पासवर्ड पागलपन की दुनिया में खुशी कैसे प्राप्त करें

अगस्त के आरंभ में, वायर्ड रिपोर्टर मैट होनान की जटिल श्रृंखला के माध्यम से हैक की गई सबसे कीमती पासवर्ड सोशल इंजीनियरिंग शोषण। उल्लंघन ने हेडलाइंस बनाए क्योंकि ऐप्पल और अमेज़ॅन ग्राहक सेवा नीतियों में सुरक्षा त्रुटियों का खुलासा हुआ; लेकिन यह न भूलें कि होनान सागा ने सर्वर आक्रमणों से भरी लंबी गर्मी को कैप्चर किया जिसने लाखों उपयोगकर्ता पासवर्डों का खुलासा किया।

जून में हैकर्स ने 6.5 मिलियन लिंक्डइन पासवर्ड चुरा लिया और उन्हें ऑनलाइन पोस्ट किया। उसी महीने, घुसपैठियों ने सुरक्षा उल्लंघन में 1.5 मिलियन ईहर्मनी पासवर्ड से समझौता किया, और जुलाई में हैकर्स ने 450,000 याहू वॉयस पासवर्ड पकड़े। उन याहू सदस्यों द्वारा उपयोग किए जाने वाले सबसे आम पासवर्डों में से: "123456," "स्वागत है," और हमेशा लोकप्रिय "पासवर्ड"।

मौलिक समस्या यह नहीं है कि इन साइटों को उपयोगकर्ता डेटा की सुरक्षा करने के लिए बेहतर काम करना चाहिए था (हालांकि उनके पास होना चाहिए)। और ऐसा नहीं है कि उपयोगकर्ताओं ने उन पासवर्डों को चुना जो क्रैक करने के लिए बेहद आसान थे और फिर उन्होंने पंजीकृत प्रत्येक साइट पर उसी flimsy पासवर्ड का पुनर्नवीनीकरण किया (हालांकि उन्होंने किया)।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

समस्या यह है कि पासवर्ड डिजिटल सुरक्षा की भव्य योजना में आत्म-पराजित, अक्सर नपुंसक उपकरण बन गए हैं। हमें उनमें से बहुत से लोगों की जरूरत है, और मजबूत लोगों को याद रखना बहुत मुश्किल है।

यूनिसिस के लिए वैश्विक सुरक्षा समाधान के उपाध्यक्ष टेरी हार्टमैन कहते हैं, "इन दिनों नेट का उपयोग करने के लिए आपको दर्जनों पासवर्ड और लॉग इन होना चाहिए।" । "हर बार जब आप किसी साइट पर वापस जाते हैं, ऐसा लगता है कि उन्होंने पासवर्ड को और जटिल बनाने के लिए नए नियम पेश किए हैं। आखिरकार, उपयोगकर्ता सब कुछ के लिए एक पासवर्ड का उपयोग करने के लिए वापस आते हैं। "

संक्षेप में: पासवर्ड सिस्टम टूटा हुआ है। लिंक्डइन, ईहर्मनी, और याहू शोषण में उल्लंघन किए गए सभी पासवर्ड "धोया गया" था - यह है कि वास्तविक पासवर्ड को एल्गोरिदमिक रूप से जेनरेट किए गए कोड के साथ बदल दिया गया था। यह अल्फान्यूमेरिक gobbledygook में सर्वर (और हैकर्स द्वारा चोरी) पर संग्रहीत पासवर्ड बदलता है। फिर भी, यदि आपका पासवर्ड उतना सरल है, तो कहें, "officepc," एक हैकर आसानी से ब्रूट फोर्स या इंद्रधनुष तालिका का उपयोग करके हैश फॉर्म में भी इसे क्रैक कर सकता है।

लेकिन सब खो नहीं गया है। संख्याओं और विशेष पात्रों (और वास्तविक नाम या शब्द के साथ कोई समानता नहीं होने) के साथ जटिल जटिल पासवर्ड आपको हैकर्स के खिलाफ एक लड़ने का मौका देते हैं, और आप इन कोडों को एक आसान पासवर्ड प्रबंधन ऐप में स्टोर कर सकते हैं। इस बीच, वेबसाइटें अंत में सुरक्षा को गोमांस करने के लिए और अधिक कर रही हैं, मल्टीफाएक्टर प्रमाणीकरण की आवश्यकता है, और ऐसा लगता है कि बायोमेट्रिक तकनीक जल्द ही बड़े पैमाने पर बाजार सुरक्षा के लिए भी नियोजित की जाएगी।

पासवर्ड समस्या किसी भी नहीं जाएगी हालांकि, जल्द ही, और अब हमें बुरे लोगों से एक कदम आगे रहने के लिए नीचे बताए गए अनुप्रयोगों, सेवाओं और उभरती प्रौद्योगिकियों पर भरोसा करना होगा।

पासवर्ड vaults

पासवर्ड प्रबंधन प्रोग्राम स्पैम फ़िल्टर की तरह हैं अपने डिजिटल जीवन के प्रबंधन के लिए -बोरिंग लेकिन आवश्यक उपकरण। एक अच्छा पासवर्ड मैनेजर आपके सभी लॉगिन को याद करता है, जो जटिल पासवर्ड के साथ आपके द्वारा चुने गए सरल पासवर्ड को प्रतिस्थापित करता है, और यदि आप जिस साइट या सेवा का उपयोग करते हैं, तो उसे जल्दी से बदलते हैं।

सबसे अच्छा हिस्सा: दर्जनों को याद रखने के बजाय अद्वितीय पासवर्ड के, आपको केवल एक याद रखना होगा: आपके वॉल्ट के लिए मास्टर पासवर्ड। और जब तक कि आप हमेशा एक ही मशीन और उसी ब्राउज़र से लॉग ऑन नहीं करते (जिस स्थिति में आप शायद इसे एओएल डायलअप कनेक्शन पर पढ़ रहे हों), आप क्लाउड-आधारित प्रोग्राम जैसे LastPass, 1Password, या Roboform जो लागू कर सकते हैं आपके द्वारा उपयोग किए जाने वाले किसी भी पीसी, फोन या टैबलेट पर आपके लॉग इन।

नकारात्मकता: आपको अभी भी अपने मास्टर पासवर्ड को याद रखना होगा, और यह वास्तव में एक अच्छा होना चाहिए, संख्याओं, पूंजी और लोअरकेस अक्षरों के मिश्रण, और प्रश्न चिह्न और विस्मयादिबोधक बिंदु जैसे विशेष पात्रों के साथ पैक किया जाना चाहिए।

बेशक, एक हमलावर जो आपके सिस्टम में एक कीलॉगर लगाने का प्रबंधन करता है, आप इसे टाइप करते समय अपना पासवर्ड छीनने में सक्षम होंगे, रॉबर्ट सिसिलियनो, मैकफी के लिए एक ऑनलाइन सुरक्षा विशेषज्ञ जो 700 से अधिक लॉग इन स्टोर करने के लिए पासवर्ड वॉल्ट का उपयोग करता है। इसी प्रकार, यदि क्रुक्स क्लाउड-आधारित पासवर्ड वॉल्ट हैक करते हैं- जैसा कि मई 2011 में लास्टपास के साथ हुआ था- यह गेम खत्म हो सकता है। सौभाग्य से लास्टपास ग्राहकों के लिए, 2011 के हमले में कोई संवेदनशील जानकारी का उल्लंघन नहीं हुआ; लेकिन अगली बार एक सफल घुसपैठ होता है (और यह कुछ सुरक्षा फर्म के साथ कहीं भी अपरिहार्य होगा), उपयोगकर्ता शायद भाग्यशाली नहीं हो सकते हैं।

नीचे पंक्ति: पासवर्ड प्रबंधन vaults अत्यधिक मूल्य प्रदान करते हैं, और किसी भी व्यक्ति के लिए आवश्यक उपकरण हैं डिजिटल सुरक्षा मानता है।

मल्टीफाएक्टर प्रमाणीकरण

एन्क्रिप्टेड वॉल्ट में संग्रहीत जटिल पासवर्ड केवल पहला कदम हैं। कुछ साइटें उपयोगकर्ताओं की पहचान करने के लिए सुरक्षा के दूसरे स्तर पर भरोसा करती हैं-आम तौर पर हार्डवेयर का एक टुकड़ा जो केवल सही उपयोगकर्ता तक पहुंच प्राप्त करता है। इस तरह, यहां तक ​​कि एक हमलावर जो आपके पासवर्ड को जानता है उसे आपके डेटा चोरी करने के लिए, अपने फोन या कंप्यूटर तक पहुंच की आवश्यकता होगी।

ऑनलाइन लेनदेन को संभालने के दौरान वित्तीय संस्थानों को कानून द्वारा कई कारकों का उपयोग करने की आवश्यकता होती है, लेकिन वे कर सकते हैं सिसिलियनो कहते हैं, यह आपकी मशीन या उसके स्थान को प्रमाणित करके पृष्ठभूमि में है। इसलिए, उदाहरण के लिए, यदि आप सैन फ्रांसिस्को में रहते हैं और शंघाई में कोई व्यक्ति आपके बैंक खाते तक पहुंचने का प्रयास करता है, तो वह लेनदेन अवरुद्ध हो सकता है, या उस व्यक्ति को प्रदान किए गए डिवाइस पर भेजे गए नंबर को दर्ज करके प्रमाणीकरण का एक अतिरिक्त टुकड़ा प्रदान करने की आवश्यकता हो सकती है बैंक द्वारा।

Google और फेसबुक अब दो-कारक प्रमाणीकरण भी प्रदान करते हैं: जब भी आप किसी अपरिचित मशीन से लॉग इन करते हैं तो आप उन्हें अपने सेल फोन पर एक अस्थायी पिन भेज सकते हैं (यह पिन आपके पासवर्ड के साथ प्रदान किया जाना चाहिए पहली बार जब आप उस नई मशीन के माध्यम से लॉग इन करने का प्रयास करते हैं)। इस असफलता ने पिछले महीने सभी कठिनाई मैट होनान को रोक दिया होगा।

Google की दो-भाग प्रमाणीकरण प्रणाली सुरक्षा की एक बड़ी स्तर सुनिश्चित करती है, लेकिन कई उपयोगकर्ताओं को वास्तविक दुनिया अभ्यास में यह मुश्किल लगता है।

दुर्भाग्यवश, हालांकि, एक तरफ बैंकों और कुछ हद तक उच्च प्रोफ़ाइल वेबसाइटों से, अधिकांश जगहें ऑनलाइन मल्टीफाएक्टर प्रमाणीकरण की पेशकश नहीं करती हैं- क्योंकि यह बहुत सुविधाजनक नहीं है, और इंटरनेट उपयोगकर्ता के विशाल बहुमत परेशानी रहित लॉगिन के लिए सुरक्षा का व्यापार करने के इच्छुक हैं।

सिसिलियनो कहते हैं, "दो-कारक प्रमाणीकरण हमेशा दादी परीक्षण को पार नहीं करता है।" "इसका मतलब है अधिक समर्थन कॉल, अधिक पासवर्ड रीसेट, और उच्च लागत। यही कारण है कि यह आम तौर पर केवल खोने वाली कंपनियों द्वारा उपयोग किया जाता है। "

बॉयोमीट्रिक्स

बॉयोमीट्रिक्स की सुंदरता यह है कि आपको कुछ भी याद रखना नहीं है, बहुत कम जटिल पासवर्ड। इसके बजाए, एक बायोमेट्रिक सुरक्षा प्रणाली आपकी पहचान को प्रमाणित करने के लिए अपने भौतिक पैकेजिंग के अद्वितीय गुणों में आती है।

बायोमेट्रिक सिस्टम फिंगरप्रिंट, आईरिज, चेहरे और यहां तक ​​कि आवाजों को स्कैन कर सकते हैं ताकि यह सुनिश्चित किया जा सके कि किसी व्यक्ति को किसी सेवा या टुकड़े तक पहुंच होनी चाहिए या नहीं हार्डवेयर का वे अभी तक प्रमुख क्लाउड सेवाओं के लिए तैनात नहीं हैं, लेकिन यूनिसिस के टेरी हार्टमैन का कहना है कि प्रमुख बैंक अब बायोमेट्रिक पहचान प्रणाली का संचालन कर रहे हैं, और उम्मीद है कि वे अगले वर्ष रोलिंग शुरू कर देंगे। फिंगरप्रिंट-स्कैनिंग तकनीक के निर्माता, ऑथेनटेक के ऐप्पल के हालिया $ 360 मिलियन अधिग्रहण से पता चलता है कि भविष्य में ऐप्पल उत्पादों में बायोमेट्रिक पहचान का कुछ रूप बनाया जा सकता है।

प्राथमिक बायोमेट्रिक सुरक्षा कई नोटबुक पर पहले से ही उपलब्ध है।

बॉयोमीट्रिक्स नहीं हैं हालांकि, सही है। शोधकर्ताओं ने जिलेटिन उंगलियों का उपयोग करके फिंगरप्रिंट स्कैनर का गठन किया है, और उन्होंने तस्वीरों का उपयोग करके चेहरे की पहचान प्रणाली को बेवकूफ़ बना दिया है। पिछले जुलाई के ब्लैकहाट सम्मेलन में, सुरक्षा शोधकर्ताओं ने छवि डेटा को रिवर्स-इंजीनियरिंग द्वारा आईरिस स्कैनर को चालित करने का एक तरीका प्रदर्शित किया।

और निश्चित रूप से, हैकर केंद्रीय डेटाबेस में संग्रहीत बॉयोमीट्रिक डेटा को लक्षित कर सकते हैं, और अपने पीड़ितों के स्थान पर अपने बॉयोमीट्रिक डेटा को प्रतिस्थापित करके पहचान चुरा सकते हैं। पासवर्ड और अन्य व्यक्तिगत पहचान योग्य जानकारी के साथ, बायोमेट्रिक सुरक्षा द्वारा प्रदान की गई सुरक्षा का स्तर पूरी तरह से डेटा संग्रहित करने की क्षमता पर निर्भर करेगा (हम सभी जानते हैं कि लिंकडइन पर कितनी अच्छी तरह से काम किया गया है)।

लॉगिन पर बॉयोमीट्रिक्स की आवश्यकता भी हो सकती है राजनीतिक असंतुष्टों, whistleblowers, और व्यक्तिगत या पेशेवर कारणों के लिए कई पहचान में रहने वाले लोगों के लिए गुमनाम मुश्किल (यदि असंभव नहीं है)। अल्पसंख्यक रिपोर्ट - स्टाइल सरकारी निगरानी से भी कई उपभोक्ताओं को रोक सकते हैं।

इन सबके बावजूद, एओप्टिक्स टेक्नोलॉजीज में उत्पाद विपणन के निदेशक जोसेफ प्रितिकिन, हवाई अड्डे और सीमा पारियों पर तैनात आईरिस स्कैनर के निर्माता, भविष्यवाणी करता है कि बायोमेट्रिक्स को नियोजित स्मार्टफोन भविष्य के प्रमुख पहचान उपकरणों में से एक होंगे, क्योंकि डेटा को डिवाइस पर सुरक्षित रूप से संग्रहीत किया जा सकता है।

"यह मेरे कुछ और मेरे पास कुछ संयोजन होगा, सबसे अधिक संभावना स्मार्टफोन, "Pritikin कहते हैं। "उनके हार्डवेयर-आधारित एन्क्रिप्शन को समझौता करना मुश्किल होगा।"

उन सभी पर शासन करने के लिए एक आईडी

आखिरकार, पासवर्ड थकान के लिए आदर्श समाधान हमारे सभी अलग-अलग लॉग इन और ऑनलाइन पहचानों को एकजुट करना है। ओबामा प्रशासन में प्रवेश करें, जिसने अप्रैल 2011 में एक सार्वजनिक-निजी पहल शुरू की, साइबर स्पेस में विश्वसनीय पहचान के लिए राष्ट्रीय रणनीति, एक पहचान पारिस्थितिक तंत्र विकसित करने के लिए जो उपभोक्ताओं को किसी भी सत्यापन प्रणाली का उपयोग करने की अनुमति देगी और इसे किसी भी साइट पर सहजता से काम करेगी।

एक प्रणाली के लिए मुख्य सुरक्षा विशेषज्ञ जिम फेंटन कहते हैं, इस तरह की एक प्रणाली यह सत्यापित करने में सक्षम होगी कि आप ऑनलाइन शराब खरीदने के लिए पर्याप्त हैं या आप छात्र छूट के लिए अर्हता प्राप्त करते हैं, बिना किसी साइट के सभी व्यक्तिगत जानकारी साझा किए बिना, एक इंटरनेट पहचान प्रबंधन प्रणाली। सिस्टम आपको छद्म नाम के तहत काम करने की इजाजत देता है, अगर आप रोल करना चाहते हैं।

लेकिन सरकार के पहिये धीरे-धीरे मंथन करते हैं। पिछले महीने, एनटीएसआईसी की स्टीयरिंग कमेटी ने अपनी पहली बैठक आयोजित की थी। स्टीयरिंग कमेटी के गोपनीयता समूह के सदस्य फेंटन कहते हैं कि मुद्दों के बीच अंततः इसे निपटाना होगा कि पार्टियों के बीच कितनी जानकारी साझा की जानी चाहिए, और उपभोक्ताओं को उस जानकारी पर कितना नियंत्रण होना चाहिए।

दूसरे शब्दों में: सहायता रास्ते पर है, लेकिन यह जल्द ही यहाँ नहीं मिलेगा। इस बीच, हम पासवर्ड के साथ अटक गए हैं। कुछ अच्छे बनाएं, और सुनिश्चित करें कि वे लॉक और कुंजी के नीचे हैं।