Механизмы установления личности в автоматизированных системах

В качестве примера осуществления процедур регистрации в удаленном режиме и выдачи удостоверяющих личность документов можно вспомнить онлайн-сервисы, с помощью которых можно пройти регистрацию на мероприятие, семинар, тренинг, экспозицию и пр. Зачастую в подобных случаях роль идентификатора выполняет пропуск либо билет, который сгенерировала система, а пользователь распечатал самостоятельно. Важно помнить, что данный подход, как правило, исключает возможность удостовериться в достоверности данных, предоставленных пользователем, а, следовательно, и возможность подтверждения личности кандидата на регистрацию. На сегодняшний день есть целая линейка способов, применяемых в процессе регистрации в удаленном режиме в автоматизированной системе (АС), посредством которых становится возможным узнать данные о личности регистрируемого.
Способ косвенной верификации. В рамках этого способа осуществляется сбор данных про автоматизированное рабочее место (АРМ) пользователя онлайн-площадки, к примеру IP-адрес, «Browser Fingerprint», переменные окружения, «HTTP-referer» и пр. Такого рода информация может задействоваться для последующего определения личности пользователя, желающего зарегистрироваться.
Для того, чтобы исключить ошибки и защитить систему от регистраций в автоматическом режиме, информация, которую пользователь внес в регистрационную форму, проверяется на корректность при помощи разных автоматизированных алгоритмов. В частности, проверяются:
размерность внесенных данных;
контрольные значения (ИНН, ОКПО и пр.);
проводится тест Тьюринга (так называемая CAPTCHA) [32], которая пресекает регистрацию «ботов»).
В то время, как характеристикам автоматизированного рабочего места (АРМ) присущ справочно-аналитический характер, сведения об аккаунтах в социальных сетях желающего зарегистрироваться, которые добыты при помощи API-функций, можно применять с целью верификации его ФИО. А правоохранительные структуры могут использовать информацию об IP-адресах для расследования преступлений и иных случаев.
Обобщенный алгоритм регистрации посетителя в АС, в рамках которого предусмотрен механизм косвенной верификации, проиллюстрирован рис. 2.1.
Рисунок 2.1 - Алгоритм регистрации субъекта доступа, использующий косвенную верификацию личности
Способ верификации с задействованием доверенных систем. Еще одна возможность верификации заключается в «привязке» регистрируемого профиля к номеру мобильного телефона. В таком случае «привязка» осуществляется с помощью направления одноразового кода, содержащегося в СМС-сообщении. Этот подход часто применяется при расширенной (многофакторной) аутентификации [9]. Так может обеспечиваться проведение финансовых транзакций в системах онлайн-банкинга и получение государственных услуг в электронном формате.
Если речь идет о банке либо государственной услуге, то в таких случаях «привязка» телефонного номера как еще одного, «расширяющего» фактора аутентификации, производится заранее, в ходе визита клиента в общедоступную часть спецучреждения и предъявления им удостоверяющего личность документа

. В общем, регистрация производится не в удаленном режиме.
Примечательно, что при регистрации в удаленном режиме отпадает необходимость заблаговременно посещать ММПЛ. Так как существует вероятность, что в качестве владельца предоставленного телефонного номера может фигурировать какой-то другой человек, а установить этот факт можно лишь с привлечением правоохранительных структур, то задействование одних лишь текстовых сообщений недостаточно для верификации. Именно это, возможно, обусловило внесение поправок в стандарт Digital Authentication Guideline [26]. Так, в частности, в него были включены рекомендации по недопущению использования СМС-сообщений как одной из составляющих расширенной аутентификации.
Чаще всего доверенной средой, на которую поступает гиперссылка для активации учетной записи, являются службы e-mail. Впрочем, такой способ не дает возможность удостовериться в том, что внесенные данные принадлежат данному субъекту доступа. Алгоритм регистрации, в рамках которого предполагается верификация с задействованием доверенной системы, проиллюстрирован рис. 2.2.
Рисунок 2.2 - Алгоритм регистрации субъекта доступа с верификацией посредством доверенной системы (среды)
Способ верификации с задействованием провайдера единого входа. Можно полностью передать функционал, связанный с верификацией пользователя доверенному третьему лицу – провайдеру единого входа (Federated Identity).
Как правило означенные провайдеры, которые задействуют OpenID или oAuth, занимаются удостоверением не самого физлица, а только связи определенной авторизационной информации пользователя Сети с OpenID/oAuth-идентификатором (URL). Следовательно, такого рода системы чаще всего не препятствуют анонимности: регистрируясь, субъект доступа в состоянии указать ложные сведения о себе.
Алгоритм регистрации, в рамках которого в роли верификатора предполагается задействование провайдера единого входа проиллюстрирован рис 2.3.
Рисунок 2.3 - Алгоритм регистрации субъекта доступа с верификацией провайдером единого входа
Наглядным примером такого провайдера-верификатора, можно указать Федеральную государственную информационную систему «Единая система идентификации и аутентификации» (ФГИС ЕСИА) [16], разработанную отечественным Минкомсвязи в рамках реализации проекта создания инфраструктуры электронного правительства. Основной целью указанной системы является упорядочивание и централизация ряда процессов, связанных с идентификацией, аутентификацией и авторизацией субъектов доступа. Среди ключевых задач данной системы следует выделить обработку идентификационных сведений, в состав которых включают: регистры физлиц и юридических лиц, структур и организаций, должностных лиц структур, организаций и информационных систем.
В рамках реализации своих функций рассматриваемым провайдером предусмотрены учетные записи трех ключевых типов [29]:
упрощенная – для того, чтобы ее зарегистрировать, необходимо вписать свои ФИО и один из каналов, по которому можно поддерживать связь с пользователем