अगर आपको लगता है कि आपके पासवर्ड का एकमात्र सही संस्करण सटीक कैपिटलाइज़ेशन और अक्षर / प्रतीक अनुक्रम है जिसका आप उपयोग करते हैं, तो आप सदमे में हो सकते हैं। फेसबुक आपकी सुविधा के लिए, आपके पासवर्ड के मामूली बदलावों को स्वीकार करेगा। और यह पूरी तरह से सुरक्षित है।
पासवर्ड गलती से आसान होते हैं
फेसबुक और अन्य साइटों की तरह यह एक समस्या है। वे आपके लिए लंबे और जटिल पासवर्ड का उपयोग करना चाहते हैं, लेकिन वे टाइप करना कठिन हैं। आपको होना चाहिए पासवर्ड मैनेजर का उपयोग करना आपके लिए उसकी देखभाल करना, लेकिन ज्यादातर लोग ऐसा नहीं करते हैं। और उन दो कारकों के कारण, आपके पासवर्ड को गलत बनाना आम है।
उस समय फेसबुक को क्या करना चाहिए?
क्या उन्हें केवल आपके प्रवेश से वंचित कर देना चाहिए क्योंकि आपका पासवर्ड थोड़ा बंद था, और आपको दूसरे प्रयास से निराश करना पड़ा? या क्या उन्हें यह पहचानना चाहिए कि प्रदान किया गया पासवर्ड सही था, लेकिन टाइपो के साथ और गलती को नज़रअंदाज़ करके कैट गिफ़्स और बच्चे की तस्वीरों के लिए अपनी यात्रा को सुचारू करें?
फेसबुक पासवर्ड में गलतियाँ निकालता है
जैसा एलेक मफेट , लंदन में फेसबुक इंजीनियरिंग में सुरक्षा बुनियादी ढांचे की टीम के लिए एक पूर्व सॉफ्टवेयर इंजीनियर बताते हैं, फेसबुक ने बाद को चुना। यदि आपका पासवर्ड सही होने के बहुत करीब है, तो वे इसे सटीक मान सकते हैं। इसके लिए नियम सीधे हैं। फेसबुक इन शर्तों में से किसी से मिलने पर गलत पासवर्ड स्वीकार करेगा:
- आपके पास कैप्स लॉक चालू है, और कैपिटलाइज़ेशन उलट हैं।
- आप पासवर्ड की शुरुआत या अंत में एक अतिरिक्त चरित्र दर्ज करते हैं
- पासवर्ड का पहला वर्ण लोअरकेस होना चाहिए, लेकिन आपने इसे कैपिटल में टाइप किया
जैसा कि आप देख सकते हैं, ये विविधताएँ टाइप करते समय अपना पासवर्ड गुम होने की मूल अवधारणा के आसपास केंद्रित हैं। कुछ मामलों में, यह स्वत: सुधार का मुद्दा हो सकता है, जैसे किसी शब्द के पहले अक्षर को कैपिटल किया जा रहा है। यदि आपका गलत पासवर्ड इन विशिष्ट नियमों को पूरा करता है, तो आपको पता नहीं था कि एक समस्या थी - आप बस अपने आप को लॉग इन पाएंगे।
उदाहरण के लिए, मान लें कि आपका पासवर्ड "letMeIn" है। फेसबुक "LETmEiN" (क्योंकि वह एक सीधा अप लॉक लॉक उलटा है) और "LetMeIn" (क्योंकि पहले अक्षर के लिए गलत पूंजी है) को स्वीकार करेगा। यह "1letMeIn" और "letMeIn2" जैसी विविधताओं को भी स्वीकार करेगा क्योंकि ये शुरुआत या अंत में एक अतिरिक्त चरित्र को छोड़कर सही हैं। हालाँकि, यह "LETMEIN", "लेटमिन", या "12LetMeIn" बिल्कुल स्वीकार नहीं करता है।
यह प्रक्रिया अभी भी सुरक्षित है
पहले ब्लश पर, फेसबुक का पासवर्ड लीनियर असुरक्षित लगता है। लेकिन इस मामले में, सच्चाई अधिक जटिल है। हालांकि पुराने हैकर क्राइम ड्रामा के बारे में सोचना आसान है, जो केवल मिनटों में एक पासवर्ड पर त्वरित ब्रूट बल का अनुमान लगाते हैं, हैकिंग उस तरह से काम नहीं करती है। ब्रूट फोर्सिंग अनजान पासवर्ड मौजूद है, लेकिन यह टीवी से बहुत अलग है। जैसा xkcd प्रसिद्ध प्रदर्शित करता है , जैसे-जैसे पासवर्ड की लंबाई बढ़ती जाती है, उसे क्रैक करने का समय भी तेजी से बढ़ता है। जटिलता जोड़ने से मदद मिलती है, लेकिन उतना नहीं जितना आप सोच सकते हैं।
इसलिए परिदृश्यों में से एक, जो फेसबुक अनुमति देता है, पासवर्ड की शुरुआत या अंत में एक अतिरिक्त चरित्र, बल को भंग करने के लिए और भी कठिन होगा। इससे पहले कि वे पासवर्ड के साथ एक अतिरिक्त चरित्र बनाने से पहले हैकर्स को सही पासवर्ड की आवश्यकता होगी।
विशेष रूप से ब्याज कैप लॉक परिदृश्य है। मैंने पहली बार मैन्युअल रूप से नोटपैड में अपना पासवर्ड टाइप करके, मामले को उलट कर, फिर उस परिणाम को फेसबुक में पेस्ट कर दिया। इसने उस पासवर्ड का खंडन किया। मैंने फिर कैप्स लॉक को चालू किया और अपना पासवर्ड टाइप किया, हालांकि कैप लॉक बंद था, इस प्रकार मामले को उलट रहा था। वह प्रयास सफल रहा, और मैं लॉगिन हो गया। फेसबुक न केवल यह जांच रहा है कि पासवर्ड क्या है, बल्कि आप इसे कैसे दर्ज करते हैं। ब्रूट फोर्स ने उस परिदृश्य में मदद नहीं की, कैप्स लॉक लॉक करने में कमी, जो वास्तविक पासवर्ड के लिए लक्ष्य बनाने से ज्यादा कठिन होगा।
अपडेट करें : जैसा कि सूचना सुरक्षा सलाहकार पॉल मूर बताते हैं ट्विटर , फेसबुक ज्यादातर संभावना है कि केवल आपके मूल पासवर्ड (ठीक से हैशेड और नमकीन) का भंडारण कर रहा है और आपके पासवर्ड की विविधताएं नहीं। जब आप लॉग इन करने के लिए एक पासवर्ड सबमिट करते हैं, तो यह आपके मूल पासवर्ड के खिलाफ जांचा जाता है। यदि यह मेल नहीं खाता है, तो फेसबुक आपके प्रस्तुत पासवर्ड को इन विविधताओं के माध्यम से चलाता है। उदाहरण के लिए, यदि आपका कैप्स लॉक चालू है, तो फेसबुक आपके सबमिट किए गए पासवर्ड को ले लेता है, अक्षरों के कैपिटलाइज़ेशन को उलट देता है, और फिर से कोशिश करता है। यदि वह काम नहीं करता है, तो फेसबुक अगले परिदृश्य के साथ फिर से कोशिश करता है। अनिवार्य रूप से, फेसबुक वह कर रहा है जो आपने "गलत पासवर्ड" संदेश प्राप्त करने पर किया होगा - टाइप किए गए पासवर्ड में किसी आकस्मिक त्रुटि के लिए जाँच करना और उसे सही करना। यह पूरी प्रक्रिया को आपके लिए कम निराशाजनक बनाता है। यह सुरक्षा में कमी नहीं करता है, क्योंकि सही पासवर्ड के कुछ विचार की अभी भी आवश्यकता है और स्वीकृत विविधताएं संकीर्ण हैं।
इससे भी महत्वपूर्ण बात यह है कि सामाजिक नेटवर्क और अन्य खातों तक पहुँच प्राप्त करने के लिए ब्रूट फ़ोर्स विधियाँ प्राथमिक विधि नहीं हैं। सोशल इंजीनियरिंग और पासवर्ड डंप उपयोग करने के लिए बहुत सरल हैं। यदि आपके पास पासवर्ड रीसेट प्रश्न हैं, तो कम से कम कुछ उत्तरों के लिए एक सभ्य मौका है, जो सार्वजनिक रूप से सुलभ जानकारी है। यदि आपका रीसेट प्रश्न आपके जन्मस्थान, माता के प्रथम नाम या उच्च विद्यालय शुभंकर के बारे में है, तो उत्तर को ट्रैक करना संभव है। उस बिंदु पर, एक बुरा-अभिनेता आपके पासवर्ड को रीसेट कर सकता है, जिससे पासवर्ड का अनुमान लगाने या खुद को पूरी तरह से निर्धारित करने की आवश्यकता होती है।
दुर्भाग्य से, बहुत से लोग अभी भी हर साइट पर एक ही ईमेल और पासवर्ड संयोजन का उपयोग कर रहे हैं जिसके लिए लॉगिन क्रेडेंशियल की आवश्यकता होती है। आपको खोजने के लिए दूर नहीं देखना पड़ेगा उदाहरण उपरांत उदाहरण का डेटा उल्लंघनों । यदि आप एक से अधिक स्थानों पर एक ही ईमेल और पासवर्ड संयोजन का उपयोग कर रहे हैं, और वर्षों से हैं, तो आपके पासवर्ड फेसबुक की नीतियों की नहीं बल्कि भेद्यता हैं।
यदि आप सुनिश्चित नहीं हैं कि आप उल्लंघन का शिकार हुए हैं, तो जाएं हवीबीनपुनेड.कॉम और यह देखने के लिए जांचें कि क्या आपका पासवर्ड चोरी हो गया है । संभावना है कि आपने कम से कम कुछ खाता कहीं से समझौता किया हो।
आपको हमेशा अपने खातों को सुरक्षित रखना चाहिए
यदि आप अभी भी चिंतित हैं कि यह नीति आपको असुरक्षित बनाती है, तो ऐसे कदम हैं जो आप उठा सकते हैं। पहला कदम हर साइट के लिए एक ही पासवर्ड का उपयोग बंद करना है। इसके बजाय, ए पासवर्ड मैनेजर और इसे आपके द्वारा उपयोग की जाने वाली प्रत्येक अलग साइट के लिए अद्वितीय लंबे पासवर्ड उत्पन्न करने दें। फिर, अगली बार जब आप देखते हैं कि आपके द्वारा उपयोग की गई वेबसाइट से छेड़छाड़ की गई है, तो आप केवल एक पासवर्ड बदल सकते हैं और यह जानकर सुरक्षित महसूस कर सकते हैं कि यह एक ज्ञात पासवर्ड हैकर्स को अच्छा नहीं लगता।
अपने पासवर्ड सख्त करने के बाद, चालू करें दो तरीकों से प्रमाणीकरण किसी भी साइट पर जो इसे प्रदान करता है। फेसबुक दो-कारक प्रमाणीकरण प्रदान करता है, इसलिए आपको इसे वहाँ भी सेट करना चाहिए। सबसे अच्छा दो-कारक प्रमाणीकरण आपके स्मार्टफोन के साथ एक ऐप पर निर्भर करता है जो अक्सर एक नया कोड उत्पन्न करता है या एक भौतिक कुंजी जिसे आप अपने साथ रखते हैं। जबकि एसएमएस-आधारित दो-कारक प्रमाणीकरण कुछ नहीं से बेहतर है , यह अभी भी सामाजिक इंजीनियरिंग तकनीकों के लिए असुरक्षित है। इसलिए यदि आप एक प्रमाणक ऐप या किसी भौतिक कुंजी पर भरोसा कर सकते हैं, तो आपको चाहिए। तथा एक बैकअप है यदि आपके फोन या कुंजी के साथ कुछ होता है।
इस संयोजन के साथ, फेसबुक की पासवर्ड नीतियों की परवाह किए बिना आपका खाता कहीं अधिक सुरक्षित है। आपको कम से कम पासवर्ड मैनेजर और यूनिक पासवर्ड का उपयोग करना चाहिए, लेकिन टू-फैक्टर ऑथेंटिकेशन के साथ संयोजन का उपयोग करना बेहतर है।
आतंक नहीं; सुविधा का आनंद लें
फेसबुक की पासवर्ड नीति के रूप में, यह चिंता करना आसान है कि यह कम सुरक्षित है, लेकिन वास्तविकता यह है कि जोखिमों से लाभ मिलता है। सुरक्षा एक संतुलन कार्य है। जितना अधिक आप एक सिस्टम को बंद करते हैं, उतना ही कम सुविधाजनक होता है। लेकिन जैसे ही आप अधिक सुविधाजनक पहुँच जोड़ते हैं, आप सुरक्षा खो देते हैं। आपके उपयोगकर्ताओं को निराश किए बिना उनकी सुरक्षा करने के लिए ट्रिक को दोनों की सही मात्रा मिल रही है। फेसबुक ने यहां उपयोगकर्ता की सुविधा के आधार पर मिटा दिया, और यह शायद एक स्वीकार्य निर्णय है।
