Mavzu: internetda mavjud eliktiron tulovlar xafzizligini taminlash


Download 168.5 Kb.
bet11/13
Sana16.06.2023
Hajmi168.5 Kb.
#1494364
1   ...   5   6   7   8   9   10   11   12   13
Bog'liq
INTERNETDA MAVJUD ELIKTIRON TULOVLAR XAFZIZLIGINI TAMINLASH.

5. Shaxsiy identifikatsiya raqami.
Bank kartasi egasini aniqlashning tasdiqlangan usuli bu maxfiy shaxsiy identifikatsiya raqami (PIN) dan foydalanishdir. PIN -kod faqat karta egasiga ma'lum bo'lishi kerak. PIN-kodning uzunligi etarlicha katta bo'lishi kerak, shunda tajovuzkor qo'pol kuch yordamida to'g'ri qiymatni taxmin qilish ehtimoli juda kichik. Boshqa tomondan, PIN -kod uzunligi karta egalariga uning ma'nosini eslab qolish uchun etarlicha qisqa bo'lishi kerak. Tavsiya etilgan PIN-kod uzunligi 4 ... 8 o'nlik raqam, lekin 12 tagacha bo'lishi mumkin.
Aytaylik, PIN-kod to'rtta raqamdan iborat bo'lsa, bank kartasi uchun PIN-kodni tanlashga urinayotgan raqib o'n mingta imkoniyatdan birini tanlash muammosiga duch keladi. Agar PIN kodni noto'g'ri kiritishga urinishlar soni har bir karta uchun kuniga beshta bo'lsa, bu raqibning muvaffaqiyat ehtimoli 2000 yilda 1 tadan kam. Ammo ertasi kuni raqib yana urinib ko'rishi mumkin va uning imkoniyatlari 1: 1000 ga ko'tariladi. Har bir keyingi kun dushmanning muvaffaqiyatga erishish imkoniyatini oshiradi. Shu sababli, ko'pgina banklar bunday hujumni istisno qilish uchun kartaga PIN-kodni noto'g'ri kiritishga urinishlar soniga mutlaq cheklov qo'yadilar. Agar limit oshib ketgan bo'lsa, karta noto'g'ri deb hisoblanadi va olib qo'yiladi.
PIN-kod qiymati bank kartasining tegishli atributlari bilan bir ma'noda bog'langan, shuning uchun PIN-kod karta egasining imzosi sifatida talqin qilinishi mumkin. Tranzaksiyani boshlash uchun POS-terminaldan foydalanuvchi karta egasi o‘z kartasini maxsus Reader slotiga joylashtiradi va terminalning maxsus klaviaturasi yordamida o‘z PIN-kodini kiritadi. Agar kiritilgan PIN-kod va kartaning magnit chizig'ida yozilgan mijozning hisob raqami bir-biriga mos kelsa, u holda tranzaksiya boshlanadi.
Bank kartasi uchun shaxsiy identifikatsiya raqamining PIN kodini himoya qilish butun to'lov tizimining xavfsizligi uchun juda muhimdir. Bank kartalari yo'qolishi, o'g'irlanishi yoki buzilishi mumkin. Bunday hollarda ruxsatsiz kirishga qarshi yagona chora PIN-kodning maxfiy qiymati bo'lib qoladi. Shuning uchun ochiq PIN-kod shakli faqat qonuniy karta egasiga ma'lum bo'lishi kerak. U hech qachon elektron to'lov tizimi doirasida saqlanmaydi yoki uzatilmaydi. Shubhasiz, PIN-kod qiymati kartaning butun amal qilish muddati davomida sir saqlanishi kerak.
PIN-kod qiymatini yaratish usuli elektron to'lov tizimining xavfsizligiga sezilarli ta'sir ko'rsatadi. Umuman olganda, shaxsiy identifikatsiya raqamlarini bank yoki karta egalari yaratishi mumkin. Xususan, mijoz PIN -kodning ikki turini ajratadi:
* unga kartani chiqargan bank tomonidan berilgan PIN-kod;
* PIN -kodni karta egasining o'zi tanlagan.
Agar PIN -kod bank tomonidan tayinlangan bo'lsa, bank odatda PIN -kod yaratish uchun ikkita variantdan birini ishlatadi.
Birinchi variantda PIN kod karta egasining hisob raqamidan kriptografik tarzda ishlab chiqariladi. Hisob raqamidan belgilangan PIN -kodni yaratish jarayoni rasmda ko'rsatilgan. 3. Birinchidan, mijozning hisob raqami 16 o'n oltilik raqamga (8 bayt) nol yoki boshqa konstanta bilan to'ldiriladi. Olingan 8 bayt keyinchalik maxfiy kalit yordamida DES shifrlanadi. Qabul qilingan 8 bayt uzunlikdagi shifrlangan matndan eng kam ahamiyatli baytdan boshlab 4 bitli bloklar navbatma-navbat ajratiladi. Agar bu bitlardan hosil bo'lgan raqam 10 dan kichik bo'lsa, natijada olingan raqam PIN -kodga kiritiladi, aks holda bu qiymat ishlatilmaydi. Hamma 64 bit (8 bayt) shu tarzda qayta ishlanadi.
Ushbu protseduraning aniq afzalligi shundaki, PIN-kodni elektron to'lov tizimi ichida saqlash shart emas. Ushbu yondashuvning nochorligi shundaki, agar PIN kodni o'zgartirish talab etilsa, yangi mijoz hisobi yoki yangi kriptografik kalit tanlanishi kerak.Banklar mijozning hisob raqami doimiy bo'lib qolishini afzal ko'radi. Boshqa tomondan, barcha PIN-kodlar bir xil kriptografik kalit yordamida hisoblanganligi sababli, mijozning hisobini saqlab turganda bitta PIN-kodni o'zgartirish muqarrar ravishda barcha shaxsiy identifikatsiya raqamlarini o'zgartirishga olib keladi. Ikkinchi variantda bank PIN-kod qiymatini tasodifiy tanlaydi, bu PIN-kod qiymatini mos keladigan kriptogramma shaklida saqlaydi. Bank tanlangan PIN -kod qiymatlarini ishonchli kanal yordamida karta egalariga o'tkazadi.
Bank tomonidan tayinlangan PIN-koddan foydalanish mijoz uchun uning uzunligi kichik bo'lsa ham noqulay. Bunday PIN-kodni xotirada saqlash qiyin, shuning uchun karta egasi uni biron joyga yozib qo'yishi mumkin. Asosiysi, PIN-kodni to'g'ridan-to'g'ri yozmaslik. kartaga yoki boshqa ko'zga ko'ringan joyga.Aks holda bu hujumchining vazifasi ancha osonlashadi.
Mijoz uchun qulayroq bo'lishi uchun mijozning o'zi tanlagan PIN-koddan foydalaning. PIN -kodni aniqlash usuli mijozga quyidagilarga imkon beradi:
* bir xil PIN -kodni turli maqsadlarda ishlatish;
* PIN -kodni harflar va raqamlarning kombinatsiyasi sifatida o'rnating (eslab qolish qulayligi uchun).
PIN-kod mijoz tomonidan tanlanganidan so'ng, u bankka xabar qilinishi kerak. PIN -kodni bankka ro'yxatdan o'tgan pochta orqali yuborish yoki bank ofisida joylashgan xavfsiz terminal orqali yuborish mumkin, bu uni darhol shifrlaydi. Agar bank mijoz tanlagan PIN-koddan foydalanishi kerak bo'lsa, quyidagi amallarni bajaring. Mijoz tanlagan PIN -kodning har bir raqamiga 10 -modul qo'shiladi (o'tkazmalar bundan mustasno), PIN -kodning mos keladigan raqami bilan, bank tomonidan mijozning hisobidan olib qo'yiladi. Olingan o'nlik raqam "ofset" deb ataladi.Bu ofset mijoz kartasida saqlanadi. Ko'rsatilgan PIN tasodifiy bo'lgani uchun, mijoz tanlagan PIN kodni "ofset" bo'yicha aniqlash mumkin emas.
Asosiy xavfsizlik talabi - bu PIN -kodni karta egasi eslab qolishi va hech qachon o'qiladigan shaklda saqlanmasligi. Ammo odamlar nomukammal va ko'pincha o'zlarining PIN kodlarini unutishadi. Shuning uchun banklar bunday holatlar uchun maxsus tartiblarni oldindan tayyorlashlari kerak. Bank quyidagi yondashuvlardan birini amalga oshirishi mumkin. Birinchisi, mijoz unutgan PIN -kodni tiklashga va uni karta egasiga qaytarib yuborishga asoslangan. Ikkinchi yondashuv shunchaki yangi PIN qiymatini yaratadi.
Mijozni PIN-kod va taqdim etilgan karta bo'yicha aniqlashda PIN-kodni tekshirishning ikkita asosiy usuli qo'llaniladi. algoritmik bo'lmagan va algoritmik. PIN-kodni tekshirishning algoritmik bo'lmagan usuli maxsus algoritmlardan foydalanishni talab qilmaydi. PIN -kodni tekshirish xaridor kiritgan PIN -kodni ma'lumotlar bazasida saqlangan qiymatlar bilan to'g'ridan -to'g'ri taqqoslash yo'li bilan amalga oshiriladi. Odatda, mijozning PIN -ma'lumotlar bazasi solishtirish jarayonini murakkablashtirmasdan, xavfsizligini oshirish uchun shaffof tarzda shifrlangan. PIN -kodni tekshirishning algoritmik usuli shundaki, mijoz kiritgan PIN -kod maxfiy kalit yordamida ma'lum algoritmga aylantiriladi va keyin kartadagi ma'lum bir shaklda saqlangan PIN -kod bilan taqqoslanadi. Ushbu tekshirish usulining afzalliklari:
* asosiy kompyuterda PIN -kod nusxasi yo'qligi uni bank xodimlari tomonidan oshkor qilinishini istisno qiladi;
* bankomat yoki POS-terminal va bankning asosiy kompyuteri o'rtasida PIN-kod o'tkazilmaganligi uni tajovuzkor tomonidan ushlab qolish yoki taqqoslash natijalarini qo'llashni istisno qiladi;
* tizimli dasturiy ta'minotni yaratish ishlarini soddalashtirish, chunki real vaqtda harakat qilishning hojati yo'q.

Download 168.5 Kb.

Do'stlaringiz bilan baham:
1   ...   5   6   7   8   9   10   11   12   13



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling