हाल ही में समाचारों में कई प्रमुख डेटा उल्लंघनों के साथ, आपको आश्चर्य हो सकता है कि जब आप ऑनलाइन होते हैं तो आपका डेटा कैसे सुरक्षित रहता है। जब आप किसी वेबसाइट पर खरीदारी करने जाते हैं और अपना क्रेडिट कार्ड नंबर दर्ज करते हैं, तो उम्मीद है कि कुछ दिनों में आपके दरवाजे पर एक पैकेज आ जाएगा। लेकिन उस समय ऑर्डर दबाने से पहले, क्या आपको आश्चर्य होता है कि ऑनलाइन सुरक्षा कैसे काम करती है?
ऑनलाइन सुरक्षा की मूल बातें
अपने मूल रूप में, ऑनलाइन सुरक्षा - कंप्यूटर और वेबसाइट के बीच होने वाली सुरक्षा - प्रश्नों और प्रतिक्रियाओं की एक श्रृंखला के माध्यम से की जाती है। आप एक ब्राउज़र में एक वेब पता टाइप करते हैं, और फिर ब्राउज़र उस साइट की प्रामाणिकता को सत्यापित करने के लिए कहता है।साइट उपयुक्त जानकारी के साथ प्रतिक्रिया करती है, और दोनों सहमत होने के बाद, साइट वेब ब्राउज़र में खुलती है।
पूछे गए प्रश्नों और आदान-प्रदान की गई सूचनाओं में एन्क्रिप्शन के प्रकार के बारे में डेटा है जो ब्राउज़र की जानकारी, कंप्यूटर की जानकारी और ब्राउज़र और वेबसाइट के बीच व्यक्तिगत जानकारी पास करता है। इन सवालों और जवाबों को हैंडशेक कहा जाता है। यदि वह हैंडशेक नहीं होता है, तो आप जिस वेबसाइट पर जाने का प्रयास कर रहे हैं उसे असुरक्षित माना जाता है।
एचटीटीपी बनाम एचटीटीपीएस
- रास्ते में किसी के भी देखने के लिए खुला है।
- सेट अप और रन करने में आसान।
-
पासवर्ड और सबमिट किए गए डेटा के लिए कोई सुरक्षा नहीं।
- जानकारी छिपाने के लिए पूरी तरह से एन्क्रिप्टेड।
- अतिरिक्त सर्वर कॉन्फ़िगरेशन की आवश्यकता है।
- पासवर्ड सहित प्रेषित जानकारी की सुरक्षा करता है।
जब आप वेब पर साइटों पर जाते हैं तो एक बात आप नोटिस कर सकते हैं कि कुछ का पता http से शुरू होता है, और कुछ का https से शुरू होता है। HTTP का अर्थ है हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल; यह एक प्रोटोकॉल या दिशानिर्देशों का समूह है जो इंटरनेट पर सुरक्षित संचार को निर्दिष्ट करता है।
कुछ साइटें, विशेष रूप से ऐसी साइटें जहां आपसे संवेदनशील या व्यक्तिगत रूप से पहचान करने वाली जानकारी प्रदान करने के लिए कहा जाता है, https या तो हरे या लाल रंग में एक लाइन के साथ प्रदर्शित हो सकती हैं। HTTPS का अर्थ है हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर, और हरे रंग का मतलब है कि साइट के पास एक सत्यापन योग्य सुरक्षा प्रमाणपत्र है। इसके माध्यम से एक रेखा के साथ लाल का अर्थ है कि साइट के पास सुरक्षा प्रमाणपत्र नहीं है, या प्रमाणपत्र गलत है या समाप्त हो गया है।
यहां चीजें थोड़ी भ्रमित करने वाली हैं। HTTP का मतलब यह नहीं है कि कंप्यूटर और वेबसाइट के बीच स्थानांतरित डेटा एन्क्रिप्ट किया गया है।इसका मतलब केवल यह है कि ब्राउज़र के साथ संचार करने वाली वेबसाइट के पास एक सक्रिय सुरक्षा प्रमाणपत्र है। केवल जब एक S (HTTP S में) शामिल किया जाता है तो वह डेटा होता है जो सुरक्षित रूप से स्थानांतरित होता है, और उपयोग में एक और तकनीक होती है जो उस सुरक्षित पदनाम को बनाती है संभव।
एसएसएल बनाम टीएलएस
- मूल रूप से 1995 में विकसित।
- वेब एन्क्रिप्शन का पूर्व स्तर।
- तेजी से बढ़ते इंटरनेट से पिछड़ गया।
- एसएसएल के तीसरे संस्करण के रूप में शुरू किया गया।
- परिवहन परत सुरक्षा।
- एसएसएल में उपयोग किए जाने वाले एन्क्रिप्शन में सुधार करना जारी रखा।
- नए प्रकार के हमलों और सुरक्षा खामियों के लिए सुरक्षा सुधार जोड़े गए।
एसएसएल यह सुनिश्चित करने के लिए मूल सुरक्षा प्रोटोकॉल था कि वेबसाइटों और साइटों के बीच पारित डेटा सुरक्षित थे। GlobalSign के अनुसार, SSL को 1995 में संस्करण 2.0 के रूप में पेश किया गया था। पहले संस्करण (1.0) ने इसे कभी भी सार्वजनिक डोमेन में नहीं बनाया। प्रोटोकॉल में कमजोरियों को दूर करने के लिए संस्करण 2.0 को एक वर्ष के भीतर संस्करण 3.0 से बदल दिया गया था।
1999 में, एसएसएल का एक और संस्करण, ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) कहा जाता है, बातचीत की गति और हैंडशेक की सुरक्षा में सुधार के लिए पेश किया गया था। TLS वह संस्करण है जो वर्तमान में उपयोग में है, हालांकि सरलता के लिए इसे अक्सर SSL के रूप में संदर्भित किया जाता है।
एसएसएल प्रोटोकॉल को समझना
- कंप्यूटर और वेबसाइट के बीच सेट की गई जानकारी को छुपाता है।
- लॉगिन जानकारी की सुरक्षा करता है।
- ऑनलाइन खरीदारी सुरक्षित करता है।
- सभी खतरों से रक्षा नहीं करता।
- SSL का उपयोग न करने वाली साइटों पर आपको सुरक्षित नहीं कर सकता।
- आप किन वेबसाइटों पर जाते हैं, इसे छिपाने में असमर्थ।
जब आप किसी के साथ हाथ मिलाने पर विचार करते हैं, तो इसका मतलब है कि इसमें कोई दूसरा पक्ष शामिल है। ऑनलाइन सुरक्षा काफी हद तक उसी तरह है। ऑनलाइन सुरक्षा सुनिश्चित करने वाले हैंडशेक के लिए, एक दूसरा पक्ष शामिल होना चाहिए। यदि HTTPS वह प्रोटोकॉल है जिसका उपयोग वेब ब्राउज़र सुरक्षा सुनिश्चित करने के लिए करता है, तो उस हैंडशेक का दूसरा भाग वह प्रोटोकॉल है जो एन्क्रिप्शन सुनिश्चित करता है।
एन्क्रिप्शन वह तकनीक है जिसका उपयोग नेटवर्क पर दो उपकरणों के बीच स्थानांतरित होने वाले डेटा को छिपाने के लिए किया जाता है। यह पहचानने योग्य वर्णों को पहचानने योग्य अस्पष्ट भाषा में बदलकर पूरा किया जाता है जिसे एन्क्रिप्शन कुंजी का उपयोग करके अपनी मूल स्थिति में वापस किया जा सकता है।यह मूल रूप से सिक्योर सॉकेट लेयर (एसएसएल) सुरक्षा नामक तकनीक के माध्यम से पूरा किया गया था।
एसएसएल वह तकनीक थी जिसने वेबसाइट और ब्राउज़र के बीच किसी भी डेटा को अस्पष्ट में बदल दिया और फिर डेटा में वापस कर दिया। यहां बताया गया है कि यह कैसे काम करता है:
- आप एक ब्राउज़र खोलते हैं और अपने बैंक का पता टाइप करते हैं।
- वेब ब्राउजर बैंक का दरवाजा खटखटाता है और आपका परिचय कराता है।
- डोरमैन पुष्टि करता है कि आप वही हैं जो आप कहते हैं कि आप हैं और कुछ शर्तों के तहत आपको अंदर जाने देने के लिए सहमत हैं।
- वेब ब्राउज़र उन शर्तों से सहमत है, और फिर आपको बैंक की वेबसाइट तक पहुंचने की अनुमति है।
जब आप कुछ अतिरिक्त चरणों के साथ अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करते हैं तो प्रक्रिया दोहराई जाती है।
- आप अपने खाते तक पहुंच प्राप्त करने के लिए अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करते हैं।
- आपका वेब ब्राउज़र बैंक के खाता प्रबंधक को बताता है कि आप अपने खाते तक पहुंच चाहते हैं।
- वे बातचीत करते हैं और सहमत होते हैं कि यदि आप सही क्रेडेंशियल प्रदान कर सकते हैं, तो आपको पहुंच प्रदान की जाएगी। हालांकि, उन क्रेडेंशियल्स को एक विशेष भाषा का उपयोग करके प्रस्तुत करने की आवश्यकता है।
- वेब ब्राउज़र और बैंक का खाता प्रबंधक उपयोग की जाने वाली भाषा से सहमत हैं।
- वेब ब्राउज़र आपके उपयोगकर्ता नाम और पासवर्ड को उस विशेष भाषा में परिवर्तित करता है और इसे बैंक के खाता प्रबंधक को भेजता है।
- खाता प्रबंधक डेटा प्राप्त करता है, उसे डीकोड करता है, और अपने रिकॉर्ड से इसकी तुलना करता है।
- यदि आपके क्रेडेंशियल मेल खाते हैं, तो आपको अपने खाते तक पहुंच प्रदान की जाती है।
प्रक्रिया नैनोसेकंड में पूरी होती है, इसलिए आप वेब ब्राउज़र और वेबसाइट के बीच बातचीत और हैंडशेक में लगने वाले समय पर ध्यान नहीं देते हैं।
TLS एन्क्रिप्शन
- अधिक सुरक्षित एन्क्रिप्शन।
- कंप्यूटर और वेबसाइटों के बीच डेटा छुपाता है।
- एन्क्रिप्टेड संचार पर बातचीत करते समय बेहतर हैंडशेक प्रक्रिया।
- कोई एन्क्रिप्शन सही नहीं है।
- स्वचालित रूप से DNS को सुरक्षित नहीं करता है।
- पुराने संस्करणों के साथ पूरी तरह से संगत नहीं है।
टीएलएस एन्क्रिप्शन डेटा सुरक्षा को बेहतर बनाने के लिए पेश किया गया था। जबकि एसएसएल एक अच्छी तकनीक थी, सुरक्षा तेजी से बदलती है, और इससे बेहतर, अधिक अद्यतित सुरक्षा की आवश्यकता होती है। टीएलएस एसएसएल के ढांचे पर संचार और हैंडशेक प्रक्रिया को नियंत्रित करने वाले एल्गोरिदम में सुधार के साथ बनाया गया था।
कौन सा टीएलएस संस्करण सबसे वर्तमान है?
एसएसएल की तरह, टीएलएस एन्क्रिप्शन में सुधार जारी है। वर्तमान टीएलएस संस्करण 1.2 है, लेकिन टीएलएसवी1.3 का मसौदा तैयार किया गया है, और कुछ कंपनियों और ब्राउज़रों ने कम समय के लिए सुरक्षा का उपयोग किया है।ज्यादातर मामलों में, वे TLSv1.2 पर वापस आ जाते हैं क्योंकि संस्करण 1.3 अभी भी पूर्ण किया जा रहा है।
अंतिम रूप दिए जाने पर, TLSv1.3 कई सुरक्षा सुधार लाएगा, जिसमें अधिक वर्तमान प्रकार के एन्क्रिप्शन के लिए बेहतर समर्थन शामिल है। हालांकि, TLSv1.3 SSL प्रोटोकॉल के पुराने संस्करणों और अन्य सुरक्षा तकनीकों के लिए भी समर्थन छोड़ देगा जो अब व्यक्तिगत डेटा की उचित सुरक्षा और एन्क्रिप्शन सुनिश्चित करने के लिए पर्याप्त मजबूत नहीं हैं।