So'nggi tadqiqotlar shuni ko'rsatadiki, axborot xavfsizligi sohasidagi kompaniyalar uchun eng jiddiy muammolardan biri bu kompyuter tizimlariga ruxsatsiz kirishdir. CSI/FBI 2005 yilgi Kompyuter jinoyati va xavfsizligi tadqiqotiga ko'ra, o'tgan yili kompaniyalarning 55 foizi ma'lumotlar buzilishi haqida xabar bergan. Bundan tashqari, o'sha yili kompaniyalar ruxsatsiz kirish tufayli o'rtacha 303 ming dollar yo'qotgan va 2004 yilga nisbatan yo'qotishlar olti baravar ko'paygan.

Tabiiyki, uchun Rossiya kompaniyalari yo'qotish ko'rsatkichlari butunlay boshqacha bo'ladi, lekin bu muammoning o'zini o'zgartirmaydi: ruxsatsiz kirish kompaniyalarga jiddiy zarar etkazadi, bu rahbariyat bundan xabardormi yoki yo'qmi.

Ushbu tahdiddan himoyalanishning ishonchliligi birinchi navbatda foydalanuvchi autentifikatsiya tizimining sifatiga bog'liqligi aniq. Bugungi kunda shaxsiylashtirilgan kirishga bog'lanmagan holda axborot xavfsizligi haqida gapirish va tarmoqdagi barcha foydalanuvchi harakatlarini kuzatish mantiqiy emas. Biroq, qachon gaplashamiz korporativ mahalliy tarmoqqa kiritilgan kompyuterlarda foydalanuvchi autentifikatsiyasi haqida, keyin hech qanday qiyinchilik yo'q. Bozor turli xil echimlarni taklif etadi, jumladan smart-kartalar va elektron kalitlar, biometrik autentifikatsiya vositalari va hatto grafik parollar kabi ekzotik narsalar.

Agar foydalanuvchi uzoqdan, masalan, Internet orqali korporativ kompyuter tarmog'iga ulanishi kerak bo'lsa, vaziyat biroz boshqacha. Bunday holda, u bir qator muammolarga duch kelishi mumkin, biz ularni batafsilroq ko'rib chiqamiz.

Masofaviy kirishning kamchiliklari

Ishonchsiz muhitda (ofisdan tashqarida) bo'lgan foydalanuvchi boshqa birovning kompyuteridan (masalan, Internet-kafedan) parolni kiritish zarurati bilan duch keladi. Parollar, kompyuterga kiritilgan har qanday boshqa ma'lumotlar kabi keshda saqlanadi va agar xohlasa, kimdir ulardan o'z g'arazli maqsadlarida foydalanishi mumkin.

Bugungi kunda juda keng tarqalgan kompyuter firibgarligi - sniffing (inglizcha sniff - sniff dan) - tajovuzkor tomonidan uni qiziqtirgan ma'lumotlarni aniqlash uchun tarmoq paketlarini tutib olish. Ushbu texnikadan foydalangan holda, xaker foydalanuvchi parolini "chiqib olishi" va undan ruxsatsiz kirish uchun foydalanishi mumkin.

Oddiy parol bilan himoyalanish (ayniqsa masofaviy kirish uchun) veb-sahifalarni oddiy “aylanayotganda” foydalanuvchi kompyuteriga jimgina kiradigan yangi avlod josuslik dasturlari tomonidan jiddiy sinovdan o‘tkaziladi. Virus parol sifatida xizmat qilishi mumkin bo'lgan belgilar kombinatsiyasini aniqlash uchun ma'lum bir kompyuterning axborot oqimlarini filtrlash uchun dasturlashtirilishi mumkin. "Ayg'oqchi" bu kombinatsiyalarni o'z yaratuvchisiga yuboradi va unga faqat kerakli parolni ochish qoladi.

Tarmoqqa xavfsiz kirishni tashkil qilishning apparat usuli oddiy parollarga qaraganda bir necha barobar ishonchli ekanligi aniq, lekin yana ofisdan uzoqda bo'lganingizda smart-karta yoki USB kalitdan qanday foydalanish mumkin? Katta ehtimol bilan, bu muvaffaqiyatli bo'lmaydi, chunki birinchi qurilmaga kamida o'quvchi kerak, ikkinchisiga bloklanishi mumkin bo'lgan USB port kerak (Internet kafe) yoki undan ham yomoni, u foydalanuvchi o'zi ishlatadigan qurilmada bo'lmasligi mumkin. kirishga harakat qilmoqda (PDA, Uyali telefon, smartfon va boshqalar). Aytishga hojat yo'q, qo'shimcha qurilmalar - smart-kartalar va USB kalitlar bilan ishlash uchun sizga bir xil Internet-kafega o'rnatish qiyin bo'lgan tegishli dasturiy ta'minot kerak.

Shu bilan birga, ma'lumotni masofadan turib olish yoki jo'natish zarur bo'lgan holatlar tez-tez yuzaga keladi. Misol uchun, elektron bank tizimlarini olaylik: foydalanuvchi o'z hisobini masofadan boshqarish uchun xavfsiz bank resurslariga kirishga muhtoj bo'lgan vaziyatni tasavvur qilish oson. Bugungi kunda ba'zi banklar USB kaliti yordamida apparatga asoslangan avtorizatsiya zarurligini tushunishdi. Ammo yuqorida tavsiflangan bir qator sabablarga ko'ra, uni ishlatish har doim ham mumkin emas.

Ko'pchilikning biznesining o'ziga xos xususiyatlari yirik kompaniyalar ko'pincha ularni uchinchi tomon foydalanuvchilariga - hamkorlarga, mijozlarga, etkazib beruvchilarga o'z resurslariga kirishni ta'minlashga majbur qiladi. Bugungi kunda Rossiyada autsorsing kabi hamkorlik turi jadal rivojlanmoqda: subpudratchi kompaniya buyurtma bo'yicha ishlarni bajarish uchun mijozning himoyalangan resurslariga kirishga muhtoj bo'lishi mumkin.

Kuchli autentifikatsiya sxemasiga ega korporativ tarmoqqa ulanish zarurati, agar foydalanuvchi konferentsiya, muzokaralar yoki boshqa biznes tadbirlarida bo'lsa, qo'lida faqat PDA yoki smartfon bo'lsa, jiddiy muammoga aylanishi mumkin. Faqat uchun mobil ilovalar, shuningdek, maxsus dasturiy ta'minotni o'rnatish imkoni bo'lmagan joylardan kerakli ma'lumotlarga kirishni tashkil qilish uchun bir martalik parollar OTP - Bir martalik parol kontseptsiyasi ishlab chiqilgan.

Bir martalik parol: kiritilgan va unutilgan

Bir martalik parol cheklangan vaqt uchun faqat bitta autentifikatsiya jarayoni uchun amal qiladigan kalit so'zdir. Bunday parol ma'lumotni ushlash yoki oddiy ko'zdan kechirish muammosini to'liq hal qiladi. Agar tajovuzkor "qurbon" parolini olishi mumkin bo'lsa ham, undan kirish uchun foydalanish imkoniyati nolga teng.

Bir martalik parollar kontseptsiyasining birinchi tatbiqlari kalit so'zlarning statik to'plamiga asoslangan edi, ya'ni avval parollar ro'yxati (kalitlar, kodli so'zlar va boshqalar) yaratildi, undan keyin foydalanuvchilar foydalanishi mumkin edi. Birinchisida shunga o'xshash mexanizm ishlatilgan bank tizimlari hisobni masofadan boshqarish imkoniyati bilan. Ushbu xizmatni faollashtirgandan so'ng, mijoz o'z parollari ro'yxati bilan konvertni oldi. Keyin, u har safar tizimga kirganida, u keyingi kalit so'zni ishlatgan. Ro'yxatning oxiriga kelib, mijoz yangisini olish uchun bankka bordi. Ushbu yechimning bir qator kamchiliklari bor edi, ularning asosiysi past ishonchlilik edi. Shunday bo'lsa-da, doimo o'zingiz bilan parollar ro'yxatini olib yurish xavfli, uni yo'qotish oson yoki buzg'unchilar tomonidan o'g'irlanishi mumkin. Va keyin, ro'yxat cheksiz emas, lekin agar kerakli vaqtda bankka borishning iloji bo'lmasa-chi?

Yaxshiyamki, bugungi kunda vaziyat eng tubdan o'zgardi. Umuman olganda, G'arb mamlakatlarida axborot tizimlarida autentifikatsiya qilish uchun bir martalik parollar odatiy holga aylangan. Biroq, bizning mamlakatimizda OTP texnologiyasi yaqin vaqtgacha mavjud emas edi. Va yaqinda kompaniya rahbariyati masofadan turib ishlashda ruxsatsiz kirish xavfi qanchalik ortishini tushuna boshladi. Ma'lumki, talab taklifni yaratadi. Endi masofaviy autentifikatsiya qilish uchun bir martalik parollardan foydalanadigan mahsulotlar asta-sekin Rossiya bozorida o'z o'rnini bosa boshladi.

DA zamonaviy texnologiyalar OTP autentifikatsiyasi kuchli kriptografik algoritmlardan foydalangan holda dinamik kalit so'zlarni yaratishdan foydalanadi. Boshqacha qilib aytganda, autentifikatsiya ma'lumotlari foydalanuvchining shaxsiy kaliti bilan ba'zi bir boshlang'ich qiymatni shifrlash natijasidir. Ushbu ma'lumot mijoz ham, server ham bunga ega. U tarmoq orqali uzatilmaydi va ushlash uchun mavjud emas. Autentifikatsiya jarayonining har ikki tomoniga ma'lum bo'lgan ma'lumotlar boshlang'ich qiymat sifatida ishlatiladi va tizimda ishga tushirilganda har bir foydalanuvchi uchun shifrlash kaliti yaratiladi (1-rasm).

Shuni ta'kidlash kerakki, OTP texnologiyalari rivojlanishining hozirgi bosqichida simmetrik va assimetrik kriptografiyadan foydalanadigan tizimlar mavjud. Birinchi holda, har ikki tomon ham maxfiy kalitga ega bo'lishi kerak. Ikkinchisida, faqat foydalanuvchi maxfiy kalitga muhtoj va autentifikatsiya serveri uni hammaga ochiq qiladi.

Amalga oshirish

OTP texnologiyalari VeriSign tomonidan 2004 yilda boshlangan Open Authentication (OATH) sanoat tashabbusi doirasida ishlab chiqilgan. Ushbu tashabbusning mohiyati turli Internet xizmatlari uchun chinakam kuchli autentifikatsiya uchun standart spetsifikatsiyani ishlab chiqishdan iborat. Bundan tashqari, biz foydalanuvchi huquqlarini ikki faktorli aniqlash haqida bormoqda, bunda ikkinchisi smart-karta yoki USB tokenini va uning parolini "ko'rsatishi" kerak. Shunday qilib, bir martalik parollar oxir-oqibat turli tizimlarda masofaviy autentifikatsiya qilishning standart vositasiga aylanishi mumkin.

Bugungi kunda bir martalik parolni autentifikatsiya qilish tizimlarini joriy qilishning bir necha variantlari ishlab chiqilgan va amaliyotda qo'llanilmoqda.

So'rov-javob usuli. Uning ishlash printsipi quyidagicha: autentifikatsiya protsedurasining boshida foydalanuvchi o'z loginini serverga yuboradi. Bunga javoban, ikkinchisi tasodifiy qatorni yaratadi va uni qaytarib yuboradi. Foydalanuvchi o'z kaliti yordamida ushbu ma'lumotlarni shifrlaydi va uni serverga qaytaradi. Server bu vaqtda o'z xotirasida berilgan foydalanuvchining maxfiy kalitini "topadi" va uning yordami bilan asl qatorni kodlaydi. Keyinchalik, ikkala shifrlash natijalarini taqqoslash amalga oshiriladi. Agar ular to'liq mos kelsa, autentifikatsiya muvaffaqiyatli hisoblanadi. Bir martalik parol texnologiyasini joriy etishning ushbu usuli asinxron deb ataladi, chunki autentifikatsiya jarayoni foydalanuvchining server bilan tarixiga va boshqa omillarga bog'liq emas.

"Faqat javob" usuli. Bunday holda, autentifikatsiya algoritmi biroz soddaroq. Jarayonning eng boshida foydalanuvchining dasturiy ta'minoti yoki apparati dastlabki ma'lumotlarni mustaqil ravishda ishlab chiqaradi, ular shifrlanadi va taqqoslash uchun serverga yuboriladi. Bunday holda, oldingi so'rovning qiymati qatorni yaratish jarayonida qo'llaniladi. Serverda bu ma'lumotlar ham mavjud; foydalanuvchi nomini bilgan holda, u avvalgi so'rovining qiymatini topadi va xuddi shu algoritm yordamida aynan bir xil qatorni yaratadi. Uni foydalanuvchining maxfiy kaliti yordamida shifrlash (u serverda ham saqlanadi), server foydalanuvchi tomonidan yuborilgan ma'lumotlarga to'liq mos kelishi kerak bo'lgan qiymatni oladi.

Vaqtni sinxronlashtirish usuli. Unda dastlabki chiziq sifatida odam ishlaydigan maxsus qurilma yoki kompyuterning joriy taymer ko'rsatkichlari qo'llaniladi. Bunday holda, odatda, vaqtning aniq ko'rsatkichi emas, balki oldindan belgilangan chegaralar bilan joriy interval (masalan, 30 s) ishlatiladi. Ushbu ma'lumotlar shaxsiy kalit bilan shifrlangan va ochiq shakl foydalanuvchi nomi bilan birga serverga yuboriladi. Server, autentifikatsiya so'rovini olgandan so'ng, xuddi shu amallarni bajaradi: u taymerdan joriy vaqtni oladi va uni shifrlaydi. Shundan so'ng, u faqat ikkita qiymatni solishtirishi kerak: hisoblangan va masofaviy kompyuterdan olingan.

"Hodisa bo'yicha sinxronlash" usuli. Printsipial jihatdan, bu usul avvalgisiga deyarli o'xshaydi, faqat joriydan oldin amalga oshirilgan muvaffaqiyatli autentifikatsiya protseduralari soni vaqt emas, balki boshlang'ich qator sifatida ishlatiladi. Bu qiymat har ikki tomon tomonidan bir-biridan alohida hisoblab chiqiladi.

Ba'zi tizimlarda aralash usullar qo'llaniladi, bunda dastlabki qiymat sifatida ikki turdagi ma'lumotlar yoki undan ham ko'proq foydalaniladi. Masalan, autentifikatsiya hisoblagichlarini ham, o'rnatilgan taymerlarni ham hisobga oladigan tizimlar mavjud. Ushbu yondashuv individual usullarning ko'plab kamchiliklarini bartaraf etadi.

OTP texnologiyasining zaifliklari

Bir martalik parollar texnologiyasi ancha ishonchli hisoblanadi. Biroq, ob'ektivlik uchun biz uning kamchiliklari borligini ta'kidlaymiz, bu OTP printsipini sof shaklda amalga oshiradigan barcha tizimlarga bo'ysunadi. Bunday zaifliklarni ikki guruhga bo'lish mumkin. Birinchisi, amalga oshirishning barcha usullariga xos bo'lgan potentsial xavfli "teshiklar" ni o'z ichiga oladi. Ulardan eng jiddiyi autentifikatsiya serverini aldash ehtimoli. Bunday holda, foydalanuvchi o'z ma'lumotlarini to'g'ridan-to'g'ri tajovuzkorga yuboradi, u darhol haqiqiy serverga kirish uchun ulardan foydalanishi mumkin. "So'rov-javob" usulida hujum algoritmi biroz murakkabroq (xaker kompyuteri server va mijoz o'rtasida axborot almashish jarayonidan o'tuvchi "vositachi" rolini o'ynashi kerak). Ammo shuni ta'kidlash kerakki, amalda bunday hujumni amalga oshirish oson emas.

Yana bir zaiflik faqat sinxron usullarga xos bo'lib, serverda va foydalanuvchi dasturiy yoki apparatida ma'lumotlarni sinxronizatsiya qilish xavfi mavjudligi bilan bog'liq. Aytaylik, ba'zi tizimlarda dastlabki ma'lumotlar ichki taymerlarning ko'rsatkichlari bo'lib, negadir ular endi bir-biriga to'g'ri kelmaydi. Bunday holda, foydalanuvchining autentifikatsiya qilishga urinishlari muvaffaqiyatsiz bo'ladi (birinchi turdagi xato). Yaxshiyamki, bunday hollarda ikkinchi turdagi xatolik ("chet ellik" ni qabul qilish) paydo bo'lishi mumkin emas. Biroq, tasvirlangan vaziyatning yuzaga kelish ehtimoli ham juda kichik.

Ba'zi hujumlar faqat bir martalik parol texnologiyasini amalga oshirishning muayyan usullariga nisbatan qo'llaniladi. Misol uchun, yana taymerni sinxronlash usulini olaylik. Yuqorida aytib o'tganimizdek, vaqt unda soniya aniqligi bilan emas, balki oldindan belgilangan oraliqda hisobga olinadi. Bu taymerni desinxronizatsiya qilish imkoniyatini, shuningdek, ma'lumotlarni uzatishda kechikishlar paydo bo'lishini hisobga olgan holda amalga oshiriladi. Aynan shu daqiqada tajovuzkor nazariy jihatdan masofaviy tizimga ruxsatsiz kirish uchun foydalanishi mumkin. Boshlash uchun xaker foydalanuvchidan autentifikatsiya serveriga tarmoq trafigini “tinglaydi” va “jabrlanuvchi” tomonidan yuborilgan login va bir martalik parolni tutib oladi. Keyin u darhol kompyuterini bloklaydi (uni ortiqcha yuklaydi, ulanishni uzadi va hokazo) va o'zidan avtorizatsiya ma'lumotlarini yuboradi. Va agar tajovuzkor buni shunchalik tez bajarsa, autentifikatsiya oralig'ini o'zgartirishga vaqt topolmasa, server uni ro'yxatdan o'tgan foydalanuvchi sifatida taniydi.

Aniqki, bunday hujum uchun tajovuzkor traffikni tinglashi, shuningdek, mijozning kompyuterini tezda blokirovka qilishi kerak va bu oson ish emas. Ushbu shartlarni bajarishning eng oson yo'li - hujum oldindan rejalashtirilganda va masofaviy tizimga ulanish uchun "jabrlanuvchi" xorijiy mahalliy tarmoqdagi kompyuterdan foydalanadi. Bunday holda, xaker shaxsiy kompyuterlardan birida uni boshqa mashinadan boshqarish imkoniyatiga ega bo'lgan holda oldindan "ishlashi" mumkin. Siz o'zingizni bunday hujumdan faqat "ishonchli" ishlaydigan mashinalar (masalan, shaxsiy noutbuk yoki PDA) va "mustaqil" xavfsiz (masalan, SSL-dan foydalangan holda) Internetga kirish kanallari yordamida himoya qilishingiz mumkin.

Amalga oshirish sifati

Har qanday xavfsizlik tizimining ishonchliligi ko'p jihatdan uni amalga oshirish sifatiga bog'liq. Hammada bor amaliy yechimlar tajovuzkorlar o'z maqsadlari uchun foydalanishi mumkin bo'lgan kamchiliklar mavjud va bu "teshiklar" ko'pincha amalga oshirilayotgan texnologiyaga bevosita aloqasi yo'q. Ushbu qoida bir martalik parollarga asoslangan autentifikatsiya tizimlariga to'liq taalluqlidir. Yuqorida aytib o'tilganidek, ular kriptografik algoritmlardan foydalanishga asoslangan. Bu bunday mahsulotlarni ishlab chiquvchilarga ma'lum majburiyatlarni yuklaydi - axir, har qanday algoritmning yomon ishlashi yoki, masalan, tasodifiy sonlar generatori axborot xavfsizligini xavf ostiga qo'yishi mumkin.

Bir martalik parol generatorlari ikki usulda amalga oshiriladi: dasturiy va apparat. Ulardan birinchisi, albatta, kamroq ishonchli. Gap shundaki, mijoz yordam dasturi foydalanuvchining maxfiy kalitini saqlashi kerak. Buni faqat shaxsiy parol asosida kalitning o'zini shifrlash orqali ko'proq yoki kamroq xavfsiz qilish mumkin. Shu bilan birga, mijoz yordam dasturi qurilmaga (PDA, smartfon va boshqalar) o'rnatilishi kerakligini hisobga olish kerak. bu daqiqa sessiya ishlamoqda. Shunday qilib, ma'lum bo'lishicha, xodimning autentifikatsiyasi bitta parolga bog'liq, garchi uni aniqlash yoki taxmin qilishning ko'plab usullari mavjud. Va bu bir martalik parol ishlab chiqaruvchi dasturiy ta'minotning yagona zaifligidan uzoqdir.

OTP texnologiyalarini apparat yordamida amalga oshirish uchun turli xil qurilmalar nisbatan ishonchliroqdir. Misol uchun, kalkulyatorga o'xshash qurilmalar mavjud (2-rasm): ularga server tomonidan yuborilgan raqamlar to'plamini kiritganingizda, ular o'rnatilgan maxfiy kalit ("so'rov-javob") asosida bir martalik parol hosil qiladi. "usuli). Bunday qurilmalarning asosiy zaifligi ularning o'g'irlanishi yoki yo'qolishi mumkinligi bilan bog'liq. Agar siz qurilma xotirasini maxfiy kalit bilan ishonchli himoya qilsangizgina tizimni buzg'unchidan himoya qilishingiz mumkin.

Guruch. 2. RSA SecurID OTP qurilmasi.

Ushbu yondashuv smart-kartalarda va USB tokenlarida qo'llaniladi. Xotiraga kirish uchun foydalanuvchi PIN-kodni kiritishi kerak. Biz bunday qurilmalar PIN-kod tanlashdan himoyalanganligini qo'shamiz: uni uch marta kiritganingizda noto'g'ri qiymat ular bloklanadi. Kalit ma'lumotlarini ishonchli saqlash, kalit juftliklarini apparat vositalarini yaratish va ishonchli muhitda kriptografik operatsiyalarni bajarish (smart-karta chipida) tajovuzkorga maxfiy kalitni ajratib olishga va bir martalik parol yaratish qurilmasining dublikatini yaratishga imkon bermaydi.

OTPni amalga oshirish misoli

Shunday qilib, smart-kartalar va USB tokenlar deyarli barcha amalga oshirish zaifliklaridan himoyalangan eng ishonchli bir martalik parol generatorlari hisoblanadi. Bundan tashqari, ikkinchisi yanada qulayroq: ular smart-kartalar uchun zarur bo'lgan qo'shimcha o'quvchilarsiz har qanday shaxsiy kompyuter yoki noutbukda ishlatilishi mumkin. Bundan tashqari, USB portsiz ishlashi mumkin bo'lgan OTP texnologiyasiga ega USB dongle ilovasi mavjud. Bunday elektron kalitlarga Aladdindan eToken NG-OTP misol bo'la oladi (3-rasm).

Qayd etish joizki, Aladdin (http://www.aladdin.com) yuqorida tilga olingan OATH tashabbusini ilgari surishda faol ishtirok etadi va bu yerda muhokama qilingan kalit VeriSign Unified Authentication yechimining asosiy komponenti sifatida tanlangan. To'g'ri, bu tizimda u boshqacha nomlanadi: eToken VeriSign. Ushbu yechimning asosiy maqsadi Internet orqali tuzilgan tranzaktsiyalarga ishonchni oshirishdir va u apparat kalitiga asoslangan kuchli ikki faktorli autentifikatsiyaga asoslangan. eToken NG-OTP mahsulotining bunday OEM yetkazib berishlari uning sifati va barcha OATH spetsifikatsiyalariga muvofiqligini tasdiqlaydi.

eToken seriyali qurilmalar Rossiyada juda keng tarqalgan. Microsoft, Cisco, Oracle, Novell va boshqalar kabi etakchi ishlab chiqaruvchilar o'z mahsulotlarini qo'llab-quvvatlamoqdalar (eToken "trekordi" axborot xavfsizligi ilovalari bilan 200 dan ortiq dasturga ega).

Shunday qilib, eToken NG-OTP boshqa apparat kalitiga asoslangan, qatordagi eng mashhur model eToken PRO hisoblanadi. Bu xavfsiz xotira smart-karta chipiga asoslangan to‘la huquqli token bo‘lib, undan asosiy ma’lumotlar, foydalanuvchi profillari va boshqa maxfiy ma’lumotlarni xavfsiz saqlash, apparatda kriptografik hisob-kitoblarni amalga oshirish hamda assimetrik kalitlar va X.509 sertifikatlari bilan ishlash uchun foydalanish mumkin.

eToken NG-OTP dongle-da, yuqorida tavsiflangan imkoniyatlarni amalga oshiradigan modullardan tashqari, apparat bir martalik parol generatori mavjud (4-rasm). U "hodisa bo'yicha sinxronizatsiya" usuli bo'yicha ishlaydi. Bu sinxron variantlar orasida OTP texnologiyasining eng ishonchli amalga oshirilishi (sinxronizatsiya xavfi kamroq). eToken NG-OTP kalitida amalga oshirilgan bir martalik parol yaratish algoritmi OATH tashabbusi doirasida ishlab chiqilgan (u HMAC texnologiyasiga asoslangan). Uning mohiyati HMAC-SHA-1 qiymatini hisoblashda va keyin olingan 160 bitli qiymatdan oltita raqamni kesish (tanlash) operatsiyasida yotadi. Ular bir martalik parol sifatida xizmat qiladi.

eToken NG-OTP kombinatsiyalangan kalitining qiziqarli xususiyati bu kalitni kompyuterga ulamasdan ham bir martalik parollardan foydalanish imkoniyatidir. OTP ishlab chiqarish jarayoni qurilma korpusida joylashgan maxsus tugmani bosish orqali boshlanishi mumkin (5-rasm) va bu holda uning natijasi o'rnatilgan LCD displeyda ko'rsatiladi. Ushbu yondashuv OTP texnologiyasidan hatto USB portlari bo'lmagan qurilmalarda (smartfonlar, PDAlar, mobil telefonlar va boshqalar) va ular bloklangan kompyuterlarda foydalanish imkonini beradi.

Ko'rib chiqilayotgan kalitning aralash ish rejimi eng ishonchli hisoblanadi. Uni ishlatish uchun qurilma shaxsiy kompyuterga ulangan bo'lishi kerak. Bu erda biz bir necha usullar bilan amalga oshiriladigan ikki faktorli autentifikatsiya haqida gapiramiz. Bitta holatda, tarmoqqa kirish uchun uni kiritish uchun foydalanuvchining shaxsiy parolidan, shuningdek, OTP qiymatidan foydalanish kerak. Boshqa variant esa bir martalik parol va OTP PIN qiymatini talab qiladi (asosiy ekranda ko'rsatiladi).

Tabiiyki, eToken NG-OTP kaliti standart USB tokeni sifatida ishlashi mumkin - raqamli sertifikatlar va PKI texnologiyasidan foydalangan holda foydalanuvchi autentifikatsiyasi, shaxsiy kalitlarni saqlash uchun va hokazo. Shunday qilib, ko'rib chiqilayotgan mahsulotdan keng ko'lamli loyihalarda foydalanish mumkin. xavfsiz masofaviy kirish va ikki faktorli autentifikatsiya zarurati. Korxona miqyosida bunday gibrid kalitlardan foydalanish foydalanuvchilarga o'z kalitlari bilan ofisda ham, undan tashqarida ham ishlash imkonini beradi. Bunday yondashuv axborot xavfsizligi tizimini yaratish uchun uning ishonchliligini pasaytirmasdan xarajatlarni kamaytiradi.

Xulosa qilish

Shunday qilib, bir martalik OTP parollari kontseptsiyasi zamonaviy kriptografik usullar bilan birgalikda ishonchli masofaviy autentifikatsiya tizimlarini amalga oshirish uchun ishlatilishi mumkin. Ushbu texnologiya bir qator muhim afzalliklarga ega. Birinchidan, bu ishonchlilik. Bugungi kunda ochiq aloqa kanallari orqali ma'lumot uzatishda haqiqatan ham "kuchli" foydalanuvchi autentifikatsiyasining ko'p usullari mavjud emas. Ayni paytda bu muammo tobora keng tarqalgan. Va bir martalik parollar uning eng istiqbolli yechimlaridan biridir.

Bir martalik parollarning ikkinchi afzalligi - "standart" kriptografik algoritmlardan foydalanish. Bu shuni anglatadiki, mavjud ishlanmalar OTP yordamida autentifikatsiya tizimini joriy qilish uchun juda mos keladi. Aslida, bu mahalliy kripto provayderlari bilan mos keladigan bir xil eToken NG-OTP kalitini aniq isbotlaydi. Bunday tokenlar mavjud korporativ xavfsizlik tizimlarida ularni qayta tuzilmasdan foydalanish mumkin. Natijada, bir martalik parol texnologiyasi nisbatan arzon narxlarda amalga oshirilishi mumkin.

Bir martalik parollarning yana bir ortiqcha tomoni shundaki, himoya inson omiliga zaif bog'liqdir. To'g'ri, bu uning barcha ilovalariga taalluqli emas. Yuqorida aytib o'tganimizdek, ko'plab bir martalik parol dasturlarining ishonchliligi ishlatiladigan PIN-kod sifatiga bog'liq. USB tokenlariga asoslangan apparat generatorlari to'liq huquqli ikki faktorli autentifikatsiyadan foydalanadi. Va nihoyat, OTP kontseptsiyasining to'rtinchi afzalligi uning foydalanuvchilar uchun qulayligidir. ga ruxsat oling zarur ma'lumotlar bir martalik parollardan foydalanish bu maqsadda statik kalit so'zlarni ishlatishdan ko'ra qiyinroq emas. Ko'rib chiqilayotgan texnologiyaning ba'zi apparat dasturlari, undagi portlar va o'rnatilgan dasturiy ta'minotdan qat'i nazar, har qanday qurilmada qo'llanilishi ayniqsa yoqimli.

Bir martalik parol(bir martalik parol, OTP) faqat bitta seans uchun amal qiladigan parol. Bir martalik parolning amal qilish muddati ham ma'lum vaqt bilan cheklanishi mumkin. Bir martalik parolning statik paroldan afzalligi shundaki, parolni qayta ishlatib bo'lmaydi. Shunday qilib, muvaffaqiyatli autentifikatsiya seansidan ma'lumotlarni ushlab olgan tajovuzkor himoyalangan axborot tizimiga kirish uchun nusxalangan paroldan foydalana olmaydi. Bir martalik parollardan foydalanish o'z-o'zidan autentifikatsiya qilish uchun foydalaniladigan aloqa kanaliga faol aralashuvga asoslangan hujumlardan (masalan, o'rtadagi odam hujumlaridan) himoya qilmaydi.

Bir martalik parollarni yaratish uchun faqat ushbu foydalanuvchi uchun mavjud bo'lgan bir martalik parol generatoridan foydalaniladi. Odatda, bir martalik parollar raqamlar to'plami sifatida taqdim etiladi va masofaviy xizmat ko'rsatish tizimlariga kirish uchun ishlatiladi. Bu, ichki Axborot tizimlari tashkilotlar.

Bank sohasida bir martalik parolni taqdim etishning eng keng tarqalgan usuli bu bank Internet-banking tizimida pul o'tkazgan mijozga yuboradigan SMS-xabardir.

Bundan tashqari, bir martalik parollar bank tomonidan skretch-karta deb ataladigan kartada berilishi mumkin - parollar o'chiriladigan qopqoq orqasida yashiringan plastik karta. Bunday holda, mijoz Internet-banking tizimidan bir martalik parolni (ma'lum seriya raqami bilan) kiritish bo'yicha ko'rsatma olgan holda, kartadagi kerakli raqam yonidagi qopqoqni o'chiradi va kodni tizimga kiritadi.

Bu amalda qo'llaniladi, ammo vaqt o'tishi bilan chekda bir martalik parollar ro'yxatini berish usuli o'z ahamiyatini yo'qotadi. Skretch-kartadagi parollar singari, ular ketma-ket raqamlarga ega va Internet-banking tizimi yo'nalishi bo'yicha kiritiladi.

Firibgarlikka qarshi kurashda banklar bir martalik parollardan nafaqat tasdiqlash uchun foydalanmoqda moliyaviy operatsiyalar, balki Internet-banking tizimiga dastlabki kirish uchun ham.

Ba'zi Internet-banking tizimlari bir martalik kodlarning elektron generatorini taklif qiladi.

OTP yaratish algoritmlari odatda tasodifiy raqamlardan foydalanadi. Bu zarur, chunki aks holda oldingi parollarni bilish asosida keyingi parollarni bashorat qilish oson bo'ladi. Maxsus OTP algoritmlari batafsil jihatdan juda farq qiladi. Turli yondashuvlar bir martalik parollarni yaratish uchun quyida keltirilgan.

1. Oldingi parollar asosida yangi parol yaratish uchun matematik algoritmlardan foydalanish (parollar aslida zanjir hosil qiladi va ma'lum bir tartibda ishlatilishi kerak).
2. Parolni taqdim etadigan server va mijoz o'rtasidagi vaqt sinxronizatsiyasiga asoslangan (parollar qisqa vaqt davomida amal qiladi).
3. Yangi parol so'rovga (masalan, server tomonidan tanlangan tasodifiy raqam yoki kiruvchi xabarning qismlari) va/yoki hisoblagichga asoslangan matematik algoritmdan foydalanish.

Bir martalik parol

Internetda, masalan, masofaviy bank tizimida amalga oshirilgan tranzaksiyani tasdiqlash uchun foydalaniladi. Bank sohasida bir martalik parolni taqdim etishning eng keng tarqalgan usuli bu Internet-banking tizimida tranzaktsiyani amalga oshirayotgan mijozga yuboriladigan SMS-xabardir.

Bundan tashqari, bir martalik parollar bank tomonidan skretch-karta deb ataladigan kartada berilishi mumkin - parollar o'chiriladigan qopqoq orqasida yashiringan plastik karta. Bunday holda, mijoz Internet-banking tizimidan bir martalik parolni (ma'lum seriya raqami bilan) kiritish bo'yicha ko'rsatma olgan holda, kartadagi kerakli raqam yonidagi qopqoqni o'chiradi va kodni tizimga kiritadi.

Bu amalda qo'llaniladi, ammo vaqt o'tishi bilan bankomatda bir martalik parollar ro'yxatini berish usuli o'z ahamiyatini yo'qotmoqda - chekda. Skretch-kartadagi parollar singari, ular ketma-ket raqamlarga ega va Internet-banking tizimi yo'nalishi bo'yicha kiritiladi.

Firibgarlikka qarshi kurashda banklar nafaqat moliyaviy operatsiyalarni tasdiqlash, balki Internet-banking tizimiga dastlabki kirish uchun ham bir martalik parollardan tobora ko‘proq foydalanmoqda.

Qoida sifatida, kredit tashkilotlari bir martalik parollar bilan kartalar yoki bosma nashrlarni bepul chiqaring, lekin bu har doim ham sodir bo'lmaydi. Shunday qilib, Uralsibda Internet-banking tizimiga kirish uchun bir martalik kalitlar to'plami mijozga 50 rubl, Master Bankda o'zgaruvchan kodli karta (132 raqamdan iborat) mijozga 200 rublni tashkil qiladi.

Ba'zi Internet-banking tizimlari, masalan, Moskva Banki, SMP Bank, tokenni taklif qiladi - bir martalik kodlarning elektron generatori. Va Master Bank portativ qurilmalar uchun dasturni amalga oshiradi, bu sizga bir martalik kodlarni yaratishga imkon beradi.

Boshqa lug'atlarda "bir martalik parol" nima ekanligini ko'ring:

bir martalik parol- dinamik ravishda o'zgaruvchan parol OTP generatori o'rnatilgan LCD displeyda yaratish va ko'rsatishga qodir bo'lgan mustaqil portativ elektron qurilma. raqamli kodlar. VASCO Digipass qurilmalari oilasi uchun mexanizm…… Texnik tarjimon uchun qo'llanma

Bir martalik parol- VTB24 bankining bir martalik parollar bilan skretch kartasi Bir martalik parol (inglizcha bir martalik parol, OTP) bu parol, amalda ... Vikipediya

Bir martalik bloknot- Vernam shifrlash (boshqa nomi: Ingliz tilidagi bir martalik prokladkalar sxemasi) kriptografiyada, simmetrik shifrlash tizimi 1917 yilda AT T xodimlari mayor Jozef Mauborn va Gilbert Vernam tomonidan ixtiro qilingan. Vernam shifrlash - bu ... ... Vikipediya

Bir martalik parol - Plastik karta bir martalik parollar bilan bir martalik parol cheklangan vaqt davomida faqat bitta autentifikatsiya jarayoni uchun amal qiladigan paroldir. Statik paroldan bir martalik parolning afzalligi ... ... Vikipediya

SecurID- RSA SecurID RSA SecurID logotipi ... Vikipediya

Autentifikatsiya- (inglizcha autentifikatsiya) autentifikatsiya qilish tartibi ... Vikipediya

Autentifikatsiya- autentifikatsiya - u taqdim etgan identifikatorning kirish sub'ektiga tegishliligini tekshirish; haqiqiyligini tasdiqlash ... Vikipediya

Vaqtga asoslangan bir martalik parol algoritmi- TOTP (Vaqtga asoslangan bir martalik parol algoritmi, RFC 6238.) Xavfsiz autentifikatsiya qilish uchun bir martalik parollarni yaratish uchun OATH algoritmi, bu HOTP (HMAC asosidagi bir martalik parol algoritmi) ni takomillashtirishdir. Bu bir tomonlama algoritmdir ... ... Vikipediya

Challenge-javob (anti-spam)- Challenge javobi - foydalanuvchining oldindan aytib bo'lmaydigan tizim so'roviga reaktsiyasining to'g'riligini tekshirish orqali autentifikatsiya qilish strategiyasi. Ko'pincha, bunday tekshirish robot dasturini farqlashga qaratilgan haqiqiy odam.… … Vikipediya

Vernam shifr- (boshqa nomi: bir martalik prokladkalarning bir martalik pad sxemasi) kriptografiyada, 1917 yilda AT T xodimlari mayor Jozef Mauborn va Gilbert Vernam tomonidan ixtiro qilingan simmetrik shifrlash tizimi. Vernam shifrlash ... ... Vikipediya

Bankomat orqali yoki foydalanish orqali foydalanuvchi identifikatori va bir martalik parolni olishSMS.

ATM orqali bir martalik parol.

Bundan tashqari, Sberbank o'z-o'ziga xizmat ko'rsatish qurilmasi yordamida foydalanuvchi identifikatori va doimiy parolni olishingiz mumkin.Biz kartani joylashtiramiz, PIN kodni kiritamiz. Keyinchalik ro'yxatda "Sberbank Online-ga ulanish va Mobil bank"", yangi sahifaga o'ting. Bu erda siz "Bir martalik parollarni chop etish" yorlig'ini bosishingiz va ularni kvitansiya shaklida olishingiz kerak bo'ladi.

Agar siz hali tizimga ulanmagan bo'lsangiz, avval "Identifikator va parolni chop etish" bandini tanlang va kvitansiyada ushbu ma'lumotlarni oling. Shundan so'ng, kartani qayta joylashtiring, pin kodini kiriting va yuqorida tavsiflangan barcha amallarni takrorlang.

SMS orqali bir martalik parol.

Xavfsizlik maqsadida tizimga kirishda yoki xavfli operatsiyalarni bajarishda qo'shimcha foydalanuvchi autentifikatsiyasi bir martalik parol yordamida amalga oshiriladi.

Xizmatdan foydalanuvchi mijozlar bir martalik parol olishlari mumkin mobil bank. Bank operatsiya davomida foydalanuvchining mobil qurilmasiga bir martalik parol yuboradi. Foydalanuvchi parol uchun mo'ljallangan operatsiya parametrlarini o'z ichiga olgan SMS-xabar oladi. E'tibor bering, bir martalik parol 5 daqiqa ichida va faqat ma'lum bir harakatning bajarilishini tasdiqlash uchun ishlatilishi kerak.

Diqqat! Bir martalik parolni kiritishdan oldin, SMS-xabarda ko'rsatilgan tafsilotlar bilan amalga oshirilayotgan operatsiya tafsilotlarini tekshirish kerak. Agar siz amalga oshirmagan tranzaksiya tafsilotlari bilan Sberbank nomidan xabarlar olingan bo'lsa, tegishli shakllarga bir martalik parolni kiritmang va uni hech kimga oshkor qilmang, hatto siz Sberbank xodimlari nomidan bog'lansangiz ham. .

To'lov shablonini yaratish bo'yicha operatsiya holatida SMS misoli

54321 shablonning shakllanishini tasdiqlash uchun foydalaniladigan bir martalik paroldir.

O'tkazish operatsiyasi uchun SMS misoli

54321 — transferni tasdiqlovchi bir martalik parol.

To'lov operatsiyasi uchun SMS-xabarga misol

54321 — toʻlovni tasdiqlovchi bir martalik parol.

Bir martalik parol bilan operatsiyalarni tasdiqlash:

Operatsiyani tasdiqlash uchun mobil bank xizmatiga ulangan telefonga operatsiya parametrlari va tasdiqlash uchun parol ko'rsatilgan xabar yuboriladi.

Amaliyotni yakunlash uchun tegishli maydonga parolni kiritishingiz va tugmani bosishingiz kerak TASDIQLASH.

Umid qilamizki, siz Sberbank-dan bir martalik parollarni olishga muvaffaq bo'ldingiz.

OTP (Bir martalik parol) dan foydalanish savdo hisoblari bilan ishlashda qo'shimcha xavfsizlik qatlami hisoblanadi. Foydalanuvchi har safar hisob qaydnomasiga ulanganda, ulardan yagona bir martalik parolni kiritish talab qilinadi.

Bundan tashqari, bir martalik parol ishlab chiqaruvchisi sifatida ishlaydi.

Bir martalik parollardan foydalanishni boshlash uchun siz savdo hisob qaydnomangizni iPhone yoki Android uchun mobil platforma bo'lgan parol generatori bilan bog'lashingiz kerak.

iPhone-da OTP-ni yoqing

Mobil platformaning "Sozlamalar" bo'limiga o'ting va OTP elementini tanlang. Ushbu bo'limni birinchi marta ochganingizda, qo'shimcha xavfsizlik uchun to'rt xonali parol o'rnatishingiz talab qilinadi. Parol generatoriga kirish uchun har safar parolni kiritish kerak bo'ladi.

Qo'shimcha buyruqlar:

• Vaqtni sinxronlash - mobil qurilmaning vaqtini mos yozuvlar serveri bilan sinxronlashtiring. Aniqlik talabi bir martalik parol joriy vaqt oralig'iga bog'langanligi bilan bog'liq va bu vaqt savdo maydonchasi va server tomonida mos kelishi kerak.

Android qurilmasida OTPni yoqing

"Hisoblar" bo'limiga o'ting mobil terminal va bosing. Ushbu bo'limni birinchi marta ochganingizda, qo'shimcha xavfsizlik uchun to'rt xonali parol o'rnatishingiz talab qilinadi. Parol generatoriga kirish uchun har safar parolni kiritish kerak bo'ladi.

Ochilgan oynada "Hisob qaydnomasiga ulanish" -ni tanlang.

Keyinchalik, savdo hisobi ochilgan server nomini, hisob raqamini va uning uchun asosiy parolni belgilang. Bog'lash opsiyasi yoqilgan bo'lishi kerak. Agar siz generatordan ko'rsatilgan hisobni yechmoqchi bo'lsangiz va endi bir martalik parollardan foydalanmasangiz, u o'chirilishi kerak.

Oynaning yuqori qismida joylashgan "Bog'lanish" tugmasini bosgandan so'ng, savdo hisobi generatorga ulanadi, tegishli xabar paydo bo'ladi.

Xuddi shunday, siz cheksiz miqdordagi savdo hisoblarini generatorga ulashingiz mumkin.

Bir martalik parol OTP bo'limining yuqori qismida ko'rsatiladi. Uning ostida ko'k chiziq joriy parol uchun vaqt ko'rsatkichini ko'rsatadi. Vaqt tugashi bilan parol bekor bo'ladi va yangi parol yaratiladi.

Qo'shimcha buyruqlar:

• Parolni o'zgartirish - generatorga kirish uchun parolni o'zgartiring.
• Vaqtni sinxronlash - mobil qurilmaning vaqtini mos yozuvlar serveri bilan sinxronlashtiring. Aniqlik talabi bir martalik parol joriy vaqt oralig'iga bog'langanligi bilan bog'liq va bu vaqt mijoz terminali va server tomonida mos kelishi kerak.

Platformada OTP dan foydalanish

Orqali ulanishga urinayotganda generatorga ulangandan so'ng savdo platformasi Savdo hisobidan foydalanib, bir martalik parol qo'shimcha ravishda so'raladi: