Bosh sahifa Wiki MFA

MFA

MFA — Multi-Factor Authentication, ya’ni foydalanuvchini bir nechta mustaqil omil orqali tasdiqlash mexanizmi. MFA authentication jarayonida faqat parolga tayanmasdan, qo‘shimcha tasdiqlash bosqichlarini ham ishlatadi.

MFA web ilovalar, mobile ilovalar, banking tizimlari, admin panellar, korporativ SSO va cloud platformalarda xavfsizlikni kuchaytirish uchun qo‘llanadi.

Vazifasi

MFA foydalanuvchi kimligini kuchliroq tasdiqlash uchun ishlatiladi.

MFA quyidagi vazifalarni bajaradi:

  • login jarayoniga qo‘shimcha himoya qo‘shish;
  • parol o‘g‘irlangan holatda akkauntni himoyalash;
  • admin panelga kirishni xavfsizroq qilish;
  • banking va to‘lov amallarini tasdiqlash;
  • SSO tizimlarida markaziy xavfsizlik qatlamini yaratish;
  • shubhali login urinishlarini tekshirish;
  • foydalanuvchi qurilmasini tasdiqlash;
  • korporativ access policylarni qo‘llash.

Masalan, foydalanuvchi parol kiritgandan keyin telefoniga kelgan kodni ham kiritishi kerak bo‘lsa, bu MFA hisoblanadi.

MFA qanday ishlaydi?

MFA foydalanuvchidan ikki yoki undan ko‘p authentication omilini talab qiladi. Har bir omil foydalanuvchini boshqa tomondan tasdiqlaydi.

Oddiy jarayon:

  • foydalanuvchi login va parol kiritadi;
  • tizim birinchi omilni tekshiradi;
  • qo‘shimcha tasdiqlash so‘raladi;
  • foydalanuvchi SMS kod, authenticator app kodi yoki boshqa omilni kiritadi;
  • tizim ikkinchi omilni tekshiradi;
  • barcha omillar to‘g‘ri bo‘lsa, foydalanuvchi tizimga kiritiladi.

MFA bir nechta authentication qatlamini birlashtiradi.

Authentication omillari

MFA uch asosiy turdagi authentication omiliga asoslanadi.

Asosiy omillar:

  • biladigan narsa — parol, PIN, maxfiy savol;
  • ega bo‘lgan narsa — telefon, hardware key, authenticator app, smart card;
  • foydalanuvchining o‘ziga xos belgisi — barmoq izi, yuz, ovoz, biometrik ma’lumot.

MFA kuchli bo‘lishi uchun omillar bir-biridan mustaqil bo‘lishi kerak.

2FA

2FA — Two-Factor Authentication, ya’ni ikki omilli authentication. 2FA MFA’ning eng keng tarqalgan ko‘rinishidir.

2FA’da odatda ikki bosqich bo‘ladi:

Masalan, foydalanuvchi email va parol bilan login qiladi, keyin Google Authenticator’dan 6 xonali kod kiritadi.

OTP

OTP — One-Time Password, ya’ni bir martalik parol. OTP MFA jarayonida keng ishlatiladi.

OTP quyidagi kanallar orqali berilishi mumkin:

OTP odatda qisqa muddat amal qiladi va bir marta ishlatiladi.

TOTP

TOTP — Time-Based One-Time Password, ya’ni vaqtga asoslangan bir martalik kod. Authenticator ilovalardagi 6 xonali kodlar ko‘pincha TOTP asosida ishlaydi.

TOTP xususiyatlari:

  • vaqt bo‘yicha yangilanadi;
  • odatda 30 soniyada almashadi;
  • maxfiy secret key asosida yaratiladi;
  • internetga doimiy ulanish talab qilmasligi mumkin;
  • authenticator app bilan ishlaydi.

TOTP Google Authenticator, Microsoft Authenticator, Authy va boshqa ilovalarda ishlatiladi.

HOTP

HOTPHMAC-Based One-Time Password, ya’ni hisoblagichga asoslangan bir martalik parol. HOTP kod vaqtga emas, counter qiymatiga asoslanadi.

HOTP xususiyatlari:

  • har bir kod counter asosida yaratiladi;
  • kod ishlatilganda counter o‘zgaradi;
  • hardware tokenlarda uchrashi mumkin;
  • server va client counter qiymatini mos saqlashi kerak.

TOTP HOTP’dan farqli ravishda vaqtga asoslanadi.

SMS kod

SMS kod MFA’da foydalanuvchi telefon raqamiga yuboriladigan bir martalik koddir.

SMS kod quyidagi jarayonlarda ishlatiladi:

  • login tasdiqlash;
  • parol tiklash;
  • telefon raqamini tasdiqlash;
  • to‘lovni tasdiqlash;
  • shubhali kirishni tekshirish.

SMS kod foydalanuvchining telefon raqamiga ega ekanini tasdiqlash uchun ishlatiladi.

Email kod

Email kod foydalanuvchi email manziliga yuboriladigan tasdiqlash kodidir.

Email kod quyidagi holatlarda ishlatiladi:

Email kod foydalanuvchi email akkauntiga kirish imkoniga ega ekanini bildiradi.

Authenticator app

Authenticator app — MFA kodlarini yaratadigan mobil ilova. U odatda TOTP asosida ishlaydi.

Authenticator app misollari:

  • Google Authenticator;
  • Microsoft Authenticator;
  • Authy;
  • Duo Mobile;
  • 1Password authenticator;
  • Bitwarden authenticator.

Authenticator app internet yoki SMSga bog‘liq bo‘lmagan holda vaqtga asoslangan kod yaratishi mumkin.

Push notification

Push notification — foydalanuvchi login qilganda mobil qurilmaga yuboriladigan tasdiqlash xabari.

Push MFA jarayonida:

  • foydalanuvchi login qiladi;
  • telefoniga tasdiqlash bildirishnomasi keladi;
  • foydalanuvchi “Approve” yoki “Deny” tanlaydi;
  • tizim javobga qarab loginni davom ettiradi yoki rad etadi.

Push notification korporativ MFA tizimlarida keng uchraydi.

Hardware security key

Hardware security key — MFA uchun ishlatiladigan jismoniy xavfsizlik qurilmasi. U USB, NFC yoki Bluetooth orqali ishlashi mumkin.

Hardware key misollari:

Hardware security key phishingga chidamli MFA usullaridan biri hisoblanadi.

FIDO2

FIDO2 — parolsiz yoki kuchli MFA authentication uchun ishlatiladigan ochiq standartlar to‘plami. FIDO2 WebAuthn va CTAP protokollariga asoslanadi.

FIDO2 quyidagilarni qo‘llab-quvvatlaydi:

FIDO2 zamonaviy authentication tizimlarida muhim standart hisoblanadi.

WebAuthn

WebAuthnbrowser va web ilovalarda kuchli authenticationni qo‘llash uchun ishlatiladigan web standarti. U FIDO2 ekotizimining bir qismi hisoblanadi.

WebAuthn orqali:

WebAuthn browser, operating system va authentication qurilmalari bilan ishlaydi.

Passkey

Passkey — parolsiz login qilish uchun ishlatiladigan zamonaviy authentication usuli. Passkey public key cryptography asosida ishlaydi.

Passkey xususiyatlari:

  • parol kiritishni talab qilmasligi mumkin;
  • qurilma yoki cloud account bilan sinxronlanishi mumkin;
  • biometric yoki PIN orqali ochiladi;
  • phishing xavfini kamaytiradi;
  • WebAuthn va FIDO2 bilan bog‘liq.

Passkey foydalanuvchini parolsiz yoki kuchli MFA asosida tizimga kiritadi.

Biometric authentication

Biometric authentication — foydalanuvchining biologik belgilariga asoslangan tasdiqlash usuli.

Biometric authentication turlari:

  • barmoq izi;
  • yuzni tanish;
  • ovoz;
  • ko‘z qorachig‘i;
  • qo‘l geometriyasi.

Mobil ilovalarda Face ID, Touch ID va Android biometric authentication MFA jarayonida ishlatilishi mumkin.

Recovery code

Recovery code — foydalanuvchi MFA qurilmasini yo‘qotganda yoki kod ololmaganda akkauntga kirish uchun ishlatiladigan zaxira kod.

Recovery code xususiyatlari:

  • oldindan yaratiladi;
  • odatda bir martalik bo‘ladi;
  • foydalanuvchiga saqlash uchun beriladi;
  • authenticator app yoki telefon yo‘qolganda ishlatiladi;
  • account recovery jarayonida muhim hisoblanadi.

Recovery code MFA tizimining zaxira kirish mexanizmlaridan biridir.

Backup method

Backup method — asosiy MFA usuli ishlamasa, foydalanuvchini tasdiqlash uchun ishlatiladigan qo‘shimcha usul.

Backup method misollari:

Backup method foydalanuvchi akkauntdan butunlay chiqib qolmasligi uchun ishlatiladi.

Trusted device

Trusted device — foydalanuvchi ishonchli deb belgilagan qurilma. Bunday qurilmada MFA har safar so‘ralmasligi mumkin.

Trusted device quyidagi ma’lumotlar bilan aniqlanishi mumkin:

Trusted device mexanizmi foydalanuvchi tajribasi va xavfsizlik o‘rtasidagi balans bilan bog‘liq.

Risk-based MFA

Risk-based MFA — MFA faqat xavfli yoki noodatiy holatlarda so‘raladigan model.

Risk omillari:

  • yangi qurilma;
  • yangi IP manzil;
  • yangi mamlakat;
  • noodatiy vaqt;
  • shubhali browser;
  • juda ko‘p login urinishlari;
  • yuqori huquqli amal;
  • admin panelga kirish.

Risk-based MFA adaptive authentication tizimlarida ishlatiladi.

Adaptive authentication

Adaptive authentication — foydalanuvchi, qurilma, joylashuv va xavf darajasiga qarab authentication talablarini o‘zgartiradigan model.

Adaptive authentication quyidagilarni hisobga olishi mumkin:

Bu model MFA’ni har doim emas, kerakli holatlarda kuchaytirishga asoslanadi.

Step-up authentication

Step-up authentication — foydalanuvchi tizimga kirgan bo‘lsa ham, muhim amal bajarishdan oldin qo‘shimcha tasdiqlash so‘raladigan jarayon.

Step-up authentication quyidagi joylarda ishlatiladi:

  • parol almashtirish;
  • to‘lov qilish;
  • admin action;
  • maxfiy ma’lumotni ko‘rish;
  • API key yaratish;
  • bank kartasini ulash;
  • foydalanuvchini o‘chirish.

Bu jarayon yuqori xavfli amallarni alohida himoyalash uchun ishlatiladi.

MFA va SSO

SSO tizimlarida MFA identity provider darajasida qo‘llanishi mumkin. Bunda foydalanuvchi bitta markaziy login jarayonida MFA’dan o‘tadi va keyin bog‘langan ilovalarga kira oladi.

SSO bilan MFA quyidagilarni ta’minlaydi:

  • markaziy authentication;
  • korporativ xavfsizlik siyosati;
  • barcha ilovalarda yagona MFA;
  • conditional access;
  • audit log;
  • enterprise access control.

Masalan, kompaniya barcha SaaS ilovalarga kirishda Microsoft Entra ID orqali MFA talab qilishi mumkin.

MFA va OAuth

OAuth oqimlarida MFA authorization server yoki identity provider tomonidan bajarilishi mumkin. Client ilova odatda MFA jarayonini o‘zi boshqarmaydi, balki providerga tayanadi.

OAuth bilan MFA jarayonida:

MFA OAuth login jarayoniga qo‘shimcha xavfsizlik qatlamini qo‘shadi.

MFA va OpenID Connect

OpenID Connect’da MFA foydalanuvchi authentication darajasini ifodalovchi claimlar bilan bog‘liq bo‘lishi mumkin.

OpenID Connect’da quyidagilar uchraydi:

Masalan, ID token ichida foydalanuvchi parol va MFA orqali tasdiqlangani haqida claim bo‘lishi mumkin.

MFA va admin panel

Admin panellar yuqori huquqli amallar bajariladigan joy bo‘lgani uchun MFA ko‘p ishlatiladi.

Admin panelda MFA quyidagilarni himoyalashi mumkin:

  • login;
  • foydalanuvchilarni boshqarish;
  • role o‘zgartirish;
  • payment sozlamalari;
  • API key yaratish;
  • server sozlamalari;
  • xavfsizlik konfiguratsiyalari.

Admin role’ga ega foydalanuvchilar uchun MFA alohida policy sifatida qo‘llanishi mumkin.

MFA va banking

Banking va moliyaviy tizimlarda MFA foydalanuvchi akkaunti va to‘lov amallarini himoyalash uchun ishlatiladi.

Banking MFA quyidagilarda uchraydi:

  • login;
  • pul o‘tkazish;
  • karta qo‘shish;
  • yangi qurilma tasdiqlash;
  • parol tiklash;
  • tranzaksiya tasdiqlash;
  • limit o‘zgartirish.

Banking tizimlarida SMS, push notification, biometrik tasdiqlash va OTP keng qo‘llanadi.

MFA va mobile ilova

Mobile ilovalarda MFA foydalanuvchi telefon raqami, authenticator app, biometric yoki push notification orqali ishlashi mumkin.

Mobile MFA usullari:

Mobile qurilma MFA’da ham authentication vositasi, ham tasdiqlash kanali sifatida ishlatilishi mumkin.

MFA va API

API tizimlarida MFA odatda login yoki token yaratish bosqichida qo‘llanadi. API har bir so‘rovda MFA kod so‘ramaydi, lekin token chiqarishdan oldin MFA talab qilishi mumkin.

API bilan MFA quyidagilarda uchraydi:

Masalan, access token olishdan oldin foydalanuvchi TOTP kodini tasdiqlashi kerak bo‘lishi mumkin.

MFA bypass

MFA bypass — MFA talabini chetlab o‘tish holati. Bu authentication xavfsizligidagi jiddiy muammo hisoblanadi.

MFA bypass quyidagi sabablar bilan yuzaga kelishi mumkin:

  • noto‘g‘ri backend tekshiruv;
  • trusted device mexanizmi xatosi;
  • recovery flow zaifligi;
  • session fixation;
  • token leak;
  • social engineering;
  • fallback method zaifligi;
  • configuration xatosi.

MFA bypass authentication tizimining umumiy xavfsizligiga ta’sir qiladi.

MFA fatigue

MFA fatigue — foydalanuvchiga ketma-ket ko‘p push tasdiqlash so‘rovlari yuborilib, uni tasdiqlashga majbur qilishga urinish holati.

Bu holat push notification asosidagi MFA’da uchrashi mumkin.

MFA fatigue bilan bog‘liq elementlar:

  • ketma-ket push so‘rovlar;
  • foydalanuvchi charchashi;
  • noto‘g‘ri tasdiqlash;
  • shubhali login urinishlari;
  • push approval xavfsizligi.

Bu tushuncha MFA xavfsizlik muammolari ichida alohida ko‘riladi.

SIM swapping

SIM swapping — hujumchi foydalanuvchi telefon raqamini o‘z SIM kartasiga o‘tkazib olishga urinadigan hujum turi. Bu SMS kod asosidagi MFA xavfsizligiga ta’sir qilishi mumkin.

SIM swapping natijasida:

  • SMS kodlar hujumchiga borishi mumkin;
  • parol tiklash jarayoni buzilishi mumkin;
  • telefon raqamiga bog‘langan login xavfga tushadi;
  • banking yoki social accountlarga xavf tug‘iladi.

SMS asosidagi MFA telefon raqamiga bog‘liq bo‘lgani uchun bu xavf bilan aloqador.

Phishing-resistant MFA

Phishing-resistant MFAphishing sahifalar orqali kod yoki token o‘g‘irlashga chidamliroq MFA usullari.

Phishing-resistant MFA usullari:

Bu usullar login qilinayotgan domen bilan bog‘langan kriptografik tekshiruvlarga asoslanadi.

MFA xavfsizligi

MFA authentication tizimiga qo‘shimcha himoya beradi, lekin u ham to‘g‘ri tuzilishi kerak.

MFA xavfsizligida quyidagilar muhim:

  • recovery flow xavfsizligi;
  • backup code boshqaruvi;
  • trusted device nazorati;
  • push approval cheklovlari;
  • phishingga chidamli usullar;
  • token va session tekshiruvi;
  • audit log;
  • adminlar uchun kuchliroq policy;
  • step-up authentication.

MFA umumiy authentication arxitekturasining bir qismi sifatida ishlaydi.

Dasturlashdagi o‘rni

MFA foydalanuvchi akkauntlari, admin panellar, SSO tizimlari va maxfiy resurslarga kirishni himoyalash uchun ishlatiladigan muhim authentication mexanizmidir. U parolga qo‘shimcha ravishda boshqa omillarni ham tekshiradi.

MFA quyidagi loyihalarda uchraydi:

  • web ilovalar;
  • mobile ilovalar;
  • admin panellar;
  • SaaS platformalar;
  • banking tizimlari;
  • cloud platformalar;
  • enterprise SSO;
  • developer accountlar;
  • payment tizimlari;
  • korporativ portallar.

MFA foydalanuvchi kimligini bir nechta mustaqil tasdiqlash omillari orqali tekshiradigan xavfsizlik qatlamidir.

Bog‘liq tushunchalar

Authentication, 2FA, OTP, TOTP, SSO, OAuth, OpenID Connect, WebAuthn, Passkey, Security key, Session, Security