Oddiy almashtirish shifrlash
O’zgartirish shifrlari – bu alifbo kabi deyarli uzoq vaqtdan beri mavjud bo’lgan shifrlash usullari sinfidir. Uning mohiyati harflarni boshqa harflar, raqamlar yoki belgilar bilan almashtirishdir (kriptografiyaga havola).
Shifrning xususiyatlari va nozikliklarini o’rganmasdan, siz eng oddiy shifrlash usulini tanlashingiz mumkin – alifboda undan keyingi har bir harf almashtiriladigan usul. Masalan, “mushuk” va “it” so‘zlarini olaylik. Biz shifrlaymiz: alifbodagi c dan keyin d (c=d), a bo’ladi b (a=b), t dan keyin u (t=u). Ikkinchi so’z uchun bir xil formula: d=e, o=p, g=h. Natijada, biz ikkita shifrni olamiz – dbu va eph.
Oddiy almashtirish shifrlari juda xavfsiz emas. Agar siz bir nechta shifrlangan jumlalarga mos kelsangiz yoki undan qanday foydalanishni bilsangiz, uni buzish unchalik qiyin emas. Ammo siz tajriba qilishingiz va usulni diversifikatsiya qilishingiz mumkin. Masalan, harflarni almashtirish, raqamlarni qo’shish va hokazolar uchun o’z buyurtmangizni belgilang.
Mnemonik kod
Siz sehrgarlar va sehrgarlarning sevimli usuli – mnemonikadan foydalanishingiz mumkin. Bu ob’ektni to’liq tavsifi yordamida tasavvur qilishga yordam beradi, shuning uchun uni eslab qolish yoki aniqlashni osonlashtiradi. Kamalakning ranglari haqidagi mashhur iborada shunga o’xshash printsip qo’llaniladi: «Har bir (Qizil) ovchi (Apelsin) (Sariq) (Ko’k) qayerda (Ko’k) qirg’ovul (Binafsha) o’tirganini (Yashil) bilishni xohlaydi».
Soddalashtirilgan shaklda hamma narsa shunday ko’rinadi: «a – ananas, b – banan, c – gilos». Parol yaratish uchun harflarga mos keladigan so’zlardan foydalaning.
Masalan, bank.com uchun parol yaratishingiz kerak. Keling, «b» va «a» veb-resurs nomidan birinchi ikkita harfning kodini asos qilib olaylik. «b banan uchun, a – olma uchun» konstruktsiyasiga ko’ra, biz «banana» olamiz. Ularning orasiga defis qo’ying va parol ham kerakli belgini oladi. Va agar siz bularning barchasini oddiy almashtirish shifr bilan birlashtirsangiz, bank.com paroli haqiqatan ham xavfsiz nsmsms=s[[;r] bo’ladi.
Parol oxirida sayt nomi
Panda Security tarmoq xavfsizligi kompaniyasining texnik direktori Luis Korrons quyidagi variantni taklif qiladi:
Parolni har bir sayt uchun noyob qilish uchun (uni yozmasdan) uning oxiriga veb-resurs nomini qo’shishingiz mumkin.
Keling, xuddi shu bank.com sayti misolini batafsil ko’rib chiqaylik. Oxirida tanlangan parolga «-bank» prefiksini qo’shing. Keyinchalik murakkab tuzilma olinadi, bu parolni tushunarli va murakkab qiladi. Biz «-twitter», «-facebook» va «-linkedin» ijtimoiy tarmoqlaridagi akkauntlar yoki «-twit», «-face» va «-link» kabi qisqartirilgan versiyalar bilan ham xuddi shunday qilamiz.
Vaqt muddati
O’z mijozlarini har olti oyda yoki bir yilda parollarini o’zgartirishga majburlaydigan kompaniyalar bor. Bu erda ham siz yechim topishingiz mumkin. Parolning boshiga yoki oxiriga kerakli yilni, chorakni qo’shing. Keling, allaqachon tanish bo’lgan «banan» parolini asos qilib olaylik, unga kelgusi 2016 yil va 1-chorakni qo’shing. Bu banan-16-q1 chiqadi. Va agar siz klaviaturada faqat bitta tugmachani harakatlantirsangiz, parol ancha murakkablashadi va nsmsms=3-25=j3 ko’rinishini oladi.
Va bu bizning noyob parolimiz, juda murakkab, ishonchli, uni eslab qolish va muntazam ravishda (oylar yoki yillar bo’yicha) hech qanday qiyinchiliksiz o’zgartirish mumkin.
Hajmi muhim
Shifrlashdan tashqari, parolning sifati haqida gapirishga arziydi. Uning uzunligi muhim ahamiyatga ega. To’liq to’plamga 26 ta kichik harf, 26 ta katta harf va 10 ta raqam kiradi. Shuningdek, parolda 30 ga yaqin maxsus belgilardan foydalanish mumkin. Bularning barchasi parolga qo’shilgan har bir belgi uchun mumkin bo’lgan variantlar soni 90 baravar ko’payishini ko’rsatadi.
FlowTraq tarmoq xavfsizligi firmasining bosh direktori Vinsent Burkning so’zlariga ko’ra:
Aksariyat veb-saytlar va bizneslar kamida 10 ta kichik va katta harflar, jumladan, son va bir yoki bir nechta maxsus belgilar birikmasidan iborat parollarni talab qiladi.
So’nggi paytlarda xavfsizlik bo’yicha mutaxassislar parol uzunligini umumiy o’n ikki belgigacha oshirishni tavsiya etadilar. Ularning fikricha, 12 minimal. Ushbu nazariya Texnologiya Institutida (Jorjiya, AQSh) o’tkazilgan tadqiqot asosida shakllangan. Tadqiqotchilar sakkiz xonali parollarni buzish uchun video kartalar guruhlaridan foydalangan va buning uchun ikki-uch soat etarli degan xulosaga kelishgan. Buzg’unchilik GPU-lar, bugungi geymerlarning ehtiyojlarini qondirish uchun mo’ljallangan tizim komponentlari bilan bog’liq.
Etti belgidan iborat parollar «umidsiz nomaqbul» deb tasniflanadi. Ma’lumotlar xavfsizligi bo’yicha tadqiqotchilar zamonaviy texnologiyalar yordamida o’n ikki belgidan iborat parollarni buzish uchun taxminan 17 000 yil kerak degan xulosaga kelishdi. To’g’ri, texnologik taraqqiyot shunchalik tez sur’atdaki, aniq prognozlar berish qiyin.
Parolning originalligi
Albatta, parolni kuchli qiladigan narsa faqat uzunligi emas. Buni taxmin qilish yoki bashorat qilish oson bo’lmasligi kerak. Misol uchun, LadyGaga paroli faqat sodiq muxlis uchun yoki qo’shiqchining o’zi uchun yaxshi. 1234567890 raqamlar to’plami ham ishlamaydi – hatto bola ham klaviaturada ketma-ket o’nta raqamni terish orqali uni buzishi mumkinligi juda aniq. Parol1234 seriyasidagi kombinatsiya, hatto o’n ikki belgidan iborat bo’lsa ham, ishonchsiz bo’ladi.
Murakkab va oddiy bo’lmagan parollarni o’ylab topishga arziydi. Har qanday tilning lug’atlarida uchraydigan so’zlardan qochish yaxshidir. Harflarni raqamlar bilan mashhur almashtirish («o» o’rniga 0, «a» o’rniga 4) alohida rol o’ynamaydi. Xuddi shu parolni ko’p marta takrorlash tavsiya etilmaydi. Noyabr oyida o’tkazilgan RSA so’roviga ko’ra, 69% foydalanuvchilar aynan shunday qilishmoqda. Natijalar shuni ko’rsatdiki, iste’molchilar bir vaqtlar o’ylab topilgan parolni qayta-qayta ishlatishadi (ularning deyarli 50 foizi xakerlar hujumi qurboni bo’lganiga qaramay).
Maslahat takliflari
Aksariyat xavfsizlik mutaxassislari parollarni eslab qolish oson, ammo taxmin qilish qiyin bo’lishi kerak degan fikrga qo’shiladilar. Belgilarning juda murakkab va tushunarsiz birikmalari shunchaki unutiladi. Va parollarni stikerlarga, qog’oz parchalariga, daftarlarga yoki boshqa joyga yozib qo’yish yaxshi fikr emas. Bu erda o’zingizni boshqa birovga emas, balki faqat egasiga tushunarli bo’lgan maslahat bilan cheklash yaxshiroqdir.
Parolni murakkablashtirish variantlaridan biri bu juda qiyin konstruksiyalardan foydalanishdir. Kimdir GdzIQaZyVaFgbh7dlu46 kabi yigirmata belgidan iborat to’plamni eslay olishi dargumon. Aslida, bunday parollardan foydalanish umuman «og’riqli». Boshqa tomondan, ularni buzish haqiqatan ham qiyin bo’ladi. Bunday parollar maxsus xavfsizlikni talab qiladigan va tez-tez ishlatilmaydigan tizimlar uchun yaxshi.
Siz iboradan parol sifatida foydalanishingiz mumkin, uni oldindan kodlashingiz mumkin. Misol uchun, ingliz tilida kodlashda «Men sohilda bo’lishni xohlayman» iw2b@theBeach kabi ko’rinishi mumkin. Buzib tashlash qiyin bo’lgan esda qolarli parol. Har bir tizim uchun boshqa tugatishni tanlash mumkin. Ba’zi tizimlar hatto to’liq jumlalarni parol sifatida ishlatishga ruxsat beradi. Bunday parollar unutilmaydi va juda xavfsiz bo’ladi.
Ma’lumotlar xavfsizligini yaxshilash uchun taniqli bulutli saqlash xizmati Dropbox foydalanishga ruxsat etilmagan parollar ro’yxatini yaratdi. Ro’yxatda taxminan 85 100 parol mavjud.
Va Janubiy Uels universiteti tadqiqot o’tkazdi, uning natijalari shuni ko’rsatdi:
Foydalanuvchilarning 4,7 foizi parol parolidan foydalanadi;
Foydalanuvchilarning 8,5 foizi ikkita variantdan birini tanlaydi: parol yoki 123456;
Foydalanuvchilarning 9,8 foizi uchta variantdan birini tanlaydi: parol, 123456 yoki 12345678;
Foydalanuvchilarning 14% 10 ta eng mashhur parollardan birini tanlaydi;
Foydalanuvchilarning 40% 100 ta eng mashhur parollardan birini tanlaydi;
Foydalanuvchilarning 79% 500 ta eng mashhur parollardan birini tanlaydi;
Foydalanuvchilarning 91% 1000 ta eng mashhur parollardan birini tanlaydi.
Manba: habrahabr