Следите за руками

Чем дальше в каменные джунгли, тем чаще авторизация требуется. И авторизация не простая, а все более автоматизированная, все более устойчивая к жизненным проблемам авторизуемого, независимая от его настроения. Для извлечения банкнот из банкомата с использованием пластиковой карты хорошо бы знать пин-код, к этой самой карте подходящий. Для подключения к системе электронной почты — пароль из нескольких букв и цифр. Возможно, самый распространенный пароль это «1234567», вариант «7654321» распространён меньше, его используют так называемые продвинутые пользователи.

Но сколь пользователь не продвинут, пароль он склонен потерять. Вернее, потерять ту бумажку, на которой пароль записан. И даже если бумажка не украдена хакером-злоумышленником, а исчезла радикально — например, в бурливой бездне стиральной машины — то для пользователя особой радости нет, потому что авторизоваться в корпоративной сети он теперь не может. В зависимости от квалификации беспарольного несчастного, получение новой авторизации у администратора сети занимает до половины рабочего дня.

И это далеко не все проблемы с паролями. Есть еще чип-карточки для идентификации личности, но и в обращении с ними квалифицированный пользователь (или, скажем, клиент банка) часто проявляет сноровку, достаточную для утраты способности авторизоваться.

Чтобы победить упомянутые трудности, вот уже много лет придумывают биометрические системы авторизации. Как известно, всякий человек — существо уникальное по своему устройству. По крайней мере, найдены «конструктивные элементы» тела, совершенно индивидуальные, как, скажем, отпечатки пальцев. Так как для целей авторизации требуется установление личности человека, довольно удобным кажется использование для этой процедуры не паролей и «пин-кодов», а тех самых уникальных биологических характеристик, которые человеку потерять многим сложнее, чем набор алфавитно-цифровых символов на бумажном клочке.

Сейчас на рынке есть автоматические системы, проверяющие и отпечатки пальцев, и внешний вид лица, и заглядывающие в глаз человека. Или вот, например, продукт корпорации Fujitsu под названием PalmSecure, уже применяющийся в банковском секторе Японии для верификации личностей клиентов. PalmSecure использует для своих авторизационных целей конфигурацию кровеносных сосудов внутри человеческой ладони. Сосуды, они так «прорастают», что получающееся дерево уникально для каждого человека. Это базовое свойство развития организма, и даже у самых идентичных близнецов сосудистый рисунок — разный.

Невооруженным глазом сосуды на ладони видно не очень хорошо, но стоит подсветить сцену инфракрасным (или близким к этому диапазону) светом, как рисунок отчетливо проступает, при условии, конечно, что для фотографирования вы воспользовались инфракрасной же камерой. Снимок рисунка поступает в компьютер, где сравнивается с эталоном. Если полученный рисунок совпал с эталоном, закрепленным, скажем, за газовым мастером ЖЭКа Ефимом Давидовичем Сидорчуком, то признаётся, что ладонь тянул к устройству идентификации тот самый газовый мастер Сидорчук.

Ладонь всегда с собой. Кража ладони сопряжена с известными трудностями. При этом устройство считывания может быть выполнено в бесконтактном варианте, срабатывающем с расстояния в несколько сантиметров (в отличие от, к примеру, работы с отпечатками пальцев). Да, конфигурацию кровеносных сосудов можно считывать с других участков тела — она тоже будет уникальной. Но ладонь всегда открыта, её площадь достаточно велика и не маскируется волосяным покровом. В общем, всем удобен сей авторизационный механизм, а поэтому устанавливается в банках и даже в банкоматах.

И не только в них.

Благодаря тому, что «считыватель ладоней» — это прибор оптический, его удалось сделать достаточно компактным, чтобы использовать в качестве приставки к настольным компьютерам и даже ноутбукам. А еще такой ладонный идетификатор можно вмонтировать в электронный замок. Задачи во всех случаях решаются одни и те же: контроль доступа и установление личности пользователя.

Выглядит радужно.

Но есть специфические для такого подхода проблемы

Да, пароль, записанный на бумажке можно потерять. Хуже того, пароль может похитить злоумышленник и использовать его в своих коварных планах. Что же с ладонью? Оказывается, тут достаточно получить снимок сосудистой сетки. Сделать это можно каким-то методом социальной инженерии: например, хакер-ладонщик может установить «фиктивное» устройство авторизации и вынудить пользователя «сдать» снимок. (Нет, конечно, тут никто не станет применять силу, зачем? Про допустимые решения пели еще кот Базилио и лиса Алиса из известной экранизации похождений Буратино.)

А если у злоумышленника есть карта сосудов неудачливого пользователя, то, вообще говоря, никакая физика не запрещает ему, злоумышленнику, изготовить, используя современные материалы, особый муляж, который будет выглядеть в инфракрасной подсветке считывателя ну точно что та самая ладонь. Конечно, хитрые, продвинутые устройства используют дополнительные детекторы, отсеивающие муляжи. Но кто мешает вмешаться в электронную схему считывателя и самостоятельно передавать известные данные о пересечениях кровеносных сосудов «далее по инстанциям»?

А самое страшное лежит в другом месте: украденную банковскую карточку можно заблокировать, ставший общеизвестным пароль — поменять. Но от рисунка сосудов ладони её хозяину никуда не деться, разве что через дорогостоящую и пугающую пластическую операцию. Так что один раз сделанный злоумышленниками сосудистый снимок создаёт «носителю ладони» большие, почти непреодолимые проблемы с авторизацией в будущем, проблемы, не сравнимые с забытым паролем. А ведь снимки ладоней клиентов банка хранятся в базах данных на серверах идентифицирующих систем, и хорошо, если они хранятся в защищённом виде.

Так что, следите за руками.

http://www.business-magazine.ru