S3 Ep139: পাসওয়ার্ডের নিয়ম কি বৃষ্টির মধ্য দিয়ে চলার মত?

S3 Ep139: পাসওয়ার্ডের নিয়ম কি বৃষ্টির মধ্য দিয়ে চলার মত?

সময় স্ট্যাম্প: 15 জুন, 2023 12:43 অপরাহ্ন
S3 Ep139: পাসওয়ার্ডের নিয়ম কি বৃষ্টির মধ্য দিয়ে চলার মত? PlatoBlockchain ডেটা ইন্টেলিজেন্স। উল্লম্ব অনুসন্ধান. আ.
by পল ডকলিন

একটি বদ অভ্যাস মধ্যে পেতে না

চৌম্বকীয় মূল মেমরি। প্যাচ মঙ্গলবার এবং SketchUp shenanigans. আরও সরান প্রশমন. মাউন্ট গক্স পিছনে খবরে. গোজি ম্যালওয়্যার অপরাধী শেষ পর্যন্ত বন্দী। পাসওয়ার্ডের মত নিয়ম আছে বৃষ্টির মধ্য দিয়ে চলছে?

নিচে কোন অডিও প্লেয়ার? শুনুন সরাসরি সাউন্ডক্লাউডে।

ডগ আমথ এবং পল ডকলিনের সাথে। ইন্ট্রো এবং আউটরো সঙ্গীত দ্বারা এডিথ মুজ.

আপনি আমাদের শুনতে পারেন সাউন্ডক্লাউড, অ্যাপল পডকাস্ট, গুগল পডকাস্ট, Spotify এর, Stitcher এবং যে কোন জায়গায় ভাল পডকাস্ট পাওয়া যায়। অথবা শুধু ড্রপ আমাদের RSS ফিডের URL আপনার প্রিয় পডক্যাচারে।

ট্রান্সক্রিপ্ট পড়ুন

DOUG.  প্যাচ মঙ্গলবার, সাইবার ক্রাইম উপস্থিতি, এবং পাসওয়ার্ড দিয়ে মজা.

নেকেড সিকিউরিটি পডকাস্টে এই সমস্ত এবং আরও অনেক কিছু।

[মিউজিক্যাল মডেম]

পডকাস্টে স্বাগতম, সবাইকে।

আমি ডগ আমথ; তিনি পল ডাকলিন।

পল, তুমি আজ কেমন আছ?

হাঁস.  ডগ, আমার এটা বলা উচিত নয়... কিন্তু কারণ আমি জানি কি আসছে প্রযুক্তির ইতিহাসে এই সপ্তাহ, কারণ আপনি আমাকে একটি পূর্বরূপ দিয়েছেন, আমি খুব উত্তেজিত!

DOUG.  ঠিক আছে, ঠিক আছে, এর অধিকার পেতে দিন!

এই সপ্তাহে, 15 জুন, 1949 সালে ফিরে আসার পথে, জে ফরেস্টার, যিনি ম্যাসাচুসেটস ইনস্টিটিউট অফ টেকনোলজি বা এমআইটির একজন অধ্যাপক ছিলেন, লিখেছিলেন…

হাঁস.  [মক ড্রামা] বলবেন না যে আপনি বোস্টন থেকে এসেছেন এবং আপনি এটি নিয়ে তুচ্ছ মনে করছেন, ডগ? [হাসি]

DOUG.  আরে, এটা একটা সুন্দর ক্যাম্পাস; আমি অনেকবার সেখানে গিয়েছি।

হাঁস.  এটাও এক ধরনের বিখ্যাত ইঞ্জিনিয়ারিং স্কুল, তাই না? [হাসি]

DOUG.  এটা নিশ্চিত যে!

জে ফরেস্টার তার নোটবুকে "কোর মেমরি" এর জন্য একটি প্রস্তাব লিখেছিলেন এবং পরে এমআইটি-এর ঘূর্ণি কম্পিউটারে চৌম্বকীয় মূল মেমরি ইনস্টল করবেন।

এই আবিষ্কার কম্পিউটারকে আরও নির্ভরযোগ্য এবং দ্রুততর করে তুলেছে।

1970 এর দশকে সেমিকন্ডাক্টরগুলির বিকাশ না হওয়া পর্যন্ত কোর মেমরি কম্পিউটার স্টোরেজের জন্য জনপ্রিয় পছন্দ ছিল।

হাঁস.  এটি একটি চমত্কারভাবে সহজ ধারণা একবার আপনি জানেন কিভাবে এটি কাজ করে।

ছোট ছোট ফেরাইট চৌম্বকীয় কোর, যেমন আপনি একটি ট্রান্সফরমারের কেন্দ্রে পাবেন... যেমন সুপার-মিনিয়েচার ওয়াশার।

শূন্য বা এক বোঝাতে তারা ঘড়ির কাঁটার দিকে বা বিপরীত দিকে চৌম্বকযুক্ত ছিল।

এটি আক্ষরিকভাবে চৌম্বকীয় স্টোরেজ ছিল।

এবং এর মজাদার বৈশিষ্ট্য ছিল, ডগলাস, কারণ ফেরাইট মূলত একটি স্থায়ী চুম্বক গঠন করে…

…আপনি এটিকে পুনরায় চুম্বকীয়করণ করতে পারেন, কিন্তু আপনি যখন শক্তি বন্ধ করেন, তখন এটি চুম্বকীয় থাকে।

তাই এটা অস্থির ছিল!

আপনার যদি পাওয়ার ব্যর্থতা থাকে তবে আপনি মূলত কম্পিউটার পুনরায় চালু করতে পারেন এবং আপনি যেখান থেকে ছেড়েছিলেন সেখানে চালিয়ে যেতে পারেন।

অ্যামেজিং!

DOUG.  অসামান্য, হ্যাঁ… এটা সত্যিই চমৎকার.

হাঁস.  স্পষ্টতই, MIT-এর মূল পরিকল্পনা ছিল ধারণাটির প্রতি বিট প্রতি US$0.02 এর রয়্যালটি চার্জ করা।

আপনি কি কল্পনা করতে পারেন যে এটি একটি 64 গিগাবাইট আইফোন মেমরি কতটা ব্যয়বহুল করবে?

এটা বিলিয়ন ডলারের মধ্যে হবে! [হাসি]

DOUG.  অবাস্তব।

ঠিক আছে, কিছু আকর্ষণীয় ইতিহাস, তবে আসুন এটিকে আধুনিক দিনে নিয়ে আসা যাক।

খুব বেশি দিন আগে নয়... মাইক্রোসফট প্যাচ মঙ্গলবার।

কোন শূন্য-দিন, কিন্তু এখনও অনেক সংশোধন, পল:

প্যাচ মঙ্গলবার 4টি জটিল RCE বাগ এবং একগুচ্ছ অফিস হোল ঠিক করে

হাঁস.  ওয়েল, এই মাসে কোন শূন্য-দিন নেই যদি আপনি উপেক্ষা করেন যে এজ রিমোট কোড এক্সিকিউশন হোল যা আমরা গত সপ্তাহে কথা বলেছি।

DOUG.  হুমমমম।

হাঁস.  প্রযুক্তিগতভাবে, এটি মঙ্গলবার প্যাচের অংশ নয়…

…কিন্তু মোট 26টি রিমোট কোড এক্সিকিউশন [RCE] বাগ ছিল এবং 17টি বিশেষাধিকারের উচ্চতা [EoP] বাগ ছিল।

এখানেই বদমাশরা ইতিমধ্যেই রয়েছে, কিন্তু তারা এখনও অনেক কিছু করতে পারে না, তাই তারা আপনার নেটওয়ার্কে সুপার পাওয়ার পেতে EoP বাগ ব্যবহার করে এবং আরও অনেক জঘন্য কাজ করে।

সেই রিমোট কোড এক্সিকিউশন বাগগুলির মধ্যে চারটি মাইক্রোসফ্ট দ্বারা "সমালোচনামূলক" হিসাবে ডাব করা হয়েছিল, যার অর্থ আপনি যদি সেই ব্যক্তিদের মধ্যে একজন হন যারা এখনও একটি নির্দিষ্ট ক্রমে আপনার প্যাচগুলি করতে পছন্দ করেন তবে আমরা আপনাকে সেইগুলির সাথে শুরু করার পরামর্শ দিই৷

চারটি সমালোচনামূলক প্যাচ সম্পর্কে ভাল খবর হল যে তাদের মধ্যে তিনটি একই উইন্ডোজ উপাদানের সাথে সম্পর্কিত।

যতদূর আমি আউট করতে পারি, এটি সম্পর্কিত বাগগুলির একটি গুচ্ছ ছিল, সম্ভবত সেই উপাদানটির কোনও ধরণের কোড পর্যালোচনার সময় পাওয়া গেছে।

যা Windows মেসেজিং পরিষেবার সাথে সম্পর্কিত, যদি আপনি এটি আপনার নেটওয়ার্কে ব্যবহার করেন।

DOUG.  এবং SketchUp বিপর্যয়ের সাথে আমাদের ধৈর্যের জন্য আমরা সকলকে সম্মিলিতভাবে ধন্যবাদ জানাই, যা আমি এখনও অবধি বিদ্যমান ছিল না জানতাম।

হাঁস.  আপনার মত, ডগ, আমি কখনই SketchUp নামক এই প্রোগ্রামটি ব্যবহার করিনি, যা আমি বিশ্বাস করি একটি তৃতীয় পক্ষের 3D গ্রাফিক্স প্রোগ্রাম।

কে জানত যে আপনার Word, Excel, PowerPoint নথিতে SketchUp 3D ছবি ড্রপ করতে সক্ষম হওয়া সত্যিই দুর্দান্ত হবে?

যেমন আপনি কল্পনা করতে পারেন, অফিসের ভিতরে পার্স করতে, ব্যাখ্যা করতে, প্রক্রিয়া করতে, রেন্ডার করার জন্য একটি একেবারে নতুন ফাইল ফর্ম্যাট সহ...

…Microsoft একটি বাগ প্রবর্তন করেছে যা CVE-2023-33146 হিসাবে সংশোধন করা হয়েছে।

কিন্তু লুকানো গল্প-আড়ালে-দ্য-স্টোরি, যদি আপনি পছন্দ করেন, তা হল 01 জুন 2023-এ, মাইক্রোসফ্ট ঘোষণা করেছে যে:

Windows এবং Mac-এর জন্য Word, Excel, PowerPoint এবং Outlook-এ SketchUp গ্রাফিক্স সন্নিবেশ করার ক্ষমতা সাময়িকভাবে অক্ষম করা হয়েছে।

আমরা আপনার ধৈর্যের প্রশংসা করি কারণ আমরা এই বৈশিষ্ট্যটির নিরাপত্তা এবং কার্যকারিতা নিশ্চিত করার জন্য কাজ করি৷

আমি আনন্দিত যে মাইক্রোসফ্ট আমার ধৈর্যের প্রশংসা করে, তবে আমি সম্ভবত চাই যে মাইক্রোসফ্ট নিজেই প্রথম স্থানে এই বৈশিষ্ট্যটি অফিসে প্রবর্তন করার আগে আরও কিছুটা ধৈর্যশীল ছিল।

আমি আশা করি যে তারা এটি নিরাপদ ছিল কিনা তা দেখার জন্য এটি স্থাপন করার পরিবর্তে * এর পরে * এটি সেখানে রাখত এবং আপনি যেমন বলছেন (আশ্চর্য! আশ্চর্য!), এটি ছিল না।

DOUG.  গ্রেট।

আসুন ধৈর্যের বিষয়টিতে আটকে যাই।

আমি বলেছিলাম যে আমরা "এদিকে নজর রাখব", এবং আমি আশা করেছিলাম যে আমাদের এটির উপর নজর রাখার প্রয়োজন হবে না।

কিন্তু আমরা একটি বিট অনুপ্রাণিত আছে, যেমন আপনি শিরোনামে করেছেন.

আরও MOVEit প্রশমন: আরও সুরক্ষার জন্য প্রকাশিত নতুন প্যাচ, পল।

আরও MOVEit প্রশমন: আরও সুরক্ষার জন্য প্রকাশিত নতুন প্যাচ

হাঁস.  এটা যে ভাল পুরানো MOVEit সমস্যা আবার: এসকিউএল ইনজেকশন বাগ.

এর মানে হল যে আপনি যদি MOVEit ট্রান্সফার প্রোগ্রামটি ব্যবহার করেন এবং আপনি এটি প্যাচ না করে থাকেন, তাহলে যারা ওয়েব-ভিত্তিক ফ্রন্ট এন্ড অ্যাক্সেস করতে পারে তারা আপনার সার্ভারকে খারাপ কাজ করার জন্য প্রতারণা করতে পারে...

… পর্যন্ত এবং একটি ওয়েবশেল এম্বেড করা সহ যা তাদের পরে ঘুরে বেড়াতে দেবে এবং তারা যা চায় তাই করবে।

আপনি জানেন যে, সেখানে একটি CVE জারি করা হয়েছিল, এবং অগ্রগতি সফ্টওয়্যার, MOVEit-এর নির্মাতারা, বন্যের পরিচিত শোষণের সাথে মোকাবিলা করার জন্য একটি প্যাচ তৈরি করেছিল।

তাদের কাছে এখন অনুরূপ বাগগুলির সাথে মোকাবিলা করার জন্য আরেকটি প্যাচ রয়েছে যেগুলি যতদূর তারা জানে, বদমাশরা এখনও খুঁজে পায়নি (তবে যদি তারা যথেষ্ট কঠোরভাবে দেখে তবে তারা হতে পারে)।

এবং, যতটা অদ্ভুত শোনায়, যখন আপনি দেখতে পান যে আপনার সফ্টওয়্যারের একটি নির্দিষ্ট অংশে একটি নির্দিষ্ট ধরণের বাগ রয়েছে, আপনি যখন গভীরে খনন করেন তখন আপনার অবাক হওয়া উচিত নয়…

…আপনি দেখতে পাচ্ছেন যে প্রোগ্রামার (অথবা প্রোগ্রামিং টিম যারা এটিতে কাজ করেছিল যখন আপনি ইতিমধ্যে যে বাগটি সম্পর্কে জানেন তা চালু হয়েছে) একই সময়ে একই ধরণের ত্রুটি করেছে।

এই ক্ষেত্রে খুব ভাল হয়েছে, আমি বলব, প্রোগ্রেস সফটওয়্যারকে এটি সক্রিয়ভাবে মোকাবেলা করার চেষ্টা করার জন্য।

অগ্রগতি সফটওয়্যার শুধু বলেছে, “অল মুভ ইট গ্রাহকদের অবশ্যই 09 জুন 2023-এ প্রকাশিত নতুন প্যাচটি প্রয়োগ করতে হবে।

DOUG.  ঠিক আছে, আমি অনুমান করি আমরা করব... যেটার দিকে নজর রাখুন!

পল, আমাকে এখানে সাহায্য করুন.

আমি 2023 সালে আছি, এ পড়ছি নগ্ন নিরাপত্তা শিরোনাম মাউন্ট সম্পর্কে কিছু গক্স।"

আমার সাথে এসব কি হচ্ছে?

ইতিহাস পুনর্বিবেচনা করা হয়েছে: ইউএস ডিওজে মাউন্ট গক্স সাইবার ক্রাইম চার্জ মুক্ত করেছে

হাঁস.  মাউন্ট গক্স!

"ম্যাজিক দ্য গ্যাদারিং অনলাইন এক্সচেঞ্জ", ডগ, যেমনটি ছিল...

DOUG.  [হাসি] অবশ্যই!

হাঁস.  …যেখানে আপনি ম্যাজিক দ্য গ্যাদারিং কার্ড ট্রেড করতে পারেন।

সেই ডোমেনটি বিক্রি হয়ে গেছে, এবং যাদের দীর্ঘ স্মৃতি আছে তারা জানবে যে এটি সবচেয়ে জনপ্রিয় এবং গ্রহের সবচেয়ে বড় বিটকয়েন বিনিময়ে পরিণত হয়েছে।

এটি জাপানের বাইরে একজন ফরাসি প্রবাসী মার্ক কার্পেলেস দ্বারা পরিচালিত হয়েছিল।

2014 সালে ক্রিপ্টোকারেন্সি ধূলিকণার ঝাঁকে ঝাঁকে পড়ার আগ পর্যন্ত এটি সবই সাঁতার কাটছিল, যখন তারা বুঝতে পেরেছিল যে, আলগাভাবে বলতে গেলে, তাদের সমস্ত বিটকয়েন অদৃশ্য হয়ে গেছে।

DOUG.  [হাসি] আমার হাসতে হবে না!

হাঁস.  তাদের মধ্যে 647,000 বা অন্য কিছু।

এবং তখনও, তারা ইতিমধ্যেই প্রায় $800 একটি পপ মূল্যের ছিল, যাতে এটি ছিল অর্ধ-বিলিয়ন মার্কিন ডলার মূল্যের "পাফ"।

কৌতূহলজনকভাবে, সেই সময়ে, মাউন্ট গক্স দলের দিকেই অনেক আঙুল দেখিয়ে বলেছিল, "ওহ, এটি অবশ্যই একটি অভ্যন্তরীণ কাজ হতে হবে।"

এবং প্রকৃতপক্ষে, নববর্ষের দিনে, আমি মনে করি এটি ছিল, 2015 সালে, ইয়োমিউরি শিম্বুন নামে একটি জাপানি সংবাদপত্র আসলে একটি নিবন্ধ প্রকাশ করেছিল যে, "আমরা এটি দেখেছি, এবং 1% ক্ষতির ব্যাখ্যা করা যেতে পারে তাদের অজুহাত দ্বারা সঙ্গে এসেছি; বাকিদের জন্য, আমরা রেকর্ডে যাচ্ছি এই বলে যে এটি একটি অভ্যন্তরীণ কাজ ছিল।"

এখন, তারা যে নিবন্ধটি প্রকাশ করেছে, যেটি অনেক নাটকীয়তার কারণ হয়েছে কারণ এটি একটি নাটকীয় অভিযোগ, এখন আপনি যখন এটিতে যান তখন একটি 404 ত্রুটি [HTTP পৃষ্ঠা পাওয়া যায়নি] দেয়।

DOUG.  অনেক আগ্রহব্যাঞ্জক!

হাঁস.  তাই আমি মনে করি না তারা আর এর পাশে দাঁড়াবে।

এবং, প্রকৃতপক্ষে, মার্কিন যুক্তরাষ্ট্রে ডিপার্টমেন্ট অফ ডিপার্টমেন্ট [DOJ] অবশেষে, শেষ পর্যন্ত, এত বছর পরে, প্রকৃতপক্ষে দুই রাশিয়ান নাগরিককে মূলত সমস্ত বিটকয়েন চুরি করার জন্য অভিযুক্ত করেছে।

সুতরাং এটা শোনা যাচ্ছে যে মার্কিন বিচার বিভাগের সৌজন্যে মার্ক কার্পেলেস অন্তত আংশিক অব্যাহতি পেয়েছেন, কারণ তারা নিশ্চিতভাবেই এই দুই রাশিয়ান চ্যাপকে এই অপরাধের জন্য এত বছর আগে ফ্রেমে রেখেছে।

DOUG.  এটি একটি আকর্ষণীয় পড়া.

তাই নেকেড সিকিউরিটিতে এটি পরীক্ষা করে দেখুন।

আপনাকে যা করতে হবে তা হল অনুসন্ধান, আপনি অনুমান করেছেন, “মাউন্ট। গক্স"।

আসুন সাইবার ক্রাইমের বিষয়ে থাকি, কারণ গোজি ব্যাঙ্কিং ম্যালওয়্যারের পিছনে অন্যতম প্রধান অপরাধী জেলে অবতরণ করেন দীর্ঘ দশ বছর পর, পল:

গোজি ব্যাঙ্কিং ম্যালওয়্যার "আইটি প্রধান" অবশেষে 10 বছরেরও বেশি সময় পরে কারাগারে

হাঁস.  হ্যাঁ… এটা একটু বাসের জন্য অপেক্ষা করার মত ছিল.

দুটি আশ্চর্যজনক "বাহ, এটি দশ বছর আগে ঘটেছিল, তবে আমরা তাকে শেষ পর্যন্ত পাব" গল্পগুলি একবারে এসেছিল। [হাসি]

এবং এটিকে, আমি ভেবেছিলাম, আবার লিখতে হবে, শুধু বলতে হবে, “এটি বিচার বিভাগ; তারা তাকে ভুলে যায়নি।"

আসলে কলম্বিয়ায় তাকে গ্রেফতার করা হয়।

আমি বিশ্বাস করি তিনি একটি পরিদর্শন করেছেন, এবং তিনি বোগোটা বিমানবন্দরে ছিলেন, এবং আমার ধারণা সীমান্ত কর্মকর্তারা ভেবেছিলেন, "ওহ, এই নামটি একটি ঘড়ির তালিকায় রয়েছে"!

এবং তাই স্পষ্টতই কলম্বিয়ার কর্মকর্তারা ভেবেছিলেন, "আসুন মার্কিন কূটনৈতিক পরিষেবার সাথে যোগাযোগ করা যাক।"

তারা বলল, “আরে, আমরা এখানে একটি চ্যাপ ধরেছি যার নাম (আমি তার নাম উল্লেখ করব না – এটি নিবন্ধে আছে)।. আপনি খুব গুরুতর বহু মিলিয়ন ডলারের ম্যালওয়্যার অপরাধের সাথে সম্পর্কিত তার প্রতি আগ্রহী ছিলেন। . আপনি কি এখনও আগ্রহী, কোন সুযোগ দ্বারা?"

এবং, কি আশ্চর্য, ডগ, মার্কিন যুক্তরাষ্ট্র সত্যিই খুব আগ্রহী ছিল.

তাই, তাকে প্রত্যর্পণ করা হয়েছে, আদালতের মুখোমুখি হয়েছে, দোষী সাব্যস্ত হয়েছে এবং তাকে এখন সাজা দেওয়া হয়েছে।

তিনি শুধুমাত্র তিন বছরের জেল পাবেন, যা হালকা সাজা বলে মনে হতে পারে এবং তাকে $3,000,000 এর বেশি ফেরত দিতে হবে।

আমি জানি না যদি সে না করে তবে কি হবে, তবে আমি অনুমান করি এটি কেবল একটি অনুস্মারক যে ম্যালওয়্যার সম্পর্কিত অপরাধ থেকে দৌড়ানো এবং লুকিয়ে রাখা…

...ঠিক আছে, যদি আপনার বিরুদ্ধে অভিযোগ থাকে এবং মার্কিন যুক্তরাষ্ট্র আপনাকে খুঁজছে, তারা শুধু যাবে না, "আহ, এটি দশ বছর, আমরাও এটি ছেড়ে দিতে পারি।"

এবং এই লোকটির অপরাধপ্রবণতা চলছিল যা পরিভাষায় "বুলেটপ্রুফ হোস্ট", ডগ হিসাবে পরিচিত।

এটি মূলত যেখানে আপনি একজন ISP-এর মতো, কিন্তু একটি নিয়মিত ISP থেকে ভিন্ন, আপনি আইন প্রয়োগকারী, ব্লকলিস্ট এবং নিয়মিত ISP থেকে টেকডাউন নোটিশের জন্য একটি চলমান লক্ষ্য হতে আপনার পথের বাইরে চলে যান।

সুতরাং, আপনি পরিষেবাগুলি প্রদান করেন, কিন্তু আপনি যদি চান তবে আপনি সেগুলি রাখেন, ইন্টারনেটে ঘুরতে ঘুরতে এবং ঘুরতে ঘুরতে, যাতে বদমাশরা আপনাকে একটি পারিশ্রমিক প্রদান করে এবং তারা জানে যে আপনি তাদের জন্য যে ডোমেনগুলি হোস্ট করছেন তা কেবল চালিয়ে যাবে কাজ করছে, এমনকি যদি আইন প্রয়োগকারীরা আপনার পিছনে থাকে।

DOUG.  ঠিক আছে, আবার দারুণ খবর।

পল, আপনি, যখন আমরা দিনের জন্য আমাদের গল্পগুলিকে বৃত্তাকার করেছি, একটি খুব কঠিন, সংক্ষিপ্ত, তবুও গুরুত্বপূর্ণ প্রশ্ন পাসওয়ার্ড সম্পর্কে।

যথা, আমাদের কি প্রতিনিয়ত এগুলিকে ঘূর্ণায়মান পরিবর্তন করা উচিত, সম্ভবত মাসে একবার?

অথবা শুরু করার জন্য সত্যিই জটিলগুলি লক করুন এবং তারপরে একা একা রেখে দিন?

নির্ধারিত পাসওয়ার্ড পরিবর্তনের বিষয়ে চিন্তাভাবনা (এগুলিকে ঘূর্ণন বলবেন না!)

হাঁস.  যদিও এটি একটি পুরানো গল্পের মতো শোনাচ্ছে, এবং প্রকৃতপক্ষে এটি এমন একটি যা আমরা আগে অনেকবার পরিদর্শন করেছি, আমি এটি লিখেছি কারণ একজন পাঠক এই জিনিসটি সম্পর্কে জিজ্ঞাসা করার জন্য আমার সাথে যোগাযোগ করেছিলেন।

তিনি বলেন, “আমি 2FA-এর জন্য ব্যাট করতে চাই না; আমি পাসওয়ার্ড পরিচালকদের জন্য ব্যাটে যেতে চাই না। এগুলো আলাদা বিষয়। আমি শুধু জানতে চাই কিভাবে মীমাংসা করা যায়, যদি আপনি চান, আমার কোম্পানির অভ্যন্তরে দুটি উপদলের মধ্যে যুদ্ধ, যেখানে কিছু লোক বলছে আমাদের সঠিকভাবে পাসওয়ার্ড করতে হবে, এবং অন্যরা শুধু বলছে, 'ওই নৌকাটি যাত্রা করেছে, এটা খুব কঠিন, আমরা কেবল লোকেদের তাদের পরিবর্তন করতে বাধ্য করব এবং এটি যথেষ্ট ভাল হবে।

তাই আমি ভেবেছিলাম এটি আসলে এটি সম্পর্কে লেখার মূল্য ছিল।

নেকেড সিকিউরিটি এবং সোশ্যাল মিডিয়াতে মন্তব্যের সংখ্যা বিচার করে, অনেক আইটি দল এখনও এটির সাথে কুস্তি করছে।

আপনি যদি প্রতি 30 দিন বা 60 দিনে লোকেদের তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করেন, তবে তাদের হ্যাশ চুরি হয়ে গেলে তারা বিশেষভাবে ক্র্যাকযোগ্য এমন একটি চয়ন করলে কি সত্যিই কিছু যায় আসে?

যতক্ষণ না তারা নির্বাচন না করে password or secret বা বিশ্বের সেরা দশটি বিড়ালের নামগুলির মধ্যে একটি, হয়ত এটা ঠিক আছে যদি আমরা তাদের অন্য একটি খুব ভালো পাসওয়ার্ড পরিবর্তন করতে বাধ্য করি না কেন বদমাশরা এটি ক্র্যাক করতে সক্ষম হবে?

হয়তো যে শুধু যথেষ্ট ভাল?

তবে আমার কাছে তিনটি কারণ রয়েছে যে আপনি অন্য একটি খারাপ অভ্যাস অনুসরণ করে একটি খারাপ অভ্যাস ঠিক করতে পারবেন না।

DOUG.  গেটের বাইরে প্রথমটি: নিয়মিত পাসওয়ার্ড পরিবর্তন করা শক্তিশালী পাসওয়ার্ড বেছে নেওয়া এবং ব্যবহার করার বিকল্প নয়, পল।

হাঁস.  না!

আপনি উভয়ই বেছে নিতে পারেন (এবং আমি আপনাকে এক মিনিটের মধ্যে দুটি কারণ দেব কেন আমি মনে করি লোকেদের নিয়মিত তাদের পরিবর্তন করতে বাধ্য করার আরও একটি সমস্যা রয়েছে)।

কিন্তু সহজ পর্যবেক্ষণ হল যে একটি খারাপ পাসওয়ার্ড নিয়মিত পরিবর্তন করলে এটি একটি ভাল পাসওয়ার্ড হয়ে যায় না।

আপনি যদি একটি ভাল পাসওয়ার্ড চান, শুরু করার জন্য একটি ভাল পাসওয়ার্ড চয়ন করুন!

DOUG.  এবং আপনি বলেন: লোকেদের নিয়মিতভাবে তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করা তাদের খারাপ অভ্যাসে পরিণত করতে পারে।

হাঁস.  মন্তব্য দ্বারা বিচার, এটা ঠিক সমস্যা যে অনেক আইটি দলের আছে.

আপনি যদি লোকেদের বলেন, "আরে, আপনাকে প্রতি 30 দিনে আপনার পাসওয়ার্ড পরিবর্তন করতে হবে এবং আপনি একটি ভাল পাসওয়ার্ড বেছে নিন," তারা যা করবে তা হল...

…তারা ভালো একটা বেছে নেবে।

তারা তাদের বাকি জীবনের জন্য এটি স্মৃতিতে প্রতিশ্রুতিবদ্ধ করে এক সপ্তাহ ব্যয় করবে।

এবং তারপর প্রতি মাসে তারা যোগ করব -01, -02, এবং তাই।

তাই যদি বদমাশরা কোনো একটি পাসওয়ার্ড ক্র্যাক করে বা আপস করে, এবং তারা সেরকম একটি প্যাটার্ন দেখতে পায়, তাহলে তারা প্রায় ছয় মাস আগে থেকে আপনার পাসওয়ার্ড জানলে আজ আপনার পাসওয়ার্ড কী তা নির্ধারণ করতে পারে।

তাই যেখানে প্রয়োজন না হলে জোর করে পরিবর্তন করা মানুষকে সাইবার সিকিউরিটি শর্টকাট নিতে বাধ্য করতে পারে যা আপনি তাদের করতে চান না।

DOUG.  এবং এই একটি আকর্ষণীয় এক.

আমরা আগে এই সম্পর্কে কথা বলেছি, কিন্তু এটি এমন কিছু যা কিছু লোক হয়তো ভাবেনি: পাসওয়ার্ড পরিবর্তনের সময়সূচী জরুরি প্রতিক্রিয়া বিলম্বিত করতে পারে।

এর মানে কি বোঝাতে চাচ্ছো?

হাঁস.  মোদ্দা কথা হল আপনার যদি পাসওয়ার্ড পরিবর্তনের জন্য একটি আনুষ্ঠানিক, নির্দিষ্ট সময়সূচী থাকে যাতে সবাই জানে যে যখন এই মাসের শেষ দিন আসে, তারা যেভাবেই হোক তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য হবে...

... এবং তারপর তারা ভাবে, "আপনি কি জানেন? এটি মাসের 12 তারিখ, এবং আমি একটি ওয়েবসাইটে গিয়েছিলাম যেটি একটি ফিশিং সাইট হতে পারে সে সম্পর্কে আমি নিশ্চিত নই৷ ঠিক আছে, আমি যাইহোক দুই সপ্তাহের মধ্যে আমার পাসওয়ার্ড পরিবর্তন করতে যাচ্ছি, তাই আমি এখন গিয়ে এটি পরিবর্তন করব না।"

সুতরাং, আপনার পাসওয়ার্ডগুলি *নিয়মিত* পরিবর্তন করার মাধ্যমে, আপনি এমন অভ্যাসে পরিণত হতে পারেন যেখানে কখনও কখনও, যখন এটি সত্যিই গুরুত্বপূর্ণ, আপনি আপনার পাসওয়ার্ড *ঘনঘন* যথেষ্ট পরিবর্তন করেন না।

যদি এবং যখন আপনি মনে করেন যে আপনার পাসওয়ার্ড পরিবর্তন করার একটি ভাল কারণ আছে, এখনই এটি করুন!

DOUG.  আমি এটা ভালোবাসি!

ঠিক আছে, আসুন পাসওয়ার্ডের অংশে আমাদের পাঠকদের একজনের কাছ থেকে শুনি।

নগ্ন নিরাপত্তা পাঠক ফিলিপ লিখেছেন, অংশে:

আপনার পাসওয়ার্ডগুলি প্রায়শই পরিবর্তন করা যাতে আপস না হয় তা ভাবার মতো যে আপনি যদি যথেষ্ট দ্রুত দৌড়ান তবে আপনি সমস্ত বৃষ্টির ফোঁটা এড়াতে পারবেন।

ঠিক আছে, আপনি আপনার পিছনে পড়ে থাকা বৃষ্টির ফোঁটাগুলিকে এড়িয়ে যাবেন, তবে আপনি যেখানে যাচ্ছেন ঠিক ততগুলিই থাকবে।

এবং, নিয়মিত তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করা হলে, একটি খুব বড় সংখ্যক লোক কেবল একটি সংখ্যা যুক্ত করবে যা তারা প্রয়োজন অনুসারে বৃদ্ধি করতে পারে।

আপনি যেমন বলেছেন, পল!

হাঁস.  আপনার এবং আমার বন্ধু, চেস্টার [উইসনিউস্কি] বলেছিলেন, কয়েক বছর আগে যখন আমরা কথা বলছিলাম পাসওয়ার্ড মিথ, “তাদের যা করতে হবে [হাসি], সংখ্যাটি শেষে কী আছে তা বের করতে, আপনার লিঙ্কডইন পৃষ্ঠায় যেতে হবে। 'এই কোম্পানিতে 2017 সালের আগস্টে শুরু হয়েছে'... তারপর থেকে মাসের সংখ্যা গণনা করুন।"

যে সংখ্যা আপনি শেষে প্রয়োজন.

Sophos Techknow - পাসওয়ার্ড মিথগুলিকে ধ্বংস করা

DOUG.  হুবহু ! [হাসি]

হাঁস.  এবং সমস্যা আসে যে যখন আপনি চেষ্টা করুন এবং সময়সূচী, বা অ্যালগরিদমাইজ… এটা কি একটি শব্দ?

(এটি সম্ভবত হওয়া উচিত নয়, তবে আমি যাইহোক এটি ব্যবহার করব।)

আপনি যখন চেষ্টা করেন এবং এলোমেলোতা, এবং এনট্রপি, এবং অপ্রত্যাশিততার ধারণাটি গ্রহণ করেন এবং এটিকে কিছু অতি-কঠোর অ্যালগরিদমের সাথে সংযুক্ত করেন, যেমন অ্যালগরিদম যা বর্ণনা করে যে গাড়ির ট্যাগগুলিতে কীভাবে অক্ষর এবং সংখ্যাগুলি স্থাপন করা হয়, উদাহরণস্বরূপ…

…তারপর আপনি *কম* এলোমেলোতার সাথে শেষ করবেন, *আরো* নয়, এবং আপনাকে সে সম্পর্কে সচেতন হতে হবে।

সুতরাং, লোকেদের এমন কিছু করতে বাধ্য করা যা তাদের একটি প্যাটার্নের মধ্যে পড়ে যায়, যেমন চেস্টার সেই সময়ে বলেছিলেন, কেবল তাদের একটি খারাপ অভ্যাসের অভ্যাসের মধ্যে নিয়ে যাওয়া।

এবং আমি এটা নির্বাণ যে উপায় ভালোবাসি.

DOUG.  ঠিক আছে, এটি পাঠানোর জন্য আপনাকে অনেক ধন্যবাদ, ফিলিপ।

এবং যদি আপনার কাছে একটি আকর্ষণীয় গল্প, মন্তব্য বা প্রশ্ন থাকে যা আপনি জমা দিতে চান, আমরা পডকাস্টে এটি পড়তে চাই।

আপনি tips@sophos.com-এ ইমেল করতে পারেন, আমাদের যেকোনো একটি নিবন্ধে মন্তব্য করতে পারেন, অথবা সামাজিকভাবে আমাদের হিট করতে পারেন: @nakedsecurity.

এটাই আমাদের আজকের অনুষ্ঠান।

শোনার জন্য অনেক ধন্যবাদ.

পল ডকলিনের জন্য, আমি ডগ আমথ, আপনাকে মনে করিয়ে দিচ্ছি, পরের বার পর্যন্ত,...

উভয়।  নিরাপদ থাকুন!

[মিউজিক্যাল মডেম]

সময় স্ট্যাম্প:

থেকে আরো নগ্ন সুরক্ষা