Нууц үг нь компьютерийн системд хэрэглэгчийн баталгаажуулалтын түгээмэл хэрэглэгддэг арга юм. Эдгээр нь хэрэглэгчийн хэн болохыг баталгаажуулах, эрх бүхий нөөцөд хандах эрх олгох хэрэгсэл болдог. Гэсэн хэдий ч нууц үг нь янз бүрийн техникээр нэвтэрч, аюулгүй байдалд ихээхэн эрсдэл учруулдаг. Энэ хариултанд бид нууц үг хэрхэн эвдэгдэж болох талаар судалж, нууц үгэнд суурилсан баталгаажуулалтыг бэхжүүлэхийн тулд авч болох арга хэмжээний талаар ярилцах болно.
Нууц үг эвдэх нэг түгээмэл арга бол харгис хүчний халдлага юм. Харгис хэрцгий довтолгооны үед халдагч зөв нууц үг олдох хүртэл тэмдэгтүүдийн бүх боломжит хослолыг системтэйгээр оролддог. Үүнийг нууц үг хурдан үүсгэж, шалгах автомат хэрэгслээр дамжуулан хийж болно. Харгис хэрцгий халдлагаас хамгаалахын тулд хэрэглэгчид хангалттай нарийн төвөгтэй нууц үг сонгохыг шаарддаг хатуу нууц үгийн бодлогыг хэрэгжүүлэх нь чухал юм. Үүнд том жижиг үсэг, тоо, тусгай тэмдэгтийн хослолыг ашиглах зэрэг орно. Нэмж дурдахад, тодорхой тооны бүтэлгүйтсэн нэвтрэлт оролдлогын дараа дансыг түр хугацаагаар түгжих бүртгэлийг түгжих механизмыг хэрэгжүүлэх нь харгис хүчний халдлагын эрсдлийг бууруулахад тусална.
Нууц үгээ нууцлах өөр нэг арга бол нууц үгийг таах явдал юм. Энэ техникээр халдагчид нэр, төрсөн огноо болон бусад амархан олж болох дэлгэрэнгүй мэдээлэлд үндэслэн хэрэглэгчийн нууц үгийг таахыг оролддог. Энэ нь таахад хялбар нууц үг сонгох, нийтлэг эсвэл амархан таних боломжтой мэдээллийг ашиглахаас зайлсхийхийн чухлыг онцолж байна. Хүчтэй нууц үгийн ач холбогдлын талаар хэрэглэгчдэд сургаж, нууц үг үүсгэх зааварчилгааг өгөх нь нууц үг таах эрсдэлийг бууруулахад тусална.
Нууц үг таслах нь нууц үгээ эвдэх өөр нэг арга юм. Энэ нь нэвтрэлт танилтын явцад халдагчид хэрэглэгч болон систем хоорондын харилцааг таслан зогсоох үед тохиолддог. Нууц үг таслах нэг түгээмэл хэлбэрийг "дунд хүн" халдлага гэж нэрлэдэг бөгөөд халдагч нь хэрэглэгч болон системийн хооронд байрлаж, нууц үгийг дамжуулж байх үед нь барьж авдаг. Нууц үг таслахаас хамгаалахын тулд дамжуулж буй өгөгдлийг шифрлэдэг HTTPS гэх мэт аюулгүй харилцааны протоколуудыг ашиглах нь маш чухал юм. Нэмж дурдахад, олон хүчин зүйлийн баталгаажуулалтыг (MFA) хэрэгжүүлэх нь хэрэглэгчдэд нууц үг, гар утсандаа илгээсэн өвөрмөц код гэх мэт баталгаажуулалтын олон хэлбэрийг шаардах замаар аюулгүй байдлын нэмэлт давхаргыг хангаж чадна.
Нууц үгийг дахин ашиглах нь нууц үгэнд суурилсан баталгаажуулалтын өөр нэг чухал эрсдэлт хүчин зүйл юм. Олон хэрэглэгчид олон систем эсвэл бүртгэл дээр нууц үгээ дахин ашиглах хандлагатай байдаг. Хэрэв эдгээр дансны аль нэг нь эвдэрсэн бол энэ нь бусад дансны нууцлалд хүргэж болзошгүй юм. Нууц үгийг дахин ашиглах эрсдэлийг бууруулахын тулд хэрэглэгчдэд бүртгэл тус бүрт өвөрмөц нууц үг ашиглахын ач холбогдлын талаар мэдлэг олгох, хэрэглэгчдэд нууц үгээ найдвартай удирдах, хадгалах боломжийг олгодог хэрэгсэл, үйлчилгээгээр хангах нь чухал юм. Жишээлбэл, нууц үгийн менежерүүд нь хэрэглэгчдэд зориулсан нарийн төвөгтэй нууц үгийг үүсгэж хадгалах боломжтой бөгөөд ингэснээр нууц үгийг дахин ашиглах магадлалыг бууруулдаг.
Нууц үгийг харгис хэрцгий халдлага, нууц үг таах, нууц үг таслах, дахин ашиглах гэх мэт янз бүрийн арга техникээр дамжуулан эвдэж болно. Нууц үгэнд суурилсан нэвтрэлт танилтыг бэхжүүлэхийн тулд нууц үгийн хатуу бодлогыг хэрэгжүүлэх, хэрэглэгчдэд хүчтэй нууц үгийн ач холбогдлыг сургах, аюулгүй харилцааны протоколуудыг хэрэгжүүлэх, олон хүчин зүйлийн баталгаажуулалтыг ашиглах талаар бодох нь чухал юм. Эдгээр арга хэмжээг хэрэгжүүлснээр байгууллагууд өөрсдийн системийн аюулгүй байдлыг сайжруулж, зөвшөөрөлгүй нэвтрэхээс хамгаалж чадна.
Сүүлийн үеийн бусад асуулт, хариулт Authentication:
- Хэрэглэгчийн нэвтрэлт танилтад эвдэрсэн хэрэглэгчийн төхөөрөмжтэй холбоотой болзошгүй эрсдэлүүд юу вэ?
- UTF механизм нь хэрэглэгчийн нэвтрэлт танилтад хүний дунд халдлагаас урьдчилан сэргийлэхэд хэрхэн тусалдаг вэ?
- Хэрэглэгчийн баталгаажуулалт дахь сорилт-хариу протоколын зорилго юу вэ?
- SMS-д суурилсан хоёр хүчин зүйлийн баталгаажуулалтын хязгаарлалт юу вэ?
- Нийтийн түлхүүрийн криптограф нь хэрэглэгчийн баталгаажуулалтыг хэрхэн сайжруулдаг вэ?
- Нууц үгнээс өөр баталгаажуулалтын аргууд юу вэ, тэдгээр нь аюулгүй байдлыг хэрхэн сайжруулах вэ?
- Хэрэглэгчийн баталгаажуулалтын аюулгүй байдал болон тав тухтай байдлын хооронд ямар ялгаа байдаг вэ?
- Хэрэглэгчийн баталгаажуулалтад ямар техникийн бэрхшээл тулгардаг вэ?
- Yubikey болон нийтийн түлхүүрийн криптограф ашиглан баталгаажуулах протокол нь мессежийн үнэн зөвийг хэрхэн баталгаажуулдаг вэ?
- Хэрэглэгчийн баталгаажуулалтад Universal 2rd Factor (U2F) төхөөрөмжүүдийг ашиглах нь ямар давуу талтай вэ?
Баталгаажуулалтаас бусад асуулт, хариултыг харна уу