Har qanday taraqqiy etgan jamiyat hayotida axborotning ahamiyati uzluksiz ortib bormoqda



Yüklə 1,81 Mb.
səhifə6/18
tarix09.09.2022
ölçüsü1,81 Mb.
#63505
1   2   3   4   5   6   7   8   9   ...   18
asosiy qism111

Tadbiqi:

  • SMS

  • Qurilmaviy tokenlar

  • Dasturiy tokenlar

OTP-token qurilmalari foydalanish uchun qulay hisoblanib uning quvvat beruvchi batareykalarini almashtirish talab etilamydi. Uning batareykalari 5-7 yilgacha muddatda ishlay oladi. Quyida biz yana bir bor OTP-token qurilmasining ishlatilish jarayonini yana boshqa bir tashkilot misolida ko‘rib chiqishimiz mumkin. Skretch-kartalar va OTP-tokenlar “Klient-bank” tizimining qo‘shimcha avtorizatsiyasi uchun qo‘llaniladi. Bunda oltitalik bir martalik kodlardan iborat bo‘ladi. Tizim serveriga birinchi kirish tasdig‘ini amalga oshirgandan so‘ng tizim foydalanuvchining umumiy chiqimlari summasini hisoblab chiqaradi. Agar foydalanuvchi bankda yana qo‘shimcha hisob kitoblar haqida ma’lumotga ega bo‘lmoqchi bo‘lsa, unda tizim yana bir bor quyidagi interfeys orqali bir martalik kodni kiritishni talab etadi.
Har bir kod bir marta foydalaniladi. Skretch-karta – bu 114 talik kodlardan iborat, 8x5 sm o‘lchamga ega, tipografik qoplama bilan o‘ralgan plastik karta.
Har safar dasturga kod kiritishda foydalanuvchi mazkur kartadagi 114 ta kodlardan foydalanib chiqadi. Agar 114 ta kod foydalanib bo‘linsa, foydalangan kodlardan qaytadan foydalanib bo‘lmaydi. Bunday holatda bank o‘zining mijozlari uchun ayngi skretch-karta taqdim etadi.
Skretch-kartalar domiy va har safar ko‘plab operatsiyalar hisobotini oluvchi mijozlar uchun noqula hisoblanadi, noqulayligi shundaki, bunda bir vaqtning o‘zida bir nech aoperatsiyalar bajariladigan bo‘lsa, mijozlar bir necha skretch-karta olishiga to‘g‘ri keladi. Ya’ni 114 ta kodlar tugab qoladigan bo‘lsa, mijoz o‘ziga kerak bo‘lgan ma’lumotlarni olishi uchun yo‘l qolmasligi mumkin.
OTP-token qurilmalari maxfiylik jihatidan PIN kodlar bilan himoyalangan bo‘ladi. Mazkur PIN kodni faqat qurilmaning asl egasigina bilishi mumkin.
Tasdiqlash bir martalik parolni olishda qurilma tugmasi bosiladi va 20 sekund ichida bir martali parol ekranda ko‘rsatiladi, 20 sekunddan keyin esa avtomatik ravishda ekran o‘chadi [15].
Bir martalik parollar bir martalik autentifikatsiya uchun mo‘ljallangan. Ularni hech kim qayta ishlatolmaydi. Lekin bir martalik parollar o‘zini – o‘zi himoyalay olmaydi. Buzg‘unchi uni nusxalab ishlata olmaydi. Chunki parollar bir marta ishlatilgandan so‘ng tizimdan o‘chiriladi. OTP tokenlar bir martalik parollarning generatori hisoblanadi. Generatorlar ma’lum bir algoritm bo‘yicha psevdotasodifiy sonlar bilan ishlaydi. Chunki bu turdagi autentifikatsiya ikkinchi tomonni talab qiladi. Generatorlar kodi yoki algoritmi maxsus xotira qurilmalariga joylashtiriladi. Ular hozirgi kunga ko‘plab tizimlarda ishlatiladi. Chunki ular ma`lum vaqt intervalida o‘z kuchini yo‘qotadi.
Ular ishonchli bo‘lishiga qaramay bir qancha zaifliklarga ega. Quyida ular haqida keltiramiz.
Xavfsizlik
To‘g‘ri foydalanilganda, OTPlar dastlabki foydalanishdan keyin qisqa vaqt ichida tajovuzkor uchun foydasiz bo‘lib qoladi. Bu yillar o‘tib tajovuzkorlar uchun foydali bo‘lib qolishi mumkin bo‘lgan parollardan farq qiladi.
Parollar singari, OTPlar ham ijtimoiy muhandislik hujumlariga nisbatan zaifdir, bunda fisherlar mijozlarni ularga OTPlarini berish uchun aldab, OTPlarni o‘g‘irlaydilar. Xuddi parollar singari, OTPlar ham o‘rtadagi odam hujumlariga qarshi himoyasiz bo‘lishi mumkin, shuning uchun ularni Transport Layer Security kabi xavfsiz kanal orqali uzatish muhim.
Parollar ham, OTP ham xuddi shunday turdagi hujumlarga nisbatan zaif ekanligi fishing hujumlariga qarshilikni oshirish uchun moʻljallangan universal 2-faktorni yaratish uchun asosiy turtki boʻldi.
OTP ning zaifliklari
Bir martali parollar texnologiyasi yetarlicha ishonchli hisoblanadi. OTP prinsipini tizimlarda qo‘llashda ham bir qancha no qulayliklar mavjud. Kamchiliklarni ikki guruhga bo‘lsak bo‘ladi. Birinchisi potensial xavfli bo‘lgan “tuynuklar” bilan bog‘liq. Ulardan xavflirog‘i autentifikatsiya serveridan yo‘l ochish. Bunda user barcha malumotlarni to‘g‘ri buzg‘unchiga jo‘natadi va bu ma’lumotlar haqiqiy serverga kirish uchun ishlatiladi. “so‘roq – javob ” metodida hujum algoritmi osonroq bo‘ladi(haker o‘rtadagi odam sifatida server va klient orasida axborot almashinuvchi sifatida turadi). Amalda bu hujumni amalga oshirish anchagina murakkab.
Keyingi zaiflik bu autentifikatsiyada ikkinchi tomonni talab qilinishi va server malumotlarini user dasturiy yoki apparat ta’minoti orqali xavf ostida qolishidir. Real vaqt tizimida bu tizim bir tomon ma’lumotini ikkinchisi tasdiqlashini talab qiladi. Userda apparat yoki dasturiy taminot bo‘lmasa bu ulanish va autentifikaatsiya amalga oshmaydi. Lekin bunaqa holat kam uchraydi.
Bir martali parollarda hujumlar amalga oshirish maxsus usullarga ko‘ra oshiriladi. Misol sifatida yana vaqtga nisbatan sinxronizatsiya usulini olamiz. Oldin aytilganidek algoritm vaqtning qaysidir sekundida emas oldindan belgilangan oraliqqa nisbatan ishlatiladi. Bu vaqtni sinxronlash imkoniyatidan kelib chiqadi va ma’lumotlar almashishning to‘xtalishiga asoslanadi. Va ayni shu paytda buzg‘unchi ruhsat etilmagan tizimga kirish imkoniga ega bo‘ladi. Dastlab haker userning serverdagi autentifikatsiyasidagi tarmoq trafigini “eshitish” usulidan foydalanib “qurbon” ga jo‘natilgan login va bir martalik parolni ushlab qoladi. Keyin u qurbonni komputerini bloklaydi va autentifikatsiya uchun parolni jo‘natadi va avturozatsiyaga o‘tadi. Agar buzg‘unchi buni tez amalga oshirsa tizim uni ro‘yhatga olinga foydalanuvchi sifatida qabul qiladi.
Bunday hujumni amalga oshirish uchun buzg‘unchi tarmoqni eshitish imkoniyati va klientni tezda bloklash usuliga ega bo‘lishi kerak va bu oson emas. Agarda buzg‘unchi bu imkoniyatlarga ega bo‘lsa demak hujum oldinroq va yaxshi shakllantirilgan bo‘ladi va “qurbon” tanlanganda uni egallash boshqa tarmoq orqali amalga oshiriladi. Bunda buzg‘unchi oldindan o‘sha tarmoqdagi kompyuterlardan birini egallagan bo‘ladi va u orqali boshqa mashinalarni boshqarishi mumkin bo‘ladi. Bunday hujumlardan himoyalanishning usuli faqat “ishonchli” kompyuterlardan foydalanish va himoyalangan tarmoq orqali internetga ulanish.
OTP dan foydalanishdagi xavf – xatarlar
Ikki faktorli avtorizatsiyada OTP ning ishonchli ekanligiga qaramay bazi xavflar va tahdidlar mavjud.
Parolni ushlab qolish. Bu usul adatda “o‘rtadagi odam” deb ataladi, haker parolni ushlab qolib klient o‘rnidan avtorizatsiyaga ega bo‘ladi. Undan saqlanish uchun ma’lumotlar almashishda 2FA usulini yoqish mumkin, Protectimus SMART tokeni ishlatilayotganda autentifikatsiya faqat parolga emas balki qo‘shimcha aniq parametrlar: tarmoq chiqish joyi, brauzer, tizim tili va boshqalarni so‘rashga asoslanadi.
Tokenni yo‘qotish: Tokenni yo‘qish xavfi mavjud va uni begonalar foydalanmasligidan himoyalash zarur. Buning uchun qurilma bilan ishlash uchun PIN-kodlardan foydalaniladi.
PIN – kod tanlash: bunday hujumdan himoyalanishning eng qulay usuli tokening PIN kod sozlamasini bir marta urunishli sozlamaga qo‘yish talab etiladi.
Token dasturini buzish: haker token dasturini ko‘chirib olishi va OTP ni generatsiya qilish uchun mahfiy kalitlarni qayda saqlanayotganini qidirishi mumkin. OTP ni hisoblashda PIN kod himoya usuli sifatida foydalanadi. Bunday vaziyatda hatto maxfiy kalitni bilish ham parol hosil qilishga yordam bermaydi, chunki PIN kod token dasturida saqlanmaydi [16].
OTP tokenlar asosida ishlovchi tizimlarga misol qilib TELEGRAM messenjerini olsak. Ushbu messengerda profil yaratayotganimizda u bizning telefon raqamimizga parol jonatadi. Ushbu parolni kiritganimizdan so‘ng biz undan foydalanish huquqiga ega bo‘lamiz.

Yüklə 1,81 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   18




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin