5.
Parollı autentifikaciyalaw usılları hám onıń kemshilikleri
Autentifikaciyanıń
keń
tarqalǵan
sxemalarınan
biri
ápiwayı
autentifikaciyalaw
bolıp, ol dástúriy kóp márteli parollardı isletiwge
tiykarlanǵan. Tarmaqtaǵı paydalanıwshını ápiwayı autentifikaciyalaw processin
tómendegishe oyda sawlelendiriw múmkin. Tarmaqtan paydalanıwǵa uringan
paydalanıwshı kompyuter klaviaturasıda óziniń identifikatorı hám parolın teradi.
Bul maǵlıwmatlar autentifikaciya serverine isleniw ushın baradı. Autentifikaciya
serverinde saqlanıp atırǵan paydalanıwshı identifikatorı boyınsha maǵlıwmatlar
bazasınan uqsas jazıw tabıladı, odan paroldı tawıp paydalanıwshı kirgizgen
parol menen salıstırıladı. Eger olar uqsas kelsa, autentifikaciya nátiyjeli ótken
esaplanadi hám paydalanıwshı legal (nızamlı) ataǵın hám avtorizaciya sisteması
arqalı onıń huquqı ushın anıqlanǵan huqıqlardıda tarmaq resurslarınan
paydalanıwǵa ruxsattı aladı.
Paydalanıwshı A
Autentifikaciya serveri
+
kanal
P
A
-
K K
(1-súwret). Paroldan paydalanǵan túrde ápiwayı autentifikaciyalaw.
Bizge belgili, paydalanıwshınıń parolın shifrlamay turıp uzatıw arqalı
autentifikaciyalaw variantı qawipsizliktiń minimal dárejesinde kepillemeydi.
Paroldı qorǵaw ushın onı ximiyalanbaǵan kanal arqalı uzatıwdan aldın shifrlaw
zárúr. Onıń ushın sxemaǵa shifrlaw E
K
hám rasshifrovka etiw D
K
quralları
kiritilgen. Bul qurallar bóliniwshi jasırın gilt K arqalı basqariladi.
Paydalanıwshınıń haqıyqıylıǵın tekseriw paydalanıwshı jibergen parol P
A
menen
autentifikaciya serverinde saqlanıwshı dáslepki baha P
A
nı salıstırıwǵa
tiykarlanǵan. Eger P
A
hám P
A
bahalar uqsas kelsa, parol P
A
haqıyqıy
paydalanıwshı A bolsa nızamlı esaplanadi.
P
K
E
K
D
K
?
P
A
=P
A
Ápiwayı autentifikaciyanı shólkemlestiriw sxemaları tekǵana paroldı
uzatıw, bálki olardı saqlaw hám tekseriw túrleri menen ajralıp turadı. Eń keń
tarqalǵan usıl - paydalanıwshılar parolın sistemalı fayllarda, ashıq túrde saqlaw
usılı bolıp tabıladı. Bunda fayllarǵa oqıw hám jazıwdan qorǵaw atributları
ornatıladı (mısalı, operacion sistemadan paydalanıwdı qadaǵalaw dizimindegi
uqsas jeńilliklerdi xarakteristikalaw járdeminde). Sistema paydalanıwshı
kirgizgen paroldı parollar faylında saqlanıp turǵan jazıw menen salıtıradı. Bul
usılda shifrlaw yamasa bir tárepleme funkciyalar sıyaqlı kriptografik
mexanizmlar isletilmaydi. Usı usıldıń kemshiligi – sistemaǵa buzıp kishiwshi
adamnıń sistemada administrator jeńilliklerinen, usınıń menen birge sistema
fayllarınan, atap aytqanda, parol fayllardan paydalanıw múmkinshiligi bolıp
tabıladı.
Qawipsizlik tárepinen parollardı bir tárepleme funkciyalardan paydalanıp
uzatıw hám saqlaw qolay esaplanadi. Bul túrde paydalanıwshı paroldıń ashıq
forması ornına onıń bir tárepleme funkciya h (.) den paydalanıp alınǵan suwretin
jiberiwi shárt. Bul ózgertiw dushpan tárepinen paroldı onıń suwreti arqalı kóre
almaǵanlıǵın kepilleydi, sebebi dushpan sheshilmiytuǵın sanlı máselege dus
keledi.
Kóp márteli parollarǵa tiykarlanǵan ápiwayı autentifikaciyalaw
sistemasınıń shıdamlılıǵı tómen, sebebi olarda autentifikaciyalaw informaciya
mánisli sózlerdiń salıstırǵanda úlken bolmaǵan toplamınan jıynanadı. Kóp
márteli parollardıń tásir múddeti shólkemniń qawipsizligi siyasatıda belgileniwi
hám bunday parollardı úzliksiz túrde almastırıp turıw kerek. Parollardı sonday
tańlaw kerek, olar sózlikte bulmasin hám olardı tabıw qıyın bolsın.
Bir márteli parollarǵa tiykarlanǵan autentifikaciyalawda paydalanıwǵa hár
bir soraw ushın hár qıylı parollar isletiledi. Bir márteli dinamikalıq parol tek
sistemadan bir márte paydalanıwǵa jaramlı. Eger, kimdir onı ustap qalsa hám
parol
fonda bermiydi.
Ádetde, bir márteli parollarǵa tiykarlanǵan
autentfikaсiyalaw
sisteması
aralıqdaǵı
paydalanıwshılardı
tekseriwde
qollanıladı.
Bir márteli parollardı generaciyalaw apparat yamasa programmalıq usıl
arqalı ámelge asırılıwı múmkin. Bir márteli parollar tiykarındaǵı paydalanıwdıń
apparat quralları sırtdan tólew plastik kartalarǵa uqsas mikroprocessor
ornatılǵan miniatyur qurılmalar kórinisinde ámelge asıradı. Ádetde, giltler dep
atalıwshı bunday kartalar klaviaturaǵa hám úlken bolmaǵan displey aynasına
iye.
Paydalanıwshılardı autentifikaciyalaw ushın bir márteli parollardı
qollawdıń tómendegi usılları belgili:
1.
Birden-bir waqıt sistemasına tiykarlanǵan waqıt belgileri mexanizmınen
paydalanıw
2.
Legal paydalanıwshı hám tekseriwshi ushın ulıwma bolǵan kútilmegen
parollar diziminen hám olardıń isenimli sinxronlaw mexanizmınen
paydalanıw.
3.
Paydalanıwshı tekseriwshi ushın ulıwma bolǵan birdey dáslepki bahalı
psevdo kútilmegen sanlar generetorınan paydalanıw.
Birinshi usıldı ámelge asırıw mısalı retinde SecurlD autentikatsiyalaw
tsxnologiyasın
kórsetiw múmkin. Bul texnologiya SecurityDynamics
kompaniyası tárepinen islep shıǵılǵan bolıp, qatar kompaniyalardıń atap
aytqanda CiscoSystems komianiyasınıń serverlerinde ámelge asırılǵan.
Waqıt sinxronizaciyasınan paydalanıp autentifikaciyalaw sxeması
kútilmegen sanlardı waqtınshalıq belgili aralıǵindan keyin generaciyalaw
algoritmına tiykarlanǵan. Autentifikaciya sxeması tómendegi eki parametrden
paydalanadı:
Hár bir paydalanıwshıǵa atalǵan autentifikaciya serverinde hám
paydalanıwshınıń apparat giltinde saqlanıwshı kem ushraytuǵın 64-bitli
sannan ibarat jasırın gilt;
Usı waqıt mánisi.
Aralıqdaǵı paydalanıwshı tarmaqtan paydalanıwǵa urınǵanda odan jeke
identifikaciya nomeri PIN di kirgiziw usınıs etiledi. PIN tórt dawıslı nomerden
hám apparat gilti displeyinde qaytalanıwshı tosınarlı altı nomerinen ibarat.
Server paydalanıwshı tárepinen kiritilgen PIN koddan paydalanıp maǵlıwmatlar
bazasındaǵı paydalanıwshınıń jasırın gilti hám usı waqıt mánisi tiykarında
tosınarlı sandı generaciyalaw algoritmın atqaradı. Keyininen server
generaciyalanǵan san menen paydalanıwshı kirgizgen sandı salıstıradı. Eger bul
sanlar uqsas kelsa, server paydalanıwshıǵa sistemadan paydalanıwǵa ruxsat
beredi.
Autentifikaciyanıń bul sxemasınan paydalanıwda apparat gilt hám
serverdiń turaqlı waqıtı sinxronlanıwı talap etiledi. Sebebi apparat gilt bir neshe
jıl islewi hám sonday eken server ishki soatı menen apparat giltiniń durıslıǵı az-
azdan buzılıwı múmkin.
Usı mashqalanı sheshiwde SecurityDynamics kompaniyası tómendegi eki
usıldan paydalanadı:
apparat gilti islep shıǵılıpatırǵanda onıń taymer chastotasınıń normadan
shetlesiwi anıq olshenedi. Shetlesiwdiń bul mánisi server algoritmı
parametri retinde esapqa alınadı;
server arnawlı bir apparat gilt generaciyalaǵan kodlardı gúzetedi hám
zárúrlik payda bolǵanda usı giltge iykemlesedi.
Autentifikaciyanıń bul sxeması menen jáne bir mashqala baylanıslı.
Apparat gilt generaciyalaǵan tosınarlı san úlken bulmagan waqıt aralıǵı
dawamında haqıyqıy parol esaplanadi. Usınıń sebebinen uluwma, qısqa
múddetli jaǵday júz beriwi múmkin, xaker PIN-kodnı ustap qalıwı jáne onı
tarmaqtan paydalanıwǵa isletiwi múmkin. Bul waqıt sinxronizaciyasına
tiykarlanǵan autentifikaciya sxemasınıń eń hálsiz jayı esaplanadi.
Bir márteli paroldan paydalanıwshı autentifikatsiyalawdı ámelge asırıwshı
jáne bir variant - «soraw juwap» sxeması boyicha autentifikaciyalaw.
Paydalanıwshı tarmaqtan paydalanıwǵa urinǵanda server oǵan tosınarlı san
kórinisindegi sorawdı uzatadı. Paydalanıwshınıń apparat gilti bul tosınarlı sannı,
mısalı, DES algoritmı hám paydalanıwshınıń apparat gilti xoti- rasida hám
serverdiń maǵlıwmatlar bazasında saklanuvchi jasırın gilti járdeminde
rasshifrovka etedi. Tosınarlı san - soraw shifrlanǵan kórinishde serverge
qaytariladi. Server hám óz gezeginde sol DES algoritmi vaserverniń
maǵlumatlar bazasınan alınǵan paydalanıwshınıń jasırın gilti járdeminde ózi
generatsiyalagan tosınarlı sannı shifrlaydı. Keyininen server shifrlaw nátiyjesin
apparat giltinen kelgen san menen salıstırıwladı. Bul sanlar uqsas kelgeninde
paydalanıwshı tarmaqtan paydalanıwǵa ruxsat aladı. Atap ótiw kerek, «Soraw-
juwap» autentifikaciyalaw sxsmasi isletiwde waqıt sinxronizatsiyasidan
paydalanıwshı autentifikaciya sxemasına qaraǵanda quramalıraq.
Paydalanıwshını
autentifikaciyalaw
ushın bir márteli paroldan
paydalanıwdıń ekinshi usılı paydalanıwshı hám tekseriwshi ushın ulıwma
bolǵan tosınarlı parollar diziminen hám olardıń isenimli sinxronlaw
mexanizmınan paydalanıwǵa tiykarlanǵan. Bir márteli parollardıń bóliniwshi
dizimi jasırın paroller izbe-izligi yamasa kompleksi bolıp, hár bir parol tek bir
ret isletiledi. Usı dizim autentifikatsion almasinuv tárepler ortasında aldınan
bóliwleniwi shárt. Usı usıldıń bir variantına qaray soraw-juwap kestesi isletiledi.
Bul kestede autentifikatsilaw ushın tárepler tárepinen isletiliwshi sorawlar hám
juwaplar ámeldegi bolıp, hár bir jup tek bir ret isletiliwi shárt.
Paydalanıwshını
autentifikaciyalaw
ushın bir márteli paroldan
paydalanıwdıń úshinshi usılı paydalanıwshı hám tekseriwshi ushın ulıwma
bolǵan birdey dáslepki bahalı psevdotasodifiy sanlar generatorinan
paydalanıwǵa tiykarlanǵan. Bul usıldı ámelge asırıwdıń tómendegi variantları
ámeldegi:
| 