Tasodifiy belgilardan tuzilgan parollar endi yaxshi hisoblanmaydi.

Turli xil belgilar kombinatsiyasidan iborat murakkab parollardan foydalanish va ularni muntazam ravishda yangilab turish AQSH Standartlar va texnologiyalar milliy instituti (NIST) tomonidan samarasiz amaliyot deb tan olindi, deyiladi Forbes nashri xabarida. Afsuski, xakerlar bunday parollarni osongina buzmoqda. O‘z navbatida NIST raqamli identifikatsiya bo‘yicha foydalanuvchilar va kompaniyalar uchun yangi tavsiyalarni eʼlon qildi.

Ko‘p yillar davomida parollar ishonchli hisoblanishi uchun maksimal darajada murakkab bo‘lishi, bosh va kichik harflar, raqamlar va maxsus belgilarni o‘z ichiga olishi tavsiya qilinar edi. Bunday parollarni maxsus dasturlar yordamida topish yoki buzish qiyinroq bo‘ladi, deb taxmin qilingan. Biroq, vaqt o‘tishi bilan mutaxassislar parollarning haddan tashqari murakkabligi aksincha salbiy taʼsir ko‘rsatishi mumkin degan xulosaga kelishdi.

Yangi qo‘llanmaga ko‘ra, NIST endi parollarning murakkabligiga oid qatʼiy qoidalarga rioya qilishni talab qilmaydi, aksincha, ularni uzunroq qilishni tavsiya etadi. Buning bir necha sabablari bor. Birinchidan, tadqiqotlar shuni ko‘rsatdiki, foydalanuvchilar murakkab parollarni eslab qolishlari qiyin va bu ko‘pincha ularning bir xil parolni turli saytlarda ishlatishiga yoki minimal talablarga javob berish uchun juda oddiy belgilar kombinatsiyasini o‘ylab topishiga olib keladi. Bunga “P@ssw0rd123” kabi parol misol bo‘la oladi, u texnik jihatdan murakkablik talablariga mos kelsa-da, osonlikcha topilishi mumkin.

Ikkinchidan, ilgari ko‘plab tashkilotlarda keng tarqalgan parolni har 60-90 kunda o‘zgartirish talabi ham endi tavsiya etilmayapti. Bu talab ko‘pincha vaziyatni yomonlashtirardi, chunki tez-tez almashtirish zarurati tufayli ishonchli parollar yaratilishi ehtimoli kamayib ketadi.

NIST oddiy, lekin uzun parollar foydasiga murakkablaridan voz kechishni tavsiya qiladi va buning sabablarini tushuntiradi.

Parol kuchi ko‘pincha entropiya tushunchasi – belgilar kombinatsiyasining oldindan aytib bo‘lmaydigan miqdori bilan o‘lchanadi. Entropiya qanchalik yuqori bo‘lsa, jinoyatchilar uchun tanlash usuli bilan parolni buzish shunchalik qiyin bo‘ladi. Parolning murakkabligi entropiyani oshirishi mumkin bo‘lsa-da, parolning uzunligi ancha muhimroq rol o‘ynashi aniqlandi.

Institut eslab qolish oson bo‘lgan uzun parollar, xususan, bir nechta oddiy so‘zlardan iborat iboralardan foydalanishni taklif qiladi. Masalan, “kattauyningkichikegasihovlimashinaboloxonatomorqa” jumlasi shaklidagi parol o‘zbek tilini yaxshi biladigan foydalanuvchi uchun ham xavfsiz, ham qulay bo‘ladi. Bunday parol yuqori entropiya va foydalanish osonligini o‘zida mujassam etadi, bu esa uni yozib qo‘yish yoki ularni qayta ishlatish kabi xavfli odatlardan qochishga yordam beradi.

Zamonaviy texnologiyalar qisqa, ammo murakkab parollarni buzishni sezilarli darajada soddalashtirgan bo‘lsa-da, shunga qaramay, hatto eng ilg‘or algoritmlar ham mumkin bo‘lgan ko‘plab kombinatsiyalar tufayli uzun parollarni buzishga urinishda qiyinchiliklarga duch kelmoqda. Bunga Nyu-York shahri meri Erik Adamsning parolini o‘zgartirishini misol qilib keltirish mumkin. U shaxsiy telefonini huquq-tartibot idoralariga berishdan oldin to‘rt xonali kodni olti xonalisiga almashtirgan va ushbu o‘zgarish belgilarni tanlashning mumkin bo‘lgan kombinatsiyalari sonini 10 mingdan 1 millionga oshirdi.

Bugungi kunda NIST kompaniyalarga foydalanuvchilarga uzunligi 64 tagacha bo‘lgan parollar yaratishga ruxsat berishni tavsiya qilmoqda. Bunday uzun parol, hatto u faqat kichik harflar va tanish so‘zlardan iborat bo‘lsa ham, buzish uchun juda qiyin bo‘ladi. Agar unga bosh harflar va belgilar qo‘shilsa, bunday parolni buzish deyarli imkonsiz bo‘lib qoladi.

Xulosa o‘rnida aytish mumkinki, yangi tavsiyalarda parol uzunligi uning xavfsizligining asosiy omili sifatida maydonga chiqmoqda.