4.Bir martalik parol: kiritilgan va unutilgan
Bir martalik parol - bu cheklangan vaqt davomida faqat bitta autentifikatsiya jarayoni uchun amal qiladigan kalit so'z. Bunday parol ma'lumotni ushlash yoki oddiy ko'zdan kechirish muammosini to'liq hal qiladi. Agar tajovuzkor jabrlanuvchining parolini qo'lga kiritsa ham, undan kirish uchun foydalanish imkoniyati nolga teng. Bir martalik parollar kontseptsiyasining birinchi tatbiqlari kalit so'zlarning statik to'plamiga asoslangan edi, ya'ni birinchi navbatda foydalanuvchilar tomonidan ishlatilishi mumkin bo'lgan parollar ro'yxati (kalitlar, kodli so'zlar va boshqalar) yaratildi. Birinchisida shunga o'xshash mexanizm ishlatilgan bank tizimlari hisobni masofadan boshqarish imkoniyati bilan. Ushbu xizmatni faollashtirgandan so'ng, mijoz o'z parollari ro'yxati bilan konvertni oldi. Keyin, u har safar tizimga kirganida, u keyingi kalit so'zni ishlatgan. Ro'yxatning oxiriga kelib, mijoz yangisini olish uchun bankka bordi. Ushbu yechimning bir qator kamchiliklari bor edi, asosiysi past ishonchlilik edi. Shunga qaramay, parollar ro‘yxatini doimo yoningizda olib yurish xavfli, uni yo‘qotish oson yoki buzg‘unchilar tomonidan o‘g‘irlanishi mumkin. Va keyin, ro'yxat cheksiz emas, lekin agar mavjud bo'lsa-chi to`g`ri daqiqada bankka kira olmaysizmi? Umuman olganda, G'arb mamlakatlarida autentifikatsiya qilish uchun bir martalik parollar mavjud axborot tizimlari odatiy holga aylangan. Biroq, bizning mamlakatimizda OTP texnologiyasi yaqin vaqtgacha mavjud emas edi. Yaqinda kompaniyalar rahbariyati masofadan turib ishlashda ruxsatsiz kirish xavfi qanchalik ortib borayotganini tushuna boshladi. Ma'lumki, talab taklifni yaratadi. Endi masofaviy autentifikatsiya qilish uchun bir martalik parollardan foydalanadigan mahsulotlar asta-sekin Rossiya bozorida o'z o'rnini bosa boshladi. Zamonaviy texnalogiyalar OTP autentifikatsiyasi kuchli kriptografik algoritmlardan foydalangan holda dinamik kalit so'zlarni yaratishdan foydalanadi. Boshqacha qilib aytganda, autentifikatsiya ma'lumotlari foydalanuvchining maxfiy kaliti bilan ba'zi urug'larni shifrlash natijasidir. Mijoz ham, server ham bu ma'lumotlarga ega. U tarmoq orqali uzatilmaydi va uni ushlab bo'lmaydi. Autentifikatsiya jarayonining har ikki tomoniga ma'lum bo'lgan ma'lumotlar boshlang'ich qiymat sifatida ishlatiladi va tizimda ishga tushirilganda har bir foydalanuvchi uchun shifrlash kaliti yaratiladi (1-rasm). Shuni ta'kidlash kerakki, OTP texnologiyalari rivojlanishining hozirgi bosqichida simmetrik va assimetrik kriptografiyadan foydalanadigan tizimlar mavjud. Birinchi holda, har ikki tomon ham maxfiy kalitga ega bo'lishi kerak. Ikkinchisida, maxfiy kalit faqat foydalanuvchiga kerak, autentifikatsiya serverida esa u ochiq.
Amalga oshirish:OTP texnologiyalari VeriSign tomonidan 2004 yilda boshlangan Open Authentication (OATH) sanoat tashabbusi doirasida ishlab chiqilgan. Ushbu tashabbusning mohiyati turli Internet xizmatlari uchun chinakam kuchli autentifikatsiya standart spetsifikatsiyasini ishlab chiqishdan iborat. Bundan tashqari, biz foydalanuvchi huquqlarini ikki faktorli aniqlash haqida bormoqda, bunda ikkinchisi smart-karta yoki USB tokenini va
uning parolini "taqdim etishi" kerak. Shunday qilib, bir martalik parollar oxir-oqibat turli tizimlarda masofaviy autentifikatsiya qilishning standart vositasiga aylanishi mumkin. Bugungi kunda bir martalik parolni autentifikatsiya qilish tizimlarining bir nechta variantlari ishlab chiqilgan va amaliyotda qo'llanilmoqda.
So'rov-javob usuli. Uning ishlash printsipi quyidagicha: autentifikatsiya protsedurasining boshida foydalanuvchi o'z loginini serverga yuboradi. Bunga javoban, ikkinchisi tasodifiy qatorni yaratadi va uni qaytarib yuboradi. Foydalanuvchi o'z kaliti yordamida ushbu ma'lumotlarni shifrlaydi va uni serverga qaytaradi. Bu vaqtda server o'z xotirasida ushbu foydalanuvchining maxfiy kalitini "topadi" va u bilan asl qatorni kodlaydi. Quyida ikkala shifrlash natijalarini taqqoslash keltirilgan. Agar ular mos kelsa, autentifikatsiya muvaffaqiyatli deb hisoblanadi. Bir martalik parol texnologiyasini amalga oshirishning bu usuli asinxron deb ataladi, chunki autentifikatsiya jarayoni foydalanuvchining server bilan tarixiga va boshqa omillarga bog'liq emas. Faqat javob berish usuli. Bunday holda, autentifikatsiya algoritmi biroz soddaroq. Jarayonning eng boshida foydalanuvchining dasturiy ta'minoti yoki apparati mustaqil ravishda xom ma'lumotlarni ishlab chiqaradi, ular shifrlanadi va taqqoslash uchun serverga yuboriladi. Bunday holda, qatorni yaratish jarayonida oldingi so'rovning qiymati ishlatiladi. Serverda bu ma'lumotlar ham mavjud; foydalanuvchi nomini bilib, u avvalgi so'rovining qiymatini topadi va xuddi shu algoritmdan foydalangan holda aynan bir xil qatorni hosil qiladi. Uni foydalanuvchining maxfiy kaliti yordamida shifrlagandan so'ng (u serverda ham saqlanadi), server foydalanuvchi tomonidan yuborilgan ma'lumotlarga to'liq mos kelishi kerak bo'lgan qiymatni oladi. Vaqtni sinxronlashtirish usuli. Unda dastlabki chiziq sifatida maxsus qurilma yoki odam ishlaydigan kompyuter taymerining joriy ko'rsatkichlari qo'llaniladi. Bunday holda, odatda, vaqtning aniq ko'rsatkichi emas, balki oldindan belgilangan chegaralar bilan joriy interval (masalan, 30 s). Ushbu ma'lumotlar shaxsiy kalit yordamida shifrlangan ochiq shakl foydalanuvchi nomi bilan birga serverga yuboriladi. Autentifikatsiya so'rovini olgandan so'ng, server bir xil amallarni bajaradi: u taymerdan joriy vaqtni oladi va uni shifrlaydi. Shundan so'ng, u faqat ikkita qiymatni solishtirishi kerak: hisoblangan va masofaviy kompyuterdan olingan. Hodisa usuli bo'yicha sinxronlash. Aslida, bu usul avvalgisiga deyarli o'xshaydi, faqat u boshlang'ich qator sifatida vaqtni emas, balki joriyidan oldin amalga oshirilgan muvaffaqiyatli autentifikatsiya protseduralari sonini ishlatadi. Bu qiymat har ikki tomon tomonidan bir-biridan alohida hisoblab chiqiladi. Ba'zi tizimlar aralash usullar deb ataladigan usullarni qo'llaydi, bu erda ikki yoki undan ortiq turdagi ma'lumotlar boshlang'ich qiymat sifatida ishlatiladi. Masalan, autentifikatsiya hisoblagichlarini ham, o'rnatilgan taymerlarni ham hisobga oladigan tizimlar mavjud. Ushbu yondashuv individual usullarning ko'pgina kamchiliklaridan qochadi.
Do'stlaringiz bilan baham: |