативный алгоритм OTP, который выдает разные пароли, базируясь на неком счётчике, но не на времени. Встречаем, HOTP:
HOTP (HMAC-Based One-Time Password Algorithm) — алгоритм защищенной аутентификации с использованием одноразового пароля (One Time Password, OTP). Основан на HMAC (SHA-1). Является алгоритмом односторонней аутентификации, а именно: сервер производит аутентификацию клиента.
…
HOTP генерирует ключ на основе разделяемого секрета и не зависящего от времени счетчика.
HOTP описан в стандарте RFC4226 и поддерживается тем же набором библиотек, что представлен выше. Пример кода на руби:
Безопасность решения
Первое непреложное само собой разумеющееся правило: ваше API, где туда-сюда гуляют данные и, самое главное, token должно быть завернуто в SSL. Поэтому только HTTPS, никакого HTTP.
Далее, самым очевидным вектором атаки является прямой перебор. Вот что пишут в параграфе 7.3 авторы стандарта HOTP (на котором базируется TOTP) на эту тему:
Truncating the HMAC-SHA-1 value to a shorter value makes a brute force attack possible. Therefore, the authentication server needs to detect and stop brute force attacks.
We RECOMMEND setting a throttling parameter T, which defines the maximum number of possible attempts for One-Time Password validation. The validation server manages individual counters per HOTP device in order to take note of any failed attempt. We RECOMMEND T not to be too large, particularly if the resynchronization method used on the server is window-based, and the window size is large. T SHOULD be set as low as possible, while still ensuring that usability is not significantly impacted.
Another option would be to implement a delay scheme to avoid a brute force attack. After each failed attempt A, the authentication server would wait for an increased T*A number of seconds, e.g., say T = 5, then after 1 attempt, the server waits for 5 seconds, at the second failed attempt, it waits for 5*2 = 10 seconds, etc.
The delay or lockout schemes MUST be across login sessions to prevent attacks based on multiple parallel guessing techniques.
Если кратко, то от прямого перебора алгоритм априори не защищает и надо такие вещи предотвращать на уровне сервера. Авторы предлагают несколько решений:
Отслеживать число неудачных попыток ввода кода, и блокировать возможность аутентификации по превышению некоторого максимального лимита. Лимит предлагают делать настолько маленьким, насколько ещё будет комфортно пользоваться сервисом.
Мнение, что можно полагаться только на то, что код живёт ограниченное число секунд, и будет безопасно, т.к. код сбрасывается — ошибочно. Даже, если есть фиксированное ограничение на число попыток в секунду.
Посмотрим на примере. Пусть код TOTP состоит из 6 цифр — это 1000000 возможных вариантов. И пусть разрешено вводить 1 код в 1 секунду, а код живёт 30 секунд.
Шанс, что за 30 попыток в 30 секунд будет угадан код — 3/100000
0.003%. Казалось бы мало. Однако, таких 30-ти секундных окон в сутках — 2880 штук. Итого, у нас вероятность угадать код (даже несмотря на то, что он меняется) = 1 — (1 — 3/100000)^2880
8.2%. 10 дней таких попыток уже дают 57.8% успеха. 28 дней — 91% успеха.
Так что надо чётко осознавать, что необходимо реализовать хотя бы одну (а лучше обе) меры, предложенные авторами стандарта.
Не стоит забывать и о стойкости ключа. Авторы в параграфе 4 обязывают длину ключа быть не менее 128 бит, а рекомендованную длину устанавливают в 160 бит (на данный момент неатакуемая длина ключа).
R6 — The algorithm MUST use a strong shared secret. The length of the shared secret MUST be at least 128 bits. This document RECOMMENDs a shared secret length of 160 bits.
Изменения в схеме БД
Итого, в модели (или в таблице БД, если угодно) надо хранить:
Особенности реализации мобильного приложения
В случае Android полученный токен можно хранить в SharedPreferences (почему не AccountManager), а для iOS в KeyChain. См. обсуждение на SoF.
Заключение
Вышеописанный подход позволит вам в рамках вашего стека технологий реализовать указанную задачу. Если вас есть соображения по этому подходу или альтернативные подходы, то прошу поделиться в комментариях. Аналогичная просьба, если у вас есть примеры документации к безопасным
Аутентификация по SMS — иллюзия безопасности
На протяжении многих лет главным способом идентификации пользователя являлся ввод логина и пароля. Если данные или хеши совпали с эталонными, доступ к информации предоставляется, в противном случае можно позволить пользователю ввести логин и пароль повторно. Все чаще используется аутентификация со вторым шагом — введением кода из SMS. Но этот метод аутентификации не всегда безопасен. Почему?
Почему одного шага недостаточно?
Как нетрудно догадаться, при идентификации по логину и паролю степень защищенности ваших данных напрямую зависит от сложности пароля. Разумеется, можно придумать свою систему запоминания паролей, которая позволит «хранить» в голове сложные пароли для различных программ и сайтов. Можно пользоваться и специализированными менеджерами паролей или создать свою базу данных, защищенную мастер-паролем. В этих случаях вам достаточно запомнить только один пароль от программы или своей базы.
Но, увы, многие пользователи не слишком внимательно относятся к безопасности своих данных и используют повторяющиеся несложные пароли на разных сайтах — их легко подобрать.
Если пароль будет скомпрометирован, но аккаунт при этом защищен двухфакторной аутентификацией, злоумышленнику придется получить и доступ к устройству, на которое будет отправлен код из SMS (если используется самая распространенная схема защиты). Это, разумеется, тоже возможно, но получить доступ к устройству гораздо сложнее, чем украсть пароль.
SMS под угрозой
Однако специалисты по сетевой безопасности считают коды из SMS недостаточно безопасным способом аутентификации. Во-первых, сообщение с кодом может быть перехвачено вредоносным ПО, установленным на смартфон жертвы. Во-вторых, можно подкупить сотрудника салона сотовой связи и выпустить новую сим-карту с номером телефона жертвы: такие случаи уже бывали в разных странах. Наконец, код из SMS можно просто подсмотреть и передать злоумышленнику.
Но главное — протокол сигнальной системы SS7, который используется для передачи сообщений в мобильных сетях, имеет серьезные уязвимости. Еще в 2014 году была опубликована схема, иллюстрирующая перехват SMS в сотовых сетях. Атака основана на регистрации жертвы в зоне действия поддельного центра мобильной коммутации. Идентификационный номер абонента злоумышленник может получить специально подготовленным запросом: выполнить его как раз и позволяет уязвимость в SS7. Как только жертва регистрируется в сети поддельного оператора, он перестает получать звонки и сообщения. Данные при этом поступают злоумышленникам, подготовившим атаку. Способ атаки, конечно, непростой, но уже известно, что им пользовались и хакеры, и спецслужбы разных стран мира, перехватывая SMS-коды от Gmail, Telegram, Facebook, банков.
В 2016 году Национальный институт стандартов и технологий США официально признал аутентификацию с помощью SMS небезопасной. Специалисты указали, что в будущих версиях руководств по цифровой аутентификации этот способ не будет включаться в число рекомендуемых.
Кроме того, получение кодов в сообщениях может даже ухудшить безопасность пользовательских данных. Зачастую владельцы данных излишне полагаются на SMS-коды и устанавливают достаточно простые пароли, что делает их учетные записи менее защищенными.
Что использовать вместо SMS?
На данный момент существует несколько альтернатив, которые можно использовать вместо SMS-кодов. Самый простой — одноразовые коды, наподобие тех, которые умеют формировать банкоматы для входа в интернет-банк. Эти коды можно хранить в менеджерах паролей наподобие KeePass. Главное — чтобы коды не потерялись или не были украдены.
Также можно использовать приложения-аутентификаторы, такие как Google Authenticator, Яндекс.Ключ или FreeOTP. После установки приложения на смартфон надо войти в настройки аутентификации в нужном вам сервисе. Выбираем аутентификацию с помощью приложения — сервис должен показать нам QR-код, который сканируется установленным приложением. После успешного сканирования кода вы сможете войти в свой аккаунт. Чтобы данный способ сработал, необходимо, чтобы время на вашем устройстве и на сервере, где расположен нужный сайт, отличалось не более чем на 30 секунд.
Еще один альтернативный вариант аутентификации — это USB-ключ с записанным на нем цифровым сертификатом. Этот способ достаточно безопасен: для получения доступа к данным необходимо не только знать пароль (обычно сложный), но и владеть ключом. Хотя брелок с записанным ключом, увы, можно потерять или устройство может сломаться.
Наиболее безопасное на сегодняшний день решение для второго шага аутентификации — биометрическая аутентификация (как правило, по отпечатку пальца или сетчатке глаза). Данный способ уже используется для разблокировки многих смартфонов и ноутбуков, постепенно его начинают использовать и для работы с разнообразными сервисами.
К сожалению, аутентификацию по отпечатку пальца тоже нельзя назвать панацеей: многие сканеры отпечатков можно обмануть с помощью тонкого накладного отпечатка, выполненного из токопроводящего материала. Да и обладателя настоящего отпечатка можно напоить или «угостить» снотворным и получить доступ к его данным (увы, и подобные преступления не так уж редки).
Перечисленные альтернативные способы аутентификации зачастую могут быть гораздо более безопасны, чем отправка кодов в SMS. Если нужный вам сервис позволяет ими воспользоваться, попробуйте отказаться от кодов из сообщений — постарайтесь обезопасить свои данные как можно раньше.
Удаленная идентификация абонентов связи: как это устроено в России и за рубежом
Мы в Spektr исследовали рынок и разобрались, как телеком-компании в России и за рубежом подтверждают личности клиентов удаленно и что от этого ожидать в будущем.
Мы начали исследование с большой четверки: МТС, Билайн, Мегафон и Теле2. И оказывается, что удаленную идентификацию предоставляет только один их этих операторов. Угадаете, кто именно?
В июле 2019 года пресс-служба МТС сообщила, что они тестируют несколько проектов, связанных с удаленной идентификацией, в том числе идентификацию при помощи «Госуслуг». В декабре 2019 удаленно подтвердить персональные данные невозможно.
Билайн также сообщал в июле 2019 года, что собственную технологию удаленной идентификации они тестирует с апреля и скоро запустят. Чтобы активировать SIM-карту, будет достаточно вставить ее в телефон, через веб-интерфейс заполнить данные, сделать селфи и фотографию паспорта. Но пока подтвердить личность дистанционно нельзя.
Мегафон не делал публичных заявлений на тему удаленной идентификации. Но в контактном центре и салонах связи нам рассказали о пилотном проекте: специальную SIM-карту можно купить в супермаркетах и на АЗС и самостоятельно активировать в мобильном приложении. Подтвердить эту информацию и найти эту карту в Москве мы не смогли, хотя в начале сентября Мегафон действительно обновил свое приложение и добавил туда регистрацию новой SIM-карты. Протестировали, как это работает.
Чтобы дистанционно активировать SIM-карту, нужно:
А вот Tele2 позволяет самостоятельно зарегистрировать SIM-карты через приложение ID.Abonent. Чтобы подтвердить подлинность документов, приложение использует биометрические методы аутентификации, фотосканирование и искусственный интеллект.
Как подтвердить личность через ID.Abonent
Купить SIM-карту в одном из магазинов сетей «Пятерочка» или «Лента». Далее процесс идентификации одинаковый для всех абонентов MVNO:
Drimsim — туристическая SIM-карта, работает с 2016 года в 200 странах. Эта симка не привязана к одному оператору: когда клиент приезжает в новую страну, она подключается к локальной сети — оплачивать ее нужно по местному тарифу. Drimsim можно заказать на сайте, ее дополняет бесплатное мобильное приложение — в нем видно, сколько стоит связь в этой стране, можно отслеживать баланс и расходы. Активировать Drimsim тоже можно через приложение.
Как активировать Drimsim
Зарубежные телеком-компании, кроме фотографии документов и селфи с ними, предлагают видеоинтервью как способ подтвердить личность. Видеоинтервью дает возможность убедиться, что человек, который подал заявку, — тот же самый, кому принадлежат документы. Поскольку у пользователей не всегда есть возможность созвониться, альтернативой может быть запрос дополнительных действий с включенной фронтальной камерой, которая распознает мимику и жесты пользователя (просьба моргнуть, проследить за перемещением точки, повернуться).
Axon Wireless: стороннее ПО для регистрации и идентификации клиентов
В октябре 2019 года южно-африканская компания Axon Wireless запустила первую в Африке систему для мгновенной регистрации SIM-карт Tap and Go. Клиенты могут пройти регистрацию в течение 45 секунд благодаря мгновенной проверке национальной ID-карты. Также потребуется предоставить селфи: камера сама определит лицо и сделает снимок. Пока сервис доступен только на территории Кот’д’Ивуар, но представители компании надеются развернуть его по всей Южной Африке.
BioID: стороннее ПО для идентификации клиентов
BioID — немецкий провайдер облачной биометрии, партнер банков и госорганов Германии. В июне 2019 года компания объявила об интеграции технологии распознавания лиц в сервисы компании РОS AG — это позволит клиентам самостоятельно и дистанционно регистрировать SIM-карты.
При регистрации нужно сделать два селфи с разных ракурсов, чтобы системе было проще распознать, что на фото настоящий человек. Также нужно добавить снимок своего фото на удостоверении личности.
Singtel: собственное приложение
Singtel — крупнейший сотовый оператор Сингапура. В июне 2019 года компания запустила самостоятельную регистрацию SIM-карт. Пользователи могут активировать мобильную связь за 5 минут. Аналогичную услугу телеком-гигант предложил и клиентам своего сервиса мобильных переводов Dash. Для подтверждения личности нужно не просто снять селфи, а следить за черной точкой, которая перемещается по экрану. Схожую процедуру использует крупнейший виртуальный оператор в Малайзии Tune Talk.
Если сравнить российский ID.Abonent с сингапурским Singtel и малазийским Tune Talk, очевидно, что дистанционная идентификация в ID.Abonent не уступает зарубежным конкурентам. Совпадает и механика подтверждения персональных данных: личность абонента устанавливается по паспорту с помощью процедуры распознавания лица. Но у азиатских операторов есть «козырь» — собственное мобильное приложение.
Плюсы собственного мобильного приложения:
Пока в России собственное приложение есть только у Drimsim (SberMobile IDSim, в отличие от Drimsim — это одноразовое приложение для активации на базе ID.Abonent, а не самостоятельное). При этом Drimsim позиционируется как SIM-карта для путешествий, поэтому ей принадлежит лишь крошечная доля рынка. По словам основателя компании Сергея Редькова, абонентская база Drimsim измеряется сотнями тысяч человек. Для сравнения: на долю «большой четверки» суммарно приходится несколько сотен миллионов.
Одно из ключевых различий телеком-рынков в России и за рубежом — в масштабируемости решений для удаленной идентификации. За исключением ID.Abonent, для России это пока новая технология, которую компании разрабатывают собственными силами. Сейчас представители «большой четверки» тестируют внутренние проекты по самостоятельному оформлению SIM-карт. На зарубежном рынке гораздо больше IT-вендоров с готовыми API для дистанционной верификации личности в различных отраслях — от телекома и банков до госслужб и здравоохранения. Это не только Axon Wireless и BioID, о которых мы писали выше, но десятки поставщиков программного обеспечения, включая Identiway, Pomcor, IDnow, Ondato. Сотовому оператору остается только выбрать технологического партнера и внедрить их интерфейсы в свое приложение по модели white label. Таким образом, решения для удаленной верификации развертываются гораздо быстрее, поскольку уже есть готовая инфраструктура и не нужно начинать разработки с нуля.
Лед тронется, когда первый из операторов «большой четверки» запустит собственное брендированное приложение для удаленной идентификации клиентов. Ближе всех к этому сейчас Tele2 (особенно учитывая его инициативы с продажами виртуальных eSim), который анонсировал такое приложение еще в апреле 2019 года.
Хочется надеяться, что телеком-гиганты воспользуются опытом из смежных индустрий, где уже успешно применяется самостоятельная верификация. Так, в каршерингах Яндекс.Драйв и BelkaCar процесс идентификации выполнен в формате диалога с чатботом. Не отстают и банки: Точка Банк открывает расчетный счет после видеозвонка клиентам, а Райффайзенбанк начал кредитовать малый бизнес дистанционно, предлагая просто загрузить документы в приложение.