2FA — Two-Factor Authentication, ya’ni ikki omilli authentication. 2FA foydalanuvchi tizimga kirayotganda ikki xil tasdiqlash omilidan foydalanadigan xavfsizlik mexanizmidir.
2FA odatda parolga qo‘shimcha ravishda SMS kod, authenticator app kodi, email kod, hardware security key yoki biometrik tasdiqlash orqali ishlaydi.
Vazifasi
2FA foydalanuvchi akkauntini faqat parolga tayanmasdan himoyalash uchun ishlatiladi.
2FA quyidagi vazifalarni bajaradi:
- login jarayoniga qo‘shimcha tasdiqlash qo‘shish;
- parol o‘g‘irlangan holatda akkauntni himoyalash;
- admin panelga kirishni xavfsizroq qilish;
- to‘lov va banking amallarini tasdiqlash;
- yangi qurilmadan kirishni tekshirish;
- shubhali login urinishlarini aniqlash;
- foydalanuvchi qurilmasi yoki telefonini tasdiqlash;
- SSO va OAuth login jarayonlarini kuchaytirish.
Masalan, foydalanuvchi parolni to‘g‘ri kiritsa ham, tizim undan qo‘shimcha 6 xonali kod so‘rashi mumkin.
2FA qanday ishlaydi?
2FA ikki mustaqil authentication omiliga asoslanadi. Birinchi omil ko‘pincha parol bo‘ladi, ikkinchi omil esa foydalanuvchi ega bo‘lgan qurilma yoki biologik belgi orqali tasdiqlanadi.
Oddiy jarayon:
- foydalanuvchi login va parol kiritadi;
- tizim parolni tekshiradi;
- parol to‘g‘ri bo‘lsa, ikkinchi omil so‘raladi;
- foydalanuvchi SMS kod, TOTP kod yoki boshqa tasdiqlashni bajaradi;
- tizim ikkinchi omilni tekshiradi;
- ikki omil ham to‘g‘ri bo‘lsa, foydalanuvchi tizimga kiritiladi.
2FA authentication jarayoniga qo‘shimcha xavfsizlik qatlamini qo‘shadi.
Authentication omillari
2FA ikki xil omilni birlashtiradi. Bu omillar bir-biridan mustaqil bo‘lishi kerak.
Asosiy authentication omillari:
- biladigan narsa — parol, PIN, maxfiy savol;
- ega bo‘lgan narsa — telefon, authenticator app, hardware key;
- foydalanuvchining belgisi — barmoq izi, yuz, ovoz.
Masalan, parol “biladigan narsa”, telefon orqali kelgan kod esa “ega bo‘lgan narsa” hisoblanadi.
2FA va MFA farqi
2FA va MFA bir-biriga yaqin tushunchalardir.
- 2FA — aynan ikki omilli authentication;
- MFA — ikki yoki undan ortiq omilli authentication;
- har bir 2FA MFA hisoblanadi;
- har bir MFA 2FA bo‘lishi shart emas;
- 2FA parol + kod shaklida ko‘p uchraydi;
- MFA uch yoki undan ko‘p omilni ham o‘z ichiga olishi mumkin.
Masalan, parol + SMS kod — 2FA. Parol + security key + biometrik tasdiqlash — MFA.
OTP
OTP — One-Time Password, ya’ni bir martalik parol. 2FA jarayonida eng ko‘p ishlatiladigan tasdiqlash usullaridan biri hisoblanadi.
OTP quyidagi kanallar orqali berilishi mumkin:
- SMS;
- email;
- authenticator app;
- push notification;
- hardware token;
- Telegram bot.
OTP odatda qisqa muddat amal qiladi va qayta ishlatilmaydi.
TOTP
TOTP — vaqtga asoslangan bir martalik kod. Authenticator ilovalarda ko‘rinadigan 6 xonali kodlar odatda TOTP orqali yaratiladi.
TOTP xususiyatlari:
- vaqt asosida yangilanadi;
- odatda 30 soniyada almashadi;
- maxfiy secret key asosida ishlaydi;
- internetga doimiy ulanish talab qilmaydi;
- authenticator app orqali yaratiladi.
Google Authenticator va Microsoft Authenticator kabi ilovalar TOTP kodlar yaratadi.
SMS 2FA
SMS 2FA — foydalanuvchi telefon raqamiga yuborilgan kod orqali tasdiqlash usuli.
SMS 2FA jarayoni:
- foydalanuvchi login qiladi;
- tizim telefon raqamiga kod yuboradi;
- foydalanuvchi kodni kiritadi;
- backend kodni tekshiradi;
- kod to‘g‘ri bo‘lsa, login yakunlanadi.
SMS 2FA telefon raqami bilan bog‘liq authentication usuli hisoblanadi.
Email 2FA
Email 2FA — foydalanuvchi emailiga yuborilgan kod yoki link orqali tasdiqlash usuli.
Email 2FA quyidagi holatlarda ishlatiladi:
- login tasdiqlash;
- yangi qurilmani tekshirish;
- parol tiklash;
- shubhali kirishni aniqlash;
- account security jarayonlari.
Email 2FA foydalanuvchining email akkauntiga kirish imkoniga ega ekanini tasdiqlaydi.
Authenticator app 2FA
Authenticator app 2FA — mobil ilova yaratadigan vaqtinchalik kodlar orqali tasdiqlash usuli.
Authenticator app misollari:
- Google Authenticator;
- Microsoft Authenticator;
- Authy;
- Duo Mobile;
- 1Password;
- Bitwarden Authenticator.
Bu usulda foydalanuvchi ilovadagi kodni login formasiga kiritadi.
Push 2FA
Push 2FA — foydalanuvchi telefoniga yuborilgan push bildirishnoma orqali loginni tasdiqlash usuli.
Push 2FA jarayoni:
- foydalanuvchi login qiladi;
- telefoniga tasdiqlash xabari keladi;
- foydalanuvchi “Approve” yoki “Deny” tanlaydi;
- tizim javobga qarab loginni davom ettiradi yoki rad etadi.
Push 2FA korporativ authentication tizimlarida ko‘p ishlatiladi.
Hardware key 2FA
Hardware key 2FA — jismoniy xavfsizlik kaliti orqali loginni tasdiqlash usuli.
Hardware key turlari:
- USB security key;
- NFC security key;
- Bluetooth security key;
- FIDO2 key;
- smart card.
YubiKey va Titan Security Key kabi qurilmalar hardware key 2FA misollariga kiradi.
Biometric 2FA
Biometric 2FA — foydalanuvchining biologik belgisi orqali qo‘shimcha tasdiqlash usuli.
Biometric usullar:
- barmoq izi;
- yuzni tanish;
- ovoz;
- ko‘z qorachig‘i;
- Face ID;
- Touch ID.
Mobil ilovalarda biometrik tasdiqlash 2FA yoki step-up authentication qatlami sifatida ishlatilishi mumkin.
Recovery code
Recovery code — foydalanuvchi 2FA qurilmasini yo‘qotganda akkauntga kirish uchun ishlatiladigan zaxira kod.
Recovery code xususiyatlari:
- oldindan yaratiladi;
- bir martalik bo‘lishi mumkin;
- foydalanuvchi tomonidan xavfsiz joyda saqlanadi;
- telefon yoki authenticator app yo‘qolganda ishlatiladi;
- account recovery jarayonida kerak bo‘ladi.
2FA tizimlarida recovery code zaxira kirish mexanizmi hisoblanadi.
Backup method
Backup method — asosiy 2FA usuli ishlamay qolganda foydalaniladigan zaxira tasdiqlash usuli.
Backup method misollari:
- recovery code;
- email kod;
- SMS kod;
- zaxira authenticator app;
- ikkinchi hardware key;
- admin orqali tiklash.
Backup method foydalanuvchi akkauntdan butunlay chiqib qolmasligi uchun ishlatiladi.
Trusted device
Trusted device — foydalanuvchi ishonchli deb belgilagan qurilma. Bunday qurilmada 2FA har safar so‘ralmasligi mumkin.
Trusted device quyidagilar orqali aniqlanishi mumkin:
Trusted device foydalanuvchi tajribasi va xavfsizlik o‘rtasidagi muvozanat bilan bog‘liq.
Remember this device
Remember this device — foydalanuvchi qurilmasini eslab qolish funksiyasi. Bu funksiya yoqilganda tizim ma’lum muddat davomida 2FA kodni qayta so‘ramasligi mumkin.
Bu jarayonda:
- browserga maxsus cookie yoziladi;
- qurilma ishonchli deb belgilanadi;
- keyingi loginlarda 2FA cheklangan muddatga o‘tkazib yuborilishi mumkin;
- yangi qurilma yoki shubhali holatda 2FA yana so‘raladi.
Bu mexanizm 2FA tizimlarida ko‘p uchraydi.
Step-up authentication
Step-up authentication — foydalanuvchi tizimga kirgan bo‘lsa ham, muhim amal bajarishdan oldin qo‘shimcha 2FA tasdiqlash so‘raladigan jarayon.
Step-up authentication quyidagi joylarda ishlatiladi:
- parol almashtirish;
- to‘lov qilish;
- admin action bajarish;
- maxfiy ma’lumotni ko‘rish;
- API key yaratish;
- email o‘zgartirish;
- bank kartasini ulash.
Bu usul yuqori xavfli amallarni alohida himoyalash uchun ishlatiladi.
Risk-based 2FA
Risk-based 2FA — 2FA faqat xavfli yoki noodatiy holatlarda so‘raladigan model.
Risk omillari:
- yangi qurilma;
- yangi IP manzil;
- boshqa mamlakat;
- noodatiy vaqt;
- shubhali browser;
- ko‘p login urinishlari;
- admin panelga kirish;
- xavfli amal bajarish.
Risk-based 2FA adaptive authentication tizimlarida ishlatiladi.
2FA va authentication
2FA authentication jarayonining qo‘shimcha qatlami hisoblanadi. U foydalanuvchining faqat parolni bilishini emas, qo‘shimcha omilga ham ega ekanini tekshiradi.
Authentication jarayonida 2FA quyidagilarni bajaradi:
- paroldan keyingi tasdiqlashni tashkil qiladi;
- login session yaratishdan oldin qo‘shimcha tekshiruv qo‘shadi;
- token berishdan oldin foydalanuvchini qayta tasdiqlaydi;
- yangi qurilma yoki riskli loginni tekshiradi.
2FA foydalanuvchi identity’sini kuchliroq tasdiqlashga yordam beradi.
2FA va authorization
2FA asosan authentication bilan bog‘liq, lekin authorization jarayoniga ham ta’sir qilishi mumkin. Ayrim tizimlarda muhim permissionlardan foydalanish uchun foydalanuvchi 2FA’dan o‘tgan bo‘lishi kerak.
Masalan:
- admin role uchun 2FA majburiy bo‘lishi mumkin;
- payment permission ishlashi uchun 2FA talab qilinishi mumkin;
- API key yaratishdan oldin 2FA tekshirilishi mumkin;
- maxfiy sahifalar 2FA tasdiqlangan session talab qilishi mumkin.
Bu holatlarda 2FA access control bilan bog‘lanadi.
2FA va session
2FA muvaffaqiyatli yakunlangandan keyin tizim foydalanuvchi uchun session yaratishi yoki mavjud sessionni kuchliroq darajaga o‘tkazishi mumkin.
Session ichida quyidagilar saqlanishi mumkin:
- foydalanuvchi login qilinganligi;
- 2FA tasdiqlanganligi;
- 2FA vaqti;
- qurilma holati;
- risk darajasi;
- trusted device belgisi.
Session orqali tizim foydalanuvchi 2FA’dan o‘tgan yoki o‘tmaganini biladi.
2FA va token
Token-based tizimlarda 2FA token berishdan oldin bajarilishi mumkin. Foydalanuvchi parolni to‘g‘ri kiritgandan keyin hali access token berilmaydi, avval 2FA tekshiriladi.
Token bilan 2FA jarayoni:
- foydalanuvchi login va parol yuboradi;
- backend vaqtinchalik challenge yaratadi;
- foydalanuvchi 2FA kodni yuboradi;
- backend kodni tekshiradi;
- access token va refresh token qaytariladi.
Bu model API va mobile ilovalarda ishlatiladi.
2FA va SSO
SSO tizimlarida 2FA identity provider darajasida ishlatilishi mumkin. Bunda foydalanuvchi bir marta 2FA’dan o‘tadi va keyin bog‘langan ilovalarga kira oladi.
SSO bilan 2FA quyidagilarni ta’minlaydi:
- markaziy login;
- yagona xavfsizlik siyosati;
- enterprise MFA;
- barcha ilovalarda umumiy authentication darajasi;
- audit log;
- conditional access.
Masalan, kompaniya barcha ichki tizimlarga kirishda markaziy SSO orqali 2FA talab qilishi mumkin.
2FA va OAuth
OAuth jarayonida 2FA authorization server yoki identity provider tomonidan bajarilishi mumkin. Client ilova foydalanuvchining parolini yoki 2FA kodini bevosita boshqarmasligi mumkin.
OAuth oqimida:
- foydalanuvchi providerga yo‘naltiriladi;
- provider login va 2FA jarayonini bajaradi;
- client authorization code oladi;
- tokenlar provider tomonidan beriladi.
Bu model third-party loginlarda ko‘p ishlatiladi.
2FA va OpenID Connect
OpenID Connect’da 2FA authentication darajasi ID token claimlari orqali ifodalanishi mumkin.
OpenID Connect bilan bog‘liq claimlar:
amr— authentication methods references;acr— authentication context class reference;auth_time— authentication vaqti.
Bu claimlar foydalanuvchi qaysi usullar bilan tasdiqlanganini ko‘rsatishi mumkin.
2FA va admin panel
Admin panellarda 2FA yuqori huquqli foydalanuvchilarni himoyalash uchun ishlatiladi.
Admin panelda 2FA quyidagilarni himoyalashi mumkin:
- admin login;
- foydalanuvchilarni boshqarish;
- role o‘zgartirish;
- permission berish;
- payment sozlamalarini tahrirlash;
- API key yaratish;
- server konfiguratsiyasini o‘zgartirish.
Admin huquqlari katta bo‘lgani uchun 2FA bu yerda muhim xavfsizlik qatlami hisoblanadi.
2FA va banking
Banking tizimlarida 2FA foydalanuvchi akkaunti va moliyaviy amallarni himoyalash uchun ishlatiladi.
Banking 2FA quyidagi joylarda uchraydi:
- login;
- pul o‘tkazish;
- yangi karta qo‘shish;
- limit o‘zgartirish;
- yangi qurilmani tasdiqlash;
- parol tiklash;
- tranzaksiyani tasdiqlash.
SMS kod, push notification va biometrik tasdiqlash banking tizimlarida keng ishlatiladi.
2FA va phishing
Phishing hujumlarida foydalanuvchi soxta sahifaga parol yoki 2FA kodini kiritishi mumkin. Shu sababli 2FA turi phishingga chidamlilik darajasiga ko‘ra farqlanadi.
Phishing bilan bog‘liq 2FA xavflari:
- SMS kodni soxta sahifaga kiritish;
- TOTP kodni hujumchiga berish;
- push notificationni noto‘g‘ri tasdiqlash;
- recovery codeni ulashish;
- token o‘g‘irlanishi.
Hardware key, passkey va WebAuthn phishingga chidamliroq usullar hisoblanadi.
2FA bypass
2FA bypass — 2FA talabini chetlab o‘tish holati. Bu authentication tizimidagi jiddiy xavfsizlik muammosi hisoblanadi.
2FA bypass quyidagi sabablar bilan yuzaga kelishi mumkin:
- backendda 2FA tekshiruvi yetishmasligi;
- recovery flow zaifligi;
- trusted device xatosi;
- session token o‘g‘irlanishi;
- endpoint noto‘g‘ri himoyalangan bo‘lishi;
- OAuth callback xatosi;
- fallback method zaifligi.
2FA bypass tizimning umumiy authentication xavfsizligiga ta’sir qiladi.
SIM swapping
SIM swapping — hujumchi foydalanuvchi telefon raqamini o‘z SIM kartasiga o‘tkazib olishga urinadigan hujum turi. Bu SMS asosidagi 2FA xavfsizligiga ta’sir qilishi mumkin.
SIM swapping natijasida:
- SMS kodlar hujumchiga borishi mumkin;
- parol tiklash xavfga tushadi;
- telefon raqamiga bog‘langan login buzilishi mumkin;
- banking va social accountlar xavfga tushishi mumkin.
Bu muammo telefon raqamiga asoslangan authentication bilan bog‘liq.
MFA fatigue
MFA fatigue — foydalanuvchiga ketma-ket push tasdiqlash so‘rovlari yuborilib, uni noto‘g‘ri tasdiqlashga majbur qilishga urinish holati.
Bu holat quyidagilar bilan bog‘liq:
- push notification asosidagi 2FA;
- ko‘p login urinishlari;
- foydalanuvchi charchashi;
- tasodifan approval bosilishi;
- shubhali authentication so‘rovlari.
MFA fatigue push-based 2FA xavfsizlik muammolaridan biridir.
Phishing-resistant 2FA
Phishing-resistant 2FA — phishing sahifalar orqali kod yoki token o‘g‘irlashga chidamliroq 2FA usullari.
Phishing-resistant usullar:
- FIDO2 security key;
- WebAuthn;
- passkey;
- platform authenticator;
- hardware key.
Bu usullar domen bilan bog‘langan kriptografik tekshiruvlarga asoslanadi.
2FA xavfsizligi
2FA akkaunt xavfsizligini kuchaytiradi, lekin uning to‘g‘ri ishlashi backend, session, token va recovery jarayonlariga bog‘liq.
2FA xavfsizligida quyidagilar muhim:
- recovery code xavfsizligi;
- trusted device nazorati;
- backup method boshqaruvi;
- sessionni to‘g‘ri belgilash;
- token berishdan oldin 2FA tekshirish;
- phishingga chidamli usullar;
- audit log;
- shubhali loginlarni aniqlash.
2FA umumiy authentication arxitekturasining bir qismi sifatida ishlaydi.
Dasturlashdagi o‘rni
2FA foydalanuvchi akkauntlari, admin panellar, moliyaviy tizimlar va korporativ ilovalarda qo‘shimcha xavfsizlik qatlami sifatida ishlatiladi. U parol bilan birga ikkinchi mustaqil tasdiqlash omilini talab qiladi.
2FA quyidagi loyihalarda uchraydi:
- web ilovalar;
- mobile ilovalar;
- admin panellar;
- SaaS platformalar;
- banking tizimlari;
- cloud platformalar;
- SSO tizimlari;
- developer accountlar;
- payment tizimlari;
- korporativ portallar.
2FA foydalanuvchi kimligini ikki mustaqil omil orqali tekshiradigan authentication mexanizmidir.
Bog‘liq tushunchalar
MFA, Authentication, OTP, TOTP, SMS kod, Authenticator app, WebAuthn, Passkey, SSO, OAuth, Session, Security