|
Moodle e-learning Platformasiga kirishda xavfsizlikni oshirish uchun yangi ikki faktorli autentifikatsiya sxemasi
|
bet | 8/8 | Sana | 10.06.2024 | Hajmi | 1,45 Mb. | | #262274 |
Bog'liq Документ Microsoft WordIkki faktorli autentifikatsiya - bu xizmatga yoki saytga kirishda shaxsni ikki marta tekshirish. Lekin nima uchun undan foydalanish tavsiya etiladi? Buning qanday foydasi bor?
Birovning shaxsini oʻgʻirlash hisoblash dunyosida oson kechadi - ma’lumotni soʻragan shaxs / kompyuter haqiqatan ham u oʻzi kimligini aniqlash uchun maxsus tekshirish usullarini ixtiro qilish kerak edi. Autentifikatsiya protokolining vazifasi autentifikatsiyani amalga oshirish uchun zarur boʻlgan bosqichlarni aniq belgilashdir. U asosiy protokol printsiplariga muvofiq boʻlishi kerak:
1. Protokolga ikki yoki undan ortiq tomonlar jalb qilinishi kerak va protokolda qatnashgan har bir kishi protokolni oldindan bilishi shart.
2. Barcha kiritilgan partiyalar protokolga rioya qilishlari kerak.
3. Protokol aniq boʻlishi kerak - har bir qadam aniq belgilanishi kerak.
4. Protokol toʻliq boʻlishi kerak - har qanday vaziyat uchun belgilangan harakatni oʻz ichiga olishi kerak [2].
Oddiy autentifikatsiya protokoli yordamida parolga asoslangan autentifikatsiyani tasvirlash: Elis (tasdiqlanmoqchi boʻlgan tashkilot) va Bob (Elisning shaxsini tasdiqlovchi tashkilot) ikkalasi ham foydalanishga kelishib olgan protokoldan xabardor. Bobda Elisning paroli taqqoslash uchun ma’lumotlar bazasida saqlangan. 1.Elis Bobga parolini protokol qoidalariga muvofiq paketda yuboradi. 2.Bob olingan parolni ma’lumotlar bazasida saqlangan parol bilan tekshiradi. Keyin u natijaga asoslanib "Autentifikatsiya muvaffaqiyatli" yoki "Autentifikatsiya amalga oshmadi" degan paketni yuboradi. Bu kabi koʻplab tahdidlarga qarshi juda sodda autentifikatsiya protokolining misoli tinglash, takroriy hujum, oʻrtada odam hujumlar, lugʻat hujumlari yoki qoʻpol hujumlar. Koʻpgina autentifikatsiya protokollari ushbu hujumlarga qarshi turish uchun yanada murakkabroq. PPP uchun ishlab chiqilgan autentifikatsiya protokollari Nuqtadan nuqtaga protocol [6].
Protokollar asosan tomonidan ishlatiladi Nuqtadan nuqtaga protokol (PPP) serverlari server ma’lumotlariga kirish huquqini berishdan oldin masofaviy mijozlarning shaxsini tasdiqlash uchun. Ularning aksariyati autentifikatsiya qilishning asosi sifatida paroldan foydalanadi. Koʻpgina hollarda, parolni aloqa qiluvchi sub’ektlar oʻrtasida oldindan boʻlishish kerak. EAP -kengaytirilgan autentifikatsiya protokoli EAP dastlab PPP (Point-to-Point Protocol) uchun ishlab chiqilgan, ammo bugungi kunda keng qoʻllanilmoqda IEEE 802.3, IEEE 802.11(WiFi) yoki IEEE 802.16 ning bir qismi sifatida IEEE 802.1x autentifikatsiya doirasi. Eng soʻnggi versiyasi standartlashtirilgan RFC 5247. EAP-ning afzalligi shundaki, u faqat mijozserver autentifikatsiyasi uchun umumiy autentifikatsiya doirasidir - autentifikatsiyaning oʻziga xos usuli uning EAP-metodlari deb nomlangan koʻplab versiyalarida aniqlanadi.
QR kodlar oddiy maxsulotlarning yorligʻiga qо‘yiladigan shtrix kodlarning ikki о‘lchovli kо‘rinishi hisoblanadi. Boshida QR kodlar avtomobilqurilishda logistika jarayonlarini optimizatsiyalash uchun ishlatilgan, lekin smartfonlarning keng tarqalishi natijasida QR kodlar marketingda keng qо‘llanilib boshladi. QR “Quick Response” – tezkor javob ma’nosini anglatib, kodda yashiringan ma’lumotni darhol olishni amalga oshiradi. QR kodlar ochiq texnologiya bо‘lganliki bilan mashhurlikka ega bо‘lib, ixtiyoriy inson foydalanishi mumkin. Odatdagi shtrix kodlardan ustun va afzalligi axborot xajmining kо‘pligida va zararga chidamligidadir. OTP (One time passwords) – dinamik autentifikatsion ma’lumot bо‘lib, har xil yо‘llar orqali generatsiya qilinib bir marta ishlatish uchun yaratiladi.
Parollarni generatsiya tokenlardan foydalanadi. OTP tokenlar – mobil shaxsiy qurilma bо‘lib, ma’lum foydalanuvchiga tegishli bо‘ladi, ushbu foydalanuvchini autentifikatsiya qilish uchun bir martalik parollarni generatsiya qiladi.
OTP tokenlar bir martalik parollarni generatsiya qilish uchun kriptografik algoritmlardan foydalaniladi:
- simmetrik kriptografiya – foydalanuvchi va server autentifikatsiyada bitta о‘sha maxfiy kalitdan foydalanadi;
- assimetrik kriptografiya – ushbu holatda qurilmada maxfiy kalit, serverva esa ochiq kalit ishlatiladi.
OTP larni generatsiya qilishda bir qancha dasturlar yoki qurilmalardan foydalanish mumkin, masalan shaxsiy raqamli qurilmalardan, mobil telefonlardan, yanada xavfsiz bо‘lgan bо‘lgan smart-kartalar ajratilgan apparat tokenlar barcha OTP genratorlari ichida ikki tomonlama autentifikatsiyani ta’minlovchi qurilmalar hisoblanadi. OTP algoritmlari maxfiy kalit va qurilma hamda serverlar bilan birgalikda ishlaydigan xisoblagichlarga asoslangan holda ishlab, SHA-1 va HMAC ga о‘xshagan standart algortmlardan foydalanadi. OTP ochiq kalitli infratuzilmalar oldidda juda katta afzalliklarga ega, chunki u shaxsiy kompyuterlar uchun dasturiy ta’minot, drayverlar hamda smart-card reader larni ishlatishni talab qilmaydi. Autentifikatsiyalash tizimi ishlash prinsipi - xavfsizlik autentifikatsiyalash tizimlari talablarining muhim bо‘lgan elementlaridan biri. Foydalanuvchilarning mobil qurilmalari yordamida generatsiya qilingan ma’lumot orqali serverdan avtorizatsiyadan о‘tgan holdagina faqat qonuniy foydalanuvchilar xizmatlarni taqdim etishi asosida xavfsiz jarayon orqali identifikatsiyalash. Bundan tashqari, qulaylik xavfsizlik singari juda muhimdir, chunki autentifikatsiya tizimning noqulayligi tizimdan foydalanishdan voz kechishga olib keladi. Shuning uchun autentifikatsiyalash tizimi qulaylik bilan maksimal xavfsizlikni ta’minlashi kerak bо‘ladi. Shu sababli ushbu bitiruv ishida tavsiya etilayotgan yondashuv, bank x avfsizlik kartasi о‘rniga QR-code bilan mobile-OTPni ishlatish muhim hisoblanadi.
2.9-rasm. OTP ni generatsiyalash
Bank foydalanuvchi kiritgan transfer ma’lumotlari orqali QR-code generatsiya qiladi va foydalanuvchi ushbu kodni о‘zining mobil qurilmasi yordamida о‘qib olingan ma’lumot bilan birga qurilma serial nomerining xesh qiymati orqali OTP generatsiya qiladi. Nihoyat foydalanuvchi tomonidan yaratilgan OTP ni yekranga kiritish orqali jarayon tugallanadi.
Taklif qilinayotgan sxemada foydalanuvchi kompyuteri bilan xizmat kо‘rsatish serveri о‘rtasida xavfsiz aloqa kanalini о‘rnatamiz. Taklif qilinayotgan sxemada quyidagi vazifalar bajariladi:
- foydalanuvchi bilan bank serveri foydalanuvchi mobil qurilmasi serial nomerininig xeshini xavfsiz jarayon orqali almashishadi;
- foydalanuvchi QR-code ni о‘zining mobil qurilmasi yordamida tanib olib, kodni ochishi mumkin;
- foydalanuvchi bilan bank serveri о‘rtasida xavfsiz aloqa kanali SSL/TSL mavjudligi taklif qilinadi;
- foydalanuvchi bank serveri tomonidan berilgan OTP-generatorini (algoritmini) yuklab oladi, generatsiya qilinadigan OTP algoritmi, foydalanuvchi bilan bank serveri о‘rtasida Time-Event usuli orqali sinxronlashtiradi.
Foydalanuvchi olingan QR-code ni о‘zining mobil qurilmasi orqali о‘qib olib, ma’lumotni ikki qismga ajrataida. Birinchi QR-code dan о‘qib olgan tasodifiy son RN ni server yuborgan tasodifiy son RN’ bilan solishtiradi. Agar tasodifiy son tо‘gʻriligi aniqlansa foydalanuvchi keyingi qadamga о‘tadi. Keyingi qadamda о‘qib olingan transfer ma’lumotlarini tekshirishda va ularning ham xaqiyqiyligini teshirib, sо‘ngra mobil qurilmadan foydalangan holda OTP bir martalik parollarni generatsiya qilishga о‘tadi. Agar ma’lumotlar bir biriga mos kelmasa transfer tо‘xtatiladi.
Foydalanuvchi OTP ni generatsiya qilish uchun, mobil qurilma orqali transfer ma’lumot bilan vaqt qiymatinidan hamda mobil qurilma serial nomeridan foydalangan holda bir martalik parol generatsiya qiladi. Shu vaqtning о‘zida server ham parallel ravishda ushbu qiymatlardan foydalangan holda bir martalik parol generatsiya qiladi.
Xavfsizlik nuqtai nazardan foydalanuvchi bilan bakn о‘rtasida aloqa kanali SSL/TSL xavfsiz aloqa о‘rnatilgan bо‘ladi. Gʻarazli maqsaddagi foydalanuvchilarning ushbu kanalda kontentlarni о‘qib olishga yо‘l qо‘yilmaydi. Shu bilan birgalikda foydalanuvchilarning mobil qurilmalarining serial nomerlaridan foydalanilgani xavfsizlikni oshirishga xizmat qiladi. Ushbu taklif qilinayotgan autentifikatsiyalash tizimida foydalanuchilar Phishing xujumlardan, tasodifiy sonni identifikatsiya qilish orqali himoyalangan bо‘ladi. Foydalanuvchining xaqiyqiyligi tasdiqlangandan sо‘ng tranzaksiyani amalga oshirish mumkin bо‘ladi.
Foydalanuvchi mobil qurilma yordamida generatsiya qilingan bir OTP1 ni tizimga yuboradi va tizim serverdagi generatsiya qilingan OTP2 bilan solishtiradi.Agar tekshiruv muvofaqqiyatli amalga foydalanuvchiga transferni a malga oshirishga ruxsat beradi
2.10-rasm. Autentifikatsiyalash sxemasi
QR kodli Mobile-OTP yordamida Onlayn-Bank tizimining autentifikatsiyasi foydalanuvchilarning bank ma’lumotlarini himoya qilishning xavfsiz va qulay usuli hisoblanadi. QR kodlari foydalanuvchilarga bir martalik parollarni tez va oson olish imkonini beradi, ularni oʻgʻirlab boʻlmaydigan yoki buzgʻunchilar tomonidan tutib olinmaydi. Bu bank hisobiga ruxsatsiz kirish xavfini kamaytiradi va onlayn banking xavfsizlik darajasini oshiradi. QR-kod bilan Mobile-OTP-dan foydalanish bir nechta parollarni eslab qolish zaruratini kamaytirish va foydalanuvchi tajribasini yaxshilash orqali foydalanuvchilarning hayotini osonlashtiradi. Ushbu autentifikatsiya usuli Yevropa Ittifoqidagi Toʻlov xizmatlari direktivasi (PSD2) kabi tartibga soluvchi organlarga ham mos keladi, shuning uchun banklar oʻzlarining qonuniy muvofiqligiga ishonch hosil qilishlari mumkin. Ushbu usuldan foydalanadigan banklar oʻz mijozlariga onlayn-bankda yuqori darajadagi xavfsizlikni ta’minlab, bank xizmatlaridan foydalanish jarayonini foydalanuvchilar uchun yanada qulay va xavfsiz qilishga yordam beradi.
|
| |