Siz bilgan narsa



Download 31,54 Kb.
bet1/6
Sana30.05.2022
Hajmi31,54 Kb.
#620357
  1   2   3   4   5   6
Bog'liq
Siz bilgan narsa


Siz bilgan narsa
Afsuski, sirlardan foydalanish panatseya emas. Agar sir qandaydir klaviaturada kiritilsa, tinglovchi (“elkada surfing”) terilayotgan sirni ko'rishi mumkin. Mashinalarni autentifikatsiya qilish uchun biz tinglovchi tomonidan ushlab qolinishi mumkin bo'lgan sim orqali maxfiy (kalit) yubormaslik uchun chaqiruv/javob protokollaridan foydalandik. Ammo biz odamlarni mustaqil ravishda chaqiruv/javob protokoli bilan shug‘ullanishga majbur qila olmaymiz, chunki odamlardan kriptografik hisob-kitoblarni kutish mumkin emas.
Bundan tashqari, odamlar eslab qolish oson bo'lgan parollarni tanlashga moyil bo'lishadi, bu odatda parolni taxmin qilish osonligini anglatadi. Yoki ular taxmin qilish qiyin bo'lgan, lekin eslab qolish qiyin bo'lgan parollarni tanlashadi (shuning uchun parollar yozilishi kerak va keyin tajovuzkor topishi oson).
Parolni taxmin qilish ahamiyatsiz bo'lsa ham, u parol maydonini oflayn qidirishga berilib ketishi mumkin. Oflayn qidiruv tizimning o'zidan foydalanmasdan taxminni tekshirishning qandaydir usulini talab qiladi va bugungi kunda parollarni saqlash uchun ishlatiladigan ba'zi usullar shunday yo'lni ta'minlaydi. (Pastga qarang.)
Nihoyat, parolni o'zgartirish inson aralashuvini talab qiladi. Shunday qilib, buzilgan parollar kutilganidan ko'proq vaqt davomida amal qilishi mumkin. Va parolni qayta o'rnatish uchun qandaydir mexanizm bo'lishi kerak (chunki parollar unutiladi va buzilgan bo'ladi). Ushbu mexanizmning o'zi ijtimoiy-muhandislik hujumlariga nisbatan zaif bo'lishi mumkin, bu esa insonni ma'lumotni o'zgartirish yoki unga kirish huquqiga ishontirishga tayanadi.
Parollar bilan bog'liq barcha tashvishlar bilan siz parolni yaxshi deb hisoblash uchun nima kerakligi haqida o'ylashingiz mumkin. Uch o'lchov mavjud va ular o'zaro ta'sir qiladi, shunda birini mustahkamlash boshqasida zaiflikni bartaraf etish uchun ishlatilishi mumkin.

  • Uzunlik . Bu odamlar uchun mustahkamlash uchun eng oson o'lchovdir. Uzunroq parollar yaxshiroq. Tasodifiy ko'rinadigan, ammo eslab qolish oson bo'lgan uzun parolni olishning yaxshi usuli - bu parol iborasini (qo'shiqning birinchi so'zlari kabi) o'ylab ko'rish va keyin parolni birinchi harflaridan parol yaratishdir.

  • Belgilar to'plami . Parolda qanchalik ko'p belgilar ishlatilishi mumkin bo'lsa, belgilarning mumkin bo'lgan birikmalari soni shunchalik ko'p bo'ladi, shuning uchun parol maydoni shunchalik katta bo'ladi. Kattaroq parol maydonini qidirish uchun tajovuzkor tomonidan ko'proq ishlash kerak.

  • Randomness. Choose a password from a language (English, say) and an attacker can leverage regularities in this language to reduce the work needed in searching the password space (because certain passwords are now "impossible"). For instance, given the phonotactic and orthographic constraints of English, an attacker searching for an English word need not try passwords containing sequences like krz (although this would be a perfectly reasonable to try if the password was known to be in Polish). Mathematically, it turns out that English has about 1.3 bits of information per character. Thus it takes 49 characters to get 64 bits of "secret", which comes out to about 10 words (at 5 characters on average per word).

  • Tasodifiylik. Tildan (inglizcha, aytaylik) parolni tanlang va tajovuzkor parol maydonini qidirishda zarur bo'lgan ishni kamaytirish uchun ushbu tildagi qonuniyatlardan foydalanishi mumkin (chunki ba'zi parollar endi "mumkin emas"). Misol uchun, ingliz tilining fonotaktik va orfografik cheklovlarini hisobga olgan holda, inglizcha so'zni qidirayotgan tajovuzkor krz kabi ketma-ketliklarni o'z ichiga olgan parollarni sinab ko'rishi shart emas (garchi parol polyak tilida ekanligi ma'lum bo'lsa, sinash juda oqilona bo'lar edi). Matematik jihatdan, ingliz tilida har bir belgi uchun taxminan 1,3 bit ma'lumot borligi ma'lum bo'ldi. Shunday qilib, 64 bitli "sir" ni olish uchun 49 ta belgi kerak bo'ladi, bu taxminan 10 ta so'zdan iborat (har bir so'z uchun o'rtacha 5 ta belgi).

Agar foydalanuvchi autentifikatsiya qilish uchun parollar ishlatilsa, tizim kiritilgan parolning haqiqiyligini tekshirish usuliga ega bo'lishi kerak. Foydalanuvchi nomlari va tegishli parollar roʻyxati bilan faylni oddiygina saqlash notoʻgʻri, chunki agar bu faylning maxfiyligi buzilgan boʻlsa, hammasi yoʻqoladi. (Shunga o'xshab, ushbu faylning zaxira nusxalari ham bir xil darajada himoyalangan bo'lishi kerak, chunki odamlar o'z parollarini kamdan-kam o'zgartiradilar.) Haqiqiy parollarni onlayn saqlamagan ma'qul. Buning o'rniga biz parolning kriptografik xeshini hisoblashimiz va uni saqlashimiz mumkin. Endi foydalanuvchi parolni kiritadi; tizim ushbu parolning xeshini hisoblaydi; Keyin tizim ushbu xeshni parol faylida saqlangan bilan solishtiradi.
Haqiqiy parollar o'rniga parol xeshlari saqlangan bo'lsa ham, ushbu xesh faylining yaxlitligi hali ham himoyalangan bo'lishi kerak. Aks holda, tajovuzkor boshqa xeshni (tajovuzkor biladigan parol uchun) kiritishi va yangi parol yordamida tizimga kirishi mumkin.
Maxfiy bo'lmagan parol fayliga ega bo'lish muammosi --- kriptografik xeshlar saqlanayotgan bo'lsa ham --- oflayn lug'at hujumlari ehtimoli. Bu yerda tajovuzkor lug‘atdagi har bir so‘zning xeshini hisoblab chiqadi va keyin har bir xeshni saqlangan parol xeshlari bilan solishtiradi. Agar mos keladigan bo'lsa, tajovuzkor parolni o'rgangan. Oflayn lug'at hujumlaridan himoya qilish uchun maxfiylikka muqobil tuzdan foydalanish hisoblanadi. Tuz tasodifiy raqam bo'lib, u foydalanuvchi bilan bog'langan va xesh hisoblanganda ushbu foydalanuvchi paroliga qo'shiladi. Yuqori ehtimollik bilan, ma'lum bir foydalanuvchi juftligi bir xil tuz qiymatiga ega bo'lmaydi. Va tizim har bir hisob uchun h (parol + tuz) va tuzni saqlaydi.
Tuz tajovuzkorga ma'lum bir hisob uchun parolni topishni qiyinlashtirmaydi, chunki har bir hisob uchun tuz aniq joyda saqlanadi. Tuz nima qilsa, tajovuzkor barcha foydalanuvchilarga oflayn lug'at hujumini amalga oshirishni qiyinlashtiradi. Tuz ishlatilsa, lug'atdagi barcha so'zlar har bir foydalanuvchi uchun qayta yozilishi kerak bo'ladi. Ilgari "ulgurji" hujum sifatida ko'rilishi mumkin bo'lgan hujum "chakana" hujumga aylantirildi.
Tuz ko'pchilik UNIX dasturlarida qo'llaniladi. UNIX ning dastlabki versiyalarida tuz 12 bit edi va u tizim vaqtidan va hisob qaydnomasi yaratilganda jarayon identifikatoridan shakllangan. Afsuski, bugungi kunda 12 bit umidsiz darajada kichik. Hatto eski kompyuter ham 13 000 kript/sek tezlikni amalga oshirishi mumkin, ya'ni bunday kompyuter 1 soat ichida 12 bit tuzning barcha mumkin bo'lgan qiymati bilan 20 ming so'zli lug'atni xeshlashi mumkin.

Download 31,54 Kb.

Do'stlaringiz bilan baham:
  1   2   3   4   5   6



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©www.hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish