klink0v (klink0v) wrote,
klink0v
klink0v

Category:

Про удостоверение личности, часть 1

... в широком смысле этого слова.

Допустим, есть некто, кто утверждает, что он — Вася Пупкин. Кому-то надо удостовериться в том, что это действительно так. Какие существуют способы сделать это?


  1. Обладание уникальным предметом. Например, если у Васи есть паспорт на имя Васи, то это — Вася.

  2. Обладание уникальной информацией (памятью, опытом). Например, если Вася помнит пароль от аккаунта "vasya@gmail.com", то это — Вася.

  3. Биометрия. Некто может сверить физиономию, отпечатки пальцев, узор радужной оболочки, ДНК Васи с некими заранее взятыми образцами и убедиться, что они совпадают.

  4. Социальные связи. Если N человек с незяпятнанной репутацией заявят, что перед ними Вася, значит это действительно Вася.

  5. Какая-либо комбинация вышеперечисленных факторов.

Далее рассмотрим различные аспекты применения тех или иных технических средств в реальной жизни и в интернете.

В реальной жизни законодательством РФ для идентификации (удостоверения) личности предусмотрен только один способ: паспорт гражданина РФ. Это способ "обладание предметом + биометрия". Какие у него есть слабые стороны.


  • Технически сложно, но возможно подделать.

  • Технически возможно подменить биометрическую информацию (фотографию).

  • Биометрическая сверка требует участия человека, т.е. вносится элемент субъективности.

  • Паспорт можно потерять / найти. Информация об утерянных паспортах распространяется достаточно медленно.

  • Для совершения различных мошеннических действий во многих случах достаточно знать данные из паспорта, которые никак не защищены и не зашифрованы.

  • Технически злоумышленнику ничто не мешает обратиться с заявлением о якобы утере чужого паспорта, "забрав" тем самым его личность (хотя это и "палево").

Реальные примеры из моей собственной жизни.


  1. Я знаю человека, который подтвердил учётные записи на "госуслугах" своим родственникам, имея на руках только их паспорта.

  2. Я знаю человека, которому по ошибке выдали в банке вклад, оформленный на его брата.

Кроме того, при прохождении процедуры восстановления паспорта от потерявшего требуется только заявление, фотографии, госпошлина и справка из полиции. При запросе всех этих документов личность человека никто не идентифицирует, ему "верят на слово". Налицо потенциальная "дыра" в безопасности огромных размеров.

Теоретические вопросы. Как можно усилить стойкость паспорта к вероятным попыткам мошенничества? Каким образом возможно модифицировать процедуру восстановления так, чтобы она стала более защищённой от попыток подмены личности?

Теперь про интернет. И вообще, про различные удалённые сделки / действия.

В настоящее время наиболее широко распространены способы удостоверения по паролю (обладание уникальной информацией) и SMS-подтверждения (обладание уникальным предметом, т.е. SIM-картой).

Недостатки пароля.


  • Его можно украсть так, что законный обладатель этого не заметит или заметит слишком поздно.

  • В ряде случаев его можно угадать / подобрать за достаточно короткое время.

  • Среднестатистическому человеку сложно держать в памяти / мозгу много разных достаточно сложных / устойчивых паролей.

  • Среднестатистический человек психологически обычно недооценивает важность сохранения пароля в тайне и степень тяжести возможных последствий, которые влечёт за собой компрометация пароля.

  • Среднестатистический человек психологически обычно не осознаёт необходимости в создании пароля достаточной длины / сложности, а также часто не понимает отличий между "плохим" и "хорошим" паролями.

  • Неясно каким образом идентифицировать пользователя в случае, если пароль забыт / утерян, если нет возможности воспользоваться другими методами идентификации.

Недостатки SMS-подтверждений.

  • Входящую SMSку можно подсмотреть / украсть при помощи вредоносного ПО.

  • Входящую SMSку можно перехватить при помощи интеллектуальных сервисов операторов, если телефон был скомпрометирован ранее.

  • Возможно украсть / отобрать_силой телефон или SIM-карту.

  • Возможно сделать дубликат / перевыпуск SIM-карты по поддельным документам.

  • Телефонный номер может "протухнуть" и перейти к другому пользователю.

Теоретические вопросы. Какой можно сделать уникальный идентификатор для пользователя, одинаково пригодный и для реальной жизни, и для интернета? Какой можно придумать достаточно удобный способ удостоверения для среднестатистического не обремененного интеллектом человека? Какой можно создать электронный канал связи между государством и человеком, гарантированно работающий в течение всей его жизни?

Продолжение следует. А пока практический вопрос. Кто-нибудь уже купил / попробовал Titan Security Key имени Google? Если да, то как оно?

Tags: it, безопасность, вопрос, размышления
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 12 comments