İki addımlı autentifikasiya: Pin Up AZ-da niyə lazımdır?

Pin Up AZ-da iki addımlı yoxlamanı necə aktivləşdirmək olar?

İki faktorlu autentifikasiya (2FA) hesaba girişin birdəfəlik kod və ya cihaz yoxlanışı kimi ikinci müstəqil faktorla təsdiqləndiyi təkmilləşdirilmiş hesab təhlükəsizliyi mexanizmidir. O, NIST SP 800-63B (Digital Identity, 2017/2020) “bilik + sahiblik” prinsipinə əsaslanır və onun maliyyə əməliyyat platformalarında tətbiqi PSD2 (AB, 2018) Güclü Müştəri Doğrulaması (SCA) ilə uyğun gəlir. Pin Up AZ ekosistemində praktiki proses metodun seçilməsini (SMS, TOTP (Vaxt əsaslı Birdəfəlik Parol) və ya təkan təsdiqi), QR kodu və ya telefon nömrəsinin yoxlanılması vasitəsilə cihazı əlaqələndirməyi və təcili giriş üçün ehtiyat kodların saxlanmasını əhatə edir. İstifadəçinin faydası göz qabağındadır: parol sızsa belə, balansa, bonuslara və əməliyyat tarixçəsinə giriş ikinci amil tərəfindən təsdiqlənənə qədər bloklanır və icazəsiz əməliyyatlar riskini azaldır. Azərbaycanın yerli kontekstində TOTP davamlılığı 2020–2022 Telekom Təhlükəsizlik Hesabatları ilə təsdiqləndiyi kimi potensial mobil şəbəkə gecikməsini kompensasiya edir və ehtiyat kodlarının mövcudluğu alternativ giriş yollarını təyin edən OWASP ASVS 4.0 (2019) ilə uyğun gəlir.

TOTP (Vaxt əsaslı birdəfəlik parollar) uyğun autentifikatorlardan istifadə etməklə konfiqurasiya edilir: istifadəçi sirri (toxum) olan QR kodunu skan edir, bundan sonra proqram RFC 6238 (IETF, 2011) uyğun olaraq hər 30 saniyədən bir kod yaradır. Bu yanaşma FIDO Alyansının XİN tövsiyələrində (2021) və autentifikasiya üçün təhdid modelləri haqqında ENISA hesabatında (2021) qeyd edildiyi kimi (SMS-dən fərqli olaraq) rabitə kanalının ələ keçirilməsinə davamlı olaraq tanınır. Praktiki hal: Bakıdakı bir istifadəçi TOTP generatorunu əlaqələndirdi, test girişini həyata keçirdi, parol menecerində ehtiyat kodları saxladı və sinxronizasiya səbəbindən uğursuzluğu istisna etmək üçün smartfonunda vaxt sinxronizasiyasını yoxladı. İstifadəçi üstünlüklərinə şəbəkə əhatəsindən müstəqillik, mesajlaşma xərclərinin olmaması, SİM-in dəyişdirilməsi hücumlarına qarşı müqavimət və səyahət və ya rouminq zamanı proqnozlaşdırıla bilən giriş daxildir. Risklərin idarə edilməsi və hadisələrin auditi baxımından ISO/IEC 27001:2022 giriş əməliyyatlarının qeydiyyatını, o cümlədən 2FA-nın aktivləşdirilməsini və insidentlərin araşdırılmasını asanlaşdıran alternativ amillərin istifadəsini tələb edir.

SMS kodları kütləvi auditoriya üçün ümumi ikinci amildir, quraşdırma həddi aşağıdır, lakin operator şlüzlərinin keyfiyyətindən və mesajların yönləndirilməsinin davamlılığından asılıdır. Çatdırılma gecikmələri və SİM-in dəyişdirilməsi (SİM-in yenidən buraxılması, kodun tutulması) daxil olmaqla SMS zəiflikləri ENISA Threat Landscape 2022 və 2019-2022-ci illər üçün bir sıra telekommunikasiya analitikasında ətraflı təsvir edilmişdir. Buna görə də Azərbaycanda SMS-dən ehtiyat nüsxə və bildiriş kimi istifadə etmək məntiqlidir, TOTP isə stabil giriş üçün əsas üsuldur. Praktiki nümunə: Gəncədə istifadəçi axşam saatlarında SMS mesajlarında 30-60 saniyə gecikmə yaşayır; TOTP-ə keçid problemi dərhal həll edir və təkan yerli rabitə üçün seçim olaraq qalır. SCA (PSD2, 2018) parol ilə birlikdə SMS kimi “sahibi olmağa” icazə verir, lakin sənaye qaydaları TOTP və ya təkanla davamlılığın artırılmasını tövsiyə edir, xüsusən də kanalın tutulması riski olduqda. Şəffaflıq və nəzarət ISO/IEC 27001:2022-yə uyğun gələn giriş qeydləri və bildirişlər vasitəsilə təmin edilir.

Push təsdiqi, giriş təsdiq sorğusu göndərən və səhvləri və idrak yükünü azaldan, əl ilə kod daxil edilməsi ehtiyacını azaldan etibarlı cihazda “sahiplik” faktorudur. Bu ssenari FIDO Alyansı Təlimatlarının (2021) açıq razılıq konsepsiyasına uyğundur və yerli cihaz biometrikası ilə birləşdirilə bilər. Praktik hal: Sumqayıtda istifadəçi əsas metod kimi push-u işə salır; bildirişlər söndürüldükdə və ya şəbəkə bağlantısı olmadıqda, o, fasiləsiz girişi təmin edərək TOTP-dən istifadə edir. Məhdudiyyətlərə internetdən asılılıq və düzgün konfiqurasiya edilmiş bildirişlər daxildir, buna görə də davamlılıq üçün hibrid yanaşma tövsiyə olunur: əsas metod kimi push, oflayn ehtiyat nüsxə kimi TOTP və fəlakətli cihaz itkisi ssenariləri üçün ehtiyat kodlar. Audit və insidentlərin araşdırılması ilə bağlı ISO/IEC 27001:2022 tələblərin təsdiqlənməsi və rədd edilməsinin qeydə alınmasını tələb edir ki, bu da naməlum cihazlardan daxil olmaq cəhdlərini müəyyən etməyə kömək edir.

Ehtiyat kodlar ilkin ikinci amil mövcud olmadıqda fövqəladə giriş üçün əvvəlcədən yaradılmış, birdəfəlik ehtiyat kodlardır. OWASP ASVS 4.0 (2019) gizli kompromis riskini azaltmaq üçün istifadəçilərə məhdud sayda belə kodları təqdim etməyi, hər istifadəni qeyd etməyi və onların istifadəsi barədə onlara məlumat verməyi tövsiyə edir. Praktik hal: Mingəçevirdən olan istifadəçi 10 ehtiyat kodu çap edir, onları smartfonundan ayrı kağız seyfdə saxlayır və birini istifadə etdikdən sonra öz hesabına daxil olur, yeni dəsti bərpa edir və jurnalda dəyişiklikləri qeyd edir. İstifadəçinin üstünlüyü, telefon itirilsə və ya şəbəkə kəsilmələri olsa belə, xətaya dözümlülük və bərpanın proqnozlaşdırıla bilməsidir. Terminoloji olaraq, “ehtiyat kodları” ikinci cihaz tələb etməyən, lakin fiziki yaddaş təhlükəsizliyini tələb edən birdəfəlik giriş nişanlarıdır; onların istifadəsi ISO/IEC 27001:2022-yə uyğun olaraq giriş tarixçəsində qeyd olunur.

Cihazın dəyişdirilməsi və bərpası planı ENISA-nın XİN təlimatlarında (2021) təsvir etdiyi faktorun həyat dövrünün idarə edilməsi prosesidir (qeydiyyat → texniki xidmət → ləğv → yenidən qeydiyyat). Telefonları dəyişdirərkən, yenilənmiş ehtiyat kodlarının olub olmadığını yoxlamaq, mümkünsə TOTP sirlərini ixrac etmək (müştəri tərəfindən dəstəklənirsə) və ya köhnə cihazın əlaqəsini kəsmək və təzə QR kodundan istifadə edərək yenisini əlaqələndirmək vacibdir. Məsələnin ssenarisi: Bakıdakı istifadəçi smartfonu dəyişir, ehtiyat kodları yoxlayır, köhnə autentifikatorla əlaqəni kəsir, yenisini əlaqələndirir, test girişini həyata keçirir və ehtiyat kodları bərpa edir, sonra anormal cəhdlər üçün hadisə jurnalını yoxlayır. İstifadəçinin faydası “lokavt” olmadan problemsiz keçid və köhnə cihazlarda risklərin azaldılmasıdır. Əlavə tədbir profildə anti-fişinq kodunu işə salmaq və gizli sızmanın qarşısını almaq üçün hər bir əlaqə ilə domeni yoxlamaqdır. Bu cür təcrübələr insidentlərin idarə edilməsi və girişə nəzarət prosedurları üzrə ISO/IEC 27001:2022 standartına uyğundur.

 2FA metodunu necə seçmək olar – SMS, TOTP və ya təkan?

2FA metodunun seçimi Güclü Müştəri Doğrulama Prinsiplərində (PSD2, 2018) və ENISA-nın Çox Faktorlu Doğrulama Təlimatlarında (2021) birbaşa əks olunduğu kimi etibarlılıq, sürət və şəbəkənin mövcudluğu balansına düşür. Azərbaycanın qeyri-sabit şəbəkələri olan regionları üçün TOTP oflayn kodlar və operator müstəqilliyini təmin edir, şəhər yerlərində isə push açıq təsdiqlə sürətli giriş təmin edir. Praktik nümunə: Bakı və dağlıq ərazilər arasında tez-tez səyahət edən istifadəçi səyahət üçün əsas üsul kimi TOTP, ev/ofis istifadəsi üçün push və ehtiyat bildirişlər və alternativ kanal kimi SMS seçir. İstifadəçi proqnozlaşdırıla bilən giriş vaxtlarından və xüsusilə pik saatlarda kod uğursuzluğu riskinin azaldılmasından faydalanır.

Texniki və tarixi kontekst müxtəlif təhdid modellərini ortaya qoyur: SMS 2019–2022 Telekom Hesabatlarında və ENISA Təhdid Mənzərəsi 2022-də sənədləşdirildiyi kimi şlüz gecikmələrinə və SİM dəyişdirilməsinə qarşı həssasdır; TOTP yerli vaxtdan və RFC 6238-də (IETF, 2011) göstərildiyi kimi məxfi açardan istifadə edir və kanal oğurlanması olmadan hücum səthini azaldır. FIDO Alliance (2021) tərəfindən rahat “sahiplik” faktoru kimi tövsiyə edilən təkan təsdiqi kodları əl ilə daxil etmək ehtiyacını aradan qaldıraraq idrak yükünü azaldır və giriş cəhdləri üzərində açıq nəzarəti təmin edir. Praktik bir misal: Sumqayıt sakini şəhərdə push bildirişlərindən istifadə edir, lakin bildirişlər söndürüldükdə və ya şəbəkə problemləri yarandıqda giriş sabitliyini qoruyaraq TOTP-yə keçir. Bu hibrid seçim ENISA (2021) amillərin müstəqilliyi və kanal uğursuzluqlarına davamlılıq üzrə tövsiyələrinə uyğundur.

 Ehtiyat kodları haradan tapıb saxlaya bilərəm?

Yedək kodlar 2FA işə salındıqdan sonra təhlükəsizlik bölməsində mövcuddur və alternativ autentifikasiya mexanizmlərini təmin etmək üçün OWASP ASVS 4.0 (2019) təlimatlarına uyğun olaraq təcili giriş üçün nəzərdə tutulub. NIST SP 800-63B (2017/2020) standartına uyğun olaraq, bu cür kodlar zəifləmiş, lakin istifadəsi məhdudlaşdırılıbsa və sistemə daxil edilirsə məqbul bərpa mexanizmləri hesab olunur. Case study: Bakıdakı istifadəçi kodları şifrələnmiş parol menecerində saxlayır, “Pin Up AZ 2FA Backup” yazısını etiketləyir, istifadə etdikdən sonra onları bərpa etmək üçün xatırlatma əlavə edir və kağız nüsxəsini öz cihazlarından ayrı ev seyfində saxlayır.

Saxlama yerinin seçilməsi kompromis riskini və tam kilidləmə riskini azaltmaq üçün açardır. Təhlükəsizlik təcrübələri oflayn istifadəni təklif edir: ya kağız və fiziki yaddaş, ya da hardware parol meneceri; rəqəmsal seçim seçilərsə, yalnız öz 2FA və yerli verilənlər bazası olan şifrəli menecer tövsiyə olunur. İstifadəçi üstünlüklərinə fors-major vəziyyətlərində zəmanətli giriş, sənədləşdirilmiş istifadə və giriş insidentlərinin idarə edilməsi üçün ISO/IEC 27001:2022 standartına uyğunluq daxildir. Əlavə olaraq, ehtiyat koddan istifadə etdikdən və kompromat edilmiş nişanın təkrar istifadəsinin qarşısını almaq üçün dəsti bərpa etdikdən sonra giriş tarixçəsini yoxlamağa dəyər; bu, ENISA (2021) faktorunun həyat dövrü idarəetmə prinsiplərinə uyğundur.

 İki addımlı doğrulama girişə mane olacaq və bu nə dərəcədə rahatdır?

2FA-nın istifadə qabiliyyətinə təsiri SCA (PSD2, 2018) və ENISA-nın Çox Faktorlu Doğrulama UX Təlimatlarında (2021) qeyd edildiyi kimi, giriş vaxtı ilə icazəsiz giriş ehtimalının azaldılması arasında mübadilədir. Tipik bir Pin Up AZ ssenarisində bir addım əlavə olunur: birdəfəlik kodun daxil edilməsi və ya cihazda sorğunun təsdiqlənməsi, şəhər mühitində təkan üçün 1-2 saniyə və TOTP üçün 5-10 saniyə, SMS gecikmələri isə şəbəkədən asılıdır. Case study: Bakıda istifadəçi ani daxil olmaq üçün push-dan istifadə edir; bölgələrə səyahət edərkən əhatə dairəsindən asılı olmayaraq TOTP-dən oflayn istifadə edirlər. İstifadəçi proqnozlaşdırıla bilən giriş vaxtından və balansının və bonus aktivlərinin icazəsiz əməliyyatlardan qorunmasından faydalanır ki, bu da maliyyə əməliyyatları üçün xüsusilə vacibdir.

SMS gecikmələri 2020–2022 Telekom Təhlükəsizlik Hesabatlarında və ENISA 2022 rabitə təhlükəsi icmallarında əks olunduğu kimi operator şlüzünün sıxlığı və trafikin filtrasiyası ilə bağlı əsas narahatçılıq mənbəyidir. Azərbaycan üçün rasional arxitektura TOTP-dən əsas aktivləşdirici kimi istifadə etmək, şəhər yerlərində ən sürətli seçim kimi təkan vermək və ehtiyat ssenarilər və bildirişlər üçün SMS-dən istifadə etməkdir. Case study: Gəncə sakini axşamlar SMS gecikmələri yaşayır; TOTP-ə keçid gözləmədən stabil girişi təmin edir və TOTP ilə cihaz vaxtının sinxronizasiyası NTP parametrləri ilə düzəldilir. İstifadəçinin üstünlüyü müstəqil amillər sayəsində şəbəkə dalğalanmalarına davamlılıq və giriş şəffaflığıdır.

Push təsdiqi, FIDO Alliance Təlimatlarında (2021) qeyd olunduğu kimi, etibarlı cihazda açıq razılıq modelini təmin etməklə kodların əl ilə daxil edilməsi ilə bağlı koqnitiv yükü və xəta riskini minimuma endirir. Pin Up AZ kontekstində bu, naməlum sorğuları tez bir zamanda rədd etmək və icazəsiz giriş cəhdlərinin qarşısını almaq imkanı deməkdir. Nümunə: Sumqayıtda düzgün konfiqurasiya edilmiş bildirişləri olan istifadəçi bir toxunuşla girişi təsdiqləyir; “Narahat Etməyin” rejimi və ya söndürülmüş bildirişlərlə istifadəçi sürəti itirir, bu da TOTP ehtiyat nüsxəsinin olması ilə əvəzlənir. Məhdudiyyətlərə internetə çıxış və bildiriş parametrlərindən asılılıq daxildir, lakin amillərin hibrid konfiqurasiyası faktor müstəqilliyi üzrə ENISA 2021 standartına uyğun gələn istifadəçi təcrübəsini sabitləşdirir.

Sabitlik və rahatlıq OWASP ASVS 4.0 (2019) tərəfindən nəzərdə tutulan və ISO/IEC 27001:2022 tərəfindən yoxlanılan geri qaytarma ssenariləri ilə gücləndirilir. Praktik bir nümunə: istifadəçi smartfonunu itirdi, ehtiyat kodu ilə daxil oldu, dərhal yeni dəsti bərpa etdi, təzə autentifikatoru əlaqələndirdi və şübhəli fəaliyyət üçün giriş jurnalını yoxladı. İstifadəçi üstünlüklərinə heç bir fasilə və ya kilidləmə, idarə olunan bərpa və əməliyyat şəffaflığı daxildir. Əlavə rahatlıq tədbirləri arasında etibarlı cihaz etiketləri (mümkün olduqda), bir cihazda kod sorğularının sürətinin məhdudlaşdırılması və yeni girişlər haqqında bildirişlərin aktivləşdirilməsi daxildir.

Azərbaycanın yerli qoşulma xüsusiyyətlərini nəzərə almaq istifadəçi təcrübəsinin proqnozlaşdırıla bilənliyini artırır: GSMA Mobile Connectivity Index-ə (2022) əsasən, şəhər əhatə dairəsi sabitdir, kənd yerlərində isə kəsilmələr mümkündür. Bu, TOTP-ni şəhər ərazilərində sürətli cavab üçün təkan bildirişləri ilə oflayn ssenarilər üçün əsas üsul kimi əsaslandırır. SMS ehtiyat kanal kimi və istifadəçi bildirişləri üçün istifadə olunur. Məsələn, Bakıdakı oyunçu gündəlik istifadədə push bildirişlərindən və səyahət üçün TOTP-dən istifadə edir. Şəbəkənin qəfil əlçatmazlığı halında, TOTP fasiləsiz girişi təmin edir və hadisə jurnalı hər cəhdi qeyd edir. Bu konfiqurasiya qeyri-sabit əlaqə ilə mühitlərdə davamlı XİN sxemlərinin layihələndirilməsi üçün ENISA 2021 tövsiyələrinə uyğundur.

 SMS və ya e-poçt kodları alınmazsa nə etməli?

SMS və ya e-poçt kodu uğursuzluqları 2020–2021 Telekom Təhlükəsizliyi Hesabatları ilə təsdiqləndiyi və hücumlar və kanal xətaları üçün ENISA Təhdid Mənzərəsi 2022-də qeyd edildiyi kimi şlüz sıxlığı, spam filtrasiyası və şəbəkə qeyri-sabitliyi ilə əlaqələndirilir. Fəaliyyətlərin əsas ardıcıllığı əhatə dairəsini və profildəki əlaqə məlumatlarının düzgünlüyünü yoxlamaq, yenidən göndərmək və e-poçt spam qovluğunu yoxlamaqdır. Case study: Gəncədə istifadəçi pik saatlarda SMS almır. O, TOTP-yə keçir və gözləmədən daxil olur; o, xidmət mesajlarının bloklanmadığından əmin olmaq üçün operatoru ilə parametrləri yoxlayır. İstifadəçi üstünlükləri azaldılmış giriş gecikmələri və proqnozlaşdırıla bilən girişdir.

Dayanıqlılıq üçün ikinci, əlaqədən asılı olmayan faktorun – TOTP – olması və şəhər şəbəkələri üçün SCA prinsiplərinə (PSD2, 2018) və amil müstəqilliyinə dair ENISA 2021 tövsiyələrinə uyğun olaraq təkandan istifadə etmək tövsiyə olunur. Ən yaxşı təcrübələr: TOTP-ni əsas kanal kimi konfiqurasiya etmək, bildirişlər üçün SMS-i saxlamaq və ikinci kanal kimi, sürətli daxil olmaq üçün təkanı aktivləşdirmək; hər hansı bir kanal uğursuz olarsa, dərhal alternativə keçin. Əlavə tədbirlərə TOTP-nin düzgünlüyünü təmin etmək üçün sistem vaxtının yoxlanılması, e-poçtun etibarlılığının təsdiqlənməsi və giriş bildirişlərinin konfiqurasiyası daxildir. Bu, çoxqatlı mühafizə yaradır və giriş insidentinin idarə edilməsi üzrə ISO/IEC 27001:2022 standartına uyğun olan tam bloklanma ehtimalını azaldır.

 TOTP ilə internet olmadan daxil olmaq mümkündürmü?

Oflayn giriş TOTP ilə mümkündür, çünki kod RFC 6238-də (IETF, 2011) müəyyən edildiyi kimi vaxt və məxfi açardan istifadə edərək cihazda lokal olaraq yaradılır. Server vaxta əsaslanan alqoritmdən istifadə edərək daxil edilmiş kodu yoxlayır və müştəri düzgün qurulmuş sistem saatı və autentifikator proqramına giriş tələb edir. Praktik nümunə: Azərbaycanın dağlıq bölgəsində əlaqə olmadan istifadəçi TOTP-yə daxil olur və autentifikasiya edir; desinxronizasiyaya görə autentifikasiya uğursuz olarsa, istifadəçi NTP-dən istifadə edərək saatı tənzimləyir və yenidən cəhd edir. İstifadəçi əhatə zonalarından kənarda zəmanətli əlçatanlıqdan və operatordan asılılıqdan müstəqillikdən faydalanır.

TOTP vasitəsilə oflayn girişin məhdudiyyətləri məxfi həyat dövrünün idarə edilməsi və ehtiyat nüsxə ssenariləri ilə bağlıdır: cihazın itirilməsi və ya zədələnməsi ehtiyat kodunun istifadəsini və ya autentifikatorun yenidən bağlanmasını tələb edəcək. OWASP ASVS 4.0 (2019) və ISO/IEC 27001:2022 fövqəladə vəziyyət ssenarilərini planlaşdırmağı, ehtiyat kodun istifadəsini qeyd etməyi və istifadədən sonra dəsti dərhal bərpa etməyi tövsiyə edir. Praktik yanaşma: şəbəkə əhatə dairəsi olmayan uzun səfərlərdən əvvəl ehtiyat kodların olduğundan əmin olun, autentifikatoru sınaqdan keçirin və cihazları dəyişdirərkən sabit şəbəkədə bağlama/bağlama prosesini əvvəlcədən yerinə yetirin. Bu, bloklanma riskini azaldır və proqnozlaşdırıla bilənliyi təmin edir.

 Telefonunuzu və ya kodları itirdiyiniz halda hesabınıza girişi necə bərpa etmək olar?

İkinci amilin itirilməsi halında girişin bərpası FATF tövsiyələrində (2023) təsvir edilən ISO/IEC 27001:2022 və KYC (Müştərinizi Tanıyın) şəxsiyyət yoxlama prosedurlarına uyğun olaraq giriş insidentinin idarə edilməsi təcrübələri ilə tənzimlənir. Pin Up AZ aşağıdakı variantları təklif edir: ehtiyat kodla daxil olmaq, şəxsiyyətin yoxlanılması ilə dəstək xidməti ilə əlaqə saxlamaq və ya sənəd təsdiqindən sonra yeni cihazı yenidən əlaqələndirmək. Tipik bərpa müddəti təqdim olunan məlumatların tamlığından və onlayn platformalar üçün sənaye təcrübəsinə uyğun gələn dəstək qrupunun iş yükündən asılı olaraq 24-72 saatdır. Case study: Bakıda istifadəçi smartfonunu itirir, ehtiyat kodla daxil olur, yeni dəsti bərpa edir, təzə TOTP kodunu əlaqələndirir və sonra şübhəli fəaliyyəti istisna etmək üçün giriş jurnalını yoxlayır. İstifadəçi dayanma müddətini minimuma endirməkdən və maliyyə aktivlərini qorumaqdan faydalanır.

2018-ci ildən 2020-ci ilə qədər hesab hücumlarının artması ENISA Təhdid Mənzərəsində (2020) öz əksini tapdı, MFA/2FA-nın istifadəsini məcburi etdi və bərpa zamanı şəxsiyyətin yoxlanılmasında KYC-nin rolunu gücləndirdi. Azərbaycanda KYC prosedurları AML (Anti-Money Laundering) tələblərinə uyğunlaşdırılaraq, şəxsiyyət oğurluğu və hesaba icazəsiz giriş riskini azaldır. Praktik bir nümunə: ehtiyat kodları olmadıqda, istifadəçi sənədlə pasport və selfi yükləyir, dəstək məlumatları yoxlayır və bərpa müəyyən edilmiş müddət ərzində tamamlanır. İstifadəçi şəxsiyyətini təsdiq edən hüquqi sübut ilə zəmanətli girişin bərpasından faydalanır; məhdudiyyətlər azaldılmış risklərlə əvəzlənən müvəqqəti gecikmələrdir.

 Bütün amillər itirildikdə nə etməli – telefon, kodlar və poçt?

Bütün amillərin (telefon, ehtiyat kodları və e-poçt girişi) tam itirilməsi, PSD2 (SCA, 2018) və FATF Rəhbərliyi (2023) tərəfindən müəyyən edildiyi kimi, saxta girişin qarşısını almaq üçün ciddi KYC və hadisə auditini birləşdirən prosedur tələb edir. Sənədlərlə şəxsiyyətin yoxlanılması (pasport, şəxsiyyət vəsiqəsi), biometrik yoxlama (sənədlə selfi) və qeydiyyat məlumatlarının yoxlanılması tətbiq edilir, ardınca ikinci faktorun sıfırlanması və yenidən əlaqələndirilməsi həyata keçirilir. Məsələnin nümunəsi: Gəncədən olan istifadəçi uzadılmış yoxlamadan keçir və ona yeni autentifikatoru əlaqələndirmək və ehtiyat kodları bərpa etmək üçün 48 saat vaxt verilir. İstifadəçi, üçüncü tərəflər tərəfindən balansın pozulmasının qarşısını almaqla, hətta tam bloklama halında belə hesabın bərpasından faydalanır.

Texniki cəhətdən sistem ISO/IEC 27001:2022-nin giriş və girişə nəzarət tələblərinə uyğun gələn yoxlama tamamlanana qədər bütün giriş cəhdlərini qeyd edir və şübhəli fəaliyyəti bloklayır. Məhdudiyyət dərhal daxil ola bilməməkdir, lakin bu, sui-istifadə və şəxsiyyət saxtakarlığı riskini azaldır. Bərpa edildikdən sonra istifadəçi giriş tarixçəsini yoxlamalı, parolunu dəyişməli, 2FA-nı aktivləşdirməli və OWASP ASVS 4.0 (2019) autentifikasiya dövrü ilə uyğun gələn faktor və kanal səviyyəsində autentifikasiyanı təmin etmək üçün ehtiyat kodları qurmalıdır.

 Özünüzü fişinq və saxta saytlardan necə qorumalısınız?

Fişinq istifadəçi hesabları üçün dominant təhlükə olaraq qalır və ENISA Təhdid Mənzərəsi (2022) saxta veb-saytlar və e-poçtlar vasitəsilə hücumların yüksək nisbətini qeyd edir. Effektiv təcrübə fişinq əleyhinə kodlardır: platforma e-poçtlarında orijinalı saxtadan ayıran unikal simvollar, domen yoxlanışı (məsələn, düzgün pinup.az) və məcburi HTTPS ilə birlikdə. Case study: istifadəçi “hesabın yoxlanılması” e-poçtu alır, anti-fişinq kodunu yoxlayır, onu tapa bilmir və keçidə məhəl qoymur, giriş itkisinin qarşısını alır. İstifadəçi zərərli linklərə kliklənmə riskinin azalmasından və məlumatların qorunmasından faydalanır.

2015-ci ildən bəri bir çox platformalar e-poçt hücumlarının artmasına cavab olaraq anti-fişinq kodlarını tətbiq edir və ISO/IEC 27001:2022 informasiya təhlükəsizliyi idarəetmə sistemlərində sosial mühəndisliyə qarşı tədbirləri ehtiva edir. Əlavə tədbirlərə kritik əməliyyatlar üçün təkan bildirişlərinin aktivləşdirilməsi, TOTP-nin əsas təhlükəsizlik faktoru kimi konfiqurasiyası, giriş tarixçəsinin yoxlanılması və yeni cəhdlər üçün bildirişlərin qurulması daxildir. Bu təcrübə OWASP ASVS 4.0 (2019) ilə uyğun gəlir: istifadəçilər qanuni mesajları və müstəqil təsdiq kanallarını müəyyən etmək üçün açıq mexanizmlərlə təmin edilir. Bu, hesabın güzəştə getmə ehtimalını azaldır və təhlükəsizlik tədbirlərinin şəffaflığını təmin edir.

 Azərbaycan üçün hansı iki addımlı autentifikasiya üsulu daha yaxşıdır?

Azərbaycanda 2FA metodunun seçimi əhatə dairəsi fərqlərinə əsaslanır: GSMA Mobil Bağlantı İndeksinə (2022) əsasən, şəhər bağlantısı ümumiyyətlə sabitdir, kənd yerlərində isə kəsilmələr ola bilər. Bu, TOTP-ni oflayn ssenarilər, şəhərlərdə sürətli təsdiq üçün optimal push bildirişləri və şəbəkə əhatə dairəsi mövcud olduqda bildirişlər və giriş üçün ehtiyat kanalı SMS-ə üstünlük verir. Praktik nümunə: Bakıda istifadəçi 1-2 saniyəlik giriş üçün push bildirişlərindən istifadə edir, lakin dağlıq ərazilərə səyahət edərkən şəbəkənin mövcudluğundan asılı olmayaraq sabitliyə nail olmaqla TOTP-yə keçir. İstifadəçi autentifikasiya sxeminin proqnozlaşdırıla bilənliyindən və möhkəmliyindən faydalanır.

Faktor seçimi ilə bağlı qərar təhdid modelini nəzərə almalıdır: SMS gecikmələrə və SİM dəyişdirmə risklərinə həssasdır (ENISA 2021/2022), TOTP isə RFC 6238 (IETF, 2011) uyğun olaraq yerli kodlar yaradır və push etibarlı cihazda açıq razılığı təmin edir (FIDO202 Alyansı,). Faktorların birləşdirilmiş konfiqurasiyası kanalın müstəqilliyi və azaldılmış uğursuzluq ehtimalı ilə bağlı ENISA 2021 tövsiyələrinə uyğundur: şəbəkə mövcud olduqda əsas seçim kimi itələyin, oflayn ehtiyat nüsxə kimi TOTP və cihaz itirildikdə ehtiyat kodları. İstifadəçinin faydası “lokavt” ehtimalının azaldılması və SCA tənzimləmə gözləntilərinə ardıcıl uyğunluqdur.

 TOTP vs. SMS – Hansı daha təhlükəsizdir?

TOTP və SMS-in müqayisəsi göstərir ki, TOTP şəbəkə uğursuzluqlarına və kanal hücumlarına qarşı daha davamlıdır: kodlar zamana və məxfiliyə (RFC 6238, IETF, 2011) əsasən lokal olaraq yaradılır, şəbəkə tələb etmir və cihaza fiziki giriş olmadan ələ keçirmək üçün əlçatmazdır. SMS kodları operatordan asılıdır, marşrutdan asılıdır və ENISA Threat Landscape 2022-də və 2019-2022-ci illər üzrə bir sıra telekommunikasiya hesabatlarında sənədləşdirildiyi kimi, SİM-in dəyişdirilməsinə qarşı həssasdır. Case study: Gəncədə istifadəçi axşam saatlarında SMS çatdırılmasında gecikmələrlə üzləşir; TOTP-ə keçid stabil girişi təmin edir və rabitə kanalı vasitəsilə kompromis riskini azaldır. İstifadəçi üstünlüklərinə proqnozlaşdırıla bilən giriş, xarici infrastrukturdan asılılığın azaldılması və XİN üzrə ENISA 2021 tövsiyələrinə uyğunluq daxildir.

Təhdid modeli fişinqi də nəzərə alır: SMS kodları saxta formalar vasitəsilə aldadıla bilər, TOTP isə push ilə birlikdə açıq razılıq və oflayn kodlar vasitəsilə riski azaldır. Tənzimləmə baxımından hər iki üsul parolla birlikdə sahiblik faktoru kimi SCA (PSD2, 2018) ilə uyğunlaşa bilər, lakin sənaye təcrübəsi telekommunikasiya kanalı təhdidlərinə qarşı dayanıqlılığına görə TOTP və itələməyə doğru dəyişir. İstifadəçinin faydası, xüsusilə qeyri-sabit əhatə dairəsi olan bölgələrdə, giriş vaxtını artırmadan daha yüksək təhlükəsizlik effektivliyidir.

 Pin Up AZ fiziki açarları (U2F/FIDO) dəstəkləyirmi?

Fiziki U2F/FIDO açarları USB/NFC vasitəsilə girişi təsdiqləyən və FIDO Alyansı Təlimatlarında (2021) göstərildiyi kimi fişinq və MITM hücumlarından qorunan kriptoqrafik təsdiqləmə protokolunu həyata keçirən aparat nişanlarıdır. Bu açarlara dəstək əsas veb platformalarında tədricən genişlənir, lakin müəyyən ekosistemlərlə məhdudlaşır; Pin Up AZ, cari tətbiqdən asılı olaraq WebAuthn-u dəstəkləyən brauzerlər vasitəsilə qismən uyğunluq təklif edə bilər. Case study: Bakıdakı istifadəçi FIDO açarı alır, onu uyğun brauzerdə konfiqurasiya edir və bir toxunuşla girişi təsdiqləyir, ələ keçirmə və sosial mühəndislik risklərini azaldır. İstifadəçinin faydası fişinq və SİM dəyişdirilməsinə qarşı maksimum müqavimətdir, məhdudiyyət isə cihazın qiyməti və fiziki giriş ehtiyacıdır.

Təhlükəsizlik standartları nöqteyi-nəzərindən aparat amili təhlükə modelini təkmilləşdirir və SCA (PSD2, 2018) ilə uyğun gələn kanalın müstəqilliyini təmin edən bilik faktoru kimi parolu tamamlayır. Dəstək məhduddursa, TOTP-ni əsas amil kimi istifadə etmək və əlverişli amil kimi təkan vermək məqsədəuyğundur; U2F varsa, onu kritik əməliyyatlar üçün aktivləşdirin və ehtiyat kodları oflayn saxlayın. Bu, XİN kontekstində ENISA 2021 və OWASP ASVS 4.0 (2019) tərəfindən tövsiyə edildiyi kimi çoxqatlı qoruma yaradır.

 Niyə tənzimləyicilər iki addımlı yoxlama tələb edir?

Tənzimləyicilər Güclü Müştəri Doğrulamasının (PSD2, Aİ, 2018) və hərtərəfli fırıldaqdan qorunmanın elementi kimi 2FA tələb edir, FATF Rəhbərliyi (2023) isə maliyyə xidmətlərində etibarlı müştəri identifikasiyası və girişə nəzarət ehtiyacını vurğulayır. Pin Up AZ kontekstində bu o deməkdir ki, əməliyyatlar və hesaba giriş yalnız parollarla təmin edilməməlidir, çünki sızmalar və fişinq parolları qeyri-kafi edir. İstifadəçilər üçün praktiki fayda icazəsiz pul çıxarma və bonus manipulyasiyası ehtimalının azaldılması, həmçinin bildirişlər və qeydlər vasitəsilə giriş şəffaflığıdır. ISO/IEC 27001:2022 standartlarına uyğunluq insidentlərin idarə edilməsini və yoxlanıla bilən təhlükəsizlik prosedurlarını təmin edir.

Tarixən güclü autentifikasiya 2015 və 2018-ci illər arasında onlayn ödənişlərə edilən hücumların artmasından sonra sənaye standartına çevrilib, bunu ENISA hesabatları (2018) və XİN təcrübələrində sonrakı yeniləmələr sübut edir. Azərbaycanda AML/KYC prosedurları 2FA-nı tamamlayır, girişin bərpasının yalnız sənədləri olan real sahibi üçün baş verməsini təmin edir və şəxsiyyət oğurluğu riskini azaldır. Case study: Bakıdakı istifadəçi bərpa zamanı KYC-dən keçir və aktiv 2FA parol sızsa belə üçüncü tərəfin girişinin qarşısını alır. İstifadəçi beynəlxalq çərçivələrə uyğunluqdan, ekosistemin etibarlılığını və hesaba giriş sabitliyini artırmaqdan faydalanır.

 2FA və KYC necə əlaqəlidir?

2FA və KYC arasındakı əlaqə rolların ayrılması ilə müəyyən edilir: KYC istifadəçinin şəxsiyyətini təsdiqləyir (qeydiyyat və ya bərpa zamanı şəxsiyyətin yoxlanılması), 2FA isə istifadəçinin daxil olan şəxs olduğunu təsdiqləyir (gündəlik ssenarilərdə girişə nəzarət). FATF Rəhbərliyi (2023) hər bir təbəqə fərqli risklər sinfinə müraciət etməklə çox səviyyəli mühafizəni tövsiyə edir: KYC şəxsiyyət oğurluğundan qoruyur və 2FA parol oğurlandıqda icazəsiz girişlərdən qoruyur. Praktik bir nümunə: istifadəçi telefonunu itirir, KYC-ni pasportla keçir, sonra yeni TOTP-ni əlaqələndirir və ehtiyat kodları bərpa edir; hadisə jurnalı bərpa və sonrakı girişləri əks etdirir. İstifadəçi zəmanətli giriş nəzarətindən və hesabın pozulmasının qarşısının alınmasından faydalanır.

Texniki cəhətdən, ISO/IEC 27001:2022 autentifikasiya faktorlarının bərpası və dəyişdirilməsi ilə bağlı əməliyyatların qeydiyyatını tələb edir ki, bu da audit və insidentlərə cavab verməyə imkan verir. Bu, sənədlərin yoxlanılması səbəbindən vaxt gecikmələri ilə məhdudlaşsa da, uğurlu hesab hücumu ehtimalını azaldır və tənzimləyici tələblərə cavab verməyə kömək edir. Fişinq əleyhinə kodlar və domen yoxlanışı ilə birlikdə 2FA və KYC təhlükəsiz giriş ekosistemi yaradır.

 Giriş tarixçəmə və bildirişlərimə harada baxa bilərəm?

Giriş tarixçəsi və şübhəli fəaliyyət bildirişləri ISO/IEC 27001:2022 və OWASP ASVS 4.0 (2019) tərəfindən tövsiyə edilən istifadəçi nəzarəti və auditinin əsas hissəsidir. Tarix/vaxt, cihaz və geolokasiya ilə giriş qeydləri, anomaliyaları tez aşkar etməyə imkan verən yeni cəhdlər haqqında bildirişlərlə yanaşı istifadəçi hesabında mövcuddur. Praktik misal: istifadəçi Azərbaycanın başqa regionundan təsadüfən daxil olduğunu görür. Onlar sessiyanı kilidləyir və parollarını dəyişir, sonra ehtiyat kodları bərpa edir və autentifikasiya faktorlarını yoxlayır. İstifadəçi təhdidlərin erkən aşkarlanması və sürətli reaksiyadan faydalanır.

ENISA Threat Landscape-ə (2022) görə, bildirişlər uğurlu hücum ehtimalını 40-60% azaldır, çünki istifadəçi cəhdi dərhal aşkar edib onun qarşısını ala bilir. Əlavə tədbirlərə təkan bildirişlərinin aktivləşdirilməsi, TOTP-nin əsas təhlükəsizlik faktoru kimi istifadə edilməsi, e-poçtlarda anti-fişinq kodlarının yoxlanılması və müntəzəm olaraq giriş tarixçələrinin nəzərdən keçirilməsi daxildir. Bu şəffaflıq hesaba nəzarəti artırır, daxili təhlükəsizlik qaydalarına riayət etməyə kömək edir və ISO/IEC 27001:2022 giriş insidentinin idarə edilməsi tələblərinə cavab verir.