Oddiy autentifikatsiyani tashkil etish sxemalari nafaqat parollarni uzatish,
balki ularni saqlash va tekshirish turlari bilan ajralib turadi.
Eng keng tarqalgan
usul – foydalanuvchilar parolini tizimli fayllarda, ochiq holda
saqlash usulidir. Bunda fayllarga o‘qish va yozishdan himoyalash atributlari
o‘rnatiladi (masalan, operatsion tizimdan foydalanishni nazoratlash ruyxatidagi
mos imtiyozlarni tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni
parollar faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki
bir tomonlama funksiyalar kabi kriptografik mexanizmlar ishlatilmaydi.
Ushbu
usulning kamchiligi – niyati buzuq odamning tizimda ma’mur imtiyozlaridan,
shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish
imkoniyatidir.
Ko‘p martali parollarga asoslangan oddiy autentifikatsiyalash
tizimining
bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli
so‘zlarning nisbatan katta bo‘lmagan to‘plamidan jamlanadi. Ko‘p martali
parollarning ta’sir muddati tashkilotning xavfsizligi siyosatida belgilanishi va
bunday parollarni muntazam ravishda almashtirib turish lozim. Parollarni
shunday tanlash lozimki, ular lug‘atda bo‘lmasin va ularni topish qiyin bo‘lsin.
Bir martali parollarga asoslangan autentifikatsiyalashda
foydalanishga har
bir so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat
tizimdan bir marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham
parol
foyda
bermaydi.
Odatda
bir
martali
parollarga
asoslangan
autentfikatsiyalash
tizimi
masofadagi
foydalanuvchilarni
tekshirishda
qo‘llaniladi.
Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali
amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning
apparat vositalari tashqaridan to‘lov plastik kartochkalariga o‘xshash
mikroprotsessor o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga oshiradi.
Odatda kalitlar deb ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan
displey darchasiga ega.
3 Foydalanuvchilarni autentifikatsiyalash
Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni
qo‘llashning quyidagi usullari ma’lum:
Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar
ruyxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli
psevdotasodifiy sonlar generatoridan foydalanish.
Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash
texnologiyasini ko‘rsatish mumkin. Bu texnologiya
Security Dynamics
kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarning,
xususan Cisco Systems kompaniyasining serverlarida amalga oshirilgan.
Vaqt sinxronizatsiyasidan foydalanib autentifikatsiyalash sxemasi tasodifiy
sonlarni vaqtning ma’lum oralig‘idan so‘ng generatsiyalash algoritmiga
asoslangan. Autentifikatsiya sxemasi quyidagi ikkita parametrdan foydalanadi:
•
har bir foydalanuvchiga atalgan va
autentifikatsiya serverida
hamda
foydalanuvchining apparat kalitida saqlanuvchi noyob 64-bitli sondan iborat
maxfiy kalit;
•
joriy vaqt qiymati.
Masofadagi foydalanuvchi tarmoqdan foydalanishga uringanida undan shaxsiy
identifikatsiya nomeri PINni kiritish taklif etiladi. PIN to‘rtta o‘nli raqamdan va
apparat kaliti displeyida akslanuvchi tasodifiy sonning oltita raqamidan iborat.
Server foydalanuvchi tomonidan kiritilgan PIN-koddan foydalanib ma’lumotlar
bazasidagi foydalanuvchining maxfiy kaliti va joriy vaqt qiymati asosida
tasodifiy
sonni
generatsiyalash
algoritmini
bajaradi.
So‘ngra
server
generatsiyalangan son bilan foydalanuvchi kiritgan sonni taqqoslaydi. Agar bu
sonlar mos kelsa, server foydalanuvchiga tizimdan foydalanishga ruxsat beradi.
Autentifikatsiyaning bu sxemasidan foydalanishda apparat kalit va serverning
qat’iy vaqtiy sinxronlanishi talab etiladi. Chunki apparat kalit bir necha yil
ishlashi va demak server ichki soati bilan apparat kalitining
muvofiqligi asta-
sekin buzilishi mumkin.
Ushbu muammoni hal etishda Security Dynamics kompaniyasi quyidagi ikki
usuldan foydalanadi:
•
apparat kaliti ishlab chiqilayotganida uning taymer chastotasining
me’yoridan chetlashishi aniq o‘lchanadi. Chetlashishning bu qiymati server
algoritmi parametri sifatida hisobga olinadi;
•
server muayyan apparat kalit generatsiyalagan kodlarni kuzatadi va
zaruriyat tug‘ilganida ushbu kalitga moslashadi.
Autentifikatsiyaning bu sxemasi bilan bir muammo bog‘liq.
Apparat kalit
generatsiyalagan tasodifiy son katta bo‘lmagan vaqt oralig‘i mobaynida haqiqiy
parol hisoblanadi. Shu sababli, umuman, qisqa muddatli vaziyat sodir bo‘lishi
mumkinki, xaker PIN-kodni ushlab qolishi va uni tarmoqdan foydalanishga
ishlatishi mumkin. Bu vaqt sinxronizatsiyasiga asoslangan autentifikatsiya
sxemasining eng zaif joyi hisoblanadi.
Mustahkamlash uchun topshiriqlar
1.
Autentifikatsiyalash
2.
Paroldan foydalangan holda oddiy autentifikatsiyalash
3.
Foydalanuvchilarni autentifikatsiyalash
