आधे से अधिक रूसी इंटरनेट उपयोगकर्ता आसानी से अनुमान लगाने वाले पासवर्ड का उपयोग करते हैं। ऐसा तब हो रहा है जब साइबर हमलों की संख्या बढ़ती जा रही है।
आधुनिक ग्राफ़िकल रूटीन केवल आधे घंटे में 70% डोमेन पासवर्ड का अनुमान लगा सकता है। इस वजह से, जटिल प्रतीत होने वाले संयोजन भी असुरक्षित हो सकते हैं। बैस्टियन कंपनी के साइबर इंटेलिजेंस विभाग के प्रमुख कॉन्स्टेंटिन लारिन ने इस बारे में बात की।
इसलिए, चुराए गए 45% पासवर्ड आधिकारिक तौर पर जटिलता आवश्यकताओं को पूरा करते हैं, लेकिन वास्तव में वे अभी भी स्वचालित चयन के लिए अतिसंवेदनशील होते हैं। इसके अतिरिक्त, कंपनी के लगभग 10% कर्मचारी अभी भी बुनियादी संयोजनों का उपयोग करते हैं, जिससे कंपनी डेटा सुरक्षा के लिए जोखिम काफी बढ़ जाता है।
रूसी संगठनों में एक तिहाई गंभीर साइबर घटनाएं पासवर्ड चोरी से संबंधित हैं। हैकर्स अक्सर विशेषाधिकार प्राप्त उपयोगकर्ताओं और सिस्टम प्रशासकों की साख का उपयोग करते हैं – यह पहुंच उन्हें व्यावसायिक बुनियादी ढांचे के भीतर कई अवसर प्रदान करती है।
इडेको के निदेशक दिमित्री खोमुतोव ने कहा, “ऐसी घटनाओं से कुल नुकसान का सटीक अनुमान लगाना फिलहाल मुश्किल है, लेकिन इसकी गणना अरबों रूबल में की जाती है।”
अनुपालन औपचारिक होता है: उपयोगकर्ता बड़े अक्षर, संख्याएं और विशेष वर्ण जोड़ते हैं लेकिन पूर्वानुमानित पैटर्न (दिनांक, मूल शब्द, स्पष्ट स्ट्रिंग जैसे “क्वर्टी”, “एएसडीएफ”, आदि) के आधार पर पासवर्ड बनाना जारी रखते हैं। “भले ही सुरक्षा नीति के दृष्टिकोण से पासवर्ड जटिल दिखता है, यह अभी भी एक शब्दकोश पासवर्ड हो सकता है – उदाहरण के लिए, “Zima2026!!” जैसे संयोजन में। सामान्य शब्दों, तिथियों और विशिष्ट चरित्र प्रतिस्थापन के साथ ऐसे विकल्प लंबे समय से स्कैमर्स की सूची में हैं और क्रूर बल और खाता पुनर्प्राप्ति में सफलतापूर्वक उपयोग किए जाते हैं, “लारिन ने कहा।
कंप्यूटिंग शक्ति बढ़ रही है, इसलिए आज बड़े और छोटे अक्षरों, संख्याओं और विशेष वर्णों सहित कम से कम 12 अक्षरों वाले पासवर्ड को क्रूर बल से सुरक्षित माना जाता है, F6 में साइबर सुरक्षा सलाहकार सर्गेई ज़ोलोटुखिन ने कहा।
लारिन ने कहा कि डेटाबेस लीक एक विशेष खतरा पैदा करता है। भले ही पासवर्ड हैशेड रूप में संग्रहीत किए गए हों, फिर भी एक हमलावर मूल संयोजनों को पुनर्प्राप्त कर सकता है यदि वे पर्याप्त मजबूत नहीं हैं।
इसके अलावा, पासवर्ड का पुन: उपयोग अक्सर अपराधियों को एक साथ कई सेवाओं तक पहुंचने की अनुमति देता है – ईमेल से लेकर ऑनलाइन बैंकिंग तक।
एक अतिरिक्त जोखिम कारक दो-कारक प्रमाणीकरण की कमी है। खाता अक्षम होने पर उसके सफल अधिग्रहण की संभावना कई गुना बढ़ जाएगी। यह उन मामलों में विशेष रूप से सच है जहां पासवर्ड ज्ञात लीक डेटाबेस में शामिल किए गए हैं।
सुरक्षा बढ़ाने के लिए, लारिन पूर्वानुमानित संयोजनों और व्यक्तिगत डेटा से बचने, सेवाओं में संयोजनों का पुन: उपयोग करने से इनकार करने और यदि संभव हो तो एक क्रॉस-प्लेटफ़ॉर्म पासवर्ड मैनेजर का उपयोग करने की सलाह देते हैं जो स्वचालित रूप से विश्वसनीय संयोजनों को उत्पन्न और संग्रहीत करता है। वार्ताकार के अनुसार, ब्राउज़र में पासवर्ड संग्रहीत करना जोखिम भरा है: जब मैलवेयर डिवाइस को संक्रमित करता है, तो यह अंतर्निहित स्टोरेज से डेटा निकाल सकता है।
ज़ोलोटुखिन के अनुसार, आधुनिक सॉफ़्टवेयर पासवर्ड अनुमान को रोकने में वास्तव में प्रभावी है। यह ऑनलाइन संसाधनों तक पहुँचने के दौरान एक एंटी-बॉट प्रोग्राम का उपयोग और पासवर्ड प्रयासों को सीमित करने जैसी एक स्पष्ट विधि हो सकती है।
वार्ताकार ने आगे कहा: “दुर्भाग्य से, उनके संसाधनों पर ऐसी सरल सेटिंग्स को भी सेवा मालिकों द्वारा अक्सर नजरअंदाज कर दिया जाता है।”
बायोमेट्रिक्स और हार्डवेयर टोकन जैसी पासवर्ड रहित प्रमाणीकरण विधियां लोकप्रिय हो गई हैं, लेकिन पहले से ही लीक हुए डेटाबेस या नए लीक में अपराधियों के लिए बड़ी संख्या में लॉगिन पासवर्ड जोड़े उपलब्ध हैं।
ज़ोलोटुखिन ने निष्कर्ष निकाला, “यह समाज के लिए वास्तव में खतरनाक टाइम बम है, जो बड़े पैमाने पर इंटरनेट संचार में अंतर्निहित है। दुर्भाग्य से, डिजिटल स्वच्छता में सबसे उन्नत विशेषज्ञ भी इस खतरे से रक्षा नहीं कर सकता है।” “ऐसे जोखिमों से निपटने के लिए एक प्रभावी उपकरण केवल विशेषज्ञों द्वारा साइबर खुफिया डेटा के साथ काम करने के कौशल की व्यापक महारत और उन सभी संगठनों में इस प्रकार की प्रणालियों का व्यापक प्रसार हो सकता है जो वास्तव में ग्राहक डेटा में रुचि रखते हैं।”
