Выставка потребительской электроники IFA 2015 показала, что производители теперь не столько гонятся за тактико-техническими характеристиками гаджетов, сколько пытаются внедрить новые сценарии их использования.
Главный тренд — это, пожалуй, повсеместная интеграция человека и машины. Прямо в ходе пресс-конференции «Лаборатории Касперского» на глазах у изумленной публики вживили в тело чип: это сейчас мы носим на себе всякие браслеты со встроенными датчиками, а через пару лет микросхема под кожей будет чем-то самим собой разумеющимся.
«Интернет вещей», который только-только начинает зарождаться, уже станет «Всеобъемлющим Интернетом», в котором каждое живое существо будет таким же полноправным членом, как утюг или холодильник.
Впрочем, от подобных перспектив становится немного жутковато, особенно если вы в свое время начитались романов-антиутопий и насмотрелись разных «Матриц». Пока существующие решения нельзя назвать безопасными: в них имеется достаточное количество уязвимостей, которые взломщики могут использовать для того, чтобы выдать себя за кого-то другого.
В частности, данные, хранящиеся в чипе, можно защитить при помощи… всего-навсего четырехзначного PIN-кода, который легко взламывается; для более стойкой защиты само «железо» этих вживляемых чипов не подходит из-за очень скромной производительности (напомним, что даже памяти для хранения данных — всего 880 байт).
Впрочем, лучше всего данные в чипе сохраняет сам человек — в том смысле, что радиус чтения составляет 5 см, поэтому хакеру нужно подобраться достаточно близко к обладателю «биомеханики». Но это только пока — если чипы станут массовыми, то одна поездка на метро сможет принести злоумышленнику неплохой урожай идентификационных данных.
10 ответов на вопрос «Что можно делать при помощи биочипа?» #BionicManDiary http://t.co/JHpyl7yQU1 pic.twitter.com/4uRTaUmbNd
— Kaspersky (@Kaspersky_ru) June 19, 2015
Производители смартфонов тем временем освоили установку в них сканеров отпечатков пальцев: эта идея явно увлекает всех игроков рынка, и биометрические сенсоры теперь появляются даже в моделях средней ценовой категории и у брендов «второго эшелона» вроде, скажем, китайской ZTE.
Потихоньку начинает проясняться предназначение этих модулей: раньше они были нужны для беспарольной аутентификации при разблокировке смартфона, и толку от них было не очень много. После нескольких безуспешных попыток (а с датчиками первых поколений одно срабатывание из десяти — обычное дело) аутентификации все равно в конечном итоге запрашивался пароль. То есть в плане безопасности ничем от парольной защиты этот способ не отличался, а больше применений и не было: получалась такая своего рода игрушка.
Apple представила свою платежную систему Apple Pay. Безопасно ли будет платить айфоном? http://t.co/FpE9VMXF0O
— Kaspersky (@Kaspersky_ru) September 10, 2014
Потом Apple расшевелила болото, представив так и не взлетевшую пока систему Apple Pay, а заодно наконец-то нормально работающий датчик, с помощью которого и осуществлялась аутентификация в платежной системе.
Сейчас производители изобретают новые применения дактилоскопическому датчику. У Huawei в Mate S это, например, еще и миниатюрная тач-панель для скроллинга картинок и ответов на звонки. А Sony реализовала аутентификацию по пальцу с помощью нового ультразвукового сенсора Qualcomm SenseID, о котором мы рассказывали в репортаже с MWC, а также добавила поддержку сервисов Fido.
MWC 2015: четыре обнадеживающих тренда ИТ-безопасности https://t.co/KOBNw7q1nQ
— Евгений Касперский (@e_kaspersky_ru) March 10, 2015
Нет, речь не о FidoNet, а о FIDO Alliance — консорциуме компаний, разрабатывающих единую среду беспарольной аутентификации для платежей, входа на сайты и вообще всех действий, для которых требуется цифровое «удостоверение личности».
FIDO использует беспарольный протокол UAF (Universal Authentification Framework), который работает очень простым образом. При регистрации вместо пароля создается привязка к устройству, а локально на нем реализуется тот или иной механизм биометрической аутентификации — по отпечатку пальца, по лицу перед камерой, по фразе, произнесенной в микрофон, и так далее.
Кроме того, для безопасности можно комбинировать все способы аутентификации, поскольку подделать все идентификаторы одновременно злоумышленнику будет очень сложно.
Также в FIDO реализован механизм двухфакторной аутентификации U2X — здесь для входа используется простой четырехзначный PIN-код, но дополнительно требуется предъявление аппаратного модуля шифрования.
Вы можете десять раз подряд выговорить "двухфакторная аутентификация"? И мы нет :( http://t.co/whFhIx5Cpb #security #безопасность
— Kaspersky (@Kaspersky_ru) June 10, 2014
Это позволяет, в частности, «отвязаться» от одного устройства, а иметь при себе лишь ключ, который может быть реализован, например, в виде USB-донгла. А для мобильных устройств — в виде NFC-метки. И вот тут-то мы снова возвращаемся к вживляемому в руку чипу, который как раз и мог бы играть роль такой метки.
Далее все как обычно: создается пара ключей — частный и публичный. Первый хранится на смартфоне локально и никуда не передается, второй передается при запросе авторизации в случае совпадения условий по идентификации пользователя. Все, больше никаких паролей!
Еще один шаг к будущему без паролей — через технологии биометрии #IFA15
Tweet
Вроде ничего нового, но роль FIDO Alliance — в стандартизации, то есть выработке единого стандарта, который будут поддерживать все производители. Сейчас в альянс входит более 200 компаний, включая Visa, MasterCard, PayPal, Google, Microsoft, так что есть неплохие шансы, что будущее именно за этим стандартом.