O‘ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA
KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI QARSHI FILIALI
SHERXONOV SHERDORNING Kiberxavfsizlik asoslari
Amaliy ish-10
Bajardi: Sherxonov.Sh
Tekshirdi: Raxmatullayev D.A.
10 – amaliy mashg‘ulot
Parollardan foydalanishni boshqarishni o‘rganish
Ishdan maqsad; Parol menejerlarini qo‟llash orqali turli tizimlarda
parollarni boshqarishni (saqlash,uzatish, ularni almashish, parollar bardoshliligini
tekshirish uladan foydalanish va boshq.) ni o‟rganish va bu borada bilim va
ko‟nikmalarni shakllantirish.
Parol (fransuz tilidagi parole — so„zidan olingan) — shaxsni yoki vakolatni
isbotlashga mo„ljallangan shartli so„z yoki belgilar jamlanmasi bo„lib hisoblanadi.
Parollar ko„pincha axborotni ruxsatsiz foydalanish holatlaridan himoya qiladi.
Ko„plab hisoblash tizimlari kombinatsiyasida «foydalanuvchi nomi — parol»
foydalanuvchini tasdiqlash uchun ishlatiladi.Ilk bor Robert Morris parollarni UNIX
operatsion tizimi uchun xesh shaklida saqlash g„oyasini kiritgan. Uning crypt deb
ataladigan algoritmi 12 bitdan foydalanadi va xavfini kamaytirishda shaklni
o„zgartirish uchun DES algoritmiga bog„lanadi. Foydalanuvchi parolining
xavfsizligi bo„yicha tekshiruvlar shuni ko„rsatdiki, barcha foydalanuvchilarning
taxminan 40 foizi tezda avtomatik ravishda, aniqlash oson bo„lgan parollarni
tanlaydilar. Osonlik bilan aniqlangan parollar (123, admin kabi) zaif va himoyasiz
deb hisoblanadi. Juda qiyin yoki aniqlash qiyin bo„lgan parollar g„oyat ishonchli
va barqaror bo„lib hisoblanadi. 2020-yil oxirida SplashData korporatsiyasi yilning
eng ishonchsiz 100ta parolini e‟lon qildi. Birinchi orinni, ketma-ket 4 yil davomida
— 123456 paroli egallamoqda. Internetdan foydalanuvchilarning taxminan 17 foizi
aynan shu paroldan foydalanadi
Parollar axborot xavfsizligining eng muhim jihatlaridan biri hisoblanadi, chunki
noto„g„ri tanlangan parol kompaniyaning axborot tizimiga ruxsatsiz kirishning
potentsial xavfini oshiradi. “SIZNING KORXONA” barcha xodimlari (shu
jumladan pudratchilar va uchinchi shaxslar) ushbu siyosat talablariga rioya qilish
uchun javobgardir.
Indeks [Ocultar]
1 Parollarni qanday himoya qilish va boshqarish kerak? 4 Maslahatlar
2 Oldini olish uchun to'rt tuzoq
2.1 Parolingiz xavfsizligini sinab ko'ring
3 Parollarni boshqarish: bepul dastur
4 Parol menejeri veb-brauzerlar bilan birlashtirilgan
Albatta, harf, raqam va maxsus belgilardan mukamal tuzilgan sakkiz belgili parol doimiy xafsizlik garovi bo’laolmaydi. Kompyuter texnalogiyalaring tez rivojlanib borishi, ularning ishlash tezligi oshgan holda millionlab vazifalarni bir soniyada bajarishi extimoldan holi emas. Ammo bu ma’lum bir vaqt talab etadi. Shuning uchun parolni tez-tez yangilab turish maqsadga muvofiq.
Misol sifatida elektron bank tizimini olaylik. Juda ko’p rivojlangan davlatlar bank tizimlarida, mijozlar e-banking xizmatidan foydalanish va o’zlarining hisob saxifalariga ko’rish uchun quyidagilarni kiritishadi:
Login – o’zgarmas, bankda dastlabki ro’yxatdan o’tishda beriladi;
Parol – foydalanuvchi tomonidan ixtiyoriy vaqtda o’zgartirish mumkin;
Kalit – bu bank tomonidan berilgan elektron qurilmadan kiritiluvchi sonlar;
Kalit elektron qurulmasidagi sonlar qisqa vaqt ichida (20-30 soniyada) ixtiyoriy o’zgaradi, bu o’zgarish bankning ro’yxatdan o’tqazuvchi serveridagi sonlar bilan bir-xil vaqtda va bir-xil sonlarga o’zgaradi. (4-rasm)
Avtomatlashtirilgan elektron tizimlarning ortib borishi foydalanuvchilarga ularga kirish parolini eslab qolish yoki havfsiz parol qo`yish muammosini olib kelmoqda.
Parol(ing. password) bu - amaliy munosabat boshlash uchun ishlatiladigan, subektning siri hisoblanadigan identifikator. Tizimga kirish uchun klaviatura tugmalarini bosish ketma-ketligi. Parol simvollar (harflar, raqamlar, maxsus belgilar) kombinatsiyasi bo‘lib, uni faqat parol egasi bilishi kerak.
Kompyuterning zamonaviy operatsion tizimlarida paroldan foydalanish o‘rnatilgan. Parol xeshlangan holatda kompyuterning qattiq diskida saqlanadi. Parollarni taqqoslash operatsion tizim (OT) tomonidan foydalanuvchi huquqiga mos imkoniyatlar yuklangunga qadar amalga oshiriladi. Lekin, kompyuterning OTdan foydalanishda kiritiladigan foydalanuvchi parolidan tashqari, Internetda ro‘yxati keltirilgan ayrim «texnologik» parollardan ham foydalanish mumkin. Ko‘pgina kompyuter tizimlarida identifikator sifatida, foydalanishga ruxsat etilgan subyektni identifikatsiyalovchi kod yozilgan yechib olinuvchi axborot tashuvchilardan foydalaniladi.
Foydalanuvchilarni identifikatsiyalashda, tasodifiy identifikatsiyalash kodlarini hosil qiluvchi – elektron jetonlardan keng foydalaniladi. Jeton – bu, harflar va raqamlarning tasodifiy ketma-ketligini (so‘zni) yaratuvchi qurilma. Bu so‘z kompyuter tizimidagi xuddi shunday so‘z bilan taxminan minutiga bir marta sinxron tarzda o‘zgartirib turiladi. Natijada, faqatgina ma’lum vaqt oralig‘ida va tizimga faqatgina bir marta kirish uchun foydalanishga yaraydigan, bir martalik parol ishlab chiqariladi. Boshqa bir turdagi jeton tashqi ko‘rinishiga ko‘ra kalkulatorga o‘xshab ketadi. Autentifikatsiyalash jarayonida kompyuter tizimi foydalanuvchi monitoriga raqamli ketma-ketlikdan iborat so‘rov chiqaradi, foydalanuvchi ushbu so‘rovni jeton tugmalari orqali kiritadi. Bunda jeton o‘z indikatorida akslanadigan javob ketma-ketligini ishlab chiqadi va foydalanuvchi ushbu ketma-ketlikni kompyuter tizimiga kiritadi. Natijada, yana bir bor bir martalik qaytarilmaydigan parol olinadi. Jetonsiz tizimga kirishning imkoni bo‘lmaydi. Jetondan foylanishdan avval unga foydalanuvchi o‘zining shaxsiy parolini kiritishi lozim.
Atrubutivli identifikatorlardan (parollardan tashqari) ruxsat berilish va qayd qilish chog‘ida foydalanilish mumkin yoki ular ish vaqti tugagunga qadar ishlatilayotgan qurilmaga doimiy ulangan holda bo‘lishi shart. Qisqa vaqtga biror joyga chiqilganda ham identifikator olib qo‘yiladi va qurilmadan foydalanish blokirovka qilinadi. Bunday apparat-dasturiy vositalar nafaqat qurilmalardan foydalanishni cheklash masalalarini hal qila oladi, shu bilan birga axborotlardan noqonuniy foydalanishdan himoyalashni ta’minlaydi. Bunday qurilmalarning ishlash prinsipi qurilmaga o‘rnatilgan OT funksiyalarini kengaytirishga asoslangan.
Bu choralarning har biri boshqasini to‘ldiradi, bironta usulning yo‘qligi yoki yetishmasligi yetarli darajadagi himoyaning buzilishiga sabab bo‘lishi mumkin.
Hozirgi kunda elektron tizimlarga kirish uchun foydalanuvchi tomonidan qo`yiladigan parol tez-tez yangilanib turilishi va belgilar soni sakkiztadan ko`p bo`lgan raqamlar, katta-kichik harflar va !@#$%^&*()_+”?>+=< kabi belgilar birlashmasidan iborat bo`lishi maqsadga muvofiqdir.
Ammo parollar tajovuzkor tomonidan oflayn parolni taxmin qilishni faollashtirish uchun ma'lumotlarni ochib beradigan mustaqil xavfsizlik tizimlari (masalan, shifrlash tizimlari) uchun kalit sifatida foydalanish xavfsiz emas. Parollar nazariy jihatdan kuchliroqdir va shuning uchun bu holatlarda yaxshiroq tanlov qilish kerak. Birinchidan, ular odatda ancha uzunroq (va har doim ham shunday bo'lishi kerak) - 20 dan 30 tagacha yoki undan ko'p belgi odatiy bo'lib, ba'zi bir qo'pol kuch hujumlarini umuman amaliy emas. Ikkinchidan, agar yaxshi tanlangan bo'lsa, ular biron bir ibora yoki iqtibos lug'atida topilmaydi, shuning uchun bunday lug'at hujumlari deyarli imkonsiz bo'ladi. Uchinchidan, ular parollarga qaraganda osonroq eslab qolinadigan tarzda tuzilishi mumkin, bu yozuvsiz o'g'irlanish xavfini kamaytiradi. Ammo, agar parol autentifikator tomonidan to'g'ri himoyalanmagan bo'lsa va aniq matnli parol aniqlansa, uning ishlatilishi boshqa parollardan yaxshiroq emas. Shu sababli, parollarni turli xil yoki noyob saytlar va xizmatlarda qayta ishlatmaslik tavsiya etiladi.
2012 yilda Kembrij universitetining ikki tadqiqotchisi "." Dan parollarni tahlil qildilar Amazon PayPhrase tizim va filmlarning nomlari va sport jamoalari kabi keng tarqalgan madaniy ma'lumotnomalar tufayli uzoq foizli parollardan foydalanish potentsialining katta qismini yo'qotib, muhim foizni taxmin qilish oson ekanligini aniqladi.[6]
Kriptografiyada ishlatilganda, odatda parol uzoq vaqt davomida (mashinada ishlab chiqarilgan) himoya qiladi kalit, va kalit ma'lumotlarni himoya qiladi. Kalit shunchalik uzoqki, shafqatsiz kuch hujumi (to'g'ridan-to'g'ri ma'lumotlarga) mumkin emas. A tugmachani chiqarish funktsiyasi sekinlashishi uchun minglab takrorlashni o'z ichiga olgan (tuzlangan va xeshlangan) ishlatiladi parolni buzish hujumlar.
Parolni tanlash
Parolni tanlash bo'yicha odatiy tavsiyalar quyidagilarni o'z ichiga oladi:[7]
Dostları ilə paylaş: |