हार्टब्लीड के नतीजों से निराश हैं? आप अकेले नहीं हैं। दुनिया की सबसे लोकप्रिय एसएसएल लाइब्रेरी में एक छोटे से बग ने हमारी सुरक्षा में भारी छेद कर दिया सभी प्रकार की क्लाउड-आधारित वेबसाइटों, ऐप्स और सेवाओं के साथ संचार - और खामियाँ सभी में भी नहीं हैं अभी तक पैच किया गया।
हार्टब्लीड बग ने हमलावरों को ओपनएसएसएल की स्नूप-प्रतिरोधी लाइनिंग को पीछे हटाने और क्लाइंट और सर्वर के बीच संचार पर नज़र डालने की अनुमति दी। इससे हैकर्स को पासवर्ड और सेशन कुकीज़ जैसी चीज़ों पर नज़र डालने का मौका मिला, जो डेटा के छोटे-छोटे टुकड़े हैं आपके लॉग इन करने के बाद सर्वर आपको भेजता है और जब भी आप इसे साबित करने के लिए कुछ करते हैं तो आपका ब्राउज़र आपको वापस भेज देता है आप। और यदि बग ने किसी वित्तीय साइट को प्रभावित किया है, तो आपके द्वारा नेट के माध्यम से भेजी जा रही अन्य संवेदनशील जानकारी, जैसे क्रेडिट कार्ड या कर जानकारी, देखी जा सकती है।
अनुशंसित वीडियो
इंटरनेट इस तरह के विनाशकारी बग से अपनी रक्षा कैसे कर सकता है? हमारे पास कुछ विचार हैं.
हां, आपको सुरक्षित पासवर्ड की आवश्यकता है: यहां उन्हें बनाने का तरीका बताया गया है
ठीक है, इसलिए बेहतर पासवर्ड अगले हार्टब्लीड को नहीं रोकेंगे, लेकिन वे किसी दिन आपको हैक होने से बचा सकते हैं। बहुत से लोग सुरक्षित पासवर्ड बनाने में बहुत ही ख़राब होते हैं।
आपने यह सब पहले सुना है: "पासवर्ड1," "पासवर्ड2," आदि का उपयोग न करें। अधिकांश पासवर्ड में एन्ट्रॉपी कहलाने वाली चीज़ पर्याप्त नहीं होती—वे निश्चित रूप से होती हैं नहीं यादृच्छिक और वे इच्छा यदि किसी हमलावर को कभी भी बहुत सारे अनुमान लगाने का अवसर मिलता है, तो इसका अनुमान लगाया जा सकता है, या तो सेवा पर हमला करके या (अधिक संभावना है) पासवर्ड हैश चुराना—पासवर्ड की गणितीय व्युत्पत्तियां जिन्हें जांचा जा सकता है लेकिन मूल में वापस नहीं लाया जा सकता पासवर्ड।
आप जो भी करें, एक ही पासवर्ड का एक से अधिक स्थानों पर उपयोग न करें।
पासवर्ड-प्रबंधन सॉफ़्टवेयर या एंड-टू-एंड एन्क्रिप्शन का उपयोग करने वाली सेवाएँ भी मदद कर सकती हैं। कीपास पूर्व का एक अच्छा उदाहरण है; लास्ट पास बाद के। अपने ईमेल को अच्छी तरह से सुरक्षित रखें, क्योंकि इसका उपयोग आपके अधिकांश पासवर्ड को रीसेट करने के लिए किया जा सकता है। और आप जो भी करें, एक ही पासवर्ड का एक से अधिक स्थानों पर उपयोग न करें—आप केवल परेशानी पूछ रहे हैं।
वेबसाइटों को वन-टाइम-पासवर्ड लागू करने की आवश्यकता है
ओटीपी का मतलब "वन-टाइम पासवर्ड" है और यदि आपने कोई वेबसाइट/सेवा सेट अप की है जिसके लिए आपको इसका उपयोग करना आवश्यक है तो आप इसका उपयोग पहले से ही कर सकते हैं। गूगल प्रमाणक. इनमें से अधिकांश प्रमाणक (Google सहित) TOTP, या समय-आधारित वन-टाइम पासवर्ड नामक इंटरनेट मानक का उपयोग करते हैं, जिसका वर्णन यहाँ किया गया है.
टीओटीपी क्या है? संक्षेप में, आप जिस वेबसाइट पर हैं वह एक गुप्त नंबर उत्पन्न करती है, जिसे एक बार आपके प्रमाणक कार्यक्रम में भेज दिया जाता है, आमतौर पर एक के माध्यम से क्यू आर संहिता. समय-आधारित भिन्नता में, हर 30 सेकंड में उस गुप्त संख्या से एक नई छह अंकों की संख्या उत्पन्न होती है। वेबसाइट और क्लाइंट (आपका कंप्यूटर) को दोबारा संवाद करने की आवश्यकता नहीं है; नंबर बस आपके प्रमाणक पर प्रदर्शित होते हैं और आप उन्हें अपने पासवर्ड के साथ अनुरोध के अनुसार वेबसाइट पर प्रदान करते हैं, और आप अंदर हैं। एक भिन्नता यह भी है जो टेक्स्ट संदेश के माध्यम से आपको समान कोड भेजकर काम करती है।
टीओटीपी के लाभ: भले ही हार्टब्लीड या इसी तरह के किसी बग के परिणामस्वरूप आपके पासवर्ड और आपके प्रमाणक पर मौजूद नंबर, जिस वेबसाइट पर आप हैं, का खुलासा हो जाए। के साथ बातचीत करने से लगभग निश्चित रूप से उस नंबर को पहले से ही प्रयुक्त के रूप में चिह्नित कर दिया गया है और इसे दोबारा उपयोग नहीं किया जा सकता है - और यह वैसे भी 30 सेकंड के भीतर अमान्य हो जाएगा। यदि कोई वेबसाइट पहले से ही यह सेवा प्रदान नहीं करती है, तो यह संभवतः अपेक्षाकृत आसानी से ऐसा कर सकती है, और यदि आपके पास वस्तुतः कोई स्मार्टफोन है, तो आप एक प्रमाणक चला सकते हैं। लॉग इन करने के लिए अपने फ़ोन से परामर्श लेना थोड़ा असुविधाजनक है, लेकिन आप जिस भी सेवा की परवाह करते हैं उसके लिए सुरक्षा लाभ इसे इसके लायक बनाता है।
टीओटीपी के जोखिम: सर्वर में सेंध लगाना a अलग इस तरीके से गुप्त नंबर का खुलासा हो सकता है, जिससे हमलावर अपना स्वयं का प्रमाणक बनाने में सक्षम हो जाएगा। लेकिन यदि आप किसी ऐसे पासवर्ड के साथ टीओटीपी का उपयोग कर रहे हैं जो वेबसाइट द्वारा संग्रहीत नहीं है - तो अधिकांश अच्छे प्रदाता इसे संग्रहीत करते हैं हैश जो रिवर्स-इंजीनियरिंग के खिलाफ दृढ़ता से प्रतिरोधी है - तो उन दोनों के बीच, आपका जोखिम बहुत अधिक है उतारा गया.
ग्राहक प्रमाणपत्रों की शक्ति (और वे क्या हैं)
आपने संभवतः ग्राहक प्रमाणपत्रों के बारे में कभी नहीं सुना होगा, लेकिन वे वास्तव में बहुत लंबे समय से मौजूद हैं (निश्चित रूप से इंटरनेट के वर्षों में)। संभवतः आपने उनके बारे में नहीं सुना है इसका कारण यह है कि उन्हें प्राप्त करना एक कठिन काम है। उपयोगकर्ताओं से पासवर्ड चुनवाना बहुत आसान है, इसलिए केवल उच्च-सुरक्षा वाली साइटें ही प्रमाणपत्रों का उपयोग करती हैं।
ग्राहक प्रमाणपत्र क्या है? ग्राहक प्रमाणपत्र साबित करते हैं कि आप वही व्यक्ति हैं जिसके बारे में आप दावा करते हैं। आपको बस इसे अपने ब्राउज़र में इंस्टॉल करना है (और यह कई साइटों पर काम करता है), फिर जब कोई साइट आपको प्रमाणित करना चाहती है तो इसका उपयोग करना चुनें। ये प्रमाणपत्र एसएसएल प्रमाणपत्रों के करीबी रिश्तेदार हैं जिनका उपयोग वेबसाइटें आपके कंप्यूटर पर अपनी पहचान बताने के लिए करती हैं।
किसी वेबसाइट द्वारा आपके डेटा की सुरक्षा करने का सबसे प्रभावी तरीका यह है कि उस पर कभी भी कब्ज़ा न किया जाए।
ग्राहक प्रमाणपत्र के लाभ: इससे कोई फर्क नहीं पड़ता कि आप क्लाइंट प्रमाणपत्र के साथ कितनी साइटों पर साइन इन करते हैं, गणित की शक्ति आपके पक्ष में है; कोई भी आपके होने का दिखावा करने के लिए उसी प्रमाणपत्र का उपयोग नहीं कर पाएगा, भले ही वे आपके सत्र का निरीक्षण करें।
ग्राहक प्रमाणपत्रों के जोखिम: ग्राहक प्रमाणपत्र का प्राथमिक जोखिम यह है कि कोई इसमें सेंध लगा सकता है आपका कंप्यूटर और इसे चुरा लें, लेकिन उस जोखिम के लिए कुछ उपाय हैं। एक अन्य संभावित मुद्दा यह है कि विशिष्ट ग्राहक प्रमाणपत्र में कुछ पहचान संबंधी जानकारी होती है जिसे आप अपने द्वारा उपयोग की जाने वाली प्रत्येक साइट पर प्रकट नहीं करना चाहेंगे। हालाँकि क्लाइंट प्रमाणपत्र हमेशा से मौजूद रहे हैं, और वेब सर्वर में कामकाजी समर्थन मौजूद है सॉफ़्टवेयर, सेवा प्रदाताओं और ब्राउज़र दोनों पक्षों पर अभी भी बहुत काम करना बाकी है वे काम करते हैं कुंआ. चूँकि उनका उपयोग बहुत ही कम किया जाता है, इसलिए उनके विकास पर बहुत कम ध्यान दिया जाता है।
सबसे महत्वपूर्ण: एंड-टू-एंड एन्क्रिप्शन
एक वेबसाइट आपके डेटा की सुरक्षा करने का सबसे प्रभावी तरीका यह है कि इसे कभी भी अपने कब्ज़े में न रखें - कम से कम, ऐसा संस्करण नहीं जिसे वह पढ़ सके। यदि कोई वेबसाइट आपका डेटा पढ़ सकती है, तो पर्याप्त पहुंच वाला एक हमलावर आपका डेटा पढ़ सकता है। यही कारण है कि हम एंड-टू-एंड एन्क्रिप्शन (E2EE) को पसंद करते हैं।
एंड-टू-एंड एन्क्रिप्शन क्या है? इसका मतलब यह है कि आप एन्क्रिप्ट आपकी ओर से डेटा, और यह रहता है तब तक एन्क्रिप्ट किया जाता है जब तक कि यह उस व्यक्ति तक नहीं पहुंच जाता जिसके लिए आप इसे चाहते हैं, या यह आपके पास वापस नहीं आ जाता।
E2EE के लाभ: ऑनलाइन बैकअप सेवाओं जैसी कुछ सेवाओं में एंड-टू-एंड एन्क्रिप्शन पहले से ही लागू किया गया है। कुछ मैसेजिंग सेवाओं में इसके कमजोर संस्करण भी हैं, खासकर वे जो स्नोडेन के खुलासे के बाद सामने आए। हालाँकि, वेबसाइटों के लिए एंड-टू-एंड एन्क्रिप्शन करना कठिन है, इसके दो कारण हैं: उन्हें अपनी सेवा प्रदान करने के लिए आपका डेटा देखने की आवश्यकता हो सकती है, और वेब ब्राउज़र E2EE प्रदर्शन करने में बहुत खराब हैं। लेकिन स्मार्टफोन ऐप के युग में, एंड-टू-एंड एन्क्रिप्शन एक ऐसी चीज़ है जिसे अधिक बार किया जा सकता है और किया जाना चाहिए। अधिकांश ऐप्स आज E2EE का उपयोग नहीं कर रहे हैं, लेकिन हमें उम्मीद है कि हम आगे चलकर इसे और अधिक देखेंगे। यदि आपके ऐप्स आपके संवेदनशील डेटा के लिए E2EE का उपयोग नहीं कर रहे हैं, तो आपको शिकायत करनी चाहिए।
E2EE के जोखिम: काम करने के लिए एंड-टू-एंड एन्क्रिप्शन के लिए, इसे बोर्ड भर में किया जाना चाहिए - यदि कोई ऐप या वेबसाइट इसे केवल आधे-अधूरे मन से करती है, तो कार्ड का पूरा घर ढह सकता है। अनएन्क्रिप्टेड डेटा के एक टुकड़े का उपयोग कभी-कभी बाकी डेटा तक पहुंच प्राप्त करने के लिए किया जा सकता है। सुरक्षा सबसे कमजोर कड़ी का खेल है; श्रृंखला की केवल एक कड़ी इसे तोड़ने में विफल होनी चाहिए।
तो अब क्या?
जाहिर है, ऐसा बहुत कुछ नहीं है जिसे एक उपयोगकर्ता के रूप में आप नियंत्रित कर सकें। आप ऐसी सेवा पाकर भाग्यशाली होंगे जो प्रमाणक के साथ वन-टाइम पासवर्ड का उपयोग करती है। लेकिन आपको उन वेबसाइटों और ऐप्स से निश्चित रूप से बात करनी चाहिए जिनका आप उपयोग करते हैं और उन्हें बताना चाहिए कि आपको बग का एहसास है सॉफ़्टवेयर में ऐसा होता है, और आपको लगता है कि उन्हें सुरक्षा को अधिक गंभीरता से लेना चाहिए और केवल उस पर निर्भर नहीं रहना चाहिए पासवर्ड.
यदि अधिक नेट इन उन्नत सुरक्षा विधियों का उपयोग करता है, तो हो सकता है कि अगली बार हार्टब्लीड-स्केल सॉफ़्टवेयर आपदा हो - और वहाँ इच्छा हो, आख़िरकार-हमें इतना घबराना नहीं पड़ेगा।
[छवि सौजन्य कैंची5/Shutterstock]