Mundarija № Mavzular
Ko‘p faktorli autentifikatsiyaning axborot xavfsizligidagi o‘rni
Yüklə 102,32 Kb.
|
|
1.3. Ko‘p faktorli autentifikatsiyaning axborot xavfsizligidagi o‘rni
Hujumlarning 0,1% bu (Ko‘p faktorli autentifikatsiya, multi-factor authentication, MFА) tokenlarini ushlash uchun texnik echimlardir, ammo ular kamdan-kam hollarda ro‘y beradi. Microsoft bulut xizmatlarida har kuni 300 millionga yaqin qalbaki kirish urinishlari amalga oshiriladi. Ko‘p faktorli autentifikatsiya (MFА) hisoblarni ko‘plab hujumlardan himoya qilishga yordam beradi. Microsoft mutaxassislarining fikriga ko‘ra, hisoblari uchun ko‘p faktorli autentifikatsiyani yoqtirgan foydalanuvchilar oxir-oqibat 99,9% avtomatik hujumlarni blokirovka qiladi. Tavsiya nafaqat Microsoft hisob qaydnomalariga, balki har qanday boshqa profil, veb-sayt yoki onlayn xizmatga ham tegishli. Agar xizmat ko'rsatuvchi provayder ko‘p faktorli autentifikatsiyani qo‘llab-quvvatlasa, Microsoft bir martalik SMS parollari yoki zamonaviy biometrik echimlar kabi qanday bo‘lishidan qat’iy nazar undan foydalanishni tavsiya qiladi. Microsoft tadqiqotchilarining fikriga ko‘ra, so‘nggi yillarda “hech qachon buzilgan parolni ishlatmang” yoki “uzoq paroldan foydalanmang” kabi eski maslahatlar ko‘pincha yordam bermayapti. Hozirgi vaqtda kiber jinoyatchilar foydalanuvchining shaxsiy ma’lumotlarini olish uchun turli xil usullarga ega va ko‘p holatlarda parol va uning murakkabligi muhim emas. Ko‘p faktorli autentifikatsiyani yoqish doimiy ravishda qalbaki kirishga urinishlaridan himoya qiladi. Bu kiber jinoyatchilar (MFА) tokenlarini ushlash uchun texnik echimlardan foydalangan holda faqat 0.1% hujumlarni blokirovka qila olmaydi,ammo ular kamdan-kam hollarda bo‘ladi. Ko‘p faktorli autentifikatsiya (MFA; ikki faktorli autentifikatsiyani yoki 2FA, shu kabi shartlarni o‘z ichiga oladi) elektron autentifikatsiya usuli bo‘lib, foydalanuvchiga ikki yoki undan ortiq dalillarni (yoki) muvaffaqiyatli taqdim etgandan keyingina veb-sayt yoki ilovaga kirish huquqi beriladi. Autentifikatsiya mexanizmiga omillar sifatida: bilim (faqat foydalanuvchi biladi), egalik (faqat foydalanuvchiga tegishli narsa) va biometrik (faqat foydalanuvchiga tegishli narsa). MFA foydalanuvchining shaxsiy identifikatori yoki moliyaviy aktivlarini o‘z ichiga olishi mumkin bo‘lgan ma’lumotlarni, masalan, bitta parolni topishi mumkin bo‘lgan ruxsatsiz uchinchi tomon kirishidan himoya qiladi. Uchinchi tomon autentifikatori (Third Party Authenticator) ilovasi odatda autentifikatsiya uchun foydalanish uchun tasodifiy yaratilgan va tez-tez o‘zgarib turadigan kodni ko‘rsatish orqali ikki faktorli autentifikatsiyani ta’minlaydi. O‘z shaxsini tasdiqlash uchun bir nechta autentifikatsiya omillaridan foydalanish ruxsatsiz ishtirokchi kirish uchun zarur bo‘lgan omillarni ta’minlay olmaydi degan asosga asoslanadi. Agar autentifikatsiyaga urinishda komponentlardan kamida bittasi etishmayotgan yoki noto‘g‘ri taqdim etilgan bo‘lsa, foydalanuvchining identifikatori yetarlicha aniqlik va ko‘p faktorli autentifikatsiya bilan himoyalangan aktivga (masalan, bino yoki ma’lumotlarga) kirish imkoni bilan aniqlanmagan bo‘lsa, u holda bloklangan holda qoladi. Ko‘p faktorli autentifikatsiya xemasining autentifikatsiya omillari quyidagilarni o‘z ichiga olishi mumkin: Foydalanuvchida bor nimadir: foydalanuvchida bo'lgan har qanday jismoniy ob'ekt, masalan, xavfsizlik tokeni (USB token), bank kartasi, kalit va boshqalar. Foydalanuvchiga ma’lum narsa: faqat foydalanuvchiga ma’lum bo‘lgan ma’lumotlar, masalan, parol, PIN-kod va boshqalar. Foydalanuvchining biometrik parametri: foydalanuvchining ba’zi jismoniy xususiyatlari (biometriya), masalan, barmoq izi, ko‘z qorasi, ovoz, yozish tezligi, tugmachalarni bosish oraliqlaridagi shablon va boshqalar. Ikki faktorli autentifikatsiyaga misol sifatida bankomatdan pul yechib olish mumkin; faqat bank kartasi (foydalanuvchi ega bo‘lgan narsa) va PIN-kod (foydalanuvchi biladigan narsa)ning to‘g‘ri kombinatsiyasi tranzaktsiyani amalga oshirishga imkon beradi. Yana ikkita misol, foydalanuvchi tomonidan boshqariladigan parolni bir martalik parol (OTP) yoki autentifikatsiya qiluvchi tomonidan yaratilgan yoki qabul qilingan kod (masalan, xavfsizlik tokeni yoki smartfon) bilan toʻldirishdir, bu faqat foydalanuvchiga tegishlidir. Uchinchi tomon autentifikatsiya ilovasi ikki faktorli autentifikatsiyani boshqa usulda, odatda, SMS yuborish yoki boshqa usuldan foydalanish o‘rniga foydalanuvchi foydalanishi mumkin bo‘lgan tasodifiy yaratilgan va doimiy yangilanadigan kodni ko‘rsatish orqali amalga oshiradi. Ushbu ilovalarning katta afzalligi shundaki, ular odatda Internetga ulanmasdan ham ishlashda davom etadilar. Uchinchi tomon autentifikator ilovalariga misollar orasida Google Authenticator, Authy va Microsoft Authenticator; LastPass kabi ba’zi parol menejerlari ham xizmatni taklif qiladi. Matnli xabar orqali ikki faktorli autentifikatsiya 1996-yilda, AT&T ikki tomonlama peyjerlar orqali kodlar almashinuviga asoslangan tranzaktsiyalarni avtorizatsiya qilish tizimini tavsiflaganida ishlab chiqilgan. Ko‘pgina ko‘p faktorli autentifikatsiya sotuvchilari mobil telefonga asoslangan autentifikatsiyani taklif qilishadi. Ba’zi usullarga push-ga asoslangan autentifikatsiya, QR-kodga asoslangan autentifikatsiya, bir martalik parol autentifikatsiyasi (tasodifiy qiymat va vaqtga asoslangan) va SMS-ga asoslangan tekshirish kiradi. SMS-ga asoslangan tekshirish ba’zi xavfsizlik muammolaridan aziyat chekadi. Telefonlarni klonlash mumkin, ilovalar bir nechta telefonlarda ishlashi mumkin va uyali telefonlarga texnik xizmat ko‘rsatuvchi xodimlar SMS matnlarini o‘qishlari mumkin. Kamida, uyali telefonlar umuman buzilgan bo‘lishi mumkin, ya’ni telefon faqat foydalanuvchiga tegishli bo‘lmaganda. Autentifikatsiyaning asosiy kamchiliklari, shu jumladan foydalanuvchida mavjud bo‘lgan narsa shundaki, foydalanuvchi deyarli har doim jismoniy tokenni (USB flesh-diski, bank kartasi, kalit yoki shunga o‘xshash) olib yurishi kerak. Yo‘qotish va o‘g‘irlik unga xavf hisoblanadi. Ko‘pgina tashkilotlar zararli dasturlar va ma’lumotlarni o‘g‘irlash xavfi tufayli USB va elektron qurilmalarni binolar ichida yoki tashqarisida olib yurishni taqiqlaydi va aksariyat muhim mashinalarda xuddi shu sababga ko‘ra USB portlari yo‘q. Fizik tokenlar odatda o‘lchovga ega emas, odatda har bir yangi hisob va tizim uchun yangi tokenni talab qiladi. Ushbu turdagi tokenlarni sotib olish va keyinchalik almashtirish xarajatlarni o‘z ichiga oladi. Bundan tashqari, foydalanish imkoniyati va xavfsizlik o‘rtasida o‘ziga xos qarama-qarshiliklar va muqarrar o‘zaro kelishuvlar mavjud. Mobil telefonlar va smartfonlarni o‘z ichiga olgan ikki bosqichli autentifikatsiya maxsus jismoniy qurilmalarga alternativa hisoblanadi. Autentifikatsiya qilish uchun odamlar qurilmaga shaxsiy kirish kodlaridan (yaʼni, faqat individual foydalanuvchiga maʼlum boʻlgan narsa) hamda odatda 4 dan 6 gacha raqamdan iborat boʻlgan bir martalik amal qiluvchi dinamik paroldan foydalanishlari mumkin. Parolni ularning mobil qurilmasiga SMS orqali yuborish yoki bir martalik parol yaratuvchi ilova orqali yaratish mumkin. Ikkala holatda ham mobil telefondan foydalanishning afzalligi shundaki, qo‘shimcha maxsus tokenga ehtiyoj yo‘q, chunki foydalanuvchilar o‘z mobil qurilmalarini doimo yonida olib yurishadi. SMS tekshiruvining mashhurligiga qaramay, xavfsizlik himoyachilari SMS tekshiruvini ochiq tanqid qilishdi va 2016-yil iyul oyida Amerika Qoʻshma Shtatlari NIST yoʻriqnomasi loyihasi uni autentifikatsiya shakli sifatida bekor qilishni taklif qildi. Bir yil o‘tgach, NIST yakuniy yo‘riqnomada haqiqiy autentifikatsiya kanali sifatida SMS tekshiruvini tikladi. 2016 va 2017-yillarda Google ham, Apple ham muqobil usul sifatida foydalanuvchiga push-bildirishnomalar bilan ikki bosqichli autentifikatsiyani taklif qila boshladilar. Mobil yetkazib beriladigan xavfsizlik tokenlarining xavfsizligi to‘liq uyali aloqa operatorining operatsion xavfsizligiga bog‘liq va milliy xavfsizlik agentliklari tomonidan tinglash yoki SIM kartani klonlash orqali osongina buzilishi mumkin. Yüklə 102,32 Kb. Dostları ilə paylaş:
|