Про удостоверение личности, часть 1

[klink0v]

... в широком смысле этого слова.

Допустим, есть некто, кто утверждает, что он - Вася Пупкин. Кому-то надо удостовериться в том, что это действительно так. Какие существуют способы сделать это?

1. Обладание уникальным предметом. Например, если у Васи есть паспорт на имя Васи, то это - Вася.
2. Обладание уникальной информацией (памятью, опытом). Например, если Вася помнит пароль от аккаунта "vasya@gmail.com", то это - Вася.
3. Биометрия. Некто может сверить физиономию, отпечатки пальцев, узор радужной оболочки, ДНК Васи с некими заранее взятыми образцами и убедиться, что они совпадают.
4. Социальные связи. Если N человек с незяпятнанной репутацией заявят, что перед ними Вася, значит это действительно Вася.
5. Какая-либо комбинация вышеперечисленных факторов.

Далее рассмотрим различные аспекты применения тех или иных технических средств в реальной жизни и в интернете.

В реальной жизни законодательством РФ для идентификации (удостоверения) личности предусмотрен только один способ: паспорт гражданина РФ. Это способ "обладание предметом + биометрия". Какие у него есть слабые стороны.

• Технически сложно, но возможно подделать.
• Технически возможно подменить биометрическую информацию (фотографию).
• Биометрическая сверка требует участия человека, т.е. вносится элемент субъективности.
• Паспорт можно потерять / найти. Информация об утерянных паспортах распространяется достаточно медленно.
• Для совершения различных мошеннических действий во многих случах достаточно знать данные из паспорта, которые никак не защищены и не зашифрованы.
• Технически злоумышленнику ничто не мешает обратиться с заявлением о якобы утере чужого паспорта, "забрав" тем самым его личность (хотя это и "палево").

Реальные примеры из моей собственной жизни.

1. Я знаю человека, который подтвердил учётные записи на "госуслугах" своим родственникам, имея на руках только их паспорта.
2. Я знаю человека, которому по ошибке выдали в банке вклад, оформленный на его брата.

Кроме того, при прохождении процедуры восстановления паспорта от потерявшего требуется только заявление, фотографии, госпошлина и справка из полиции. При запросе всех этих документов личность человека никто не идентифицирует, ему "верят на слово". Налицо потенциальная "дыра" в безопасности огромных размеров.

Теоретические вопросы. Как можно усилить стойкость паспорта к вероятным попыткам мошенничества? Каким образом возможно модифицировать процедуру восстановления так, чтобы она стала более защищённой от попыток подмены личности?

Теперь про интернет. И вообще, про различные удалённые сделки / действия.

В настоящее время наиболее широко распространены способы удостоверения по паролю (обладание уникальной информацией) и SMS-подтверждения (обладание уникальным предметом, т.е. SIM-картой).

Недостатки пароля.

• Его можно украсть так, что законный обладатель этого не заметит или заметит слишком поздно.
• В ряде случаев его можно угадать / подобрать за достаточно короткое время.
• Среднестатистическому человеку сложно держать в памяти / мозгу много разных достаточно сложных / устойчивых паролей.
• Среднестатистический человек психологически обычно недооценивает важность сохранения пароля в тайне и степень тяжести возможных последствий, которые влечёт за собой компрометация пароля.
• Среднестатистический человек психологически обычно не осознаёт необходимости в создании пароля достаточной длины / сложности, а также часто не понимает отличий между "плохим" и "хорошим" паролями.
• Неясно каким образом идентифицировать пользователя в случае, если пароль забыт / утерян, если нет возможности воспользоваться другими методами идентификации.

Недостатки SMS-подтверждений.

• Входящую SMSку можно подсмотреть / украсть при помощи вредоносного ПО.
• Входящую SMSку можно перехватить при помощи интеллектуальных сервисов операторов, если телефон был скомпрометирован ранее.
• Возможно украсть / отобрать_силой телефон или SIM-карту.
• Возможно сделать дубликат / перевыпуск SIM-карты по поддельным документам.
• Телефонный номер может "протухнуть" и перейти к другому пользователю.

Теоретические вопросы. Какой можно сделать уникальный идентификатор для пользователя, одинаково пригодный и для реальной жизни, и для интернета? Какой можно придумать достаточно удобный способ удостоверения для среднестатистического не обремененного интеллектом человека? Какой можно создать электронный канал связи между государством и человеком, гарантированно работающий в течение всей его жизни?

Продолжение следует. А пока практический вопрос. Кто-нибудь уже купил / попробовал Titan Security Key имени Google? Если да, то как оно?