|
Alifbo
|
Alifbo belgilari soni
|
3 ta belgili parolni buzish vaqti
|
6 ta belgili parolni buzish vaqti
|
8 ta belgili parolni buzish vaqti
|
12 ta belgili parolni buzish vaqti
|
Kichik lotin harflari
|
26
|
0,02 sek
|
5 min
|
58 soat
|
3000 yil
|
Kichik lotin harflari va raqamlar
|
36
|
0,04 sek
|
36 min
|
32 kun
|
150 000 yil
|
Kichik va katta lotin harflari hamda raqamlar
|
62
|
0,02 sek
|
15 soat
|
7 yil
|
100 mln yil
|
Kichik va katta lotin harflari hamda raqamlar va maxsus belgilar
|
95
|
1 sek
|
8 kun
|
193 yil
|
Er mavjud bo’lgandan ham ko’proq vaqt talab qilinadi
|
Jadvalni izohlashni hojati yo’q. AQSHning standartlar va texnologiyalar milliy instituti (NIST) parollarni eng yaxshi himoyasi sifatida ularni 95 belgili alifbo (ASCI nabori) dan foydalanib, 12 ta belgi shaklida ifodalashni tavsiya qiladi.
Kuchsiz parollarni generasiya qilishga sabab bo’luvchi faktorlar (xatolar). Quyida keltirilgan parollar oddiy shablonga asoslangan. Shu sababli ularni tez topish mumkin.
O’z vaqtida kompyuter so’roviga javob bermaslik sababli kompyuter o’zi tanlaydigan parollar: default, admin, guest va boshqalar.
Lug’atdagi so’zlar: chameleon, RedSox, sandbags, bunnyhop! va ingliz tili lug’atida mavjud bo’lmagan belgilar birikmalari.
So’zlar va sonlar birikmalari: password1, deer2000, ivan1234, petrov1980. Bu birikmalarni oson topish mumkin.
Harflari boshqa belgilar bilan almashttirilgan so’zlar: p@ssword, 133th4xor, g0ldf1sh.
Ikkilangan so’zlar: crabcrab, stopstop, treetree, passpass, ivanivan.
Klaviaturada ketma-ket yoki bir-biriga yaqin joylashgan belgilar ketma-ketligi: qwerty, 12345, asdfgh, fred, aszx.
Yaxshi ma’lum bo’lgan naborlarga asoslangan sonlar ketma-ketligi: 12345, 911, 271828, 314159.
Foydalanuvchining shaxsiy ma’lumotlari: telefon nomeri, STIR, PIN-kodi va boshqalar.
Lug’at yordamida hujum tashkil qilish. Lug’at yordamida hujum tashkil qilish (dictionary attack) – parollarni to’liq saralashga asoslangan, himoya tizimiga qilinadigan hujum turiga mansub. Unda ma’lum bir turga va uzunlikka ega bo’lgan lug’atdagi so’zlar hujum qilish uchun tanlanadi. Lug’atlar namunalari http://passwords.ru internet manzilida keltirilgan. Hujum parol sifatida qandaydir tilga mansub bo’lgan so’z yoki ibora foydalanilgan degan farazga asoslangan. Bunday hujumlarning 2 turi mavjud:
Online hujum. Bunda parolni to’g’riligini tekshirish uchun server doimiy muloqatda bo’lishi lozim.
Offline hujum. Bunda parolni to’g’riligini tekshirishni server bilan aloqa o’rnatmasdan hujumchining o’zi parolni saralashni (masalan, kamalakli jadval usulidan foydalanib) amalga oshiradi.
Lug’at yordamida hujum tashkil qilishda muvaffaqiyat ehtimoli lug’at yordamidagi hujum natijasida topilgan parollar sonining urinishlarning umumiy soniga bo’lgan nisbatiga teng.
Parollarni to’liq yoki lug’at yordamida saralashda PasswordsPro, MD5BFCPF, John the Ripper dasturlaridan foydalanish mumkin.
Lug’at yordamida online hujumga qarshi kurashish. Ushbu turdagi hujumga qarshi kurashish uchun quyidagilardan foydalanish tavsiya qilinadi:
Javobni kyechiktirish (delayed response): taqdim qilingan login/parol jo’ftligiga server uncha katta bo’lmagan, maxsus generasiya qilingan kyechikish bilan javob berishdan foydalanadi (masalan, sekundiga bittadan ortiq bo’lmagan javob bilan).
Login/parol jo’ftligini bir nyecha marta, ketma-ket xato taqdim qilingan hollarda qayd qilish yozuvini blokirovka qilish (account locking) (masalan, parolni kiritish bo’yicha ketma-ket 5 marta muvaffaqiyatsiz harakatlardan so’ng bir soatga blokirovka qilish).
Bu ikki usul lug’at yordamida saralashni amalga oshirishga va parolni nisbatan kichik vaqt oralig’ida parolni buzishga xalaqit beradi.
Login/parol jo’ftligini to’g’ri kiritish fizik shaxs tomonidan, lug’at yordamida saralash esa kompyuter vositasida maxsus dastur asosida amalga oshiriladi deb faraz qilinadi. Shu bois, parolni to’g’ri kiritish inson uchun hisoblash nuqtai nazaridan oddiy, kompyuter dasturi uchun murakkab bo’lishi lozim. Server insonni kompyuter dasturidan farq qilishi uchun CAPTCHAdan foydalanadi (masalan, login/parol jo’ftligini kiritishdan oldin qandaydir tasvirdan foydalanuvchi testdan foydalanadi).
Lug’at yordamida offline hujumga qarshi kurashish. Parolni xeshlashda parolga tasodifiy bitlar ketma-ketligi (bu tasodifiy bitlar ketma-ketligi tuz nomlanadi) qo’shiladi. Natijada parolning uzunligi ortadi. Bu esa o’z navbatida lug’at yordamida offline va kamalakli jadval yordamidagi hujumlarni amalga oshirishga to’sqinlik qiladi.
Parol mustahkamligini miqdoriy baholash. Parol alifbosi A bilan, uning uzunligi L bilan belgilansin. U holda - uzunligi L bo’lgan parollar sonini ifodalaydi. Shuningdek, – buzg’unchi tomonidan parollarni saralash tezligi, T – parolni amal qilishning maksimal muddati bo’lsin. T vaqtda parolni saralash ehtimolini quyidagicha aniqlash mumkin:
.
Barcha parollar sonining quyi chegarasini aniqlaymiz:
.
Do'stlaringiz bilan baham: |
