26
Xeshlash amalining o`ziga xosligi shundan iboratki, u mohiyati bo`yicha, bir
tomonlamadir, ya’ni biror ma’lumotning xesh qiymatini olish mumkin, lekin faqat
xesh qiymatning o`zi ma’lum bo`lsa, u yordamida ma’lumotni tiklab bo`lmaydi.
Ko`pgina tizimlar autentifikatsiya ma’lumotlar bazasida parolning o`zi emas, balki
uning xesh qiymati saqlanadi. Shuning uchun ham foydalanuvchi parolini yo`qotib
qo`yganda tizim unga o`z
parolini emas, balki yangi parolni beradi.
Xo`sh, parolning bardoshliligi nimalarga bog`liq? Parolning bardoshliligini
qaysi mezonlar bilan o`lchash mumkin?
Parol bardoshliligi odatda bitlarda o`lchanuvchi entropiya – noaniqlik
o`lchovi bilan o`lchanadi. U logarfm ikki asosga ko`ra berilgan parametrlardan
olingan mumkin bo`lgan parollar soniga teng. Demak,
M xarfdan iborat alfavitdan
tuzilgan,
N simvol uzunligdagi tasodifiy parol uchun entropiya
E=log
2
M
N
ga teng
bo`ladi. Bir bitda entropiya 2
ta parol, ikki bitda 4 ta parol, uch bitda 8 ta parol
to`plami noaniqligiga to`g`ri keladi.
N bitda entropiya
2
N
parol to`plami
noaniqligiga teng bo`ladi. 1-jadvalda bir nechta uzunlikdagi
parollar va simvollar
nabori uchun entropiya qiymati
1-jadval.
Bir nechta uzunlikdagi parollar va simvollar nabori uchun entropiya
qiymati.
Parol
uzunligi
Raqamlar
(10)
Lotin
harflari
Lotin harflari
va raqamlar
Raqamlar, lotin
harflari va maxsus
simvollar
6
19,9
28,2
31,0
39,5
7
23,3
32,9
36,2
46,1
8
26,6
37,6
41,4
52,7
9
29,9
42,3
46,5
59,3
10
33,2
47,0
51,7
65,8
11
36,5
51,7
56,9
72,4
12
39,9
56,4
62,0
79,0
Xavfsizlik siyosati nuqtai nazaridan parolga
quyidagi namunaviy talablar
tavsiya etish mumkin
:
• parol 8 ta simvoldan kam bo`lmasligi kerak;
• parol hech bo`lmaganda bitta raqam va bitta xarfdan iborat bo`lishi kerak;
• yangi parol oldingisidan hech bo`lmaganda 3 ta simvolga farq qilishi kerak;
• parol foydalanuvchi identifikatori bilan ustma-ust tushmasligi kerak;
• parol qaysidir tildagi ma’noli so`z bilan bir xil bo`lmasligi kerak;
• bitta paroldan 3 oydan ko`p vaqt foydalnmaslik kerak;
• parol foydalanuvchining familiya, ismi, sharifidan iborat bo`lmasligi kerak;
• parol sifatida telefon raqami, pasport yoki boshqa hujjat nomeri, mashinasi
nomeri , tug`ilgan vaqti kabi shaxsiy ma’lumotlardan foydalanmaslik kerak;
• turli tizimlar va xizmatlar uchun parollar bir-biridan farq qilishi kerak.
27
Bundan tashqari ayrim tizimlardan (masalan, mail.ru da elektron pochta
ochishda) ro`yxatdan o`tish davrida tizim keyinchalik
agar foydalanuvchi parolni
unutib qo`ysa, shu parolni qayta tiklash yoki foydalanuvchiga boshqa parol berish
maqsadida berilgan savollar ro`yxatidan birini tanlash va unga javob berish talab
etiladi. Ammo ko`pchilik foydalanuvchilar ro`yxatdan o`tish davrida bir xil savol
va javoblarni kiritadi. Masalan, savollar ro`yxatidan “yaxshi ko`rgan taomingiz”
bandini tanlab unga “osh” yoki shunga o`xshash taomning nomini yozib
qo`yishadi. Parolingizni qo`lga kiritmoqchi bo`lgan
odam loginingizni kiritib,
so`ngra “parolni unutdingizmi” orqali tizimga kirib sizning parolingizni
o`zgartirishga intilishi mumkin. Shuning uchun ro`yxatdan o`tishda mutlaqo yangi
savol va javobdan foydalanishni tavsiya etish mumkin.
Do'stlaringiz bilan baham: