kamchiligi - niyati buzuq odamning tizimda ma’mur imtiyozlaridan,
shu bilan
birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir.
Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funktsiyalardan foydalanib
uzatish va saqlash qulay hisoblanadi. Bu holda foydalanuvchi parolning ochiq
shakli urniga uning bir tomonlama funktsiya h(.) dan foydalanib olingan tasvirini
yuborishi shart. Bu o`zgartirish anim tomonidan parolni uning tasviri orqali oshkor
qila olmaganligini kafolatlaydi, chunki anim echilmaydigan sonli masalaga duch
keladi.
Ko`p
martali
parollarga
asoslangan
oddiy
utentifikattsiyalash tizimining
bardoshligi past, chunki ularda
autentifikatsiyalovchi axborot
ma’noli so`zlarning
nisbatan
katta bo`lmagan to`plamidan
jamlanadi.
Ko`p
martali
parollarning
ta’sir muddati
tashkilotning
xavfsizligi
siyosatida
belgilanishi
va
bunday parollarni muntazam
ravishda
almashtirib
turish
lozim. Parollarni shunday
tanlash lozimki, ular luatda bo`lmasin va ularni topish qiyin bo`lsin.
Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir
so`rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir
marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda
bermaydi. Odatda bir martali parollarga asoslangan autentfikattsiyalash tizimi
masofadagi foydalanuvchilarni tekshirishda qo`llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali amalga
oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat
vositalari tashqaridan to`lov plastik kartochkalariga o`xshash
mikroprotsessor
o`rnatilgan miniatyur qurilmalar ko`rinishda amalga oshiradi. Odatda kalitlar deb
ataluvchi bunday kartalar klaviaturaga va katta bo`lmagan displey darchasiga ega.
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo`llashning
quyidagi usullari ma’lum:
1.YAgona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
2.Legal foydalanuvchi va tekshiruvchi uchun umumiy bo`lgan tasodifiy parollar
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
3.Foydalanuvchi va tekshiruvchi uchun umumiy bo`lgan bir xil dastlabki
qiymatli psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikattsiyalash
texnologiyasini
ko`rsatish
mumkin.
Bu
texnologiya
SecuritiyDynamiss
kompaniyasi tomonidan ishlab chiqilgan bo`lib, qator kompaniyalarning, xususan
Cusco Systems kompaniyasining serverlarida amalga oshirilgan.
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy
sonlarni vaqtning ma’lum oraliidan so`ng generatsiyalash algoritmiga asoslangan.
Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:
•har bir foydalanuvchiga atalgan va autentifikatsiya serverida hamda
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli
sondan iborat
maxfiy kalit; joriy vaqt qiymati.
Autentifikatsiyaning bu sxemasi bilan yana bir muammo boliq. Apparat kalit
generatsiyalagan tasodifiy son katta bo`lmagan vaqt oralii mobaynida haqiqiy parol
hisoblanadi. SHu sababli, umuman, qisqa muddatli vaziyat sodir bo`lishi
mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga
ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya
sxemasining eng zaif joyi hisoblanadi.
Bir martali paroldan foydalanuvchi autentifikatsiyalashni amalga oshiruvchi
yana bir variant - «so`rov-javob» sxemasi bo`yicha autentifikatsiyalash.
Foydalanuvchi tarmoqdan foydalanishga uringanida server unga tasodifiy son
ko`rinishidagi so`rovni uzatadi. Foydalanuvchining
apparat kaliti bu tasodifiy
sonni, masalan DES algoritmi va foydalanuvchining apparat kaliti xotirasida va
serverning ma’lumotlar bazasida saqlanuvchi maxfiy kaliti yordamida rasshifrovka
qiladi. Tasodifiy son - so`rov shifrlangan ko`rinishda serverga qaytariladi. Server
ham o`z navbatida o`sha DES algoritmi va serverning ma’lumotlar bazasidan
olingan foydalanuvchining maxfiy kaliti yordamida o`zi generatsiyalagan tasodifiy
sonni shifrlaydi. So`ngra server shifrlash natijasini apparat kalitidan kelgan son
bilan taqqoslaydi. Bu sonlar mos kelganida foydalanuvchi
tarmoqdan
foydalanishga ruxsat oladi. Ta’kidlash lozimki, «so`rov-javob» autentifikatsiyalash
sxemasi ishlatishda vaqt sinxronizatsiyasidan foydalanuvchi autentifikatsiya
sxemasiga qaraganda murakkabroq.
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning
ikkinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo`lgan tasodifiy
parollar ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanishga
asoslangan. Bir martali parollarning bo`linuvchi ro`yxati
maxfiy parollar ketma-
ketligi yoki to`plami bo`lib, har bir parol faqat bir marta ishlatiladi. Ushbu ro`yxat
autentifikattsion almashinuv taraflar o`rtasida oldindan taqsimlanishi shart. Ushbu
usulning bir variantiga binoan so`rov-javob jadvali ishlatiladi. Bu jadvalda
autentifikattsilash uchun taraflar tomonidan ishlatiluvchi so`rovlar va javoblar
mavjud bo`lib, har bir juft faqat bir marta ishlatilishi shart.
Foydalanuvchini autentifikatsiyalash uchun bir martali paroldan foydalanishning
uchinchi usuli foydalanuvchi va tekshiruvchi uchun umumiy bo`lgan bir xil
dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanishga asoslangan.
Bu usulni amalga oshirishning quyidagi variantlari mavjud:
•