Kafedra: at. Fan: Elektron to’lov tizimlari. Mustaqil ish. Mavzu

Internet-banking xavfsizligi: bir martalik parollar

Download 107,52 Kb.

bet	4/22
Sana	25.02.2022
Hajmi	107,52 Kb.
	#310642

1 2 3 4 5 6 7 8 9 ... 22

Bog'liq
elektron to'lov tizimlari 2-MI

Greek

Internet-banking xavfsizligi: bir martalik parollar
Internet-banking xavfsizligining muhim xususiyati-bir martalik parollar yordamida tranzaktsiyalarni tasdiqlash (trafikni to'xtatish buzg'unchiga moliyalashtirishga imkon bermasligi uchun). Serverni almashtirishning nazariy imkoniyati hali ham mavjud bo'lsa-da, ammo bunday firibgarlikni amalga oshirish juda muammoli (ayniqsa, uchinchi tomon tomonidan imzolangan sertifikat bilan SSL ulanishidan foydalansangiz).
Bir martalik parol (eng. bir vaqt paroli, OTP) faqat bitta autentifikatsiya seansi uchun amal qiladi. Bir martalik parol harakati ham ma'lum vaqt oralig'ida cheklanishi mumkin.
Statik parolga nisbatan bir martalik parolning afzalligi shundaki, parolni qayta ishlatish mumkin emas. Shunday qilib, muvaffaqiyatli autentifikatsiya sessiyasidan ma'lumotlarni ushlab turgan tajovuzkor himoyalangan axborot tizimiga kirish uchun kopyalanan parolni ishlata olmaydi. Bir martalik parollardan foydalanish, autentifikatsiya qilish uchun ishlatiladigan aloqa kanaliga (masalan, "o'rtadagi odam"kabi hujumlardan) faol aralashuvga asoslangan hujumlardan himoya qilmaydi.Bir kishi bir martalik parollarni eslay olmaydi. Shuning uchun ular to'g'ri ishlashi uchun qo'shimcha texnologiyalarni talab qiladi.
OTP yaratish va tarqatish usullari
OTP yaratish algoritmlari odatda tasodifiy raqamlardan foydalanadi. Bu kerak, chunki aks holda oldingi ma'lumotlarga asoslangan keyingi parollarni taxmin qilish oson bo'ladi. Maxsus OTP algoritmlari batafsil farq qiladi. Bir martalik parollar yaratishning turli yondashuvlari quyida keltirilgan.
Avvalgi parol asosida yangi parol yaratish uchun matematik algoritmlardan foydalanish (parollar aslida zanjirni tashkil qiladi va ma'lum tartibda ishlatilishi kerak).
Parol beruvchi server va mijoz o'rtasida vaqtinchalik sinxronlashtirishga asoslangan (parollar qisqa vaqt ichida amal qiladi)
Yangi parol so'rovga asoslangan (masalan, server yoki kiruvchi xabarning bir qismi tomonidan tanlangan tasodifiy raqam) va/yoki hisoblagichga asoslangan matematik algoritmdan foydalaning.
Bundan tashqari, foydalanuvchi quyidagi parolni xabardor qilish uchun turli xil yo'llari bor. Ba'zi tizimlar foydalanuvchi bilan birga olib boradigan, bir martalik parollar yaratadigan va keyin ularni kichik ekranda ko'rsatadigan maxsus elektron nishonlardan foydalanadi. Boshqa tizimlar foydalanuvchi mobil telefondan ishlaydigan dasturlardan iborat. Boshqa tizimlar serverda bir martalik parollar ishlab chiqaradi va SMS-xabarlar kabi begona kanallardan foydalanib, ularni foydalanuvchiga yuboradi. Nihoyat, ba'zi tizimlarda bir martalik parollar bir varaq qog'ozga yoki foydalanuvchi bilan birga bo'lishi kerak bo'lgan skretch kartasiga yoziladi.
Matematik algoritmlar
Leslie Lamport tomonidan ishlab chiqilgan bir yondashuv bir tomonlama funktsiyadan foydalanadi (biz uni f deb ataymiz). Bir martalik parol tizimi dastlabki s raqamidan ishlay boshlaydi, keyin parollar hosil qiladi
f(s), f(f(s)), f(f(f(s))), …
kerakli darajada ko'p marta. Agar cheksiz parol seriyasini izlayotgan bo'lsangiz, s uchun ketma-ketlikdan keyin yangi boshlang'ich raqam tanlanishi mumkin. Har bir parol f(f(...f(s)) dan boshlab teskari tartibda taqsimlanadi...).
Agar tajovuzkor bir martalik parolni olishni boshlasa, u faqat bitta vaqt yoki bitta aloqaga kirish imkoniyatiga ega bo'ladi, ammo bu muddat tugagach, bu foydasiz bo'ladi. Avvalgi zanjirda quyidagi parolni olish uchun f−1 funksiyasining teskari hisoblash usulini topish kerak. F bir tomonlama tanlanganligi sababli, buni amalga oshirish mumkin emas. Agar f odatda ishlatiladigan kriptografik Xash funktsiyasi bo'lsa, unda ma'lum bo'lganidek, bu hisoblash mumkin bo'lmagan vazifa bo'ladi.
Vaqt bilan sinxronlangan RSA SecurID belgilar
Vaqt bilan sinxronlangan bir martalik parollar odatda jismoniy apparat belgilariga bog'liq (masalan, har bir foydalanuvchi bir martalik parol ishlab chiqaradigan shaxsiy token beriladi). Token ichida serverda soat bilan sinxronlangan aniq soat mavjud. Ushbu OTP tizimlarida vaqt parolni yaratish algoritmining muhim qismidir, chunki yangi parolni yaratish avvalgi parol yoki maxfiy kalit emas, balki joriy vaqtga asoslangan.
So'nggi paytlarda kredit kartasining ariza faktorida ActivIdentity, InCard, RSA, SafeNet, Vasco, VeriSign va Protectimus kabi doimiy soat belgilari bilan bog'liq elektron komponentlarni joylashtirish mumkin bo'ldi. Biroq, kartaning qalinligi (0.79 mm dan 0.84 mm gacha) an'anaviy batareya elementlaridan foydalanishga ruxsat bermagani uchun, umr bo'yi oddiy mini-batareyalarga qaraganda ancha katta bo'lgan polimerlarga asoslangan maxsus batareyalardan foydalanish kerak. Bundan tashqari, kutish va/yoki mahsulotni ishlatish vaqtida energiyani tejash uchun juda kam quvvatli yarim o'tkazgich komponentlari ishlatilishi kerak. Nozik OTP qurilmalarini ishlab chiqarishda ikkita kompaniya: Identita va NagraID etakchi hisoblanadi.
Mobil telefonlar va PDA-lar ham vaqt-vaqti bilan sinxronlashtirilgan bir martalik parollarni yaratish uchun ishlatilishi mumkin. Ushbu yondashuv ko'proq iqtisodiy muqobil bo'lishi mumkin, chunki ko'pchilik Internet foydalanuvchilari allaqachon mobil telefonlarga ega. Bundan tashqari, bu yanada qulayroq bo'lishi mumkin, chunki foydalanuvchi har qanday xavfsiz ulanish uchun kirish kerak bo'lganda alohida belgini olib o'tishga hojat yo'q.
So'rov bilan bir martalik parollardan foydalanish foydalanuvchini autentifikatsiya qilish uchun vaqt bo'yicha sinxronlangan so'rovlarni taqdim etishni talab qiladi. Bu tokenning o'zida qiymatni kiritish orqali amalga oshirilishi mumkin. Dublikatlar paydo bo'lishining oldini olish uchun qo'shimcha hisoblagich odatda yoqiladi, shuning uchun agar ikkita bir xil so'rov mavjud bo'lsa, u hali ham turli xil bir martalik parollar paydo bo'lishiga olib keladi. Biroq, hisob-kitoblar, odatda, avvalgi bir martalik parolni o'z ichiga olmaydi, chunki bu vazifalarni sinxronlashtirishga olib keladi. EMV bunday tizimlardan foydalanishni boshlaydi (deyiladi "Chip autentifikatsiya dasturi") Evropada kredit kartalari uchun.
SMS orqali bir martalik parol
Bir martalik parollarni etkazib berish uchun ishlatiladigan keng tarqalgan texnologiya SMS. SMS-barcha telefonlarda mavjud bo'lgan va ko'plab mijozlar tomonidan ishlatiladigan keng tarqalgan aloqa kanali bo'lgani uchun, SMS-xabarlar arzon narxlardagi barcha iste'molchilar uchun eng katta salohiyatga ega.
Tokens, aqlli kartalar va boshqa an'anaviy autentifikatsiya usullari amalga oshirish va foydalanish uchun juda qimmat va ko'pincha iste'molchilar tomonidan qarshiliklarga duch keladi. Ular, shuningdek, phishers bir martalik parollarni aldash yoki hatto bir martalik parollar token ekranida ko'rsatilganligi sababli o'g'irlaydigan "o'rtadagi odam" kabi hujumlarga nisbatan ancha himoyasiz. Bundan tashqari, belgilar yo'qolishi va bir martalik parollarni mobil telefonlarga integratsiyalashuvi xavfsizroq va sodda bo'lishi mumkin, chunki foydalanuvchilar qo'shimcha portativ qurilmalarni olib yurishlari shart emas.
Shu bilan birga, SMS orqali bir martalik parollar kamroq xavfsiz bo'lishi mumkin, chunki uyali aloqa operatorlari ishonch zanjirining bir qismiga aylanadi. Ruxsat etilgan Rouming funksiyasi bo'lsa, bir nechta mobil operatorga (ba'zi hollarda, OKS7 signalizatsiya tizimiga ega bo'lgan barcha tashkilotlarga) ishonish kerak.
NIST 2016 tavsiyalariga ko'ra, yangi autentifikatsiya qilish tizimlarida ularni ushlash va qayta yo'naltirish xavfi tufayli smsdan foydalanmaslik kerak.
Mobil telefonda bir martalik parol
Foydalanuvchilarning qurilma bilan birga bo'lishini talab qiladigan apparatni amalga oshirish bilan taqqoslaganda, uyali telefonda token xarajatlarni sezilarli darajada kamaytiradi va misli ko'rilmagan qulaylik darajasini taklif qiladi. Ushbu yechim ham logistika talablarini pasaytiradi, chunki har bir foydalanuvchi uchun alohida qurilma berishga hojat yo'q. FiveBarGate, FireID yoki PROTECTIMUS SMART kabi mobil belgilar qo'shimcha ravishda ilovaning bir o'rnatilishi davomida bir nechta belgilarni qo'llab-quvvatlaydi va foydalanuvchi bir qurilmadan bir nechta manbaga autentifikatsiya qilish imkonini beradi. Ushbu parametr shuningdek, Foydalanuvchining turli telefon modellari uchun maxsus ilovalarni taqdim etadi. Mobil telefonlardagi belgilar, shuningdek, SMS orqali OTP ga qaraganda ancha xavfsizroq, chunki SMS-xabarlar GSM tarmog'i orqali matnli formatda ushlash imkoniyati bilan yuboriladi.

Authentication (from Greek: αὐθεντικός authentikos, "real, genuine", from αὐθέντης authentes, "author") is the act of proving an assertion, such as the identity of a computer system user. In contrast with identification, the act of indicating a person or thing's identity, authentication is the process of verifying that identity.^[1] It might involve validating personal identity documents, verifying the authenticity of a website with a digital certificate,^[2] determining the age of an artifact by carbon dating, or ensuring that a product or document is not counterfeit. Methods[edit]

Download 107,52 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 ... 22