Avtomatlaşdırılmış infornasiya sistemlərinin ən zəyif nöktəsi pis niyyətli insanların onlara daxil olmasıdır. Bu baxımdan zəif nöktə autentifikasiya pratakolu vasitəsiylə müdafiə edilir. Ən əlverişli autentifikasiya üsulu isə paroldan istifadədir. Ancaq pis niyyətli şəxslər paroldan istifadə etməklə yaradılmış müdafiə sistemini "sındıra" bilir. Bunun qarşısını almaq üçün güclü parollar yaradılmalı və bu parollar müəyyən parol siyasətlərinə uyğun olmalıdır. Gəlin bir yerdə effektiv parol siyasətinin yaradılması üçün standartlar və qaydalar tətbiq edək.
1. İlk nöbədə parol tarixcəsi tədbiq edək ki, isdifadəçi əvvəlki parolunu yeni parol kimi istifadə edə bilməsin.
2. Həmçinin minumum və maksimum parol müddəti təyin edək ki isdifadəçi parolu nə daha tez dəyişə bilsin nədə uzun vaxt ərzində dəyişmədən iatifadə etsin. Çünki eyni parol uzun müddət istifadə olunnanda pis niyyətli insanların parolu müəyyən etmək şansları bir o qədər çox olur. Eyni zamanda isdifadəçilər parolları vaxdından daha əvvəl dəyişib öz isdədikləri parolnan əvəz edə bilərlərki buda təhlükəlidir. Çünki isdifadəçi daha asand olsun deyə şəxsi məlumatlarında isdifadə edirlər. Hər hansı pis niyyətli şəxslər isə həmin insan haqqında məlumatlara sahiblənərək parolu müəyyən etmək şanslarını artırırlar.
Beləliklə biz parol tarixcəsini 24 olaraq müəyyən edərək və minumum vaxt olaraq 1 gün maksimum vaxt olaraq isə 90 gün seçərək(bu rəqəmlər ən yaxşı təcrübələrdən hesab edilir) ilk parol siyasətimizi tədbiq etmiş olduq. Daha sonra biz parol uzunluğu təyin etməliyik ki parol siyasətimizi dahada gücləndirmiş olaq. Məsələn çox proqramlar və ya sayıtlarda isdifadəçi parolunun minumum 8 simvoldan ibarət olmağı tələb olunur. Buna səbəb 8 simvolun təhlükəsizliyi qoruyacaq qədər uzun yadda qalacaq qədər isə qısa olmasıdır. Bundan başqa minumum 14 simvolluq tələbdə vardır ki bu çoxda isdifadə olunmur. Buna səbəb isə təhlükəsizlik cəhətdən üstün olsada insanların səf parol yazaraq hesablarının bloklanmasına səbəb ola biləcəyidi.. Ancaq isdifadəçilərə (“ Mən dükana 1 lt süd almağa getdim”) kimi sade parol ifadelerinden isdifade öyredile biler. Belə ifadələrin yaddan çıxmaq ehdimalı daha azdır. Ancaq belə ifadələrində zəif cəhətləri mövcuddur məsələn lüğətə uyğun hücum həyata keçirilərsə bele bir şifrəni qırmaq mümkün olacaq.
3. Parolun uzunluğunu təyin etdikdən sonra isə parolların mürəkkəblik tələblərinə cavab verməsi üçün tələb qoyaq. Bu zaman parol bu tələblərə cavab verməlidir:
- Avropa dillərindəki böyük və kiçik həriflərdən isdifadə olunmalıdır( A-dan Z-yə Yunan bə Kiril hərifləri),əsas 10 rəqəmdən isdifadə olunmalıdır (0-9), xüsusi simvollardan isdifadə olunmalıdır('-!"#$%&()*,./:;?@[]^_`{|}~+<=>).
- Bundan başqa əlifba simbolu hesab edilmiyen Unicodelerden isdifade olunmalıdır.( buna Asiya dillərindən Unicod lar daxildir). Artıq biz özümüzə uyğun bir parol siyasəti yaratmış olduq.
- Bundan başqa AİS daha yaxşı qorunması üçün biz çox faktorlu doğrulama(MFA) aktif edə bilərik.
MFA nədir? MFA isdifadəçiyə giriş icazəsi vermədən əvvəl ikinci yoxlama mənbəyindən isdifadə edərək bizim kimliyimizi dəqiqləşdirən bir sisdemdir. Çox faktorlu autentifikasiya metodu adətən üç yoldan biri ilə təsnif edilir:
- Bildiyiniz bir şey – PIN, parol və ya təhlükəsizlik sualına cavab
- Sizdə olan bir şey — OTP, token, etibarlı cihaz, smart kart və ya nişan
- Siz bir şeysiniz - üz, barmaq izi, retinal skan və ya digər biometriklərfən biri ilə.
MFA niyə lazımdır? Çünki isdifadəçilər çox zaman sındırılması çətin olmayan parollardan isdifadə edirlər və bu parolları bir neçə fərqli yerdə təkrar isdifadə edirlər ki buda açıq aşkar təhlükəsizlik ihlalıdı. MFA isə isdifadəçiyə parol sındırılsa bele qorunmaynan təmin edir. Bir çox insan MFA-nın çətin bir şey olduğunu düşünür ancaq bu bele deyil. MFA yazlnız yeni cihazdan ilk defe giriş edəndə ve ya parolu deyişdiyiniz zaman ki hallarda dövriyəyə girir.