AQSh Milliy standartlar va texnologiyalar instituti (NIST) davlat va xususiy sektor uchun texnologiya sohasida standartlarni belgilaydigan tashkilot bo’lib, parol bilan bog’liq bir qator eskirgan va samarasiz qoidalarni qayta ko’rib chiqish taklifini bildirdi. Bularga parolni majburiy ravishda muntazam o’zgartirish, parol tarkibiga qo’yiladigan talablar va nazorat savollardan foydalanish kiradi.

Nega eski qoidalar ish bermaydi?

Garchi ishonchli parol tanlash kiberxavfsizlikning eng murakkab vazifalaridan biri bo’lsa-da, xavfsizlikni oshirishi kerak bo’lgan ko’plab qoidalar aslida uni pasaytiradi. Yaqinda NIST o’zining SP 800-63-4 standarti loyihasini yangilab, raqamli identifikatsiyani tasdiqlash bo’yicha tavsiyalarni taqdim etdi.

Yangilangan standartda parolga nisbatan oqilona yondashuvga alohida e’tibor qaratilgan. Eng muhim takliflaridan biri bu parolni majburiy ravishda muntazam o’zgartirish amaliyotini rad etishdir. Ilgari parol oddiy va oson taxmin qilinishi mumkin bo’lgan davrlarda bunday amaliyot o’rinli edi. Ammo hozirda uzoq va tasodifiy ravishda yaratilgan parollardan foydalanish sharoitida, tez-tez o’zgartirish samaradorligini pasaytiradi va foydalanuvchini yanada sodda kombinatsiyalarni eslab qolishga majbur qiladi.

Yana bir eskirgan talab bu parolda turli xil belgilarning (raqamlar, maxsus belgilar, katta va kichik harflar) bo’lishi kerakligi. NISTning fikricha, parol yetarlicha uzoq va tasodifiy bo’lsa, bunday talablar keraksiz va hatto himoyani zaiflashtirishi mumkin.

• Parol uzunligi: Kamida 8 ta belgi, ideal holda 15 ta yoki undan ko’p belgi.
• Belgilar: Barcha ASCII belgilaridan, bo’shliqdan va Unicode belgilaridan foydalanish mumkin.
• Parolni eslatmalar: Parolni eslatish uchun hech qanday ma’lumot saqlanmasligi kerak.
• Nazorat savollari: Autentifikatsiya uchun nazorat savollardan foydalanish taqiqlanadi.

NISTning yangi tavsiyalari:

Ko’pgina mutaxassislar allaqachon parolga qo’yiladigan umumiy talablarning xavfsizlikka salbiy ta’sirini ta’kidlab kelishgan. Biroq, banklar, onlayn xizmatlar va davlat idoralari hali ham bu talablarga amal qilishmoqda. NISTning yangi standartlari barcha uchun majburiy bo’lmasa-da, kelajakda parol yaratishga bo’lgan yondashuvimizni o’zgartirishga hissa qo’shishi mumkin.

Nima uchun bu muhim?

Ushbu o’zgarishlar kiberxavfsizlikni mustahkamlashga yordam beradi, chunki foydalanuvchilar uchun parolni eslab qolish va boshqarish osonroq bo’ladi. Bu esa, o’z navbatida, zaif parollardan foydalanish va parolni qayta ishlatish holatlarini kamaytiradi.