पॉल हास्केल-डाउलैंड, लेखक प्रदान की
पासवर्ड का उपयोग हजारों वर्षों से कंप्यूटर पर खुद को दूसरों की पहचान करने और हाल के दिनों में करने के लिए किया जाता है। यह एक सरल अवधारणा है - जानकारी का एक साझा टुकड़ा, व्यक्तियों के बीच गुप्त रखा गया और पहचान को "साबित" करने के लिए उपयोग किया गया।
एक आईटी संदर्भ में पासवर्ड 1960 के दशक में उभरा साथ में मेनफ्रेम कंप्यूटर - उपयोगकर्ता के उपयोग के लिए दूरस्थ "टर्मिनलों" के साथ बड़े केंद्र संचालित कंप्यूटर। वे अब हमारे कंप्यूटर और विभिन्न वेबसाइटों में लॉग इन करने के लिए, एटीएम में दर्ज किए गए पिन से सब कुछ के लिए उपयोग किए जाते हैं।
लेकिन हमें जिन प्रणालियों तक पहुँच है, उनकी पहचान को "प्रमाणित" करने की आवश्यकता क्यों है? और पासवर्ड सही पाने के लिए इतनी मेहनत क्यों की जाती है?
एक अच्छा पासवर्ड क्या है?
अपेक्षाकृत हाल तक, एक अच्छा पासवर्ड एक शब्द या वाक्यांश हो सकता है जिसमें छह से आठ अक्षर होते हैं। लेकिन अब हमारे पास न्यूनतम लंबाई दिशानिर्देश हैं। यह "एन्ट्रापी" के कारण है।
जब पासवर्ड के बारे में बात की जाती है, तो एंट्रॉपी होती है भविष्यवाणी की माप। इसके पीछे का गणित जटिल नहीं है, लेकिन आइए इसे और भी सरल उपाय से जांचें: संभावित पासवर्ड की संख्या, जिसे कभी-कभी "पासवर्ड स्पेस" कहा जाता है।
यदि एक-वर्ण वाले पासवर्ड में केवल एक लोअरकेस अक्षर होता है, तो केवल 26 संभावित पासवर्ड ("ए" से "जेड") होते हैं। अपरकेस अक्षरों को शामिल करके, हम अपने पासवर्ड की जगह को 52 संभावित पासवर्ड तक बढ़ाते हैं।
पासवर्ड स्पेस का विस्तार जारी है क्योंकि लंबाई बढ़ गई है और अन्य वर्ण प्रकार जोड़े गए हैं।
पासवर्ड को अधिक या अधिक जटिल बनाने से संभावित 'पासवर्ड स्पेस' में वृद्धि होती है। अधिक पासवर्ड स्थान का अर्थ है अधिक सुरक्षित पासवर्ड।
उपरोक्त आंकड़ों को देखते हुए, यह समझना आसान है कि हमें ऊपरी और निचले अक्षरों, संख्याओं और प्रतीकों के साथ लंबे पासवर्ड का उपयोग करने के लिए क्यों प्रोत्साहित किया जाता है। पासवर्ड जितना जटिल होगा, उतने ही अधिक प्रयास की जरूरत है।
हालाँकि, पासवर्ड जटिलता के आधार पर समस्या यह है कि कंप्यूटर दोहराए जाने वाले कार्यों में अत्यधिक कुशल हैं - जिसमें पासवर्ड का अनुमान लगाना भी शामिल है।
पिछले साल, ए रिकॉर्ड स्थापित किया गया था प्रत्येक बोधगम्य पासवर्ड उत्पन्न करने की कोशिश कर रहे एक कंप्यूटर के लिए। इसने प्रति सेकंड 100,000,000,000 अनुमानों की तुलना में तेजी से दर हासिल की।
इस कंप्यूटिंग शक्ति का लाभ उठाते हुए, साइबर अपराधी एक प्रक्रिया में, जितना संभव हो, उतने पासवर्ड संयोजनों के साथ बमबारी करके सिस्टम में हैक कर सकते हैं पाशविक बल के हमले.
और क्लाउड-आधारित तकनीक के साथ, एक आठ-वर्ण पासवर्ड का अनुमान लगाने से 12 मिनट में और यूएस $ 25 जितना कम खर्च किया जा सकता है।
मैंने कुछ गणित किया।
- टेकबायटॉम (@techbytom) फ़रवरी 14, 2019
लागत की गणना करने के लिए AWS p.3 उदाहरणों का उपयोग करना और हमलावर को $ 25 मान लेना:
आपका 8 कैरेक्टर का पासवर्ड संभवत: 12 मिनट या उससे कम समय में क्रैक हो जाएगा।
इसके अलावा, क्योंकि पासवर्ड का उपयोग लगभग हमेशा संवेदनशील डेटा या महत्वपूर्ण प्रणालियों तक पहुंच देने के लिए किया जाता है, यह साइबर अपराधियों को सक्रिय रूप से बाहर निकालने के लिए प्रेरित करता है। यह एक आकर्षक ऑनलाइन मार्केट सेलिंग पासवर्ड भी चलाता है, जिनमें से कुछ ईमेल पते और / या उपयोगकर्ता नाम के साथ आते हैं।
आप केवल AU $ 600 के लिए लगभग 14 मिलियन पासवर्ड ऑनलाइन खरीद सकते हैं!
वेबसाइटों पर पासवर्ड कैसे संग्रहीत किए जाते हैं?
वेबसाइट पासवर्ड आमतौर पर एक गणितीय एल्गोरिथ्म का उपयोग करके संरक्षित तरीके से संग्रहीत किया जाता है हैशिंग। एक हैशेड पासवर्ड पहचानने योग्य नहीं है और इसे पासवर्ड (अपरिवर्तनीय प्रक्रिया) में वापस नहीं लाया जा सकता है।
जब आप लॉगिन करने का प्रयास करते हैं, तो आपके द्वारा दर्ज किया गया पासवर्ड उसी प्रक्रिया का उपयोग करके हैशेड किया जाता है और साइट पर संग्रहीत संस्करण की तुलना में। आपके द्वारा लॉगिन करने पर हर बार यह प्रक्रिया दोहराई जाती है।
उदाहरण के लिए, SHA0 हैशिंग एल्गोरिथ्म का उपयोग करके गणना किए जाने पर पासवर्ड "पा $ $ w02726rd" को "40d378f716981e4321c60d3ba325a6ed4a1c" दिया जाता है। कोशिश करो स्वयं.
जब हैशेड पासवर्ड से भरी फ़ाइल का सामना करना पड़ता है, तो एक क्रूर बल हमले का उपयोग किया जा सकता है, पासवर्ड लंबाई की एक सीमा के लिए वर्णों के हर संयोजन की कोशिश कर रहा है। यह ऐसी सामान्य प्रथा बन गई है कि ऐसी वेबसाइटें हैं जो अपने (गणना किए गए) हैश मूल्य के साथ सामान्य पासवर्ड सूचीबद्ध करती हैं। आप बस इसी पासवर्ड को प्रकट करने के लिए हैश की खोज कर सकते हैं।
पासवर्ड सूचियों की चोरी और बिक्री अब बहुत आम है, a समर्पित वेबसाइट - haveibeenpwned.com - उपयोगकर्ताओं को यह जांचने में मदद करने के लिए उपलब्ध है कि क्या उनके खाते "जंगली" में हैं। यह 10 बिलियन से अधिक खाता विवरण शामिल करने के लिए विकसित हुआ है।
यदि आपका ईमेल पता इस साइट पर सूचीबद्ध है, तो आपको निश्चित रूप से पता लगाया गया पासवर्ड बदलना चाहिए, साथ ही किसी अन्य साइट पर भी जिसके लिए आप एक ही क्रेडिट कार्ड का उपयोग करते हैं।
क्या अधिक जटिलता समाधान है?
आप रोजाना होने वाले बहुत सारे पासवर्ड उल्लंघनों के साथ सोचते होंगे, हमने अपने पासवर्ड चयन अभ्यास में सुधार किया होगा। दुर्भाग्य से, पिछले साल का वार्षिक स्प्लैशडाटा पासवर्ड सर्वेक्षण पांच वर्षों में थोड़ा बदलाव दिखा है।
2019 वार्षिक स्प्लैशडाटा पासवर्ड सर्वेक्षण में 2015 से 2019 तक सबसे आम पासवर्ड का पता चला।
जैसे-जैसे कंप्यूटिंग क्षमताओं में वृद्धि होती है, समाधान में जटिलता बढ़ती दिखाई देगी। लेकिन मनुष्य के रूप में, हम अत्यधिक जटिल पासवर्ड याद रखने में कुशल नहीं हैं (और न ही प्रेरित)।
हमने वह बिंदु भी पार कर लिया है, जहाँ हम पासवर्ड की ज़रूरत वाले दो या तीन सिस्टम का उपयोग करते हैं। यह अब कई साइटों तक पहुँचने के लिए आम है, जिनमें से प्रत्येक के लिए पासवर्ड की आवश्यकता होती है (अक्सर लंबाई और जटिलता बदलती है)। एक हालिया सर्वेक्षण से पता चलता है कि औसतन, प्रति व्यक्ति 70-80 पासवर्ड.
अच्छी खबर यह है कि इन मुद्दों को हल करने के लिए उपकरण हैं। अधिकांश कंप्यूटर अब ऑपरेटिंग सिस्टम या वेब ब्राउज़र में पासवर्ड स्टोरेज का समर्थन करते हैं, आमतौर पर कई उपकरणों में संग्रहीत जानकारी साझा करने के विकल्प के साथ।
उदाहरणों में Apple शामिल है iCloud चाबी का गुच्छा और इंटरनेट एक्सप्लोरर, क्रोम और फ़ायरफ़ॉक्स में पासवर्ड बचाने की क्षमता (यद्यपि कम भरोसेमंद).
पासवर्ड प्रबंधक जैसे KeePassXC उपयोगकर्ताओं को लंबे, जटिल पासवर्ड उत्पन्न करने और उन्हें सुरक्षित स्थान पर स्टोर करने में मदद कर सकता है जब उन्हें ज़रूरत हो।
हालांकि इस स्थान को अभी भी संरक्षित करने की आवश्यकता है (आमतौर पर एक लंबे "मास्टर पासवर्ड") के साथ, पासवर्ड मैनेजर का उपयोग करने से आपको आपके द्वारा देखी जाने वाली प्रत्येक वेबसाइट के लिए एक अद्वितीय, जटिल पासवर्ड मिल सकता है।
यह किसी पासवर्ड को किसी असुरक्षित वेबसाइट से चोरी होने से नहीं रोक सकेगा। लेकिन अगर यह चोरी हो जाता है, तो आपको अपने सभी अन्य साइटों पर एक ही पासवर्ड बदलने की चिंता नहीं करनी होगी।
इन समाधानों में बेशक कमजोरियां हैं, लेकिन शायद यह एक और दिन के लिए एक कहानी है।
लेखक के बारे में
पॉल हास्केल-डाउलैंड, एसोसिएट डीन (कम्प्यूटिंग और सुरक्षा), एडिथ कोवान यूनिवर्सिटी और ब्रायन ओ'शिआ, लेक्चरर, एथिकल हैकिंग एंड डिफेंस, एडिथ कोवान यूनिवर्सिटी
इस लेख से पुन: प्रकाशित किया गया है वार्तालाप क्रिएटिव कॉमन्स लाइसेंस के तहत। को पढ़िए मूल लेख.
