Энэхүү зөвлөгөө нь “brute force” гэх зэрэг халдлагад өртөн нууц үгээ алдах эрсдлийг бууруулдаг олон төрлийн баталгаажуулалтыг (МFА) хэрхэн тохируулах талаар байгууллагын шийдвэр гаргах эрх бүхий албан тушаалтан болон хэрэглэгчдийг баталгаажуулах шаардлагатай онлайн системийн администраторуудад зориулагдав. Олон төрлийн баталгаажуулалтыг хоёр алхамт баталгаажуулалт, хоёр төрлийн баталгаажуулалт (2FА) ч гэж нэрлэдэг.

        Танилцуулга

        Байгууллагын удирдлагын систем нь нууц үг ашиглан хэрэглэгчийг баталгаажуулж дотоод сүлжээнд нэвтрүүлдэг байсан. Харин өнөө үед шууд интернэтэд холбогдон онлайнаар хамтран ажиллах, алсын зайнаас ажиллах, мэдээллээ хуваалцах зэрэг илүү олон боломж бүрдээд байна. Эдгээр үйлчилгээ нь ихэнхдээ үүлэн тооцоолол дээр суурилсан эсвэл байгууллагын дотоод сүлжээнээс алсын зайны холболтыг зөвшөөрдөг болсон. Дээрх хоёр төрлийн систем дээр хэрэглэгчид болон халдлага үйлдэгчдийн хандалтыг хянахдаа баталгаажуулалт шаардах нь гол шийдэл болоод байна.

        Сүүлийн үед халдлага үйлдэгч нь жинхэнэ хэрэглэгчийн эрхийг өөртөө олгох замаар нууц үгийг хулгайлж эсвэл тааж системд нэвтрэх болсон.

        Ингэснээр жинхэнэ хэрэглэгч, халдлага үйлдэгч хоёрыг ялгах ямар ч боломжгүй байгаа юм. Халдлагын арга техникүүдээс дурдвал:

• Хэрэглэгчийн өөр системд хэрэглэж буй нууц үгийг туршиж үзэх,
• Фишинг /phishing/ халдлагын төрлийг ашиглан хэрэглэгчийн мэдээллийг олж авах,
• Тухайн хэрэглэгчийн өмнө нь ашиглаж байсан нууц үгийн жагсаалтаас нэг нэгээр нь сонгон бүх аккаунт руу нь нэвтрэх оролдлого хийх. Үүнийг “password” гэж нэрлэдэг ба зарим хэрэглэгчид хуучин нууц үгээ дахин ашиглах магадлалтай байдаг тул түүнийг нь ашиглан халдлага үйлддэг. Статистикаас харвал хэрэв олон удаагийн амжилтгүй оролдлого хийснээр тухайн аккаунт автоматаар түгжигддэг бол ийм төрлийн халдлага багасах боломжтой гэж үзэж байна. Энэ арга нь нэг аккаунт руу маш олон хувилбараар нэвтрэхээр оролддог “brute force” халдлагыг бодвол илүү төөрөгдүүлэх давуу талтай.

        Ямар үед нэмэлт баталгаажуулалт ашиглах вэ?

        Нууц угээр баталгаажуупалт хийж байгаа тохиолдолд хэрэглэгчид болон админууд ихэвчлэн машин таах боломжтой нууц үгийг сонгодог Тиймээс:

• Байгууллагууд олон төрлийн баталгаажуулалт дэмждэг үүлэн тооцоолол болон интернэтэд холбогдсон системийг сонгох хэрэгтэй.
• Админ болон бусад хэрэглэгчид үүлэн болон интернэтэд холбогдсон системийг ямар ч нөхцөлд олон төрлийн баталгаажуулалт хийж ашиглаарай. Ялангуяа хувийн болон нууц мэдээлэл дээр баталгаажуулалт их чухал.
• Байгууллагууд нэг төрлийн баталгаажуулалттай систем ашиглахаар бол сайн нягталж шалгах хэрэгтэй.
• Баталгаажуулалт нь тухайн үеийн нөхцөл, системээс хамааран өөрчлөгдөж болно.

Жишээлбэл:

• Хэрэглэгч өмнө нь хандаж байгаагүй төхөөрөмжөөс нэвтрэх үед нэмэлт баталгаажуулалт шаардлагатай. Эсрэгээрээ өмнө нь ашиглаж байсан төхөөрөмжөөс нэвтрэх үед нэмэлт баталгаажуулалт шаардагдахгүй. Тухайн систем дээр “Төхөөрөмжийг санах эсэх" гэсэн сонголттой тохиргоо хэрэгтэй болно.
• Цахим шуудангийн аккаунт, онлайн банк зэрэг эрсдэл, үр нөлөө ихтэй аккаунт руу нэвтрэх бүрт нэмэлт баталгаажуулалт шаардлагатай.
• Гүйлгээ хийх, нууц үг солих зэрэг маш өндөр эрсдэлтэй үйлдэл дээр нэмэлт баталгаажуулалт ашиглан дахин бататгах хэрэгтэй.
• Гадаадаас буюу өөр байршлаас хандалт хийвэл мөн нэмэлт баталгаажуулалт шаардана.

НЭМЭЛТ БАТАЛГААЖУУЛАЛТЫГ ХЭРХЭН СОНГОХ ВЭ?

        Таны ашиглаж байгаа систем таны сонгосон баталгаажуулалтыг дэмжихгүй байх магадлалтай тул өөрийн системдээ тохируулж сонголт хийгээрэй. Дараах баталгаажуулалтын төрлүүд байна:

·         Удирдлагын төхөөрөмжөөр нэмэлт баталгаажуулалт хийх.

        Байгууллагынхаа төхөөрөмжөөр буюу дотоод сүлжээнээс онлайн систем рүү хандалт хийж тэрхүү төхөөрөмж нь баталгаа болж өгдөг. Тухайн онлайн систем нь зөвхөн дотоод сүлжээнээс хандана гэсэн тохиргоо хийсэн байдаг ба хэрэглэгч гаднаас хандахаар бол \/РN ашиглан холбогдох шаардлага гарна.

·         Итгэмжлэгдсэн төхөөрөмж дээр аппликейшн суулган нэмэлт баталгаажуулалт хийх.

        Хэрэглэгчийн эзэмшлийн төхөөрөмж нь түүнийг гэж нотолдог. Төхөөрөмж дээр суулгасан аппликейшн нь минут тутамд нэг удаагийн нууц үг үүсгэнэ, хэрэглэгч тэрхүү нууц үгийг ашиглан баталгаажуулалт хийх юм.

·         Биет зүйлээр нэмэлт баталгаажуулалт хийх

        Хэрэглэгчийн эзэмшлийн нууц “smart card”, "сhip-card” зэрэг хийсвэр бус биет зүйл нь баталгаа болж өгөх ба гар утас эсвэл зөөврийн компьютер дээрх USВ, Вluetooth, NFС холболтуудыг ашиглан баталгаажуулалт хийнэ.

·       Итгэмжлэгдсэн аккаунт ашиглан нэмэлт баталгаажуулалт хийх                                                                                

        Бүртгэлтэй имэйл хаяг эсвэл гар утас руу код илгээн, тухайн кодыг системд оруулснаар таныг гэж нотолно. Гэхдээ энэ аргыг код илгээж байгаа имэйл хаяг нь хандаж байгаа аккаунтаас өөр нууц үгтэй үед ашиглах боломжтой байдаг.

·         Бусад мэдээлэл ашиглан нэмэлт баталгаажуулалт хийх

        Хэрэглэгчээс нэмэлт асуулт асууж хариултаар нь баталгаажуулалт хийдэг. Гэхдээ бид энэ аргыг тэр болгон санал болгодоггүй. Учир нь хэрэглэгчид мартахааргүй хариулахад амар нууц асуулт, хариулт бүртгүүлдэг тул халдлагад өртөх магадлал өндөр байдаг.

        Нэмэлт анхааруулга

        Онлайн системд баталгаажуулалт хийхэд танай мэдээлэл технологийн багийн тусламж хэрэг болно. Хэрэв хэрэглэгчид баталгаажуулалтын мэдээллээ алдсан бол дахин тохируулж, алдсан тухайгаа мэдээллэх шаардлагатай. Баталгаажуулалтыг хэрхэн эхнээс нь дахин тохируулах талаар нягталж хараарай. Та халдлага үйлдэгч давж чадахааргүй баталгаажуулалт тохируулах хэрэгтэй. Хэрэв системийн тохиргооноос хамааран олон төрлийн баталгаажуулалт хийх боломжгүй бол тухайн үйлчилгээний хандалтыг өсч байна уу гэдгийг хянаж байгаарай. Нэг төрлийн баталгаажуулалтын арга ашигладаг аккаунт дээр хамгаалалтын хяналтыг сайжруулах шаардлагатай болдог бөгөөд ингэснээр зөвшөөрөлгүй хандалтуудыг хялбархан илрүүлнэ.

        Бүрэн хамгаалалт

        Удирдлагын хяналтын системд амжилттай болон амжилтгүй баталгаажуулалтын хүсэлтийг тайлагнах хэрэгтэй. Ингэснээр хяналтын систем дээр энгийн бус үйл ажиллагаа, түүний тасалдлын бүртгэл хөтлөхөд дөхөм болно. Хэрэглэгч нь цахим шуудангаар мэдэгдэл авах үйлчилгээ авсан бол нэвтрэлт хийх үед түүн рүү имэйл илгээх нь зөвшөөрөлгүй хандалтыг илрүүлэх үр дүнтэй арга юм. Зарим онлайн систем хэрэглэгч өмнөхөөсөө тэс өөр байршлаас хандаж байвап IР хаяг дээр тулгуурлан баталгаажуулалт шаарддаг. Баталгаажуулалтыг бүхлээр зогсоох өндөр эрсдэлтэй үед илүү хүчтэй нөлөө үзүүлэх баталгаажуулалт сонгох хэрэгтэй. Эдгээр арга нь “brute force” халдлагыг бууруулж чадах ч олон төрлийн баталгаажуулалтыг тохируулах нь хамгийн үр дүнтэй арга юм.