Nywila
Makala haina vyanzo vya kutosha
Makala (au sehemu ifuatayo ya makala) inatoa habari bila kuonyesha vyanzo au uthibitisho wowote.
|
Nywila au nenosiri ni neno au mfululizo wa maandishi ya siri ambayo hutumiwa kuthibitisha utambulisho au kumwezesha mtu kupata rasilimali fulani. Nywila lazima iwe siri kwa wale wasioruhusiwa kuingia.
Matumizi ya nywila yanajulikana toka zamani. Mababu waliwadai waliotaka kuingia au kukaribia eneo lao kutoa nywila au msemo fulani. Mababu walimruhusu tu mtu au kikundi fulani kupita kama walijua nywila hiyo. Katika nyakati za sasa, majina ya utumiaji na nywila hutumiwa kwa kawaida na watu wakati wa udhibiti wa kuingia katika taratibu za kompyuta zilizolindwa, simu ya mkononi, Televisheni za malipo, mashine za ATM , nk. Mtumiaji wa kompyutaanaweza kuhitaji nywila kwa sababu nyingi: kuingia katika akaunti za kompyuta, kufungua barua pepe kutoka kwa mtandao, kufikia programu, hifadhidata, mitandao, tovuti, na hata asubuhi kusoma gazeti kwenye mtandao.
Si lazima nywila kuwa maneno halisi; hakika nywila ambazo si maneno haswa huwa ngumu zaidi kubahatisha, jambo ambalo ni zuri. Baadhi ya nywila huundwa kutoka maneno mengi na hivyo basi ukwa usahihi zaidi huitwa Nywilanahau. Jina nywilafumbo wakati mwingine hutumika wakati ujumbe wa siri ni Nambari tu, kama vile nambari binafsi ya utambulisho (PIN) kawaida hutumiwa kwa ATM. Nywila huwa ni fupi kuweza kukumbukwa kwa urahisi na na kubonyezwa chapa.
Kwa minajili ya kuthibitisha zaidi utambulisho wa kifaa cha kompyuta kimoja na kingine, nywila zina walakini mkubwa (zinaweza kuibiwa, kunakiliwa, kusahaulika, nk) ikilinganishwa na mifumo ya kuthibitisha inayotegemea itifaki za Kriptografia ambazo ni vigumu zaidi kuvunja.
Rahisi kukumbuka, ngumu kubahatisha
[hariri | hariri chanzo]Jinsi nywila ilivyo rahisi kwa mmiliki kuikumbuka ndivyo ilivyo rahisi kwa mfyonzi kuipata. Nywila zilizo ngumu kuzikumbuka hupunguza usalama wa taratibu kwa sababu (a) watumiaji watahitaji kuandika au kuzihifadhi nywila hizo kielektroniki, (b) watumiaji watahitaji kuzihariri nywila zao mara kwa mara na (c)uwezekano wa watumiaji kutumia nywila ile ile kuongezeka. Vilevile, jinsi inavyohitajika ugumu wa nywila kuwa, kwa mfano, "kuwa na mchanganyiko wa herufi kubwa na ndogo na tarakimu" au "kubadilishwa kila mwezi," ndivyo uwezekano wa watumiaji kuivunja taratibu unavyoongezeka. [1]
Katika makala ya[2] Jeff Yan et al. kuchunguza athari za ushauri waliopewa watumiaji kuhusu uchaguzi mzuri wa nywila. Waligindua kwamba nywila zinazoundwa kwa kufikiri nahau na kuchukua herufi ya kwanza ya kila neno, ni rahisi kukumbuka kama nywila zilizochaguliwa bila maarifa fulani, na ngumu kama zilizochaugliwa bila kutumia mfumo wowote. Kuchanganya maneno mawili yasiyohusiana ni njia nyingine nzuri. Njia nyingine ya kibinafsi ni kuwa na algorithimu ya kuzalisha nywila.
Hata hivyo, kuwataka watumiaji kukumbuka nywila inayojumuisha "mchanganyiko wa herufi kubwa na ndogo" ni kama kuwauliza kukumbuka mfululizo wa bits: ngumu kukumbuka, na vigumu kidogo kuvunja (km ni mara 128 vigumu kuvunja nywila ya herufi 7, rahisi kidogo kama mtumiaji ametumia herufi kubwa katika herufi ya kwanza). Kuwataka watumiaji kutumia "herufi na tarakimu" mara nyingi hupelekea mabadilisho rahisi kuonekana kama vile 'E' -> '3 'na' I '-> '1', mabadilisho ambayo yanajulikana na wavunjaji. Vilevile kupiga chapa nywila kwenye kibodi mstari mmoja juu ni hila ya kawaida inayojulikana na wavunjaji.
Mambo ya kuzingatiwa katika usalama wa mfumo wa nywila
[hariri | hariri chanzo]Usalama wa mfumo wowote iliyolindwa na nywila unategemea mambo kadhaa. Mfumo kwa jumla lazima, bila shaka, kuundwa kwa usalama dhabiti, pamoja na ulinzi dhidi ya virusi vya kompyuta, mashambulio ya mtu-wa-katikatina kadhalika. Masuala ya usalama wa kimwili pia ni muhimu, ili kuzuia kurambaza kwa begana vitisho zaidi kama vile kwa kutumia kamera za video na wanaonusa kibodi. Bila shaka, nywila zinapaswa kuchaguliwa ili kwamba ni vigumu kwa mshambulizi kubahatisha na vigumu kwake kuigundua kwa kutumia programu automatiska zozote (au zote) zinazopatikana. Angalia nguvu ya nywila, usalama wa kompyuta, na ukosefu wa usalama wa kompyuta.
Udhibiti madhubuti wa upatikanaji wa vifungu kwa wahalifu unaweza kuwafanya wachukue hatua dubwana wakitafuta kupata nywila au ishara za biometriska. [3] Hapa ni baadhi ya masuala maalum ya usimamizi wa nywila ambayo lazima kuzingatiwa katika kufikiria, kuchagua, na utunzaji, wa nywila.
Kima cha idadi ambayo mshambulizi anaweza kujaribu kubahatisha nywila
[hariri | hariri chanzo]Kima cha idadi ambayo mshambulizi anaweza kuwasilisha nywila ya kubahatisha ni kipengee muhimu katika kuamua usalama wa mfumo ulioko. Baadhi ya mifumo ya usalama humlazimisha mtumiaji muda wa sekunde kadhaa baada ya idadi ndogo (kwa mfano, tatu) ya majaribio kutofaulu. Bila ya kuwepo kwa hatari nyingine, mifumo hiyo inaweza kufanywa salama kwa urahisi, kama imechaguliwa vizuri na kuwa haiwezi kubahatishwa kwa urahisi.[6]
Mifumo mingi huhifadhi au kuwasilisha heshi ya Kriptografiaya nywila katika hali ambayo huifanya thamani ya heshi kupatikana na mshambulizi. Wakati hili hufanywa, na ni kawaida sana, mshambulizi anaweza kufanya kazi nje ya mtandao, na kupima haraka nywila bandia dhidi ya thamani ya heshi ya kweli. Nywila zinazotumika kuzalisha funguo za kriptografia (kwa mfano, usalama kama vile disk encryption au Wi-Fi) pia zinaweza kubahatishwa kwa kiwango kikubwa. Orodha za nywila zinazotumika sana zinazopatikana kwa wingi na zinaweza kufanya mashambulizi ya nywila kufaulu kwa urahisi. (Tazama Kuvunja Nywila). Usalama katika hali kama hizo unategemea kutumia nywila au nywilanahau ngumu kiasi cha kufanya shambulio kutowezekana kimtambo. Baadhi ya mifumo, kama vile PGP na Wi-Fi WPA hutumia heshi ya nywila taraklishi ili kupunguza mashambulizi.
Namna ya kuhifadhi nywila
[hariri | hariri chanzo]Baadhi ya mifumo ya kompyuta kuhifadhi nywila kama maandishi wazi, ambayo hulinganisha na majaribio ya mtumiaji kuingia. Kama mshambulizi anaweza kupata hifadhi kama hiyo ya ndani ya nywila, nywila zote -na hivyo basi akaunti zote za watumiaji -zitaathiriwa. Kama baadhi ya watumiaji hutumia nywila sawa katika akaunti tofauti, zitaathiriwa vilevile.
Mifumo salama zaidi kuhifadhi kila nywila katika mfumo unaolindwa kikriptografia, hivi kwamba kufikia nywila yenyew bado huwa vigumu kwa yeyote ambaye ameingia katika hifadhi hiyo, wakati udhibitishaji wa majaribio ya watumiaji unabaki ukiwezekana.
Namna moja maarufu ni kutumia nywila iliyo "heshiwa". Mtumiaji anapoweka nywila katika mfumo huo, programu ya utunzaji nywila hupitia katika heshi ya kriptografia, na kama thamani ya heshi iliyotokana na jaribio la mtumiaji inalingana na heshi iliyohifadhiwa katika hifadhidata ya nywila, mtumiaji anaruhusiwa kuingia. Thamani ya heshi huumbwa kwa kutumia tenzi ya heshi (kwa upinzani maradufu dhidi ya mashambulizi hii inapaswa kuwa tenzi ya heshi kriptografia) na kuitia katika mfululizo wa maandishi unaojumuisha nywila iliyowekwa na, kwa kawaida, thamani nyingine inayojulikana kama chumvi. Chumvi huzuia washambuliaji kutojenga orodha ya thamani za heshi za nywila zinazotumiwa sana kwa urahisi. MD5 na SHA1 hutumiwa mara nyingi kama tenzi za hehsi kriptografia.
Namna moja ya DES algorithm iliyobadilishwa kiasi iliwahi kutumika katika Unix. Tenzi ya UNIX DES ilipaniwa kufanya tenzi ya heshi sawa kwenda polepole, ili kughathabisha zaidi majaribio ya washambulizi kubahatisha kiautomatiska, na ilitumia nywila mgombea kama ufunguo wa kutia fumbo kwa thamani ya kudumu, hivyo basi kuzuia shambulio jingine kwa mfumo wa kuficha nywila. Hivi karibuni, Unix na programu zingine kama Unix (km, Linux au BSD ) hutumia mifumo ambayo wengi wanaamini kuwa ina kinga madhubuti zaidi kwani ina msingi ya MD5, SHA1, Blowfish, Twofish, au algorithimu nyingine kadhaa za kuzuia au kughathabisha mashambulizi ya hifadhi za faili za nywila [4]
Ikiwa tenzi ya heshi imeundwa vyema, itakuwa jambo lisilowezekana kitaraklishi kuigeuza moja kwa moja ili kupata maandishi wazi ya nywila. Hata hivyo, mifumo mingi hailindi heshi za nywila zao vya kutosha, na kama mshambulizi anaweza kupata kufikia nywila zilizowekwa heshi anaweza kutumia zana ambazo zinapatikana kwa wingi na kulinganisha matokeo ya kila neno lilotiwa fumbo kutoka kwa baadhi ya orodha, kama vile kamusi (nyingi zinapatikana kwenye mtandao wa Interneti). Orodha kubwa za nywila zinazowezekana katika lugha nyingi sana zinapatikana kwenye interneti, kama vile programu za kujaribu kubahatisha mifumo tofauti. Kuwepo kwa Vifaa vya Kamusi za mashambulio hizi hufanya idadi ya nywila zinazoweza kuepuka mashambulizi kuwa finyu; hazifai kupatikana katika orodha kama hizo. Ni wazi kuwa, maneno katika orodha hizo lazima yaepukwe kutumiwa kama nywila. Matumizi ya heshi ya kuvuta ufunguo kama vile PBKDF2 inanuiwa kupunguza hatari hii.
Tenzi ya heshi iliyoundwa visivyo inaweza kufanya mashambulizi kuwa yakinifu hata kama nywila zeny nguvu zimetumiwa. Tazama heshi ya LM inayotumiwa sana , na isiyo na salama wowote, mfano. [2]
Mbinu za kusadikisha nywila katika mtandao
[hariri | hariri chanzo]Mbinu mbalimbali zimetumika kudhibitisha nywila katika mandhari ya mtandao:
Kuwasilishwa kwa nywila
[hariri | hariri chanzo]Nywila zinaweza kutekwa kwa urahisi (yaani, "snooping") wakati wa kuwasilishwa kwa mashine au mtu anayefanya udhibitishaji. Kama nywila inawasilishwa kama signali ya umeme katika nyaya zisizowekwa usalama kati ya upande wa mtumiaji na hifadhidata ya kudhibiti nywila, inaweza kutekwa kwa kutumia mbinu ya wiretapping. Kama inawasilishwa kama pakiti za data kwenye mtandao wa interneti, mtu yeyote anayeweza kuzitazama pakiti zenye ujumbe wa kuingia anaweza kuziteka bila ya kujulikana.
Barua Pepe wakati mwingine hutumiwa kusambaza nywila. Kwa vile barua pepe mara mingi hutumwa kama maandishi wazi, inaweza kupatikana bila juhudi wakati usafiri kwa 'mdukizaji' yoyote. Aidha, barua pepe itahifadhiwa angalau katika kompyuta mbili kama maandishi wazi- ile ya anayeituma na ya mpokeaji. Kama itapita katika kompyuta zingine hapo katikati wakati wa safari yake, kuna uwezekano itahifadhiwa pale pia, hata kama ni kwa muda tu. Majaribio ya kufuta barua pepe kutoka hatari hizi zote yaweza, au yasiweze kufanikiwa; Hifadhi au faili za historia au cache katika mojawapo ya kompyuta zaweza kuwa na barua pepe hiyo. Hakika kutambulisha tu kila moja ya kompyuta zile ni kazi ngumu. Kutuma nywila kwa barua pepe ni mbinu hatari ya usambazaji kwa ujumla.
Mfano wa usambazaji wa nywila kwa kutumia maandishi wazi ni tovuti ya mwanzo ya Wikipedia. Watumiaji walipoingia ndani ya akaunti zao za Wikipedia, Jina la Mtumiaji na nywila yako zilitumwa kutoka kivinjari cha kompyuta yako kupitia interneti kama maandishi wazi. Kimsingi, mtu yeyote angeweza kuyasoma wakati wa kuwasilishwa na baadaye kuingia katika akaunti yako kama wewe; server za Wikipedia hazina namna ya kubainisha mshambulizi na mtumiaji wa kweli. Katika hali halisi, idadi kubwa isiyojulikana ingeweza kufanya hivyo (km, wafanyakazi katika kampuni inayokuletea huduma ya Interneti, wakati wowote katika njia ambayo trafiki inapita, nk). Hivi majuzi, Wikipedia imetowa mfumo wa kuingia wenye usalama zaidi, ambayo, kama tovuti nyingi za e-commerce, hutumia itifaki za kikriptografia ya SSL / (TLS) ili kuepuka uwasilishaji wa maandishi wazi. Lakini, kwa sababu mtu yeyote anaweza kupata Wikipedia (bila hata ya kuingia kwa akaunti), na kisha ahariri karibu makala yote, twaweza sema kwamba hakuna haja ya kutia fumbo uwasilishaji huu kwani hakuna mengi ya kulindwa. Tovuti nyingine (km, benki na taasisi za fedha) zina mahitaji tofauti kabisa ya usalama, na uwasilishaji wa aina yoyote katika maandishi wazi ni kukosa usalama kabisa.
Kutumia mbinu ya kutia fumbo kwa upande wa mtumiaji kutalinda tu uwasilishaji kutoka kompyuta ya utunzaji hadi kwa kompyuta ya mteja. Uwasilishaji wa awali au baadaye wa barua pepe hiyo hautakuwa umelindwa na pengine barua pepe hiyo itahifadhiwa kwenye kompyuta kadhaa, kwa hakika katika kompyuta ilikotoka na kompyuta itakayoipokea , mara nyingi katika maandishi wazi.
Uwasilishaji kupitia mikondo iliyotiwa fumbo
[hariri | hariri chanzo]Hatari ya kutekwa kwa nywila zilizotumwa kwa mtandao wa interneti inaweza kupunguzwa, kati ya mbinu nyingine, kwa kutumia mbinu ya Kriptografia. Inayotumika zaidi ni ile ya Transport Layer Security (TLS, iliyoitwa hapo awali SSL) iliyojumuishwa ndani ya vivinjari vingi vya sasa vya interneti. Vivinjari vingi humfahamisha mtumiaji wa mitambo iliyolindwa kwa TLS / SSL kwa kuonyesha alama , au baadhi ya ishara nyingine, wakati TLS ni kutumia. Kuna mbinu nyingine kadhaa katika matumizi; Tazama cryptography.
Mbinu za kutumia changamoto-mwitikio kwa misingi ya Heshi
[hariri | hariri chanzo]Walakini, kuna mgogoro kati ya kuhifadhi nywila zilizoheshiwa na udhibitishaji kwa kutumia changamoto-mwitikio; ya pili inahitaji mteja kuthibitisha kwa server kwamba anajua siri jumuiya (yaani, nywila), na kufanya hivyo, lazima server iweze kupata siri jumuiya kutoka mfumo wake wa kuhifadhiwa. Katika mitambo mingi (pamoja na ile ya Unix) kufanya udhibitishaji kwa umbali, siri jumuiya kwa kawaida huheshiwa na ina upungufu wa kuwa inaweza kubahatishwa nje ya mtandao. Aidha, wakati heshi inatumika kama siri jumuiya, mshambulizi hahitaji nywila asili kujidhibitisha kwa umbali; anahitaji heshi tu.
Udhibitishaji wa Nywila wa Zero-knowledge
[hariri | hariri chanzo]Badala kuwasilisha nywila, au heshi ya nywila, mitambo ya password-authenticated key agreement inaweza kufanya udhibitishasifuri-maarifa password ushahidi, ambayo inathibitisha maarifa ya siri bila kuwasababishia yake.
Isitoshe, mifumo ya augmented password-authenticated makubaliano muhimu (kwa mfano, först, B-Speke, PAK-Z, SRP-6) wote kuepuka mgogoro na juu ya makao hash mbinu. Mfumo uliodhabitiwa unaruhusu mteja kuthibitisha kuwa anajua nywila kwa server, ambapo server inajua tu (na sio kikamilifu) heshi ya nywila, na ambapo nywila isiyokuwa na heshi inahitajika kuweza kuingia.
Taratibu za kubadilisha nywila
[hariri | hariri chanzo]Kwa kawaida, mtambo wowote lazima utoe njia ya kubadili nywila, aidha kwa sababu mtumiaji anaamini (au kuna uwezekano kuwa) nywila yake imetekwa, au kama tendo la kutahadhari. Nywila mpya ikipitishwa kwenye mtambo b, usalama inaweza kuwa njia (eg, via wiretapping) hata kabla ya mwezi password wanaweza hata kuwa imewekwa katika password database. Na, bila shaka, kama nywila mpya itapewa kwa mfanyakazi asiyekuwa mwaminifu, hakuna. Baadhi ya tovuti hujumuisha nywila aliyoichagua mtumiaji katika barua pepe ya kudhibitisha katika mfumo usiokuwa na fumbo, na hapo basi pamoja na dhahiri iliongezeka mazingira magumu.
Mitambo ya Usimamizi wa utambulisho inazidi kutumika katika kutoa nywila mbadala kwa zilizopotea, hulka iitwayo self service password reset. Utambulisho wa mtumiaji huthibitishwa kwa kuuliza maswali na kulinganisha na majibu yaliyohifadhiwa awali (yaani, wakati akaunti ikafunguliwa). Maswali yanayotumika sana ni kama: "Ulizaliwa wapi?," "Senema uipendayo zaidi ni ipi?" au "Jina la mnyama wako?" Mara nyingi majibu ya maswali haya yanaweza kubahatishwa kwa urahisi na mshambulizi, kudhamiriwa kwa juhudi Asili utafiti, au kupatikana kwa njia ya kijamii uhandisi, na hivyo huu ni kidogo kuliko kikamilifu kuridhisha kama ukaguzi technique. Ingawa watumiaji wengi wamepata mafunzo kamwe kutotoa nywila zao, wachache kufikiria jina la yao favorite movie pet au kuhitaji huduma sawa.
Urefu wa maisha ya nywila
[hariri | hariri chanzo]"Kuzeeka kwa nywila" ni hulka ya baadhi ya mitambo ya taraklishi ambayo huwalazimisha watumiaji kubadilisha nywila zao mara kwa mara (mfano, kila robo mwaka, kila mwezi au hata mara nyingi zaidi), ili kuhakikisha kuwa nywila iliyoibiwa haitumiki wa muda mrefu. Sera kama hizi huibua malalamishi kutoka watumiaji mguu-dragging saa bora na uadui saa mbaya. Watumiaji wanaweza kuunda mifumo yenye tofauti rahisi ili kufanya nywila zao rahisi kukumbuka. Isitoshe, ara nyingi manufaa ya usalama ni machache, kwa sababu washambulizi hutumia nywila punde tu wanapoiteka, kwani muda kabla ya kubadilisha is required. Mara nyingi, hasa kwa akaunti za msimamzi au za "shina" , mara an attacker imepata upatikanaji, hawezi kufanya alterations mfumo wa uendeshaji ambayo itaruhusu baadaye naye kupata hata baada ya awali password alitumia muda wake. (se rootkit). Kutekeleza sera kama hii kunahitaji kutilia maanani kwa makini vipengele muhimu vya kibinadamu.
Idadi ya watumiaji kwa kila nywila
[hariri | hariri chanzo]Wakati mwingine nywila moja hudhibiti upatikanaji wa kifaa fulani, kwa mfano, router ya mtandao, au simu ya mkononi inayolindwa kwa nywila. Hata hivyo, katika mtambo wa kompyuta, nywila kwa kawaida huhifadhiwa kwa kila akaunti, hivyo basi kufanya uingiaji wote kufuatilika (ila, bila shaka, wakati watumiaji wa kugawana lösenord). Mtu yeyote anayenuia kutumia mtambo wowote lazima aweke Jina la mtumizi na nywila vilevile, na mara kwa mara baadaye. Kama mtumiaji akitoa nywila inayolingana a password mmoja kuhifadhiwa kwa ajili ya kupatiwa username, yeye au yeye ni zaidi inaruhusiwa kuingia mfumo wa kompyuta. Hivi ndivyo ilivyo pia katika mashine za fedha, isipokuwa kwamba 'Jina la mtumiaji' kwa kawaida ni nambari ya akaunti iliyouhifadhiwa kwenye kadi ya benki ya mteja, na PIN ni kawaida kabisa fupi (4-6 digits).
Kutoa nywila tofauti kwa kila mtumiaji wa mtambo ni bor zaidi kuliko kuwa na password moja hutumiwa na watumiaji wa halali wa mfumo, hakika kutoka synvinkel usalama. Hii ni kwa sababu watumiaji wako radhi zaidi kumwambia mtu mwingine (ambaye huenda hajaidhinishwa) nywila ya pamoja kuliko nywila yao ya kipekee. Nywila za pamoja pia si rahisi sana kubadilisha kwa sababu watu wengi wanahitaji kujulishwa wakati mmoja, na hufanya kuondolewa kwa mtumiaji fulani kuwa vigumu zaidi, kwa mfano baada ya mahafali au mtu kujiuzulu. Nywila kwa-kila-mtumiaji pia ni muhimu kama watumiaji watatakiwa kuwajibikia shughuli zao, kama vile maamuzi ya fedha ya matibabu transaktioner au viewing records.
Kuundwa kwa nywila iliyolindwa
[hariri | hariri chanzo]Mbinu maarufu zinazotumika kuboresha mifumo ya usalama wa programu ya ulinzi wa nywila n:
- Kutoonyesha nywila kwenye kiwambo wakati mtumiaji anapoitia au kuificha wakati wa kutiwa kwa kutumia asteriski (*) au risasi (•).
- Kuruhusu nywila zenye urefu wa kutosha (baadhi ya mitambo ya uendeshaji, kama vile toleo za hapo awali za Unix mapema na Windows, mdogo lösenord en 8 tabia upeo.
- Kuwataka watumiaji kutia nywila zao tena baada ya muda fulani bila ya kutokuwa na shughuli (sera ya semi log-off).
- Utekelezaji wa sera ya nywila kuongeza nguvu na usalama.
- Kuhitaji mabadiliko ya mara kwa mara ya nywila.
- Kupeana nywila ziliochaguliwa bila mapendeleo.
- Inayohitaji nywila zenye kuhitaji urefu wa chini au upeo.
- Baadhi ya mifumo huhitaji herufi kutoka madarasa ya herufi mbalimbali katika nywila -kwa mfano, "lazima angalau moja uppercase na angalau mmoja barua lowercase". Hata hivyo, nywila zenye herufi zote ndogo ni salama zaidi kuliko vikichanganywa keystroke per capitalization lösenord [5]
- Kutoa mbadala kwa kutiwa kwa kibodi (mfano, nywila za kusemwa na mdomo, au nywila biometriska).
- Kutumia vichuguu vilivyotiwa fumbo au mfumo wa password-authenticated key agreement kuzuia upatikanaji wa zinaa kupitia mtandao lösenord mashambulizi
- Uzuiaji wa idadi ya majaribio yanayoshindwa ndani ya muda aliopewa (kuzuia unaorudiwa password guessing). Baada ya kikomo kufikiwa, jitihada zaidi hushindwa (z na jitihada password sahihi) mpaka mwanzo wa kipindi ijayo. Hata hivyo, hii ina hatari kutoka kwa aina ya kunyimwa huduma ya shambulio hilo.
- Kucheleweshwa katika majaribio ya kutia nywila ili kupunguza kasi ya mipango automatiska ya kubahatisha nywila.
Baadhi ya hatua za utekelezaji wa sera sugu zinaweza kuwatenga watumiaji, na uwezekano wa kupungua kwa usalama kama matokeo.
Kuvunja nywila
[hariri | hariri chanzo]Kujaribu kuvunja nywila kwa kufanya majaribio menig iwezekanavyo kama utakavyowezesha na muda na pesa ni shambulio la nguvu Mbinu inayohusiana na hii, ambayo ina ufanisi zaidi katika kesi nyingi, ni shambulio kamusi. Katika shambulio kamusi, maneno yote katika kamusi moja au zaidi hujaribiwa. Orodha za nywila za kawaida pia hujaribiwa.
Nguvu ya nywila ni uwezekano kwamba password haiwezi kubahatishwa au kugunduliwa kwa urahisi, na inatofautiana na shambulio algorithm kutumika. Nywila zinazogunduliwa kwa urahisi huitwa dhaifu au mazingira magumu; lösenord au haiwezekani vigumu sana kugundua wanaochukuliwa nguvu. Kuna programu kadhaa zinazopatikana kuvunjia nywila (au hata ukaguzi na ahueni wafanyakazi wa mitambo) kama vile L0phtCrack, Yohana Ripper, na Kaini; baadhi ambazo matumizi password design vulnerabilities (kama zinapatikana katika mfumo Microsoft LANManager) ili kuongeza ufanisi. Programu hizi wakati mwingine kutumiwa na wasimamizi wa mitambo kuchunguza nywila dhaifu ziliopendekezwa na watumiaji.
Utafiti wa mifumo ya uzalishaji wa kompyuta imezidi kuonyesha kuwa sehemu kubwa ya nywila zote zilizochaguliwa na watumiaji hubahatishwa kiautomatiska. Kwa mfano, Chuo Kikuu cha Columbia kiliripoti kuwa asilimia 22 ya nywila za watumiaji zinaweza kupaitikana kwa juhudi kidogo tu. [6] Kulingana na Bruce Schneier, akichunguza data kutoka shambilizi la phishing la 2006, asilimia 55 ya nywila za MySpace zingeweza kuvunjwa katika masaa 8 kwa kutumia kifaa kinachoauzwa cha Password Recovery Toolkit chenye uwezo wa kujaribu nywila 200,000 kila sekundu mnamo mwaka wa 2006. [7] Pia aliripoti kuwa nywila maarufu zaidi ni password1, na kuthibitisha tena hali ya kutojua kwa ujumla wa namna ya kushughulikia nywila miongoni mwa watumiaji. (Hata hivyo alisisitiza kuwa, kwa kuzingatia takwimu hizi, ubora wa nywila umeboreshwa kwa jumla katika miaka ya hivi punde -kwa mfano, urefu wa wastani ulikuwa hadi herufi nane kutoka chini ya saba katika uchunguzi wa awali, na chini ya asilimia 4 yalikuwa maneno ya kamusi. [8]
Tukio la 1998
[hariri | hariri chanzo]Tarehe 16 Julai 1998, CERT ilitoa taarifa ya tukio [9] ambapo mdukizaji mmoja alikusanya majina na akaunti 186,126 pamoja na nywila zao zilizotiwa fumbo. Wakati wa ugunduzi, mdukizaji alikuwa amebahatisha nywila 47,642 (nywila 25.6) akitumia kifaa cha kuvunjia nywila. Nywila hizo zilionekana kuwa zilikusanywa kutoka maeneo mengine kadhaa, baadhi yao ziligunduliwa lakini si zote. Hili bado ndilo tukio kubwa zaidi kuwahi kuripotiwa hadi sasa.
Mbinu Mbadala mbali na nywila za kudhibiti uingiaji
[hariri | hariri chanzo]Njia mbalimbali ambazo nywila za kudumu au kudumu kwa muda zinavyoweza kuathirika zimechochea kubuniwa kwa mbinu nyingine. Walakini, baadhi yao ni duni kimatumizi, na hali halisi ni chache tu zinazopatikana kwa kote kwa watumiaji wanaotafuta njia mbadala salama zaidi.
- Nywila za matumizi moja Kuwa na nywila ambayo ni halali mara moja tu inafanya uwezekano wa mashambulizi mengi kutowezekana. Watumiaji wengi huona kuwa nywila za matumizi moja ni hazifai mno. Hata hivyo, zimetumika sana katika kufanya shughuli za benki kwenye mtandao, ambapo zinajulikana kama TANs. Kwa vile watumiaji wengi wa nyumbani hufanya idadi ndogo tu ya mashirikiano ya kila wiki, utoaji wa nywila za matumizi moja haujasababisha wateja kutoridhika pakubwa katika kesi hii.
- Hundi za Usalama ni sawa katika njia kadhaa na nywila za matumizi moja, lakini thamani ya inayoweka huonyeshwa katika kifaa kidogo (kinachobebeka mfukoni) na hubadilika kila dakika moja hivi.
- Udhibiti wa kuingia kwa msingi wa public key cryptography km SSH. Funguo muhimu kwa kawaida ni kubwa mno kukaririwa (lakini tazama pendekezo la Passmaze) na lazima zihifadhiwe kwenye kompyuta ya karibu, hundi ya Usalama au kifaa cha kumbukumbu, kama vile flash disk au floppy disk.
- Mbinu za Biometrika hutoa uthibitishaji kwa misingi ya hulka za kibinafsi zisizoweza kubadilishwa, lakini kwa sasa (2008) zina kiwango kikubwa cha makosa na huhitaji vifaa zaidi vya ku, kwa mfano, Fingerprint, iris, nk Zimethibitika kuwa rahisi kuepukwa katika baadhi ya matukio maarufu ya kupima mitambo inayouzwa, kwa mfano, gummie Fingerprint spoof demonstration, [10] na, kwa sababu hizi ni hulka zisizoweza kubadilika, haziwezi zikabadilishwa hata ikiwa zimeathirika; hili ni jambo muhimu sana kuzingatiwa katika kudhibiti uingiaji kwa sababu hundi iliyoathirika sio salama.
- Teknolojia ya Single si-on ni alidai kuondokana na haja ya kuwa na multiple lösenord. Programu kama hizo hazimwepushi mtumiaji au msimamizi kutokana na kuchagua nywila kwa busara, wala waundaji wa mitambo au wasimamizi kutokana na kuhakikisha kuwa udhibiti wa kuingia katika mitambo ya kibinafsi na mifumo ya kuwezesha kupitishwa habari kati ya pande husika ni salama dhidi ya mashambulio. Kama sasa, bado hakuna mtindo wa kuridhisha umepata kuendelezwa.
- Envaulting technology ni njia isiyohitaji nywila ya kusalimisha data kwa mfano katika vifaa vya kuhifahdi vya kutoa kama vile flash drive. Badala ya nywila ya mtumiaji, kudhibiti uingiaji hufanywa kwa kuzingatia uwezo wa mtumiaji kuingia katika mtandao wa rasilimali.
- Nywila zisizotumia maandishi, kama nywila picha au nywila zinazotegemea mwendo wa kifaa cha puku. [3] Archived 16 Juni 2006 at the Wayback Machine. Mfumo mwingine huwahitaji watumiaji kuchagua mfululizo wa nyuso kama nywila, kutumia uwezo wa ubongo wa binadamu kukumbuka nyuso kwa urahisi. [4] Archived 27 Juni 2006 at the Wayback Machine.. Hadi sasa, njia hizi zinawezekana, lakini hazitumiki sana.
- Nywila picha ni njia mbadala za kuthibitisha kuingia ambayo imekusudiwa kutumiwa mahali pa nywila za kawaida; hutumia picha, maumbo au rangi badala ya herufi, tarakimu au miundo maalumu. Katika baadhi ya mifumo mtumiaji anahitajika kuchagua kutoka katika msururu wa picha katika mfululizo sahihi ili kuweza kuingia, sid14_gci1001829, 00.html</ref> Ilhali wengi wanaamini kwamba nywila picha ni ngumu zaidi kuvunja, wengine wanapendekeza kwamba watu wataweza kuchagua picha za kawaida au Msururu kama wanavyoweza kubaini nywila za kawaida.
- 2D Key (2-Dimensional Key) [5] Archived 18 Julai 2011 at the Wayback Machine. ni ufunguo wa miraba miwili ambayo ni njia pembejeo muhimu ikiwa na ufunguo mitindo wa multiline Passphrase, crossword, ASCII / Unicode art, na textual semantic noises kwa hiari, ili kujenga nywila /ufunguo kubwa zaidi ya 128 bits kwa kutambua MePKC (Memorizable Public-Key Cryptography) kutumia funguo zinazoweza kukumbukwa kikamilifu katika teknolojia ya sasa ya private key management kama vile encrypted private key, split private key, na roaming private key.
Mitambo ya nywila tovuti
[hariri | hariri chanzo]Nywila hutumiwa kwenye tovuti kuthibitisha watumiaji na kawaida huwekwa kwenye Web server, maana yake kuwa kivinjari kwenye mtambo hutumua nywila kwa server kwa umbali(na HTTP POST), server huikagua nywila na kurudisha ujumbe unaohitajika (au ujumbe wa kukana uingiaji). Utaratibu huu huondoa uwezekano wa local reverse engineering kwa vile kanuni zinazotumiwa kuthibitisha nywila hazipo kwenye mashine ya karibu.
Uwasilishaji wa nywila, kupitia kivinjari, katika maandishi wazi inamaanisha kuwa inaweza kutekwa katika safari yake ya kwenda kwa server. Mifumo mingi ya uthibitishaji kwenye mtandao hutumia SSL kuendeleza kikao cha uwasilishaji kati ya kivinjari na server, na ndio kiini cha madai ya kuwa na "Tovuti salama". Hili hufanywa automatiski na kivinjari na huongeza uadilifu wa kikao, tukidhani hakuna pande yoyote iliyoathirika na kwamba mitambo ya SSL / TLS zinazotumiwa ni za hali ya juu.
Mifumo inayojulikana kwa kufanya usimamizi wa nywila na uanachama mara nyingi huhusisha matumizi ya Java au JavaScript zilizopo kwenye HTML source code ya upande wa mteja (yaani kwenye kivinjari cha mtumiaji, kwa mfano, AuthPro). Ila za mifumo kama hii ni wepesi wa kuepuka ulinzi kwa kuzima JavaScript na Meta redirects katika kivinjari, na hivyo kupata kufikia kurasa za tofuti zinazolindwa. Zingine hujifaidi na lugha za scripting kwenye upande wa server kama vile ASP au PHP kuthibitisha watumiaji katika server kabla ya kutoa source code kwa kivinjari. Mifumo maarufu kama Sentry Login na Password Sentry Archived 28 Desemba 2009 at the Wayback Machine. hufaidika na teknolojia ambapo kurasa za tovuti hulindwa kwa kutumia viambishi vya lugha ya scripting vinavyowekwa mbele ya HTML source code katika ukurasa wa tovuti kuhifadhiwa katika ugani sahihi katika server, kama vile .asp au .php.
Historia ya nywila
[hariri | hariri chanzo]Nywila au misemo zimetumika tangu zamani. Polybius anaelezea mfumo wa usambazaji wa nywila katika Jeshi la Kirumi kama ifuatavyo:
- Njia ambayo wao hutumia kupitisha msemo wa usiku ni kama ifuatavyo: kutoka maniple ya kumi ya kila darasa la infantry na cavalry, maniple ambayo imepiga kambi katika eneo la chini mwishoni wa mtaa, mtu huteuliwa na kupumzishwa kutoka wajibu wa kulinda, naye kila siku saa za machweo huhudhuria hema ya Tribune, na kupokea kutoka kwake msemo - yaani ubao ambamo neno hilo limeandikwa - anaondoka, na anapokurudi katika maskani yake anapitisha msemo pamoja na ubao mbele ya mashahidi kwa kamanda wa maniple ijayo, ambao nao huipitisha kwa iliyo karibu nao. Wote hufanya hivyo mpaka inafikia maniple za kwanza, wale waliopiga kambi karibu na mahema ya tribune. Hawya wa mwisho wana wajibu wa kutoa ubao kwa tribunes kabla ya giza kuingia. Ili kwamba ikiwa zote zilizotolewa zimerudi, Tribune anajua kwamba maniples wote wamepewa msemo, na umewapiti wote katika njia yake kurudi kwake. Kama mojawapo haiko, hufanya uchunguzi mara moja, kwani anajua kwa alama ni kutoka maskani yapi ambapo ubao haukurudi, na aliyesababisha kusimishwa huko hukutana na adhabu inayomstahili. [11]
Matumizi ya nywila katika kijeshi yaligeuka na kujumuisha sio nywila tu, lakini pia nywila kinyume; kwa mfano katika siku ya kwanza ya Mapigano ya Normandy, wanajeshi wanaoruka kwa miamvuli kutoka 101 Airbourne Division ya Marekani walitumia nywila - "thunder" - ambayo iliwasilishwa kama changamoto, na kuitikiwa kwa jibu sahihi - "flash". Changamoto na mwitikio ziligeuzwa mara kwa mara. Wanajeshi wa Marekani wanaoruka kwa miamvuli pia walitumia kifaa maarufu kinachojulikana kama "cricket" wakati wa D-Day badala ya mfumo wa nywila kama njia ya kipekee kwa muda ya utambulisho; bofya moja yenye sauti ya chuma iliyotolewa na kifaa hicho kama nywila kulifaa kuitikiwa na bofya mbili. [12]
Nywila zimetumika kwa kompyuta tangu siku za mwanzo za kompyuta. CTSS, kutoka MIT mojawapo ya mifumo ya kwanza ya kugawana muda, ilianzishwa mwaka wa 1961. Ilikuwa na amri ya INGIA ambayo ilimwitisha mtumiaji nywila. "Baada ya kuwekaa NYWILA, mtambo ulifunga kifaa cha uchapishaji, kama ikiwezekana, ili mtumiaji kuweza kutia nywila yake kwa faragha." [13] Robert Morris alizindua wazo la kuhifadhi nywila katika mfumo wa heshi kama sehemu ya mfumo wa uendeshaji wa Unix. Algorithimu yake, ikijulikana kama crypt (3), alitumia chumvi ya bits 12 na kuita mfumo wa algorithm ya DES uliogeuzwa mara 25 na kupunguza hatari ya Pre-computed dictionary attacks.
Angalia pia
[hariri | hariri chanzo]- Access code
- Uthibitishaji
- CAPTCHA
- Diceware
- Keyfile
- Passphrase
- Password manager
- Password policy
- Password psychology
- Password strength
- Password length parameter
- Password Cracking
- Password fatigue
- Password-authenticated key agreement
- Password notification e-mail
- Password synchronization
- Pre-shared key
- Random password generator
- Rainbow table
- Self-service password reset
- Shibboleth
Marejeo
[hariri | hariri chanzo]- ↑ [1] Archived 2 Machi 2008 at the Wayback Machine. Fred Kohen na Wenzake
- ↑ The Memorability and Security of Passwords Archived 14 Aprili 2012 at the Wayback Machine.
- ↑ news.bbc.co.uk: Malaysia car thieves steal finger
- ↑ [7] ^ Password Protection for Modern Operating Systems
- ↑ "To Capitalize or Not to Capitalize?"
- ↑ "Password". Ilihifadhiwa kwenye nyaraka kutoka chanzo mnamo 2007-06-09. Iliwekwa mnamo 2009-12-23.
- ↑ [12] ^ Schneier, Real-World Passwords
- ↑ MySpace Passwords Aren't So Dumb
- ↑ "CERT IN-98.03". Iliwekwa mnamo 2009-09-09.
- ↑ T Matsumoto. H Matsumotot, K Yamada, na S Hoshino, Impact of artificial 'Gummy' Fingers on Fingerprint Systems. Proc SPIE, vol 4677, Optical Security and Counterfeit Deterrence Techniques IV or itu.int/itudoc/itu-t/workshop/security/resent/s5p4.pdf PG 356
- ↑ "Polybius on the Roman Military". Ilihifadhiwa kwenye nyaraka kutoka chanzo mnamo 2008-02-07. Iliwekwa mnamo 2009-12-23.
- ↑ Bando, Mark Screaming Eagles: Tales of the 101st Airbourne Division in World War II
- ↑ CTSS Programmers Guide, 2nd Ed., MIT Press, 1965
Viungo vya nje
[hariri | hariri chanzo]- Large collection of Statistics about passwords
- Graphical Passwords: A Survey
- PassClicks Archived 6 Agosti 2007 at the Wayback Machine.
- PassImages Archived 2 Desemba 2008 at the Wayback Machine.
- Links for password-based cryptography
- Procedural Advice for Organizations and Administrators Archived 18 Februari 2011 at the Wayback Machine.
- Memorability and Security of Passwords - Cambridge University Computer Laboratory study of password memorability vs security.