වාර්තාවේ මාතෘකාවෙන් ස්පොයිලර්: "නව අවදානම් සහ නියාමන අවශ්යතා වල තර්ජනය හේතුවෙන් ශක්තිමත් සත්යාපනය භාවිතය වැඩි වේ."
පර්යේෂණ සමාගම "Javelin Strategy & Research" විසින් "The State of Strong Authentication 2019" වාර්තාව ප්රකාශයට පත් කළේය.) මෙම වාර්තාව පවසන්නේ: ඇමරිකානු සහ යුරෝපීය සමාගම් වලින් කුමන ප්රතිශතයක් මුරපද භාවිතා කරයි (සහ දැන් ස්වල්ප දෙනෙක් මුරපද භාවිතා කරන්නේ ඇයි); ගුප්ත ලේඛන ටෝකන මත පදනම් වූ ද්වි-සාධක සත්යාපනය භාවිතය ඉතා ඉක්මනින් වර්ධනය වන්නේ ඇයි; SMS හරහා යවන එක්-වරක් කේත ආරක්ෂිත නොවන්නේ ඇයි.
ව්යවසාය සහ පාරිභෝගික යෙදුම්වල සත්යාපනයේ වර්තමාන, අතීතය සහ අනාගතය ගැන උනන්දුවක් දක්වන ඕනෑම අයෙකු සාදරයෙන් පිළිගනිමු.
පරිවර්තකයාගෙන්
අහෝ, මෙම වාර්තාව ලියා ඇති භාෂාව තරමක් "වියළි" සහ විධිමත් ය. එක් කෙටි වාක්යයකින් “සත්යාපනය” යන වචනය පස් වතාවක් භාවිතා කිරීම පරිවර්තකයාගේ වංක අත් (හෝ මොළය) නොව කතුවරුන්ගේ අභිමතය පරිදි වේ. විකල්ප දෙකකින් පරිවර්තනය කිරීමේදී - පාඨකයන්ට මුල් පිටපතට සමීප පෙළක් හෝ වඩාත් රසවත් එකක් ලබා දීම සඳහා, මම සමහර විට පළමුවැන්න තෝරා ගත්තෙමි, සමහර විට දෙවැන්න. නමුත් ඉවසිලිවන්ත වන්න, හිතවත් පාඨකයින්, වාර්තාවේ අන්තර්ගතය වටිනවා.
කතාවට නොවැදගත් සහ අනවශ්ය කෑලි කිහිපයක් ඉවත් කර ඇත, එසේ නොවුවහොත් බහුතරයකට සම්පූර්ණ පෙළ හරහා යාමට නොහැකි වනු ඇත. "නොකැපූ" වාර්තාව කියවීමට කැමති අයට සබැඳිය අනුගමනය කිරීමෙන් මුල් භාෂාවෙන් එය කළ හැකිය.
අවාසනාවකට, කතුවරුන් පාරිභාෂිතය සමඟ සැමවිටම සැලකිලිමත් නොවේ. මේ අනුව, එක් වරක් මුරපද (එක් වර මුරපදය - OTP) සමහර විට "මුරපද" ලෙසද, සමහර විට "කේත" ලෙසද හැඳින්වේ. සත්යාපන ක්රම සමඟ එය වඩාත් නරක ය. “ගුප්ත ලේඛන යතුරු භාවිතයෙන් සත්යාපනය” සහ “ශක්තිමත් සත්යාපනය” එකම දෙයක් බව නුපුහුණු පාඨකයාට අනුමාන කිරීම සැමවිටම පහසු නොවේ. මම හැකිතාක් කොන්දේසි ඒකාබද්ධ කිරීමට උත්සාහ කළ අතර, වාර්තාවේම ඒවායේ විස්තරය සහිත කොටසක් ඇත.
එසේ වුවද, වාර්තාව කියවීම බෙහෙවින් නිර්දේශ කරනුයේ එහි අද්විතීය පර්යේෂණ ප්රතිඵල සහ නිවැරදි නිගමන අඩංගු වන බැවිනි.
සියලුම සංඛ්යා සහ කරුණු සුළු වෙනස්කම් නොමැතිව ඉදිරිපත් කර ඇති අතර, ඔබ ඒවාට එකඟ නොවන්නේ නම්, පරිවර්තකයා සමඟ නොව වාර්තාවේ කතුවරුන් සමඟ තර්ක කිරීම වඩා හොඳය. මෙන්න මගේ අදහස් (උපුටා දැක්වීම් ලෙස දක්වා ඇති අතර පෙළෙහි සලකුණු කර ඇත ඉතාලි) යනු මගේ වටිනාකම් විනිශ්චය වන අතර ඒ සෑම එකක් ගැනම (මෙන්ම පරිවර්තනයේ ගුණාත්මකභාවය ගැන) තර්ක කිරීමට මම සතුටු වෙමි.
දළ විශ්ලේෂණය
වර්තමානයේ, ගනුදෙනුකරුවන් සමඟ සන්නිවේදනයේ ඩිජිටල් නාලිකා ව්යාපාර සඳහා වෙන කවරදාටත් වඩා වැදගත් වේ. සමාගම තුළ, සේවකයින් අතර සන්නිවේදනය වෙන කවරදාටත් වඩා ඩිජිටල් ලෙස නැඹුරු වේ. තවද මෙම අන්තර්ක්රියා කෙතරම් ආරක්ෂිතද යන්න තීරණය වන්නේ පරිශීලක සත්යාපනයේ තෝරාගත් ක්රමය මතය. පරිශීලක ගිණුම් විශාල වශයෙන් හැක් කිරීමට ප්රහාරකයන් දුර්වල සත්යාපනය භාවිතා කරයි. ප්රතිචාර වශයෙන්, පරිශීලක ගිණුම් සහ දත්ත වඩා හොඳින් ආරක්ෂා කිරීමට ව්යාපාරවලට බල කිරීම සඳහා නියාමකයින් ප්රමිතීන් දැඩි කරයි.
සත්යාපනයට අදාළ තර්ජන පාරිභෝගික යෙදුම්වලින් ඔබ්බට විහිදේ; ප්රහාරකයන්ට ව්යවසාය තුළ ක්රියාත්මක වන යෙදුම් වෙත ප්රවේශය ලබා ගත හැකිය. මෙම මෙහෙයුම ඔවුන්ට ආයතනික පරිශීලකයන් ලෙස පෙනී සිටීමට ඉඩ සලසයි. දුර්වල සත්යාපනයක් සහිත ප්රවේශ ස්ථාන භාවිතා කරන ප්රහාරකයන්ට දත්ත සොරකම් කර වෙනත් වංචනික ක්රියාකාරකම් සිදු කළ හැක. වාසනාවකට මෙන්, මෙයට එරෙහිව සටන් කිරීමට පියවර තිබේ. ප්රබල සත්යාපනය පාරිභෝගික යෙදුම් සහ ව්යවසාය ව්යාපාර පද්ධති යන දෙකෙහිම ප්රහාරකයෙකුගේ ප්රහාරයේ අවදානම සැලකිය යුතු ලෙස අඩු කිරීමට උපකාරී වේ.
මෙම අධ්යයනය විමර්ශනය කරයි: අවසාන පරිශීලක යෙදුම් සහ ව්යවසාය ව්යාපාර පද්ධති ආරක්ෂා කිරීම සඳහා ව්යවසායන් සත්යාපනය ක්රියාත්මක කරන ආකාරය; සත්යාපන විසඳුමක් තෝරාගැනීමේදී ඔවුන් සලකා බලන සාධක; ශක්තිමත් සත්යාපනය ඔවුන්ගේ සංවිධානවල ඉටු කරන කාර්යභාරය; මෙම සංවිධානවලට ලැබෙන ප්රතිලාභ.
සාරාංශය
ප්රධාන සොයාගැනීම්
2017 සිට, ශක්තිමත් සත්යාපනය භාවිතය තියුනු ලෙස වැඩි වී ඇත. සාම්ප්රදායික සත්යාපන විසඳුම් වලට බලපාන අවදානම් සංඛ්යාව වැඩි වීමත් සමඟ, සංවිධාන ශක්තිමත් සත්යාපනයක් සමඟින් ඔවුන්ගේ සත්යාපන හැකියාවන් ශක්තිමත් කරයි. ගුප්ත ලේඛන බහු සාධක සත්යාපනය (MFA) භාවිතා කරන ආයතන සංඛ්යාව පාරිභෝගික යෙදුම් සඳහා 2017 සිට තුන් ගුණයකින් වැඩි වී ඇති අතර ව්යවසාය යෙදුම් සඳහා 50% කින් පමණ වැඩි වී ඇත. ජෛවමිතික සත්යාපනය වැඩි වීම හේතුවෙන් ජංගම සත්යාපනය තුළ වේගවත්ම වර්ධනයක් දක්නට ලැබේ.
“ගිගුරුම් දෙන තුරු මිනිසෙක් තමාව හරස් නොකරන්නේය” යන කියමන පිළිබඳ උපමාවක් මෙහි අපට පෙනේ. මුරපදවල අනාරක්ෂිත භාවය ගැන විශේෂඥයින් අනතුරු ඇඟවූ විට, ද්වි සාධක සත්යාපනය ක්රියාත්මක කිරීමට කිසිවෙකු ඉක්මන් නොවීය. හැකර්වරුන් මුරපද සොරකම් කිරීමට පටන් ගත් වහාම මිනිසුන් ද්වි සාධක සත්යාපනය ක්රියාත්මක කිරීමට පටන් ගත්හ.
පුද්ගලයන් 2FA වඩා ක්රියාකාරීව ක්රියාත්මක කරන බව ඇත්තකි. පළමුවෙන්ම, ස්මාර්ට්ෆෝන් තුළ ගොඩනගා ඇති ජෛවමිතික සත්යාපනය මත විශ්වාසය තැබීමෙන් ඔවුන්ගේ බිය සමනය කිරීම ඔවුන්ට පහසු වේ, එය ඇත්ත වශයෙන්ම ඉතා විශ්වාස කළ නොහැකි ය. සංවිධාන විසින් ටෝකන් මිලදී ගැනීම සඳහා මුදල් වියදම් කළ යුතු අතර ඒවා ක්රියාත්මක කිරීම සඳහා වැඩ (ඇත්ත වශයෙන්ම, ඉතා සරල) සිදු කළ යුතුය. දෙවනුව, ෆේස්බුක් සහ ඩ්රොප්බොක්ස් වැනි සේවාවන්ගෙන් මුරපද කාන්දු වීම ගැන ලියා නැති කම්මැලි අය පමණක් නොව, කිසිදු තත්වයක් යටතේ මෙම සංවිධානවල CIOs ආයතනවල මුරපද සොරකම් කළ ආකාරය (සහ ඊළඟට සිදු වූ දේ) පිළිබඳ කථා බෙදා නොගනී.
ශක්තිමත් සත්යාපනය භාවිතා නොකරන අය තම ව්යාපාරයට සහ ගනුදෙනුකරුවන්ට ඇති අවදානම අවතක්සේරු කරති. දැනට ප්රබල සත්යාපනයක් භාවිතා නොකරන සමහර ආයතන පරිශීලක සත්යාපනයේ වඩාත් ඵලදායී සහ භාවිතයට පහසු ක්රමයක් ලෙස පිවිසුම් සහ මුරපද බැලීමට නැඹුරු වේ. අනෙක් අයට ඔවුන් සතු ඩිජිටල් වත්කම්වල වටිනාකම නොපෙනේ. ඇත්ත වශයෙන්ම, සයිබර් අපරාධකරුවන් ඕනෑම පාරිභෝගික සහ ව්යාපාරික තොරතුරු ගැන උනන්දුවක් දක්වන බව සලකා බැලීම වටී. තම සේවකයින් සත්යාපනය කිරීම සඳහා මුරපද පමණක් භාවිතා කරන සමාගම්වලින් තුනෙන් දෙකක් එසේ කරන්නේ ඔවුන් ආරක්ෂා කරන තොරතුරු වර්ගය සඳහා මුරපද ප්රමාණවත් බව ඔවුන් විශ්වාස කරන බැවිනි.
කෙසේ වෙතත්, මුරපද සොහොන වෙත ගමන් කරයි. ආයතන විසින් සාම්ප්රදායික MFA භාවිතය සහ ශක්තිමත් සත්යාපනය වැඩි කරන බැවින් පාරිභෝගික සහ ව්යවසාය යෙදුම් සඳහා (පිළිවෙලින් 44% සිට 31% දක්වා සහ 56% සිට 47% දක්වා) මුරපද යැපීම පසුගිය වසර පුරා සැලකිය යුතු ලෙස පහත වැටී ඇත.
නමුත් අපි සමස්තයක් ලෙස තත්වය දෙස බැලුවහොත්, අවදානමට ලක්විය හැකි සත්යාපන ක්රම තවමත් පවතී. පරිශීලක සත්යාපනය සඳහා, ආයතනවලින් හතරෙන් එකක් පමණ ආරක්ෂක ප්රශ්න සමඟින් SMS OTP (එක් වර මුරපදය) භාවිත කරයි. එහි ප්රතිඵලයක් වශයෙන්, පිරිවැය වැඩි කරන අවදානමට එරෙහිව ආරක්ෂා කිරීම සඳහා අතිරේක ආරක්ෂක පියවරයන් ක්රියාත්මක කළ යුතුය. දෘඪාංග ගුප්ත ලේඛන යතුරු වැනි වඩා ආරක්ෂිත සත්යාපන ක්රම භාවිතය, සංවිධානවලින් 5%ක පමණ අඩුවෙන් නිතර භාවිතා වේ.
විකාශනය වන නියාමන පරිසරය පාරිභෝගික යෙදුම් සඳහා ශක්තිමත් සත්යාපනයක් ලබා ගැනීම වේගවත් කිරීමට පොරොන්දු වේ. PSD2 හඳුන්වාදීමත් සමඟ යුරෝපා සංගමයේ සහ කැලිෆෝනියා වැනි එක්සත් ජනපද ප්රාන්ත කිහිපයක නව දත්ත ආරක්ෂණ නීතිරීති සමඟ සමාගම්වලට උණුසුම දැනේ. සමාගම්වලින් 70% කට ආසන්න ප්රමාණයක් තම ගනුදෙනුකරුවන්ට ශක්තිමත් සත්යාපනයක් ලබා දීම සඳහා දැඩි නියාමන පීඩනයකට මුහුණ දෙන බවට එකඟ වෙති. ව්යවසායන්ගෙන් අඩකට වඩා විශ්වාස කරන්නේ වසර කිහිපයක් ඇතුළත ඔවුන්ගේ සත්යාපන ක්රම නියාමන ප්රමිතීන් සපුරාලීමට ප්රමාණවත් නොවන බවයි.
වැඩසටහන් සහ සේවාවන් භාවිතා කරන්නන්ගේ පුද්ගලික දත්ත ආරක්ෂා කිරීම සඳහා රුසියානු සහ ඇමරිකානු-යුරෝපීය නීති සම්පාදකයින්ගේ ප්රවේශයන් වල වෙනස පැහැදිලිව දැකගත හැකිය. රුසියානුවන් පවසන්නේ: ආදරණීය සේවා හිමිකරුවන්, ඔබට අවශ්ය දේ සහ ඔබට අවශ්ය ආකාරය කරන්න, නමුත් ඔබේ පරිපාලක දත්ත සමුදාය ඒකාබද්ධ කළහොත්, අපි ඔබට දඬුවම් කරන්නෙමු. ඔවුන් පිටරට කියනවා: ඔබ පියවර මාලාවක් ක්රියාත්මක කළ යුතුය ඉඩ දෙන්නේ නැහැ පදනම ඉවතට. දැඩි ද්වි සාධක සත්යාපනය සඳහා අවශ්යතා එහි ක්රියාත්මක වන්නේ එබැවිනි.
ඇත්ත, අපේ ව්යවස්ථාදායක යන්ත්රය යම් දිනක එහි සිහියට පැමිණ බටහිර අත්දැකීම් සැලකිල්ලට නොගන්නා බව සත්යයට වඩා බොහෝ සෙයින් වෙනස් ය. එවිට සෑම කෙනෙකුටම රුසියානු ගුප්ත ලේඛන ප්රමිතීන්ට අනුකූල වන 2FA ක්රියාත්මක කිරීමට අවශ්ය වන අතර, එය ඉක්මනින් සිදු වේ.
ශක්තිමත් සත්යාපන රාමුවක් ස්ථාපිත කිරීම මඟින් සමාගම්වලට තම අවධානය නියාමන අවශ්යතා සපුරාලීමේ සිට පාරිභෝගික අවශ්යතා සපුරාලීමට මාරු කිරීමට ඉඩ සලසයි. තවමත් සරල මුරපද භාවිතා කරන හෝ SMS හරහා කේත ලබා ගන්නා ආයතන සඳහා, සත්යාපන ක්රමයක් තෝරාගැනීමේදී වැදගත්ම සාධකය වනුයේ නියාමන අවශ්යතාවලට අනුකූල වීමයි. නමුත් දැනටමත් ශක්තිමත් සත්යාපනය භාවිතා කරන සමාගම් පාරිභෝගික පක්ෂපාතිත්වය වැඩි කරන එම සත්යාපන ක්රම තෝරා ගැනීම කෙරෙහි අවධානය යොමු කළ හැකිය.
ව්යවසායයක් තුළ ආයතනික සත්යාපන ක්රමයක් තෝරාගැනීමේදී, නියාමන අවශ්යතා තවදුරටත් සැලකිය යුතු සාධකයක් නොවේ. මෙම අවස්ථාවෙහිදී, ඒකාබද්ධ කිරීමේ පහසුව (32%) සහ පිරිවැය (26%) වඩා වැදගත් වේ.
තතුබෑම් යුගයේ, ප්රහාරකයින්ට වංචා කිරීමට ආයතනික විද්යුත් තැපෑල භාවිතා කළ හැකිය දත්ත, ගිණුම් (සුදුසු ප්රවේශ අයිතීන් සහිත) වෙත වංචනික ලෙස ප්රවේශය ලබා ගැනීමට සහ ඔහුගේ ගිණුමට මුදල් හුවමාරුවක් කිරීමට සේවකයන්ට ඒත්තු ගැන්වීමට පවා. එබැවින්, ආයතනික ඊමේල් සහ ද්වාර ගිණුම් විශේෂයෙන් හොඳින් ආරක්ෂා කළ යුතුය.
ශක්තිමත් සත්යාපනයක් ක්රියාත්මක කිරීමෙන් ගූගල් සිය ආරක්ෂාව ශක්තිමත් කර ඇත. වසර දෙකකට වඩා පෙර, ගූගල් විසින් FIDO U2F සම්මතය භාවිතා කරමින් ගුප්ත ලේඛන ආරක්ෂණ යතුරු මත පදනම් වූ ද්වි-සාධක සත්යාපනය ක්රියාත්මක කිරීම පිළිබඳ වාර්තාවක් ප්රකාශයට පත් කළ අතර, එය ආකර්ෂණීය ප්රතිඵල වාර්තා කළේය. සමාගමට අනුව, සේවකයින් 85 කට වැඩි පිරිසකට එරෙහිව එක තතුබෑම් ප්රහාරයක්වත් සිදු කර නැත.
නිර්දේශ
ජංගම සහ සබැඳි යෙදුම් සඳහා ශක්තිමත් සත්යාපනය ක්රියාත්මක කරන්න. ගුප්ත ලේඛන යතුරු මත පදනම් වූ බහු-සාධක සත්යාපනය සම්ප්රදායික MFA ක්රමවලට වඩා අනවසරයෙන් ඇතුළුවීමට එරෙහිව වඩා හොඳ ආරක්ෂාවක් සපයයි. ඊට අමතරව, ගුප්ත ලේඛන යතුරු භාවිතය වඩාත් පහසු වන්නේ අමතර තොරතුරු භාවිතා කිරීමට සහ මාරු කිරීමට අවශ්ය නොවන බැවිනි - මුරපද, එක් වරක් මුරපද හෝ ජෛවමිතික දත්ත පරිශීලකයාගේ උපාංගයේ සිට සත්යාපන සේවාදායකයට. මීට අමතරව, සත්යාපන ප්රොටෝකෝල ප්රමිතිකරණය කිරීම මඟින් නව සත්යාපන ක්රම ක්රියාත්මක කිරීම පහසු කරයි, ඒවා ක්රියාත්මක කිරීමේ පිරිවැය අඩු කරයි සහ වඩාත් සංකීර්ණ වංචා යෝජනා ක්රමවලින් ආරක්ෂා වේ.
එක්-වරක් මුරපද (OTP) නැතිවීම සඳහා සූදානම් වන්න. මෙම සත්යාපන මාධ්යයන් සම්මුතියට පත් කිරීම සඳහා සයිබර් අපරාධකරුවන් සමාජ ඉංජිනේරු විද්යාව, ස්මාට්ෆෝන් ක්ලෝනකරණය සහ අනිෂ්ට මෘදුකාංග භාවිතා කරන බැවින් OTP වල ආවේනික වූ දුර්වලතා වඩ වඩාත් පැහැදිලිව පෙනේ. සමහර අවස්ථාවල OTP වලට යම් වාසි තිබේ නම්, සියලුම පරිශීලකයින් සඳහා විශ්වීය ලබා ගැනීමේ දෘෂ්ටි කෝණයෙන් පමණක් මිස ආරක්ෂාවේ දෘෂ්ටි කෝණයෙන් නොවේ.
SMS හෝ Push දැනුම්දීම් හරහා කේත ලබා ගැනීම මෙන්ම ස්මාර්ට්ෆෝන් සඳහා වැඩසටහන් භාවිතා කරමින් කේත ජනනය කිරීම, ප්රතික්ෂේප කිරීම සඳහා සූදානම් වන ලෙස අපෙන් ඉල්ලා සිටින එකම එක-වර මුරපද (OTP) භාවිතා කිරීම බව නොදැන සිටිය නොහැක. තාක්ෂණික දෘෂ්ටි කෝණයකින්, විසඳුම ඉතා නිවැරදි ය, මන්ද එය රැවටිලිකාර පරිශීලකයෙකුගෙන් එක් වරක් මුරපදය සොයා ගැනීමට උත්සාහ නොකරන දුර්ලභ වංචාකාරයෙකි. නමුත් මම හිතන්නේ එවැනි පද්ධති නිෂ්පාදකයින් අන්තිම දක්වා මිය යන තාක්ෂණයට ඇලී සිටිනු ඇත.
පාරිභෝගික විශ්වාසය වැඩි කිරීමට අලෙවිකරණ මෙවලමක් ලෙස ශක්තිමත් සත්යාපනය භාවිතා කරන්න. ශක්තිමත් සත්යාපනයට ඔබේ ව්යාපාරයේ සැබෑ ආරක්ෂාව වැඩි දියුණු කිරීමට වඩා වැඩි යමක් කළ හැකිය. ඔබේ ව්යාපාරය ශක්තිමත් සත්යාපනයක් භාවිත කරන බව පාරිභෝගිකයින්ට දැනුම් දීමෙන් එම ව්යාපාරයේ ආරක්ෂාව පිළිබඳ මහජන අවබෝධය ශක්තිමත් කළ හැකිය—ශක්තිමත් සත්යාපන ක්රම සඳහා සැලකිය යුතු පාරිභෝගික ඉල්ලුමක් පවතින විට වැදගත් සාධකයකි.
ආයතනික දත්ත පිළිබඳ සවිස්තරාත්මක ඉන්වෙන්ටරි සහ විවේචනාත්මක තක්සේරුවක් සිදු කිරීම සහ වැදගත්කම අනුව එය ආරක්ෂා කිරීම. පාරිභෝගික සම්බන්ධතා තොරතුරු වැනි අඩු අවදානම් දත්ත පවා (නැත, ඇත්ත වශයෙන්ම, වාර්තාව පවසන්නේ “අඩු අවදානමක්”, ඔවුන් මෙම තොරතුරු වල වැදගත්කම අවතක්සේරු කිරීම ඉතා අමුතු දෙයක්), වංචාකරුවන්ට සැලකිය යුතු වටිනාකමක් ගෙන ඒමට සහ සමාගමට ගැටළු ඇති කළ හැකිය.
ශක්තිමත් ව්යවසාය සත්යාපනය භාවිතා කරන්න. පද්ධති ගණනාවක් අපරාධකරුවන් සඳහා වඩාත් ආකර්ෂණීය ඉලක්ක වේ. මේවාට ගිණුම්කරණ වැඩසටහනක් හෝ ආයතනික දත්ත ගබඩාවක් වැනි අභ්යන්තර සහ අන්තර්ජාලයට සම්බන්ධ පද්ධති ඇතුළත් වේ. ප්රබල සත්යාපනය මගින් ප්රහාරකයින්ට අනවසර ප්රවේශය ලබා ගැනීම වළක්වන අතර, අනිෂ්ට ක්රියාකාරකම සිදු කළේ කුමන සේවකයාද යන්න නිවැරදිව තීරණය කිරීමට ද හැකි වේ.
ශක්තිමත් සත්යාපනය යනු කුමක්ද?
ශක්තිමත් සත්යාපනය භාවිතා කරන විට, පරිශීලකයාගේ සත්යතාව තහවුරු කිරීමට ක්රම කිහිපයක් හෝ සාධක භාවිතා කරයි:
- දැනුම සාධකය: පරිශීලකයා සහ පරිශීලකයාගේ සත්යාපිත විෂය (මුරපද, ආරක්ෂක ප්රශ්නවලට පිළිතුරු වැනි) අතර බෙදාගත් රහස
- හිමිකාරත්ව සාධකය: පරිශීලකයාට පමණක් ඇති උපාංගයක් (උදාහරණයක් ලෙස, ජංගම උපාංගයක්, ගුප්ත ලේඛන යතුරක්, ආදිය)
- අඛණ්ඩතා සාධකය: පරිශීලකයාගේ භෞතික (බොහෝ විට ජෛවමිතික) ලක්ෂණ (උදාහරණයක් ලෙස, ඇඟිලි සලකුණු, අයිරිස් රටාව, කටහඬ, හැසිරීම, ආදිය)
විවිධ සාධක හැක් කිරීමේ අවශ්යතාවය ප්රහාරකයන්ට අසාර්ථක වීමේ සම්භාවිතාව බෙහෙවින් වැඩි කරයි, මන්ද විවිධ සාධක මඟ හැරීමට හෝ රැවටීමට එක් එක් සාධකය සඳහා වෙන වෙනම අනවසරයෙන් ඇතුළුවීමේ උපක්රම කිහිපයක් භාවිතා කිරීම අවශ්ය වේ.
උදාහරණයක් ලෙස, 2FA "මුරපදය + ස්මාර්ට් ජංගම දුරකථනය" සමඟින්, ප්රහාරකයෙකුට පරිශීලකයාගේ මුරපදය දෙස බලා ඔහුගේ ස්මාර්ට් ජංගම දුරකතනයේ නිවැරදි මෘදුකාංග පිටපතක් සාදා ගැනීමෙන් සත්යාපනය කළ හැකිය. තවද මෙය හුදෙක් මුරපදයක් සොරකම් කිරීමට වඩා ඉතා අපහසුය.
නමුත් 2FA සඳහා මුරපදයක් සහ ගුප්ත ලේඛන ටෝකනයක් භාවිතා කරන්නේ නම්, පිටපත් කිරීමේ විකල්පය මෙහි ක්රියා නොකරයි - ටෝකනය අනුපිටපත් කළ නොහැක. වංචනිකයාට පරිශීලකයාගෙන් ටෝකනය රහසිගතව සොරකම් කිරීමට අවශ්ය වනු ඇත. පරිශීලකයා නියමිත වේලාවට අලාභය දැක පරිපාලකයාට දැනුම් දෙන්නේ නම්, ටෝකනය අවහිර වන අතර වංචාකාරයාගේ උත්සාහය නිෂ්ඵල වනු ඇත. සාමාන්ය අරමුණු උපාංග (ස්මාර්ට්ෆෝන්) වෙනුවට විශේෂිත ආරක්ෂිත උපාංග (ටෝකන) භාවිතා කිරීම හිමිකාර සාධකයට අවශ්ය වන්නේ එබැවිනි.
මෙම සාධක තුනම භාවිතා කිරීම මෙම සත්යාපන ක්රමය ක්රියාත්මක කිරීමට බෙහෙවින් මිල අධික වන අතර භාවිතා කිරීමට තරමක් අපහසු වනු ඇත. එමනිසා, සාධක තුනෙන් දෙකක් සාමාන්යයෙන් භාවිතා වේ.
ද්වි සාධක සත්යාපනයේ මූලධර්ම වඩාත් විස්තරාත්මකව විස්තර කෙරේ , "ද්වි-සාධක සත්යාපනය ක්රියා කරන ආකාරය" කොටසේ.
ප්රබල සත්යාපනයේදී අවම වශයෙන් එක් සත්යාපන සාධකයක් පොදු යතුරු ගුප්තකේතනය භාවිතා කළ යුතු බව සැලකිල්ලට ගැනීම වැදගත්ය.
ප්රබල සත්යාපනය සම්භාව්ය මුරපද සහ සාම්ප්රදායික MFA මත පදනම් වූ තනි සාධක සත්යාපනයට වඩා ප්රබල ආරක්ෂාවක් සපයයි. Keyloggers, phishing sites, or social engineering attacks (වින්දිතයා තම මුරපදය හෙළි කිරීමට රවටා ඇති) භාවිතයෙන් මුරපද ඔත්තු බැලීමට හෝ බාධා කිරීමට හැකිය. එපමණක් නොව, මුරපදයේ හිමිකරු සොරකම ගැන කිසිවක් නොදනී. සාම්ප්රදායික MFA (OTP කේත, ස්මාර්ට් ජංගම දුරකතනයකට හෝ SIM කාඩ්පතකට බැඳීම ඇතුළුව) ද ඉතා පහසුවෙන් හැක් කළ හැකිය, මන්ද එය පොදු යතුරු ගුප්තකේතනය මත පදනම් නොවන නිසා (මාර්ගය වන විට, එකම සමාජ ඉංජිනේරු ශිල්පීය ක්රම භාවිතා කරමින්, වංචාකරුවන් පරිශීලකයින්ට එක් වරක් මුරපදයක් ලබා දීමට පෙළඹවූ විට බොහෝ උදාහරණ තිබේ.).
වාසනාවකට මෙන්, ශක්තිමත් සත්යාපනය සහ සාම්ප්රදායික MFA භාවිතය පසුගිය වසරේ සිට පාරිභෝගික සහ ව්යවසාය යෙදුම් දෙකෙහිම ආකර්ෂණය වෙමින් පවතී. පාරිභෝගික යෙදුම්වල ශක්තිමත් සත්යාපනය භාවිතය විශේෂයෙන් වේගයෙන් වර්ධනය වී ඇත. 2017 දී සමාගම් වලින් 5% ක් පමණක් එය භාවිතා කළේ නම්, 2018 දී එය දැනටමත් තුන් ගුණයකින් වැඩි විය - 16%. Public Key Cryptography (PKC) ඇල්ගොරිතම සඳහා සහය දක්වන ටෝකනවල පවතින වැඩි වීම මගින් මෙය පැහැදිලි කළ හැක. මීට අමතරව, PSD2 සහ GDPR වැනි නව දත්ත ආරක්ෂණ නීති රීති අනුගමනය කිරීමෙන් පසු යුරෝපීය නියාමකයින්ගේ පීඩනය වැඩි වීම යුරෝපයෙන් පිටත පවා දැඩි බලපෑමක් ඇති කර ඇත (රුසියාව ඇතුළු).
මෙම සංඛ්යා දෙස සමීපව බලමු. අපට පෙනෙන පරිදි, බහු සාධක සත්යාපනය භාවිතා කරන පුද්ගලික පුද්ගලයින්ගේ ප්රතිශතය වසර පුරා ආකර්ෂණීය 11% කින් වර්ධනය වී ඇත. තල්ලු දැනුම්දීම්, කෙටි පණිවුඩ සහ ජෛවමිතික වල ආරක්ෂාව විශ්වාස කරන අයගේ සංඛ්යාව වෙනස් වී නොමැති බැවින් මෙය පැහැදිලිවම මුරපද ලෝලීන්ගේ වියදමින් සිදු විය.
නමුත් ආයතනික භාවිතය සඳහා සාධක දෙකක සත්යාපනය සමඟ, දේවල් එතරම් හොඳ නැත. පළමුව, වාර්තාවට අනුව, මුරපද සත්යාපනයෙන් ටෝකන් වෙත මාරු කර ඇත්තේ සේවකයින්ගෙන් 5% ක් පමණි. දෙවනුව, ආයතනික පරිසරයක විකල්ප MFA විකල්ප භාවිතා කරන අයගේ සංඛ්යාව 4% කින් වැඩි වී ඇත.
මම විශ්ලේෂකයෙකු ලෙස ක්රීඩා කර මගේ අර්ථ නිරූපණය කිරීමට උත්සාහ කරමි. තනි පරිශීලකයින්ගේ ඩිජිටල් ලෝකයේ කේන්ද්රය වන්නේ ස්මාර්ට් ජංගම දුරකථනයයි. එමනිසා, බහුතරයක් උපාංගය ඔවුන්ට ලබා දෙන හැකියාවන් භාවිතා කිරීම පුදුමයක් නොවේ - ජෛවමිතික සත්යාපනය, කෙටි පණිවුඩ සහ තල්ලු දැනුම්දීම් මෙන්ම ස්මාර්ට් ජංගම දුරකතනයේම යෙදුම් විසින් ජනනය කරන ලද එක්-වරක් මුරපද. මිනිසුන් සාමාන්යයෙන් භාවිතා කරන මෙවලම් භාවිතා කරන විට ආරක්ෂාව සහ විශ්වසනීයත්වය ගැන සිතන්නේ නැත.
ප්රාථමික "සාම්ප්රදායික" සත්යාපන සාධක භාවිතා කරන්නන්ගේ ප්රතිශතය නොවෙනස්ව පවතින්නේ එබැවිනි. නමුත් කලින් මුරපද භාවිතා කළ අය ඔවුන් කොතරම් අවදානමක් දැයි වටහාගෙන ඇති අතර, නව සත්යාපන සාධකයක් තෝරාගැනීමේදී, ඔවුන් නවතම සහ ආරක්ෂිත විකල්පය තෝරා ගනී - ගුප්ත ලේඛන සංකේතයකි.
ආයතනික වෙළඳපොළ සම්බන්ධයෙන් ගත් කල, කුමන පද්ධති සත්යාපනය සිදු කරන්නේද යන්න තේරුම් ගැනීම වැදගත්ය. වින්ඩෝස් වසමකට පිවිසීම ක්රියාත්මක කර ඇත්නම්, ගුප්ත ලේඛන ටෝකන් භාවිතා වේ. 2FA සඳහා ඒවා භාවිතා කිරීමේ හැකියාව දැනටමත් Windows සහ Linux යන දෙකටම ගොඩනගා ඇත, නමුත් විකල්ප විකල්ප දිගු හා ක්රියාත්මක කිරීමට අපහසු වේ. මුරපද සිට ටෝකන් දක්වා 5% සංක්රමණය සඳහා බොහෝ දේ.
ආයතනික තොරතුරු පද්ධතියක 2FA ක්රියාත්මක කිරීම බොහෝ දුරට සංවර්ධකයින්ගේ සුදුසුකම් මත රඳා පවතී. ගුප්ත ලේඛන ඇල්ගොරිතම වල ක්රියාකාරිත්වය තේරුම් ගැනීමට වඩා සංවර්ධකයින්ට එක්-වරක් මුරපද උත්පාදනය කිරීම සඳහා සූදානම් කළ මොඩියුල ලබා ගැනීම පහසුය. සහ එහි ප්රතිඵලයක් වශයෙන්, තනි පුරනය වීම හෝ වරප්රසාදිත ප්රවේශ කළමනාකරණ පද්ධති වැනි ඇදහිය නොහැකි තරම් ආරක්ෂිත-විවේචනාත්මක යෙදුම් පවා දෙවන සාධකයක් ලෙස OTP භාවිතා කරයි.
සම්ප්රදායික සත්යාපන ක්රමවල බොහෝ දුර්වලතා
බොහෝ සංවිධාන උරුම තනි-සාධක පද්ධති මත රඳා පවතින අතර, සම්ප්රදායික බහු-සාධක සත්යාපනයේ දුර්වලතා වඩ වඩාත් පැහැදිලිව පෙනේ. එක්-වරක් මුරපද, සාමාන්යයෙන් අක්ෂර හයේ සිට අට දක්වා දිග, කෙටි පණිවුඩ හරහා බෙදා හරිනු ලැබේ, සත්යාපනයේ වඩාත් පොදු ආකාරය ලෙස පවතී (ඇත්ත වශයෙන්ම, මුරපද සාධකය හැර). ජනප්රිය මුද්රණාලයේ “ද්වි-සාධක සත්යාපනය” හෝ “දෙපියවර සත්යාපනය” යන වචන සඳහන් කළ විට, ඒවා සෑම විටම පාහේ SMS එක් වර මුරපද සත්යාපනය වෙත යොමු වේ.
මෙහිදී කතුවරයා ටිකක් වැරදියි. කෙටි පණිවුඩ හරහා එක් වරක් මුරපද ලබා දීම කිසි විටෙක සාධක දෙකක සත්යාපනයක් නොවීය. මෙය එහි පිරිසිදු ස්වරූපයෙන් පියවර දෙකක සත්යාපනයේ දෙවන අදියර වන අතර එහිදී පළමු අදියර ඔබගේ පිවිසුම සහ මුරපදය ඇතුළත් කරයි.
2016 දී, ජාතික ප්රමිති සහ තාක්ෂණ ආයතනය (NIST) කෙටි පණිවුඩ හරහා යවන එක් වරක් මුරපද භාවිතය ඉවත් කිරීම සඳහා එහි සත්යාපන නීති යාවත්කාලීන කරන ලදී. කෙසේ වෙතත්, කර්මාන්ත විරෝධතා හේතුවෙන් මෙම නීති සැලකිය යුතු ලෙස ලිහිල් කරන ලදී.
එබැවින්, අපි කුමන්ත්රණය අනුගමනය කරමු. යල් පැන ගිය තාක්ෂණයට පරිශීලක ආරක්ෂාව සහතික කිරීමට හැකියාවක් නොමැති බවත් නව ප්රමිතීන් හඳුන්වා දෙන බවත් ඇමරිකානු නියාමකයා නිවැරදිව හඳුනා ගනී. සබැඳි සහ ජංගම යෙදුම් භාවිතා කරන්නන් ආරක්ෂා කිරීම සඳහා නිර්මාණය කර ඇති ප්රමිති (බැංකු ඇතුළුව). කර්මාන්තය සැබවින්ම විශ්වාසදායක ගුප්ත ලේඛන ටෝකන මිලදී ගැනීම, යෙදුම් ප්රතිනිර්මාණය කිරීම, පොදු යතුරු යටිතල ව්යූහයක් යෙදවීම සඳහා කොපමණ මුදලක් වැය කළ යුතුද යන්න ගණනය කරමින් සිටින අතර “එහි පසුපස කකුල් මත ඉහළ යයි”. එක් අතකින්, පරිශීලකයින් එක් වරක් මුරපද වල විශ්වසනීයත්වය ගැන ඒත්තු ගැන්වූ අතර, අනෙක් අතට, NIST මත ප්රහාර එල්ල විය. එහි ප්රතිඵලයක් වශයෙන්, සම්මතය මෘදු වූ අතර, මුරපද (සහ බැංකු යෙදුම් වලින් මුදල්) හැක් කිරීම් සහ සොරකම් සංඛ්යාව තියුනු ලෙස වැඩි විය. නමුත් කර්මාන්තයට මුදල් වියදම් කිරීමට සිදු නොවීය.
එතැන් සිට, SMS OTP හි ආවේනික දුර්වලතා වඩාත් පැහැදිලිව පෙනෙන්නට තිබේ. SMS පණිවිඩ සම්මුතියක් සඳහා වංචාකරුවන් විවිධ ක්රම භාවිතා කරයි:
- SIM කාඩ්පත් අනුපිටපත් කිරීම. ප්රහාරකයන් සිම් පිටපතක් සාදයි (ජංගම ක්රියාකරු සේවකයින්ගේ සහාය ඇතිව හෝ ස්වාධීනව, විශේෂ මෘදුකාංග සහ දෘඩාංග භාවිතා කරමින්) එහි ප්රතිඵලයක් වශයෙන්, ප්රහාරකයාට එක් වරක් මුරපදයක් සහිත කෙටි පණිවුඩයක් ලැබේ. එක් විශේෂයෙන් ප්රසිද්ධ නඩුවකදී, හැකර්වරුන්ට ගුප්තකේතන මුදල් ආයෝජක මයිකල් ටර්පින්ගේ AT&T ගිණුම සම්මුතියක් ඇති කර ගැනීමටත්, ඩොලර් මිලියන 24කට ආසන්න ගුප්තකේතන මුදල් සොරකම් කිරීමටත් හැකි විය. එහි ප්රතිඵලයක් වශයෙන්, SIM කාඩ්පත් අනුපිටපත් කිරීමට තුඩු දුන් දුර්වල සත්යාපන ක්රියාමාර්ග හේතුවෙන් AT&T දෝෂ සහිත බව Turpin ප්රකාශ කළේය.
පුදුම තර්කනය. ඉතින් ඒක ඇත්තටම වරද AT&T ගේ විතරද? නැත, සන්නිවේදන ගබඩාවේ විකුණුම්කරුවන් විසින් අනුපිටපත් සිම් කාඩ්පතක් නිකුත් කිරීම ජංගම ක්රියාකරුගේ වරදක් බවට සැකයක් නැත. cryptocurrency හුවමාරු සත්යාපන පද්ධතිය ගැන කුමක් කිව හැකිද? ඔවුන් ශක්තිමත් ගුප්ත ලේඛන සංකේත භාවිතා නොකළේ ඇයි? ක්රියාත්මක කිරීම සඳහා මුදල් වියදම් කිරීම අනුකම්පාවක්ද? වරද මයිකල්ම නොවේද? සත්යාපන යාන්ත්රණය වෙනස් කිරීමට හෝ ගුප්ත ලේඛන ටෝකන මත පදනම් වූ ද්වි-සාධක සත්යාපනය ක්රියාත්මක කරන හුවමාරු පමණක් භාවිතා කිරීමට ඔහු අවධාරනය නොකළේ මන්ද?
සැබවින්ම විශ්වාසදායක සත්යාපන ක්රම හඳුන්වාදීම ප්රමාද වන්නේ පරිශීලකයින් අනවසරයෙන් ඇතුළුවීමට පෙර පුදුමාකාර නොසැලකිලිමත්කමක් පෙන්වන නිසාත්, පසුව ඔවුන් පැරණි සහ “කාන්දු වූ” සත්යාපන තාක්ෂණයන් හැර වෙනත් ඕනෑම කෙනෙකුට සහ ඕනෑම දෙයක් මත ඔවුන්ගේ කරදරවලට දොස් පවරන බැවිනි.
- අනිෂ්ට මෘදුකාංග. ජංගම අනිෂ්ට මෘදුකාංගවල මුල්ම කාර්යයක් වූයේ ප්රහාරකයන්ට කෙටි පණිවිඩ බාධා කර යැවීමයි. එසේම, මෑන්-ඉන්-ද-බ්රවුසරය සහ මැන්-ඉන්-ද-මැද ප්රහාර ආසාදිත ලැප්ටොප් හෝ ඩෙස්ක්ටොප් උපාංග මත එක් වරක් මුරපද ඇතුළත් කළ විට ඒවාට බාධා කළ හැක.
ඔබගේ ස්මාර්ට් ජංගම දුරකතනයේ Sberbank යෙදුම තත්ව තීරුවේ හරිත නිරූපකයක් දැල්වෙන විට, එය ඔබගේ දුරකථනයේ "අනිෂ්ට මෘදුකාංග" ද සොයයි. මෙම සිදුවීමේ අරමුණ වන්නේ සාමාන්ය ස්මාර්ට් ජංගම දුරකතනයක විශ්වාස නොකළ ක්රියාත්මක පරිසරය අවම වශයෙන් යම් ආකාරයකින් විශ්වාසදායක එකක් බවට පත් කිරීමයි.
මාර්ගය වන විට, ස්මාර්ට් ජංගම දුරකතනයක්, ඕනෑම දෙයක් කළ හැකි සම්පූර්ණයෙන්ම විශ්වාස නොකළ උපාංගයක් ලෙස, එය සත්යාපනය සඳහා භාවිතා කිරීමට තවත් හේතුවකි. දෘඪාංග ටෝකන පමණි, ආරක්ෂිත සහ වෛරස් සහ ට්රෝජන් වලින් තොරයි. - සමාජ ඉංජිනේරු විද්යාව. වින්දිතයෙකුට SMS හරහා OTP සක්රීය කර ඇති බව වංචාකරුවන් දන්නා විට, ඔවුන්ට දැන් ලැබුණු කේතය ලබා දීමට වින්දිතයා රවටා ගැනීමට, ඔවුන්ගේ බැංකුව හෝ ණය සමිතිය වැනි විශ්වාසදායක සංවිධානයක් ලෙස පෙනී සිටිමින් වින්දිතයා කෙලින්ම සම්බන්ධ කර ගත හැකිය.
මම මේ ආකාරයේ වංචාවකට බොහෝ වාරයක් පෞද්ගලිකව මුහුණ දී ඇත, උදාහරණයක් ලෙස, ජනප්රිය ඔන්ලයින් මැක්කන් වෙළඳපොලේ යමක් විකිණීමට උත්සාහ කරන විට. මගේ හිතේ හැටියට මාව රවට්ටන්න හදපු වංචාකාරයාට මමම විහිළු කළා. නමුත් අහෝ, වංචාකරුවන්ගේ තවත් ගොදුරක් “හිතුවේ නැත”, තහවුරු කිරීමේ කේතය ලබා දී විශාල මුදලක් අහිමි වූ ආකාරය මම නිතිපතා ප්රවෘත්තිවල කියෙව්වා. සහ මේ සියල්ල බැංකුව සරලවම එහි යෙදුම්වල ගුප්තකේතන සංකේත ක්රියාත්මක කිරීම සමඟ කටයුතු කිරීමට අවශ්ය නොවේ. ඇත්ත වශයෙන්ම, යමක් සිදුවුවහොත්, සේවාදායකයින්ට "තමන්ටම දොස් පැවරිය යුතුය."
විකල්ප OTP බෙදා හැරීමේ ක්රම මගින් මෙම සත්යාපන ක්රමයේ සමහර අවදානම් අවම කළ හැකි අතර, අනෙකුත් අවදානම් පවතී. අනිෂ්ට මෘදුකාංගවලට පවා කේත උත්පාදක යන්ත්රය සමඟ සෘජුව අන්තර් ක්රියා කළ නොහැකි බැවින් ස්වාධීන කේත උත්පාදන යෙදුම් අනවසරයෙන් ඇසීමට එරෙහිව හොඳම ආරක්ෂාව වේ (බරපතල ලෙස? වාර්තාවේ කතුවරයාට දුරස්ථ පාලකය අමතකද?), නමුත් බ්රවුසරයට ඇතුළු වූ විට OTP තවමත් බාධා කළ හැක (උදාහරණයක් ලෙස Keylogger භාවිතා කිරීම), හැක් කරන ලද ජංගම යෙදුමක් හරහා; සහ සමාජ ඉංජිනේරු විද්යාව භාවිතයෙන් පරිශීලකයාගෙන් සෘජුවම ලබා ගත හැක.
උපාංග හඳුනාගැනීම වැනි බහු අවදානම් තක්සේරු මෙවලම් භාවිතා කිරීම (නීත්යානුකූල පරිශීලකයෙකුට අයත් නොවන උපාංගවලින් ගනුදෙනු සිදු කිරීමට දරන උත්සාහයන් හඳුනා ගැනීම), භූ පිහිටීම (මොස්කව් වෙත පැමිණ ඇති පරිශීලකයෙකු Novosibirsk වෙතින් මෙහෙයුමක් කිරීමට උත්සාහ කරයි) සහ චර්යාත්මක විශ්ලේෂණ අවදානම් ආමන්ත්රණය කිරීම සඳහා වැදගත් වේ, නමුත් විසඳුම ද කෝකටත් තෛලයක් නොවේ. එක් එක් තත්ත්වය සහ දත්ත වර්ගය සඳහා, අවදානම් හොඳින් තක්සේරු කිරීම සහ භාවිතා කළ යුතු සත්යාපන තාක්ෂණය තෝරා ගැනීම අවශ්ය වේ.
කිසිදු සත්යාපන විසඳුමක් කෝකටත් තෛලයක් නොවේ
රූපය 2. සත්යාපන විකල්ප වගුව
| සත්යාපනය | සාධකය | විස්තර | ප්රධාන දුර්වලතා |
| මුරපදය හෝ PIN අංකය | දැනුම | අකුරු, අංක සහ වෙනත් අක්ෂර ගණනාවක් ඇතුළත් කළ හැකි ස්ථාවර අගය | අල්ලා ගැනීමට, ඔත්තු බැලීමට, සොරකම් කිරීමට, අහුලා ගැනීමට හෝ කපා කොටා ගැනීමට හැකිය |
| දැනුම පදනම් වූ සත්යාපනය | දැනුම | නීත්යානුකූල පරිශීලකයෙකුට පමණක් දැනගත හැකි පිළිතුරු ප්රශ්න කරයි | සමාජ ඉංජිනේරු ක්රම භාවිතා කර අල්ලා ගැනීම, ලබා ගැනීම, ලබා ගත හැක |
| දෘඪාංග OTP () | සන්තකයේ තබා ගැනීම | එක් වරක් මුරපද උත්පාදනය කරන විශේෂ උපාංගයකි | කේතය බාධා කර නැවත නැවතත්, හෝ උපාංගය සොරකම් කළ හැකිය |
| මෘදුකාංග OTPs | සන්තකයේ තබා ගැනීම | එක් වරක් මුරපද උත්පාදනය කරන යෙදුමක් (ජංගම, බ්රවුසරයක් හරහා ප්රවේශ විය හැකි හෝ විද්යුත් තැපෑලෙන් කේත යැවීම) | කේතය බාධා කර නැවත නැවතත්, හෝ උපාංගය සොරකම් කළ හැකිය |
| SMS OTP | සන්තකයේ තබා ගැනීම | එක්-වරක් මුරපදය SMS කෙටි පණිවිඩයක් හරහා ලබා දෙන ලදී | කේතය බාධා කර නැවත නැවතත් කළ හැකිය, නැතහොත් ස්මාර්ට් ජංගම දුරකථනය හෝ SIM කාඩ්පත සොරකම් කළ හැකිය, නැතහොත් SIM කාඩ්පත අනුපිටපත් විය හැකිය |
| ස්මාර්ට් කාඩ්පත් () | සන්තකයේ තබා ගැනීම | සත්යාපනය සඳහා පොදු යතුරු යටිතල පහසුකම් භාවිතා කරන ගුප්ත ලේඛන චිපයක් සහ ආරක්ෂිත යතුරු මතකයක් අඩංගු කාඩ්පතක් | භෞතිකව සොරකම් කළ හැකිය (නමුත් PIN කේතය නොදැන ප්රහාරකයෙකුට උපාංගය භාවිතා කිරීමට නොහැකි වනු ඇත; වැරදි ආදාන උත්සාහයන් කිහිපයකදී, උපාංගය අවහිර කරනු ලැබේ) |
| ආරක්ෂක යතුරු - ටෝකන (, ) | සන්තකයේ තබා ගැනීම | සත්යාපනය සඳහා පොදු යතුරු යටිතල පහසුකම් භාවිතා කරන ගුප්ත ලේඛන චිපයක් සහ ආරක්ෂිත යතුරු මතකයක් අඩංගු USB උපාංගයක් | භෞතිකව සොරකම් කළ හැකිය (නමුත් ප්රහාරකයෙකුට PIN කේතය නොදැන උපාංගය භාවිතා කිරීමට නොහැකි වනු ඇත; වැරදි ඇතුළත් කිරීමේ උත්සාහයන් කිහිපයකදී, උපාංගය අවහිර කරනු ලැබේ) |
| උපාංගයකට සම්බන්ධ කිරීම | සන්තකයේ තබා ගැනීම | පැතිකඩක් නිර්මාණය කරන ක්රියාවලිය, බොහෝ විට ජාවාස්ක්රිප්ට් භාවිතා කිරීම හෝ විශේෂිත උපාංගයක් භාවිතා කරන බව සහතික කිරීම සඳහා කුකීස් සහ ෆ්ලෑෂ් බෙදාගත් වස්තු වැනි සලකුණු භාවිතා කිරීම | ටෝකන සොරකම් කළ හැකිය (පිටපත් කළ හැක), සහ නෛතික උපාංගයක ලක්ෂණ ප්රහාරකයෙකුට ඔහුගේ උපාංගයේ අනුකරණය කළ හැකිය. |
| හැසිරීම | ආවේණිකත්වය | පරිශීලකයා උපාංගයක් හෝ වැඩසටහනක් සමඟ අන්තර්ක්රියා කරන ආකාරය විශ්ලේෂණය කරයි | හැසිරීම අනුකරණය කළ හැකිය |
| ඇඟිලි සලකුණු | ආවේණිකත්වය | ගබඩා කර ඇති ඇඟිලි සලකුණු දෘශ්ය හෝ ඉලෙක්ට්රොනිකව ග්රහණය කරගත් ඒවා සමඟ සංසන්දනය කෙරේ | රූපය සොරකම් කර සත්යාපනය සඳහා භාවිතා කළ හැකිය |
| අක්ෂි ස්කෑන් | ආවේණිකත්වය | නව දෘශ්ය ස්කෑන් සමඟ අයිරිස් රටාව වැනි අක්ෂි ලක්ෂණ සංසන්දනය කරයි | රූපය සොරකම් කර සත්යාපනය සඳහා භාවිතා කළ හැකිය |
| මුහුණු හඳුනාගැනීම | ආවේණිකත්වය | මුහුණේ ලක්ෂණ නව ඔප්ටිකල් ස්කෑන් සමඟ සංසන්දනය කෙරේ | රූපය සොරකම් කර සත්යාපනය සඳහා භාවිතා කළ හැකිය |
| හඬ හඳුනාගැනීම | ආවේණිකත්වය | පටිගත කරන ලද හඬ සාම්පලයේ ලක්ෂණ නව සාම්පල සමඟ සංසන්දනය කෙරේ | වාර්තාව සොරකම් කර සත්යාපනය සඳහා භාවිතා කළ හැකිය, නැතහොත් අනුකරණය කළ හැකිය |
ප්රකාශනයේ දෙවන කොටසේ, වඩාත්ම රසවත් දේවල් අප බලා සිටී - අංක සහ කරුණු, පළමු කොටසේ දක්වා ඇති නිගමන සහ නිර්දේශ පදනම් වී ඇත. පරිශීලක යෙදුම්වල සහ ආයතනික පද්ධතිවල සත්යාපනය වෙන වෙනම සාකච්ඡා කරනු ඇත.
ඉක්මනට ඔයාව බලන්න!
මූලාශ්රය: www.habr.com