Bosh sahifa Wiki Security key

Security key

Security key — foydalanuvchi autentifikatsiyasida kriptografik dalil beradigan jismoniy qurilma. U USB, NFC yoki Bluetooth orqali kompyuter va telefonga ulanib, WebAuthn/FIDO2 yoki U2F protokollari asosida ishlashi mumkin. Qurilma private keyni ichida saqlaydi va server yuborgan challenge’ni faqat foydalanuvchi roziligi, ba’zan PIN yoki biometrik tekshiruvdan keyin imzolaydi. Parol yoki SMS koddan farqli ravishda, haqiqiy secret serverga yuborilmaydi.

Ro‘yxatdan o‘tkazish

Foydalanuvchi kalitni hisobga qo‘shayotganda server tasodifiy challenge va relying party ma’lumotini brauzerga beradi. Brauzer originni tekshiradi va authenticatorga yangi credential yaratish so‘rovini uzatadi. Qurilma ayni relying party uchun alohida public/private key juftligini hosil qiladi. Server public key, credential ID, sign counter va tegishli metadata’ni saqlaydi; private key qurilmadan chiqmaydi.

Bir sayt uchun yaratilgan credential boshqa domen so‘roviga imzo bermaydi. Brauzer va authenticator relying party IDni imzolangan ma’lumotga bog‘laydi. Shu xususiyat security keyni phishingga chidamli qiladi: soxta domen foydalanuvchi harakatini ko‘chirsa ham, haqiqiy sayt credentialidan foydalana olmaydi.

Autentifikatsiya

Login paytida server yangi challenge beradi. Authenticator credential private keyi bilan challenge, origin va boshqa protokol ma’lumotidan tuzilgan qiymatni imzolaydi. Server public key orqali imzoni, challenge bir martalikligini, origin va relying party IDni tekshiradi. User presence odatda kalitga tegish yoki tugmani bosish bilan, user verification esa qurilma PINi yoki biometrika bilan tasdiqlanadi.

Security key parolsiz login uchun discoverable credential saqlashi yoki parolga qo‘shimcha ikkinchi faktor bo‘lishi mumkin. Resident credentialda foydalanuvchi identifikatsiyasi authenticator ichida topiladi. Server siyosati qaysi authenticator turi va user verification darajasi qabul qilinishini belgilaydi.

Qurilma turlari

Roaming authenticator alohida kalit bo‘lib, turli qurilmalarga ulanadi. Platform authenticator esa telefon yoki noutbukning TPM, Secure Enclave yoki boshqa himoyalangan modulida ishlaydi. Sinxronlanuvchi passkey credentialni foydalanuvchining platforma hisobidagi end-to-end himoyalangan mexanizm orqali qurilmalar orasida ko‘chirishi mumkin. Jismoniy security key odatda qurilmada qoladigan credentialga urg‘u beradi.

Attestation serverga authenticator modeli yoki credentialning haqiqiy qurilmada yaratilgani haqida dalil berishi mumkin. Bu korporativ siyosatda faqat tasdiqlangan kalitlarni qabul qilish uchun foydali, biroq foydalanuvchini saytlar orasida kuzatish xavfini ham hisobga olish kerak. Ko‘p ommaviy xizmatlar attestatsiyani talab qilmaydi.

Yo‘qolish va tiklash

Bitta kalit yo‘qolishi hisobni doimiy yopib qo‘ymasligi uchun kamida ikkita authenticator ro‘yxatdan o‘tkazilishi yoki nazorat qilinadigan recovery jarayoni mavjud bo‘lishi mumkin. Recovery kodi ham yuqori qiymatli credential bo‘lib, offline xavfsiz joyda saqlanadi. Yangi authenticator qo‘shish va eskisini o‘chirish hodisalari qayta autentifikatsiya hamda auditni talab qiladi.

Kalit o‘g‘irlanganida PIN user verificationni qo‘shimcha himoya qiladi, ammo credential server tomonda ham bekor qilinadi. Server saqlagan public keyning oshkor bo‘lishi hujumchiga imzo yaratish imkonini bermaydi. Server bazasidagi credential ID va metadata baribir shaxsiylik hamda hisob bog‘lanishi nuqtai nazaridan himoyalanadi.

Enterprise boshqaruvi

Tashkilot kalitlarni inventar raqami va xodimga berilgan sana bilan hisobga olishi mumkin, lekin serverdagi credential IDni qurilmaning tashqi seriya raqami bilan adashtirmaydi. Xodim ketganda uning credentiallari hisobdan olib tashlanadi, jismoniy kalit esa reset qilinadi yoki yo‘q qilinadi. PIN urinishlari qurilmaning o‘zida cheklanishi mumkin; bloklangan authenticator recovery siyosatiga muvofiq almashtiriladi.

Bog‘liq tushunchalar

WebAuthn, FIDO2, Passkey, Public-key cryptography, Multi-factor authentication, Authenticator, Phishing