2.3. Zaif parollar
Har qanday xavfsizlik choralarida bo'lgani kabi, parollar kuchi jihatidan farq
qiladi; ba'zilari boshqalarga qaraganda zaifroq. Misol uchun, lug'at so'zi va
chalkash so'z o'rtasidagi kuch farqi (masalan, paroldagi harflar, aytaylik,
raqamlar bilan almashtiriladi - umumiy yondashuv) parolni buzish
qurilmasiga yana bir necha soniya kerak bo'lishi mumkin; bu ozgina kuch
qo'shadi. Quyidagi misollar zaif parollarni yaratishning turli usullarini
ko'rsatadi, ularning barchasi oddiy naqshlarga asoslanadi, bu juda past
entropiyaga olib keladi va ularni avtomatik ravishda yuqori tezlikda sinab
ko'rish imkonini beradi.:
16
•
Standart parollar (tizim sotuvchisi tomonidan taqdim etilgan va o'rnatish
vaqtida o'zgartirilishi kerak bo'lgan):
parol
,
standart
,
admin
,
mehmon
va
boshqalar. Standart parollar ro'yxati Internetda keng tarqalgan.
•
Dictionary so'zlar:
Chameleon
,
Redsox
,
qum solingan
qoplar
,
bunnyhop!
,
IntenseCrabtree
va boshqalar, shu jumladan inglizcha
bo'lmagan lug'atlardagi so'zlar.
•
Raqamlari qo'shilgan so'zlar:
password1
,
deer2000
,
john1234
va
boshqalarni oz vaqt yo'qotib, avtomatik ravishda osongina sinab ko'rish
mumkin.
•
Oddiy
chalkashlikli
so'zlar:
p@ssw0rd
,
l33th4x0r
,
g0ldf1sh
va boshqalar.
ozroq qo'shimcha harakatlar bilan avtomatik ravishda tekshirilishi
mumkin. Misol uchun, DigiNotar hujumida buzilgan domen administratori
paroli
Pr0d@dm1n bo'lgan.
•
Qo'sh
so'zlar:
qisqichbaqa
,
to'xtash
,
daraxt daraxti
,
passpas
va boshqalar.
•
Klaviatura qatoridagi umumiy ketma-
ketliklar:
qwerty
,
123456
,
asdfgh
,
fred
va boshqalar.
•
911
( 9-1-1 , 9/11 )
, 314159...
( pi )
, 27182...
( e )
, 112
( 1-1-2 )
va boshqalar kabi
taniqli raqamlarga asoslangan raqamli ketma-ketliklar .
•
Identifikatorlar:
jsmith123
,
1/1/1970
,
555–1234
, foydalanuvchi nomi va
boshqalar.
•
Kontraseña (ispancha) va ji32k7au4a83 (xitoy tilidan bopomofo
klaviaturasi) kabi ingliz tilidan tashqari tillardagi zaif parollar
•
Jismoniy shaxs bilan shaxsan bog'liq bo'lgan har qanday narsa: davlat
raqami, ijtimoiy sug'urta raqami, joriy yoki o'tgan telefon raqamlari, talaba
guvohnomasi, joriy manzil, oldingi manzillar, tug'ilgan kun, sport jamoasi,
qarindoshi yoki uy hayvonining ismlari / taxalluslari / tug'ilgan kunlar / bosh
harflar va boshqalar. odamning tafsilotlarini oddiy tekshirgandan so'ng,
avtomatik ravishda osongina sinovdan o'tkaziladi.
•
Sanalar: sanalar naqsh bo'lib, parolingizni zaiflashtiradi.
17
Parol zaif bo'lishi mumkin bo'lgan boshqa ko'plab usullar mavjud, turli
hujum sxemalarining kuchli tomonlariga mos keladi; asosiy qoida parol
yuqori entropisi bo'lishi kerak, deb va (odatda rasgelelik teng bo'lishi uchun
qabul qilingan)
emas
, har qanday "aqlli" naqsh bilan tez Derivable bo'lishi,
na parollar foydalanuvchi aniqlash axborot bilan aralashtirish kerak. Onlayn
xizmatlar ko'pincha xaker aniqlay oladigan parolni tiklash funktsiyasini
ta'minlaydi va shu bilan parolni chetlab o'tadi. Taxmin qilish qiyin bo'lgan
parolni tiklash bo'yicha savollarni tanlash parolni yanada xavfsizroq qilishi
mumkin.
Parol siyosati - bu qoniqarli parollarni tanlash bo'yicha qo'llanma. U
quyidagilarga mo'ljallangan:
•
foydalanuvchilarga kuchli parollarni tanlashda yordam berish
•
parollar maqsadli aholiga mos kelishiga ishonch hosil qiling
•
foydalanuvchilar uchun parollar bilan ishlash bo'yicha tavsiyalar berish
•
yo'qolgan yoki buzilganligi gumon qilingan har qanday parolni o'zgartirish
bo'yicha tavsiyalar berish
•
zaif
yoki
oson
taxmin
qilinadigan
parollardan
foydalanishni
bloklash
uchun parol qora ro'yxatidan
foydalaning.
Oldingi parol siyosatlari parollarda raqamlar, belgilar yoki katta/kichik harflar
kabi belgilarni o'z ichiga olishi kerak bo'lgan belgilarni belgilash uchun
ishlatilgan. Bu
hali
ham
qo'llanilayotgan
bo'lsa-da,
universitet
tadqiqotlari tomonidan ushbu
siyosatning asl
qo'zg'atuvchisi va
kiberxavfsizlik bo'limlari (va boshqa tegishli hukumat xavfsizlik
organlari ) tomonidan unchalik xavfsiz emas deb topildi . AQSh va Buyuk
Britaniya. Majburiy belgilarning parol murakkabligi qoidalari ilgari
Google va FaceBook, kabi yirik platformalar tomonidan ishlatilgan
.
ammo
ular
xavfsizlikni
pasaytirgan
kashfiyotdan
keyin
talabni
olib
tashladilar. Buning sababi shundaki, inson elementi yorilishdan ko'ra ko'proq
xavf tug'diradi va majburiy murakkablik ko'pchilik foydalanuvchilarni juda
18
oldindan aytib bo'ladigan naqshlarga olib keladi (oxirida raqam, E ga 3
almashtiriladi va hokazo) bu aslida parollarni buzishga yordam
beradi. Shunday qilib, parolning soddaligi va uzunligi (parol iboralari) yangi
eng yaxshi amaliyotdir va murakkablik tavsiya etilmaydi. Majburiy
murakkablik
qoidalari,
shuningdek,
qo'llab-quvvatlash
xarajatlarini,
foydalanuvchi ishqalanishini oshiradi va foydalanuvchi ro'yxatdan o'tishni
to'xtatadi.
Parolning amal qilish muddati baʼzi eski parol siyosatlarida boʻlgan, biroq
bu eng yaxshi amaliyot sifatida bekor qilingan va AQSh yoki Buyuk
Britaniya hukumatlari tomonidan qoʻllab-quvvatlanmaydi yoki parolning
amal qilish
muddatini oʻchirish xususiyatini olib
tashlagan
Microsoft
tomonidan
qoʻllab-quvvatlanmaydi . Parolning amal qilish muddati avval ikki maqsadga
xizmat qilmoqchi edi:
•
Agar parolni buzish vaqti 100 kun deb hisoblansa, parolning amal qilish
muddati 100 kundan kam bo'lsa, tajovuzkor uchun vaqt yetarli emasligini
ta'minlashi mumkin.
•
Agar parol buzilgan bo'lsa, uni muntazam ravishda o'zgartirishni talab qilish
tajovuzkorning kirish vaqtini cheklashi mumkin.
Biroq, parolning amal qilish muddati o'zining kamchiliklariga ega:
•
Foydalanuvchilardan parollarni tez-tez o'zgartirishni so'rash oddiy, zaif
parollarni rag'batlantiradi.
•
Agar kimdir chindan ham kuchli parolga ega bo'lsa, uni o'zgartirishdan foyda
yo'q. Kuchli parollarni o'zgartirish yangi parol kamroq kuchli bo'lishi xavfini
keltirib chiqaradi.
•
Buzilgan parol tajovuzkor
tomonidan orqa eshikni o'rnatish uchun darhol
foydalanishi mumkin , ko'pincha imtiyozlarni oshirish orqali
. Bu amalga
oshirilgandan so'ng, parolni o'zgartirish kelajakda tajovuzkorning kirishiga
to'sqinlik qilmaydi.
19
•
Parolni hech qachon o'zgartirmaslikdan har bir autentifikatsiya urinishida
parolni
o'zgartirishga
o'tish
(o'tish
yoki
muvaffaqiyatsiz
urinishlar)
tajovuzkorning qo'pol kuch hujumida parolni taxmin qilishdan oldin qilishi
kerak bo'lgan urinishlar sonini faqat ikki baravar oshiradi. Bir
Turkcha
ko'p
faqat har foydalanish bo'yicha Parolni o'zgartirish bir nechta
belgilar tomonidan parol uzunligi oshirish bilan ko'proq xavfsizlik.
| 