So'nggi tadqiqotlar shuni ko'rsatadiki, axborot xavfsizligi sohasidagi kompaniyalar uchun eng jiddiy muammolardan biri bu kompyuter tizimlariga ruxsatsiz kirishdir. CSI/FBI 2005 yilgi Kompyuter jinoyati va xavfsizligi tadqiqotiga ko'ra, o'tgan yili kompaniyalarning 55 foizi ma'lumotlar buzilishi haqida xabar bergan. Bundan tashqari, o'sha yili kompaniyalar ruxsatsiz kirish tufayli o'rtacha 303 ming dollar yo'qotgan va 2004 yilga nisbatan yo'qotishlar olti baravar ko'paygan.

Tabiiyki, uchun Rossiya kompaniyalari yo'qotish ko'rsatkichlari butunlay boshqacha bo'ladi, lekin bu muammoning o'zini o'zgartirmaydi: ruxsatsiz kirish kompaniyalarga jiddiy zarar etkazadi, bu rahbariyat bundan xabardormi yoki yo'qmi.

Ushbu tahdiddan himoyalanishning ishonchliligi birinchi navbatda foydalanuvchi autentifikatsiya tizimining sifatiga bog'liqligi aniq. Bugungi kunda shaxsiylashtirilgan kirishga bog'lanmagan holda axborot xavfsizligi haqida gapirish va tarmoqdagi barcha foydalanuvchi harakatlarini kuzatish mantiqiy emas. Biroq, qachon gaplashamiz korporativ mahalliy tarmoqqa kiritilgan kompyuterlarda foydalanuvchi autentifikatsiyasi haqida, keyin hech qanday qiyinchilik yo'q. Bozor turli xil echimlarni taklif etadi, jumladan smart-kartalar va elektron kalitlar, biometrik autentifikatsiya vositalari va hatto grafik parollar kabi ekzotik narsalar.

Agar foydalanuvchi uzoqdan, masalan, Internet orqali korporativ kompyuter tarmog'iga ulanishi kerak bo'lsa, vaziyat biroz boshqacha. Bunday holda, u bir qator muammolarga duch kelishi mumkin, biz ularni batafsilroq ko'rib chiqamiz.

Masofaviy kirishning kamchiliklari

Ishonchsiz muhitda (ofisdan tashqarida) bo'lgan foydalanuvchi boshqa birovning kompyuteridan (masalan, Internet-kafedan) parolni kiritish zarurati bilan duch keladi. Parollar, kompyuterga kiritilgan har qanday boshqa ma'lumotlar kabi keshda saqlanadi va agar xohlasa, kimdir ulardan o'z g'arazli maqsadlarida foydalanishi mumkin.

Bugungi kunda juda keng tarqalgan kompyuter firibgarligi - sniffing (inglizcha sniff - sniff dan) - tajovuzkor tomonidan uni qiziqtirgan ma'lumotlarni aniqlash uchun tarmoq paketlarini tutib olish. Ushbu texnikadan foydalangan holda, xaker foydalanuvchi parolini "chiqib olishi" va undan ruxsatsiz kirish uchun foydalanishi mumkin.

Oddiy parol bilan himoyalanish (ayniqsa masofaviy kirish uchun) veb-sahifalarni oddiy “aylanayotganda” foydalanuvchi kompyuteriga jimgina kiradigan yangi avlod josuslik dasturlari tomonidan jiddiy sinovdan o‘tkaziladi. Virus parol sifatida xizmat qilishi mumkin bo'lgan belgilar kombinatsiyasini aniqlash uchun ma'lum bir kompyuterning axborot oqimlarini filtrlash uchun dasturlashtirilishi mumkin. "Ayg'oqchi" bu kombinatsiyalarni o'z yaratuvchisiga yuboradi va unga faqat kerakli parolni ochish qoladi.

Tarmoqqa xavfsiz kirishni tashkil qilishning apparat usuli oddiy parollarga qaraganda bir necha barobar ishonchli ekanligi aniq, lekin yana ofisdan uzoqda bo'lganingizda smart-karta yoki USB kalitdan qanday foydalanish mumkin? Katta ehtimol bilan, bu muvaffaqiyatli bo'lmaydi, chunki birinchi qurilmaga kamida o'quvchi kerak, ikkinchisiga bloklanishi mumkin bo'lgan USB port kerak (Internet kafe) yoki undan ham yomoni, u foydalanuvchi o'zi ishlatadigan qurilmada bo'lmasligi mumkin. kirishga harakat qilmoqda (PDA, Mobil telefon, smartfon va boshqalar). Aytishga hojat yo'q, qo'shimcha qurilmalar - smart-kartalar va USB kalitlari bilan ishlash uchun sizga bir xil Internet-kafeda o'rnatish qiyin bo'lgan tegishli dasturiy ta'minot kerak.

Shu bilan birga, ma'lumotni masofadan turib olish yoki jo'natish zarur bo'lgan holatlar tez-tez yuzaga keladi. Masalan, elektron bank tizimlarini olaylik: foydalanuvchi o'z hisobini masofadan boshqarish uchun xavfsiz bank resurslariga kirishga muhtoj bo'lgan vaziyatni tasavvur qilish oson. Bugungi kunda ba'zi banklar USB kaliti yordamida apparatga asoslangan avtorizatsiya zarurligini tushunishdi. Ammo yuqorida tavsiflangan bir qator sabablarga ko'ra, uni ishlatish har doim ham mumkin emas.

Ko'pchilikning biznesining o'ziga xos xususiyatlari yirik kompaniyalar ko'pincha ularni uchinchi tomon foydalanuvchilariga - hamkorlarga, mijozlarga, etkazib beruvchilarga o'z resurslariga kirishni ta'minlashga majbur qiladi. Bugungi kunda Rossiyada autsorsing kabi hamkorlik turi jadal rivojlanmoqda: subpudratchi kompaniya buyurtma bo'yicha ishlarni bajarish uchun mijozning himoyalangan resurslariga kirishga muhtoj bo'lishi mumkin.

Kuchli autentifikatsiya sxemasiga ega korporativ tarmoqqa ulanish zarurati, agar foydalanuvchi konferentsiya, muzokaralar yoki boshqa biznes tadbirlarida bo'lsa, qo'lida faqat PDA yoki smartfon bo'lsa, jiddiy muammoga aylanishi mumkin. Faqat uchun mobil ilovalar, shuningdek, maxsus dasturiy ta'minotni o'rnatishning iloji bo'lmagan joylardan kerakli ma'lumotlarga kirishni tashkil qilish, bir martalik tushunchasi OTP parollari- Bir martalik parol.

Bir martalik parol: kiritilgan va unutilgan

Bir martalik parol - bu cheklangan vaqt davomida faqat bitta autentifikatsiya jarayoni uchun amal qiladigan kalit so'z. Bunday parol ma'lumotni ushlash yoki oddiy ko'zdan kechirish muammosini to'liq hal qiladi. Agar tajovuzkor "qurbon" parolini olishi mumkin bo'lsa ham, undan kirish uchun foydalanish imkoniyati nolga teng.

Bir martalik parollar kontseptsiyasining birinchi tatbiqlari kalit so'zlarning statik to'plamiga asoslangan edi, ya'ni avval parollar ro'yxati (kalitlar, kodli so'zlar va boshqalar) yaratildi, undan keyin foydalanuvchilar foydalanishi mumkin edi. Shunga o'xshash mexanizm birinchisida ishlatilgan bank tizimlari hisobni masofadan boshqarish imkoniyati bilan. Ushbu xizmatni faollashtirgandan so'ng, mijoz o'z parollari ro'yxati bilan konvertni oldi. Keyin, u har safar tizimga kirganida, u keyingi kalit so'zni ishlatgan. Ro'yxatning oxiriga kelib, mijoz yangisini olish uchun bankka bordi. Ushbu yechimning bir qator kamchiliklari bor edi, ularning asosiysi past ishonchlilik edi. Shunday bo'lsa-da, doimo o'zingiz bilan parollar ro'yxatini olib yurish xavfli, uni yo'qotish oson yoki buzg'unchilar tomonidan o'g'irlanishi mumkin. Va keyin, ro'yxat cheksiz emas, lekin agar kerakli vaqtda bankka borishning iloji bo'lmasa-chi?

Yaxshiyamki, bugungi kunda vaziyat eng tubdan o'zgardi. Umuman olganda, G'arb mamlakatlarida axborot tizimlarida autentifikatsiya qilish uchun bir martalik parollar odatiy holga aylangan. Biroq, bizning mamlakatimizda OTP texnologiyasi yaqin vaqtgacha mavjud emas edi. Va yaqinda kompaniya rahbariyati masofadan turib ishlashda ruxsatsiz kirish xavfi qanchalik ortishini tushuna boshladi. Ma'lumki, talab taklifni yaratadi. Endi masofaviy autentifikatsiya qilish uchun bir martalik parollardan foydalanadigan mahsulotlar asta-sekin Rossiya bozorida o'z o'rnini bosa boshladi.

IN zamonaviy texnologiyalar OTP autentifikatsiyasi kuchli kriptografik algoritmlardan foydalangan holda dinamik kalit so'zlarni yaratishdan foydalanadi. Boshqacha qilib aytganda, autentifikatsiya ma'lumotlari foydalanuvchining shaxsiy kaliti bilan ba'zi bir boshlang'ich qiymatni shifrlash natijasidir. Ushbu ma'lumot mijoz ham, server ham bunga ega. U tarmoq orqali uzatilmaydi va ushlash uchun mavjud emas. Autentifikatsiya jarayonining har ikki tomoniga ma'lum bo'lgan ma'lumotlar boshlang'ich qiymat sifatida ishlatiladi va tizimda ishga tushirilganda har bir foydalanuvchi uchun shifrlash kaliti yaratiladi (1-rasm).

Shuni ta'kidlash kerakki, OTP texnologiyalari rivojlanishining hozirgi bosqichida simmetrik va assimetrik kriptografiyadan foydalanadigan tizimlar mavjud. Birinchi holda, har ikki tomon ham maxfiy kalitga ega bo'lishi kerak. Ikkinchisida, faqat foydalanuvchi maxfiy kalitga muhtoj va autentifikatsiya serveri uni hammaga ochiq qiladi.

Amalga oshirish

OTP texnologiyalari VeriSign tomonidan 2004 yilda boshlangan Open Authentication (OATH) sanoat tashabbusi doirasida ishlab chiqilgan. Ushbu tashabbusning mohiyati turli Internet xizmatlari uchun chinakam kuchli autentifikatsiya uchun standart spetsifikatsiyani ishlab chiqishdan iborat. Bundan tashqari, biz foydalanuvchi huquqlarini ikki faktorli aniqlash haqida bormoqda, bunda ikkinchisi smart-karta yoki USB tokenini va uning parolini "ko'rsatishi" kerak. Shunday qilib, bir martalik parollar oxir-oqibat turli tizimlarda masofaviy autentifikatsiya qilishning standart vositasiga aylanishi mumkin.

Bugungi kunda bir martalik parolni autentifikatsiya qilish tizimlarini joriy qilishning bir necha variantlari ishlab chiqilgan va amaliyotda qo'llanilmoqda.

So'rov-javob usuli. Uning ishlash printsipi quyidagicha: autentifikatsiya protsedurasining boshida foydalanuvchi o'z loginini serverga yuboradi. Bunga javoban, ikkinchisi tasodifiy qatorni yaratadi va uni qaytarib yuboradi. Foydalanuvchi o'z kaliti yordamida ushbu ma'lumotlarni shifrlaydi va uni serverga qaytaradi. Server bu vaqtda o'z xotirasida berilgan foydalanuvchining maxfiy kalitini "topadi" va uning yordami bilan asl qatorni kodlaydi. Keyinchalik, ikkala shifrlash natijalarini taqqoslash amalga oshiriladi. Agar ular to'liq mos kelsa, autentifikatsiya muvaffaqiyatli hisoblanadi. Bir martalik parol texnologiyasini joriy etishning ushbu usuli asinxron deb ataladi, chunki autentifikatsiya jarayoni foydalanuvchining server bilan tarixiga va boshqa omillarga bog'liq emas.

"Faqat javob" usuli. Bunday holda, autentifikatsiya algoritmi biroz soddaroq. Jarayonning eng boshida foydalanuvchining dasturiy ta'minoti yoki apparati dastlabki ma'lumotlarni mustaqil ravishda ishlab chiqaradi, ular shifrlanadi va taqqoslash uchun serverga yuboriladi. Bunday holda, oldingi so'rovning qiymati qatorni yaratish jarayonida qo'llaniladi. Serverda bu ma'lumotlar ham mavjud; foydalanuvchi nomini bilgan holda, u avvalgi so'rovining qiymatini topadi va xuddi shu algoritm yordamida aynan bir xil qatorni yaratadi. Uni foydalanuvchining maxfiy kaliti yordamida shifrlash (u serverda ham saqlanadi), server foydalanuvchi tomonidan yuborilgan ma'lumotlarga to'liq mos kelishi kerak bo'lgan qiymatni oladi.

Vaqtni sinxronlashtirish usuli. Unda dastlabki chiziq sifatida odam ishlaydigan maxsus qurilma yoki kompyuterning joriy taymer ko'rsatkichlari qo'llaniladi. Bunday holda, odatda, vaqtning aniq ko'rsatkichi emas, balki oldindan belgilangan chegaralar bilan joriy interval (masalan, 30 s) ishlatiladi. Ushbu ma'lumotlar shaxsiy kalit bilan shifrlangan va ochiq shakl foydalanuvchi nomi bilan birga serverga yuboriladi. Server, autentifikatsiya so'rovini olgandan so'ng, xuddi shu amallarni bajaradi: u taymerdan joriy vaqtni oladi va uni shifrlaydi. Shundan so'ng, u faqat ikkita qiymatni solishtirishi kerak: hisoblangan va masofaviy kompyuterdan olingan.

"Hodisa bo'yicha sinxronizatsiya" usuli. Printsipial jihatdan, bu usul avvalgisiga deyarli o'xshaydi, faqat joriydan oldin amalga oshirilgan muvaffaqiyatli autentifikatsiya protseduralari soni vaqt emas, balki boshlang'ich qator sifatida ishlatiladi. Bu qiymat har ikki tomon tomonidan bir-biridan alohida hisoblab chiqiladi.

Ba'zi tizimlarda aralash usullar qo'llaniladi, bunda dastlabki qiymat sifatida ikki turdagi ma'lumotlar yoki undan ham ko'proq foydalaniladi. Masalan, autentifikatsiya hisoblagichlarini ham, o'rnatilgan taymerlarni ham hisobga oladigan tizimlar mavjud. Ushbu yondashuv individual usullarning ko'plab kamchiliklarini bartaraf etadi.

OTP texnologiyasining zaifliklari

Bir martalik parollar texnologiyasi ancha ishonchli hisoblanadi. Biroq, ob'ektivlik uchun biz uning kamchiliklari borligini ta'kidlaymiz, bu OTP printsipini sof shaklda amalga oshiradigan barcha tizimlarga bo'ysunadi. Bunday zaifliklarni ikki guruhga bo'lish mumkin. Birinchisi, amalga oshirishning barcha usullariga xos bo'lgan potentsial xavfli "teshiklar" ni o'z ichiga oladi. Ulardan eng jiddiyi autentifikatsiya serverini aldash ehtimoli. Bunday holda, foydalanuvchi o'z ma'lumotlarini to'g'ridan-to'g'ri tajovuzkorga yuboradi, u darhol haqiqiy serverga kirish uchun ulardan foydalanishi mumkin. "So'rov-javob" usulida hujum algoritmi biroz murakkabroq (xaker kompyuteri server va mijoz o'rtasida axborot almashish jarayonidan o'tuvchi "vositachi" rolini o'ynashi kerak). Ammo shuni ta'kidlash kerakki, amalda bunday hujumni amalga oshirish oson emas.

Yana bir zaiflik faqat sinxron usullarga xos bo'lib, serverda va foydalanuvchi dasturiy yoki apparatida ma'lumotlarni sinxronizatsiya qilish xavfi mavjudligi bilan bog'liq. Aytaylik, ba'zi tizimlarda dastlabki ma'lumotlar ichki taymerlarning ko'rsatkichlari bo'lib, negadir ular endi bir-biriga to'g'ri kelmaydi. Bunday holda, foydalanuvchining autentifikatsiya qilishga urinishlari muvaffaqiyatsiz bo'ladi (birinchi turdagi xato). Yaxshiyamki, bunday hollarda ikkinchi turdagi xatolik ("chet ellik" ni qabul qilish) paydo bo'lishi mumkin emas. Biroq, tasvirlangan vaziyatning yuzaga kelish ehtimoli ham juda kichik.

Ba'zi hujumlar faqat bir martalik parol texnologiyasini amalga oshirishning muayyan usullariga nisbatan qo'llaniladi. Masalan, yana taymerni sinxronlash usulini olaylik. Yuqorida aytib o'tganimizdek, vaqt unda soniya aniqligi bilan emas, balki oldindan belgilangan oraliqda hisobga olinadi. Bu taymerni desinxronizatsiya qilish imkoniyatini, shuningdek, ma'lumotlarni uzatishda kechikishlar paydo bo'lishini hisobga olgan holda amalga oshiriladi. Aynan shu daqiqada tajovuzkor nazariy jihatdan masofaviy tizimga ruxsatsiz kirish uchun foydalanishi mumkin. Boshlash uchun xaker foydalanuvchidan autentifikatsiya serveriga tarmoq trafigini “tinglaydi” va “jabrlanuvchi” tomonidan yuborilgan login va bir martalik parolni tutib oladi. Keyin u darhol kompyuterini bloklaydi (uni ortiqcha yuklaydi, ulanishni uzadi va hokazo) va o'zidan avtorizatsiya ma'lumotlarini yuboradi. Va agar tajovuzkor buni shunchalik tez bajarsa, autentifikatsiya oralig'ini o'zgartirishga vaqt topolmasa, server uni ro'yxatdan o'tgan foydalanuvchi sifatida taniydi.

Aniqki, bunday hujum uchun tajovuzkor traffikni tinglashi, shuningdek, mijozning kompyuterini tezda blokirovka qilishi kerak va bu oson ish emas. Ushbu shartlarni bajarishning eng oson yo'li - hujum oldindan rejalashtirilganda va masofaviy tizimga ulanish uchun "jabrlanuvchi" xorijiy mahalliy tarmoqdagi kompyuterdan foydalanadi. Bunday holda, xaker shaxsiy kompyuterlardan birida uni boshqa mashinadan boshqarish imkoniyatiga ega bo'lgan holda oldindan "ishlashi" mumkin. Siz o'zingizni bunday hujumdan faqat "ishonchli" ishlaydigan mashinalar (masalan, shaxsiy noutbuk yoki PDA) va "mustaqil" xavfsiz (masalan, SSL-dan foydalangan holda) Internetga kirish kanallari yordamida himoya qilishingiz mumkin.

Amalga oshirish sifati

Har qanday xavfsizlik tizimining ishonchliligi ko'p jihatdan uni amalga oshirish sifatiga bog'liq. Hammada bor amaliy yechimlar tajovuzkorlar o'z maqsadlari uchun foydalanishi mumkin bo'lgan kamchiliklar mavjud va bu "teshiklar" ko'pincha amalga oshirilayotgan texnologiyaga bevosita aloqasi yo'q. Ushbu qoida bir martalik parollarga asoslangan autentifikatsiya tizimlariga to'liq taalluqlidir. Yuqorida aytib o'tilganidek, ular kriptografik algoritmlardan foydalanishga asoslangan. Bu bunday mahsulotlarni ishlab chiquvchilarga ma'lum majburiyatlarni yuklaydi - axir, har qanday algoritmning yomon ishlashi yoki, masalan, tasodifiy sonlar generatori axborot xavfsizligini xavf ostiga qo'yishi mumkin.

Bir martalik parol generatorlari ikki usulda amalga oshiriladi: dasturiy va apparat. Ulardan birinchisi, albatta, kamroq ishonchli. Gap shundaki, mijoz yordam dasturi foydalanuvchining maxfiy kalitini saqlashi kerak. Buni faqat shaxsiy parol asosida kalitning o'zini shifrlash orqali ko'proq yoki kamroq xavfsiz qilish mumkin. Shu bilan birga, mijoz yordam dasturi qurilmaga (PDA, smartfon va boshqalar) o'rnatilishi kerakligini hisobga olish kerak. bu daqiqa sessiya ishlamoqda. Shunday qilib, ma'lum bo'lishicha, xodimning autentifikatsiyasi bitta parolga bog'liq, garchi uni aniqlash yoki taxmin qilishning ko'plab usullari mavjud. Va bu bir martalik parol ishlab chiqaruvchi dasturiy ta'minotning yagona zaifligidan uzoqdir.

OTP texnologiyalarini apparat yordamida amalga oshirish uchun turli xil qurilmalar nisbatan ishonchliroqdir. Misol uchun, kalkulyatorga o'xshash qurilmalar mavjud (2-rasm): ularga server tomonidan yuborilgan raqamlar to'plamini kiritganingizda, ular o'rnatilgan maxfiy kalit ("so'rov-javob") asosida bir martalik parol hosil qiladi. "usuli). Bunday qurilmalarning asosiy zaifligi ularning o'g'irlanishi yoki yo'qolishi mumkinligi bilan bog'liq. Agar siz qurilma xotirasini maxfiy kalit bilan ishonchli himoya qilsangizgina tizimni buzg'unchidan himoya qilishingiz mumkin.

Guruch. 2. RSA SecurID OTP qurilmasi.

Ushbu yondashuv smart-kartalarda va USB tokenlarida qo'llaniladi. Xotiraga kirish uchun foydalanuvchi PIN-kodni kiritishi kerak. Biz bunday qurilmalar PIN-kod tanlashdan himoyalanganligini qo'shamiz: uni uch marta kiritganingizda noto'g'ri qiymat ular bloklanadi. Kalit ma'lumotlarini ishonchli saqlash, kalit juftliklarini apparat vositalarini yaratish va ishonchli muhitda kriptografik operatsiyalarni bajarish (smart-karta chipida) tajovuzkorga maxfiy kalitni ajratib olishga va bir martalik parol yaratish qurilmasining dublikatini yaratishga imkon bermaydi.

OTPni amalga oshirish misoli

Shunday qilib, smart-kartalar va USB tokenlar deyarli barcha amalga oshirish zaifliklaridan himoyalangan eng ishonchli bir martalik parol generatorlari hisoblanadi. Bundan tashqari, ikkinchisi yanada qulayroq: ular smart-kartalar uchun zarur bo'lgan qo'shimcha o'quvchilarsiz har qanday shaxsiy kompyuter yoki noutbukda ishlatilishi mumkin. Bundan tashqari, USB portsiz ishlashi mumkin bo'lgan OTP texnologiyasiga ega USB dongle ilovasi mavjud. Bunday elektron kalitlarga Aladdindan eToken NG-OTP misol bo'la oladi (3-rasm).

Qayd etish joizki, Aladdin (http://www.aladdin.com) yuqorida tilga olingan OATH tashabbusini ilgari surishda faol ishtirok etadi va bu yerda muhokama qilingan kalit VeriSign Unified Authentication yechimining asosiy komponenti sifatida tanlangan. To'g'ri, bu tizimda u boshqacha nomlanadi: eToken VeriSign. Ushbu yechimning asosiy maqsadi Internet orqali tuzilgan tranzaktsiyalarga ishonchni oshirishdir va u apparat kalitiga asoslangan kuchli ikki faktorli autentifikatsiyaga asoslangan. eToken NG-OTP mahsulotining bunday OEM yetkazib berishlari uning sifati va barcha OATH spetsifikatsiyalariga muvofiqligini tasdiqlaydi.

eToken seriyali qurilmalar Rossiyada juda keng tarqalgan. Microsoft, Cisco, Oracle, Novell va boshqalar kabi etakchi ishlab chiqaruvchilar o'z mahsulotlarini qo'llab-quvvatlamoqdalar (eToken "trekordi" axborot xavfsizligi ilovalari bilan 200 dan ortiq dasturga ega).

Shunday qilib, eToken NG-OTP boshqa apparat kalitiga asoslangan, qatordagi eng mashhur model eToken PRO hisoblanadi. Bu xavfsiz xotira smart-karta chipiga asoslangan to‘la huquqli token bo‘lib, undan asosiy ma’lumotlarni, foydalanuvchi profillarini va boshqa maxfiy ma’lumotlarni xavfsiz saqlash, apparat asosida kriptografik hisob-kitoblar va assimetrik kalitlar va X.509 sertifikatlari bilan ishlash uchun foydalanish mumkin.

eToken NG-OTP dongle-da, yuqorida tavsiflangan imkoniyatlarni amalga oshiradigan modullardan tashqari, apparat bir martalik parol generatori mavjud (4-rasm). U "hodisa bo'yicha sinxronizatsiya" usuli bo'yicha ishlaydi. Bu sinxron variantlar orasida OTP texnologiyasining eng ishonchli amalga oshirilishi (sinxronizatsiya xavfi kamroq). eToken NG-OTP kalitida amalga oshirilgan bir martalik parol yaratish algoritmi OATH tashabbusi doirasida ishlab chiqilgan (u HMAC texnologiyasiga asoslangan). Uning mohiyati HMAC-SHA-1 qiymatini hisoblashda va keyin olingan 160 bitli qiymatdan oltita raqamni kesish (tanlash) operatsiyasida yotadi. Ular bir martalik parol sifatida xizmat qiladi.

eToken NG-OTP kombinatsiyalangan kalitining qiziqarli xususiyati bu kalitni kompyuterga ulamasdan ham bir martalik parollardan foydalanish imkoniyatidir. OTP ishlab chiqarish jarayoni qurilma korpusida joylashgan maxsus tugmani bosish orqali boshlanishi mumkin (5-rasm) va bu holda uning natijasi o'rnatilgan LCD displeyda ko'rsatiladi. Ushbu yondashuv OTP texnologiyasidan hatto USB portlari bo'lmagan qurilmalarda (smartfonlar, PDAlar, mobil telefonlar va boshqalar) va ular bloklangan kompyuterlarda foydalanish imkonini beradi.

Ko'rib chiqilayotgan kalitning aralash ish rejimi eng ishonchli hisoblanadi. Uni ishlatish uchun qurilma shaxsiy kompyuterga ulangan bo'lishi kerak. Bu erda biz bir necha usullar bilan amalga oshiriladigan ikki faktorli autentifikatsiya haqida gapiramiz. Bitta holatda, tarmoqqa kirish uchun uni kiritish uchun foydalanuvchining shaxsiy parolidan, shuningdek, OTP qiymatidan foydalanish kerak. Boshqa variant esa bir martalik parol va OTP PIN qiymatini talab qiladi (asosiy ekranda ko'rsatiladi).

Tabiiyki, eToken NG-OTP kaliti standart USB tokeni sifatida ishlashi mumkin - raqamli sertifikatlar va PKI texnologiyasidan foydalangan holda foydalanuvchi autentifikatsiyasi, shaxsiy kalitlarni saqlash uchun va hokazo. Shunday qilib, ko'rib chiqilayotgan mahsulotdan keng ko'lamli loyihalarda foydalanish mumkin. xavfsiz masofaviy kirish va ikki faktorli autentifikatsiya zarurati. Korxona miqyosida bunday gibrid kalitlardan foydalanish foydalanuvchilarga o'z kalitlari bilan ofisda ham, undan tashqarida ham ishlash imkonini beradi. Bunday yondashuv axborot xavfsizligi tizimini yaratish uchun uning ishonchliligini pasaytirmasdan xarajatlarni kamaytiradi.

Xulosa qilish

Shunday qilib, bir martalik OTP parollari kontseptsiyasi zamonaviy kriptografik usullar bilan birgalikda ishonchli masofaviy autentifikatsiya tizimlarini amalga oshirish uchun ishlatilishi mumkin. Ushbu texnologiya bir qator muhim afzalliklarga ega. Birinchidan, bu ishonchlilik. Bugungi kunda ochiq aloqa kanallari orqali ma'lumot uzatishda haqiqatan ham "kuchli" foydalanuvchi autentifikatsiyasining ko'p usullari mavjud emas. Ayni paytda bu muammo tobora keng tarqalgan. Va bir martalik parollar uning eng istiqbolli yechimlaridan biridir.

Bir martalik parollarning ikkinchi afzalligi - "standart" kriptografik algoritmlardan foydalanish. Bu shuni anglatadiki, mavjud ishlanmalar OTP yordamida autentifikatsiya tizimini joriy qilish uchun juda mos keladi. Aslida, bu mahalliy kripto provayderlari bilan mos keladigan bir xil eToken NG-OTP kalitini aniq isbotlaydi. Bunday tokenlar mavjud korporativ xavfsizlik tizimlarida ularni qayta tuzilmasdan foydalanish mumkin. Natijada, bir martalik parol texnologiyasi nisbatan arzon narxlarda amalga oshirilishi mumkin.

Bir martalik parollarning yana bir ortiqcha tomoni shundaki, himoya inson omiliga zaif bog'liqdir. To'g'ri, bu uning barcha ilovalariga taalluqli emas. Yuqorida aytib o'tganimizdek, ko'plab bir martalik parol dasturlarining ishonchliligi ishlatiladigan PIN-kod sifatiga bog'liq. USB tokenlariga asoslangan apparat generatorlari to'liq huquqli ikki faktorli autentifikatsiyadan foydalanadi. Va nihoyat, OTP kontseptsiyasining to'rtinchi afzalligi uning foydalanuvchilar uchun qulayligidir. ga ruxsat oling zarur ma'lumotlar bir martalik parollardan foydalanish bu maqsadda statik kalit so'zlarni ishlatishdan ko'ra qiyinroq emas. Ko'rib chiqilayotgan texnologiyaning ba'zi apparat dasturlari, undagi portlar va o'rnatilgan dasturiy ta'minotdan qat'i nazar, har qanday qurilmada qo'llanilishi ayniqsa yoqimli.

Bir martalik parol

Internetda, masalan, masofaviy bank tizimida amalga oshirilgan tranzaksiyani tasdiqlash uchun foydalaniladi. Bank sohasida bir martalik parolni taqdim etishning eng keng tarqalgan usuli bu Internet-banking tizimida tranzaktsiyani amalga oshirayotgan mijozga yuboriladigan SMS-xabardir.

Bundan tashqari, bir martalik parollar bank tomonidan skretch-karta deb ataladigan kartada berilishi mumkin - parollar o'chiriladigan qopqoq orqasida yashiringan plastik karta. Bunday holda, mijoz Internet-banking tizimidan bir martalik parolni (ma'lum seriya raqami bilan) kiritish bo'yicha ko'rsatma olgan holda, kartadagi kerakli raqam yonidagi qopqoqni o'chiradi va kodni tizimga kiritadi.

Bu amalda qo'llaniladi, ammo vaqt o'tishi bilan bankomatda bir martalik parollar ro'yxatini berish usuli o'z ahamiyatini yo'qotmoqda - chekda. Skretch-kartadagi parollar singari, ular ketma-ket raqamlarga ega va Internet-banking tizimi yo'nalishi bo'yicha kiritiladi.

Firibgarlikka qarshi kurashda banklar bir martalik parollardan nafaqat tasdiqlash uchun foydalanmoqda moliyaviy operatsiyalar, balki Internet-banking tizimiga dastlabki kirish uchun ham.

Qoida sifatida, kredit tashkilotlari bir martalik parollar bilan kartalar yoki bosma nashrlarni bepul chiqaring, lekin bu har doim ham sodir bo'lmaydi. Shunday qilib, Uralsibda Internet-banking tizimiga kirish uchun bir martalik kalitlar to'plami mijozga 50 rubl, Master Bankda o'zgaruvchan kodli karta (132 raqamdan iborat) mijozga 200 rublni tashkil qiladi.

Ba'zi Internet-banking tizimlari, masalan, Moskva Banki, SMP Bank, tokenni taklif qiladi - bir martalik kodlarning elektron generatori. Va Master Bank portativ qurilmalar uchun dasturni amalga oshiradi, bu sizga bir martalik kodlarni yaratishga imkon beradi.

Boshqa lug'atlarda "bir martalik parol" nima ekanligini ko'ring:

bir martalik parol- dinamik ravishda o'zgaruvchan parol OTP generatori o'rnatilgan LCD displeyda yaratish va ko'rsatishga qodir bo'lgan mustaqil portativ elektron qurilma. raqamli kodlar. VASCO Digipass qurilmalari oilasi uchun mexanizm…… Texnik tarjimon uchun qo'llanma

Bir martalik parol- VTB24 bankining bir martalik parollar bilan skretch kartasi Bir martalik parol (inglizcha bir martalik parol, OTP) bu parol, amalda ... Vikipediya

Bir martalik bloknot- Vernam shifrlash (boshqa nomi: Ingliz tilidagi bir martalik prokladkalar sxemasi) kriptografiyada, simmetrik shifrlash tizimi 1917 yilda AT T xodimlari mayor Jozef Mauborn va Gilbert Vernam tomonidan ixtiro qilingan. Vernam shifrlash - bu ... ... Vikipediya

Bir martalik parol - Plastik karta bir martalik parollar bilan bir martalik parol cheklangan vaqt davomida faqat bitta autentifikatsiya jarayoni uchun amal qiladigan paroldir. Statik paroldan bir martalik parolning afzalligi ... ... Vikipediya

SecurID- RSA SecurID RSA SecurID logotipi ... Vikipediya

Autentifikatsiya- (inglizcha autentifikatsiya) autentifikatsiya qilish tartibi ... Vikipediya

Autentifikatsiya- autentifikatsiya - u taqdim etgan identifikatorning kirish sub'ektiga tegishliligini tekshirish; haqiqiyligini tasdiqlash ... Vikipediya

Vaqtga asoslangan bir martalik parol algoritmi- TOTP (Vaqtga asoslangan bir martalik parol algoritmi, RFC 6238.) HOTP (HMAC asosidagi bir martalik parol algoritmi) ning takomillashtirilgani boʻlgan xavfsiz autentifikatsiya uchun bir martalik parollarni yaratish uchun OATH algoritmi. Bu bir tomonlama algoritmdir ... ... Vikipediya

Challenge-javob (anti-spam)- Challenge javobi - foydalanuvchining oldindan aytib bo'lmaydigan tizim so'roviga reaktsiyasining to'g'riligini tekshirish orqali autentifikatsiya qilish strategiyasi. Ko'pincha, bunday tekshirish robot dasturini farqlashga qaratilgan haqiqiy odam.… … Vikipediya

Vernam shifr- (boshqa nomi: bir martalik prokladkalarning bir martalik pad sxemasi) kriptografiyada, 1917 yilda AT T xodimlari mayor Jozef Mauborn va Gilbert Vernam tomonidan ixtiro qilingan simmetrik shifrlash tizimi. Vernam shifrlash ... ... Vikipediya

Bir martalik parol(bir martalik parol, OTP) faqat bitta seans uchun amal qiladigan parol. Bir martalik parolning amal qilish muddati ham ma'lum vaqt bilan cheklanishi mumkin. Bir martalik parolning statik paroldan afzalligi shundaki, parolni qayta ishlatib bo'lmaydi. Shunday qilib, muvaffaqiyatli autentifikatsiya seansidan ma'lumotlarni ushlab olgan tajovuzkor himoyalangan axborot tizimiga kirish uchun nusxalangan paroldan foydalana olmaydi. Bir martalik parollardan foydalanish o'z-o'zidan autentifikatsiya qilish uchun foydalaniladigan aloqa kanaliga faol aralashuvga asoslangan hujumlardan (masalan, o'rtadagi odam hujumlaridan) himoya qilmaydi.

Bir martalik parollarni yaratish uchun faqat ushbu foydalanuvchi uchun mavjud bo'lgan bir martalik parol generatoridan foydalaniladi. Odatda, bir martalik parollar raqamlar to'plami sifatida taqdim etiladi va masofaviy xizmat ko'rsatish tizimlariga kirish uchun ishlatiladi. Bu, ichki Axborot tizimlari tashkilotlar.

Bank sohasida bir martalik parolni taqdim etishning eng keng tarqalgan usuli bu bank Internet-banking tizimida pul o'tkazgan mijozga yuboradigan SMS-xabardir.

Bundan tashqari, bir martalik parollar bank tomonidan skretch-karta deb ataladigan kartada berilishi mumkin - parollar o'chiriladigan qopqoq orqasida yashiringan plastik karta. Bunday holda, mijoz Internet-banking tizimidan bir martalik parolni (ma'lum seriya raqami bilan) kiritish bo'yicha ko'rsatma olgan holda, kartadagi kerakli raqam yonidagi qopqoqni o'chiradi va kodni tizimga kiritadi.

Bu amalda qo'llaniladi, ammo vaqt o'tishi bilan chekda bir martalik parollar ro'yxatini berish usuli o'z ahamiyatini yo'qotadi. Skretch-kartadagi parollar singari, ular ketma-ket raqamlarga ega va Internet-banking tizimi yo'nalishi bo'yicha kiritiladi.

Firibgarlikka qarshi kurashda banklar nafaqat moliyaviy operatsiyalarni tasdiqlash, balki Internet-banking tizimiga dastlabki kirish uchun ham bir martalik parollardan tobora ko‘proq foydalanmoqda.

Ba'zi Internet-banking tizimlari bir martalik kodlarning elektron generatorini taklif qiladi.

OTP yaratish algoritmlari odatda tasodifiy raqamlardan foydalanadi. Bu zarur, chunki aks holda oldingi parollarni bilish asosida keyingi parollarni bashorat qilish oson bo'ladi. Maxsus OTP algoritmlari batafsil jihatdan juda farq qiladi. Turli yondashuvlar bir martalik parollarni yaratish uchun quyida keltirilgan.

1. Oldingi parollar asosida yangi parol yaratish uchun matematik algoritmlardan foydalanish (parollar aslida zanjir hosil qiladi va ma'lum bir tartibda ishlatilishi kerak).
2. Parolni taqdim etadigan server va mijoz o'rtasidagi vaqt sinxronizatsiyasiga asoslangan (parollar qisqa vaqt davomida amal qiladi).
3. Yangi parol so'rovga (masalan, server tomonidan tanlangan tasodifiy raqam yoki kiruvchi xabarning qismlari) va/yoki hisoblagichga asoslangan matematik algoritmdan foydalanish.

Foydalanuvchi identifikatori (yoki login) va doimiy parol har safar Sberbank Online tizimidagi shaxsiy hisobingizga kirganingizda ishlatiladi. Himoyaning ushbu birinchi bosqichi SMS-xabarda yuborilgan bir martalik parol bilan to'ldiriladi.

Sberbank Online tizimi ikki turdagi bir martalik parollardan foydalanadi. Biz birinchisini aytib o'tdik, bular xizmatga ulangan mobil telefonga yuborilgan parollardir Mobil bank Sberbank. Va ikkinchi tur - terminal qurilmasi orqali qabul qilingan 20 ta parollar ro'yxati bilan tekshirish.
SMS ko'rinishida olingan bir martalik parollar chekda bosilganidan ko'ra xavfsizroq hisoblanadi, shuning uchun Sberbank Online-dagi ba'zi operatsiyalar faqat bunday parollar yordamida amalga oshirilishi mumkin.

Xavfsizlik maqsadida, to'lov operatsiyasi, operatsiya vaqtida mobil telefonga bir martalik SMS parol yuboriladi va SMS-xabar ham ushbu operatsiyaning parametrlarini ko'rsatadi, bu parol uchun mo'ljallangan.
Bir martalik SMS parol faqat ma'lum bir operatsiyani tasdiqlash uchun amal qiladi. Mobil bank orqali olingan keyingi bir martalik parolni yaratishda oldingi parol haqidagi ma'lumotlar yo'q qilinadi.

Foydalanish uchun eng yaxshi bir martalik parollar nima?

Agar karta Mobile Banking xizmatiga ulangan bo'lsa, u holda shaxsiy hisobingizga kirganingizda, albatta, SMS shaklida yuborilgan bir martalik parolni ko'rsatishingiz kerak bo'ladi. Bundan tashqari, tizimga kirganingizdan so'ng, siz bir martalik parol yoki chekdan parol bilan tranzaktsiyalarni tasdiqlash usulini tanlashingiz mumkin. Agar ushbu operatsiyani tasdiqlash bir martalik parollarning tavsiflangan har qanday turlari bilan amalga oshirilishi mumkin.
Bu juda qulay, chunki Mobil aloqa ba'zan SMS-xabar "rad etishi" yoki kechikishi mumkin, chunki bir martalik parol faqat 300 soniya davomida amal qiladi. Va keyin siz chekdagi parollardan foydalanishingiz mumkin.

Bunday holda, bunday oyna paydo bo'ladi, unda bir martalik parolning seriya raqami ko'rsatiladi. "Ishlatilgan" parollarni kesib tashlang yoki "tasdiqlash" ni qo'ying. Bu chekda yana qancha parol qolganligini bilishingiz va uni o'z vaqtida olishingiz uchun kerak yangi ro'yxat bankomatda.

Maqola faqat ma'lumot uchun mo'ljallangan va Sberbank Online tizimiga oid barcha ma'lumotlarni o'z ichiga olmaydi. Ko'proq batafsil ma'lumot Siz uni bankning veb-saytida topishingiz mumkin.
Shuningdek, nashr etilgan sanaga e'tibor bering. Ehtimol, bu vaqtga kelib ba'zi ma'lumotlar o'zgargan yoki eskirgan.
Nashr qilingan sana: 18/10/2015

Sberbank Online-ga kirish uchun foydalanuvchi loginidan foydalaniladi. Shaxsiy hisobingizga kirish uchun loginni qanday yaratish kerak.

Sberbank onlayn - Internet orqali Sberbank mijozlariga masofaviy xizmat ko'rsatish uchun zamonaviy xizmat. Sberbank tizimining onlayn imkoniyatlari.

Sberbank Online-da kartadan kartaga o'tkazish. Sberbank Online orqali pul o'tkazish uchun komissiya miqdori.

Bugungi kunda odamlar ko'pincha to'lovlar, alimentlar va kreditlarni to'lash uchun Internet-bankingdan foydalanadilar. Yangi texnologiyalar kompyuterda o‘tirgan odamga hisob raqami yoki omonat ochish, kartadagi pul qoldig‘ini tekshirish imkonini beradi. Internet-bankingdan foydalanish ko'p hollarda komissiya to'lashga pul sarflamasdan vaqtni sezilarli darajada tejash imkonini beradi. Sizga kerak bo'lgan yagona narsa - tizimdagi shaxsiy hisobingizga kirish Onlayn Sberbank.

Majburiyatni qo'shimcha tasdiqlash uchun bir martalik parollar ro'yxatini qanday olishni hamma ham bilmaydi shaxsiy hisob Sberbank operatsiyalari.

Identifikatsiya ma'lumotlarini olish zarurati

Hisoblar va kartalar bilan operatsiyalarni amalga oshirish uchun odam birinchi navbatda doimiy parolni olishi kerak. Buni bir necha usul bilan amalga oshirish mumkin, masalan, bank filialiga murojaat qiling. Ko'pincha odamlar ma'lumotlarni olish uchun bankomatlardan foydalanadilar.

Yaratish karta egasining iltimosiga binoan avtomatik ravishda amalga oshiriladi. Ma'lumotlar keyinroq o'zgartirilishi mumkin. Shaxsiy hisobingizning xavfsizlik darajasini oshirish uchun murakkab kombinatsiyalardan foydalanish yaxshidir.

Nima uchun sizga bir martalik parol kerak?

Sberbank mijozining shaxsini qo'shimcha tekshirish uchun bir martalik parol kerak. Bunday identifikatsiya tizimi zarur:

1. shaxsiy hisobingizda avtorizatsiya qilinganda;
2. Internet-banking tizimi orqali o'z kartalari, omonatlari, hisobvaraqlari bilan turli operatsiyalarni amalga oshirishda.

Bir martalik parollarning quyidagi turlari mavjud:

• bankomatlar yoki terminallar yordamida chop etilgan cheklar (ular bir vaqtning o'zida 20 xil parolni o'z ichiga oladi);
• Sberbank-dan telefonga to'g'ridan-to'g'ri ma'lum bir operatsiya davomida xabarda olingan parollar.

Sberbank Online tizimidagi ba'zi operatsiyalar faqat SMS parol bilan tasdiqlanganidan keyin amalga oshirilishi mumkin.

Har qanday pul operatsiyalarini bir martalik parollar yordamida amalga oshirish tavsiya etiladi. Foydalanuvchi Sberbank Online-ni o'chirib qo'yishi mumkin, ammo bu uni bir martalik parollardan foydalanishdan umuman qutqarmaydi. Shunday qilib, turli bank dasturlari bilan ishlashda, tranzaktsiyalarni tasdiqlash uchun ularning kiritilishi kerak bo'ladi.

Bir martalik parollarni qabul qilish

Bir martalik parollarni olishning bir necha yo'li mavjud. Shuni unutmasligimiz kerakki, Internet-banking tizimida ishlash uchun sizga login va doimiy parol kerak bo'ladi.
Sberbank ATM orqali
Mijoz Rossiya Federatsiyasi Sberbankining debet (kredit ishlamaydi) kartasining egasi bo'lishi kerak. Bu ish haqi yoki bo'lishi mumkin to'lov kartasi. Agar mavjud bo'lsa, uni o'zingiz bilan olib ketishingiz va eng yaqin terminal yoki bankomatga borishingiz kerak (uni olish tartibi bir xil).

1. Kartani kartani o'quvchiga kiritish kerak.
2. Tizim talabiga binoan tasdiqlash kodini kiriting.
3. Asosiy menyu paydo bo'ladi, unda siz "Sberbank Online va Mobile Bank" bo'limini bosishingiz kerak. Agar bankomatda eski dasturiy ta'minot o'rnatilgan bo'lsa, unda bu element bo'lmaydi. Bunday holda siz "Internet xizmati" tugmasini bosishingiz kerak bo'ladi.
4. Ochilgan menyuda "Bir martalik parollar ro'yxatini olish" tugmasini bosing. Bankomat parollar ro'yxatini chop etadi, ulardan 20 tasi bor.

Ro'yxatdagi parollar abadiydir. Agar foydalanuvchi yangi parollarni chop etsa, eskilari o'z kuchini yo'qotadi - ularni endi ishlatib bo'lmaydi.

Mijoz uchun parollardan foydalanishni qulayroq qilish uchun ularning barchasi o'z raqamiga ega. Internetda har qanday tranzaktsiyalarni amalga oshirishda Internet-banking tizimi foydalanuvchidan ma'lum bir raqam bilan bir martalik parolni kiritishni talab qiladi. Ular tasodifiy tartibda so'raladi, shuning uchun siz bir martalik parolni kiritishingizni so'ragan tizim xabariga e'tibor berishingiz kerak.

Chekdan bir martalik parol bilan tasdiqlangan to'lovlar va pul o'tkazmalari 3000 rubldan oshmasligiga e'tibor qaratish lozim.

Tekshiruvdagi barcha 20 ta parol tugagandan so'ng, siz avvalgilari kabi yangilarini olishingiz kerak.

Agar parollar bilan tekshirish yo'qolgan bo'lsa yoki uning ma'lumotlari boshqa birovga ma'lum bo'lsa, siz darhol yangilarini chop etishingiz yoki eskilarini bloklashingiz kerak. Buning uchun quyidagi raqamlardan biriga murojaat qilish markaziga qo'ng'iroq qiling –

• +7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
• +7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

SMS orqali
Bir martalik parollarni olishning ushbu usuli faqat mobil bank xizmatini o'z kartasiga ulagan mijozlar uchun mavjud. Buni Sberbankning istalgan filialiga murojaat qilish yoki terminal (ATM) yordamida amalga oshirish mumkin. Mobil bankni ulashning yana bir varianti aloqa markaziga qo'ng'iroq qilishdir. Buning uchun siz nazorat ma'lumotlarini taqdim etishingiz kerak bo'ladi, bu esa oldindan tayyorgarlik ko'rish yaxshiroqdir.

Sberbank Online orqali har qanday operatsiyani amalga oshirayotganda, foydalanuvchi mobil telefonida bir martalik parollar bilan xabarlarni oladi (bitta parol - bitta xabar). Kirish Mobil Bank ulangan karta orqali amalga oshirilishi kerak. Aks holda, kvitansiyadagi bir martalik parollar ro'yxatidan foydalanishingiz kerak bo'ladi.

Yuborilgan xabarni ko'rishda siz operatsiya tafsilotlari to'g'ri ekanligiga ishonch hosil qilishingiz kerak. Buning uchun siz Sberbank Online tizimiga kiritilgan ma'lumotlarni SMS ma'lumotlari bilan solishtirishingiz kerak.

Har bir martalik parol faqat bir marta ishlatiladi va uni qayta ishlatib bo'lmaydi. Agar foydalanuvchi yangi bir martalik parol so'ragan bo'lsa, eskisi bekor qilinadi. Endi undan foydalanish mumkin bo'lmaydi.

Bir martalik parollar bilan xabarlar har doim Sberbank 900 qisqa raqamidan keladi. SMSda quyidagi tranzaksiya tafsilotlari ko'rsatilgan:

• operatsiya amalga oshirilayotgan karta yoki hisob raqami;
• tranzaksiya summasi;
• operatsiyani tasdiqlash uchun parol.

Amalga oshirilgan operatsiya turiga qarab boshqa ma'lumotlar bo'lishi mumkin.

Bir martalik parollarni kiritish tartibi

Shaxsiy hisobingizning tizim sozlamalariga asoslanib, sizga bir martalik parollar bilan bir yoki bir nechta tranzaksiyani tasdiqlash turlaridan foydalanishga ruxsat berilishi mumkin. Agar ikkala usuldan ham foydalanish mumkin bo'lsa, tizim tasdiqlashdan oldin ijrochiga tanlov beradi.

Agar foydalanuvchi chekdan tasdiqlashni tanlasa, to'ldirish maydoni yonida chek raqami va parol paydo bo'ladi.

Agar tasdiqlash telefonga SMS ko'rinishida kelsa, qabul qilingan parol "SMS parolini kiriting" qatoriga qayta yozilishi kerak.

Parol kiritilgandan so'ng, tizim barcha ma'lumotlarni qayta tekshirishni taklif qiladi. Agar ularning barchasi to'g'ri to'ldirilgan bo'lsa, unda siz "Tasdiqlash" tugmasini bosishingiz kerak.

Uni olishning eng yaxshi usuli qanday?

Agar biror kishi Onlayn Sberbank tizimida bir martalik parollardan qanday foydalanishni bilsa, unda yana bir savol bor - mavjud usullardan qaysi biri eng qulay va ishonchli?

Ulangan karta ma'lumotlaridan foydalangan holda tizimda avtorizatsiya qilish uchun Mobil bank, xabarda olingan bir martalik parol har qanday holatda ham kiritish uchun kerak bo'ladi. Ammo operatsiyalar foydalanuvchi uchun qulay bo'lgan har qanday usulda tasdiqlanishi mumkin. SMS parollar har doim ham o'z vaqtida kelavermaydi. Ba'zan ular kechikish bilan yuboriladi. Va ularning har biri faqat 5 daqiqa davomida amal qiladi. Agar tizim yoki mobil aloqa ishlamay qolsa, tasdiqlash uchun chekdagi parollardan foydalanish yaxshiroqdir.