Sberbank online üçün birdəfəlik parollar. Birdəfəlik parol Birdəfəlik parol nədir

Son tədqiqatların göstərdiyi kimi, şirkətlər üçün ən ciddi problemlərdən biri informasiya təhlükəsizliyi sahəsindədir icazəsiz girişüçün kompüter sistemləri. CSI/FBI 2005-ci il Kompüter Cinayətləri və Təhlükəsizliyi Tədqiqatına əsasən, keçən il şirkətlərin 55%-i məlumatların pozulması barədə məlumat verib. Üstəlik, həmin il şirkətlər icazəsiz girişə görə orta hesabla 303 min dollar itirib və 2004-cü illə müqayisədə itkilər altı dəfə artıb.

Təbii ki, üçün rus şirkətləri itki rəqəmləri tamamilə fərqli olacaq, lakin bu, problemin özünü dəyişdirmir: icazəsiz giriş şirkətlərə ciddi ziyan vurur, bu rəhbərliyin xəbəri olub-olmamasından asılı olmayaraq.

Aydındır ki, bu təhlükədən qorunmanın etibarlılığı ilk növbədə istifadəçinin autentifikasiya sisteminin keyfiyyətindən asılıdır. Bu gün fərdiləşdirilmiş girişə bağlanmadan və şəbəkədəki bütün istifadəçi hərəkətlərini izləmədən məlumat təhlükəsizliyi haqqında danışmaq sadəcə mənasızdır. Bununla belə, nə vaxt danışırıq korporativ yerli şəbəkəyə daxil olan kompüterlərdə istifadəçi identifikasiyası haqqında, onda heç bir xüsusi çətinlik yoxdur. Bazar smart kartlar və elektron açarlar, biometrik autentifikasiya vasitələri və hətta qrafik parollar kimi ekzotik şeylər də daxil olmaqla bir çox müxtəlif həllər təklif edir.

İstifadəçinin korporativ kompüter şəbəkəsinə uzaqdan, məsələn, İnternet vasitəsilə qoşulması lazımdırsa, vəziyyət bir qədər fərqlidir. Bu halda o, bir sıra problemlərlə üzləşə bilər ki, biz bunları daha ətraflı nəzərdən keçirəcəyik.

Uzaqdan girişin tələləri

Etibarsız mühitdə (ofisdən kənarda) istifadəçi başqasının kompüterindən (məsələn, internet kafedən) parol daxil etmək ehtiyacı ilə üzləşir. Parollar, kompüterə daxil edilən hər hansı digər məlumat kimi yaddaşda saxlanılır və istəsən, başqası onlardan öz eqoist məqsədləri üçün istifadə edə bilər.

Bu gün olduqca yaygın olan kompüter fırıldaqçılığının iyləmə (ingilis dilindən sniff - iyləmək) kimi bir növüdür - onu maraqlandıran məlumatları müəyyən etmək üçün təcavüzkar tərəfindən şəbəkə paketlərinin tutulması. Bu texnikadan istifadə edən haker istifadəçinin parolunu “iyləyə” və ondan icazəsiz giriş üçün istifadə edə bilər.

Sadə parol mühafizəsi (xüsusilə də uzaqdan giriş üçün) Veb səhifələrin normal “vuruşması” zamanı istifadəçinin kompüterinə səssizcə daxil olan yeni nəsil casus proqramlar tərəfindən ciddi şəkildə sınaqdan keçirilir. Virus, parol kimi xidmət edə biləcək simvol birləşmələrini müəyyən etmək üçün müəyyən bir kompüterin məlumat axınlarını filtrləmək üçün proqramlaşdırıla bilər. “Casus” bu kombinasiyaları öz yaradıcısına göndərir və ona lazım olan parolu aşkar etmək qalır.

Şəbəkəyə təhlükəsiz girişin təşkilinin aparat metodunun sadə parollardan bir neçə dəfə etibarlı olduğu aydındır, lakin yenidən ofisdən uzaqda olarkən smart kartdan və ya USB açardan necə istifadə etmək olar? Çox güman ki, bu, uğur qazanmayacaq, çünki birinci cihaz ən azı bir oxucuya ehtiyac duyur, ikincisi üçün bloklana bilən USB port lazımdır (İnternet kafe) və ya daha da pisi, istifadəçinin istifadə etdiyi cihazda olmaya bilər. giriş əldə etməyə çalışır (PDA, mobil telefon, smartfon və s.). Aparatların - smart kartların və USB açarların işləməsi üçün eyni İnternet kafedə quraşdırmaq çətin olan müvafiq proqram təminatına ehtiyacınız olduğunu söyləməyə ehtiyac yoxdur.

Bu arada, məlumatı uzaqdan qəbul etmək və ya göndərmək lazım olan vəziyyətlər olduqca tez-tez yaranır. Məsələn, elektron bank sistemlərini götürək: istifadəçinin öz hesabını uzaqdan idarə etmək üçün təhlükəsiz bank resurslarına çıxışa ehtiyacı olduğu bir vəziyyəti təsəvvür etmək asandır. Bu gün bəzi banklar USB açarından istifadə edərək hardware əsaslı avtorizasiya ehtiyacını dərk ediblər. Ancaq yuxarıda təsvir edilən bir sıra səbəblərə görə ondan istifadə etmək həmişə mümkün deyil.

Çoxlarının biznesinin xüsusiyyətləri böyük şirkətlər tez-tez çıxışı təmin etməyə məcbur edir öz resurslarıüçüncü tərəf istifadəçiləri - tərəfdaşlar, müştərilər, təchizatçılar. Bu gün Rusiyada autsorsinq kimi əməkdaşlıq növü fəal şəkildə güclənir: subpodratçı şirkət sifariş üzrə işi yerinə yetirmək üçün müştərinin qorunan resurslarına çıxışa ehtiyac duya bilər.

Güclü autentifikasiya sxemi olan, yalnız PDA və ya smartfonun əlində olan korporativ şəbəkəyə qoşulma ehtiyacı istifadəçi konfransda, danışıqlarda və ya digər işgüzar tədbirlərdə olarsa ciddi problemə çevrilə bilər. Sadəcə mobil proqramlar, həmçinin xüsusi proqram təminatının quraşdırılması mümkün olmayan yerlərdən lazımi məlumatlara çıxışı təşkil etmək üçün birdəfəlik parollar OTP - Birdəfəlik Şifrə konsepsiyası işlənib hazırlanmışdır.

Birdəfəlik parol: daxil edilib və unudulub

Birdəfəlik parol məhdud zaman üçün yalnız bir autentifikasiya prosesi üçün keçərli olan açar sözdür. Belə bir parol, mümkün məlumatların tutulması və ya banal baxış problemini tamamilə həll edir. Təcavüzkar "qurbanın" parolunu əldə edə bilsə belə, giriş əldə etmək üçün ondan istifadə etmək şansı sıfıra bərabərdir.

Birdəfəlik parollar konsepsiyasının ilk tətbiqləri statik açar sözlər toplusuna əsaslanırdı, yəni əvvəlcə istifadəçilərin istifadə edə biləcəyi parolların siyahısı (açarlar, kod sözlər və s.) yaradıldı. Bənzər bir mexanizm birincidə istifadə edilmişdir bank sistemləri hesabı uzaqdan idarə etmək imkanı ilə. Bu xidməti aktivləşdirdikdən sonra müştəri öz parollarının siyahısı olan zərf aldı. Sonra o, hər dəfə sistemə daxil olanda növbəti açar sözü işlədir. Siyahının sonuna çatan müştəri yenisini almaq üçün banka getdi. Bu həllin bir sıra çatışmazlıqları var idi, bunlardan əsası aşağı etibarlılıq idi. Yenə də parolların siyahısını daim sizinlə aparmaq təhlükəlidir, onu itirmək asandır və ya müdaxilə edənlər tərəfindən oğurlana bilər. Və sonra, siyahı sonsuz deyil, amma əgər varsa doğru an banka getmək mümkün olacaq?

Xoşbəxtlikdən bu gün vəziyyət ən radikal şəkildə dəyişib. Ümumiyyətlə, Qərb ölkələrində informasiya sistemlərində autentifikasiya üçün birdəfəlik parollar adi hala çevrilib. Bununla belə, ölkəmizdə OTP texnologiyası son vaxtlara qədər əlçatmaz qaldı. Və yalnız bu yaxınlarda şirkət rəhbərliyi uzaqdan işləyərkən icazəsiz giriş riskinin nə qədər artdığını anlamağa başladı. Tələb, bildiyiniz kimi, təklif yaradır. İndi uzaqdan autentifikasiya üçün birdəfəlik parollardan istifadə edən məhsullar tədricən Rusiya bazarında öz yerini tutmağa başlayıb.

V müasir texnologiyalar OTP autentifikasiyası güclü kriptoqrafik alqoritmlərdən istifadə edərək dinamik açar söz yaratmaqdan istifadə edir. Başqa sözlə, autentifikasiya məlumatları istifadəçinin şəxsi açarı ilə bəzi ilkin dəyərin şifrələnməsinin nəticəsidir. Bu məlumat həm müştəri, həm də server üçün mövcuddur. Şəbəkə üzərindən ötürülmür və ələ keçirmək üçün mövcud deyil. Autentifikasiya prosesinin hər iki tərəfinə məlum olan məlumat ilkin dəyər kimi istifadə olunur və sistemdə inisiallaşdırıldıqda hər bir istifadəçi üçün şifrələmə açarı yaradılır (şək. 1).

Qeyd etmək lazımdır ki, OTP texnologiyalarının inkişafının bu mərhələsində həm simmetrik, həm də asimmetrik kriptoqrafiyadan istifadə edən sistemlər mövcuddur. Birinci halda, hər iki tərəfdə gizli açar olmalıdır. İkincisi, yalnız istifadəçiyə məxfi açar lazımdır və autentifikasiya serverində bu açıqdır.

İcra

OTP texnologiyaları 2004-cü ildə VeriSign tərəfindən başladılan Open Authentication (OATH) sənaye təşəbbüsünün bir hissəsi kimi işlənib hazırlanmışdır. Bu təşəbbüsün mahiyyəti müxtəlif İnternet xidmətləri üçün həqiqətən güclü autentifikasiya üçün standart spesifikasiya hazırlamaqdır. Üstəlik, söhbət istifadəçi hüquqlarının iki faktorlu müəyyənləşdirilməsindən gedir, bu müddət ərzində sonuncu smart kart və ya USB tokenini və onun parolunu “göstərməlidir”. Beləliklə, birdəfəlik parollar müxtəlif sistemlərdə uzaqdan autentifikasiyanın standart vasitəsinə çevrilə bilər.

Bu gün birdəfəlik parol autentifikasiyası sistemlərinin tətbiqi üçün bir neçə variant hazırlanmışdır və praktikada istifadə olunur.

Sorğu-cavab üsulu. Onun işləmə prinsipi belədir: autentifikasiya prosedurunun əvvəlində istifadəçi öz loginini serverə göndərir. Cavab olaraq, sonuncu bəzi təsadüfi sətir yaradır və onu geri göndərir. İstifadəçi bu məlumatları öz açarından istifadə edərək şifrələyir və serverə qaytarır. Bu zaman server öz yaddaşında verilmiş istifadəçinin məxfi açarını “tapır” və onun köməyi ilə orijinal sətri kodlaşdırır. Sonra hər iki şifrələmə nəticəsinin müqayisəsi aparılır. Əgər onlar tamamilə uyğun gələrsə, autentifikasiya uğurlu hesab olunur. Birdəfəlik parol texnologiyasını tətbiq etməyin bu üsulu asinxron adlanır, çünki autentifikasiya prosesi istifadəçinin server ilə tarixindən və digər amillərdən asılı deyildir.

"Yalnız cavab" üsulu. Bu halda autentifikasiya alqoritmi bir qədər sadədir. Prosesin lap əvvəlində istifadəçinin proqram təminatı və ya aparatı müstəqil olaraq ilkin məlumatları yaradır, onlar şifrələnəcək və müqayisə üçün serverə göndəriləcək. Bu halda sətir yaratma prosesində qiymətdən istifadə edilir əvvəlki sorğu. Serverdə bu məlumat da var; istifadəçi adını bilərək, əvvəlki sorğunun dəyərini tapır və eyni alqoritmdən istifadə edərək tam olaraq eyni sətir yaradır. İstifadəçinin məxfi açarından istifadə etməklə (o da serverdə saxlanılır) onu şifrələməklə server istifadəçi tərəfindən göndərilən məlumatlara tam uyğunlaşmalı olan dəyər alır.

Zamanla sinxronizasiya üsulu. Orada, ilkin xətt kimi bir insanın işlədiyi xüsusi cihazın və ya kompüterin cari taymer oxunuşlarından istifadə olunur. Bu halda, adətən vaxtın dəqiq göstəricisi deyil, əvvəlcədən təyin edilmiş sərhədləri olan cari interval (məsələn, 30 s) istifadə olunur. Bu məlumatlar şəxsi açarla şifrələnir və açıq forma istifadəçi adı ilə birlikdə serverə göndərilir. Server, autentifikasiya sorğusu aldıqdan sonra eyni hərəkətləri yerinə yetirir: o, cari vaxtı taymerindən alır və şifrələyir. Bundan sonra o, yalnız iki dəyəri müqayisə etməlidir: hesablanmış və uzaq kompüterdən qəbul edilmişdir.

"Hadisə ilə sinxronizasiya" üsulu. Prinsipcə, bu üsul əvvəlki ilə demək olar ki, eynidir, yalnız caridən əvvəl həyata keçirilən uğurlu autentifikasiya prosedurlarının sayı ilkin sətir kimi istifadə olunur, vaxt deyil. Bu dəyər hər iki tərəf tərəfindən bir-birindən ayrı hesablanır.

Bəzi sistemlərdə ilkin dəyər kimi iki növ və ya daha çox məlumat istifadə olunduğu qarışıq üsullar tətbiq olunur. Məsələn, həm autentifikasiya sayğaclarını, həm də daxili taymerləri nəzərə alan sistemlər var. Bu yanaşma fərdi metodların bir çox mənfi cəhətlərini aradan qaldırır.

OTP texnologiya zəiflikləri

Birdəfəlik parolların texnologiyası kifayət qədər etibarlı hesab olunur. Bununla belə, obyektivlik naminə qeyd edirik ki, onun həm də OTP prinsipini təmiz formada həyata keçirən bütün sistemlərin tabe olduğu çatışmazlıqları var. Bu cür zəiflikləri iki qrupa bölmək olar. Birincisi, bütün həyata keçirmə üsullarına xas olan potensial təhlükəli "deşiklər" daxildir. Onlardan ən ciddisi autentifikasiya serverinin saxtalaşdırılması ehtimalıdır. Bu halda, istifadəçi öz məlumatlarını birbaşa təcavüzkara göndərəcək, o, dərhal real serverə daxil olmaq üçün onlardan istifadə edə bilər. Sorğu-cavab metodu vəziyyətində hücum alqoritmi bir qədər mürəkkəbdir (hakerin kompüteri server və müştəri arasında məlumat mübadiləsi prosesindən keçərək “vasitəçi” rolunu oynamalıdır). Ancaq qeyd etmək lazımdır ki, praktikada belə bir hücumu həyata keçirmək heç də asan deyil.

Digər zəiflik yalnız sinxron metodlara xasdır və serverdə və istifadəçinin proqram və ya aparatında məlumatın sinxronizasiyası riskinin olması ilə bağlıdır. Tutaq ki, bəzi sistemlərdə ilkin məlumatlar daxili taymerlərin oxunuşlarıdır və nədənsə onlar artıq bir-biri ilə üst-üstə düşmür. Bu halda, bütün istifadəçinin autentifikasiya cəhdləri uğursuz olacaq (birinci növ xəta). Xoşbəxtlikdən, belə hallarda ikinci növ səhv ("xarici"nin qəbulu) yarana bilməz. Bununla belə, təsvir olunan vəziyyətin baş vermə ehtimalı da olduqca kiçikdir.

Bəzi hücumlar yalnız birdəfəlik parol texnologiyasının həyata keçirilməsinin müəyyən üsullarına şamil edilir. Məsələn, yenidən taymer sinxronizasiya üsulunu götürək. Artıq dediyimiz kimi, burada vaxt bir saniyə dəqiqliyi ilə deyil, əvvəlcədən müəyyən edilmiş müəyyən intervalda nəzərə alınır. Bu, taymerin sinxronizasiyasının mümkünlüyü, həmçinin məlumatların ötürülməsində gecikmələrin görünməsi nəzərə alınmaqla həyata keçirilir. Məhz bu məqamda təcavüzkar nəzəri olaraq uzaq sistemə icazəsiz giriş əldə etmək üçün istifadə edə bilər. Başlamaq üçün haker istifadəçidən autentifikasiya serverinə gedən şəbəkə trafikini “dinləyir” və “qurban” tərəfindən göndərilən login və birdəfəlik parolun qarşısını alır. Sonra o, dərhal kompüterini bloklayır (həddən artıq yükləyir, əlaqəni kəsir və s.) və özündən avtorizasiya məlumatlarını göndərir. Təcavüzkar bunu o qədər tez bacarırsa ki, autentifikasiya intervalının dəyişməyə vaxtı yoxdur, onda server onu qeydiyyatdan keçmiş istifadəçi kimi tanıyır.

Aydındır ki, belə bir hücum üçün təcavüzkar həm trafikə qulaq asmağı bacarmalı, həm də müştərinin kompüterini tez bloklamalıdır və bu, asan məsələ deyil. Bu şərtləri yerinə yetirməyin ən asan yolu hücumun əvvəlcədən planlaşdırıldığı zamandır və uzaq sistemə qoşulmaq üçün "qurban" xarici yerli şəbəkənin kompüterindən istifadə edəcək. Bu halda, haker başqa bir maşından idarə edə bilməklə əvvəlcədən fərdi kompüterlərdən birində “işləyə” bilər. Siz özünüzü bu cür hücumdan yalnız "etibarlı" işləyən maşınlardan (məsələn, öz noutbukunuz və ya PDA) və "müstəqil" təhlükəsiz (məsələn, SSL istifadə edərək) İnternetə çıxış kanallarından istifadə etməklə qoruya bilərsiniz.

İcra keyfiyyəti

İstənilən təhlükəsizlik sisteminin etibarlılığı əsasən onun həyata keçirilməsinin keyfiyyətindən asılıdır. Bütün praktiki həllərin hücumçuların öz məqsədləri üçün istifadə edə biləcəyi çatışmazlıqları var və bu "deşiklər" çox vaxt həyata keçirilən texnologiya ilə birbaşa əlaqəli deyil. Bu qayda birdəfəlik parollara əsaslanan autentifikasiya sistemlərinə tam tətbiq edilir. Yuxarıda qeyd edildiyi kimi, onlar kriptoqrafik alqoritmlərin istifadəsinə əsaslanır. Bu, belə məhsulların tərtibatçılarının üzərinə müəyyən öhdəliklər qoyur - axırda hər hansı bir alqoritmin zəif işləməsi və ya, məsələn, təsadüfi nömrələr generatoru məlumatın təhlükəsizliyini təhlükə altına qoya bilər.

Birdəfəlik parol generatorları iki şəkildə həyata keçirilir: proqram təminatı və aparat. Onlardan birincisi, əlbəttə ki, daha az etibarlıdır. Fakt budur ki, müştəri yardım proqramı istifadəçinin gizli açarını saxlamalıdır. Bu, yalnız şəxsi parol əsasında açarın özünü şifrələməklə az və ya çox təhlükəsiz şəkildə edilə bilər. Eyni zamanda nəzərə almaq lazımdır ki, müştəri yardım proqramı hansı cihazdan (PDA, smartfon və s.) quraşdırılmalıdır. Bu an sessiya işləyir. Beləliklə, məlum olur ki, bir işçinin autentifikasiyası bir paroldan asılıdır, baxmayaraq ki, onu tapmaq və ya təxmin etmək üçün bir çox yol var. Və bu, proqramın birdəfəlik parol generatorunun yeganə zəifliyindən uzaqdır.

OTP texnologiyalarının hardware tətbiqi üçün müxtəlif qurğular müqayisəolunmaz dərəcədə daha etibarlıdır. Məsələn, kalkulyatora bənzəyən qurğular var (şək. 2): onlara server tərəfindən göndərilən nömrələr toplusunu daxil etdikdə, onlar daxil edilmiş məxfi açar (“sorğu-cavab”) əsasında birdəfəlik parol yaradırlar. " metodu). Bu cür cihazların əsas zəifliyi onların oğurlana və ya itirilə bilməsi ilə bağlıdır. Siz yalnız cihazın yaddaşının məxfi açarla etibarlı mühafizəsindən istifadə etsəniz, sistemi təcavüzkardan qoruya bilərsiniz.

düyü. 2. RSA SecurID OTP cihazı.

Bu yanaşma smart kartlarda və USB tokenlərində həyata keçirilir. Yaddaşına daxil olmaq üçün istifadəçi PİN kodunu daxil etməlidir. Əlavə edirik ki, bu cür cihazlar PIN-kod seçimindən qorunur: üç dəfə yanlış dəyər daxil etsəniz, onlar bloklanır. Əsas məlumatların etibarlı saxlanması, açar cütlərinin aparat təminatının yaradılması və etibarlı mühitdə (smart kart çipində) kriptoqrafik əməliyyatların yerinə yetirilməsi təcavüzkarın məxfi açarı çıxarmasına və birdəfəlik parol yaratma cihazının dublikatını yaratmasına imkan vermir.

OTP tətbiqi nümunəsi

Beləliklə, smart kartlar və USB tokenləri, demək olar ki, bütün tətbiq boşluqlarından qorunan ən etibarlı birdəfəlik parol generatorları hesab olunur. Üstəlik, sonuncular daha rahatdır: onlar smart kartlar üçün tələb olunan əlavə oxucular olmadan istənilən PC və ya noutbukda istifadə edilə bilər. Üstəlik, USB portu olmadan işləyə bilən OTP texnologiyası ilə USB dongle tətbiqi mövcuddur. Belə bir nümunə elektron açar- Ələddindən eToken NG-OTP (şək. 3).

Qeyd etmək lazımdır ki, Ələddin (http://www.aladdin.com) yuxarıda qeyd olunan OATH təşəbbüsünün təşviqində fəal iştirak edir və burada müzakirə olunan açar VeriSign Unified Authentication həllinin əsas komponenti kimi seçilib. Düzdür, bu sistemdə fərqli adlanır: eToken VeriSign. Əsas məqsəd bu qərar- İnternet vasitəsilə aparılan əməliyyatlara inamı artırmaq və o, hardware açarı əsasında güclü iki faktorlu autentifikasiyaya əsaslanır. eToken NG-OTP məhsulunun belə OEM tədarükü onun keyfiyyətini və bütün OATH spesifikasiyalarına uyğunluğunu təsdiqləyir.

eToken seriyasının cihazları Rusiyada kifayət qədər geniş yayılmışdır. Microsoft, Cisco, Oracle, Novell və s. kimi aparıcı istehsalçılar öz məhsullarında öz dəstəyini göstərirlər (eToken-in “track rekordu” informasiya təhlükəsizliyi proqramları ilə 200-dən çox tətbiqə malikdir).

Beləliklə, eToken NG-OTP başqa bir aparat açarına əsaslanır, xəttdəki ən populyar model eToken PRO-dur. Bu, əsas məlumatların, istifadəçi profillərinin və digər məxfi məlumatların təhlükəsiz saxlanması, aparatda kriptoqrafik hesablamaların aparılması və asimmetrik açarlar və X.509 sertifikatları ilə işləmək üçün istifadə oluna bilən təhlükəsiz yaddaş smart kartı çipinə əsaslanan tam hüquqlu tokendir.

eToken NG-OTP dongle-də yuxarıda təsvir edilən imkanları həyata keçirən modullara əlavə olaraq, birdəfəlik texniki parol generatoru mövcuddur (şək. 4). O, "hadisə üzrə sinxronizasiya" üsulu ilə işləyir. Bu, sinxron variantlar arasında OTP texnologiyasının ən etibarlı tətbiqidir (desinxronizasiya riski azdır). eToken NG-OTP açarında həyata keçirilən birdəfəlik parol yaratma alqoritmi OATH təşəbbüsünün bir hissəsi kimi hazırlanıb (o, HMAC texnologiyasına əsaslanır). Onun mahiyyəti HMAC-SHA-1 dəyərinin hesablanmasında və sonra nəticədə 160 bitlik dəyərdən altı rəqəmin kəsilməsi (seçilməsi) əməliyyatındadır. Onlar eyni birdəfəlik parol kimi xidmət edir.

eToken NG-OTP birləşdirilmiş açarının maraqlı xüsusiyyəti hətta açarı kompüterə qoşmadan birdəfəlik parollardan istifadə etmək imkanıdır. OTP generasiya prosesini cihazın gövdəsində yerləşən xüsusi düyməni basmaqla başlamaq olar (şək. 5) və bu halda onun nəticəsi daxili LCD displeydə göstəriləcək. Bu yanaşma OTP texnologiyasından hətta USB portları olmayan cihazlarda (smartfonlar, PDA-lar, mobil telefonlar və s.) və onların bloklandığı kompüterlərdə istifadə etməyə imkan verir.

Ən etibarlı hesab edilən açarın qarışıq iş rejimidir. Onu istifadə etmək üçün cihaz PC-yə qoşulmalıdır. Burada söhbət bir neçə yolla həyata keçirilən iki faktorlu autentifikasiyadan gedir. Bir halda, şəbəkəyə giriş əldə etmək üçün onu daxil etmək üçün istifadəçinin öz parolundan, həmçinin OTP dəyərindən istifadə etmək lazımdır. Digər seçim birdəfəlik parol və OTP PIN dəyəri tələb edir (əsas ekranda göstərilir).

Təbii ki, eToken NG-OTP açarı standart USB tokeni kimi işləyə bilər - rəqəmsal sertifikatlar və PKI texnologiyasından istifadə etməklə istifadəçinin autentifikasiyası, şəxsi açarların saxlanması və s. Beləliklə, sözügedən məhsuldan geniş layihələrdə istifadə etmək məqsədəuyğundur. təhlükəsiz uzaqdan giriş və iki faktorlu autentifikasiya ehtiyacı ilə əlaqədardır. Belə hibrid açarların müəssisə miqyasında istifadəsi istifadəçilərə öz açarları ilə həm ofisdə, həm də ondan kənarda işləməyə imkan verir. Bu yanaşma informasiya təhlükəsizliyi sisteminin etibarlılığını azaltmadan onun yaradılması xərclərini azaldır.

Xülasə

Beləliklə, müasir kriptoqrafik metodlarla birləşən OTP birdəfəlik parollar konsepsiyası etibarlı uzaqdan autentifikasiya sistemlərini həyata keçirmək üçün istifadə edilə bilər. Bu texnologiya bir sıra əhəmiyyətli üstünlüklərə malikdir. Birincisi, etibarlılıqdır. Bu gün, məlumat ötürərkən həqiqətən "güclü" istifadəçi autentifikasiyasının o qədər də çox yolu yoxdur açıq kanallarəlaqələri. Bu arada, bu problem getdikcə daha çox yayılır. Və birdəfəlik parollar onun ən perspektivli həllərindən biridir.

Birdəfəlik parolların ikinci üstünlüyü “standart” kriptoqrafik alqoritmlərin istifadəsidir. Bu o deməkdir ki, mövcud inkişaflar OTP istifadə edərək autentifikasiya sistemini həyata keçirmək üçün çox uyğundur. Əslində, bu, yerli kripto provayderləri ilə uyğun gələn eyni eToken NG-OTP açarını açıq şəkildə sübut edir. Bu cür tokenlərdən istifadə edilə bilər mövcud sistemlər onları yenidən strukturlaşdırmadan korporativ təhlükəsizlik. Nəticədə, birdəfəlik parol texnologiyası nisbətən aşağı qiymətə həyata keçirilə bilər.

Birdəfəlik parolların başqa bir üstünlüyü odur ki, mühafizə insan faktorundan zəif asılıdır. Düzdür, bu, onun bütün həyata keçirilməsinə aid deyil. Dediyimiz kimi, birdəfəlik parol proqramlarının çoxunun etibarlılığı istifadə edilən PİN kodun keyfiyyətindən asılıdır. USB tokenlərinə əsaslanan aparat generatorları tam hüquqlu iki faktorlu autentifikasiyadan istifadə edir. Və nəhayət, OTP konsepsiyasının dördüncü üstünlüyü onun istifadəçilər üçün rahatlığıdır. Birdəfəlik parollardan istifadə edərək lazımi məlumatlara çıxış əldə etmək bu məqsədlə statik açar sözlərdən istifadə etməkdən çətin deyil. Xüsusilə sevindirici haldır ki, nəzərdən keçirilən texnologiyanın bəzi aparat tətbiqləri, mövcud portlardan və quraşdırılmış proqram təminatından asılı olmayaraq istənilən cihazda istifadə edilə bilər.

Bu gün insanlar tez-tez hesabları, alimentləri və kreditləri ödəmək üçün İnternet bankçılıqdan istifadə edirlər. Yeni texnologiyalar kompüter arxasında oturan şəxsə hesab və ya əmanət açmağa, kartındakı pul qalığını yoxlamağa imkan verir. İnternet bankçılıqdan istifadə, əksər hallarda komissiya ödəməyə pul xərcləmədən vaxtınıza əhəmiyyətli dərəcədə qənaət etməyə imkan verir. Sizə lazım olan tək şey sistemdəki şəxsi hesabınıza daxil olmaqdır Onlayn Sberbank.

Sadiqliyini daha da təsdiqləmək üçün birdəfəlik parolların siyahısını necə əldə edəcəyini hamı bilmir şəxsi hesab Sberbank əməliyyatları.

Şəxsiyyət məlumatlarını əldə etmək ehtiyacı

Hesablar və kartlarla əməliyyatlar aparmaq üçün şəxs ilk növbədə daimi parol almalıdır. Bu, bir neçə yolla edilə bilər, məsələn, bir bank filialı ilə əlaqə saxlayın. Çox vaxt insanlar məlumat almaq üçün bankomatlardan istifadə edirlər.

Yaradılma kart sahibinin istəyi ilə avtomatik olaraq baş verir. Məlumat daha sonra dəyişdirilə bilər. Şəxsi hesabınızın təhlükəsizlik səviyyəsini artırmaq üçün mürəkkəb birləşmələrdən istifadə etmək yaxşıdır.

Niyə birdəfəlik parola ehtiyacınız var?

üçün birdəfəlik parol tələb olunur əlavə yoxlama Sberbank müştərisinin şəxsiyyəti. Belə bir identifikasiya sistemi lazımdır:

şəxsi hesabınızda avtorizasiyadan sonra;
İnternet bankçılıq sistemi vasitəsilə öz kartları, depozitləri, hesabları ilə müxtəlif əməliyyatlar həyata keçirərkən.

Mövcuddur aşağıdakı növlər birdəfəlik parollar:

bankomatlar və ya terminallar vasitəsilə çap edilmiş çeklər (onlarda eyni anda 20 müxtəlif parol var);
Sberbank-dan telefona birbaşa müəyyən bir əməliyyat zamanı mesajda alınan parollar.

Sberbank Online sistemində bəzi əməliyyatlar yalnız SMS parolu ilə təsdiqləndikdən sonra həyata keçirilə bilər.

Hər hansı pul əməliyyatları Birdəfəlik parollardan istifadə etmək tövsiyə olunur. İstifadəçi Sberbank Online-ı söndürə bilər, lakin bu, onu birdəfəlik parollardan istifadə etməkdən xilas etməyəcək. Beləliklə, müxtəlif bank proqramları ilə işləyərkən əməliyyatları təsdiqləmək üçün onların daxil edilməsi lazım olacaq.

Birdəfəlik parolların qəbulu

Birdəfəlik parol əldə etməyin bir neçə yolu var. Unutmamalıyıq ki, İnternet bankçılıq sistemində işləmək üçün sizə login və daimi parol lazımdır.
Sberbank ATM vasitəsilə
Müştəri Rusiya Federasiyasının Sberbankının debet (kredit işləməyəcək) kartının sahibi olmalıdır. Bu əmək haqqı və ya ödəniş kartı ola bilər. Əgər onlardan biri varsa, onu özünüzlə götürüb ən yaxın terminala və ya bankomata getməlisiniz (onu əldə etmək proseduru eynidir).

Kartı kart oxuyucuya daxil etmək lazımdır.
Sistemin tələbi ilə təsdiq kodunu daxil edin.
Əsas menyu görünəcək, orada "Sberbank Online və Mobil Bank" bölməsini vurmalısınız. Əgər bankomatda köhnə proqram quraşdırılıbsa, bu element orada olmayacaq. Bu halda, siz "İnternet xidməti" düyməsini sıxmalısınız.
Açılan menyuda "Birdəfəlik parolların siyahısını əldə et" düyməsini sıxın. ATM parolların siyahısını çap edəcək, onlardan 20-si var.

Siyahıdakı parollar zamansızdır. İstifadəçi yeni parolları çap edərsə, köhnələr etibarsız olur - onlardan artıq istifadə edilə bilməz.

Müştərinin parollardan istifadə etməsini daha rahat etmək üçün onların hamısının öz nömrəsi var. İnternetdə hər hansı bir əməliyyat apararkən, İnternet bankçılıq sistemi istifadəçidən müəyyən nömrə ilə birdəfəlik parol daxil etməyi tələb edəcəkdir. Onlar təsadüfi qaydada tələb olunur, ona görə də birdəfəlik parol daxil etməyi tələb edən sistem mesajına diqqət yetirməlisiniz.

Çekdən birdəfəlik parol ilə təsdiqlənən ödənişlərin və köçürmələrin 3000 rubldan çox ola bilməyəcəyinə diqqət yetirmək lazımdır.

Çekdəki bütün 20 parol bitdikdən sonra, əvvəlkilər kimi yenilərini almalısınız.

Şifrələrlə çek itirilibsə və ya onun məlumatları başqasına məlum olubsa, dərhal yenilərini çap etməli və ya köhnələrini bloklamalısınız. Bunun üçün aşağıdakı nömrələrdən biri ilə əlaqə mərkəzinə zəng edin –

+7 (4 9 5 ) 5 0 0 - 5 5 5 0 ;
+7 (8 0 0 ) 5 5 5 - 5 5 5 0 .

SMS vasitəsilə
Birdəfəlik parol əldə etməyin bu üsulu yalnız əvvəllər Mobil Bankçılıq xidmətini kartlarına qoşmuş müştərilər üçün əlçatandır. Bu, Sberbank-ın istənilən filialına müraciət etməklə və ya terminaldan (ATM) istifadə etməklə edilə bilər. Mobil Bankı birləşdirmək üçün başqa bir seçim əlaqə mərkəzinə zəng etməkdir. Bunu etmək üçün əvvəlcədən hazırlamaq üçün daha yaxşı olan nəzarət məlumatlarını təqdim etməlisiniz.

Sberbank Online vasitəsilə hər hansı bir əməliyyat edərkən, istifadəçi mobil telefon birdəfəlik parollarla (bir parol - bir mesaj) mesajlar gəlir. Giriş Mobil Bankın qoşulduğu kart vasitəsilə həyata keçirilməlidir. Əks halda, qəbzdəki birdəfəlik parolların siyahısından istifadə etməli olacaqsınız.

Göndərilən mesaja baxarkən əməliyyatın təfərrüatlarının düzgün olduğundan əmin olmalısınız. Bunu etmək üçün Sberbank Online sisteminə daxil edilmiş məlumatları SMS məlumatı ilə müqayisə etməlisiniz.

Hər birdəfəlik parol yalnız bir dəfə istifadə olunur və təkrar istifadə edilə bilməz. İstifadəçi yeni birdəfəlik parol tələb edibsə, köhnəsi ləğv edilir. Artıq ondan istifadə etmək mümkün olmayacaq.

Birdəfəlik parolları olan mesajlar həmişə Sberbank 900 qısa nömrəsindən gəlir. SMS-də aşağıdakı əməliyyat təfərrüatları göstərilir:

əməliyyatın aparıldığı kartın və ya hesabın nömrəsi;
əməliyyat məbləği;
əməliyyatı təsdiqləmək üçün parol.

Görülən əməliyyatın növündən asılı olaraq başqa məlumatlar da ola bilər.

Birdəfəlik parolların daxil edilməsi qaydası

Şəxsi hesabınızın sistem parametrlərinə əsasən, birdəfəlik parollarla bir və ya bir neçə növ əməliyyat təsdiqindən istifadə etməyə icazə verilə bilər. Hər iki üsuldan istifadə etmək olarsa, sistem təsdiq etməzdən əvvəl ifaçıya seçim verəcək.

İstifadəçi çekdən təsdiqi seçərsə, doldurma sahəsinin yanında çek nömrəsi və parol görünəcək.

Telefona SMS şəklində təsdiq gələrsə, alınan parol artıq "SMS parolunu daxil edin" sətrində yenidən yazılmalıdır.

Şifrə daxil edildikdən sonra sistem bütün detalları yenidən yoxlamağı təklif edəcək. Əgər onların hamısı düzgün doldurulubsa, o zaman "Təsdiq et" düyməsini sıxmalısınız.

Onu əldə etməyin ən yaxşı yolu nədir?

Bir şəxs Onlayn Sberbank sistemində birdəfəlik parollardan necə istifadə edəcəyini bilirsə, onun başqa bir sualı var - mövcud üsullardan hansı ən əlverişli və etibarlıdır?

Mobil Banka qoşulmuş kartın məlumatlarından istifadə edərək sistemdə avtorizasiya etmək üçün istənilən halda mesajda alınan birdəfəlik parolun daxil edilməsi tələb olunacaq. Ancaq əməliyyatlar istifadəçi üçün əlverişli olan hər hansı bir şəkildə təsdiqlənə bilər. SMS parolları həmişə vaxtında gəlmir. Bəzən gecikmə ilə göndərilir. Və onların hər biri yalnız 5 dəqiqə etibarlıdır. Əgər sistem və ya mobil əlaqə uğursuz olarsa, təsdiq etmək üçün çekdəki parollardan istifadə etmək daha yaxşıdır.

OTP (Birdəfəlik Şifrə) istifadəsi ticarət hesabları ilə işləyərkən əlavə təhlükəsizlik səviyyəsidir. İstifadəçi hesaba hər dəfə qoşulduqda ondan unikal birdəfəlik parol daxil etmələri tələb olunur.

Həm də birdəfəlik parol generatoru kimi fəaliyyət göstərir.

Birdəfəlik parollardan istifadə etməyə başlamaq üçün siz ticarət hesabınızı iPhone və ya Android üçün mobil platforma olan parol generatoru ilə əlaqələndirməlisiniz.

iPhone-da OTP-ni aktivləşdirin

Mobil platformanın "Parametrlər" bölməsinə keçin və OTP elementini seçin. Bu bölməni ilk dəfə açdığınız zaman əlavə təhlükəsizlik üçün sizdən dörd rəqəmli parol təyin etməlisiniz. Parol generatoruna daxil olmaq üçün hər dəfə parol daxil edilməlidir.

Əlavə əmrlər:

Vaxtı sinxronlaşdırın - mobil cihazın vaxtını istinad serveri ilə sinxronlaşdırın. Dəqiqlik tələbi birdəfəlik parolun cari vaxt intervalına bağlı olması ilə bağlıdır və bu vaxt ticarət platforması və server tərəfində uyğun olmalıdır.

Android cihazında OTP-ni aktivləşdirin

"Hesablar" bölməsinə keçin mobil terminal və basın. Bu bölməni ilk dəfə açdığınız zaman əlavə təhlükəsizlik üçün sizdən dörd rəqəmli parol təyin etməlisiniz. Parol generatoruna daxil olmaq üçün hər dəfə parol daxil edilməlidir.

Açılan pəncərədə "Hesabla əlaqə" seçin.

Sonra, ticarət hesabının açıldığı serverin adını, hesab nömrəsini və onun üçün əsas parolu göstərin. Bağlama seçimi aktiv olaraq buraxılmalıdır. Göstərilən hesabı generatordan çıxarmaq niyyətindəsinizsə və artıq birdəfəlik parollardan istifadə etməyəcəksinizsə, o, söndürülməlidir.

Pəncərənin yuxarı hissəsində yerləşən "Link" düyməsini basdıqdan sonra ticarət hesabı generatorla əlaqələndiriləcək, müvafiq mesaj görünəcək.

Eynilə, siz generatorla qeyri-məhdud sayda ticarət hesabını əlaqələndirə bilərsiniz.

Birdəfəlik parol OTP bölməsinin yuxarı hissəsində göstərilir. Bunun altında mavi bir çubuq müddət göstəricisini göstərir parol verilmişdir. Vaxt bitdikdən sonra parol etibarsız olacaq və yenisi yaradılacaq.

Əlavə əmrlər:

Parolun dəyişdirilməsi - generatora daxil olmaq üçün parolu dəyişdirin.
Vaxtı sinxronlaşdırın - mobil cihazın vaxtını istinad serveri ilə sinxronlaşdırın. Dəqiqlik tələbi birdəfəlik parolun cari vaxt intervalına bağlı olması ilə əlaqədardır və bu vaxt müştəri terminalı və server tərəfində uyğun olmalıdır.

Platformada OTP-dən istifadə

Vasitəsilə qoşulmağa çalışarkən generatora bağladıqdan sonra ticarət platforması ticarət hesabından istifadə edərək birdəfəlik parol əlavə olaraq tələb olunacaq:

Birdəfəlik parol(birdəfəlik parol, OTP) yalnız bir seans üçün etibarlı paroldur. Birdəfəlik parolun etibarlılığı da müəyyən müddətlə məhdudlaşdırıla bilər. Birdəfəlik parolun statik paroldan üstünlüyü ondan ibarətdir ki, parol təkrar istifadə edilə bilməz. Beləliklə, uğurlu autentifikasiya sessiyasından məlumatları ələ keçirmiş təcavüzkar qorunan informasiya sisteminə daxil olmaq üçün kopyalanmış paroldan istifadə edə bilməz. Birdəfəlik parolların istifadəsi özlüyündə autentifikasiya üçün istifadə edilən rabitə kanalına aktiv müdaxilə əsasında hücumlardan qorunmur (məsələn, ortadakı adam hücumlarına qarşı).

Birdəfəlik parol yaratmaq üçün birdəfəlik parol generatoru istifadə olunur, yalnız mövcuddur verilmiş istifadəçi. Tipik olaraq, birdəfəlik parollar nömrələr dəsti kimi təqdim olunur və uzaqdan xidmət sistemlərinə daxil olmaq üçün istifadə olunur. Bu, daxili İnformasiya sistemləri təşkilatlar.

Bank sektorunda birdəfəlik parol təqdim etməyin ən çox yayılmış yolu bankın İnternet bankçılıq sistemində pul xərcləyən müştəriyə göndərdiyi SMS mesajıdır.

Bundan əlavə, birdəfəlik parollar bank tərəfindən skretch kart adlanan kartda verilə bilər - parolların silinə bilən qapağın arxasında gizləndiyi plastik kart. Bu halda, müştəri İnternet bankçılıq sistemindən birdəfəlik parolun (müəyyən seriya nömrəsi ilə) daxil edilməsi barədə göstəriş alaraq, kartdakı istədiyi nömrənin yanındakı örtüyü silir və kodu sistemə daxil edir.

Təcrübə olunur, lakin zaman keçdikcə çekdə birdəfəlik parolların siyahısının verilməsi üsulu aktuallığını itirir. Bir danışıq kartındakı parollar kimi, onlar da var ardıcıllıq nömrələri və İnternet bankçılıq sisteminin istiqaməti ilə daxil edilir.

Fırıldaqçılıqla mübarizədə banklar birdəfəlik parollardan yalnız təsdiq üçün deyil, getdikcə daha çox istifadə edirlər maliyyə əməliyyatları, həm də İnternet bankçılıq sisteminə ilkin giriş üçün.

Bəzi İnternet bankçılıq sistemləri birdəfəlik kodların elektron generatorunu təklif edir.

OTP yaratma alqoritmləri adətən təsadüfi ədədlərdən istifadə edir. Bu zəruridir, çünki əks halda əvvəlki parollara əsaslanaraq sonrakı parolları proqnozlaşdırmaq asan olardı. Xüsusi OTP alqoritmləri təfərrüatlarına görə çox dəyişir. Birdəfəlik parol yaratmaq üçün müxtəlif yanaşmalar aşağıda verilmişdir.

Əvvəlkilər əsasında yeni parol yaratmaq üçün riyazi alqoritmlərdən istifadə (parollar əslində zəncir təşkil edir və müəyyən ardıcıllıqla istifadə edilməlidir).
Şifrə təqdim edən server və müştəri arasında vaxt sinxronizasiyasına əsaslanır (parollar qısa müddət ərzində etibarlıdır).
Yeni parolun sorğuya (məsələn, server tərəfindən seçilmiş təsadüfi nömrə və ya daxil olan mesajın hissələri) və/yaxud sayğac əsasında qurulan riyazi alqoritmdən istifadə etməklə.

ATM vasitəsilə və ya istifadə etməklə istifadəçi ID və birdəfəlik parol əldə etməkSMS.

ATM vasitəsilə birdəfəlik parol.

Siz həmçinin Sberbank özünəxidmət cihazından istifadə edərək istifadəçi ID və daimi parol əldə edə bilərsiniz.Kartı daxil edirik, PİN kodu daxil edirik. Daha siyahıda "Sberbank Online-a qoşulun və" maddəsini seçin Mobil Bank"", yeni səhifəyə keçin. Burada "Birdəfəlik parolları çap et" sekmesini vurmalı və onları qəbz şəklində almalı olacaqsınız.

Hələ sistemə qoşulmamısınızsa, əvvəlcə "İdentifikator və şifrəni çap edin" maddəsini seçin və bu məlumatları qəbzdə alın. Bundan sonra kartı yenidən daxil edin, pin kodunu daxil edin və yuxarıda təsvir edilən bütün addımları təkrarlayın.

SMS vasitəsilə birdəfəlik parol.

Təhlükəsizlik məqsədilə sistemə daxil olarkən və ya riskli əməliyyatlar həyata keçirərkən birdəfəlik paroldan istifadə etməklə istifadəçinin əlavə autentifikasiyası həyata keçirilir.

Xidmətdən istifadə edən müştərilər birdəfəlik parol ala bilərlər mobil bank. Bank əməliyyat zamanı istifadəçinin mobil cihazına birdəfəlik parol göndərir. İstifadəçi parolun nəzərdə tutulduğu əməliyyatın parametrlərini özündə əks etdirən SMS mesajı alır. Nəzərə alın ki, birdəfəlik parol 5 dəqiqə ərzində və yalnız müəyyən bir hərəkətin tamamlanmasını təsdiqləmək üçün istifadə edilməlidir.

Diqqət! Birdəfəlik parol daxil etməzdən əvvəl SMS mesajında göstərilən təfərrüatlar ilə həyata keçirilən əməliyyatın təfərrüatlarını yoxlamaq lazımdır. Sberbank adından etmədiyiniz əməliyyatın təfərrüatları ilə mesajlar alınarsa, müvafiq formalarda birdəfəlik parol daxil etməyin və Sberbank işçiləri adından sizinlə əlaqə saxlasanız belə, onu heç kimə açıqlamayın. .