Bir martalik parol (OTP)
Bir martalik parol - bu kompyuter tizimida yoki boshqa raqamli qurilmada faqat bitta kirish seansi yoki tranzaksiya uchun amal qiladigan parol. OTP autentifikatsiyasining asosiy g'oyasi cheksiz omillarni ta'minlash va tizim xavfsizligini yaxshilash uchun har safar foydalanuvchi tizimga kirishda turli xil parollarni yaratishdir. OTP token bilan birgalikda ishlatiladi. Token va tegishli autentifikatsiya serveri bir xil algoritmga ega. Algoritm tajovuzkorlar algoritmni buzishining oldini olish uchun har bir foydalanuvchining tokeni uchun farq qiladi. Bir qator OTP tizimlari, shuningdek, oldingi seansda yaratilgan oldindan aytib bo'lmaydigan ma'lumotlardan xabardor bo'lmasdan turib, seansni osonlikcha ushlab tura olmasligini ta'minlashga qaratilgan bo'lib, hujum maydonini yanada kamaytiradi.
OTP autentifikatsiya tizimi ikkita asosiy mexanizm bilan amalga oshiriladi. Birinchi mexanizm chaqiruv-javob rejimidir. Foydalanuvchi tizimga kirayotganda tizim foydalanuvchi uchun muammo yaratadi. OTP parolni kiritgan foydalanuvchi va tizim tomonidan yaratilgan chaqiruvni birlashtirish orqali yaratiladi. Muvaffaqiyatli kirish uchun foydalanuvchi OTPni kiritishi kerak.
2-rasm,Shakl 2-2 Challenge-javob mexanizmi. (Cheng, XR va boshq., 2005)
Shakl 2- 1 Challenge-javob mexanizmi. (Cheng, XR va boshq., 2005)
Keyingi mexanizm vaqtni sinxronlashtirishdir. Ushbu mexanizm tasodifiy raqamni yaratish uchun foydalanuvchi kirish vaqtidan foydalanadi. Foydalanuvchi o'z parolini birlashtirgan parolni yaratishi mumkin. OTP ham faqat qisqa vaqt uchun amal qiladi.
Kriptografiya - jo'natuvchi va qabul qiluvchi o'rtasida maxfiy xabarni yaratish bo'yicha tadqiqot. Kriptografiyaning asosiy maqsadi autentifikatsiya, maxfiylik, yaxlitlik, rad etmaslik va kirishni boshqarishdir.
Shifrlash - bu ba'zi bir algoritm yordamida xabarni o'qib bo'lmaydigan holatga aylantiradigan jarayon. Bu kriptografiyani qo'llash jarayonlaridan biridir. Shifrlash - bu ma'lumotlarni tasodifiy va ma'nosiz xabarga aylantiradigan yoki o'zgartiradigan qadamdir. Boshqacha qilib aytganda, bu ochiq matnni shifrlangan matnga aylantirish jarayoni deb aytish mumkin.
3-rasm.Shakl 2-3 Shifrlash jarayoni oqimi. (Simmetrik va assimetrik shifrlash - farqi nimada?, nd)
Shifrni hal qilish - bu ma'lumotlarni ma'no shakliga aylantiradigan shifrlashning aksincha. Bu shifrlangan matnni oddiy matnga aylantirish jarayonidir.
Kriptografiyani amalga oshirish uchun kriptografik algoritm matematik funktsiya va shifrlash va shifrni ochish uchun qadamlar sifatida harakat qilishi kerak. Kriptografiyaning maqsadi tajovuzkorlar uchun shifrlangan matnning shifrini ochishda qiyinchiliklarni oshirishdan iborat.
Ko'pgina saytlar parolni shifrlangan shaklda serverdagi ma'lumotlar bazasida saqlaydi. Ular parolni tasodifiy qatorga, ya'ni shifrlangan matnga aylantirish uchun maxsus kalitdan foydalanadilar. Agar foydalanuvchi kalitsiz bo'lsa, u parolni ololmaydi, faqat tasodifiy qatorni oladi. Biroq, tajovuzkorlar tomonidan shifrni muvaffaqiyatli hal qilish imkoniyati mavjud bo'lganda, bu qayta tiklanadi.
Tizim foydalanuvchi internetni kezish va kirish faoliyatini amalga oshirishni xohlashi bilan boshlanadi. Foydalanuvchi o'z nomini kiriting va keyingi tugmasini bosing. Tizim ma'lumotlar bazasida foydalanuvchi nomini qidiradi. Agar foydalanuvchi nomi ma'lumotlar bazasida mavjud bo'lmasa, tizim xato xabarini yuboradi. Agar foydalanuvchi nomi ma'lumotlar bazasida haqiqiy bo'lsa, veb-sayt foydalanuvchining kirish iborasini ko'rsatadi. Bu usul himoya qilish uchun shunday qilish kerak.
Keyinchalik, server 48 belgidan iborat tasodifiy kalitni yaratadi. Keyin tasodifiy kalit veb-sahifada QR kod ko'rinishida ko'rsatiladi. Tizim shuningdek, foydalanuvchi parolini oladi va uni tasodifiy kalit bilan birlashtiradi va uni xeshlaydi.
QR-kod veb-sahifada ko'rsatilgandan so'ng, foydalanuvchi QR kodini skanerlash uchun o'z telefonidan foydalanishi yoki kalitni olish uchun telefon galereyasidan QR kodini import qilishi kerak bo'ladi. Keyin telefon foydalanuvchidan haqiqiy parolini kiritishni taklif qiladi. Keyin parol kiritiladi va yaratish foydalanuvchi tomonidan bosiladi. Keyin telefon ekranida 6 ta belgidan iborat OTP ko'rsatiladi. Xuddi shu kalit bilan boshqa parol kiritilganda bir xil OTP hosil bo'lishi mumkin. Parolni tasdiqlash uchun tajovuzkorga sinov va xato kerak bo'ladi, chunki parollar ko'p bo'lishi mumkin. Buzg'unchi, shuningdek, bir xil foydalanuvchi uchun tizimga kirish uchun bir xil kalit ishlatilishini kutish qiyin bo'ladi, chunki kalitning 2,12 X 1099 kombinatsiyasi yaratiladi. Shuni ta'kidlash kerakki, kirish jarayonini yakunlash uchun telefonni Wi-Fi tarmog'iga ulash shart emas. Telefon parolni ham tekshira olmaydi, chunki bu shunchaki OTP yaratishga yordam beradigan dastur va tajovuzkor dasturga egalik qilishi yoki uni buzishi mumkin emas.
Foydalanuvchi veb-sahifada yaratilgan OTPni kiritishi kerak bo'ladi. Tizim yaratilgan OTP va foydalanuvchi kiritishini taqqoslaydi. Agar foydalanuvchi kiritgan ma'lumotlar bir xil bo'lsa, foydalanuvchi tizim xizmatidan foydalanish huquqiga ega bo'ladi. Bu boshqacha bo'lsa, tizim yangi tasodifiy kalitni yaratadi va foydalanuvchi telefon ilovasi yordamida QR kodni qayta skanerlashi va OTPni olish va veb-saytga qayta kirish uchun parolni kiritishi kerak bo'ladi. Tizim faqat 5 ta foydalanuvchiga tizimga kirishga ruxsat beradi. Agar u oshib ketgan bo'lsa, foydalanuvchi hisobi vaqtinchalik bloklanadi. Foydalanuvchi tajovuzkor hisobni buzishga urinayotgani haqida elektron pochta xabarini oladi. Foydalanuvchi elektron pochtada ko'rsatilgan havolani bosish orqali hisobni blokdan chiqarishi mumkin.
Tizim, shuningdek, xavfsizlikni kuchaytirish uchun qo'shimcha funktsiyalarga ega bo'lib, agar veb-sahifaga yangi qurilmaga kirish bo'lsa, u foydalanuvchi hisob ma'lumotlarini ta'minlash uchun foydalanuvchiga elektron pochta xabarini yuboradi. Kirish faoliyatini davom ettirish uchun foydalanuvchi havolani orqaga bosishi kerak. Havolani bosgandan so'ng, yangi qurilmaning Mac manzili ma'lumotlar bazasida saqlanadi.
|
