Adabiyotlar
1.
“Respublikada axborot texnologiyalari sohasini rivojlantirish uchun
shart-sharoitlarni tubdan yaxshilash chora-
tadbirlari to`g`risida”
. Toshkent sh. ,
PF-5099-son 30. 06. 2017.
2.
S. K. G’aniyev, M. М. Karimov, К. А. Tashev. “Ахborot xavfsizligi”
Toshkent sh. 2007.
PAROLLAR BARDOSHLILIGINI BAHOLASH MEZONLARI
G’.G. Pulatov
1
, S.F. G’aniyev
1
1
Muhammad al-Xorazmiy nomidagi Toshkent axborot texnologiyalari universiteti
Farg’ona filiali
Kompyuter tizimlari yoki tarmoqlarida foydalanuvchilarni parollar asosida
autentifikatsiyalash eng keng tarqalgan va oddiy usullardan hisoblanadi. Bu usul
foydalanuvchilar uchun ham eng qulay variantlardan biri bo`lib, qandaydir
qo`shimcha qurilma yoki maxsus bilim talab qilmaydi. Bor yo`g`i o`ylash va esda
saqlash kifoya qiladi. Haqiqatda esa bu jarayon unchalik oson kechmaydi.
Parolli autentifikatsiya ikki xil muammoga duch keladi:
•
insonlik faktori(foydalanuvchilar xatosi)
. Ko`pchilik kishilar biroz
ob’yektiv qiyin bo`lganligi uchun o`z parollarini eslab qololmaydi (yoki
xohlashmaydi). Shuning uchun unchalik bardoshli bo`lmagan oddiy parollardan
foydalanishadi. Agar bardoshli paroldan foydalanish ta’minlanganda ham uni biro
n
joyga, masalan klaviatura tagiga yozib qo`yishadi.
•
texnik nomukammallik(ishlab chiqaruvchilar xatoliklari).
Dasturiy
ta’minotni loyihalash va ishllab chiqish davridagi xatoliklar.
Albatta, uzun parollar yuqori bardoshlilikka ega, ammo ular quyidagi
kamchiliklarga ega:
-
ularni eslab qolishning qiyinligi;
-
ularning sekin terilishi;
-
ularda ma’noli frazalarning ishlatilishi;
Buzgunchi biror foydalanuvchining parolidan nusxa olishi yoki uni
o`qishidan himoyalash maqsadida xesh funktsiyalardan keng foydalaniladi.
26
Xeshlash amalining o`ziga xosligi shundan iboratki, u mohiyati bo`yicha, bir
tomonlamadir, ya’ni biror ma’lumotning xesh qiymatini olish mumkin, lekin faqat
xesh qiymatning o`zi ma’lum bo`lsa, u yordamida ma’lumotni tiklab bo`lmaydi.
Ko`pgina tizimlar a
utentifikatsiya ma’lumotlar bazasida parolning o`zi emas, balki
uning xesh qiymati saqlanadi. Shuning uchun ham foydalanuvchi parolini yo`qotib
qo`yganda tizim unga o`z parolini emas, balki yangi parolni beradi.
Xo`sh, parolning bardoshliligi nimalarga bog`liq? Parolning bardoshliligini
qaysi mezonlar bilan o`lchash mumkin?
Parol bardoshliligi odatda bitlarda o`lchanuvchi entropiya
–
noaniqlik
o`lchovi bilan o`lchanadi. U logarfm ikki asosga ko`ra berilgan parametrlardan
olingan mumkin bo`lgan parollar soniga teng. Demak,
M
xarfdan iborat alfavitdan
tuzilgan,
N
simvol uzunligdagi tasodifiy parol uchun entropiya
E=log
2
M
N
ga teng
bo`ladi. Bir bitda entropiya 2 ta parol, ikki bitda 4 ta parol, uch bitda 8 ta parol
to`plami noaniqligiga to`g`ri keladi.
N
bitda entropiya
2
N
parol to`plami
noaniqligiga teng bo`ladi. 1-jadvalda bir nechta uzunlikdagi parollar va simvollar
nabori uchun entropiya qiymati
1-jadval.
Bir nechta uzunlikdagi parollar va simvollar nabori uchun entropiya
qiymati.
Parol
uzunligi
Raqamlar
(10)
Lotin
harflari
Lotin harflari
va raqamlar
Raqamlar, lotin
harflari va maxsus
simvollar
6
19,9
28,2
31,0
39,5
7
23,3
32,9
36,2
46,1
8
26,6
37,6
41,4
52,7
9
29,9
42,3
46,5
59,3
10
33,2
47,0
51,7
65,8
11
36,5
51,7
56,9
72,4
12
39,9
56,4
62,0
79,0
Xavfsizlik siyosati nuqtai nazaridan parolga quyidagi namunaviy talablar
tavsiya etish mumkin
:
•
parol 8 ta simvoldan kam bo`lmasligi kerak;
•
parol hech bo`lmaganda bitta raqam va bitta xarfdan iborat bo`lishi kerak;
•
yangi parol oldingisidan hech bo`lmaganda 3 ta simvolga farq qilishi kerak;
•
parol foydalanuvchi identifikatori bilan ustma-ust tushmasligi kerak;
•
parol qaysidir tildagi ma’noli so`z bilan bir xil bo`lmasligi kerak;
•
bitta paroldan 3 oydan ko`p vaqt foydalnmaslik kerak;
•
parol foydalanuvchining familiya, ismi, sharifidan iborat bo`lmasligi kerak;
•
parol sifatida telefon raqami, pasport yoki boshqa hujjat nomeri, mashinasi
nomeri , tug`ilgan vaqti kabi shaxsiy ma’lumotlardan foydalanmaslik kerak;
•
turli tizimlar va xizmatlar uchun parollar bir-biridan farq qilishi kerak.
27
Bundan tashqari ayrim tizimlardan (masalan, mail.ru da elektron pochta
ochishda) ro`yxatdan o`tish davrida tizim keyinchalik agar foydalanuvchi parolni
unutib qo`ysa, shu parolni qayta tiklash yoki foydalanuvchiga boshqa parol berish
maqsadida berilgan savollar ro`yxatidan birini tanlash va unga javob berish talab
etiladi. Ammo ko`pchilik foydalanuvchilar ro`yxatdan o`tish davrida bir xil savol
va javoblarni kiritadi. Masalan, savollar ro`yxatidan “yaxshi ko`rgan taomingiz”
bandini tanlab unga “osh” yoki shunga o`xshash taomning nomini yozib
qo`yishadi. Parolingizni qo`lga kiritmoqchi bo`lgan odam loginingizni kiritib,
so`ngra “parolni unutdingizmi” orqali tizimga kirib sizning parolingizni
o`zgartirishga intilishi mumkin. Shuning uchun ro`yxatdan o`tishda mutlaqo yangi
savol va javobdan foydalanishni tavsiya etish mumkin.
Do'stlaringiz bilan baham: |