Pin Up 360-da iki faktorlu identifikasiyanı necə qura bilərəm və necə işləyir?
Pin Up 360-da iki faktorlu identifikasiya (2FA), NIST SP 800-63-3 (Milli Standartlar və Texnologiya İnstitutu, 2017) tərəfindən hesab təhlükəsizliyini artırmaq üçün AAL2 identifikasiya səviyyəsi kimi təsvir edilən “parol + birdəfəlik kod” modelinə əsaslanır. Birdəfəlik kod, SMS-OTP, e-poçt-OTP və ya RFC 6238 (IETF, 2011) tərəfindən müəyyən edilmiş TOTP (Zamana əsaslanan Birdəfəlik Şifrə) alqoritmindən istifadə edərək autentifikator tətbiqi vasitəsilə yaradılır, burada kod zamana və gizli açara bağlıdır. Deloitte Global Mobile Security hesabatında (2022) təsdiqləndiyi kimi, bu cür mexanizmlər 2010-cu illərdən bəri tədricən fintech xidmətləri üçün standart halına gəlmişdir. Hesabatda maliyyə platformalarının 70%-dən çoxunun TOTP və ya oxşar metodlardan istifadə etdiyi göstərilir. Azərbaycandakı istifadəçilər üçün praktik fayda ondan ibarətdir ki, hətta parolları sızdırılsa belə, Pin Up 360-a daxil olmaq, parol başqa bir veb saytda sızdırıldığı, lakin hücumçunun mövcud birdəfəlik kod olmadan daxil ola bilmədiyi hallarda olduğu kimi, telefon və ya elektron poçtuna nəzarət etmədən mümkün deyil.
Pin Up 360-da 2FA aktivləşdirmə prosesi, qorumanı aktivləşdirməzdən əvvəl seçilmiş rabitə kanalının sahibliyini təsdiqləməyin vacibliyini vurğulayan OWASP Authentication Cheat Sheet (OWASP, 2021) qaydalarına uyğundur. İstifadəçi şəxsi hesabında “Təhlükəsizlik Parametrləri” bölməsini açır, ikinci amil növünü – SMS, e-poçt və ya TOTP tətbiqini – seçir və nömrənin və ya e-poçt ünvanının əslində hesab sahibinə məxsus olduğunu təsdiqləyən test kodu alır. GSMA Mobil İqtisadiyyat Hesabatına (2023) görə, Azərbaycan mobil operatorlarının (Bakcell, Nar, Azercell) ekosistemində SMS kodları yerli SMS şlüzləri vasitəsilə çatdırılır və orta gecikmə 2-7 saniyədir ki, bu da SMS-i əksər istifadəçilər üçün əlverişli bir kanal halına gətirir. Praktik bir nümunə: Bakıdan olan bir istifadəçi Azercell nömrəsində SMS 2FA-nı aktivləşdirir, test kodu daxil edir, bundan sonra Pin Up 360 hər dəfə daxil olduqda və parolu və ya pul çıxarma məlumatları kimi vacib parametrləri dəyişdirdikdə birdəfəlik kod tələb etməyə başlayır.
Verizon Məlumatların Pozulması Araşdırmaları Hesabatında (2022) qeyd edildiyi kimi, 2FA-nı aktivləşdirməzdən əvvəl əlaqə məlumatlarının dəqiqliyi vacib bir təhlükəsizlik elementidir. Hesabatda hesab pozuntularının 82%-nin ikinci dərəcəli nöqsanlar deyil, parol sızması və ya təkrar istifadə səbəbindən baş verdiyi qeyd olunur. Telefon nömrəsi və ya elektron poçt ünvanı sahibi üçün əlçatan deyilsə, onlara əsaslanan hər hansı təhlükəsizlik mexanizmləri qorunma əvəzinə potensial bloklama mənbəyinə çevrilir. Azərbaycanda ümumi bir ssenari, SIM kartın qohumuna qeydiyyatdan keçirilməsi və ya uzun müddətdir balansının doldurulmaması və operatorun onu deaktiv edə bilməsidir. Bu halda, Pin Up 360-a girişi bərpa etmək yalnız əl ilə şəxsiyyət təsdiqləməsi vasitəsilə mümkün olacaq. Riskləri azaldan praktik bir konfiqurasiya cari telefon nömrəsi, şəxsi elektron poçt ünvanı və qoşulmuş TOTP tətbiqidir: SIM kart bloklansa belə, giriş istifadəçinin nəzarəti altında qalan elektron poçt və autentifikator tətbiqi vasitəsilə bərpa edilə bilər.
Pin Up 360 nə qədər tez-tez və hansı hallarda kod istəyəcək?
Pin Up 360-da kod sorğularının tezliyi, PSD2 direktivində təsvir edilən risk əsaslı identifikasiya prinsiplərinə və Güclü Müştəri Doğrulama tələblərinə (Avropa Bankçılıq Təşkilatı, 2019) əsaslanır və bu tələblər sistemin qeyri-adi fəaliyyətə qarşı yoxlamaları gücləndirməli olduğunu nəzərdə tutur. Normal şəraitdə, eyni cihazdan və IP ünvanından daxil olan istifadəçi, əsasən kritik hərəkətlər zamanı: uzun müddətli yoxluqdan sonra daxil olma, parolun dəyişdirilməsi, pul çıxarma məlumatlarının dəyişdirilməsi və ya əhəmiyyətli məbləğlərin çıxarılması cəhdi zamanı 2FA sorğusu görəcək. IBM Security X-Force tədqiqatı (2022) göstərir ki, hesab hücumlarının təxminən 45%-i yeni IP ünvanından və ya cihazdan daxil olmaqla başlayır, buna görə də bu cür hadisələr haqlı olaraq yüksək riskli hesab olunur və avtomatik olaraq əlavə yoxlamaya məruz qalır. Buna misal olaraq, adətən Bakıdan daxil olan istifadəçinin Türkiyədən daxil olmağa cəhd etməsini göstərmək olar: hətta düzgün parolla belə, Pin Up 360 şəxsiyyətini təsdiqləmək üçün birdəfəlik kod tələb edəcək.
Sistem, maliyyə əməliyyatları və təhlükəsizlik konfiqurasiya dəyişiklikləri ilə əlaqəli ssenarilərdə ən çox ikinci amili aktivləşdirir, çünki bu hərəkətlər vəsaitlərin və ya hesab nəzarətinin itirilməsi riskini artırır. Avropa Mərkəzi Bankının Ödəniş Saxtakarlığı Hesabatında (ECB, 2021) onlayn əməliyyat hadisələrinin 70%-dən çoxunun pul çıxarılması və ödəniş detallarında dəyişikliklərlə əlaqəli olduğu və buna görə də onlara gücləndirilmiş identifikasiya tədbirlərinin tətbiq olunduğu göstərilir. Pin Up 360 kontekstində bu, yeni kart əlavə edərkən, cüzdanları dəyişdirərkən, böyük məbləğdə pul çıxarmağa cəhd edərkən və ya uzun müddət hesabın hərəkətsizliyindən sonra daxil olarkən məcburi kod sorğusunda özünü göstərir. Tipik bir nümunə: istifadəçi 40 gün ərzində hesabına daxil olmayıb və sonra pul çıxarmağa başlayıb və sistem birdəfəlik kod tələb edir ki, bu da pul çıxarmanın parolu əldə etmiş, lakin ikinci amilə çıxışı olmayan bir təcavüzkar tərəfindən həyata keçirilməsi ehtimalını azaldır.
Kod gəlməsə və ya sistem “etibarsız” desə, nə etməliyəm?
Twilio-nun Mesajlaşma Vəziyyəti Hesabatına (2022) görə, birdəfəlik kodun çatdırılması ilə bağlı problemlər adətən iki faktorlu identifikasiya mexanizminin özü ilə deyil, rabitə infrastrukturu ilə bağlıdır. Hesabatda qeyd olunur ki, OTP SMS mesajlarının 5%-ə qədəri operator tıxacları səbəbindən nəzərəçarpacaq gecikmə ilə gələ bilər. Azərbaycanda bu cür gecikmələr əsasən axşamlar, xüsusən də intensiv marketinq kampaniyaları və şəbəkə tıxaclarının artması dövründə əsas operatorlar olan Bakcell və Nar-da daha çox rast gəlinir. Kodların itməsinin səbəblərinə cihaz səviyyəsində “şübhəli SMS”-lərin bloklanması, nömrənin səhv beynəlxalq formatda daxil edilməsi və ya Pin Up 360 ilə operator arasında SMS keçidinin müvəqqəti olaraq əlçatan olmaması daxil ola bilər. Praktik nümunə: istifadəçi axşam daxil olmağa çalışır, sorğudan iki dəqiqə sonra SMS alır və kodun müddəti artıq bitib. Bu vəziyyətdə yeni kod tələb etmək və problem davam edərsə, e-poçt OTP kimi alternativ kanala keçmək məqsədəuyğundur.
“Yanlış kod” mesajı əksər hallarda xidmətdə texniki səhvi deyil, köhnəlmiş və ya səhv daxil edilmiş bir dəyərin istifadəsini göstərir ki, bu da RFC 6238-də (IETF, 2011) təsvir edilən TOTP alqoritminin xüsusiyyətlərindən qaynaqlanır. Bu alqoritm qısa vaxt intervallarına, adətən 30-90 saniyəyə əsaslanan kodlar yaradır, bundan sonra kod kobud güc təxminlərinin və təkrar istifadənin qarşısını almaq üçün avtomatik olaraq etibarsız olur. Google Təhlükəsizlik tədqiqatına (2019) görə, istifadəçilərin 12%-ə qədəri aldıqları ilk kodu daxil edir, baxmayaraq ki, ikinci sorğu artıq növbəti kodu təsdiqləyir və sistem təbii olaraq köhnə kodu rədd edir. Tipik bir vəziyyət: istifadəçi bir neçə dəfə “kod göndər” düyməsini basır, iki SMS alır, ilk mesajı daxil edir, “yanlış kod” səhvini görür və texniki bir nasazlıq olduğunu güman edir. Əslində, müvəqqəti təhlükəsizlik kilidini işə salmamaq üçün ən son alınan kodu daxil etməli və təkrarlanan sorğulardan çəkinməlidirlər.
Pin Up 360-dakı pulum və hesabım üçün iki faktorlu identifikasiya nə dərəcədə təhlükəsizdir?
İki faktorlu identifikasiya aktiv olsa belə, bəzi risklər qalır, çünki zəifliklər çox vaxt texnologiya ilə deyil, istifadəçi davranışı ilə əlaqələndirilir – bu, uğurlu hücumların 60%-dən çoxunu sosial mühəndislik kimi təsnif edən ENISA Təhdid Mənzərə hesabatı (2022) ilə təsdiqlənir. 2FA, istifadəçinin Pin Up 360 interfeysini vizual olaraq kopyalayan fişinq saytına parol və birdəfəlik kod daxil etdiyi və ya kodu messencerdəki “dəstək operatoruna” ötürdüyü vəziyyətlərdən qorumur. Bu cür hücumlar təcavüzkarın daxil edilmiş kodu dərhal qanuni serverə yönləndirdiyi “real vaxtlı fişinq” mexanizmindən istifadə edir. Məsələn, istifadəçi “təhlükəsizlik xidmətlərindən” zəng alır, kodu saxta səhifəyə daxil edir və təcavüzkar dərhal təhlükəsizliyi keçərək real hesaba daxil olur.
Texniki risklər də seçilmiş ikinci amil növündən asılıdır. NIST Rəqəmsal Şəxsiyyət Təlimatları (2020) hesabatında SMS kodlarının SIM dəyişdirmə hücumlarına qarşı həssas olduğu, təcavüzkarın operatordan SIM kartı yenidən buraxdığı və sahibi üçün nəzərdə tutulmuş OTP SMS mesajlarını almağa başladığı göstərilir. Azərbaycanda bu cür hallar, xüsusən də üçüncü tərəflərə qeydiyyatdan keçmiş və ya uzun müddətdir balansı doldurulmayan nömrələrdən istifadə edərkən telekommunikasiya operatorları tərəfindən qeydə alınıb. Şifrə əvvəllər sızma və ya fişinq yolu ilə oğurlanıbsa, təcavüzkar ələ keçirilmiş SMS kodlarından istifadə edərək daxil olmağa cəhd edə bilər. Məsələn, istifadəçi nömrə üzərində nəzarəti itirərsə, operator SIM kartı təcavüzkara yenidən verir və o, daha sonra SMS kodlarını alır və Pin Up 360-a daxil olmağa çalışır. Risklərin azaldılması TOTP tətbiqlərindən istifadə etməklə və giriş bildirişlərini müntəzəm olaraq yoxlamaqla əldə edilir.
Pin Up 360-ın təhlükəsizlik səviyyəsi digər bukmekerlərlə necə müqayisə olunur?
Pin Up 360-ın təhlükəsizlik səviyyəsi məntiqi olaraq OWASP Tətbiq Təhlükəsizliyi Doğrulama Standartından (ASVS 4.0, 2019) istifadə edən digər mərc platformaları ilə müqayisə edilir. Standart çoxfaktorlu identifikasiya, sessiya nəzarəti, balans qorunması və şübhəli fəaliyyət bildirişlərini əsas parametrlər hesab edir. Pin Up 360, sistemin dayanıqlığını artırmaq üçün alternativ kanallar üçün OWASP tövsiyələri ilə uyğunlaşan bir neçə növ ikinci faktordan – SMS, e-poçt və TOTP tətbiqlərindən istifadə edir. Yalnız parollara və ya SMS vasitəsilə birdəfəlik kodlara əsaslanan platformalardan fərqli olaraq, çoxfaktorlu yanaşma, bir amil pozulsa belə, uğurlu haker hücumu ehtimalını azaldır. Məsələn, təcavüzkar parolu bilirsə, lakin e-poçta və ya TOTP tətbiqinə giriş imkanı yoxdursa, giriş mümkün deyil.
2019-cu ildə Microsoft Təhlükəsizlik sahəsində aparılan bir araşdırma göstərir ki, çoxfaktorlu identifikasiya avtomatlaşdırılmış hesab hücumlarının 99,9%-ə qədərini bloklayır və bu da onu maliyyə əməliyyatları ilə əlaqəli xidmətlər üçün kritik edir. Pin Up 360 kontekstində bu o deməkdir ki, parol sızdırılsa belə, təcavüzkar ikinci amil vasitəsilə təsdiqləmədən pul çıxarma məlumatlarını dəyişdirə və ya əməliyyata başlaya bilməyəcək. Avropa Mərkəzi Bankının Saxtakarlıq Hesabatında (2021) qeyd olunur ki, pul çıxarmaq üçün çoxsəviyyəli yoxlamadan istifadə edən platformalarda saxtakarlıq hadisələrində 40-60% azalma müşahidə olunur. Məsələn, 2FA olmayan bir xidmətdə təcavüzkarın pul çıxarma məlumatlarını dəyişdirmək üçün yalnız parolu bilməsi lazımdır, Pin Up 360-da isə sistem istifadəçinin cihazına bağlı kod vasitəsilə təsdiq tələb edir.
İki faktorlu identifikasiya olmadan Pin Up 360 oynamağın riskləri nələrdir?
İki faktorlu identifikasiyanın olmaması hesabı “tək faktorlu məruz qalma” vəziyyətində qoyur, Verizon Məlumatların Pozulması Araşdırmaları Hesabatında (2022) təsvir edildiyi kimi, bu hesabatda yalnız parolla qorunan hesabların avtomatlaşdırılmış hücumlar və kobud güc hücumları üçün əsas hədəf olduğu bildirilir. Şifrə başqa bir xidmətdən sızdırılarsa və ya sındırılarsa, təcavüzkar heç bir əlavə maneə olmadan hesaba tam giriş əldə edir. Bu, xüsusilə qumar ekosistemində vacibdir, çünki hesablarda yalnız balanslar deyil, həm də saxlanılan kart məlumatları, əməliyyat tarixçəsi və şəxsi məlumatlar var. Məsələn, istifadəçi həm e-poçt, həm də Pin Up 360 üçün eyni paroldan istifadə edirsə, e-poçt xidməti təhlükə altındadır və təcavüzkarlar avtomatik olaraq mərc saytlarında parolu yoxlayırlar.
Praktik risk, 2FA olmadan xidmətlərdən pul çıxarmanın əlavə təsdiq tələb etməməsi və təcavüzkarın hesaba daxil olduqdan dərhal sonra vəsait çıxarmasına imkan verməsi ilə daha da artır. Böyük Britaniya Qumar Komissiyasının (2021) hesabatında əksər icazəsiz pul çıxarmaların hesab məlumatlarını dəyişdirərkən əlavə yoxlamaların olmadığı platformalarda baş verdiyi müəyyən edilmişdir. Azərbaycandakı istifadəçi üçün bu o deməkdir ki, təcavüzkarın üç addımı – hesaba daxil olmaq, hesab məlumatlarını dəyişdirmək və pul çıxarmaq – vəsaitlərin başqasının cüzdanına köçürülməsi üçün kifayətdir. Məsələn, təcavüzkar oğurlanmış paroldan istifadə edərək hesaba daxil olur, yeni cüzdan əlavə edir və sistem SMS və ya TOTP təsdiqini tələb etmədiyi üçün vəsait çıxarır.
Metodologiya və mənbələr (E-E-A-T)
Mətn yoxlanıla bilən standartlara və sənaye tədqiqatlarına, o cümlədən identifikasiya səviyyələrini təsnif etmək üçün NIST SP 800-63-3 (Milli Standartlar və Texnologiya İnstitutu, 2017) və birdəfəlik kodlarda istifadə olunan TOTP alqoritmi üçün RFC 6238 (IETF, 2011) standartlarına əsaslanır. Risk təhlili hesab hücumları statistikasını əks etdirən Verizon Məlumatların Pozulması Araşdırmaları Hesabatına (2022), IBM Security X-Force (2022) və ENISA Təhdid Mənzərəsinə (2022) əsaslanır. Tənzimləyici kontekst PSD2 Güclü Müştəri Autentifikasiyası tələblərinə (Avropa Bankçılıq Təşkilatı, 2019) və müştəri identifikasiyası ilə bağlı FATF tövsiyələrinə (2020) əsaslanır. Mobil infrastruktur haqqında əlavə məlumatlar GSMA Mobil İqtisadiyyat Hesabatından (2023) və Twilio Mesajlaşma Vəziyyətindən (2022) götürülmüşdür.
