MFA — Multi-Factor Authentication, ya’ni foydalanuvchini bir nechta mustaqil omil orqali tasdiqlash mexanizmi. MFA authentication jarayonida faqat parolga tayanmasdan, qo‘shimcha tasdiqlash bosqichlarini ham ishlatadi.
MFA web ilovalar, mobile ilovalar, banking tizimlari, admin panellar, korporativ SSO va cloud platformalarda xavfsizlikni kuchaytirish uchun qo‘llanadi.
Vazifasi
MFA foydalanuvchi kimligini kuchliroq tasdiqlash uchun ishlatiladi.
MFA quyidagi vazifalarni bajaradi:
- login jarayoniga qo‘shimcha himoya qo‘shish;
- parol o‘g‘irlangan holatda akkauntni himoyalash;
- admin panelga kirishni xavfsizroq qilish;
- banking va to‘lov amallarini tasdiqlash;
- SSO tizimlarida markaziy xavfsizlik qatlamini yaratish;
- shubhali login urinishlarini tekshirish;
- foydalanuvchi qurilmasini tasdiqlash;
- korporativ access policylarni qo‘llash.
Masalan, foydalanuvchi parol kiritgandan keyin telefoniga kelgan kodni ham kiritishi kerak bo‘lsa, bu MFA hisoblanadi.
MFA qanday ishlaydi?
MFA foydalanuvchidan ikki yoki undan ko‘p authentication omilini talab qiladi. Har bir omil foydalanuvchini boshqa tomondan tasdiqlaydi.
Oddiy jarayon:
- foydalanuvchi login va parol kiritadi;
- tizim birinchi omilni tekshiradi;
- qo‘shimcha tasdiqlash so‘raladi;
- foydalanuvchi SMS kod, authenticator app kodi yoki boshqa omilni kiritadi;
- tizim ikkinchi omilni tekshiradi;
- barcha omillar to‘g‘ri bo‘lsa, foydalanuvchi tizimga kiritiladi.
MFA bir nechta authentication qatlamini birlashtiradi.
Authentication omillari
MFA uch asosiy turdagi authentication omiliga asoslanadi.
Asosiy omillar:
- biladigan narsa — parol, PIN, maxfiy savol;
- ega bo‘lgan narsa — telefon, hardware key, authenticator app, smart card;
- foydalanuvchining o‘ziga xos belgisi — barmoq izi, yuz, ovoz, biometrik ma’lumot.
MFA kuchli bo‘lishi uchun omillar bir-biridan mustaqil bo‘lishi kerak.
2FA
2FA — Two-Factor Authentication, ya’ni ikki omilli authentication. 2FA MFA’ning eng keng tarqalgan ko‘rinishidir.
2FA’da odatda ikki bosqich bo‘ladi:
- parol;
- SMS kod yoki authenticator app kodi.
Masalan, foydalanuvchi email va parol bilan login qiladi, keyin Google Authenticator’dan 6 xonali kod kiritadi.
OTP
OTP — One-Time Password, ya’ni bir martalik parol. OTP MFA jarayonida keng ishlatiladi.
OTP quyidagi kanallar orqali berilishi mumkin:
- SMS;
- email;
- authenticator app;
- push notification;
- hardware token;
- Telegram bot.
OTP odatda qisqa muddat amal qiladi va bir marta ishlatiladi.
TOTP
TOTP — Time-Based One-Time Password, ya’ni vaqtga asoslangan bir martalik kod. Authenticator ilovalardagi 6 xonali kodlar ko‘pincha TOTP asosida ishlaydi.
TOTP xususiyatlari:
- vaqt bo‘yicha yangilanadi;
- odatda 30 soniyada almashadi;
- maxfiy secret key asosida yaratiladi;
- internetga doimiy ulanish talab qilmasligi mumkin;
- authenticator app bilan ishlaydi.
TOTP Google Authenticator, Microsoft Authenticator, Authy va boshqa ilovalarda ishlatiladi.
HOTP
HOTP — HMAC-Based One-Time Password, ya’ni hisoblagichga asoslangan bir martalik parol. HOTP kod vaqtga emas, counter qiymatiga asoslanadi.
HOTP xususiyatlari:
- har bir kod counter asosida yaratiladi;
- kod ishlatilganda counter o‘zgaradi;
- hardware tokenlarda uchrashi mumkin;
- server va client counter qiymatini mos saqlashi kerak.
TOTP HOTP’dan farqli ravishda vaqtga asoslanadi.
SMS kod
SMS kod MFA’da foydalanuvchi telefon raqamiga yuboriladigan bir martalik koddir.
SMS kod quyidagi jarayonlarda ishlatiladi:
- login tasdiqlash;
- parol tiklash;
- telefon raqamini tasdiqlash;
- to‘lovni tasdiqlash;
- shubhali kirishni tekshirish.
SMS kod foydalanuvchining telefon raqamiga ega ekanini tasdiqlash uchun ishlatiladi.
Email kod
Email kod foydalanuvchi email manziliga yuboriladigan tasdiqlash kodidir.
Email kod quyidagi holatlarda ishlatiladi:
- login verification;
- yangi qurilmani tasdiqlash;
- parol tiklash;
- email ownership tekshirish;
- account security jarayonlari.
Email kod foydalanuvchi email akkauntiga kirish imkoniga ega ekanini bildiradi.
Authenticator app
Authenticator app — MFA kodlarini yaratadigan mobil ilova. U odatda TOTP asosida ishlaydi.
Authenticator app misollari:
- Google Authenticator;
- Microsoft Authenticator;
- Authy;
- Duo Mobile;
- 1Password authenticator;
- Bitwarden authenticator.
Authenticator app internet yoki SMSga bog‘liq bo‘lmagan holda vaqtga asoslangan kod yaratishi mumkin.
Push notification
Push notification — foydalanuvchi login qilganda mobil qurilmaga yuboriladigan tasdiqlash xabari.
Push MFA jarayonida:
- foydalanuvchi login qiladi;
- telefoniga tasdiqlash bildirishnomasi keladi;
- foydalanuvchi “Approve” yoki “Deny” tanlaydi;
- tizim javobga qarab loginni davom ettiradi yoki rad etadi.
Push notification korporativ MFA tizimlarida keng uchraydi.
Hardware security key
Hardware security key — MFA uchun ishlatiladigan jismoniy xavfsizlik qurilmasi. U USB, NFC yoki Bluetooth orqali ishlashi mumkin.
Hardware key misollari:
- YubiKey;
- Titan Security Key;
- Feitian key;
- SoloKey.
Hardware security key phishingga chidamli MFA usullaridan biri hisoblanadi.
FIDO2
FIDO2 — parolsiz yoki kuchli MFA authentication uchun ishlatiladigan ochiq standartlar to‘plami. FIDO2 WebAuthn va CTAP protokollariga asoslanadi.
FIDO2 quyidagilarni qo‘llab-quvvatlaydi:
- hardware security key;
- platform authenticator;
- biometric login;
- passkey;
- phishing-resistant authentication.
FIDO2 zamonaviy authentication tizimlarida muhim standart hisoblanadi.
WebAuthn
WebAuthn — browser va web ilovalarda kuchli authenticationni qo‘llash uchun ishlatiladigan web standarti. U FIDO2 ekotizimining bir qismi hisoblanadi.
WebAuthn orqali:
- hardware key bilan login qilish;
- biometric qurilma orqali tasdiqlash;
- passkey ishlatish;
- public key authentication bajarish;
- passwordless login tashkil qilish mumkin.
WebAuthn browser, operating system va authentication qurilmalari bilan ishlaydi.
Passkey
Passkey — parolsiz login qilish uchun ishlatiladigan zamonaviy authentication usuli. Passkey public key cryptography asosida ishlaydi.
Passkey xususiyatlari:
- parol kiritishni talab qilmasligi mumkin;
- qurilma yoki cloud account bilan sinxronlanishi mumkin;
- biometric yoki PIN orqali ochiladi;
- phishing xavfini kamaytiradi;
- WebAuthn va FIDO2 bilan bog‘liq.
Passkey foydalanuvchini parolsiz yoki kuchli MFA asosida tizimga kiritadi.
Biometric authentication
Biometric authentication — foydalanuvchining biologik belgilariga asoslangan tasdiqlash usuli.
Biometric authentication turlari:
- barmoq izi;
- yuzni tanish;
- ovoz;
- ko‘z qorachig‘i;
- qo‘l geometriyasi.
Mobil ilovalarda Face ID, Touch ID va Android biometric authentication MFA jarayonida ishlatilishi mumkin.
Recovery code
Recovery code — foydalanuvchi MFA qurilmasini yo‘qotganda yoki kod ololmaganda akkauntga kirish uchun ishlatiladigan zaxira kod.
Recovery code xususiyatlari:
- oldindan yaratiladi;
- odatda bir martalik bo‘ladi;
- foydalanuvchiga saqlash uchun beriladi;
- authenticator app yoki telefon yo‘qolganda ishlatiladi;
- account recovery jarayonida muhim hisoblanadi.
Recovery code MFA tizimining zaxira kirish mexanizmlaridan biridir.
Backup method
Backup method — asosiy MFA usuli ishlamasa, foydalanuvchini tasdiqlash uchun ishlatiladigan qo‘shimcha usul.
Backup method misollari:
- recovery code;
- email kod;
- SMS kod;
- backup authenticator app;
- admin orqali tiklash;
- hardware key zaxirasi.
Backup method foydalanuvchi akkauntdan butunlay chiqib qolmasligi uchun ishlatiladi.
Trusted device
Trusted device — foydalanuvchi ishonchli deb belgilagan qurilma. Bunday qurilmada MFA har safar so‘ralmasligi mumkin.
Trusted device quyidagi ma’lumotlar bilan aniqlanishi mumkin:
Trusted device mexanizmi foydalanuvchi tajribasi va xavfsizlik o‘rtasidagi balans bilan bog‘liq.
Risk-based MFA
Risk-based MFA — MFA faqat xavfli yoki noodatiy holatlarda so‘raladigan model.
Risk omillari:
- yangi qurilma;
- yangi IP manzil;
- yangi mamlakat;
- noodatiy vaqt;
- shubhali browser;
- juda ko‘p login urinishlari;
- yuqori huquqli amal;
- admin panelga kirish.
Risk-based MFA adaptive authentication tizimlarida ishlatiladi.
Adaptive authentication
Adaptive authentication — foydalanuvchi, qurilma, joylashuv va xavf darajasiga qarab authentication talablarini o‘zgartiradigan model.
Adaptive authentication quyidagilarni hisobga olishi mumkin:
- foydalanuvchi role’i;
- login joyi;
- qurilma holati;
- IP reputation;
- vaqt;
- MFA tarixi;
- browser ma’lumotlari;
- security policy.
Bu model MFA’ni har doim emas, kerakli holatlarda kuchaytirishga asoslanadi.
Step-up authentication
Step-up authentication — foydalanuvchi tizimga kirgan bo‘lsa ham, muhim amal bajarishdan oldin qo‘shimcha tasdiqlash so‘raladigan jarayon.
Step-up authentication quyidagi joylarda ishlatiladi:
- parol almashtirish;
- to‘lov qilish;
- admin action;
- maxfiy ma’lumotni ko‘rish;
- API key yaratish;
- bank kartasini ulash;
- foydalanuvchini o‘chirish.
Bu jarayon yuqori xavfli amallarni alohida himoyalash uchun ishlatiladi.
MFA va SSO
SSO tizimlarida MFA identity provider darajasida qo‘llanishi mumkin. Bunda foydalanuvchi bitta markaziy login jarayonida MFA’dan o‘tadi va keyin bog‘langan ilovalarga kira oladi.
SSO bilan MFA quyidagilarni ta’minlaydi:
- markaziy authentication;
- korporativ xavfsizlik siyosati;
- barcha ilovalarda yagona MFA;
- conditional access;
- audit log;
- enterprise access control.
Masalan, kompaniya barcha SaaS ilovalarga kirishda Microsoft Entra ID orqali MFA talab qilishi mumkin.
MFA va OAuth
OAuth oqimlarida MFA authorization server yoki identity provider tomonidan bajarilishi mumkin. Client ilova odatda MFA jarayonini o‘zi boshqarmaydi, balki providerga tayanadi.
OAuth bilan MFA jarayonida:
- foydalanuvchi authorization serverga yo‘naltiriladi;
- provider login va MFA bosqichlarini bajaradi;
- foydalanuvchi tasdiqlangach authorization code qaytariladi;
- client token oladi.
MFA OAuth login jarayoniga qo‘shimcha xavfsizlik qatlamini qo‘shadi.
MFA va OpenID Connect
OpenID Connect’da MFA foydalanuvchi authentication darajasini ifodalovchi claimlar bilan bog‘liq bo‘lishi mumkin.
OpenID Connect’da quyidagilar uchraydi:
- authentication method;
- authentication time;
- ACR claim;
- AMR claim;
- ID token;
- identity provider policy.
Masalan, ID token ichida foydalanuvchi parol va MFA orqali tasdiqlangani haqida claim bo‘lishi mumkin.
MFA va admin panel
Admin panellar yuqori huquqli amallar bajariladigan joy bo‘lgani uchun MFA ko‘p ishlatiladi.
Admin panelda MFA quyidagilarni himoyalashi mumkin:
- login;
- foydalanuvchilarni boshqarish;
- role o‘zgartirish;
- payment sozlamalari;
- API key yaratish;
- server sozlamalari;
- xavfsizlik konfiguratsiyalari.
Admin role’ga ega foydalanuvchilar uchun MFA alohida policy sifatida qo‘llanishi mumkin.
MFA va banking
Banking va moliyaviy tizimlarda MFA foydalanuvchi akkaunti va to‘lov amallarini himoyalash uchun ishlatiladi.
Banking MFA quyidagilarda uchraydi:
- login;
- pul o‘tkazish;
- karta qo‘shish;
- yangi qurilma tasdiqlash;
- parol tiklash;
- tranzaksiya tasdiqlash;
- limit o‘zgartirish.
Banking tizimlarida SMS, push notification, biometrik tasdiqlash va OTP keng qo‘llanadi.
MFA va mobile ilova
Mobile ilovalarda MFA foydalanuvchi telefon raqami, authenticator app, biometric yoki push notification orqali ishlashi mumkin.
Mobile MFA usullari:
Mobile qurilma MFA’da ham authentication vositasi, ham tasdiqlash kanali sifatida ishlatilishi mumkin.
MFA va API
API tizimlarida MFA odatda login yoki token yaratish bosqichida qo‘llanadi. API har bir so‘rovda MFA kod so‘ramaydi, lekin token chiqarishdan oldin MFA talab qilishi mumkin.
API bilan MFA quyidagilarda uchraydi:
- login endpoint;
- token endpoint;
- sensitive action endpoint;
- step-up authentication;
- admin API;
- API key yaratish;
- OAuth authorization server.
Masalan, access token olishdan oldin foydalanuvchi TOTP kodini tasdiqlashi kerak bo‘lishi mumkin.
MFA bypass
MFA bypass — MFA talabini chetlab o‘tish holati. Bu authentication xavfsizligidagi jiddiy muammo hisoblanadi.
MFA bypass quyidagi sabablar bilan yuzaga kelishi mumkin:
- noto‘g‘ri backend tekshiruv;
- trusted device mexanizmi xatosi;
- recovery flow zaifligi;
- session fixation;
- token leak;
- social engineering;
- fallback method zaifligi;
- configuration xatosi.
MFA bypass authentication tizimining umumiy xavfsizligiga ta’sir qiladi.
MFA fatigue
MFA fatigue — foydalanuvchiga ketma-ket ko‘p push tasdiqlash so‘rovlari yuborilib, uni tasdiqlashga majbur qilishga urinish holati.
Bu holat push notification asosidagi MFA’da uchrashi mumkin.
MFA fatigue bilan bog‘liq elementlar:
- ketma-ket push so‘rovlar;
- foydalanuvchi charchashi;
- noto‘g‘ri tasdiqlash;
- shubhali login urinishlari;
- push approval xavfsizligi.
Bu tushuncha MFA xavfsizlik muammolari ichida alohida ko‘riladi.
SIM swapping
SIM swapping — hujumchi foydalanuvchi telefon raqamini o‘z SIM kartasiga o‘tkazib olishga urinadigan hujum turi. Bu SMS kod asosidagi MFA xavfsizligiga ta’sir qilishi mumkin.
SIM swapping natijasida:
- SMS kodlar hujumchiga borishi mumkin;
- parol tiklash jarayoni buzilishi mumkin;
- telefon raqamiga bog‘langan login xavfga tushadi;
- banking yoki social accountlarga xavf tug‘iladi.
SMS asosidagi MFA telefon raqamiga bog‘liq bo‘lgani uchun bu xavf bilan aloqador.
Phishing-resistant MFA
Phishing-resistant MFA — phishing sahifalar orqali kod yoki token o‘g‘irlashga chidamliroq MFA usullari.
Phishing-resistant MFA usullari:
- FIDO2 security key;
- WebAuthn;
- passkey;
- platform authenticator;
- certificate-based authentication.
Bu usullar login qilinayotgan domen bilan bog‘langan kriptografik tekshiruvlarga asoslanadi.
MFA xavfsizligi
MFA authentication tizimiga qo‘shimcha himoya beradi, lekin u ham to‘g‘ri tuzilishi kerak.
MFA xavfsizligida quyidagilar muhim:
- recovery flow xavfsizligi;
- backup code boshqaruvi;
- trusted device nazorati;
- push approval cheklovlari;
- phishingga chidamli usullar;
- token va session tekshiruvi;
- audit log;
- adminlar uchun kuchliroq policy;
- step-up authentication.
MFA umumiy authentication arxitekturasining bir qismi sifatida ishlaydi.
Dasturlashdagi o‘rni
MFA foydalanuvchi akkauntlari, admin panellar, SSO tizimlari va maxfiy resurslarga kirishni himoyalash uchun ishlatiladigan muhim authentication mexanizmidir. U parolga qo‘shimcha ravishda boshqa omillarni ham tekshiradi.
MFA quyidagi loyihalarda uchraydi:
- web ilovalar;
- mobile ilovalar;
- admin panellar;
- SaaS platformalar;
- banking tizimlari;
- cloud platformalar;
- enterprise SSO;
- developer accountlar;
- payment tizimlari;
- korporativ portallar.
MFA foydalanuvchi kimligini bir nechta mustaqil tasdiqlash omillari orqali tekshiradigan xavfsizlik qatlamidir.
Bog‘liq tushunchalar
Authentication, 2FA, OTP, TOTP, SSO, OAuth, OpenID Connect, WebAuthn, Passkey, Security key, Session, Security