1.3. Ko‘p faktorli autentifikatsiyaning axborot xavfsizligidagi o‘rni
Hujumlarning 0,1% bu (Ko‘p faktorli autentifikatsiya, multi-factor
authentication, MFА) tokenlarini ushlash uchun texnik echimlardir, ammo ular
kamdan-kam hollarda ro‘y beradi.
Microsoft bulut xizmatlarida har kuni 300 millionga yaqin qalbaki kirish
urinishlari amalga oshiriladi. Ko‘p faktorli autentifikatsiya (MFА) hisoblarni
ko‘plab hujumlardan himoya qilishga yordam beradi.
Microsoft mutaxassislarining fikriga ko‘ra, hisoblari uchun ko‘p faktorli
autentifikatsiyani yoqtirgan foydalanuvchilar oxir-oqibat 99,9% avtomatik
hujumlarni blokirovka qiladi. Tavsiya nafaqat Microsoft hisob qaydnomalariga,
balki har qanday boshqa profil, veb-sayt yoki onlayn xizmatga ham tegishli. Agar
xizmat ko'rsatuvchi provayder ko‘p faktorli autentifikatsiyani qo‘llab-quvvatlasa,
Microsoft bir martalik SMS parollari yoki zamonaviy biometrik echimlar kabi
qanday bo‘lishidan qat’iy nazar undan foydalanishni tavsiya qiladi.
Microsoft tadqiqotchilarining fikriga ko‘ra, so‘nggi yillarda “hech qachon
buzilgan parolni ishlatmang” yoki “uzoq paroldan foydalanmang” kabi eski
maslahatlar ko‘pincha yordam bermayapti. Hozirgi vaqtda kiber jinoyatchilar
foydalanuvchining shaxsiy ma’lumotlarini olish uchun turli xil usullarga ega va ko‘p holatlarda parol va uning murakkabligi muhim emas.
Ko‘p faktorli autentifikatsiyani yoqish doimiy ravishda qalbaki kirishga
urinishlaridan himoya qiladi. Bu kiber jinoyatchilar (MFА) tokenlarini ushlash
uchun texnik echimlardan foydalangan holda faqat 0.1% hujumlarni blokirovka qila olmaydi,ammo ular kamdan-kam hollarda bo‘ladi.
Ko‘p faktorli autentifikatsiya (MFA; ikki faktorli autentifikatsiyani yoki 2FA,
shu kabi shartlarni o‘z ichiga oladi) elektron autentifikatsiya usuli bo‘lib,
foydalanuvchiga ikki yoki undan ortiq dalillarni (yoki) muvaffaqiyatli taqdim
etgandan keyingina veb-sayt yoki ilovaga kirish huquqi beriladi. Autentifikatsiya
mexanizmiga omillar sifatida: bilim (faqat foydalanuvchi biladi), egalik (faqat
foydalanuvchiga tegishli narsa) va biometrik (faqat foydalanuvchiga tegishli narsa).
MFA foydalanuvchining shaxsiy identifikatori yoki moliyaviy aktivlarini o‘z ichiga
olishi mumkin bo‘lgan ma’lumotlarni, masalan, bitta parolni topishi mumkin
bo‘lgan ruxsatsiz uchinchi tomon kirishidan himoya qiladi.
Uchinchi tomon autentifikatori (Third Party Authenticator) ilovasi odatda
autentifikatsiya uchun foydalanish uchun tasodifiy yaratilgan va tez-tez o‘zgarib
turadigan kodni ko‘rsatish orqali ikki faktorli autentifikatsiyani ta’minlaydi.
O‘z shaxsini tasdiqlash uchun bir nechta autentifikatsiya omillaridan
foydalanish ruxsatsiz ishtirokchi kirish uchun zarur bo‘lgan omillarni ta’minlay
olmaydi degan asosga asoslanadi. Agar autentifikatsiyaga urinishda komponentlardan kamida bittasi etishmayotgan yoki noto‘g‘ri taqdim etilgan bo‘lsa, foydalanuvchining identifikatori yetarlicha aniqlik va ko‘p faktorli autentifikatsiya bilan himoyalangan aktivga (masalan, bino yoki ma’lumotlarga) kirish imkoni bilan aniqlanmagan bo‘lsa, u holda bloklangan holda qoladi. Ko‘p faktorli autentifikatsiya xemasining autentifikatsiya omillari quyidagilarni o‘z ichiga olishi mumkin:
Foydalanuvchida bor nimadir: foydalanuvchida bo'lgan har qanday jismoniy
ob'ekt, masalan, xavfsizlik tokeni (USB token), bank kartasi, kalit va boshqalar.
Foydalanuvchiga ma’lum narsa: faqat foydalanuvchiga ma’lum bo‘lgan
ma’lumotlar, masalan, parol, PIN-kod va boshqalar.
Foydalanuvchining biometrik parametri: foydalanuvchining ba’zi jismoniy
xususiyatlari (biometriya), masalan, barmoq izi, ko‘z qorasi, ovoz, yozish tezligi,
tugmachalarni bosish oraliqlaridagi shablon va boshqalar.
Ikki faktorli autentifikatsiyaga misol sifatida bankomatdan pul yechib olish
mumkin; faqat bank kartasi (foydalanuvchi ega bo‘lgan narsa) va PIN-kod
(foydalanuvchi biladigan narsa)ning to‘g‘ri kombinatsiyasi tranzaktsiyani amalga
oshirishga imkon beradi. Yana ikkita misol, foydalanuvchi tomonidan
boshqariladigan parolni bir martalik parol (OTP) yoki autentifikatsiya qiluvchi
tomonidan yaratilgan yoki qabul qilingan kod (masalan, xavfsizlik tokeni yoki
smartfon) bilan toʻldirishdir, bu faqat foydalanuvchiga tegishlidir.
Uchinchi tomon autentifikatsiya ilovasi ikki faktorli autentifikatsiyani boshqa
usulda, odatda, SMS yuborish yoki boshqa usuldan foydalanish o‘rniga
foydalanuvchi foydalanishi mumkin bo‘lgan tasodifiy yaratilgan va doimiy
yangilanadigan kodni ko‘rsatish orqali amalga oshiradi. Ushbu ilovalarning katta
afzalligi shundaki, ular odatda Internetga ulanmasdan ham ishlashda davom etadilar.
Uchinchi tomon autentifikator ilovalariga misollar orasida Google Authenticator,
Authy va Microsoft Authenticator; LastPass kabi ba’zi parol menejerlari ham
xizmatni taklif qiladi.
Matnli xabar orqali ikki faktorli autentifikatsiya 1996-yilda, AT&T ikki
tomonlama peyjerlar orqali kodlar almashinuviga asoslangan tranzaktsiyalarni
avtorizatsiya qilish tizimini tavsiflaganida ishlab chiqilgan.
Ko‘pgina ko‘p faktorli autentifikatsiya sotuvchilari mobil telefonga
asoslangan autentifikatsiyani taklif qilishadi. Ba’zi usullarga push-ga asoslangan
autentifikatsiya, QR-kodga asoslangan autentifikatsiya, bir martalik parol
autentifikatsiyasi (tasodifiy qiymat va vaqtga asoslangan) va SMS-ga asoslangan
tekshirish kiradi. SMS-ga asoslangan tekshirish ba’zi xavfsizlik muammolaridan
aziyat chekadi. Telefonlarni klonlash mumkin, ilovalar bir nechta telefonlarda
ishlashi mumkin va uyali telefonlarga texnik xizmat ko‘rsatuvchi xodimlar SMS
matnlarini o‘qishlari mumkin. Kamida, uyali telefonlar umuman buzilgan bo‘lishi
mumkin, ya’ni telefon faqat foydalanuvchiga tegishli bo‘lmaganda.
Autentifikatsiyaning asosiy kamchiliklari, shu jumladan foydalanuvchida
mavjud bo‘lgan narsa shundaki, foydalanuvchi deyarli har doim jismoniy tokenni
(USB flesh-diski, bank kartasi, kalit yoki shunga o‘xshash) olib yurishi kerak.
Yo‘qotish va o‘g‘irlik unga xavf hisoblanadi. Ko‘pgina tashkilotlar zararli dasturlar
va ma’lumotlarni o‘g‘irlash xavfi tufayli USB va elektron qurilmalarni binolar
ichida yoki tashqarisida olib yurishni taqiqlaydi va aksariyat muhim mashinalarda
xuddi shu sababga ko‘ra USB portlari yo‘q. Fizik tokenlar odatda o‘lchovga ega
emas, odatda har bir yangi hisob va tizim uchun yangi tokenni talab qiladi. Ushbu
turdagi tokenlarni sotib olish va keyinchalik almashtirish xarajatlarni o‘z ichiga
oladi. Bundan tashqari, foydalanish imkoniyati va xavfsizlik o‘rtasida o‘ziga xos
qarama-qarshiliklar va muqarrar o‘zaro kelishuvlar mavjud.
Mobil telefonlar va smartfonlarni o‘z ichiga olgan ikki bosqichli
autentifikatsiya
maxsus
jismoniy
qurilmalarga
alternativa
hisoblanadi.
Autentifikatsiya qilish uchun odamlar qurilmaga shaxsiy kirish kodlaridan (yaʼni,
faqat individual foydalanuvchiga maʼlum boʻlgan narsa) hamda odatda 4 dan 6
gacha raqamdan iborat boʻlgan bir martalik amal qiluvchi dinamik paroldan
foydalanishlari mumkin. Parolni ularning mobil qurilmasiga SMS orqali yuborish
yoki bir martalik parol yaratuvchi ilova orqali yaratish mumkin. Ikkala holatda ham
mobil telefondan foydalanishning afzalligi shundaki, qo‘shimcha maxsus tokenga
ehtiyoj yo‘q, chunki foydalanuvchilar o‘z mobil qurilmalarini doimo yonida olib
yurishadi.
SMS tekshiruvining mashhurligiga qaramay, xavfsizlik himoyachilari SMS
tekshiruvini ochiq tanqid qilishdi va 2016-yil iyul oyida Amerika Qoʻshma Shtatlari
NIST yoʻriqnomasi loyihasi uni autentifikatsiya shakli sifatida bekor qilishni taklif
qildi. Bir yil o‘tgach, NIST yakuniy yo‘riqnomada haqiqiy autentifikatsiya kanali
sifatida SMS tekshiruvini tikladi.
2016 va 2017-yillarda Google ham, Apple ham muqobil usul sifatida
foydalanuvchiga push-bildirishnomalar bilan ikki bosqichli autentifikatsiyani taklif
qila boshladilar.
Mobil yetkazib beriladigan xavfsizlik tokenlarining xavfsizligi to‘liq uyali
aloqa operatorining operatsion xavfsizligiga bog‘liq va milliy xavfsizlik agentliklari
tomonidan tinglash yoki SIM kartani klonlash orqali osongina buzilishi mumkin.
Dostları ilə paylaş: |