फेसबुक आपकी सुविधा के लिए आपके पासवर्ड को ठगता है
अगर आपको लगता है कि आपके पासवर्ड का एकमात्र सही संस्करण सटीक कैपिटलाइज़ेशन और अक्षर / प्रतीक अनुक्रम है जिसका आप उपयोग करते हैं, तो आप सदमे में हो सकते हैं। फेसबुक आपकी सुविधा के लिए, आपके पासवर्ड के मामूली बदलावों को स्वीकार करेगा। और यह पूरी तरह से सुरक्षित है.
पासवर्ड गलत तरीके से आसान होते हैं
फेसबुक और अन्य साइटों की तरह यह एक समस्या है। वे आपको लंबे और जटिल पासवर्ड का उपयोग करना चाहते हैं, लेकिन वे टाइप करना कठिन हैं। आपको अपना ध्यान रखने के लिए पासवर्ड मैनेजर का उपयोग करना चाहिए, लेकिन ज्यादातर लोग ऐसा नहीं करते हैं। और उन दो कारकों के कारण, यह आपके पासवर्ड को गलत करने के लिए आम है.
उस समय फेसबुक को क्या करना चाहिए?
क्या उन्हें केवल आपके प्रवेश से इंकार करना चाहिए क्योंकि आपका पासवर्ड थोड़ा बंद था, और दूसरे प्रयास से आपको निराश कर रहा है? या क्या उन्हें पहचानना चाहिए कि प्रदान किया गया पासवर्ड सही था, लेकिन टाइपो के साथ और गलती से नजरअंदाज करके बिल्ली की जिफ और बच्चे की तस्वीरों को अपनी यात्रा को सुचारू करें?
फेसबुक पासवर्ड में गलतियाँ निकालता है
एलेक मफेट के रूप में, लंदन में फेसबुक इंजीनियरिंग में सुरक्षा बुनियादी ढांचे की टीम के लिए एक पूर्व सॉफ्टवेयर इंजीनियर बताते हैं, फेसबुक ने बाद को चुना। यदि आपका पासवर्ड सही होने के बहुत करीब है, तो वे इसे सटीक मान सकते हैं। इसके लिए नियम सीधे हैं। फेसबुक इन शर्तों में से किसी से मिलने पर गलत पासवर्ड स्वीकार करेगा:
- आपके पास कैप्स लॉक चालू है, और कैपिटलाइज़ेशन उलट हैं.
- आप एक पासवर्ड की शुरुआत या अंत में एक अतिरिक्त चरित्र दर्ज करते हैं
- पासवर्ड का पहला वर्ण कम होना चाहिए, लेकिन आपने इसे कैपिटल में टाइप किया
जैसा कि आप देख सकते हैं, ये विविधताएँ टाइपिंग के दौरान अपना पासवर्ड गुम होने की मूल अवधारणा के आसपास केंद्रित हैं। कुछ मामलों में, यह स्वत: सुधार का मुद्दा हो सकता है, जैसे किसी शब्द के पहले अक्षर को कैपिटल किया जा रहा है। यदि आपका गलत पासवर्ड इन विशिष्ट नियमों को पूरा करता है, तो आपको पता नहीं चलेगा कि कोई समस्या थी-आपको बस अपने आप को लॉग इन करना पड़ेगा.
उदाहरण के लिए, मान लें कि आपका पासवर्ड "letMeIn" है। फेसबुक "LETmEiN" को भी स्वीकार करेगा (क्योंकि यह सीधे-सीधे कैप लॉक लॉक है) और "LetMeIn" (क्योंकि यह पहले अक्षर के लिए गलत पूंजी है)। यह "1letMeIn" और "letMeIn2" जैसी विविधताओं को भी स्वीकार करेगा क्योंकि वे शुरुआत या अंत में एक अतिरिक्त चरित्र को छोड़कर सही हैं। हालाँकि, यह "लेटेमिन", "लेटमिन", या "12LetMeIn" बिल्कुल स्वीकार नहीं करेगा.
यह प्रक्रिया अभी भी सुरक्षित है
Seasontime / Shutterstockपहले ब्लश में, फेसबुक का पासवर्ड लीनियर असुरक्षित लगता है। लेकिन इस मामले में, सच्चाई अधिक जटिल है। हालांकि पुराने हैकर क्राइम ड्रामा के बारे में सोचना आसान है, जो केवल मिनटों में एक पासवर्ड पर त्वरित ब्रूट बल का अनुमान लगाते हैं, हैकिंग उस तरह से काम नहीं करती है। ब्रूट फोर्सिंग अनजाने पासवर्ड मौजूद हैं, लेकिन यह टीवी की तुलना में बहुत अलग है। जैसा कि xkcd प्रसिद्ध रूप से प्रदर्शित करता है, जैसे-जैसे पासवर्ड की लंबाई बढ़ती है, इसे क्रैक करने का समय भी तेजी से बढ़ता है। जटिलता जोड़ने से मदद मिलती है, लेकिन उतना नहीं जितना आप सोच सकते हैं.
इसलिए परिदृश्यों में से एक है कि फेसबुक अनुमति देता है, पासवर्ड की शुरुआत या अंत में एक अतिरिक्त चरित्र, बल को भंग करना भी कठिन होगा। इससे पहले कि वे पासवर्ड के साथ एक अतिरिक्त चरित्र बनाने से पहले हैकर्स को सही पासवर्ड की आवश्यकता होगी.
विशेष रूप से ब्याज कैप लॉक परिदृश्य है। मैंने इसे पहले अपना पासवर्ड नोटपैड में मैन्युअल रूप से टाइप किया, मामले को उलट कर, फिर उस परिणाम को फेसबुक में पेस्ट किया। इसने उस पासवर्ड का खंडन किया। मैंने फिर कैप्स लॉक को चालू किया और अपना पासवर्ड टाइप किया, हालांकि कैप लॉक बंद था, इस प्रकार मामले को उलट रहा था। वह प्रयास सफल रहा, और मैं लॉगिन हो गया। फेसबुक न केवल यह जाँच रहा है कि पासवर्ड क्या है, बल्कि आप इसे कैसे दर्ज करते हैं। ब्रूट फोर्स उस परिदृश्य में मदद नहीं करेगा, जो कैप लॉक लॉक करने में कमी करते हैं, जो वास्तविक पासवर्ड के लिए लक्ष्य बनाने से अधिक कठिन होगा.
अद्यतन करें: जैसा कि सूचना सुरक्षा सलाहकार पॉल मूर ट्विटर पर बताते हैं, फेसबुक की संभावना केवल आपके मूल पासवर्ड (ठीक से हैशेड और नमकीन) और आपके पासवर्ड की विविधताओं को संग्रहीत करने की है। जब आप लॉग इन करने के लिए एक पासवर्ड सबमिट करते हैं, तो यह आपके मूल पासवर्ड के खिलाफ जांचा जाता है। यदि यह मेल नहीं खाता है, तो फेसबुक आपके प्रस्तुत पासवर्ड को इन विविधताओं के माध्यम से चलाता है। उदाहरण के लिए, यदि आपका कैप्स लॉक चालू है, तो फेसबुक आपका सबमिट किया गया पासवर्ड ले लेता है, अक्षरों के कैपिटलाइज़ेशन को उलट देता है, और फिर से कोशिश करता है। अगर वह काम नहीं करता है, तो फेसबुक अगले परिदृश्य के साथ फिर से कोशिश करता है। अनिवार्य रूप से, फेसबुक वही कर रहा है जो आपने टाइप किए गए पासवर्ड में किसी आकस्मिक त्रुटि के लिए "गलत पासवर्ड" संदेश-जांच करने और उसे ठीक करने के लिए किया होगा। यह पूरी प्रक्रिया को आपके लिए कम निराशाजनक बनाता है। यह सुरक्षा में कमी नहीं करता है, क्योंकि सही पासवर्ड के कुछ विचार की अभी भी आवश्यकता है और स्वीकृत विविधताएं संकीर्ण हैं.
इससे भी महत्वपूर्ण बात यह है कि सामाजिक नेटवर्क और अन्य खातों तक पहुँच प्राप्त करने के लिए जानवर बल विधियाँ प्राथमिक विधि नहीं हैं। सोशल इंजीनियरिंग और पासवर्ड डंप उपयोग करने के लिए बहुत सरल हैं। यदि आपके पास पासवर्ड रीसेट प्रश्न हैं, तो कम से कम कुछ उत्तरों का एक सभ्य मौका है, जो कि सार्वजनिक रूप से सुलभ जानकारी है। यदि आपका रीसेट प्रश्न आपके जन्मस्थान, माता के प्रथम नाम या उच्च विद्यालय शुभंकर के बारे में है, तो उत्तर को ट्रैक करना संभव है। उस बिंदु पर, एक बुरा-अभिनेता आपके पासवर्ड को रीसेट कर सकता है, जिससे पासवर्ड का अनुमान लगाने या उसे पूरी तरह से निर्धारित करने की आवश्यकता होती है.
दुर्भाग्य से, कई लोग अभी भी हर साइट पर एक ही ईमेल और पासवर्ड संयोजन का उपयोग कर रहे हैं जिसके लिए लॉगिन क्रेडेंशियल की आवश्यकता होती है। आपको डेटा ब्रीच के उदाहरण के बाद उदाहरण खोजने के लिए दूर नहीं देखना पड़ेगा। यदि आप एक ही ईमेल और पासवर्ड संयोजन का एक से अधिक स्थानों पर उपयोग कर रहे हैं, और वर्षों से हैं, तो आपके पासवर्ड भेद्यता हैं, न कि फेसबुक की नीतियां.
यदि आप सुनिश्चित नहीं हैं कि आप ब्रीच के शिकार हुए हैं, तो hasibeenpwned.com पर जाएं और देखें कि क्या आपका पासवर्ड चोरी हो गया है या नहीं। संभावना है कि आपने कम से कम कुछ खाता कहीं से समझौता किया हो.
आपको हमेशा अपने खातों को सुरक्षित रखना चाहिए
Nicescene / Shutterstock.comयदि आप अभी भी चिंतित हैं कि यह नीति आपको असुरक्षित बनाती है, तो ऐसे कदम हैं जो आप उठा सकते हैं। पहला कदम हर साइट के लिए एक ही पासवर्ड का उपयोग बंद करना है। इसके बजाय, एक पासवर्ड मैनेजर प्राप्त करें और इसे आपके द्वारा उपयोग की जाने वाली प्रत्येक भिन्न साइट के लिए अद्वितीय लंबे पासवर्ड बनाने दें। फिर, अगली बार जब आप देखते हैं कि आपके द्वारा उपयोग की गई वेबसाइट से छेड़छाड़ की गई है, तो आप बस उस एक पासवर्ड को बदल सकते हैं और यह जानकर सुरक्षित महसूस कर सकते हैं कि यह एक ज्ञात पासवर्ड हैकर्स को कोई अच्छा काम नहीं देगा।.
अपने पासवर्ड को सख्त करने के बाद, किसी भी साइट पर दो-कारक प्रमाणीकरण चालू करें जो इसे प्रदान करता है। फेसबुक दो-कारक प्रमाणीकरण प्रदान करता है, इसलिए आपको इसे वहाँ भी सेट करना चाहिए। सबसे अच्छा दो-कारक प्रमाणीकरण आपके स्मार्टफोन के साथ एक ऐप पर निर्भर करता है जो अक्सर एक नया कोड या आपके द्वारा रखी गई भौतिक कुंजी उत्पन्न करता है। जबकि एसएमएस आधारित दो-कारक प्रमाणीकरण कुछ भी नहीं से बेहतर है, यह अभी भी सामाजिक इंजीनियरिंग तकनीकों के लिए असुरक्षित है। इसलिए यदि आप एक प्रमाणक ऐप या किसी भौतिक कुंजी पर भरोसा कर सकते हैं, तो आपको चाहिए। और आपके फोन या कुंजी के साथ कुछ होने की स्थिति में बैकअप होता है.
इस संयोजन के साथ, फेसबुक की पासवर्ड नीतियों की परवाह किए बिना आपका खाता कहीं अधिक सुरक्षित है। आपको कम से कम एक पासवर्ड मैनेजर और यूनिक पासवर्ड का उपयोग करना चाहिए, लेकिन टू-फैक्टर ऑथेंटिकेशन के साथ संयोजन का उपयोग करना बेहतर है.
आतंक न करें; सुविधा का आनंद लें
फेसबुक की पासवर्ड नीति के रूप में, यह चिंता करना आसान है कि यह कम सुरक्षित है, लेकिन वास्तविकता यह है कि जोखिमों से लाभ मिलता है। सुरक्षा एक संतुलन कार्य है। जितना अधिक आप एक सिस्टम को बंद करते हैं, उतना ही कम सुविधाजनक होता है। लेकिन जैसे ही आप अधिक सुविधाजनक पहुंच जोड़ते हैं, आप सुरक्षा खो देते हैं। आपके उपयोगकर्ताओं को निराश किए बिना उनकी सुरक्षा करने के लिए ट्रिक को दोनों की सही मात्रा मिल रही है। फेसबुक ने यहां उपयोगकर्ता की सहजता को मिटा दिया, और यह शायद एक स्वीकार्य निर्णय है.