Bir tomonlama va ikki tomonlama autentifikasiya. Agar tomonlardan biri ikkinchisini autentifikasiyadan o’tkazsa - birtomonlama,agar har ikkala tomon bir- birini autentifikasiyadan o’tkazsa, u holda ikki tomonlama autentifikasiya deb ataladi. Masalan, elektron pochtadan foydalanishda faqat server foydalanuvchini haqiqiyligini (parol orqali) tekshirsa, uni bir tomonlama autentifikasiyalash deb ataladi. Elektron to’lov tizimlarida server foydalanuvchini, foydalanuvchi esa serverni autentifikasiyadan o’tkazadi. Shuning uchun mazkur holat ikki tomonlama autentifikasiyalash deb yuritiladi.
Ko’p omilli autentifikasiya. Yuqorida keltirilgan barcha autentifikasiya ssenariylarida foydalanuvchilarni faqat bitta omil bo’yicha haqiqiyligi tekshiriladi. Masalan, elektron pochtaga kirishda faqat parolni bilishning o’zi yetarli bo’lgan bo’lsa, binoga kirishda barmoq izini to’g’ri kiritishning o’zi eshikni ochilishi uchun yetarli bo’ladi. Ya’ni, server faqat foydalanuvchidan parolni yoki barmoq izi tasvirini to’g’ri bo’lishini talab qiladi. Bir faktorli autentifikasiyada tekshirish faqat bitta omil bo’yicha (masalan, parol) amalga oshiriladi va o’zi bir omilli autentifikasiya deb yuritiladi.
Biroq, bir omilli autentifikasiyalashda xavfsizlik darajasi past bo’ladi. Masalan, ovozga asoslangan autentifikasiya tizimida hujumchi foydalanuvchining ovozini diktafonga yozib olib, uni autentifikasiya jarayoniga taqdim etsa, osonlik bilan autentifikasiya tizimini bitta omil bo’yicha aldab o’tishi mumkin. Bunday holatni parolga asoslangan yoki tokenga asoslangan autentifikasiya jarayonida ham kuzatish mumkin.
Xavfsizlik darjasini oshirish uchun birinchi omilga qo’shimcha, yana boshqa omillardan foydalanish mumkin. Masalan, ovozga asoslangan autentifikasiyalashga qo’shimcha qilib paroldan foydalanish mumkin. Ya’ni, foydalanuvchi dastlab tizimdan o’z ovozi orqali, so’ng parol bo’yicha autentifikasiyadan o’tkaziladi. Har ikkala bosqichda ham autentifikasiyadan muvaffaqqiyatli o’tilganda, foydalanuvchi
tizimdan foydalanish imkoniyatiga ega bo’ladi. Shu sababli, ushbu usulni ko’pomilli autentifikasiyalash deb aytish mumkin. Ko’p omilli autentifikasiyalash kundalik hayotimizda hozir keng qo’llanilmoqda. Masalan, plastik kartadan to’lovni amalga oshirishdagi autentifikasiya jarayoni o’zida “sizda mavjud biror narsa” va “siz bilgan biror narsa” usullarini birlashtirgan. Birinchi omil foydalanuvchida plastik kartani mavjudligi bo’lsa, ikkinchisi uni ShIR ini bilish talab etilishidir.
Ko’p omilli autentifikasiya usuli omillardan bittasi qalbakilashtirilgan taqdirda ham autentifikasiya jarayonini buzilmasligiga olib keladi. Ko’p omilli autentifikasiya sifatida aksariyat hollarda bir martali parollardan (one time password, OTP) keng foydalanilmoqda. Bunga misol qilib, turli mobil bank ilovalarida to’lovni amalga oshirishdagi foydalanuvchi mobil qurilmasiga keluvchi SMS xabardagi OTRlarni keltirish mumkin.
Autentifikasiya jarayonlariga qaratilgan hujumlar. Mavjud autentifikasiya jarayonlarini buzishda ko’plab hujum usullaridan foydalaniladi. Ushbu hujum usullarini autentifikasiya usullariga mos ravishda quyidagicha tasniflash mumkin.
Biror narsani bilishga asoslangan autentifikasiyalashni buzish uchun quyidagi hujum usullaridan foydalaniladi:
Parollarlug’atidanfoydalanishgaasoslanganhujum.Bunda statistika bo’yicha eng ko’p qo’llaniluvchi parollar asosida autentifikasiyadan o’tishga harakat qilinadi.
Parollarnibarchavariantlariniko’ribchiqish.Ushbu usulda parolning bo’lishi mumkin bo’lgan barcha variantlaridan ketma-ket foydalanib ko’riladi.
“Yelka orqali qarash” hujumi. Buzg’unchi foydalanuvching yonida turib parolni kiritish jarayonini kuzatish orqali bilib olishni maqsad qiladi.
Zararkunanda dasturlar asosida hujum. Foydalanuvchi kompyuteriga o’rnatilgan maxsus dasturiy vositalar klaviaturadan kiritilgan barcha ma’lumotlarni dasturchiga yetkazadi. Bunday zararkunanda dasturiy vositalar “keylogger” deb ataladi.
Sizda mavjud biror narsa asosida autentifikasiya usulini buzish uchun quyidagi hujum usullaridan foydalaniladi:
Fiziko’g’irlash.Mazkur hujum bu toifadagi autentifikasiya uchun eng xavfli hujum hisoblanib, buzg’unchi tokenni yoki smart kartani o’g’irlab foydalanishga asoslanadi.
Dasturiy tokenlarning zararkunanda dasturlarga bardoshsizligi. Dasturiy tokenlar mobil qurilmalarda ishlaydi va shu sababli zararli dastur tomonidan boshqarilishi mumkin.
Biometrik parametrlarga asoslangan autentifikasiya usullarini buzish uchun quyidagi hujum usullaridan foydalaniladi:
Qalbakilashtirish. Hujumning mazkur turi biometrik parametrlarni qalbakilashtirishga asoslanadi. Masalan,bunga Hasan o’rniga yuzlari o’xshash bo’lgan Xusan autentifikasiyadan o’tishi yoki sifati yuqori bo’lgan foydalanuvchi yuz tasvirini uning fotosurati bilan almashtirib tizimni aldashini misol qilish mumkin.
Ma’lumotlar bazasidagi biometrik parametrlarni almashtirish. Ushbu hujum bevosita foydalanuvchilarni biometrik parametrlari (masalan, barmoq izi tasviri, yuz tasviri va hak.) saqlanyotgan bazadagi tanlangan foydalanuvchining biometrik parametrlarini hujumchining biometrik parametrlari bilan almashtishga asoslangan.
Autentifikasiya jarayonlarini hujumlardan himoyalashning har bir usullariga xos qarshi choralari mavjud. Umumiy holda, mazkur hujumlarni oldini olish uchun quyidagi himoya usullari va xavfsizlik choralari tavsiya etiladi:
Murakkab parollardan foydalanish. Aynan ushbu usul parollarni barcha variantlarini ko’rib chiqish va lug’atga asoslangan hujumlarning oldini olishga imkon beradi.
Ko’p omilli autentifikasiyadan foydalanish. Bu usul yuqorida keltirilgan aksariyat hujumlarni oldini olishga imkon beradi.
Tokenlarni (smart kartalarni) xavfsiz saqlash. Bu usul biror narsaga egalik qilishga asoslangan autentifikasiya usulida token yoki smart kartalarni buzg’unchi qo’liga tushib qolishdan himoyalash darajasini oshirishga imkoni beradi.
Tiriklikka tekshirishdan foydalanish. Ushbu usul biometrik parametrlarga asoslangan autentifikasiyalash usullarida tasvir orqali aldab o’tish hujumini oldini olishda samarali hisoblanadi.
Avtorizasiya foydalanishlarni nazoratlashning autentifikasiyadan o’tgan foydalanuvchilar harakatlarini cheklash qismi bo’lib, aksariyat hollarda foydalanishni boshqarish modellari yordamida amalga oshiriladi. Ushbu bo’limda ma’lumotlarga nisbatan foydalanishni mantiqiy boshqarish tartibi bilan tanishib chiqiladi.
Foydalanishni boshqarish subyektni obyektga ishlash imkoniyatini aniqlashdir. Umumiy holda foydalanishni boshqarish quyidagi diagramma bilan tavsiflanadi (44-rasm):
44-rasm.Foydalanishniboshqarish Hozirda tizimlarda obyektlardan foydalanishlarni boshqarishning turlicha usullar mavjud bo’lib, ularga quyidigalarni misol keltirish mumkin:
diskresion foydalanishni boshqarish usuli (Discretionary access control, DAC);
mandatli foydalanishni boshqarish usuli (Mandatory access control, MAC);
rollarga asoslangan foydalanishni boshqarish usuli (Role-based access control, RBAC);
atributlarga asoslangan foydalanishni boshqarish usuli (Attribute-based access control, ABAC).
Tizimda ushbu foydalanish usullari bir-biridan alohida-alohida foydalanilishi
talab etmaydi va ularning kombinasiyasidan ham foydalanish mumkin (45-rasm).
45-rasm.Foydalanishniboshqarishtizimlari