|
Login va parolni o‘g‘irlash. Login va parolni o‘g‘irlash – bu foydalanuvchilarning mahfiy ma’lumotlari bo‘lgan login va parollarga ega bo‘lish maqsadida amalga oshiriladigan internet firibgarligining bir turidir. Bu mashhur brendlar, masalan, ijtimoiy tarmoqlar, banklar va boshqa servislar nomidan elektron xatlarni ommaviy jo‘natish yo‘li orqali amalga oshiriladi. Xatda odatda tashqi ko‘rinishi asl saytdan farq qilmaydigan saytga to‘g‘ri ishorat mavjud bo‘ladi. Bunday saytga tashrif buyurgan foydalanuvchi firibgarga akkauntlar va bank hisob raqamlariga kira olishga ega bo‘lishga imkon beruvchi muhim ma’lumotlarni bildirishi mumkin. Fishing – ijtimoiy injeneriyaning bir turi bo‘lib, foydalanuvchilarning tarmoq xavfsizligi asoslarini bilmasligiga asoslangan. Jumladan, ko‘pchilik oddiy faktni bilishmaydi: servislar qayd yozuvingiz ma’lumotlari, parol va shu kabi ma’lumotlarni yuborishni so‘rab hech qachon xat yubormaydi.
Autentifikatsiya protokollariga bo’adigan asosiy hujumlar quyidagilar:
- maskarad (impersonation). Foydalanuvchi o'zini boshqa shaxs deb ko‘rsatishga urinib, u shaxs tarafidan harakatlarning imkoniyatlariga va imtiyozlariga ega bo‘lishni mo’ljallaydi;
- autentifikatsiya almashinuvi tarafini almashtirib qo'yish (interleaving attack). Niyati buzuq odam ushbu hujum mobaynida ikki taraf orasidagi autentifikatsion almashinish jarayonida trafikni modifikatsiyalash niyatida qatnashadi. Almashtirib qo‘yishning quyidagi xili mavjud: ikkita foydalanuvchi o‘rtasidagi autentifikatsiya muvaffaqiyatli o‘tib, ulanish o'rnatilganidan so‘ng buzg‘unchi foydalanuvchilardan birini chiqarib tashlab, uning nomidan ishni davom ettiradi;
- takroriy uzatish (replay attack). Foydalanuvchilarning biri tomonidan autentifikatsiya ma’lumotlari takroran uzatiladi;
- uzatishni qaytarish (reflection attak). Oldingi hujum variantlaridan biri bo'lib, hujum mobaynida niyati buzuq odam protokolning ushbu sessiya doirasida ushlab qolingan axborotni orqaga qaytaradi;
- majburiy kechikish (forsed delay). Niyati buzuq odam qandaydir ma’lumotni ushlab qolib, biror vaqtdan so'ng uzatadi.
- matn tanlashli hujum (chosen text attack). Niyati buzuq odam autentifikatsiya trafigini ushlab qolib, uzoq muddatli kriptografik kalitlar xususidagi axborotni olishga urinadi.
Yuqorida keltirilgan hujumlami bartaraf qilish uchun autentifikatsiya protokollarini qurishda quyidagi usullardan foydalaniladi:
- «so‘rov-javob», vaqt belgilari, tasodifiy sonlar, indentifikatorlar, raqamli imzolar kabi mexanizmlardan foydalanish;
- autentifikatsiya natijasini foydalanuvchilarning tizim doirasidagi keyingi harakatlariga bog’lash.
Bunday yondashish misol tariqasida autentifikatsiya jarayonida foydalanuvchilarning keyingi o‘zaro aloqalarida ishlatiluvchi maxfiy seans kalitlarini almashishni ko'rsatish mumkin;
- aloqaning o‘rnatilgan seansi doirasida autentifikatsiya muolajasini vaqti-vaqti bilan bajarib turish va h.k.
Parollarni saqlash va parollarga bo’ladigan xujmlar. Ixtiyoriy account yoki tizmga kirish uchun yaratiladigan.Parollar murakkab bo’lishi lozim ularning raziryadligi 9 va undan ortiq bo’lishi kerak .Ichidagi simvollar sonlarda Harflarda va simvollardan tashkil topishi kerak Parollarni himoyalash uchun parollar menijiri ishlatiladi parollar menijiri bu dasturiy taminot bo’lib faydalonuvchiga uning parollarini saqlash uchun xizmat qiladi nbunday dasturiy taminotlardaParollarni shifrlanganholda saqlovchi fayillaryoki malumotlar bazasi bo’ladi.paydo bo’lgan inson jamiyatining xar xil kompyuter tizmlarga bog’liqligi kun sayin oshib bormoqda.
Bugungi kunda kompyuter va Internetda parolsiz ishlashni tasavvur qilib bo‘lmaydi. Kompyuterga kirishda, turli saytlar va forumlarda ro‘yxatdan o‘tishda, elektron pochtamizni ochishda va boshqa ko‘plab holatlarda parol ishlatamiz.
Qandaydir ahamiyatsiz, bir marta kiriladigan saytda, masalan, o‘yinlar yuklab olish uchun ro‘yxatdan o‘tadigan bo‘lsangiz, istalgan parolni kiritishingiz mumkin. Lekin jiddiy saytda, doimiy akkaunt ochish uchun ishonchli parol topish kerak.
Aks holda parol yomon niyatli kimsalar tomonidan buzib ochilishi va olingan ma’lumotlar bizning nomimizdan birovlar bilan suhbatlashish, turli xatlar yuborish va hatto moliyaviy jinoyatlar uchun ham ishlatilishi mumkin.
Do'stlaringiz bilan baham: | 
