मुख्य तथ्य
- साइबर सुरक्षा विशेषज्ञों का सुझाव है कि पासवर्ड, अपने आप में, अब खातों को सुरक्षित करने के लिए पर्याप्त नहीं माने जाने चाहिए।
- उपयोगकर्ताओं को जहां भी संभव हो बहु-कारक प्रमाणीकरण (एमएफए) सक्षम करना चाहिए।
- हालांकि, कमजोर पासवर्ड बनाने के बहाने एमएफए का इस्तेमाल नहीं किया जाना चाहिए।
जब आपका ऑनलाइन सेवा प्रदाता अपने सर्वर में गलत कॉन्फ़िगरेशन के कारण आपके क्रेडेंशियल्स को लीक कर देता है, तो सबसे मजबूत पासवर्ड और सबसे कठोर पासवर्ड नीतियों का अधिक उपयोग नहीं होता है।
यदि आपको लगता है कि ऐसी घटना दुर्लभ होगी, तो जान लें कि 2021 में कई सबसे बड़े डेटा लीक सेवा प्रदाताओं द्वारा तकनीकी गड़बड़ी के कारण हुए थे। वास्तव में, दिसंबर 2021 में, साइबर सुरक्षा विशेषज्ञों ने सेगा के स्वामित्व वाली अमेज़ॅन वेब सर्विसेज की S3 बकेट में इस तरह के गलत कॉन्फ़िगरेशन को प्लग करने में मदद की, जिसमें पासवर्ड सहित सभी प्रकार की संवेदनशील जानकारी शामिल थी।
"पासवर्ड का उपयोग अप्रचलित हो जाना चाहिए, और हमें खातों में लॉग इन करने के विभिन्न तरीकों की तलाश करनी चाहिए," सुरक्षा विक्रेता गुरुकुल के सीईओ सरयू नैय्यर ने ईमेल के माध्यम से लाइफवायर को बताया।
पासवर्ड की समस्या
दिसंबर में, द सन ने बताया कि यूके की राष्ट्रीय अपराध एजेंसी (एनसीए) ने लोकप्रिय हैव आई बीन पनड (एचआईबीपी) सेवा को 500 मिलियन से अधिक पासवर्ड की आपूर्ति की, जिसे उसने एक जांच के दौरान उजागर किया था।
HIBP उपयोगकर्ताओं को यह जांचने में सक्षम बनाता है कि क्या उनके पासवर्ड उल्लंघन में लीक हो गए हैं और हैकर्स द्वारा दुरुपयोग की संभावना है। HIBP के संस्थापक, ट्रॉय हंट के अनुसार, NCA द्वारा प्रदान किए गए 200 मिलियन से अधिक पासवर्ड पहले से ही डेटाबेस में मौजूद नहीं थे।
हालाँकि ब्राउज़र की सुविधा संग्रहीत करने वाले खाता क्रेडेंशियल बहुत सुविधाजनक हैं… उपयोगकर्ताओं को इसका उपयोग करने से परहेज करने की सलाह दी जाती है।
"यह समस्या के विशाल आकार की ओर इशारा करता है, समस्या पासवर्ड है, किसी की प्रामाणिकता को साबित करने का एक पुरातन तरीका है। यदि पासवर्ड को खत्म करने और विकल्प खोजने की दिशा में काम करने के लिए कभी भी कॉल टू एक्शन होता है, तो इसे करना होगा यह हो, " डिजिटल पहचान विशेषज्ञों के सीओओ बाबर अमीन, वेरिडियम ने एचआईपीबी में एनसीए के हालिया योगदान के जवाब में ईमेल के माध्यम से लाइफवायर को बताया।
अमीन ने कहा कि लीक हुए क्रेडेंशियल सिर्फ मौजूदा खातों से समझौता नहीं करते हैं, क्योंकि हैकर्स अब उनका उपयोग एआई-आधारित विश्लेषणात्मक उपकरणों के साथ करते हैं ताकि यह पता लगाया जा सके कि कोई व्यक्ति पासवर्ड कैसे बनाता है। संक्षेप में, लीक हुए क्रेडेंशियल अन्य गैर-समझौता किए गए खातों की सुरक्षा को भी खतरे में डालते हैं।
पासवर्ड और अधिक
पासवर्ड की तुलना में बेहतर सुरक्षा तंत्र की वकालत करते हुए, नैयर ने सुझाव दिया कि जिन उपयोगकर्ताओं के पास अपने खातों पर बहु-कारक प्रमाणीकरण सेट करने का विकल्प है, उन्हें ऐसा करना चाहिए।
रॉन ब्रैडली, साझा आकलन के उपाध्यक्ष, एक सदस्यता संगठन जो तीसरे पक्ष के जोखिम आश्वासन के लिए सर्वोत्तम प्रथाओं को विकसित करने में मदद करता है, सहमत हैं। "हर जगह बहु-कारक प्रमाणीकरण चालू करें, विशेष रूप से पैसे ले जाने वाले ऐप्स।"
अकेले पासवर्ड से अकाउंट को सुरक्षित करना सिंगल-फैक्टर ऑथेंटिकेशन के रूप में जाना जाता है। मल्टी-फैक्टर ऑथेंटिकेशन या एमएफए उसके ऊपर बनता है और उपयोगकर्ताओं से एक और जानकारी मांगकर साइन-इन प्रक्रिया में एक अतिरिक्त कदम जोड़कर खातों को सुरक्षित करता है। कई बैंकों सहित कई सेवाएं, बैंक के साथ पंजीकृत उपयोगकर्ता के मोबाइल नंबर पर सत्यापन कोड भेजकर एमएफए लागू करती हैं।
हालांकि, यह सत्यापन तंत्र एक हमले तंत्र के लिए प्रवण है जिसे सिम स्वैप हमले के रूप में जाना जाता है, जहां हमलावर मालिक के वाहक को धोखा देकर हमलावर के सिम कार्ड को नंबर फिर से सौंपने के लिए लक्ष्य के मोबाइल फोन नंबर को नियंत्रित करते हैं।
अपने कुछ ग्राहकों को निशाना बनाने वाले इस तरह के हमले को स्वीकार करते हुए, टी-मोबाइल ने कहा कि सिम स्वैप हमले एक आम और उद्योग-व्यापी घटना बन गए हैं।
इसके बजाय, एमएफए को सक्षम करने का एक बेहतर विकल्प डुओ सिक्योरिटी, गूगल ऑथेंटिकेटर, ऑटि, माइक्रोसॉफ्ट ऑथेंटिकेटर, और ऐसे अन्य समर्पित एमएफए ऐप जैसे ऐप का उपयोग करना है।
पासवर्ड फैलाव
हालांकि, हमने जिन साइबर सुरक्षा विशेषज्ञों से बात की, उन्होंने चेतावनी दी कि पासवर्ड सुरक्षित करने के लिए पर्याप्त कदम न उठाने का बहाना एमएफए का उपयोग नहीं करना चाहिए।
"उन एक प्रतिशत लोगों का हिस्सा बनें जिन्हें पता नहीं है कि उनका बैंक पासवर्ड क्या है क्योंकि यह बहुत लंबा और जटिल है," ब्रैडली ने सलाह दी।
उन्होंने कहा कि जब पासवर्ड की बात आती है तो उपयोगकर्ताओं को पासवर्ड मैनेजर में निवेश करने पर विचार करना चाहिए। हालांकि मुफ्त पासवर्ड प्रबंधकों की कोई कमी नहीं है, और आपके वेब ब्राउज़र में भी एक बनाया गया है, विशेषज्ञों का सुझाव है कि एक मुफ्त पासवर्ड प्रबंधक एक नहीं होने से बेहतर है, लेकिन उपयोगकर्ताओं को एक का उपयोग करते समय सावधानी बरतनी चाहिए।
उन एक प्रतिशत लोगों का हिस्सा बनें जिन्हें पता नहीं है कि उनका बैंक पासवर्ड क्या है क्योंकि यह बहुत लंबा और जटिल है।
हाल ही में एक कंपनी के आंतरिक नेटवर्क के उल्लंघन की जांच करते हुए, AhnLab के साइबर सुरक्षा शोधकर्ताओं ने पाया कि कंपनी नेटवर्क में सेंध लगाने के लिए उपयोग किया जाने वाला वीपीएन खाता एक दूरस्थ कर्मचारी के पीसी से लीक हो गया था।
यह पीसी विभिन्न मैलवेयर से संक्रमित था, जिसमें एक विशेष रूप से Google क्रोम और माइक्रोसॉफ्ट एज जैसे क्रोमियम-आधारित वेब ब्राउज़र में बनाए गए पासवर्ड प्रबंधकों से पासवर्ड निकालने के लिए डिज़ाइन किया गया था।
"हालाँकि ब्राउज़रों की सुविधा को संग्रहीत करने वाले खाता क्रेडेंशियल बहुत सुविधाजनक हैं, क्योंकि मैलवेयर संक्रमण पर खाता क्रेडेंशियल के रिसाव का जोखिम होता है, उपयोगकर्ताओं को इसका उपयोग करने से परहेज करने की सलाह दी जाती है," AhnLab शोधकर्ताओं ने चेतावनी दी।