Привет, Хабр! На связи Дмитрий Грудинин, Avanpost, и Павел Анфимов, Компания ‘’Актив’’. Сегодня мы предлагаем поговорить о том, почему нельзя использовать простые пропуска СКУД с RFID-метками ни как основной, ни как дополнительный факторы доступа к информационным системам. В этой статье мы обсудим минусы такого метода аутентификации и поделимся опытом организации надежной системы защиты доступа с использованием специальных смарт-карт с RFID-метками. 

За последние годы ассортимент решений по аппаратной аутентификации существенно расширился. На сегодня подавляющее большинство устройств пользователей поддерживают FIDO Passkeys, FIDO WebAuthn и много чего еще интересного, что позволяет по-новому взглянуть на привычную аппаратку. Несмотря на это, в корпоративном сегменте наблюдается рост популярности идеи использования СКУД-карточек для аутентификации одношаговой, двухшаговой и даже многофакторной. О причинах роста популярности СКУД мы можем только догадываться, но эта тенденция вызывает у нас опасения. 

Совершенно понятно, почему использование одной и той же карты для доступа сотрудников в помещение и для входа в ИС выглядит привлекательно с точки зрения пользователей и руководителей в организациях. У сотрудников уже есть карты, никому ничего не нужно выдавать дополнительно, не требуется создавать новую базу данных. Казалось бы, можно использовать уже внедренные решения для того, чтобы повысить защищенность доступа к информационным системам, а также обеспечить комфорт для самих сотрудников.

Однако на практике такой подход связан с массой нюансов, которые сводят на нет все меры безопасности и даже создают иллюзорное ощущение защиты, как при однофакторном входе через RFID, так и при использовании пропуска в качестве второго фактора аутентификации.

Особенности карт СКУД на основе RFID

Все дело в том, что простые, недорогие и широко распространенные карты СКУД (такие как Proximity или Mifare Classic) обладают характеристиками, не подходящими для контроля доступа к значимым ресурсам. Это касается не только информационных систем, но даже помещений. 

Простые и незащищенные карты с RFID доступны и дешевы, их легко изготовить и передать сотрудникам. А еще их очень легко скопировать! Поэтому пропуска с RFID активно используются для контроля доступа на объекты с некритичным уровнем безопасности. Во всех остальных ситуациях необходим (и, как правило, используется) дополнительный фактор.

Хотя существуют более дорогие RFID-карты с аппаратной криптографией, обеспечивающей высокий уровень защиты ключей, администраторы СКУД редко используют эти возможности из-за сложности администрирования при использовании карт в защищенном режиме.

Приведем простой пример. Сотрудники заходят на территорию под внимательным взглядом охранника. Он не случайно наблюдает за теми, кто поворачивает турникет. Во-первых, охранники со стажем прекрасно помнят практически всех сотрудников, а, во-вторых, чаще всего при активации карты на экране монитора возникает фото сотрудника, которому она принадлежит. Так происходит сверка карты с личностью ее владельца.

Ну, а если речь идет о доступе к информационной системе? Никакого охранника, сверяющего личность с RFID-картой, рядом нет. И если кто-то взял чужой пропуск или скопировал его, он сможет беспрепятственно получить доступ к тем информационным ресурсам, которые от него же и защищают. 

Использование пары логин-пароль вместе с RFID-картой делает ситуацию еще хуже. Ответственные лица рапортуют начальству о том, что в компании внедрена двухфакторная аутентификация, а фактически у сотрудника можно украсть пароль и скопировать карту, и он об этом даже не узнает!

Бывает ли безопасным доступ по простым RFID-картам?

Аутентификация в информационных системах с использованием только RFID-карты совершенно точно небезопасна. Самые простые, но распространенные RFID-карты не имеют механизма защиты от клонирования. Вот основные причины, по которым они так легко копируются:

1.  Статический идентификатор (UID) и отсутствие криптографии (самая главная причина):

• подавляющее большинство дешевых RFID-карт, используемых для проходных, платежей в столовых, гостиничных ключей, при каждом сканировании просто передают один и тот же уникальный идентификатор (UID) или, в некоторых случаях, данные из памяти в открытом виде;

• отсутствие взаимной аутентификации: карта не "доказывает" считывателю, что она настоящая с помощью сложных криптографических алгоритмов. Она просто сообщает "Привет, я карта номер 123456789!" каждый раз, когда ее облучают радиоволной нужной частоты;

• считывание = копирование. Злоумышленнику достаточно один раз прочитать этот UID и данные (что делается за доли секунды обычным ридером), а затем записать их на пустую карту-заготовку или программируемый брелок, например флиппер. Эта копия будет вести себя точно так же, как оригинал для считывателя, потому что передает тот же самый ID.

2.  Доступность оборудования и простота процесса копирования:

•  низкий порог входа: устройства для чтения/записи (RFID-клонеры) простых RFID-карт дешевы и широко доступны (часто за $10-$50). Их легко купить онлайн;

• простота использования. Процесс клонирования часто сводится к нескольким нажатиям кнопок на клонере. Никаких специальных знаний не требуется;

• уязвимость к бесконтактному сканированию. Злоумышленнику не обязателен физический доступ к карте. Мощные считыватели могут просканировать карту через карман, сумку или кошелек на расстоянии.

Простые RFID-карты можно использовать для быстрой идентификации в наименее критичных системах, если пользователь прошел предварительную аутентификацию с использованием надежных методов, например, таких как PKI.

Но если вам необходимо ограничиться одной картой для решения вопросов информационной безопасности, как вариант, можно рассмотреть интересные решения, которые сочетают в себе сразу несколько технологий. Например, смарт-карта с аппаратной криптографией Рутокен позволяет построить систему аутентификации вместе с Avanpost MFA+. На карту можно нанести любую графическую информацию, добавить RFID-метку для доступа в СКУД. Но главное, “на борту” смарт-карты можно создавать неизвлекаемые ключи электронной подписи (ЭП) и использовать их в качестве аутентификационной информации на основе инфраструктуры открытых ключей (PKI), реализуя тем самым надежную, строгую аутентификацию.

Смарт-карта Рутокен с фотографией и данными сотрудника объединяет в одном устройстве возможности нескольких карт: доступ в помещения с автоматизированным и личным контролем, а также надежную аутентификацию в информационные системы.

Кажется, что начали про удобный и поддерживаемый всеми устройствами FIDO, а теперь снова про PKI, который не всегда и не везде тривиально внедряется и работает. Если компания стремится использовать карту сотрудника для аутентификации без лишних сложностей при внедрении и эксплуатации, а также без компромиссов для безопасности инфраструктуры, интеграцию с прикладными системами целесообразно поручить корпоративной системе управления цифровыми идентичностями (Identity & Access Management), например реализовать это через решение Avanpost MFA+. В рамках совместного решения Avanpost MFA+ с продуктами Компании “Актив” удалось добиться подключения к PKI-аутентификации всех видов корпоративных систем, которые только можно подключить. И самое главное:  в данном решении можно обеспечить унифицированный, платформо- и драйверонезависимый способ проверки ЭП при использовании карт. Этого можно добиться за счет использования приложений-аутентификаторов Avanpost Authenticator Mobile и Avanpost Authenticator Desktop из состава линейки продуктов Avanpost Access. И приятный бонус: не нужно разрабатывать специфический драйвер для конкретного считывателя СКУД - все работает штатно, почти как в FIDO.

Система ИБ с подобными картами работает следующим образом. Каждому сотруднику выдается персональная смарт-карта, на которой должны быть созданы ключи ЭП и сертификат формата Х.509. Закрытый ключ создается непосредственно в защищенной памяти устройства и не может быть извлечен или скопирован в отличие от метки RFID.

Процесс аутентификации в инфраструктуре PKI происходит с использованием асимметричной криптографии, т. е. реализуется строгая криптографическая аутентификация по схеме запрос-ответ. Это действительно надежный способ аутентификации, в процессе которого используются факторы двух типов: фактор владения (для получения доступа к информационной системе пользователь должен предоставить смарт-карту Рутокен) и фактор знания  PIN-кода устройства. Даже подсмотрев PIN-код злоумышленник ничего не добьется, так как ему нужно будет предъявить устройство, кража которого быстро обнаруживается, ведь это пропуск! Владелец смарт-карты своевременно заметит это, уведомит администратора, и возможность использования устройства будет заблокирована. 

Для реализации многофакторной аутентификации используется Avanpost MFA+. Решение задействует криптографические методы аутентификации и сохраняет в защищенной памяти устройств Рутокен аутентификационную информацию без возможности извлечения.

Такой подход повышает общий уровень информационной безопасности в компании с минимальными затратами, а также защищает учетные записи от несанкционированного доступа и решает проблему незаблокированных компьютеров и сессий.

Заключение

В завершение скажем, что надежная аутентификация по картам доступа действительно возможна. В этом случае используется не банальная RFID-карта или не только RFID-метка, а строгая аутентификация на основе криптографических преобразований, не сложная в использовании, с точки зрения пользователя, за счет хорошо продуманного и проработанного совместного решения компаний Avanpost и “Актив”. В нашем случае это сочетание персональной смарт-карты Рутокен с аппаратной криптографией, как средства аутентификации в сервисы, с RFID-меткой для доступа в СКУД и Avanpost MFA+, который позволяет обеспечить аутентификацию по ЭП через персональную смарт-карту для любых корпоративных приложений. Плюсы такого решения в сочетании нескольких факторов:  понятного порядка внедрения, единой точки управления корпоративными аутентификаторами для администратора и высокого уровня защиты при очевидном комфорте для сотрудников, которым не приходится носить с собой несколько аутентификаторов для разных задач.