विषय
- नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
- संज्ञानात्मक विसंगति और झुंड मानसिकता
- नए एनआईएसटी मानक: अंदर क्या है?
- क्यों एक Passphrase बेहतर है?
- कोई संकेत नहीं!
- नहीं, यह वफ़ल हाउस नहीं है! सलाटिंग, हैशिंग और स्ट्रेचिंग
- व्यावहारिक कार्यान्वयन: कुछ चुनौतियाँ बनी रहती हैं
- टेकअवे
स्रोत: डिज़ाइनर491 / iStockphoto
ले जाओ:
नए NIST नियमों में उपयोगकर्ताओं को पासवर्ड नीतियों पर राहत की सांस ली जाती है
पाइक में बड़े बदलाव आ रहे हैं जो सिस्टम प्रशासक और नियमित उपयोगकर्ता दोनों को पसंद आ सकते हैं - उन्हें पासवर्ड प्रोटोकॉल के साथ करना होगा।
पासवर्ड जीवन का एक तथ्य है - हम में से अधिकांश के पास उनमें से बहुत सारे हैं। हम उन सभी को याद नहीं रख सकते हैं, और जब तक हम उन्हें लिखना शुरू नहीं करते हैं, तब तक उन पर नज़र रखने का शायद ही कोई तरीका है। एक अन्य विकल्प केवल उन पासवर्डों को याद रखना है जो आप नियमित रूप से उपयोग करते हैं, और जब आप अन्य साइटों तक पहुंचने की आवश्यकता होती है, तो पासवर्ड रीसेट के लिए पूछते हैं - लेकिन यह बहुत अधिक पासवर्ड रीसेट है! माइक्रोसॉफ्ट रिसर्चर, कॉर्मैक हेरले जैसे विशेषज्ञ पासवर्ड रीसेटिंग की भारी समय लागत के बारे में बात करते हुए रिकॉर्ड पर चले गए हैं, और यह बड़ी कंपनियों को हर साल लाखों डॉलर खर्च कर सकता है। यह उपयोगकर्ताओं को लाखों मिनट का खर्च देता है, कीबोर्ड पर दूर की ओर, चाहे वे व्यक्तिगत डेटा को देखने की कोशिश कर रहे हों, किसी सेवा के लिए साइन अप करें या ई-कॉमर्स स्टोर से कुछ खरीदें।
तो हम क्या कर सकते हैं? और हमारे पासवर्ड के उपयोग के सबसे अवरोधक और कष्टप्रद पहलू क्या हैं जो हमें अपने कंप्यूटर और उपकरणों को खिड़की से बाहर निकालना चाहते हैं?
नई रिपोर्टों से पता चलता है कि एक समाज के रूप में, हम इनमें से कुछ कष्टप्रद पासवर्ड समस्याओं से छुटकारा पाने के बारे में हो सकते हैं। साइबर सुरक्षा पर नए शोध के साथ, हम कुछ मौजूदा सुरक्षा मानकों से आगे बढ़ने की संभावना करेंगे, जिन्होंने पिछले कुछ वर्षों में हमें इतना तनाव दिया है।
वॉल स्ट्रीट जर्नल के एक लेख में कहा गया है कि इनमें से कुछ नियमों के पीछे साथी को बाहर लाया जाए और उनका इनपुट प्राप्त किया जाए कि उन्हें अब इसकी आवश्यकता क्यों नहीं है।
7 अगस्त, 2017 को, WSJ के लेखक रॉबर्ट मैकमिलन ने 2003 के एक पेपर बिल ब्यूर पर एक खोजी टुकड़े के रूप में एक धमाके के रूप में दिया, जो कॉर्पोरेट पासवर्ड मानकों पर बड़ा प्रभाव डाल रहा था। बर ने नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी में काम किया, संघीय एजेंसी ने यू.एस. में तकनीकी नवाचार का मूल्यांकन करने का काम किया।
मैकमिलन के टुकड़े की अगुवाई शुरू करता है, "पासवर्ड प्रबंधन पर पुस्तक लिखने वाले व्यक्ति के पास बनाने के लिए एक बयान है"। "उसने उड़ा दिया।"
वहां से, डिजिटल युग के दो बगबरों का वर्णन करने के लिए लेख आगे बढ़ता है जिन्होंने हमारे जीवन को जटिल बना दिया है। पहला वह है जो एक पासवर्ड में विशेष वर्णों को शामिल करने के लिए बढ़ती आवश्यकताओं को पूरा करता है। दूसरा लगातार पासवर्ड परिवर्तन है।
नो बग्स, नो स्ट्रेस - योर स्टेप बाय स्टेप गाइड बाय स्टेप गाइड टू लाइफ-चेंजिंग सॉफ्टवेर विदाउट योर लाइफ
जब कोई भी सॉफ़्टवेयर गुणवत्ता की परवाह नहीं करता है तो आप अपने प्रोग्रामिंग कौशल में सुधार नहीं कर सकते हैं।
जब आप दर्जनों अलग-अलग पासवर्डों के बारे में बात कर रहे होते हैं, तो इन दोनों प्रथाओं में बहुत समय लगता है। हालांकि, पहले वाला "खराब इंटरफ़ेस" का एक क्लासिक मामला भी है - यह सिर्फ सहज नहीं है, और यह लोगों को काम करने के लिए मजबूर करता है।
संज्ञानात्मक विसंगति और झुंड मानसिकता
हममें से अधिकांश “महसूस” कर सकते हैं कि कैसे ये पासवर्ड मानक हमारे दिमाग में भ्रम पैदा कर रहे हैं। एक पासवर्ड में एक संख्या और एक विशेष चरित्र को शामिल करने के तरीके का बहुत सार विकल्प के साथ सामना किया गया है, जो अन्यथा एक वर्णनात्मक स्ट्रिंग है, हम में से कई लोग बस एक "1!" वास्तव में, जितना अधिक हम एक ही सामान्य विकल्प चुनते हैं, उतना ही आसान यह हमारे पासवर्ड को क्रैक करना है। (हैकर्स के बारे में और जानें सुरक्षा अनुसंधान वास्तव में हैकर्स की मदद कर रहे हैं?)
इसके अलावा, आवश्यकता है कि उपयोगकर्ता हर महीने या हर तीन महीने में अपने पासवर्ड को अपडेट करें।
इस आवश्यकता के पीछे तर्क यह है कि पुराने पासवर्ड को पूरी तरह से कुछ अलग में बदल दिया जाना चाहिए - लेकिन बहुत बार, यह काम नहीं करता है। एक नया पासवर्ड याद रखने की अतिरिक्त दिमागी धड़कन को संभालने की कोशिश करते हुए, उपयोगकर्ता पुराना पासवर्ड लेगा और एक अक्षर या नंबर को बदल देगा। अब, पुराना पासवर्ड नए के लिए एक प्रमुख "बताओ" है - यह एक दायित्व बन जाता है।
नए एनआईएसटी मानक: अंदर क्या है?
NIST द्वारा विकसित किए जा रहे नए नियम उन सभी को बदल देंगे।
विशेष प्रकाशन 800-63-3 मूल संस्करण का एक अद्यतन है जो कुछ विशेषज्ञों द्वारा कहे गए कार्यों को लागू करता है।
सबसे पहले, यह दोनों रचना नियमों को हटा देता है, जैसे कि आपके पासवर्ड में एक विस्मयादिबोधक बिंदु डालना, और नियमित समाप्ति की आवश्यकता।
NIST 800-63-3 जो जोड़ता है वह "यथार्थवादी" सुरक्षा प्रथाओं पर ध्यान केंद्रित करता है।
नए नियम बहु-कारक प्रमाणीकरण पर जोर देते हैं, जो लेखक एक भौतिक कुंजी या कीकार्ड (कुछ आपके पास) या बायोमेट्रिक डेटा का एक टुकड़ा (कुछ ऐसा है जो आप का हिस्सा है) के साथ पासवर्ड (कुछ आपको याद करते हैं) के मिश्रण के रूप में वर्णन करते हैं। अन्य सुझावों में क्रिप्टोग्राफ़िक कुंजियों का उपयोग, और सभी सक्षम ASCII वर्णों को स्वीकार करने की आवश्यकता है, साथ ही 64 वर्णों की एक शीर्ष लंबाई और आठ की न्यूनतम लंबाई भी शामिल है। (बायोमेट्रिक्स के बारे में अधिक जानें कि कैसे निष्क्रिय बायोमेट्रिक्स आईटी डेटा सुरक्षा में मदद कर सकते हैं।)
एक सार्वजनिक स्लाइड शो प्रस्तुति में "बेहतर पासवर्ड आवश्यकताओं की ओर" शीर्षक से, सुरक्षा अनुसंधान विशेषज्ञ जिम फेंटन इन सुधारों में से कई को "तू शल्ट्स" और "तू मत कहो" के रूप में विस्तार से बताता है, यह भी बताते हुए कि कैसे एनआईएसटी आसानी से हैक करने योग्य पासवर्डों के शब्दकोश का निर्माण करता है। यह स्वचालित रूप से निषिद्ध होना चाहिए।
"यदि यह आसान नहीं है, तो उपयोगकर्ता धोखा देते हैं," फेंटन लिखते हैं, कुछ ऐसे नियमों की जांच करते हैं जो नेटवर्क से समझौता करने के लिए कमजोर पासवर्ड के लिए कठिन बना देंगे।
विशेषज्ञ यह भी सुझाव दे रहे हैं कि उपयोगकर्ता अल्फ़ान्यूमेरिक सूप के जंबल के बजाय "पासफ़्रेज़" या पासवर्ड के लिए शब्दों के सेट के बारे में सोचते हैं, जिसे हमें प्रदान करने के लिए प्रशिक्षित किया गया है।
क्यों एक Passphrase बेहतर है?
यह समझाने के लिए कई तरीके हैं कि "कुल अंडा साइकिल गधा" जैसे लंबे पासफ़्रेज़ को "मिस्टरए 1" जैसी किसी चीज़ की तुलना में एक मजबूत पासवर्ड विकल्प क्यों माना जा रहा है - लेकिन सबसे सरल को एक बहुत ही समझने योग्य मीट्रिक: लंबाई के साथ करना है।
नए एनआईएसटी नियमों के दिल में एक विचार यह है कि, कुछ तरीकों से, हम मशीनों के लिए क्या समझ में आता है, यह अवहेलना करते हुए, इंसानों के लिए हमारी पासवर्ड रणनीति को आधार बना रहे हैं।
कुछ यादृच्छिक वर्ण मानव हैकर्स को चकित कर सकते हैं, लेकिन कंप्यूटर को पासवर्ड के अंत में एक अतिरिक्त संख्या या वर्ण द्वारा आसानी से बह जाने की संभावना नहीं है। क्योंकि, मनुष्यों के विपरीत, कंप्यूटर अर्थ के लिए पासवर्ड नहीं पढ़ते हैं। वे बस उन्हें स्ट्रिंग द्वारा पढ़ते हैं।
ब्रूट-फोर्स अटैक तब होता है जब कंप्यूटर सही संयोजन को खोजने के लिए "ब्रेक इन" करने की कोशिश करने के लिए सभी संभावित वर्णों के माध्यम से जाता है, जिसे मूल रूप से उपयोगकर्ता द्वारा चुना जाता है। जब ये हमले होते हैं, तो क्या होने जा रहा है, आपका पासवर्ड कितना जटिल है - और प्रत्येक अतिरिक्त वर्ण जटिलता का एक विशाल, लगभग घातीय परिमाण जोड़ता है।
इसे ध्यान में रखते हुए, एक पासफ़्रेज़ तेजी से मजबूत होने जा रहा है - भले ही यह "मानव आंख को आसान" लगता है।
एक पासवर्ड की अधिकतम लंबाई को 64 वर्णों तक विस्तारित करके, नए NIST दिशानिर्देश उपयोगकर्ताओं को बहुत अधिक उल्टा नियमों को लागू किए बिना, उनकी पासवर्ड की शक्ति प्रदान करते हैं।
कोई संकेत नहीं!
विशेष पात्र आवश्यकताओं और उन सभी श्रम-गहन पासवर्ड अद्यतनों से छुटकारा पाने के लिए बहुत सारे व्यवस्थापक प्यार करने जा रहे हैं, लेकिन एक और विशेषता यह है कि कुल्हाड़ी भी मिल रही है क्योंकि पेशेवरों ने नए एनआईएसटी दिशानिर्देशों को पढ़ा है।
कई सिस्टम नए उपयोगकर्ताओं को ऑनबोर्डिंग के दौरान एक डेटाबेस में अपने बारे में तथ्य जोड़ने के लिए कहते हैं: विचार यह है कि बाद में, यदि वे अपना पासवर्ड भूल जाते हैं, तो सिस्टम उनके अतीत के बारे में कुछ सोच के आधार पर उन्हें प्रमाणित कर सकता है जो किसी और को नहीं पता होगा। उदाहरण के लिए: आपकी पहली कार कौन सी थी? अपने पहले पालतू पशु का नाम क्या था? आपकी माँ का विवाहपूर्व कुल नाम क्या है?
यह उन रुझानों में से एक है जो हममें से कई लोगों के लिए असहज महसूस करते हैं। कभी-कभी, सवाल पेचीदा लगते हैं। इसके अलावा, सुरक्षा-दिमाग वाले संशयवादियों को इंगित करेगा कि हम में से कई अच्छे हैं जिन्होंने पहले शेवरलेट चलाई, या अतिउत्साह के एक युवा फिट में, हमारे पहले कुत्ते का नाम "स्पॉट" रखा।
फिर डेटाबेस को बनाए रखने और ज़रूरत पड़ने पर उत्तरों को मिलान करने का कार्यभार होता है।
यह कहना सुरक्षित नहीं है कि बहुत से लोग "पासवर्ड संकेत" फ़ंक्शन के गायब होने पर आँसू बहा रहे हैं जब उपयोगकर्ता गतिविधि को वास्तव में सुरक्षित बनाने के लिए बेहतर विकल्प हैं।
नहीं, यह वफ़ल हाउस नहीं है! सलाटिंग, हैशिंग और स्ट्रेचिंग
अन्य नवाचारों में, विशेषज्ञ अब "सैल्टिंग" पासवर्ड की भी सलाह देते हैं, जिसमें "हैशिंग" प्रक्रिया से पहले अक्षरों का एक यादृच्छिक स्ट्रिंग बनाना शामिल है, जो एक डेटा को दूसरे में सेट करता है, इस प्रकार पासवर्ड के मेकअप को बदल देता है और इसे तोड़ना अधिक कठिन हो जाता है। वहाँ भी एक प्रक्रिया जिसे "स्ट्रेचिंग" कहा जाता है, जिसे विशेष रूप से ब्रूट-बल हमलों को विफल करने के लिए डिज़ाइन किया गया है, आंशिक रूप से मूल्यांकन प्रक्रिया को धीमा करके।
इन सभी कार्यों में आम बात है कि वे प्रशासनिक दायरे में आते हैं, न कि उपयोगकर्ता की उंगलियों पर। औसत उपयोगकर्ता इस तरह की प्रक्रियात्मक चीजों से कोई लेना-देना नहीं चाहता है - वह या वह सिर्फ एक नेटवर्क सिस्टम में जो कुछ भी करना है, उस तक पहुंचना चाहता है और जाना चाहता है, चाहे वह काम के कामों को पूरा कर रहा हो, दोस्तों के साथ नेटवर्किंग कर रहा हो या कुछ खरीद या बेच रहा हो। ऑनलाइन। इसलिए "क्लाइंट-साइड" पासवर्ड नियमों को हटाकर और बहुत सारे सुरक्षा प्रशासनिक, कंपनियों और अन्य हितधारकों को बनाने से वास्तव में उपयोगकर्ता अनुभव में सुधार हो सकता है।
यह एक महत्वपूर्ण बिंदु है, क्योंकि उपयोगकर्ता अनुभव में सुधार करना नए तकनीकी नवाचार के बारे में बहुत कुछ है। हम उस बिंदु पर आ गए हैं, जहाँ हमने अपने कंप्यूटर, स्मार्टफ़ोन और अन्य उपकरणों से बहुत अधिक कार्यक्षमता का विकास किया है - आने वाले वर्षों में हम जो बहुत प्रगति करेंगे, उसमें आभासी कार्यों को करना आसान होगा, और अव्यवस्था से छुटकारा मिलेगा। एक अनुभव: जैसे कि एक गैर-मोबाइल-पहली वेब साइट, एक गड़बड़ इंटरफ़ेस, खराब बैटरी जीवन ... या एक कठिन लॉगऑन! यहीं पर पासवर्ड इनोवेशन आता है। मल्टी-फैक्टर ऑथेंटिकेशन के विचार पर वापस जाना, यह संभावना है कि बायोमेट्रिक्स उपकरणों के उपयोग के लिए और भी अधिक आसानी से अनलॉक करने जा रहा है - क्यों लंबे पासवर्ड में टैप और टाइप करें जब आप सिर्फ अपना डिवाइस दिखा सकते हैं कि आप कौन हैं एक उंगली के साथ?
व्यावहारिक कार्यान्वयन: कुछ चुनौतियाँ बनी रहती हैं
जैसा कि हमने कहा था, हालांकि, हम इस समय पासवर्ड और पिन के साथ फंस गए हैं। उदाहरण के लिए, कुछ नए ऑपरेटिंग सिस्टम ने एक चार-संख्या पिन से छह-संख्या पिन पर स्विच किया है, जिससे हम में से कई हमारे उपकरणों पर ड्रा पर बहुत धीमा हो जाते हैं।
NIST द्वारा अनुशंसित "पासफ़्रेज़" दृष्टिकोण के साथ एक मुद्दा यह है कि अभी भी पासवर्ड रीसेट किए जा रहे हैं (जैसा कि नग्न सुरक्षा पर इस सूत्र में चर्चा की गई है)। लोग अभी भी अपने पासवर्ड भूल रहे हैं। कुछ सुझाव दे रहे हैं कि आईटी लोगों को नए पासवर्ड जारी करने में मुश्किल हो सकती है जब मूल बहुत लंबे होते हैं।
हालाँकि, मल्टी-फैक्टर ऑथेंटिकेशन की बात करें तो यहाँ कुछ संभावनाएँ हो सकती हैं। बॉयोमीट्रिक्स वास्तव में अभी तक पकड़ा नहीं गया है, लेकिन लगभग सभी के पास एक मोबाइल फोन है। ऑनलाइन बैंकिंग प्रणाली और अन्य प्रणालियों के बहुत सारे उपयोगकर्ताओं को प्रमाणित करने के लिए एसएमएस का उपयोग कर रहे हैं। यह उन खातों पर जांच करने का एक आसान तरीका हो सकता है जहां पासवर्ड खो गया है या भूल गया है। यह सामान्य रूप से पासवर्ड को मजबूत करने का एक महत्वपूर्ण तरीका है, जैसा कि ऊपर बताया गया है।
टेकअवे
यदि आप एक नेटवर्क व्यवस्थापक हैं, तो नए NIST नियम आपको क्या बता रहे हैं?
अनिवार्य रूप से, संघीय एजेंसी प्रबंधकों को बता रही है: आराम करो। बेहतर एन्क्रिप्शन, निषिद्ध तार का एक शब्दकोश और अधिक बहुमुखी प्रतिभा के साथ एक लंबे समय तक इनपुट क्षेत्र के साथ उपयोगकर्ताओं को वे क्या करते हैं, वे सहज रूप से करते हैं। उन्हें अपने पासवर्ड को तारांकन और विशेष वर्णों के साथ लॉर्ड करना नहीं सिखाएं। और उन्हें हर कुछ हफ्तों में पूरी प्रक्रिया को फिर से तैयार न करें।
यह सब एक दिए गए प्लेटफ़ॉर्म को दुबला और अर्थपूर्ण बनाने जा रहा है। बस पासवर्ड संकेत का उन्मूलन अपने सभी संसाधन आवश्यकताओं के साथ एक महत्वपूर्ण कोडबेस को दूर ले जाता है। नए एनआईएसटी नियमों ने पासवर्ड सुरक्षा को रखा है जहां यह है: अज्ञात उपयोगकर्ता के हाथों से और एक अस्पष्ट जगह में जहां तकनीकी कार्य कल के आसान जानवर-बल पर हमला करते हैं। वे हम सभी को एक नया चिल्ड-आउट दृष्टिकोण लेने की कोशिश कर रहे हैं जो एक कोशिश की प्रक्रिया रही है: हमारे डिजिटल जीवन के हर कोने के लिए अद्वितीय छोटे शब्दों और वाक्यांशों का क्राफ्टिंग। यह अधिक सहज उपयोगकर्ता इंटरफेस की दुनिया की ओर एक और कदम है - एक नई और बेहतर डिजिटल दुनिया जहां हम जो करते हैं वह अधिक स्वाभाविक लगता है, और बहुत भ्रमित करता है।