Axborotlarni autentifikatsiyalash vositalariga bo‘ladigan tahdidlar Parollarga tahdidlar

Download 19,41 Kb. Sana 21.07.2022 Hajmi 19,41 Kb. #834687

Bu sahifa navigatsiya:

• Xeshlarning yorilishi/qopol kuch
• Oflayn yorilish
• Parolni tiklash/qayta tiklash tizimlari
• Organilgan taxminlar
• Parollarni qayta ishlatish
• Standart parollar
• Kodga kiritilgan parol

2.1 Axborotlarni autentifikatsiyalash vositalariga bo‘ladigan tahdidlar Parollarga tahdidlar Quyida hozirda parollarning qonuniy egalaridan boshqa odamlarga ma'lum bo'lishining eng keng tarqalgan usullari keltirilgan. Fishing/keyloggerlar/snifferlar Birovning parolini topishning eng oddiy usuli bu uni sizga aytib berishdir. Buni ularni siz boshqarayotgan veb-saytga (odatda fishing deb nomlanadi), kompyuterga keylogger (apparat yoki dasturiy ta'minot) o'rnatish yoki shifrlanmagan simsiz yoki simli tarmoqdagi trafikni o'qish orqali uni yozishga ko'ndirish orqali amalga oshirilishi mumkin. Buzg'unchilar uchun bu usullarning katta foydasi bor, chunki foydalanuvchi parolni qanchalik uzoq yoki murakkab tanlaganligi muhim emas: tajovuzkor uni shunchaki o'qiy oladi. Xeshlarning yorilishi/qo'pol kuch Agar tajovuzkor parolni ololmasa, u milliardlab mumkin bo'lgan parollarni yaratish uchun dasturdan foydalanishi mumkin (ko'pincha parollarni tanlashda tavsiya etilgan usullardan foydalanadi) va ularning har birini hisob qaydnomasida sinab ko'rishi mumkin. Buni amalga oshirishning eng qo'pol usuli bu har bir yaratilgan parol yordamida tizimga kirishga urinishdir: natijada parollarning nosozliklari to'lqinini tizim ma'muri payqash oson bo'lishi kerak, ammo tajovuzkorlar bu yondashuvdan foydalanishda davom etayotgani uchun u hali ham muvaffaqiyatli bo'lib tuyuladi. Aniqlanish ehtimolini kamaytirish uchun SSH va LDAP kabi autentifikatsiya qilingan noaniq xizmatlarga qarshi urinishlar bo'lishi mumkin. Oflayn yorilish Agar tajovuzkor shifrlangan parolning nusxasini olsa, masalan, tizim parol faylini yuklab olish mumkin bo'lsa, xesh umumiy faylga kiritilgan bo'lsa yoki noma'lum mashina autentifikatsiyaga qo'shilsa, qo'pol kuch hujumlari unchalik aniq bo'lmaydi. guruh. Buzg'unchi bir yoki bir nechta shifrlangan parolga ega bo'lgach, u o'z mashinasida shafqatsiz kuchlarni taxmin qilishi mumkin (zamonaviy apparat va algoritmlar yordamida bu qisqa parollar uchun bir necha daqiqa vaqt olishi mumkin) yoki hatto bulut xizmatidan foydalanishi va keyin tizimga qaytishi mumkin. to'g'ri parol topilgandan so'ng nishonga. Parolni tiklash/qayta tiklash tizimlari Agar buzg'unchi autentifikatsiya tizimini unga pochta orqali yuborishga yoki uni o'zi tanlagan narsaga o'zgartirishga ko'ndira olsa, foydalanuvchidan parolni olishi shart emas. Qonuniy foydalanuvchiga unutgan parolni tiklash yoki o'zgartirish imkonini beruvchi tizimlar boshqa odamlarga ham xuddi shunday qilish imkonini berishi mumkin. Yordam xizmati operatorlari parolni tiklashni so'ragan har bir kishining shaxsini tekshirishda ayniqsa ehtiyot bo'lishlari kerak. "Birinchi maktab nomi" yoki "tug'ilgan kun" kabi "maxfiy savollar" ga tayanadigan onlayn tizimlar, agar bu ma'lumotni ijtimoiy tarmoqda topish mumkin bo'lsa, mag'lub bo'lish uchun ahamiyatsiz. Agar foydalanuvchi manzil yoki raqamni o'zgartirsa, zaxira elektron pochta manzili yoki telefon raqamiga eslatmalarni yuboradigan tizimlar muvaffaqiyatsiz bo'lishi mumkin, bu esa tashlab qo'yilgan zaxira nusxasini boshqa birov tomonidan ro'yxatdan o'tkazish imkonini beradi. O'rganilgan taxminlar Yashirin savollarga javoblarni taxmin qilishda qo'llaniladigan bir xil usullardan parollarni taxmin qilish uchun ham foydalanish mumkinligi aniq. Do'stlaringiz biladigan yoki veb-saytda mavjud bo'lgan narsaga asoslangan har qanday narsa parol sifatida juda yomon tanlovdir. Parollarni qayta ishlatish Ko'pchilik endi shaxsiy va ish hayotida turli tizimlarda juda ko'p turli xil hisoblarga ega. Eng yaxshi amaliyot har bir hisob uchun boshqa parolga ega bo'lish bo'lsa-da, afsuski, turli xizmatlarda bir xil parolni qayta ishlatish ancha keng tarqalgan. Bu shuni anglatadiki, tashkilot o'z tizimlariga nisbatan yuqoridagi hujumlar haqida qayg'urishi kerak emas, balki bir xil parol ishlatilgan boshqa barcha tizimlarga ham xuddi shunday hujumlar haqida qayg'urishi kerak. Bu, ehtimol, tashkilot endi o'z parollari xavfsiz yoki yo'qligini to'liq nazorat qila olmasligini anglatadi: u shuningdek, parol buzilganligini aniqlash va javob berish uchun rejalar va tizimlarni ishlab chiqishi kerak. Standart parollar Uskunalar va dasturiy ta'minot odatda oldindan sozlangan standart parollarga ega bo'lib, ular, albatta, buzg'unchilarga yaxshi ma'lum. Bunday parollar har doim o'zgartirilishi kerak, ammo ular qayerda ishlatilganligini aniqlash qiyin bo'lishi mumkin. Tegishli muammo shundaki, foydalanuvchi uchun mahalliy ma'mur tomonidan parol o'rnatilgan. Agar foydalanuvchidan parolni administrator bilmaganiga o'zgartirish talab qilinmasa, parolni bilgan ikki kishidan qaysi biri haqiqatda tizimga kirganligi va hisob faoliyati uchun javobgar ekanligi har doim shubha uyg'otadi. Agar foydalanuvchilarni parollarini birinchi foydalanishda o'zgartirishga majburlab bo'lmaydigan sabablar mavjud bo'lsa, unda shubhalar noto'g'ri shaxsga tushmasligini ta'minlash uchun protseduralarni diqqat bilan ishlab chiqish va ularga rioya qilish kerak. Kodga kiritilgan parol Parollar ba'zan skriptlar yoki dasturlarga kiritilishi orqali ham oshkor qilinadi. Garchi bu interaktiv tizimga kirishni avtomatlashtirishning oson usuli bo'lib ko'rinishi mumkin bo'lsa-da, bu oshkor qilishning yuqori xavfini keltirib chiqaradi va iloji bo'lsa, alternativalardan foydalanish kerak. Agar boshqa alternativa bo'lmasa, skript yoki dastur qasddan yoki tasodifiy kirishdan juda ehtiyotkorlik bilan himoyalangan bo'lishi kerak. Mumkin bo'lgan eng yomon natija ochiq matnli parolni o'z ichiga olgan skriptning ommaviy veb-saytda tugashidir.  Download 19,41 Kb. Do'stlaringiz bilan baham: