Internet autentifikatsiya
internet
internet
Autointifikatsiya - foydalanuvchi tomonidan taqdim etilgan identifikatorning haqiqiyligini tekshirish. Quyidagi kabi Internet xizmatlariga kirishda autointifikatsiya talab qilinadi:
- Elektron pochta
- web-forum
- ijtimoiy tarmoqlar
- Internet-banking
- to'lov tizimlari
- koorporativ veb-saytlar
- onlayn do'konlar .
Autointifikatsiyaning ijobiy natijasi (ishonch munosabatlarini o'rnatish va sessiya kalitini yaratishdan tashqari) foydalanuvchining avtorizatsiyasi, ya'ni unga o'z vazifalarini bajarish uchun belgilangan resurslarga kirish huquqini berishdir.
Autointifikatsiya usullari
tahrirResursning ahamiyatiga qarab, unga kirish uchun turli autointifikatsiya usullaridan foydalanish mumkin:
Resurs turi | Autointifikatsiya texnologiyasi |
---|---|
Oshkor etilishi jiddiy oqibatlarga olib kelmaydigan ma'lumotlarni o'z ichiga olgan axborot tizimlariga kirish uchun autointifikatsiya talab qilinadi. | Autointifikatsiya qilish uchun minimal talab qayta ishlatiladigan parollardan foydalanish hisoblanadi. |
Ruxsatsiz o'zgartirish, oshkor qilish yoki yo'q qilish katta zararga olib keladigan ma'lumotlarga kirish. | Bir martalik parollardan foydalanishni talab qiladi va boshqa barcha turdagi resurslarga kirish kuchli autentifikatsiyadan foydalanishni talab qiladi. |
Maxfiy ma'lumotlarning axborot tizimlariga kirish. | O'zaro kuchli autointifikatsiyadan foydalanishni talab qiladi. |
Autointifikatsiya usullarining tasnifi
tahrirIshonch darajasiga, tuzilishiga, tarmoq hususiyatlariga va obyektning uzoqligiga qarab, tekshirish bir tomonlama yoki o'zaro bo'lishi mumkin. Bir faktorli va kuchli (kriptografik) autointifikatsiya o'rtasida ham farq mavjud. Bir faktorli tizimlardan hozirgi vaqtda eng keng tarqalgani parolni autointifikatsiya qilish tizimlaridir. Foydalanuvchining identifikatori va paroli bor, bu faqat foydalanuvchiga (va ehtimol tizimga) ma'lum bo'lgan, autointifikatsiya qilish uchun foydalaniladigan maxfiy ma'lumotdir. Tizimning amalga oshirilishiga qarab, parol bir martalik yoki ko'p martalik bo'lishi mumkin. Keling, murakkablikni oshirish tamoyiliga asoslangan autointifikatsiyaning asosiy usullarini ko'rib chiqaylik.
Ushbu turdagi autointifikatsiyadan foydalanganda foydalanuvchi nomi va parol veb-so'rovning bir qismi sifatida kiritiladi ( HTTP POST yoki HTTP GET ). Paketni ushlab olgan har bir kishi maxfiy ma'lumotni osongina bilib oladi. Cheklangan kontent juda muhim bo'lmasa ham, bu usuldan foydalanmaslik yaxshiroqdir, chunki foydalanuvchi bir nechta web-saytlarda bir xil paroldan foydalanishi mumkin. Sophos so'rovlari shuni ko'rsatadiki, 2006 va 2009-yillarda foydalanuvchilarning 41% bank veb-sayti yoki mahalliy forum bo'lsin, barcha onlayn faoliyati uchun faqat bitta paroldan foydalanadi [1][2] . Shuningdek, parolni autointifikatsiya qilishning kamchiliklaridan biri bu xavfsizlikning past darajasidir - parolni josuslik qilish, taxmin qilish, taxmin qilish, ruxsatsiz shaxslarga oshkor qilish va hokazo.
Bu autointifikatsiya bo'lib, unda foydalanuvchi paroli istalganshaklda uzatiladi. Ko'rinishidan, parollarning maxfiylik darajasi nuqtai nazaridan, bu tur avvalgisidan unchalik farq qilmaydi, chunki tajovuzkor bu haqiqatan ham haqiqiy parolmi yoki shunchaki keshmi, farq qilmaydi: xabarni ushlab, u hali ham oxirgi nuqtaga kirish huquqiga ega. Ammo bu mutlaqo to'g'ri emas - parol har doim har bir ulanish uchun yangidan yaratiladigan ixtiyoriy belgilar qatori qo'shilishi bilan xeshlanadi. Shunday qilib, har bir ulanishda yangi parol keshi yaratiladi va uni ushlab qolish hech qanday natija bermaydi. Digest autointifikatsiyasi barcha mashhur serverlar va brauzerlar tomonidan qo'llab-quvvatlanadi.
Bu maqola birorta turkumga qoʻshilmagan. Iltimos, maqolaga aloqador turkumlar qoʻshib yordam qiling. (Aprel 2024) |
- ↑ „Employee password choices put business data at risk, Sophos poll reveals“ (en). www.sophos.com. 2009-yil 7-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2021-yil 3-dekabr.
- ↑ „Security at risk as one third of surfers admit they use the same password for all websites, Sophos reports“ (en). www.sophos.com. 2021-yil 8-avgustda asl nusxadan arxivlangan. Qaraldi: 2021-yil 3-dekabr.