5.OTP texnologiyasining zaif tomonlari
Bir martalik parol texnologiyasi ancha ishonchli hisoblanadi. Biroq, ob'ektivlik uchun shuni ta'kidlaymizki, uning kamchiliklari ham bor, ular OTP tamoyilini sof shaklda amalga oshiradigan barcha tizimlarga bo'ysunadi. Bunday zaifliklarni ikki guruhga bo'lish mumkin. Birinchisi, barcha amalga oshirish usullariga xos bo'lgan potentsial xavfli "teshiklar" ni o'z ichiga oladi. Ulardan eng jiddiyi autentifikatsiya serverini aldash qobiliyatidir. Bunday holda, foydalanuvchi o'z ma'lumotlarini to'g'ridan-to'g'ri tajovuzkorga yuboradi, u darhol haqiqiy serverga kirish uchun foydalanishi mumkin. "So'rov-javob" usulida hujum algoritmi biroz murakkablashadi (xaker kompyuteri server va mijoz o'rtasida ma'lumot almashish jarayonini o'zidan o'tib, "vositachi" rolini o'ynashi kerak). Ammo shuni ta'kidlash kerakki, bunday hujum amalda umuman oson emas. Yana bir zaiflik faqat sinxron usullarga xos bo'lib, serverdagi va foydalanuvchining dasturiy yoki apparatidagi ma'lumotlarning sinxronizatsiyasi xavfi bilan bog'liq. Aytaylik, ba'zi tizimlarda ichki taymerlarning o'qishlari dastlabki ma'lumotlar bo'lib xizmat qiladi va negadir ular bir-biriga mos kelmay qoladi. Bunday holda, foydalanuvchilarning autentifikatsiya qilishga urinishlari muvaffaqiyatsiz tugadi (birinchi turdagi xato). Yaxshiyamki, bunday hollarda ikkinchi turdagi xatolik ("begona" ga tolerantlik) yuzaga kelishi mumkin emas. Biroq, tasvirlangan vaziyatning yuzaga kelish ehtimoli ham juda kichik. Ba'zi hujumlar faqat bir martalik parol texnologiyasining ayrim ilovalariga nisbatan qo'llaniladi. Misol sifatida yana taymerni sinxronlash usulini olaylik. Yuqorida aytib o'tganimizdek, unda vaqt bir soniya aniqligi bilan emas, balki oldindan belgilangan oraliqda hisobga olinadi. Bu taymerlarni desinxronizatsiya qilish imkoniyatini, shuningdek, ma'lumotlarni uzatishda kechikishlar paydo bo'lishini hisobga olgan holda amalga oshiriladi. Aynan shu daqiqada tajovuzkor uzoq tizimga ruxsatsiz kirish uchun nazariy jihatdan foydalanishi mumkin. Boshlash uchun xaker foydalanuvchidan autentifikatsiya serveriga tarmoq trafigini “tinglaydi” va “jabrlanuvchi” tomonidan yuborilgan foydalanuvchi nomi va bir martalik parolni tutib oladi. Keyin u darhol o'z kompyuterini bloklaydi (uni ortiqcha yuklaydi, o'chiradi va hokazo) va o'zidan avtorizatsiya ma'lumotlarini yuboradi. Va agar tajovuzkor buni shunchalik tez bajarsa, autentifikatsiya oralig'ini o'zgartirishga vaqt topolmasa, server uni ro'yxatdan o'tgan foydalanuvchi sifatida taniydi.Aniqki, bunday hujum uchun tajovuzkor traffikni tinglashi, shuningdek, mijozning kompyuterini tezda blokirovka qilishi kerak va bu oson ish emas. Ushbu shartlarga rioya qilishning eng oson usuli - hujum oldindan o'ylab topilganda va masofaviy tizimga ulanish uchun "jabrlanuvchi" boshqa birovning mahalliy tarmog'idagi kompyuterdan foydalanadi. Bunda xaker shaxsiy kompyuterlardan birida oldindan “ishlashi”, uni boshqa mashinadan boshqarish imkoniyatini qo‘lga kiritishi mumkin. Bunday hujumdan faqat "ishonchli" ish mashinalari (masalan, shaxsiy noutbuk yoki PDA) va "mustaqil" xavfsiz (masalan, SSL-dan foydalangan holda) Internetga kirish kanallari yordamida himoyalanishingiz mumkin. Har qanday xavfsizlik tizimining ishonchliligi ko'p jihatdan uni amalga oshirish sifatiga bog'liq. Barcha amaliy yechimlar tajovuzkorlar o'z maqsadlari uchun foydalanishi mumkin bo'lgan kamchiliklarga ega va bu "teshiklar" ko'pincha amalga oshirilayotgan texnologiya bilan bevosita bog'liq emas. Ushbu qoida bir martalik parollarga asoslangan autentifikatsiya tizimlariga to'liq taalluqlidir. Yuqorida aytib o'tilganidek, ular kriptografik algoritmlardan foydalanishga asoslangan. Bu bunday mahsulotlarni ishlab chiquvchilarga ma'lum majburiyatlarni yuklaydi - axir, algoritmning sifatsiz bajarilishi yoki, masalan, tasodifiy raqamlar generatori ma'lumotlar xavfsizligini xavf ostiga qo'yishi mumkin. Bir martalik parol generatorlari ikki usulda amalga oshiriladi: dasturiy va apparat. Birinchisi, tabiiy ravishda, kamroq ishonchli. Gap shundaki, mijoz yordam dasturi foydalanuvchining maxfiy kalitini saqlashi kerak. Buni faqat shaxsiy parol asosida kalitning o'zini shifrlash orqali ko'proq yoki kamroq xavfsiz qilish mumkin. Shuni esda tutish kerakki, mijoz yordam dasturi qurilmani (PDA, smartfon va boshqalar) o'rnatishi kerak. Bu daqiqa sessiya ishlamoqda. Shunday qilib, ma'lum bo'lishicha, xodimlarning autentifikatsiyasi bitta parolga bog'liq, shu bilan birga uni aniqlash yoki taxmin qilishning ko'plab usullari mavjud. Va bu bir martalik parol ishlab chiqaruvchi dasturiy ta'minotning yagona zaifligidan uzoqdir. OTP texnologiyalarini apparat yordamida amalga oshirish uchun turli xil qurilmalar beqiyos darajada ishonchli. Masalan, kalkulyatorga o'xshash qurilmalar mavjud (2-rasm): ularga server tomonidan yuborilgan raqamlar to'plamini kiritganingizda, ular o'rnatilgan maxfiy kalit ("challenge-response") asosida bir martalik parol yaratadilar. "usuli). Bunday qurilmalarning asosiy zaifligi ularning o'g'irlanishi yoki yo'qolishi mumkinligi bilan bog'liq. Agar siz qurilma xotirasini maxfiy kalit bilan ishonchli himoya qilsangizgina tizimni buzg'unchidan himoya qilish mumkin. Aynan shu yondashuv smart-kartalar va USB tokenlarida qo'llaniladi. Xotiraga kirish uchun foydalanuvchi o'zining PIN-kodini kiritishi kerak. Qo'shimcha qilaylik, bunday qurilmalar PIN-kod tanlashdan himoyalangan: agar noto'g'ri qiymat uch marta kiritilsa, ular bloklanadi. Kalit ma'lumotlarini ishonchli saqlash, kalit juftliklarini apparat vositalarini yaratish va ishonchli muhitda (smart-karta chipida) kriptografik operatsiyalarni bajarish tajovuzkorga maxfiy kalitni chiqarib olish va bir martalik parol yaratish qurilmasining dublikatini yaratishga imkon bermaydi. Shunday qilib, smart-kartalar va USB tokenlar deyarli barcha amalga oshirish zaifliklaridan himoyalangan eng ishonchli bir martalik parol generatorlari hisoblanadi. Bundan tashqari, ikkinchisi yanada qulayroq: ular smart-kartalar uchun zarur bo'lgan qo'shimcha o'quvchilarsiz istalgan shaxsiy kompyuter yoki noutbukda ishlatilishi mumkin. Bundan tashqari, USB portsiz ishlashi mumkin bo'lgan OTP texnologiyasiga ega USB dongle ilovasi mavjud. Bunga misol elektron kalit - Aladdindan eToken NG-OTP. Qayd etish joizki, Aladdin (http://www.aladdin.com) yuqorida qayd etilgan OATH tashabbusini ilgari surishda faol ishtirok etadi va bu yerda muhokama qilingan kalit VeriSign Unified Authentication yechimining asosiy komponenti sifatida tanlangan.
|
Guruch. 2. RSA SecurID OTP qurilmasi.
| To'g'ri, bu tizimda u boshqacha nomlanadi: eToken VeriSign. Ushbu yechimning asosiy maqsadi Internet orqali tuzilgan tranzaktsiyalarning ishonchliligini oshirish bo'lib, u apparat kalitiga asoslangan kuchli ikki faktorli autentifikatsiyaga asoslangan. eToken NG-OTP mahsulotining ushbu OEM jo'natmalari uning sifati va barcha OATH spetsifikatsiyalariga muvofiqligini tasdiqlaydi. EToken qurilmalari Rossiyada juda keng tarqalgan. Microsoft, Cisco, Oracle, Novell va boshqalar kabi yetakchi sotuvchilar ularni o‘z mahsulotlarida qo‘llab-quvvatlashadi (eToken axborot xavfsizligi ilovalari bilan 200 dan ortiq ilovalarni ishlab chiqish tajribasiga ega). Shunday qilib, eToken NG-OTP boshqa apparat kalitiga asoslangan, qatordagi eng mashhur model eToken PRO hisoblanadi. Bu himoyalangan xotiraga ega smart-karta chipiga asoslangan to‘laqonli token bo‘lib, undan asosiy ma’lumotlar, foydalanuvchi profillari va boshqa maxfiy ma’lumotlarni xavfsiz saqlash, apparat kriptografik hisob-kitoblarni amalga oshirish hamda assimetrik kalitlar va X.509 sertifikatlari bilan ishlash uchun foydalanish mumkin. eToken NG-OTP kaliti, yuqorida tavsiflangan imkoniyatlarni amalga oshiradigan modullardan tashqari, apparat bir martalik parol generatoriga ega (4-rasm). U "hodisalar sinxronizatsiyasi" usuli bo'yicha ishlaydi. Bu OTP texnologiyasining eng ishonchli sinxron amalga oshirilishidir (sinxronizatsiya xavfi kamroq). eToken NG-OTP kalitida amalga oshirilgan bir martalik parol yaratish algoritmi OATH tashabbusi doirasida ishlab chiqilgan (u HMAC texnologiyasiga asoslangan). Uning mohiyati HMAC-SHA-1 qiymatini hisoblash va keyin olingan 160 bitli qiymatdan oltita raqamni kesish (chiqarish) operatsiyasini bajarishdan iborat. Aynan ular bir martalik parol bo'lib xizmat qiladi. Birlashtirilgan eToken NG-OTP kalitining qiziqarli xususiyati bu kalitni kompyuterga ulamasdan ham bir martalik parollardan foydalanish imkoniyatidir. OTP ishlab chiqarish jarayoni qurilma korpusida joylashgan maxsus tugmani bosish orqali boshlanishi mumkin (5-rasm) va bu holda uning natijasi o'rnatilgan LCD displeyda ko'rsatiladi. Ushbu yondashuv OTP texnologiyasidan hatto USB portlari bo'lmagan qurilmalarda (smartfonlar, PDAlar, uyali telefonlar va boshqalar) va ular qulflangan kompyuterlarda foydalanishga imkon beradi. Ko'rib chiqilayotgan kalitning aralash ish rejimi eng ishonchli hisoblanadi. Uni ishlatish uchun qurilma shaxsiy kompyuterga ulangan bo'lishi kerak. Bu erda biz bir necha usullar bilan amalga oshiriladigan ikki faktorli autentifikatsiya haqida gapiramiz. Bitta holatda, tarmoqqa kirish uchun uni kiritish uchun foydalanuvchining shaxsiy parolidan, shuningdek, OTP qiymatidan foydalanish kerak. Boshqa variant esa bir martalik parol va OTP PIN-kodni talab qiladi (asosiy ekranda ko'rsatiladi). Tabiiyki, eToken NG-OTP kaliti standart USB tokeni sifatida ishlashi mumkin - raqamli sertifikatlar va PKI texnologiyasidan foydalangan holda foydalanuvchilarni autentifikatsiya qilish, shaxsiy kalitlarni saqlash va boshqalar uchun xavfsiz masofaviy kirish va ikki faktorli autentifikatsiya zarurati. Ushbu gibrid kalitlarning korporativ miqyosda qo'llanilishi foydalanuvchilarga o'z kalitlari bilan ofis ichida ham, undan tashqarida ham ishlash imkonini beradi. Bunday yondashuv axborot xavfsizligi tizimini yaratish uchun uning ishonchliligiga putur etkazmagan holda xarajatlarni kamaytiradi. Hisob va kartalar bilan operatsiyalarni amalga oshirish uchun shaxs birinchi navbatda doimiy parolni olishi kerak. Buni bir necha usul bilan, masalan, bank filialiga murojaat qilish orqali amalga oshirish mumkin. Ko'pincha odamlar ma'lumotlarni olish uchun bankomatlardan foydalanadilar. Yaratish karta egasining iltimosiga binoan avtomatik ravishda amalga oshiriladi. Ma'lumotlar keyinroq o'zgartirilishi mumkin. Shaxsiy hisobingizning xavfsizlik darajasini oshirish uchun murakkab kombinatsiyalardan foydalanish yaxshidir. Internet-banking tizimi orqali kartalaringiz, depozitlaringiz, hisoblaringiz bilan turli operatsiyalarni amalga oshirishda.
Mavjud quyidagi turlari bir martalik parollar:
bankomatlar yoki terminallar yordamida chop etilgan cheklar (ular bir vaqtning o'zida 20 xil parolni o'z ichiga oladi);
ma'lum bir operatsiya davomida to'g'ridan-to'g'ri telefonga Sberbankdan kelgan xabarda olingan parollar. Sberbank Online tizimidagi ba'zi operatsiyalar faqat SMS parol bilan tasdiqlanganidan keyin amalga oshirilishi mumkin. Har qanday pul operatsiyalari bir martalik parollardan foydalanish tavsiya etiladi. Foydalanuvchi Sberbank Online-ni o'chirib qo'yishi mumkin, ammo bu uni bir martalik parollardan foydalanishdan umuman qutqarmaydi. Shunday qilib, turli bank dasturlari bilan ishlash, tranzaktsiyalarni tasdiqlash uchun ularning kiritilishi kerak bo'ladi. Bir martalik parollarni olishning bir necha yo'li mavjud. Shuni unutmasligimiz kerakki, Internet-banking tizimida ishlash uchun sizga login va doimiy parol kerak bo'ladi. Mijoz Rossiya Federatsiyasi Sberbankining debet (kredit ishlamaydi) kartasining egasi bo'lishi kerak. Bu ish haqi yoki to'lov kartasi bo'lishi mumkin. Agar mavjud bo'lsa, uni o'zingiz bilan olib ketishingiz va eng yaqin terminal yoki bankomatga borishingiz kerak (olish tartibi bir xil). Kartani kartani o'qish moslamasiga kiritish kerak. Tizim talabiga binoan tasdiqlash kodini kiriting. Asosiy menyu paydo bo'ladi, unda siz "Sberbank Online va Mobile Bank" bo'limini bosishingiz kerak. Agar eski dasturiy ta'minot bankomatga o'rnatilgan bo'lsa, unda bu element u erda bo'lmaydi. Bunday holda siz "Internet xizmati" tugmasini bosishingiz kerak bo'ladi. Ochilgan menyuda "Bir martalik parollar ro'yxatini olish" tugmasini bosing. Bankomat parollar ro'yxatini chop etadi, ulardan 20 tasi bor. Ro'yxatdagi parollar abadiydir. Agar foydalanuvchi yangi parollarni chop etsa, eski parollar o'z kuchini yo'qotadi - ularni boshqa ishlatib bo'lmaydi. Mijoz uchun parollardan foydalanishni osonlashtirish uchun ularning barchasi o'z raqamlariga ega. Internetda har qanday operatsiyalarni amalga oshirayotganda, Internet-banking tizimi foydalanuvchidan ma'lum bir raqam bilan bir martalik parolni kiritishni talab qiladi. Ular har qanday tartibda so'raladi, shuning uchun siz bir martalik parolni kiritishingizni so'ragan tizim xabariga e'tibor berishingiz kerak. Chekdan bir martalik parol bilan tasdiqlangan to'lovlar va pul o'tkazmalari 3000 rubldan oshmasligiga e'tibor qaratish lozim. Tekshiruvdagi barcha 20 ta parol tugagandan so'ng, avvalgilari kabi yangilarini olishingiz kerak. Agar parollar bilan chek yo'qolgan bo'lsa yoki uning ma'lumotlari boshqa birovga ma'lum bo'lsa, siz darhol yangilarini chop etishingiz yoki eskilarini bloklashingiz kerak. Buning uchun quyidagi telefonlardan birida aloqa markaziga qo'ng'iroq qilishingiz kerak .
SMS: Bir martalik parollarni olishning ushbu usuli faqat Mobil bank xizmatini kartasiga oldindan ulagan mijozlar uchun mavjud. Buni Sberbankning istalgan filialiga murojaat qilish yoki terminal (ATM) yordamida amalga oshirish mumkin. Mobil bankni ulashning yana bir varianti aloqa markaziga qo'ng'iroq qilishdir. Buning uchun oldindan yaxshiroq tayyorlangan nazorat ma'lumotlarini taqdim etishingiz kerak bo'ladi. Sberbank Online orqali har qanday operatsiyani amalga oshirayotganda, foydalanuvchi yoqilgan uyali telefon bir martalik parolli xabarlar qabul qilinadi (bitta parol - bitta xabar). Mobil bank ulangan karta orqali kirishingiz kerak. Aks holda, chekdan bir martalik parollar ro'yxatidan foydalanishingiz kerak bo'ladi. Yuborilgan xabarga qarab, operatsiya tafsilotlari to'g'ri ekanligiga ishonch hosil qilishingiz kerak. Buning uchun siz Sberbank Online tizimiga kiritilgan ma'lumotlarni SMS ma'lumotlari bilan solishtirishingiz kerak. Har bir martalik parol faqat bir marta ishlatiladi, uni qayta qo'llash mumkin bo'lmaydi. Agar foydalanuvchi yangi bir martalik parol so'ragan bo'lsa, eskisi bekor qilinadi. Endi uni qo'llash mumkin bo'lmaydi. Bir martalik parolli xabarlar har doim Sberbank 900 qisqa raqamidan keladi.
SMS-xabarda quyidagi tranzaksiya tafsilotlari ko'rsatilgan:
operatsiya amalga oshiriladigan karta yoki hisob raqami;
tranzaktsiya summasi;
operatsiyani tasdiqlash uchun parol.
Amalga oshirilayotgan operatsiya turiga qarab boshqa ma'lumotlar ham bo'lishi mumkin. Bir martalik parollarni kiritish tartibi. Shaxsiy hisobingizning tizim sozlamalariga asoslanib, bir martalik parollar bilan operatsiyalarni tasdiqlashning bir yoki bir nechta turlaridan foydalanishga ruxsat berilishi mumkin. Agar ikkala usuldan ham foydalanish mumkin bo'lsa, tizim tasdiqlashdan oldin pudratchiga tanlov beradi. Agar foydalanuvchi chekdan tasdiqlashni tanlasa, to'ldirish maydoni yonida chek va parol raqami paydo bo'ladi. Agar tasdiqlash SMS ko'rinishida telefonga kelsa, qabul qilingan parol "SMS-parolni kiriting" qatoriga qayta yoziladi.
Parol kiritilgandan so'ng, tizim barcha ma'lumotlarni qayta tekshirishni taklif qiladi. Agar ularning barchasi to'g'ri to'ldirilgan bo'lsa, "Tasdiqlash" tugmasini bosishingiz kerak. Ulangan karta ma'lumotlaridan foydalangan holda tizimda avtorizatsiya qilish uchun mobil bank, xabarda olingan bir martalik parol har qanday holatda ham kiritish uchun kerak bo'ladi. Ammo operatsiyalar foydalanuvchi uchun qulay bo'lgan har qanday usulda tasdiqlanishi mumkin. SMS parollar har doim ham o'z vaqtida kelmaydi. Ba'zan ularning taqsimlanishi kechiktiriladi. Va ularning har biri faqat 5 daqiqa davom etadi. Agar tizim yoki mobil aloqa ishlamay qolsa, tasdiqlash uchun chekdan parollardan foydalanish yaxshiroqdir.
Xulosa
Xulosa qilib,ushbu mavzuni o'rganib chiqishim mobaynida ushbu tizim xaqida yertarlicha malumotlarni ko'rib chiqdim. Bir martalik parol bu faqat bir seans uchun amal qiladigan parol. Bir martalik parol ham ma'lum vaqt bilan cheklanishi mumkin. Bir martalik parolning statik paroldan afzalligi shundaki, parolni qayta ishlatib bo‘lmaydi. Shunday qilib, muvaffaqiyatli autentifikatsiya seansidan ma'lumotlarni ushlab olgan tajovuzkor himoyalangan axborot tizimiga kirish uchun nusxalangan paroldan foydalana olmaydi. Bir martalik parollardan foydalanishning o'zi autentifikatsiya qilish uchun foydalaniladigan aloqa kanalini faol ravishda buzadigan hujumlardan himoya qilmaydi (masalan, o'rtadagi odam hujumlari). Bir martalik parollarni yaratish uchun faqat ushbu foydalanuvchi uchun mavjud bo'lgan bir martalik parol generatoridan foydalaniladi. Bir martalik parollar odatda raqamlar to'plami sifatida taqdim etiladi va masofaviy xizmat ko'rsatish tizimlariga kirish uchun ishlatiladi. Bular tashkilotning ichki axborot tizimlari.
Bank sohasida bir martalik parolni taqdim etishning eng keng tarqalgan usuli bu bank onlayn-bankingni amalga oshiruvchi mijozga yuboradigan SMS-xabardir.
Bundan tashqari, bir martalik parollar bank tomonidan skretch-karta deb ataladigan kartada berilishi mumkin - parollar o'chiriladigan qopqoq orqasida yashiringan plastik karta. Bunday holda, mijoz Internet-banking tizimidan bir martalik parolni (ma'lum seriya raqami bilan) kiritish bo'yicha ko'rsatma olgan holda, kartadagi kerakli raqam yonidagi qamrovni o'chiradi va kodni tizimga kiritadi.
Do'stlaringiz bilan baham: |