کمپنیاں اب بھی سادہ متن میں پاس ورڈ کیوں محفوظ کر رہی ہیں؟

متعدد کمپنیوں نے حال ہی میں سادہ متن کی شکل میں پاس ورڈ اسٹور کرنے کا اعتراف کیا ہے۔ یہ نوٹ پیڈ میں پاس ورڈ اسٹور کرنے اور اسے ایک ttxt فائل کی طرح محفوظ کرنے جیسا ہے۔ سیکیورٹی کے لئے پاس ورڈ کو نمکین اور ہیش کرنا چاہئے ، لہذا ایسا 2019 میں کیوں نہیں ہو رہا ہے؟

سادہ متن میں پاس ورڈز کو اسٹور کیوں نہیں کیا جانا چاہئے

ڈیزائنر 491 / شٹر اسٹاک

جب کوئی کمپنی پاس ورڈز کو صاف متن میں اسٹور کرتی ہے تو ، پاس ورڈ کے ڈیٹا بیس کے ساتھ موجود کوئی بھی شخص - یا پاس ورڈ میں جو بھی فائل ہے اس کو پڑھ سکتا ہے۔ اگر ہیکر فائل تک رسائی حاصل کرلیتا ہے ، تو وہ تمام پاس ورڈ دیکھ سکتے ہیں۔

سادہ متن میں پاس ورڈ اسٹور کرنا ایک خوفناک عمل ہے۔ کمپنیوں کو پاس ورڈ کو نمکین اور ہیشنگ کرنا چاہئے ، جو یہ کہنے کا ایک اور طریقہ ہے کہ "پاس ورڈ میں اضافی ڈیٹا شامل کریں اور پھر اس طرح سے ہجوم کریں کہ الٹا نہ ہو۔" عام طور پر اس کا مطلب ہے یہاں تک کہ اگر کوئی پاس ورڈ کو ڈیٹا بیس سے چوری کرتا ہے ، تو وہ ناقابل استعمال ہیں۔ جب آپ لاگ ان کرتے ہیں تو ، کمپنی چیک کرسکتی ہے کہ آپ کا پاس ورڈ اسٹورڈ سکیمبلڈ ورژن سے میل کھاتا ہے — لیکن وہ ڈیٹا بیس سے "پچھڑے کام" نہیں کرسکتے ہیں اور آپ کے پاس ورڈ کا تعین کرسکتے ہیں۔

تو کمپنیاں پاس ورڈ کو سادہ متن میں کیوں ذخیرہ کرتی ہیں؟ بدقسمتی سے ، بعض اوقات کمپنیاں سکیورٹی کو سنجیدگی سے نہیں لیتی ہیں۔ یا وہ سہولت کے نام پر سیکیورٹی سے سمجھوتہ کرنے کا انتخاب کرتے ہیں۔ دوسرے معاملات میں ، کمپنی آپ کے پاس ورڈ کو اسٹور کرتے وقت سب کچھ ٹھیک کر دیتی ہے۔ لیکن ان میں زیادہ لاگ ان صلاحیتوں کو شامل کیا جاسکتا ہے ، جو سادہ متن میں پاس ورڈ ریکارڈ کرتے ہیں۔

متعدد کمپنیوں کے پاس ورڈز کو غلط طریقے سے اسٹور کیا گیا ہے

آپ پہلے ہی خراب طریقوں سے متاثر ہوسکتے ہیں کیونکہ رابن ہڈ , گوگل , فیس بک ، گٹ ہب ، ٹویٹر ، اور دیگر نے پاس ورڈز کو صاف متن میں محفوظ کیا۔

گوگل کے معاملے میں ، کمپنی زیادہ تر صارفین کے لئے مناسب طریقے سے ہیشنگ اور نمک پاس ورڈ رکھتی تھی۔ لیکن جی سویٹ انٹرپرائز اکاؤنٹ کے پاس ورڈ سادہ متن میں محفوظ کیا گیا تھا۔ کمپنی نے کہا کہ جب اس نے ڈومین کے منتظمین کو پاس ورڈ بازیافت کرنے کے ل tools ٹولز دیئے تب سے یہ کام چھوڑ دیا گیا تھا۔ اگر گوگل نے پاس ورڈز کو صحیح طریقے سے محفوظ کیا ہوتا تو ، یہ ممکن نہیں ہوتا۔ جب پاس ورڈز کو صحیح طریقے سے اسٹور کیا جاتا ہے تو صرف پاس ورڈ کو دوبارہ ترتیب دینے کا عمل بازیافت کے لئے کام کرتا ہے۔

جب فیس بک بھی پاس ورڈ اسٹور کرنے کا اعتراف کیا سیدھے متن میں ، اس نے پریشانی کی قطعی وجہ نہیں بتائی۔ لیکن آپ بعد کی تازہ کاری سے اس مسئلے کا اندازہ لگا سکتے ہیں:

… ہمیں انسٹاگرام پاس ورڈ کی اضافی لاگز دریافت کی گئی شکل میں محفوظ کی جارہی ہیں۔

ابتدا میں جب آپ کا پاس ورڈ اسٹور کرتے ہیں تو کبھی کبھی کوئی کمپنی سب کچھ ٹھیک کر دیتی ہے۔ اور پھر نئی خصوصیات شامل کریں جو پریشانیوں کا سبب بنے۔ فیس بک کے علاوہ ، رابن ہڈ , گیتوب ، اور ٹویٹر غلطی سے سادہ متن کے پاس ورڈز لاگ ان ہوئے۔

ایپلیکیشنز ، ہارڈ ویئر ، اور حتی سسٹم کوڈ میں بھی مسائل تلاش کرنے کے لئے لاگنگ مفید ہے۔ لیکن اگر کوئی کمپنی اس لاگنگ کی اہلیت کی جانچ نہیں کرتی ہے تو ، اس کے حل سے کہیں زیادہ مشکلات پیدا کرسکتی ہے۔

فیس بک اور رابن ہڈ کے معاملے میں ، جب صارفین سائن ان کرنے کے لئے اپنا صارف نام اور پاس ورڈ مہیا کرتے تھے تو لاگنگ کا فنکشن صارف نام اور پاس ورڈ کو ٹائپ کرتے وقت دیکھ اور ریکارڈ کرسکتا تھا۔ اس کے بعد وہ لاگ ان کو کہیں اور محفوظ کرلیتا ہے۔ جو بھی شخص ان لاگ ان تک رسائی حاصل کرسکتا تھا اس کے پاس اکاؤنٹ لینے کی ضرورت کے پاس وہ سب کچھ تھا۔

شاذ و نادر مواقع پر ، ٹی موبائل آسٹریلیا جیسی کمپنی کبھی کبھی سہولت کے نام پر ، سیکیورٹی کی اہمیت کو نظرانداز کرسکتی ہے۔ ایک ___ میں چونکہ حذف شدہ ٹویٹر ایکسچینج ، ایک ٹی موبائل نمائندے نے ایک صارف کو سمجھایا کہ کمپنی پاس ورڈ کو صاف متن میں اسٹور کرتی ہے۔ اس طرح سے پاس ورڈ اسٹور کرنے سے کسٹمر سروس کے نمائندوں کو تصدیق کے مقاصد کے لئے پاس ورڈ کے پہلے چار خطوط دیکھنے کی اجازت مل جاتی ہے۔ جب دوسرے ٹویٹر صارفین نے مناسب طور پر نشاندہی کی کہ اگر کسی نے کمپنی کے سرورز کو ہیک کرلیا تو یہ کتنا برا ہوگا۔

اگر ایسا نہیں ہوتا ہے کیوں کہ ہماری حفاظت حیرت انگیز طور پر اچھی ہے؟

کمپنی نے ان ٹویٹس کو حذف کردیا اور بعد میں اس کا اعلان کیا تمام پاس ورڈ جلد ہی نمکین اور ہیش ہوجائیں گے . لیکن کمپنی سے پہلے یہ سب کچھ نہیں تھا کسی نے اس کے نظام کی خلاف ورزی کی تھی . ٹی موبائل نے کہا کہ چوری شدہ پاس ورڈ کو خفیہ کردیا گیا تھا ، لیکن یہ اتنا اچھا نہیں ہے جتنا پاس ورڈ پاس کرنا ہے۔

کمپنیوں کو پاس ورڈ کس طرح محفوظ کرنا چاہئے

کمپنیوں کو کبھی بھی سادہ متن کے پاس ورڈ کو محفوظ نہیں کرنا چاہئے۔ اس کے بجائے ، پاس ورڈ ہونا چاہئے نمکین ، پھر ہیش . یہ جاننا ضروری ہے کہ نمکین کیا ہے ، اور اس میں کیا فرق ہے خفیہ کاری اور ہیشنگ .

نمکین کرنے سے آپ کے پاس ورڈ میں اضافی عبارت شامل ہوتی ہے

نمک پاسورڈ ایک سیدھے آگے کا تصور ہے۔ عمل آپ کے فراہم کردہ پاس ورڈ میں بنیادی طور پر اضافی متن شامل کرتا ہے۔

اس کے بارے میں سوچیں جیسے اپنے باقاعدہ پاس ورڈ کے آخر میں نمبر اور حروف شامل کریں۔ اپنے پاس ورڈ کے لئے "پاس ورڈ" استعمال کرنے کے بجائے ، آپ "پاس ورڈ 123" ٹائپ کرسکتے ہیں (براہ کرم ان پاس ورڈوں میں سے کبھی بھی استعمال نہ کریں)۔ نمکین کرنا ایک ایسا ہی تصور ہے: اس سے پہلے کہ سسٹم آپ کے پاس ورڈ کو جلائے ، اس میں اضافی عبارت شامل کردی جاتی ہے۔

لہذا یہاں تک کہ اگر ہیکر ڈیٹا بیس میں پھوٹ پڑتا ہے اور صارف کا ڈیٹا چوری کرتا ہے تو ، یہ معلوم کرنا اتنا مشکل ہوگا کہ اصل پاس ورڈ کیا ہے۔ ہیکر کو یہ معلوم نہیں ہوگا کہ کون سا حصہ نمک ہے ، اور کون سا حصہ پاس ورڈ ہے۔

کمپنیوں کو نمکین ڈیٹا کو پاس ورڈ سے پاس ورڈ تک دوبارہ استعمال نہیں کرنا چاہئے۔ بصورت دیگر ، اسے چوری یا توڑا جاسکتا ہے اور اس طرح بیکار کردیا جاسکتا ہے۔ نمکین ڈیٹا کو مناسب طریقے سے مختلف کرنا تصادم کو بھی روکتا ہے (اس کے بعد اس پر مزید)۔

خفیہ کاری پاس ورڈز کے ل App مناسب آپشن نہیں ہے

اپنے پاس ورڈ کو صحیح طریقے سے اسٹور کرنے کا اگلا مرحلہ اس میں ہیش کرنا ہے۔ ہشینگ کو خفیہ کاری کے ساتھ الجھن میں نہیں ڈالنا چاہئے۔

جب آپ ڈیٹا کو خفیہ کرتے ہیں تو ، آپ اسے کلید کی بنیاد پر قدرے تبدیل کردیتے ہیں۔ اگر کوئی کلید جانتا ہے تو ، وہ ڈیٹا کو واپس تبدیل کرسکتا ہے۔ اگر آپ نے کبھی بھی ڈی کوڈر کی انگوٹی سے کھیلنا ہے جس نے آپ کو "A = C" بتایا ہے تو آپ نے خفیہ کردہ ڈیٹا کو محفوظ کر لیا ہے۔ یہ جان کر کہ "A = C" ، تب آپ کو معلوم ہوسکتا ہے کہ یہ پیغام صرف اوولٹائن تجارتی تھا۔

اگر ایک ہیکر انکرپٹڈ ڈیٹا والے سسٹم میں ٹوٹ جاتا ہے اور وہ انکرپشن کی کلید کو چوری کرنے کا بھی انتظام کرتے ہیں تو آپ کے پاس ورڈ بھی سیدھے سادے متن کے ہوسکتے ہیں۔

ہشنگ آپ کا پاس ورڈ گیبریش میں تبدیل کردیتا ہے

پاس ورڈ ہیشنگ بنیادی طور پر آپ کے پاس ورڈ کو ناقابل فہم متن کی ڈور میں تبدیل کرتا ہے۔ جو بھی شخص ہیش کو دیکھتا وہ غیظ و غضب کو دیکھتا۔ اگر آپ نے "پاس ورڈ 123" استعمال کیا ہے تو ، ہیشنگ ڈیٹا کو "873kldk # 49lkdfld # 1" میں تبدیل کر سکتی ہے۔ کسی کمپنی کو کہیں بھی اسٹور کرنے سے پہلے آپ کا پاس ورڈ ہیش کرنا چاہئے ، اس طرح اس کے پاس کبھی بھی آپ کے اصل پاس ورڈ کا ریکارڈ موجود نہیں ہوتا ہے۔

حشی natureنگ کی وہ نوعیت آپ کے پاس ورڈ کو خفیہ کاری سے زیادہ محفوظ کرنے کا ایک بہتر طریقہ بناتی ہے۔ اگرچہ آپ خفیہ کردہ ڈیٹا کو ڈکرپٹ کرسکتے ہیں ، آپ ڈیٹا کو "انشےش" نہیں کرسکتے ہیں۔ لہذا اگر ایک ہیکر ڈیٹا بیس میں گھس جاتا ہے تو ، وہ ہیش والے ڈیٹا کو غیر مقفل کرنے کی کوئی چابی نہیں ڈھونڈ سکتا ہے۔

اس کے بجائے ، جب آپ اپنا پاس ورڈ جمع کرواتے ہیں تو ان کو کرنا پڑتا ہے جب کوئی کمپنی کرتی ہے۔ پاس ورڈ کا اندازہ لگائیں (اگر ہیکر جانتا ہے کہ کون سا نمک استعمال کرنا ہے) ، اس کو ہیش کریں ، تو اسے میچ کے لئے فائل میں موجود ہیش سے موازنہ کریں۔ جب آپ اپنا پاس ورڈ گوگل یا اپنے بینک میں جمع کرواتے ہیں تو ، وہی اقدامات کرتے ہیں۔ کچھ کمپنیاں ، جیسے فیس بک ، لے سکتی ہیں ٹائپو کے حساب سے اضافی "اندازے" لگائیں .

ہیشنگ کا اصل نقصان یہ ہے کہ ، اگر دو افراد کا پاس ورڈ ایک ہی ہے ، تو وہ ہیش کے ساتھ ختم ہوجائیں گے۔ اس کا نتیجہ تصادم کہلاتا ہے۔ یہ نمک شامل کرنے کی ایک اور وجہ ہے جو پاس ورڈ سے پاس ورڈ میں تبدیل ہوتی ہے۔ مناسب نمکین اور ہیش پاس ورڈ کا کوئی میچ نہیں ہوگا۔

ہیکرز بالآخر ہیش ڈیٹا کے ذریعہ اپنا راستہ توڑ سکتے ہیں ، لیکن یہ زیادہ تر ہر قابل تصور پاس ورڈ کی جانچ اور میچ کی امید کرنے کا کھیل ہے۔ اس عمل میں اب بھی وقت درکار ہے ، جو آپ کو اپنے آپ کو بچانے کے لئے وقت دیتا ہے۔

آپ ڈیٹا کی خلاف ورزیوں کے خلاف حفاظت کے ل Do کیا کرسکتے ہیں

آپ کمپنیوں کو اپنے پاس ورڈز کو غلط طریقے سے ہینڈل کرنے سے نہیں روک سکتے ہیں۔ اور بدقسمتی سے ، یہ جتنا عام ہونا چاہئے اس سے کہیں زیادہ عام ہے۔ یہاں تک کہ جب کمپنیاں آپ کے پاس ورڈ کو صحیح طریقے سے اسٹور کرتی ہیں ، ہیکر کمپنی کے سسٹم کی خلاف ورزی کرسکتے ہیں اور ہیش ڈیٹا چوری کرسکتے ہیں۔

اس حقیقت کو دیکھتے ہوئے ، آپ کو کبھی بھی پاس ورڈ کو دوبارہ استعمال نہیں کرنا چاہئے۔ اس کے بجائے ، آپ کو ایک فراہم کرنا چاہئے مختلف پیچیدہ پاس ورڈ ہر اس خدمت پر جو آپ استعمال کرتے ہیں۔ اس طرح ، یہاں تک کہ اگر حملہ آور کو ایک سائٹ پر آپ کا پاس ورڈ مل جاتا ہے ، تو وہ اسے دوسرے ویب سائٹوں پر آپ کے اکاؤنٹس میں لاگ ان کرنے کے لئے استعمال نہیں کرسکتے ہیں۔ پیچیدہ پاس ورڈز ناقابل یقین حد تک اہم ہیں کیونکہ آپ کے پاس ورڈ کا اندازہ لگانا اتنا ہی آسان ہے ، جیسے ہی ہیکر ہیشنگ کے عمل کو توڑ سکتا ہے۔ پاس ورڈ کو مزید پیچیدہ بناکر ، آپ نقصان کو کم سے کم کرنے کے لئے وقت خرید رہے ہیں۔

منفرد پاس ورڈ کا استعمال بھی اس نقصان کو کم کرتا ہے۔ زیادہ سے زیادہ ، ہیکر ایک اکاؤنٹ تک رسائی حاصل کرلے گا ، اور آپ ایک ہی پاس ورڈ کو درجنوں سے زیادہ آسانی سے تبدیل کرسکتے ہیں۔ پیچیدہ پاس ورڈز کو یاد رکھنا مشکل ہے ، لہذا ہم پاس ورڈ مینیجر کی سفارش کریں . پاس ورڈ کے مینیجر آپ کے لئے پاس ورڈ تیار کرتے اور یاد رکھتے ہیں ، اور آپ انہیں کسی بھی سائٹ کے پاس ورڈ کے قواعد پر عمل کرنے کے ل adjust ایڈجسٹ کرسکتے ہیں۔

کچھ ، جیسے لاسٹ پاس اور 1 پاس ورڈ ، یہاں تک کہ ایسی خدمات پیش کرتے ہیں جو چیک کرتی ہیں کہ آیا آپ کے موجودہ پاس ورڈز سے سمجھوتہ کیا گیا ہے۔

ایک اور اچھا آپشن ہے دو قدمی توثیق کو فعال کریں . اس طرح ، یہاں تک کہ اگر کوئی ہیکر آپ کے پاس ورڈ سے سمجھوتہ کرتا ہے ، تب بھی آپ اپنے اکاؤنٹس تک غیر مجاز رسائی کو روک سکتے ہیں۔

اگرچہ آپ کسی کمپنی کو اپنے پاس ورڈز کو غلط انداز میں بیچنے سے نہیں روک سکتے ہیں ، آپ اپنے پاس ورڈز اور اکاؤنٹس کو صحیح طریقے سے محفوظ کرکے نتیجہ کو کم کرسکتے ہیں۔

متعلقہ: آپ کو پاس ورڈ مینیجر کیوں استعمال کرنا چاہئے ، اور کیسے شروع کریں