პაროლის პოლიტიკის (რ)ევოლუცია

მომხმარებლებისთვის პაროლის პერიოდულად შეცვლის იძულება უსაფრხოების გავრცელებული პრაქტიკაა. მიიჩნეოდა, რომ ეს მიდგომა პაროლის პოლიტიკის ერთ-ერთი საკვანძო მოთხოვნა უნდა ყოფილიყო ნებისმიერ ორგანიზაციაში.

უახლესი გამოკვლევები აჩვენებენ, რომ პაროლის შეცვლის იძულება სისტემის უსაფრთხოებას საერთოდ არ ზრდის, ზოგიერთ შემთხვევაში კი ამცირებს კიდეც.

პაროლების პერიოდულ ცვლას იმით ამართლებენ, რომ თუ ჰაკერმა მოიპოვა თქვენი პაროლი, ამ პაროლით სარგებლობას მხოლოდ დროის გარკვეულ პერიოდში შეეძლება, ანუ მანამ სანამ სავალდებულოდ არ შეცვლით ამ პაროლს. თუმცა ჰაკერი როდესაც თქვენ პაროლს დაეუფლება, ის არ დაიწყებს რამდენიმე თვე ლოდინს მის გამოყენებამდე. მეორეც, პაროლის შეცვლის იძულების მიდგომა არ ითვალისწინებს ერთ ისეთ მნიშვნელოვან ასპექტს, როგორიც არის ადამიანის ბუნება.

მომხმარებლები პაროლების შერჩევისას მიდრეკილნი არიან აირჩიონ მათთვის მარტივად დასამახსოვრებელი სიტყვები, რომელსაც დაუმატებენ რაიმე ციფრს, ხშირად დაბადების თარიღს ან მის ნაწილს. მარტივი და ადვილად მისახვედრი პაროლების არჩევისკენ მიდრეკილება კიდევ უფრო იმატებს, როდესაც ორგანიზაცია ავალდებულებს მომხმარებელს შეცვალოს პაროლი. გარდა ამისა, თუ მომხმარებლები ზედმიწევნით მიჰყვებიან უსაფრთხოების რეკომენდაციებს და პაროლებს არ იმეორებენ სხვადასხვა სისტემებში, მაშინ მათ რამდენიმე პაროლის დამახსოვრება უწევთ.

დაგვეთანხმებით, მრავალი პაროლის ერთხელ დამახსოვრებაც რთულია, არათუ პერიოდული შეცვლისას. ამიტომ ახალი პაროლის შეყვანის იძულებისას, მომხმარებლების უმეტესობა ოდნავ ცვლის მიმდინარე პაროლს. ასეთი მეთოდოლოგია ხშირად არის ერთი ასოს ცვლილება ან პაროლის ბოლოში ციფრის დამატება – rtul!Paroli1, Rtul!paroli1, rtul!Paroli2 და ა.შ. მომხმარებლის ცოდნიდან გამომდინარე, პაროლის შეცვლის მეთოდოლოგია შეიძლება ბევრად უფრო რთული იყოს, მაგრამ თითოეული მათგანი მიჰყვება ერთი და იგივე წანამძღვრებს – ამოსავალ წერტილად ირჩევს კონკრეტულ სიტყვას, მნიშვნელობას, ნათესაობას, კლასს და ა.შ. (ქართველი მომხმარებლების პაროლებზე, შერჩევის მეთოდიკასა და სხვა საინტერესო ინფორმაციების გასაცნობად შეგიძლიათ იხილოთ ჩვენი სტატია – „ყველაზე გავრცელებული პაროლები საქართველოში“, სადაც 200 000-ზე მეტი ქართული პაროლი განვიხილეთ და საინტერესო დასკვნებიც გავაკეთეთ ( https://www.cyberhouse.ge/პაროლები/).

მომხმარებლების მიერ განმეორებითი პაროლის შერჩევის ერთგვაროვნებისა და შესაბამისად, სისუსტის საილუსტრაციოდ მკვლევარებმა ჩაატარეს ექსპერიმენტი რამდენიმე კომპანიაში. მათ  შექმნეს ალგორითმი, რომელიც მაღალი სიზუსტით ადგენდა სავარაუდო პაროლებს უკვე არსებულ პაროლებზე დაყრდნობით. შედეგები ფრიად დამაფიქრებელია – ამ ალგორითმმა შეცვლილი პაროლების 17% პროცენტი ზუსტად გამოიცნო პირველ 5 ცდაში და ეს ყველაფერი ხდებოდა ონლაინში (სისტემაში შესვლის რეალური მცდელობებისას). ოფლაინში კი, შეცვლილი პაროლების ჰეშების 41%-ის გაშიფვრას ამ ალგორითმმა 3 წამზე ნაკლები დრო მოანდომა.

გარდა ამისა, დღეისთვის 5 მილიარდზე მეტი რეალური პაროლია ჰაკერების მიერ მოპოვებული, სხვადასხვა დიდ კომპანიებზე შეტევის შედეგად და ჩვენი „ახალი“ პაროლი შესაძლოა სხვის მიერ უკვე იყო გამოყენებული, რის გამოც ჩვენი პროფილის გატეხვის საფრთხე იმატებს. აქვე უნდა ითქვას ისიც, რომ ე.წ. bruteforce შეტევა უსაფრთხოების გატეხვის საუკეთესო გზა სულაც არაა. უფრო მეტ შედეგს იძლევა ე.წ. ფიშინგ შეტევა და კლავიატურაზე მომხმარებლის მიერ აკრეფილი სიმბოლოების ლოგირება (keylogging) სისტემაში შეღწევის შედეგად. ასეთ დროს პაროლის სიგრძესა და სირთულეს არანაირი მნიშვნელობა არ აქვს.

დიდი ბრიტანეთის ინფორმაციული უსაფრთხოების ეროვნული სააგენტო (CESG) და ამერიკის სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტიც (NIST) იმ აზრზე არიან, რომ პაროლების შეცვლის სავალდებულო მოთხოვნა ხშირად კონტრპროდუქტიულია. მათ მიერ შემუშავებული ახალი რეკომენდაციები შემდეგნაირად გამოიყურება:

  • პაროლების უსაფრთხოების წესები უნდა იყოს ადვილად აღსაქმელი. მომხმარებლისგან არ უნდა მოითხოვოთ ისეთი ინფორმაციას, რაც რეალურად არ აუმჯობესებს უსაფრთხოებას.
  • პაროლების სიგრძე მნიშვნელოვანია და კომპანიებმა დასაშვებ სიმბოლოთა რაოდენობა უნდა გაზარდონ მინიმუმ 64 სიმბოლომდე. ამასთან, მომხმარებელს საშუალება უნდა ჰქონდეს გამოიყენოს ASCII და უნიკოდის სიმბოლოები. უნდა მოხდეს შექმნილი პაროლების ჰეშირება (hash) salt-ის გამოყენებით და მხოლოდ ამის შემდეგ შეინახოს ბაზაში.
  • კარგი პრაქტიკაა და რეკომენდირებულია მომხმარებლის მიერ არჩეული პაროლის შემოწმება სულ მცირე 100,000 ყველაზე გავრცელებული პაროლების სიაში.
  • ნუ მოითხოვთ მომხმარებლებისგან კონკრეტული ციფრების, ასოებისა თუ სიმბოლოების გამოყენებას ან გამოუყენებლობას. ამის მაგივრად წაახალისეთ გრძელი პაროლების შექმნა, როგორიცაა მაგალითად პაროლფრაზები. გაცილებით ნაკლები შანსია ვინმემ გატეხოს – sxva_sxvis_ომში_brZenia, ვიდრე მაგალითად – pA55w+rd.
  • დაუშვებელია პაროლის მინიშნებების (hint-ების) გამოყენება. ის რაც მომხმარებელს ეხმარება გახსენებაში, ჰაკერს უფრო მეტად დაეხმარება პაროლის გამოცნობაში.
  • ცოდნაზე დამყარებული აუთენთიფიკაცია ცუდი პრაქტიკაა. ეს გულისხმობს ისეთ კითხვებზე პასუხს, რომელიც პაროლის დავიწყების შემთხვევაში საშუალებას გვაძლევს შევიდეთ ჩვენს პროფილში. ასეთებია მაგალითად, რომელია თქვენი საყვარელი ფერი, რა ჰქვია დედათქვენს, რომელ სკოლაში სწავლობდით, რომელია თქვენი საყვარელი ფეხბურთის გუნდი და ა.შ. ამ ინფორმაცია ჰაკერები მარტივად პოულობენ მომხმარებლის სოციალურ ქსელებში და იყენებენ “დავიწყებული” პაროლის გამოსაცვლელად.
  • და ბოლოს, არანაირი პაროლის ვადის გასვლა და სავალდებულო ცვლილება არსებითი მიზეზის გარეშე. არსებითი მიზეზი კი შეიძლება იყოს სისტემის კომპრომეტირება და ჰაკერების მიერ ბაზაში შეღწევა.

უკვე შეცვალეთ თქვენი ორგანიზაციის პაროლის პოლიტიკა?