Bir marta kabi kuchli autentifikatsiya usuli Parol (OTP) aslida dasturning bir qismidir SaaS ilovalari. Bu shunchaki parollardan ko'ra kuchliroq autentifikatsiya qilish imkonini beradi. SaaS-provayderlar odatda bitta kirish va foydalanuvchi nomi va paroldan tashqari autentifikatsiya alternativalarini qo'llab-quvvatlamaydilar. Kuchli autentifikatsiya qilish SMS-xabarni qabul qilishni tanlagan foydalanuvchilar uchun apparat tokenidan yoki belgisiz OTP imkoniyatidan foydalanishni talab qiladi. Ehtimol siz ushbu yechimni operatsiyalarni tasdiqlash uchun SMS-xabarlar yuboradigan ING bankidan bilasiz. Ilovalar orqali kodlarni yuborish ham mumkin.
Identifikatsiya va autentifikatsiya
Autentifikatsiya (ingliz tili. authentication < yunon. aθθεντικός [authentikos]" haqiqiy, haqiqiy " < aττός [autos] "o'zi; u eng ko'p") — autentifikatsiya qilish tartibi, masalan: foydalanuvchi Login ma'lumotlar bazasida saqlangan parol bilan kiritilgan parolni (ko'rsatilgan Login uchun) taqqoslash orqali Foydalanuvchining haqiqiyligini tekshirish; jo'natuvchining ochiq kaliti bo'yicha xatning raqamli imzosini tekshirish orqali elektron xat haqiqiyligini tasdiqlash; faylning nazorat summasini ushbu fayl muallifi tomonidan e'lon qilingan summaga muvofiqligini tekshirish. Rus tilida bu atama asosan axborot texnologiyalari sohasida qo'llaniladi.
Tizimlarning ishonchliligi va xavfsizlik siyosatini hisobga olgan holda, autentifikatsiya qilish bir tomonlama yoki o'zaro bo'lishi mumkin. Odatda kriptografik usullar yordamida amalga oshiriladi. Autentifikatsiya qilish avtorizatsiya (sub'ektga muayyan huquqlarni berish tartibi) va identifikatsiyalash (shaxsni identifikatsiyalash yo'li bilan tanib olish tartibi) bilan aralashmasligi kerak.
Standartlar
Autentifikatsiya standartlarini belgilovchi hujjatlar
GOST R Iso / IEC 9594-8-98-autentifikatsiya asoslari
Ushbu standart: katalog tomonidan saqlangan autentifikatsiya ma'lumotlarining formatini belgilaydi; katalogdan autentifikatsiya ma'lumotlarini olish usulini tavsiflaydi; autentifikatsiya ma'lumotlarini katalogda shakllantirish va joylashtirish usullari haqida old shartlarni belgilaydi; dastur dasturlari autentifikatsiya qilishni amalga oshirish uchun bunday autentifikatsiya ma'lumotidan foydalanishi mumkin bo'lgan uchta usulni aniqlaydi va autentifikatsiya qilish orqali boshqa himoya xizmatlari qanday ta'minlanishi mumkinligini tasvirlaydi. Ushbu standart ikki xil autentifikatsiya turini o'z ichiga oladi: oddiy, parolni da'vo qilingan identifikatorni tekshirish sifatida ishlatish va kriptografik usullar yordamida yaratilgan hisobga olish kartalarini ishlatish FIPS 113 — COMPUTER DATA AUTHENTICATION
Ushbu standart ma'lumotlarni autentifikatsiya qilish algoritmini(DAA) belgilaydi, bu ma'lumotlar ruxsatsiz va tasodifiy ma'lumotlarni o'zgartirishni aniqlash uchun ishlatilishi mumkin, standart ma'lumotlar shifrlash standartida(DES) ko'rsatilgan algoritmga asoslanadi.Federal axborotni qayta ishlash standartlari(FIPS PUB) 46 va Treasury's Electronic Funds and Security transfer Policy and American National Standard Institute(ANSI) va Standard for Standard for moliyaviy Institut Message Authentication. Ushbu standart kriptografik autentifikatsiya qilish orqali uzatilgan ma'lumotlarning yaxlitligini nazorat qilish uchun ishlatiladi.
Autentifikatsiya tizimi elementlari Har qanday autentifikatsiya tizimida odatda bir nechta elementlarni ajratish mumkin: jarayondan o'tadigan mavzu; mavzuning xususiyatlari-bu o'ziga xos xususiyat; autentifikatsiya tizimining egasi, uning ishini nazorat qilish va nazorat qilish; autentifikatsiya mexanizmi, ya'ni tizimning ishlash printsipi; mavzuga muayyan kirish huquqini beruvchi kirishni boshqarish mexanizmi. Autentifikatsiya omillari Kompyuterlar paydo bo'lishidan oldin ham, mavzuning turli xil xususiyatlari, uning xususiyatlari ishlatilgan. Endi tizimda muayyan xususiyatlardan foydalanish talab qilinadigan ishonchlilik, xavfsizlik va amalga oshirish xarajatlariga bog'liq. 3 autentifikatsiya omillarini ajratish:
Biz bilgan narsalar, masalan, ba'zi maxfiy ma'lumotlar. Bu faqat vakolatli mavzu bo'lishi kerak bo'lgan maxfiy ma'lumotlar. Yashirin so'z yoki parol bo'lishi mumkin, masalan, og'zaki xabar, matnli taqdimot, qulf yoki shaxsiy identifikatsiya raqami (PIN) uchun kombinatsiya. Bug ' mexanizmi juda oson amalga oshirilishi mumkin va past narxga ega. Lekin muhim kamchiliklar bor: parolni maxfiy saqlash ko'pincha qiyin, tajovuzkorlar doimiy ravishda o'g'irlik, xakerlik va parolni tanlashning yangi usullari bilan kelishadi (qarang: ). bandit kriptoanaliz, qo'pol kuch usuli). Bu bug ' mexanizmini zaiflashtiradi. Biz ega bo'lgan narsa, masalan, har qanday noyob jismoniy ob'ekt. Bu erda muayyan noyob ob'ektga ega bo'lish muhim ahamiyatga ega. Bu shaxsiy bosma, qulf kaliti bo'lishi mumkin, kompyuter uchun bu xarakteristikani o'z ichiga olgan ma'lumotlar fayli. Xarakterli xususiyat ko'pincha maxsus autentifikatsiya qurilmasiga, masalan, plastik karta, Smart-kartaga o'rnatiladi. Tajovuzkor uchun bunday qurilmani olish parolni buzishdan ko'ra qiyinlashadi va qurilma o'g'irlangan taqdirda mavzu darhol xabar berishi mumkin. Bu usul bug ' mexanizmidan ko'ra xavfsizroq bo'ladi, lekin bunday tizimning narxi ancha yuqori. O'zimizning ajralmas qismi bo'lgan biometrik narsa. Xususiyat-bu mavzuning jismoniy xususiyati. Bu portret, barmoq izi yoki palma, ovoz yoki ko'zning o'ziga xos xususiyati bo'lishi mumkin. Mavzu nuqtai nazaridan bu usul eng oddiy: parolni eslab qolish yoki autentifikatsiya qilish qurilmasini siz bilan birga o'tkazish kerak emas. Shu bilan birga, biometrik tizim vakolatli foydalanuvchini tasdiqlash uchun yuqori sezuvchanlikka ega bo'lishi kerak, ammo shunga o'xshash biometrik parametrlarga qarshi tajovuzkorni rad etishi kerak. Bundan tashqari, bunday tizimning narxi juda yuqori. Ammo uning kamchiliklariga qaramay, biometrik juda istiqbolli omil bo'lib qolmoqda.
Autentifikatsiya qilish usullari
Elektron imzo yordamida autentifikatsiya qilish 06.04.2011 N 63-FZ "elektron imzo to'g'risida" federal qonuni (o'zgartirishlar bilan) quyidagi elektron imzo turlarini taqdim etadi: Oddiy elektron imzo-elektron imzo, bu kodlar, parollar yoki boshqa vositalardan foydalanish orqali ma'lum bir shaxs tomonidan electron imzo yaratish faktini tasdiqlaydi. Malakasiz elektron imzo-elektron imzo:
elektron imzo kalitidan foydalangan holda axborotning kriptografik konvertatsiyasi natijasida olingan; elektron hujjatni imzolagan shaxsni aniqlash imkonini beradi; mzolangan paytdan keyin elektron hujjatga o'zgartirish kiritish faktini aniqlash imkonini beradi; elektron imzo vositalari yordamida yaratiladi.
Malakali elektron imzo-malakasiz elektron imzoning barcha xususiyatlariga va quyidagi qo'shimcha belgilarga mos keladigan elektron imzo:
elektron imzo tekshiruvi kaliti malakali sertifikatda ko'rsatilgan;
elektron imzolarni yaratish va tekshirish uchun ushbu federal qonunga muvofiq belgilangan talablarga muvofiqligini tasdiqlovchi elektron imzo vositalari qo'llaniladi.
Parol bilan autentifikatsiya qilish
Qayta foydalanish mumkin parollarni autentifikatsiya qilis
Bir martalik parollar bo'yicha autentifikatsiya qilish
Qayta foydalanish mumkin parollarni autentifikatsiya qilish
Kirish-parol to'plamini kiritish shakli
Kompyuter tizimida autentifikatsiya qilishning bir usuli - "Login" (ingliz tili) deb nomlangan umumiy nutqda foydalanuvchi identifikatoringizni kiritishdir. login-foydalanuvchi nomi, hisob) va parol-ba'zi maxfiy ma'lumotlar. Ishonchli (mos yozuvlar) juft Login-parol maxsus ma'lumotlar bazasida saqlanadi.
Oddiy autentifikatsiya qilish quyidagi umumiy algoritmga ega:
Mavzu tizimga kirishni talab qiladi va shaxsiy identifikator va parolni kiritadi;Kiritilgan noyob ma'lumotlar autentifikatsiya serveriga keladi, ular mos yozuvlar bilan taqqoslanadi; Agar ma'lumotlar mos yozuvlar bilan mos keladigan bo'lsa, autentifikatsiya muvaffaqiyatli deb topiladi, farq bilan-mavzu 1-bosqichga o'tadi. Sub'ekt tomonidan kiritilgan parol tarmoqqa ikki shaklda uzatilishi mumkin:
Parol autentifikatsiya protokoli (parol autentifikatsiya bayonnomasi, PAP)asosida ochiq shaklda shifrlanmagan. SSL yoki TLS shifrlash yordamida. Bunday holda, mavzu tomonidan kiritilgan noyob ma'lumotlar tarmoq orqali xavfsiz tarzda uzatiladi. Xavfsizlik Parollarni saqlash va uzatishda eng yaxshi xavfsizlik nuqtai nazaridan bir tomonlama funktsiyalar qo'llanilishi kerak. Odatda bu maqsadlar uchun kriptografik jihatdan chidamli Xash funktsiyalari qo'llaniladi. Bunday holda, server faqat parol tasvirini saqlaydi. Parolni qabul qilib, uni Xash-konvertatsiya qilishni amalga oshirganingizdan so'ng, tizim natijani unda saqlangan mos yozuvlar usuli bilan taqqoslaydi. Ularning identifikatorlari bilan parollar bir xil. Tasvirga kirish imkoniga ega bo'lgan tajovuzkor uchun parolni o'zi hisoblash deyarli mumkin emas. Qayta foydalanish mumkin parollardan foydalanish bir qator muhim kamchiliklarga ega. Birinchidan, mos yozuvlar parolining o'zi yoki uning aralashgan tasviri autentifikatsiya serverida saqlanadi. Ko'pincha parolni saqlash kriptografik o'zgarishlarsiz, tizim fayllarida amalga oshiriladi. Ularga kirganingizdan so'ng, tajovuzkor osongina maxfiy ma'lumotlarga ega bo'ladi. Ikkinchidan, mavzu qayta foydalanish mumkin bo'lgan parolni eslab qolishga (yoki yozishga) majbur. Tajovuzkor uni faqat ijtimoiy muhandislik ko'nikmalarini qo'llash orqali, hech qanday texnik vositalarsiz olishlari mumkin. Bundan tashqari, sub'ekt parolni o'zi tanlagan taqdirda tizimning xavfsizligi sezilarli darajada kamayadi. Ko'pincha ular lug'atda mavjud bo'lgan so'z yoki so'zlarning kombinatsiyasiga ega. GOST 28147-89 da kalit uzunligi 256 bit(32 bayt). Psevdo-tasodifiy sonlar generatoridan foydalanganda kalit yaxshi statistik xususiyatlarga ega. Masalan, lug'atdagi so'z bo'lgan parol, 16 bit uzunligi bilan pseudosluchaynomu raqamiga kamaytirilishi mumkin, bu esa GOST kalitidan 16 marta qisqartiriladi. Etarli vaqt bilan, tajovuzkor parolni oddiy qidiruv orqali yorib yuborishi mumkin. Ushbu muammoni hal qilish-tasodifiy parollardan foydalanish yoki parolni o'zgartirish kerak bo'lgan mavzu parolining muddati cheklangan.
Hisob bazalari UNIX oilasining OS bilan ishlaydigan kompyuterlarda bazaviy fayl /etc / master.passwd (Linux tarqatishlarida, odatda, faqat root tomonidan o'qilishi mumkin bo'lgan /etc/shadow fayli), bu erda foydalanuvchi parollari ochiq parollardan Xash funktsiyalari sifatida saqlanadi, bundan tashqari, foydalanuvchi huquqlari haqida ma'lumot bir xil faylda saqlanadi. Dastlab, UNIX tizimlarida parol (shifrlangan shaklda) xavfsiz bo'lmagan barcha foydalanuvchilarga o'qilishi mumkin bo'lgan /etc/passwd faylida saqlangan.
Windows NT/2000/XP/2003 (Windows domeniga kiritilmagan) operatsion tizimiga ega bo'lgan kompyuterlarda bunday ma'lumotlar bazasi SAM (xavfsizlik hisobi menejeri — hisobni himoya qilish menejeri) deb ataladi. SAM bazasi foydalanuvchilarning hisoblarini saqlaydi, shu jumladan, himoya qilish tizimi uchun zarur bo'lgan barcha ma'lumotlarni o'z ichiga oladi. %Windir%\system32\config \ katalogida joylashgan.
Windows server 2000/2003 domenlarida bunday ma'lumotlar bazasi Active Directory hisoblanadi. Shu bilan birga, autentifikatsiya ma'lumotlarini saqlashning yanada ishonchli usuli maxsus apparat (komponentlar) dan foydalanish hisoblanadi. Agar kerak bo'lsa, turli xil kompyuterlarda (xavfsizlik tizimini qo'llab-quvvatlaydigan) xodimlarning ishlashini ta'minlash uchun tashkilot serverida autentifikatsiya ma'lumotlarini va kriptografik kalitlarni saqlashga imkon beruvchi apparat-dasturiy ta'minot tizimlaridan foydalaning. Foydalanuvchilar o'zlarining autentifikatsiya ma'lumotlari va kriptografik kalitlarga ega bo'lgan har qanday kompyuterda (ish stantsiyasida) erkin ishlashlari mumkin. Bir martalik parollar bo'yicha autentifikatsiya qilish Asosiy kalit eToken Mavzuning qayta foydalanish mumkin bo'lgan parolini olgach, tajovuzkor buzilgan maxfiy ma'lumotlarga doimiy kirish huquqiga ega. Ushbu muammo bir martalik parollar (OTP — One Time Password) yordamida hal etiladi. Ushbu usulning mohiyati — parol faqat bitta kirish uchun amal qiladi, har bir keyingi kirish so'rovi bilan yangi parol talab qilinadi. Bir martalik parollar uchun autentifikatsiya mexanizmi apparat va dasturiy ta'minot bo'lishi mumkin. Bir martalik parollarni ishlatish texnologiyalari quyidagilarga bo'linishi mumkin: Pseudosluchaynyh sonlar generatoridan foydalanish, mavzu va tizim uchun yagona; Yagona vaqt tizimi bilan birga vaqt belgilaridan foydalanish; Mavzu va tizim uchun yagona tasodifiy parollar bazasidan foydalanish; Birinchi usul sub'ekt va tizim uchun bir xil qiymatga ega bo'lgan yolg'onchi tasodifiy sonlar generatoridan foydalanadi. Sub'ekt tomonidan yaratilgan parol bir tomonlama funktsiyadan ketma-ket foydalanilganda yoki avvalgi so'rovdan noyob ma'lumotlarga asoslangan har bir yangi so'rovda tizimga o'tkazilishi mumkin. Ikkinchi usul vaqt belgilaridan foydalanadi. Bunday texnologiya misol sifatida SecurID bo'lishi mumkin. Bu apparat kalitlari foydalanish va vaqt bilan sinxronlashtirish asoslangan. Autentifikatsiya ma'lum vaqt oralig'ida tasodifiy sonlarni yaratishga asoslangan. Noyob maxfiy kalit faqat tizim bazasida va mavzuning apparat qurilmasida saqlanadi. Agar mavzu tizimga kirishni talab qilsa, u PIN-kodni, shuningdek, apparat qurilmasidagi ushbu nuqtada ko'rsatilgan tasodifiy hosil bo'lgan raqamni kiritish talab qilinadi. Tizim kiritilgan PIN-kodni va sub'ektning maxfiy kalitini uning bazasidan taqqoslaydi va bazadan va joriy vaqtdan maxfiy kalit parametrlariga asoslangan tasodifiy sonni hosil qiladi. Bundan tashqari, ishlab chiqarilgan raqamning kimligi va mavzu tomonidan Autentifikatsiya protokollari
Autentifikatsiya qilish tartibi kompyuterlar o'rtasida ma'lumot almashish uchun ishlatiladi va aloqa liniyasining shovqin ishtirokchilaridan birini tinglash yoki almashtirishdan himoya qiluvchi juda murakkab kriptografik protokollardan foydalaniladi. Va, odatda, autentifikatsiya tarmoq o'zaro o'rnatish, har ikki ob'ektlar uchun zarur bo'lgan, chunki, autentifikatsiya o'zaro bo'lishi mumkin.
Shunday qilib, bir nechta autentifikatsiya oilalari aniqlanishi mumkin:
Kompyuterda foydalanuvchi autentifikatsiyasi:
Shifrlangan nomi (login);
Password Authentication bayonnomasi,
PAP (bir guruh kirish-parol);
Kirish kartasi (sertifikat bilan USB, SSO);
Biometrics (ovoz, barmoq izi/palma/ko'zning nuri).
Tarmoqda autentifikatsiya qilish:
Raqamli imzo yordamida Secure SNMP;
SAML (Security Assertion Markup Language);
Cookie sessiyasi;
Kerberos Tickets;
X. 509 Sertifikatlari;
OpenID Connect OAuth 2.0 protokoli orqali autentifikatsiya qilish usuli
Windows NT 4 oilasining operatsion tizimlarida NTLM protokoli (NT LAN menejeri — NT Lan menejeri) ishlatiladi. Va Windows 2000/2003 domenlarida juda yaxshi Kerberos protokoli qo'llaniladi. Internetda autentifikatsiya qilish Bunday xizmatlarga kirishda autentifikatsiya qilish talab qilinadi: elektron pochta; veb-forum; ijtimoiy tarmoqlar; Internet-banking; to'lov tizimlari; korporativ saytlar; onlayn xarid qilish. Autentifikatsiya qilishning ijobiy natijasi (ishonch munosabatlarini o'rnatish va sessiya kalitini ishlab chiqishdan tashqari) Foydalanuvchining avtorizatsiyasi, ya'ni uning vazifalarini bajarish uchun belgilangan resurslardan foydalanish huquqini berishdir. Axborot tizimlarida identifikatsiya qilish-bu identifikatsiyalash predmeti uchun axborot tizimida ushbu mavzuni aniq belgilaydigan identifikator tomonidan aniqlangan protsedura. Identifikatsiya qilish jarayonini amalga oshirish uchun axborot tizimida sub'ektga tegishli identifikator oldindan tayinlanishi kerak (ya'ni, mavzu axborot tizimida ro'yxatga olinadi). Identifikatsiya qilish tartibi autentifikatsiya qilish bilan bevosita bog'liq: mavzu autentifikatsiya qilish jarayonidan o'tadi va agar autentifikatsiya muvaffaqiyatli bo'lsa, autentifikatsiya qilish omillari asosida axborot tizimi sub'ektning identifikatorini aniqlaydi. Shu bilan birga, identifikatsiyalashning ishonchliligi bajarilgan autentifikatsiya qilish jarayonining ishonchliligi darajasi bilan to'liq aniqlanadi.
Internet-banking
Internet-banking-masofaviy banking texnologiyalarining umumiy nomi, shuningdek, istalgan vaqtda va Internetga ega bo'lgan har qanday qurilmadan taqdim etiladigan hisob-kitoblar va operatsiyalarga (ular bo'yicha) kirish. Operatsiyalarni amalga oshirish uchun brauzer ishlatiladi, ya'ni tizimning dasturiy ta'minotining mijoz qismini o'rnatish kerak emas. Xususiyatlari Internet-banking odatda bank-mijoz tizimida nozik mijoz texnologiyasidan foydalangan holda mavjud.Odatda, Internet-banking xizmatlari quyidagilarni o'z ichiga oladi: hisob bayonnomalari; bank mahsulotlari haqida ma'lumot berish (depozitlar, kreditlar, PIF va boshqalar); depozitlarni ochish, kredit olish, bank kartalari va boshqalar.; bank kartasiga ichki o'tkazmalar; boshqa banklardagi hisoblarga o'tkazmalar; mablag'larni konvertatsiya qilish; xizmatlarni boshqarish uchun shaxsiy kabinet; Zamonaviy banklar jismoniy shaxslarga xalqaro valyuta va fond bozorlariga (Internet-savdo) kirish imkonini beradigan brokerlik xizmatlarini rivojlantirishning yangi istiqbolli yo'nalishini o'zlashtirmoqda. Ilmiy va texnologik taraqqiyotning jadal o'sishi va yangi axborot texnologiyalari bankning jozibadorligini umumiy baholashga sezilarli ta'sir ko'rsatadi. Texnologik jarayonning rivojlanishi nafaqat hujjatlarni qayta ishlash va naqd operatsiyalarni o'tkazish tezligini oshirish, balki mijozlarni kengaytirish imkonini beradi. Internet orqali mijoz-bank o'rtasidagi munosabatlar yanada tezkor bo'lib kelmoqda, bu esa mijoz bilan shaxsiy imtiyozlarga, xavf-xatarga va mijozlar portfelini shakllantirishga qarab farqlashni ta'minlaydi va axborot texnologiyalari rivojlanishi sezilarli darajada bank xizmatlari ishlab chiqaruvchi va iste'molchi o'rtasidagi masofani kamaytirish imkonini beradi, sezilarli darajada banklararo raqobat kuchaytiradi, va, binobarin, miqdoriy va sifat jihatidan ham, bank xizmatlari rvojlanishiga hissa qo'shadi.«Internet-banking» dasturiy tizimi Sizga quyidagi qulayliklarni yaratadi:
• Ofisdan chiqmasdan to‘lovlarni amalga oshirish imkoniyati evaziga vaqtingizni va mablag‘ingizni tejash;
• Real vaqt sharoitida to‘lovlarni amalga oshirish;
• Hisob raqamlaringizning holati to‘grisida batafsil ma’lumot olish;
• Bankdan har qanday uzoqligingizdan qat’iy nazar, doimo hisob raqamingiz haqida to’liq ma’lumotga ega bo’lish.
Tadbirkorlik sub’ektlariga masofadan xizmat ko’rsatishda “Internet-banking” tizimidan foydalanish bo’yicha bosqichma-bosqich harakatlar:
1. “Internet-banking” tizimiga boglanish uchun mijozda quyidagi minimal texnik-dasturiy vositalar bo’lishi talab e’tiladi:
- personal kompyuter “Pentium”;
- “windows XP” operatsion tizim;
- “Internet” aloqasi.
2."Internet-banking" tizimi ulanish uchun mijoz bank filialiga murojaat qiladi.
3. Mijozlarga "Internet-banking" tizimini o’rnatish uchun ikki tomonlama shartnoma rasmiylashtiriladi.
4. o’z navbatida bank filiali tomonidan mijozning identifikatlari asosida tayyorlangan elektron raqamli imzo kaliti mijozga belgilangan tartib asosida beriladi.
5. Mazkur dasturni ishga tushirish uchun zarur bo’ladigan uskunalar (komp'yuter, modem va boshqalar), aloqa kanali va xarajatlar mijoz hisobidan amalga oshiriladi.
6. Tizimni o’rnatish va ishga tushirish bank xodimlari tomonidan amalga oshiriladi.
7. "Internet-banking" tizimidan foydalanadigan mijozdan aloqa kanali orqali olingan va belgilangan tartibda rasmiylashtirilgan elektron to'lov topshiriqnomasi dasturiy nazoratdan o’tkazadi va bank amaliyot kuniga qayta ishlash uchun uzatadi.
8. "Internet-banking" tizimi orqali uzatilgan elektron to'lov topshiriqnomasining qog’oz shaklidagi asl nusxasi bankka taqdim etilmaydi va o’rnatilgan tartibda mijozda saqlanadi. Bunda, to’lov topshiriqnomasining elektron va qog’ozdagi shaklining to’g’ri rasmiylashtirilganligi hamda ularning o’zaro mosligi bo’yicha javobgarlik mijoz zimmasiga yuklatiladi.
9. "Internet-banking" tizimi orqali elektron to’lov hujjati tushgan kunda, agar u bankning amaliyot kuni mobaynida tushgan bo’lsa, shu kuni o’tkaziladi. Elektron to’lov hujjati bankning amaliyot kuni tugaganidan keyin tushgan taqdirda, elektron to’lov keyingi bank ish kunidan kechiktirmay o’tkaziladi.
10. "Internet-banking" tizimi orqali mijozlarga ko’rsatilgan bank xizmati uchun komission to’lovlar bank Boshqaruvi tomonidan tasdiqlangan tariflarga muvofiq amalga oshiriladi.\ Internet-bankıng quyidagı ımkoniyatlarga ega: bankka barcha turdagı molıavı hujjatlarnı yuborısh; istalgan davr uchun bankdagı hısobraqamlardan ko'chırmalar va ularga tegıshlı boshqa hujjatlarnı olısh; haqiqiy vaqt tartibida to'lov hujjatlarını bank ıshlovıdan o'tıshınıng barcha bosqıchlarını kuzatısh; hatolar to'ǵrısıda habarlarnı tezkor olısh; kırım va chıqım to'lov hujjatlarını ko'rısh va chop etısh. Internet-banking xavfsizligi: bir martalik parollar Internet-banking xavfsizligining muhim xususiyati-bir martalik parollar yordamida tranzaktsiyalarni tasdiqlash (trafikni to'xtatish buzg'unchiga moliyalashtirishga imkon bermasligi uchun). Serverni almashtirishning nazariy imkoniyati hali ham mavjud bo'lsa-da, ammo bunday firibgarlikni amalga oshirish juda muammoli (ayniqsa, uchinchi tomon tomonidan imzolangan sertifikat bilan SSL ulanishidan foydalansangiz). Bir martalik parol (eng. bir vaqt paroli, OTP) faqat bitta autentifikatsiya seansi uchun amal qiladi. Bir martalik parol harakati ham ma'lum vaqt oralig'ida cheklanishi mumkin. Statik parolga nisbatan bir martalik parolning afzalligi shundaki, parolni qayta ishlatish mumkin emas. Shunday qilib, muvaffaqiyatli autentifikatsiya sessiyasidan ma'lumotlarni ushlab turgan tajovuzkor himoyalangan axborot tizimiga kirish uchun kopyalanan parolni ishlata olmaydi. Bir martalik parollardan foydalanish, autentifikatsiya qilish uchun ishlatiladigan aloqa kanaliga (masalan, "o'rtadagi odam"kabi hujumlardan) faol aralashuvga asoslangan hujumlardan himoya qilmaydi.Bir kishi bir martalik parollarni eslay olmaydi. Shuning uchun ular to'g'ri ishlashi uchun qo'shimcha texnologiyalarni talab qiladi. OTP yaratish va tarqatish usullari OTP yaratish algoritmlari odatda tasodifiy raqamlardan foydalanadi. Bu kerak, chunki aks holda oldingi ma'lumotlarga asoslangan keyingi parollarni taxmin qilish oson bo'ladi. Maxsus OTP algoritmlari batafsil farq qiladi. Bir martalik parollar yaratishning turli yondashuvlari quyida keltirilgan. Avvalgi parol asosida yangi parol yaratish uchun matematik algoritmlardan foydalanish (parollar aslida zanjirni tashkil qiladi va ma'lum tartibda ishlatilishi kerak). Parol beruvchi server va mijoz o'rtasida vaqtinchalik sinxronlashtirishga asoslangan (parollar qisqa vaqt ichida amal qiladi) Yangi parol so'rovga asoslangan (masalan, server yoki kiruvchi xabarning bir qismi tomonidan tanlangan tasodifiy raqam) va/yoki hisoblagichga asoslangan matematik algoritmdan foydalaning. Bundan tashqari, foydalanuvchi quyidagi parolni xabardor qilish uchun turli xil yo'llari bor. Ba'zi tizimlar foydalanuvchi bilan birga olib boradigan, bir martalik parollar yaratadigan va keyin ularni kichik ekranda ko'rsatadigan maxsus elektron nishonlardan foydalanadi. Boshqa tizimlar foydalanuvchi mobil telefondan ishlaydigan dasturlardan iborat. Boshqa tizimlar serverda bir martalik parollar ishlab chiqaradi va SMS-xabarlar kabi begona kanallardan foydalanib, ularni foydalanuvchiga yuboradi. Nihoyat, ba'zi tizimlarda bir martalik parollar bir varaq qog'ozga yoki foydalanuvchi bilan birga bo'lishi kerak bo'lgan skretch kartasiga yoziladi.
Matematik algoritmlar
Leslie Lamport tomonidan ishlab chiqilgan bir yondashuv bir tomonlama
funktsiyadan foydalanadi (biz uni f deb ataymiz). Bir martalik parol tizimi dastlabki s raqamidan ishlay boshlaydi, keyin parollar hosil qiladi
f(s), f(f(s)), f(f(f(s))), … kerakli darajada ko'p marta. Agar cheksiz parol seriyasini izlayotgan bo'lsangiz, s uchun ketma-ketlikdan keyin yangi boshlang'ich raqam tanlanishi mumkin. Har bir parol f(f(...f(s)) dan boshlab teskari tartibda taqsimlanadi...). Agar tajovuzkor bir martalik parolni olishni boshlasa, u faqat bitta vaqt yoki bitta aloqaga kirish imkoniyatiga ega bo'ladi, ammo bu muddat tugagach, bu foydasiz bo'ladi. Avvalgi zanjirda quyidagi parolni olish uchun f−1 funksiyasining teskari hisoblash usulini topish kerak. F bir tomonlama tanlanganligi sababli, buni amalga oshirish mumkin emas. Agar f odatda ishlatiladigan kriptografik Xash funktsiyasi bo'lsa, unda ma'lum bo'lganidek, bu hisoblash mumkin bo'lmagan vazifa bo'ladi.
Vaqt bilan sinxronlangan RSA SecurID belgilar Vaqt bilan sinxronlangan bir martalik parollar odatda jismoniy apparat belgilariga bog'liq (masalan, har bir foydalanuvchi bir martalik parol ishlab chiqaradigan shaxsiy token beriladi). Token ichida serverda soat bilan sinxronlangan aniq soat mavjud. Ushbu OTP tizimlarida vaqt parolni yaratish algoritmining muhim qismidir, chunki yangi parolni yaratish avvalgi parol yoki maxfiy kalit emas, balki joriy vaqtga asoslangan. So'nggi paytlarda kredit kartasining ariza faktorida ActivIdentity, InCard, RSA, SafeNet, Vasco, VeriSign va Protectimus kabi doimiy soat belgilari bilan bog'liq elektron komponentlarni joylashtirish mumkin bo'ldi. Biroq, kartaning qalinligi (0.79 mm dan 0.84 mm gacha) an'anaviy batareya elementlaridan foydalanishga ruxsat bermagani uchun, umr bo'yi oddiy mini-batareyalarga qaraganda ancha katta bo'lgan polimerlarga asoslangan maxsus batareyalardan foydalanish kerak. Bundan tashqari, kutish va/yoki mahsulotni ishlatish vaqtida energiyani tejash uchun juda kam quvvatli yarim o'tkazgich komponentlari ishlatilishi kerak. Nozik OTP qurilmalarini ishlab chiqarishda ikkita kompaniya: Identita va NagraID etakchi hisoblanadi.Mobil telefonlar va PDA-lar ham vaqt-vaqti bilan sinxronlashtirilgan bir martalik parollarni yaratish uchun ishlatilishi mumkin. Ushbu yondashuv ko'proq iqtisodiy muqobil bo'lishi mumkin, chunki ko'pchilik Internet foydalanuvchilari allaqachon mobil telefonlarga ega. Bundan tashqari, bu yanada qulayroq bo'lishi mumkin, chunki foydalanuvchi har qanday xavfsiz ulanish uchun kirish kerak bo'lganda alohida belgini olib o'tishga hojat yo'q.
So'rov bilan bir martalik parollardan foydalanish foydalanuvchini autentifikatsiya qilish uchun vaqt bo'yicha sinxronlangan so'rovlarni taqdim etishni talab qiladi. Bu tokenning o'zida qiymatni kiritish orqali amalga oshirilishi mumkin. Dublikatlar paydo bo'lishining oldini olish uchun qo'shimcha hisoblagich odatda yoqiladi, shuning uchun agar ikkita bir xil so'rov mavjud bo'lsa, u hali ham turli xil bir martalik parollar paydo bo'lishiga olib keladi. Biroq, hisob-kitoblar, odatda, avvalgi bir martalik parolni o'z ichiga olmaydi, chunki bu vazifalarni sinxronlashtirishga olib keladi. EMV bunday tizimlardan foydalanishni boshlaydi (deyiladi "Chip autentifikatsiya dasturi") Evropada kredit kartalari uchun.
SMS orqali bir martalik parol Bir martalik parollarni etkazib berish uchun ishlatiladigan keng tarqalgan texnologiya SMS. SMS-barcha telefonlarda mavjud bo'lgan va ko'plab mijozlar tomonidan ishlatiladigan keng tarqalgan aloqa kanali bo'lgani uchun, SMS-xabarlar arzon narxlardagi barcha iste'molchilar uchun eng katta salohiyatga ega. Tokens, aqlli kartalar va boshqa an'anaviy autentifikatsiya usullari amalga oshirish va foydalanish uchun juda qimmat va ko'pincha iste'molchilar tomonidan qarshiliklarga duch keladi. Ular, shuningdek, phishers bir martalik parollarni aldash yoki hatto bir martalik parollar token ekranida ko'rsatilganligi sababli o'g'irlaydigan "o'rtadagi odam" kabi hujumlarga nisbatan ancha himoyasiz. Bundan tashqari, belgilar yo'qolishi va bir martalik parollarni mobil telefonlarga integratsiyalashuvi xavfsizroq va sodda bo'lishi mumkin, chunki foydalanuvchilar qo'shimcha portativ qurilmalarni olib yurishlari shart emas. Shu bilan birga, SMS orqali bir martalik parollar kamroq xavfsiz bo'lishi mumkin, chunki uyali aloqa operatorlari ishonch zanjirining bir qismiga aylanadi. Ruxsat etilgan Rouming funksiyasi bo'lsa, bir nechta mobil operatorga (ba'zi hollarda, OKS7 signalizatsiya tizimiga ega bo'lgan barcha tashkilotlarga) ishonish kerak. NIST 2016 tavsiyalariga ko'ra, yangi autentifikatsiya qilish tizimlarida ularni ushlash va qayta yo'naltirish xavfi tufayli smsdan foydalanmaslik kerak. Mobil telefonda bir martalik parol Foydalanuvchilarning qurilma bilan birga bo'lishini talab qiladigan apparatni amalga oshirish bilan taqqoslaganda, uyali telefonda token xarajatlarni sezilarli darajada kamaytiradi va misli ko'rilmagan qulaylik darajasini taklif qiladi. Ushbu yechim ham logistika talablarini pasaytiradi, chunki har bir foydalanuvchi uchun alohida qurilma berishga hojat yo'q. FiveBarGate, FireID yoki PROTECTIMUS SMART kabi mobil belgilar qo'shimcha ravishda ilovaning bir o'rnatilishi davomida bir nechta belgilarni qo'llab-quvvatlaydi va foydalanuvchi bir qurilmadan bir nechta manbaga autentifikatsiya qilish imkonini beradi. Ushbu parametr shuningdek, Foydalanuvchining turli telefon modellari uchun maxsus ilovalarni taqdim etadi. Mobil telefonlardagi belgilar, shuningdek, SMS orqali OTP ga qaraganda ancha xavfsizroq, chunki SMS-xabarlar GSM tarmog'i orqali matnli formatda ushlash imkoniyati bilan yuboriladi.
Dostları ilə paylaş: |
