УДК 551.521.3, 551.583
«ЦИФРЛЫЦ ЦАУШС1ЗД1КТ1 ЦАМТАМАСЫЗ ЕТУДЕГ1 ЕК1 ФАКТОРЛЫ АУТЕНТИФИКАЦИЯ: АВТОМАТТАНДЫРЫЛГАН ЖYЙЕЛЕРДЩ ОСАЛДЫЩТАРЫН АЗАЙТУ»
ЖАНСЕЙ1ТОВА М0ЛД1Р ЭБД1РЗАВДЫЗЫ
Л.Н.Гумилев атындагы Еуразия улттык университетшщ Акпараттык технологиялар факультетi, Акпараттык каушаздш кафедрасыныц магистранты, Астана, ^азакстан
Аннотация. Бул мацалада цифрлыц цаугпсгздгк саласындагы мацызды цуралдардыц 6ipi - ек1 факторлы аутентификацияныц (2FA) рвл1 мен оны автоматтандырылган ЖYйелерде цолданудыц тшмдшт царастырылады. Екг факторлы аутентификация цаутЫздттщ цосымша децгешн цамтамасыз етт, осалдыцтарды азайтуга жэне дербес ацпаратты цоргауга ыцпал етед1. Цифрлыц цау1пс1зд1кт1 кушейтудщ взектыт мен ацпараттыц ЖYйелердегi цау1пс1зд1кт1 арттыру мэселелер1 талцыланады. Мацалада ек1 факторлы аутентификацияны енгiзудiц ерекшелiктерi, оныц артыцшылыцтары мен шектеулерi талданады. K,азiргi элемдегi киберцауттер мен оларды болдырмау бойынша статистикалыц мэлiметтер усынылады.
Ty^h свздер: ею факторлы аутентификация, цифрлыц цаутЫздщ автоматтандырылган жуйелер, осалдыц, дербес мэлiметтердi цоргау.
Kipicne
Цифрлык технологиялар мен автоматтандырылган жYЙелер K^ipri замангы когамныц мацызды белштерше айналды. Бул технологиялар аркылы акпарат пен деректердщ кeлемi курт ecri, жэне сол себепт каушаздшке койылатын талаптар да жогарылады[1]. Осы орайда, ею факторлы аутентификация (2FA) акпараттык жYЙелеpдiц каушаздшн камтамасыз етуде кец таралган эдiс pетiнде пайда болды. Бул эдiс тек кана паpольдi енпзш кана коймай, косымша кауiпсiздiк факторлары аркылы колданушыныц аутентификациясын талап етедЦЗ].
^азipri уакытта цифрлык кауiпсiздiк барлык салаларда Yлкен мацызга ие, себебi цифрлык жYЙелеpде сакталатын деректердщ кундылыгы артуда. Мысалы, 2023 жылы ^азакстанда ■пркелген кибершабуылдардыц саны 25%-га артып, 12 000-нан астам дерек бузылганы белгiлi болды[4]. Бул эсipесе каржылык жэне мемлекеттiк секторларга катысты. Осындай сэттерде, деpектеpдi коргау куралдарыныц бipi pетiнде екi факторлы аутентификация колданушыныц дербес мэлiметтеpiн коргауга мYмкiндiк бердь Екi факторлы аутентификация (2FA) - бул колданушыныц жYЙеге кipген кезде ею тYpлi аутентификация элементiн колдануын талап ететiн процесс. Себебi ол тек бip парольмен шектелмейдi, ягни колданушыныц телефон нeмipiне немесе электрондык поштасына жiбеpiлетiн косымша кодтарды пайдаланады. Бул косымша факторлар автоматтандырылган жYЙелеpде руксатсыз кол жеткiзу мYмкiндiгiн азайтады[2]. 2022 жылгы есептерге сэйкес, 2FA енпзген компаниялар кибершабуылдардан кейiнгi каржылык шыгындарын 30%-га дейiн азайтты, ал жеке колданушылар арасында 2FA колдану олардыц аккаунттарыныц бузылу каупiн 95%-га дейiн тeмендеттi [4].
Екi факторлы аутентификация (2FA) жYЙесi эдетте ею тYPдегi деpектеpдi колдануды талап етедЦЗ]:
1. Бipiншi фактор - бул колданушыныц бiлуi кажет нэрсе, мысалы, купия сез, PIN-код немесе купия суракка жауап. Бул деректер колданушыныц есшде сакталатын акпарат болып табылады жэне кауiпсiздiктiц негiзгi децгейiн камтамасыз етедь Алайда, купия сездер киберкылмыскерлер Yшiн оцай алынатын акпарат болуы мYмкiн, себебi колданушылар кeбiнесе элаз немесе кайталанатын купия сeздеpдi пайдаланады. Зерттеулерге сэйкес, орташа колданушыныц 25-ке жуык аккаунты болса да, олардыц тек 5-10%-ында бipегей купия сeздеp колданылады, бул аккаунттарды бузуды жещлдетедЦ1].
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
6 О
2. Екiншi фактор - бул колданушыныц иелшнде болатын нэрсе. Бул фактор колданушыныц физикалык тYPде колында болуы тиiс курылгымен немесе мэлiметпен байланысты. Мобильдi курылгыга жiберiлетiн 6ip ретпк код, аппараттык токендер (мысалы, USB токендер немесе смарт-карталар), биометриялык деректер (саусак i3i, бет элпетi немесе кез торыныц сканерi), немесе аутентификация колданбалары (Google Authenticator, Microsoft Authenticator) кещнен колданылады. Мобильдi курылгыга ж1бершетш SMS-код немесе push-хабарлама аркылы жYзеге асырылатын екiншi фактор колданушыларга карапайым эрi ыцгайлы болып табылады. ^упия сез бен екiншi факторды бiрiктiру - акпараттык каушазд^щ сенiмдiлiгiн арттыратын механизм.
Алайды, казiргi тацда, хакерлер мен алаяктар купия сездердi бузудыц жаца эдiстерiн табуда. Кибершабуылдардыц непзп тYрлерi мыналарды камтиды[2]:
• Фишинг: колданушыларды жалган сайттарга кiргiзу немесе жалган хаттарды ашкызу аркылы купия акпаратты алдау жолымен алу.
• Brute force (шабуыл): эртYрлi купия сездердi автоматты тYPде кiргiзiп, жYЙеге кiруге талпыну.
• Мальваре: колданушыныц курылгысына зиянды багдарламаларды орнату аркылы дербес мэлiметтердi алу.
Екi факторлы аутентификация мундай шабуылдардыц алдын алуда мацызды рел аткарады. Заманауи технологиялар дамыган сайын, жогарыда айтып еткен екi факторлы аутентификация тYрлерi де дамып, кец колданыска енiп келедi. Дэлiрек, казiрri кездегi кеп таралымдагы екi факторлы аутентификация эдютерше шолу жасап, артыкшылыктары мен кем тустарын карастырайык.
1. Биометриялык аутентификация
Биометриялык аутентификация адамныц биометриялык мэлiметтерiне непзделген, ягни колданушыныц саусак iзi, бет элпетi, кез торы немесе дауысы аркылы жYЙеге кiру жYзеге асырылады. Бул эдю ец ыцгайлы эрi кауiпсiз аутентификация тэсшдершщ бiрi болып саналады, себебi биометриялык мэлiметтер жеке тулгага тэн жэне езгермейдг Статистика бойынша, 2022 жылы Apple компаниясыныц мэлiметтерi бойынша, iPhone колданушыларыныц 70%-ы Face ID немесе Touch ID функциясын колданады, бул биометриялык аутентификацияныц танымалдыгын керсетедь Сонымен катар, Statista зерттеуi керсеткендей, элемдеп биометриялык аутентификация нарыгы 2025 жылга карай 50%-га еседi деп кртлуде.[4]
Артыкшылыктары:
• Жогары децгейдегi каушаздш Саусак iзi, бет элпетi немесе кез торын бузу
киын.
• ^олданушыга ыцгайлы: ^упия сездi есте сактаудыц кажетi жок, курылгыга карап немесе саусакпен оцай басып кiру.
Шектеулерг
• Биометриялык курылгыларга тэуелдiлiк: ^урылгыныц iстен шыгуы немесе акаулыктар туындаган жагдайда аутентификациядан ету мYмкiн болмайды.
• Мобильдi курылгылардагы биометриялык деректердщ бузылу каупi: ^урылгыны урлау немесе биометриялык мэлiметтердi фальсификациялау кауiпi.
2. Аппараттык токендер
Аппараттык токендер физикалык курылгыларды пайдаланып аутентификация жасайды. Бул токендер колданушыныц бiр реттiк кодты немесе арнайы курылгыны пайдалану аркылы жYЙеге кiруiн талап етедь 2023 жылы YubiKey жэне баска аппараттык токендер элемде 20%-дан астам компанияларда колданылды. ZDNet зерттеуше сэйкес, аппараттык токендер фишингке карсы корганудыц тиiмдi эдiстерiнiц бiрi болып табылады.
Артыкшылыктары:
• Жогары каушаздш децгеш: курылгыны урлау немесе жою аркылы аутентификацияны бузу киын.
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
• Сешмдшк: Аппараттык токендер кебшесе аутентификацияньщ сешмдшгш арттырады жэне эсiресе фишингке карсы корганыс усынады.
Шектеулерi:
• курылгыга тэуелдiлiк: ^урылгыны жогалту немесе урлау аутентификацияныц бузылуына экелуi мYмкiн.
• ^урылгылардыц куны: Аппараттык токендер кымбат болуы мYмкiн.
3. Мобильдi косымшалар
Мобильдi косымшалар, мысалы, Google Authenticator жэне Microsoft Authenticator, уакыт непзшде генерацияланган бiр реттiк кодтарды усынады. 2023 жылы Google Authenticator жэне Microsoft Authenticator косымшалары элемдегi 30%-дан астам пайдаланушылар арасында колданылды. Statista мэлiметтерi бойынша, мобильдi косымшаларды колдану 2025 жылга карай 40%-га есуi мYмкiн.[4] Бул эдiс смартфонга орнатылатын косымша аркылы жYзеге асырылады.
Артыкшылыктары:
• ^олдану ыцгайлылыгы: Смартфон аркылы оцай кол жетюзу.
• ^осымша кауiпсiздiк: Кодтар уакытпен езгерiп отырады, бул кауiпсiздiктi арттырады.
Шектеулерi:
• курылгыга тэуелдiлiк: Егер смартфон жогалса немесе iстен шыкса, аутентификация жасау киын болады.
• ^осымша багдарламаларга тэуелдiлiк: ^осымшалардыц жацартылуы немесе кателiктерi кауiпсiздiкке эсер етуi мYмкiн.
4. SMS жэне E-mail кодтары
2023 жылы SMS жэне E-mail кодтары элемде 25%-дан астам колданушылар арасында пайдаланылды. ENISA мэлiметтерi бойынша, SMS кодтары фишинг шабуылдарына карсы тиiмдi, бiрак кейбiр жагдайларда олардыц тиiмдiлiгi темендеуi мYмкiн.[4]Бул эдiс кебiнесе уакытша кодтарды ж1бередь
Артыкшылыктары:
• ^олдану карапайымдылыгы: ^урылгылардыц кепшшгшде колжетiмдi.
• Темен кун: Бул эдю салыстырмалы тYPде арзан жэне жещл жYзеге асырылады.
Шектеулерi:
• ^аушаздш децгеш: SMS жэне E-mail кодтары фишингке немесе SMS-т интерсептациялауга ушырауы мYмкiн.
• ^урылгыларга тэуелдшк: Егер телефон немесе электрондык поштага KOлжетiмдiлiк жогалса, аутентификация жасау киын болады.
Жалпы, эр эдютщ артыкшылыктары мен шектеулерiн ескере отырып, оларды бiрiктiру немесе сэйкесiнше пайдалану колданушылар мен уйымдарга кауiпсiздiк пен ыцгайлылыкты тиiмдi тYPде камтамасыз етедi.
Ею факторлы аутентификацияныц ортак тиiмдiлiгi бойынша зерттеу: Google компаниясыныц зерттеуi керсеткендей, 2FA жYЙесiн пайдаланушылардыц аккаунттарыныц бузылуы 99%-га дейiн азаяды. Ал Statista деректерше сэйкес, 2023 жылы 6y^ элемде фишинг шабуылдары 1,6 миллиардка жеткен, жэне 2FA бул шабуылдардан корганудыц ец тиiмдi куралдарыныц бiрi болып табылады [4]. Эсiресе фишинг шабуылдарына карсы тиiмдi болып табылады, себебi екiншi факторды бiлу руксатсыз пайдаланушы Yшiн мYмкiн емес.
Корытынды
^азiрri замангы акпараттык кауiпсiздiк талаптарына сай болу Yшiн екi факторлы аутентификация жYЙесiн ендiру мацызды. Дербес деректердщ коргалуы жэне киберкауiптерден коргану шараларын кYшейту максатында, 2FA технологияларыныц колданылуы жYЙелердiц сенiмдiлiгiн арттырады. Заманауи автоматтандырылган жYЙелер Yшiн бул каушаздш шарасы колданушылардыц жеке мэлiметтерiн коргауга, компаниялар мен уйымдардыц киберкауiптерден сактануына мYмкiндiк бередi.
ОФ "Международный научно-исследовательский центр "Endless Light in Science"
^a3ipri тацда, ец жаксы жэне тиiмдi eKi факторлы аутентификация эдiстерi ретiнде аппараттык токендер мен биометриялык аутентификация эдiстeрi усынылады. Ce6e6i, аппаратты; токендер жогары каушаздш децгешн камтамасыз eтeдi жэне фишинг, киберкукык бузушылыктар жэне баска шабуылдарга карсы тиiмдi корганыс усынады. Олар жогары каушаздш талаптары бар уйымдар мен колданушылар Yшiн ете колайлы. Ал, биометриялык аутентификация колдану ьщгайлылыгы мен жогары кaуiпсiздiк децгешн камтамасыз етед^ бул оны кYндeлiктi колданыс Yшiн жэне орташа кaуiпсiздiк талаптары бар жагдайлар Yшiн тиiмдi етедг Смартфондар мен баска курылгыларда биометриялык эдiстeрдi пайдалану ете ыцгайлы эрi жылдам. Сонымен катар, шет елдерде кaзiр аппараттык токендер мен биометриялык аутентификацияныц комбинациясы ец жаксы тацдау болып табылады. Бул эдютердщ комбинациясы жогары кaуiпсiздiк дeцгeйiн камтамасыз етед^ мысалы, аппараттык токендер физикалык каушаздшке жауап берсе, биометриялык аутентификация ыцгайлы эрi жылдам кiрудi камтамасыз етедь
Бiрaк, эркашанда тацдау колданушыныц кажеттшп мен жYЙeнiц кaуiпсiздiк талаптарына байланысты болуы тиiс. Сол себептен де, ею факторлы аутентификация, болашакта киберкауштердщ алдын алу жэне дербес деректердщ коргалу дeцгeйiн арттырудыц ец тиiмдi эдiстeрiн элде де калыптастырады деп куплуде.
1. Халыкова "Кэаби окыту процeсiндe студeнттeрдiц сыни тургыдан ойлауын дамыту мэсeлeлeрiм // Абай атындагы ^аз¥ПУ ХАБАРШЫСЫ. Педагогикалык гылымдар сериясы. - No 1 (65), 2020. 101-106 б.
2. Телегенов А.Т. "Цифрлык жYЙeлeрдiц каушаздшн камтамасыз ету тэсiлдeрi" // ^азакстан гылымы. - 2019. 75-80 б.
3. Сешткалиев Н. "Акпараттык кaуiпсiздiктi камтамасыз етудеп заманауи эдiстeр" // Акпараттык технологиялар жэне каушаздш журналы. - 2021. 34-42 б.
4. Statista. "Global Phishing Attacks 2023 Report."
ЭДЕБИЕТТЕР
ОФ "Международный научно-исследовательский центр "Endless Light in Science"