|
OTP-tokenlarning strukturasi va uning qo‘llanilishi
|
| bet | 4/18 | | Sana | 12.01.2024 | | Hajmi | 1,81 Mb. | | #135841 |
Bog'liq Har qanday taraqqiy etgan jamiyat hayotida axborotning ahamiyati Iqlas, гулбахар сурет, 11 Lecture, Kislorod datchigi, 716 OITS, Gofra turlari, Dorilarning o‘zaro ta’siri, Moliya asoslari MT. Glossary, 10 Tarix UZB JAVOBLARI, MAXAMADJONOVJAVOHIR (1), 5-maruza (2), 7-Ma\'ruza (2), oziq-ovqat sanoati chiqindilari, oraliq1.2 OTP-tokenlarning strukturasi va uning qo‘llanilishi
Bir martalik parol (OTP), shuningdek, bir martalik PIN, bir martalik avtorizatsiya kodi (OTAC) yoki dinamik parol sifatida ham tanilgan, va u kompyuter tizimidagi faqat bitta raqamli qurilmaga kirish sessiyasi yoki boshqa tranzaksiya uchun amal qiladigan paroldir. OTPlar an'anaviy (statik) parolga asoslangan autentifikatsiya bilan bog‘liq bir qator kamchiliklarni bartaraf etadi; ba'zi ilovalar, shuningdek, bir martalik parol shaxsning biror narsaga kirishini talab qilishini ta'minlash uchun ikki faktorli autentifikatsiyadan foydalanadi (masalan, OTP kalkulyatori o‘rnatilgan kichik kalitli qurilma, smart-karta yoki ma'lum mobil telefon), shuningdek, odam biladigan narsa (masalan, PIN-kod).
OTPni yaratish algoritmlari odatda umumiy kalit yoki PIN ni yaratish uchun psevdo-tasodifiylik yoki tasodifiylikdan, shuningdek, ortga qaytarish qiyin bo‘lgan qiymatni olish uchun ishlatilishi mumkin bo‘lgan kriptografik xesh funktsiyalaridan foydalanadi, shuning uchun tajovuzkor tomonidan ma'lumotlarni buzish qiyin bo‘ladi. Aks holda oldingi OTP larini aniqlash orqali kelajakdagi OTP larni hisoblab topish oson bo‘lib qoladi.
1.4-rasm. OTP asosida autentifikatsiya
OTP ga an'anaviy parollarni almashtirish, shuningdek, ularga qo‘shimcha sifatida qaraladi. Boshqa tomondan, OTPlar ushlab qolinishi yoki qayta yo‘naltirilishi va tokenlar yo‘qolishi, buzilishi yoki o‘g‘irlanishi mumkin. OTP-lardan foydalanadigan ko‘plab tizimlar, ulardan xavfsiz amalga oshirishni ta'minlamaydi va tajovuzkorlar fishing hujumlari yordamida parolni o‘rganishlari mumkin bo‘lib, ular vakolatli foydalanuvchi nomidan tizimga kiradi [3].
Xususiyatlari. OTPlarning eng muhim afzalligi shundaki, ular statik parollardan farqli o‘laroq, takrorlash hujumlarga qarshi himoyalangan. Bu shuni anglatadiki, xizmatga kirish yoki tranzaksiyani amalga oshirish uchun oldin foydalanilgan OTPni yozib olishga muvaffaq bo‘lgan potentsial tajovuzkor undan foydalana olmaydi, chunki u seesiya vaqti o‘ganidan so‘ng haqiqiy emas hisoblanadi [4]. Ikkinchi muhim afzallik shundaki, bir nechta tizimlar uchun bir xil (yoki shunga o‘xshash) paroldan foydalanadigan foydalanuvchi, agar ulardan birining paroli tajovuzkor tomonidan aniqlangan bo‘lsa, parollarning barchasi zaif bo‘lib qolmaydi. Bir qator OTP tizimlari, oldingi sessiya davomida yaratilgan seansni boshqa foydalanuvchi tomonidan osongina ushlab olinmasligini ta'minlashga qaratilgan, bu esa hujum darajasini yanada kamaytiradi.
Bundan tashqari, foydalanuvchini keyingi OTP haqida xabardor qilishning turli usullari mavjud. Ba'zi tizimlar foydalanuvchi tomonidan olib boriladigan maxsus elektron xavfsizlik tokenlaridan foydalanadi, ular OTPlarni yaratadi va ularni kichik displeyda ko‘rsatadi. Ba’zi tizimlar foydalanuvchining mobil telefonida ishlaydigan dasturiy ta'minot. Boshqa tizimlar server tomonida OTP ni yaratadi va ularni tarmoqdan tashqari kanal orqali, masalan, SMS xabarlar orqali foydalanuvchiga yuboradi. Yana ba'zi tizimlar foydalanuvchi o‘zlari bilan olib yurishi kerak bo‘lgan qog‘ozga OTPlarni chop etadi.
Matematik algoritmlarning ayrim sxemalarida foydalanuvchi faqat bir martalik parolni yuborish orqali serverga shifrlash kaliti sifatida foydalanish uchun statik kalitni berishi mumkin [5].
Shakllantirish
OTP yaratishning turli yondashuvlari quyidagilarni o‘z ichiga oladi:
Autentifikatsiya serveri va parolni taqdim etuvchi mijoz o‘rtasidagi vaqt sinxronizatsiyasiga asoslangan (OTPlar faqat qisqa vaqt davomida amal qiladi).
Oldingi parolga asoslangan yangi parolni yaratish uchun matematik algoritmdan foydalanish (OTPlar zanjirlangan va oldindan belgilangan tartibda ishlatilishi kerak).
Yangi parol hisoblagichda (masalan, autentifikatsiya serveri yoki tranzaksiya tafsilotlari tomonidan tanlangan tasodifiy raqam) matematik muammoga asoslangan algoritmdan foydalanish.
Sinxronlashtirilgan vaqtga asoslangan. Vaqt bilan sinxronlangan OTP odatda xavfsizlik tokeni deb ataladigan apparat qismi bilan bog‘lanadi (masalan, har bir foydalanuvchiga bir martalik parolni yaratadigan shaxsiy token beriladi). Bu vaqti-vaqti bilan o‘zgarib turadigan raqamni ko‘rsatadigan LCD displeyli kichik kalkulyator yoki kalit zanjir kabi ko‘rinishi mumkin. Tokenning ichida o‘zining autentifikatsiya serveridagi soat bilan sinxronlashtirilgan aniq soat mavjud. Bunday OTP tizimlarida vaqt parol algoritmining muhim qismidir, chunki yangi parollarni yaratish avvalgi parol yoki maxfiy kalitga yoki unga qo‘shimcha ravishda emas, balki joriy vaqtga asoslanadi. Bu token xususiy qurilma yoki mobil telefon yoki xususiy, bepul yoki ochiq manbali dasturiy ta'minot bilan ishlaydigan shunga o‘xshash mobil qurilma bo‘lishi mumkin. Vaqt bilan sinxronlangan OTP standartiga misol vaqtga asoslangan bir martalik parol (TOTP). Google Authenticator yoki parol menejeri kabi ba'zi ilovalar vaqt o‘tishi bilan OTP ni sinxronlash uchun ishlatilishi mumkin [6].
|
| |
