S3 Ep139: क्या पासवर्ड नियम बारिश में चलने जैसे हैं?

S3 Ep139: क्या पासवर्ड नियम बारिश में चलने जैसे हैं?

टाइम स्टैम्प: 15 जून, 2023 दोपहर 12:43 बजे
S3 Ep139: क्या पासवर्ड नियम बारिश में चलने जैसे हैं? प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.
by पॉल डकलिन

बुरी आदत की आदत मत डालो

चुंबकीय कोर मेमोरी. पैच मंगलवार और स्केचअप शेंनिगन्स। अधिक MOVEit शमन. माउंट गोक्स वापस समाचार में। गोजी मैलवेयर अपराधी आख़िरकार कैद कर लिया गया। क्या पासवर्ड नियम जैसे हैं बारिश में दौड़ना?

नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।

डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.

आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।

प्रतिलेख पढ़ें

डौग  पैच मंगलवार, साइबर अपराध की घटना, और पासवर्ड के साथ मज़ा।

वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।

[संगीत मोडेम]

पॉडकास्ट में आपका स्वागत है, सब लोग।

मैं डौग आमोत हूँ; वह पॉल डकलिन है।

पॉल, आज आप कैसे हैं?

बत्तख।  डौग, मुझे यह नहीं कहना चाहिए... लेकिन क्योंकि मुझे पता है कि क्या होने वाला है टेक इतिहास में यह सप्ताह, क्योंकि आपने मुझे पूर्वावलोकन दिया, मैं बहुत उत्साहित हूँ!

डौग  ठीक है, ठीक है, चलिए सीधे इस पर आते हैं!

इस सप्ताह, 15 जून को, 1949 में, जे फॉरेस्टर, जो मैसाचुसेट्स इंस्टीट्यूट ऑफ टेक्नोलॉजी, या एमआईटी में प्रोफेसर थे, ने लिखा...

बत्तख।  [मॉक ड्रामा] ऐसा मत कहो जैसे कि तुम बोस्टन से हो और तुम इसके बारे में पूरी तरह से आत्मसंतुष्ट हो, डौग? [हँसी]

डौग  अरे, यह एक सुंदर परिसर है; मैं वहां कई बार गया हूं.

बत्तख।  यह एक प्रकार का प्रसिद्ध इंजीनियरिंग स्कूल भी है, है ना? [हंसते हुए]

डौग  यह निश्चित है!

जे फॉरेस्टर ने अपनी नोटबुक में "कोर मेमोरी" के लिए एक प्रस्ताव लिखा, और बाद में एमआईटी के व्हर्लविंड कंप्यूटर पर चुंबकीय कोर मेमोरी स्थापित की।

इस आविष्कार ने कंप्यूटर को अधिक विश्वसनीय और तेज़ बना दिया।

1970 के दशक में सेमीकंडक्टर्स के विकास तक कोर मेमोरी कंप्यूटर स्टोरेज के लिए लोकप्रिय विकल्प बनी रही।

बत्तख।  एक बार जब आप जान लें कि यह कैसे काम करता है तो यह एक बेहद सरल विचार है।

छोटे छोटे फेराइट चुंबकीय कोर, जैसे कि आप ट्रांसफार्मर के केंद्र में पाते हैं... सुपर-लघु वॉशर की तरह।

वे या तो दक्षिणावर्त या वामावर्त दिशा में चुम्बकित होते थे, अर्थात शून्य या एक।

यह वस्तुतः चुंबकीय भंडारण था।

और इसमें अजीब विशेषता थी, डगलस, क्योंकि फेराइट अनिवार्य रूप से एक स्थायी चुंबक बनाता है...

...आप इसे पुनः चुम्बकित कर सकते हैं, लेकिन जब आप बिजली बंद कर देते हैं, तो यह चुम्बकित ही रहता है।

तो यह गैर-वाष्पशील था!

यदि आपके पास बिजली की विफलता है, तो आप मूल रूप से कंप्यूटर को पुनरारंभ कर सकते हैं और वहीं से आगे बढ़ सकते हैं जहां आपने छोड़ा था।

गजब का!

डौग  उत्कृष्ट, हाँ... यह सचमुच बहुत बढ़िया है।

बत्तख।  जाहिर तौर पर, एमआईटी की मूल योजना इस विचार पर प्रति बिट 0.02 अमेरिकी डॉलर की रॉयल्टी वसूलने की थी।

क्या आप कल्पना कर सकते हैं कि 64 गीगाबाइट iPhone मेमोरी कितनी महंगी होगी?

यह अरबों डॉलर में होगा! [हंसते हुए]

डौग  अवास्तविक।

खैर, कुछ दिलचस्प इतिहास, लेकिन आइए इसे आधुनिक समय तक लेकर आएं।

बहुत समय पहले नहीं... माइक्रोसॉफ्ट पैच मंगलवार।

कोई शून्य-दिन नहीं, लेकिन फिर भी बहुत सारे सुधार, पॉल:

पैच ट्यूजडे 4 महत्वपूर्ण आरसीई बग, और कार्यालय छेद का एक गुच्छा ठीक करता है

बत्तख।  ठीक है, यदि आप उस एज रिमोट कोड निष्पादन छेद को अनदेखा करते हैं जिसके बारे में हमने पिछले सप्ताह बात की थी, तो इस महीने कोई शून्य-दिन नहीं होगा।

डौग  हम्म्म्मम्म।

बत्तख।  तकनीकी रूप से, यह पैच मंगलवार का हिस्सा नहीं है...

...लेकिन कुल 26 रिमोट कोड निष्पादन [आरसीई] बग थे, और 17 एलिवेशन-ऑफ-प्रिविलेज [ईओपी] बग थे।

यहीं पर बदमाश पहले से ही मौजूद हैं, लेकिन वे अभी तक बहुत कुछ नहीं कर सकते हैं, इसलिए वे आपके नेटवर्क पर सुपरपावर प्राप्त करने के लिए ईओपी बग का उपयोग करते हैं, और बहुत अधिक घृणित काम करते हैं।

उन रिमोट कोड निष्पादन बगों में से चार को माइक्रोसॉफ्ट द्वारा "क्रिटिकल" करार दिया गया था, जिसका अर्थ है कि यदि आप उन लोगों में से एक हैं जो अभी भी अपने पैच को एक विशिष्ट क्रम में करना पसंद करते हैं, तो हमारा सुझाव है कि आप उन्हीं से शुरुआत करें।

चार महत्वपूर्ण पैच के बारे में अच्छी खबर यह है कि उनमें से तीन एक ही विंडोज घटक से संबंधित हैं।

जहां तक ​​मैं समझ सकता हूं, यह संबंधित बगों का एक समूह था, संभवतः उस घटक की किसी प्रकार की कोड समीक्षा के दौरान पाया गया था।

जो विंडोज़ मैसेजिंग सेवा से संबंधित है, यदि आप अपने नेटवर्क में इसका उपयोग करते हैं।

डौग  और हम सभी को स्केचअप पराजय के साथ हमारे धैर्य के लिए सामूहिक रूप से धन्यवाद दिया गया है, जिसके बारे में मुझे अब तक पता नहीं था।

बत्तख।  आपकी तरह, डौग, मैंने कभी भी स्केचअप नामक इस प्रोग्राम का उपयोग नहीं किया है, जो मेरा मानना ​​है कि एक तृतीय-पक्ष 3D ग्राफ़िक्स प्रोग्राम है।

कौन जानता था कि आपके वर्ड, एक्सेल, पॉवरपॉइंट दस्तावेज़ों में स्केचअप 3डी छवियों को छोड़ने में सक्षम होना वास्तव में बहुत अच्छा होगा?

जैसा कि आप कल्पना कर सकते हैं, Office के अंदर पार्स करने, व्याख्या करने, संसाधित करने, प्रस्तुत करने के लिए बिल्कुल नए फ़ाइल स्वरूप के साथ...

...Microsoft ने एक बग पेश किया जिसे CVE-2023-33146 के रूप में ठीक किया गया था।

लेकिन अगर आप चाहें तो कहानी के पीछे छिपी कहानी यह है कि 01 जून 2023 को माइक्रोसॉफ्ट ने घोषणा की कि:

विंडोज़ और मैक के लिए वर्ड, एक्सेल, पावरपॉइंट और आउटलुक में स्केचअप ग्राफिक्स डालने की क्षमता अस्थायी रूप से अक्षम कर दी गई है।

हम आपके धैर्य की सराहना करते हैं क्योंकि हम इस सुविधा की सुरक्षा और कार्यक्षमता सुनिश्चित करने के लिए काम कर रहे हैं।

मुझे ख़ुशी है कि Microsoft मेरे धैर्य की सराहना करता है, लेकिन शायद मैं चाहता हूँ कि Office में पहली बार इस सुविधा को पेश करने से पहले Microsoft स्वयं थोड़ा और धैर्यवान होता।

काश, उन्होंने इसे सुरक्षित होने के *बाद* में वहां रखा होता, बजाय इसके कि इसे यह देखने के लिए रखा होता कि यह सुरक्षित है या नहीं और यह पता लगाने के बाद, जैसा कि आप कहते हैं (आश्चर्य! आश्चर्य!), कि यह सुरक्षित नहीं था।

डौग  अच्छा है।

आइए धैर्य के विषय पर कायम रहें।

मैंने कहा कि हम "इस पर नज़र रखेंगे", और मुझे उम्मीद थी कि हमें इस पर नज़र रखने की ज़रूरत नहीं होगी।

लेकिन हमें थोड़ा अनुप्रास जोड़ना होगा, जैसा आपने शीर्षक में किया था।

अधिक मूव मिटिगेशन: आगे की सुरक्षा के लिए प्रकाशित नए पैच, पॉल.

अधिक मूव मिटिगेशन: आगे की सुरक्षा के लिए प्रकाशित नए पैच

बत्तख।  यह फिर से वही अच्छी पुरानी MOVEit समस्या है: एसक्यूएल इंजेक्शन बग.

इसका मतलब है कि यदि आप MOVEit ट्रांसफर प्रोग्राम का उपयोग कर रहे हैं, और आपने इसे पैच नहीं किया है, तो जो बदमाश वेब-आधारित फ्रंट एंड तक पहुंच सकते हैं, वे आपके सर्वर को गलत काम करने के लिए धोखा दे सकते हैं...

...एक वेबशेल एम्बेड करने तक और इसमें शामिल है जो उन्हें बाद में भटकने देगा और जो कुछ भी वे चाहते हैं वह करने देगा।

जैसा कि आप जानते हैं, एक CVE जारी किया गया था और MOVEit के निर्माता प्रोग्रेस सॉफ्टवेयर ने जंगल में ज्ञात शोषण से निपटने के लिए एक पैच निकाला था।

अब उनके पास समान बग से निपटने के लिए एक और पैच आउट है, जहां तक ​​​​उन्हें पता है, बदमाशों को अभी तक नहीं मिला है (लेकिन अगर वे पर्याप्त रूप से ध्यान से देखें, तो वे पा सकते हैं)।

और, यह सुनने में जितना अजीब लगता है, जब आप पाते हैं कि आपके सॉफ़्टवेयर के किसी विशेष भाग में एक विशेष प्रकार का बग है, तो आपको आश्चर्य नहीं होना चाहिए, जब आप गहराई से खोज करते हैं...

...आप पाते हैं कि प्रोग्रामर (या प्रोग्रामिंग टीम जिसने उस समय इस पर काम किया था जब बग के बारे में आप पहले से जानते थे) ने उसी समय के आसपास समान त्रुटियां कीं।

इस मामले में बहुत अच्छा किया, मैं कहूंगा कि प्रोग्रेस सॉफ्टवेयर ने इससे सक्रिय रूप से निपटने की कोशिश की।

प्रोग्रेस सॉफ्टवेयर ने अभी कहा, “सभी मूव इट ग्राहकों को 09 जून 2023 को जारी नया पैच लागू करना होगा।

डौग  ठीक है, मुझे लगता है हम... उस पर नज़र रखेंगे!

पॉल, यहाँ मेरी मदद करो।

मैं वर्ष 2023 में पढ़ रहा हूं नग्न सुरक्षा शीर्षक "माउंट" के बारे में कुछ गोक्स।"

मुझे क्या हो रहा है?

इतिहास पर दोबारा गौर किया गया: यूएस डीओजे ने माउंट गोक्स साइबर क्राइम के आरोपों को रद्द कर दिया

बत्तख।  माउंट गोक्स!

"मैजिक द गैदरिंग ऑनलाइन एक्सचेंज", डौग, जैसा कि यह था...

डौग  [हंसते हुए] बिल्कुल!

बत्तख।  ...जहां आप मैजिक द गैदरिंग कार्ड का व्यापार कर सकते हैं।

वह डोमेन बिक गया, और जिनके पास लंबी यादें हैं उन्हें पता होगा कि यह ग्रह पर सबसे लोकप्रिय और अब तक का सबसे बड़ा बिटकॉइन एक्सचेंज बन गया है।

इसे जापान से बाहर एक फ्रांसीसी प्रवासी, मार्क कारपेलस द्वारा चलाया गया था।

जाहिरा तौर पर, यह सब ठीक-ठाक चल रहा था, जब तक कि 2014 में यह क्रिप्टोकरेंसी की धूल में फंस नहीं गया, जब उन्हें एहसास हुआ कि, संक्षेप में कहें तो, उनके सभी बिटकॉइन गायब हो गए थे।

डौग  [हँसते हैं] मुझे हँसना नहीं चाहिए!

बत्तख।  उनमें से 647,000, या कुछ और।

और उस समय भी, उनकी कीमत पहले से ही लगभग $800 प्रति पॉप थी, यानी कि आधा अरब अमेरिकी डॉलर का मूल्य "पफ" था।

दिलचस्प बात यह है कि उस समय, माउंट गोक्स टीम पर ही कई उंगलियां उठीं और कहा, "ओह, यह अंदर का काम होना चाहिए।"

और वास्तव में, नए साल के दिन, मुझे लगता है कि 2015 में, योमीउरी शिंबुन नामक एक जापानी अखबार ने वास्तव में एक लेख प्रकाशित किया था, जिसमें कहा गया था, "हमने इस पर गौर किया है, और 1% नुकसान को इस बहाने से समझाया जा सकता है 'के साथ आए हैं; बाकी के लिए, हम रिकॉर्ड पर कह रहे हैं कि यह अंदर का काम था।''

अब, वह लेख जो उन्होंने प्रकाशित किया था, जिसके कारण बहुत सारा ड्रामा हुआ क्योंकि यह काफी नाटकीय आरोप है, अब जब आप आज उस पर जाते हैं तो 404 त्रुटि [HTTP पृष्ठ नहीं मिला] देता है।

डौग  बहुत ही रोचक!

बत्तख।  इसलिए मुझे नहीं लगता कि वे अब इस पर कायम हैं।

और, वास्तव में, संयुक्त राज्य अमेरिका में न्याय विभाग [डीओजे] ने आखिरकार, इन सभी वर्षों के बाद, वास्तव में दो रूसी नागरिकों पर मूल रूप से सभी बिटकॉइन चुराने का आरोप लगाया है।

तो ऐसा लगता है कि अमेरिकी न्याय विभाग के सौजन्य से मार्क कारपेलस को कम से कम आंशिक दोषमुक्ति मिल गई है, क्योंकि उन्होंने निश्चित रूप से इन दो रूसी लोगों को इतने साल पहले इस अपराध के लिए फ्रेम में डाल दिया था।

डौग  यह एक दिलचस्प पाठ है।

तो इसे नेकेड सिक्योरिटी पर जांचें।

आपको बस खोजना है, आपने अनुमान लगाया, "माउंट।" गोक्स"।

आइए साइबर अपराध के विषय पर बने रहें, क्योंकि गोज़ी बैंकिंग मैलवेयर के पीछे मुख्य अपराधियों में से एक है जेल जाना पड़ा दस लंबे वर्षों के बाद, पॉल:

गोज़ी बैंकिंग मैलवेयर "आईटी प्रमुख" को आखिरकार 10 से अधिक वर्षों के बाद जेल हो गई

बत्तख।  हां... यह कुछ-कुछ बस का इंतजार करने जैसा था।

दो आश्चर्यजनक "वाह, यह दस साल पहले हुआ था, लेकिन अंत में हम उसे पकड़ लेंगे" कहानियाँ एक साथ आ गईं। [हँसी]

और मैंने सोचा, इसे फिर से लिखना महत्वपूर्ण है, बस यह कहने के लिए, “यह न्याय विभाग है; वे उसके बारे में नहीं भूले।”

वास्तव में। उन्हें कोलंबिया में गिरफ्तार किया गया था.

मेरा मानना ​​है कि उन्होंने दौरा किया था, और वह बोगोटा हवाई अड्डे पर थे, और मुझे लगता है कि सीमा अधिकारियों ने सोचा, "ओह, वह नाम निगरानी सूची में है"!

और इसलिए जाहिर तौर पर कोलंबियाई अधिकारियों ने सोचा, "आइए अमेरिकी राजनयिक सेवा से संपर्क करें।"

उन्होंने कहा, "अरे, हम यहां इस नाम के एक व्यक्ति को पकड़ रहे हैं (मैं उसका नाम नहीं बताऊंगा - यह लेख में है).. आप उसमें बहुत गंभीर मल्टीमिलियन-डॉलर मैलवेयर अपराधों से संबंधित रुचि रखते थे। . क्या आप अभी भी रुचि रखते हैं, किसी भी संयोग से?"

और, क्या आश्चर्य है, डौग, अमेरिका वास्तव में इसमें बहुत रुचि रखता था।

इसलिए, उसे प्रत्यर्पित किया गया, अदालत का सामना करना पड़ा, दोष स्वीकार किया गया और अब उसे सजा सुनाई गई है।

उसे केवल तीन साल की जेल होगी, जो एक हल्की सजा की तरह लग सकती है, और उसे 3,000,000 डॉलर से अधिक वापस लौटाने होंगे।

मुझे नहीं पता कि अगर वह ऐसा नहीं करता है तो क्या होगा, लेकिन मुझे लगता है कि यह सिर्फ एक अनुस्मारक है कि मैलवेयर से संबंधित आपराधिकता से भागने और छिपने से...

... ठीक है, अगर आपके खिलाफ आरोप हैं और अमेरिका आपकी तलाश कर रहा है, तो वे बस यह नहीं कहते हैं, "आह, दस साल हो गए हैं, हम इसे छोड़ भी सकते हैं।"

और इस आदमी की आपराधिकता वह चल रही थी जिसे शब्दजाल में "बुलेटप्रूफ होस्ट", डौग के नाम से जाना जाता है।

यह मूल रूप से वह जगह है जहां आप एक प्रकार के आईएसपी हैं, लेकिन एक नियमित आईएसपी के विपरीत, आप कानून प्रवर्तन, ब्लॉकलिस्ट और नियमित आईएसपी से नोटिस हटाने के लिए एक गतिशील लक्ष्य बनने के लिए अपने रास्ते से हट जाते हैं।

तो, आप सेवाएं प्रदान करते हैं, लेकिन आप उन्हें रखते हैं, यदि आप चाहें, तो इंटरनेट पर इधर-उधर घूमते रहते हैं, ताकि बदमाश आपको शुल्क का भुगतान करें, और वे जान लें कि आप उनके लिए जो डोमेन होस्ट कर रहे हैं, वे चलते रहेंगे। काम कर रहे हैं, भले ही कानून प्रवर्तन आपके पीछे हो।

डौग  ठीक है, फिर से बड़ी खुशखबरी।

पॉल, जैसा कि हम दिन के लिए अपनी कहानियों को पूरा करते हैं, आप एक बहुत ही कठिन, सूक्ष्म, फिर भी से जूझ रहे हैं महत्वपूर्ण सवाल पासवर्ड के बारे में.

अर्थात्, क्या हमें उन्हें लगातार बारी-बारी से बदलना चाहिए, शायद महीने में एक बार?

या शुरुआत में वास्तव में जटिल लोगों को लॉक कर दें और फिर उन्हें अकेला छोड़ दें?

शेड्यूल किए गए पासवर्ड परिवर्तन पर विचार (उन्हें घुमाव न कहें!)

बत्तख।  हालाँकि यह एक प्रकार की पुरानी कहानी की तरह लगती है, और वास्तव में यह वह है जिसे हम पहले भी कई बार देख चुके हैं, मैंने इसे लिखने का कारण यह है कि एक पाठक ने इसी चीज़ के बारे में पूछने के लिए मुझसे संपर्क किया था।

उन्होंने कहा, “मैं 2FA के लिए बल्लेबाजी करने नहीं जाना चाहता; मैं पासवर्ड प्रबंधकों की वकालत नहीं करना चाहता। वे अलग मुद्दे हैं. मैं बस यह जानना चाहता हूं कि अगर आप चाहें तो मेरी कंपनी के अंदर दो गुटों के बीच चल रहे विवाद को कैसे सुलझाया जाए, जहां कुछ लोग कह रहे हैं कि हमें पासवर्ड ठीक से बनाने की जरूरत है, और अन्य बस यही कह रहे हैं, 'वह नाव चल पड़ी, यह बहुत कठिन है,' हम बस लोगों को उन्हें बदलने के लिए मजबूर करेंगे और यह काफी अच्छा होगा।''

इसलिए मैंने सोचा कि वास्तव में इसके बारे में लिखना उचित है।

नेकेड सिक्योरिटी और सोशल मीडिया पर टिप्पणियों की संख्या को देखते हुए, कई आईटी टीमें अभी भी इससे जूझ रही हैं।

यदि आप लोगों को हर 30 दिन या 60 दिन में अपना पासवर्ड बदलने के लिए मजबूर करते हैं, तो क्या इससे वास्तव में कोई फर्क पड़ता है कि क्या वे ऐसा पासवर्ड चुनते हैं जो उनके हैश चोरी होने पर क्रैक करने योग्य हो?

जब तक वे चयन नहीं करते password or secret या दुनिया में शीर्ष दस बिल्लियों के नामों में से एक, शायद यह ठीक है अगर हम उन्हें इसे दूसरे गैर-बहुत अच्छे पासवर्ड में बदलने के लिए मजबूर करें, इससे पहले कि बदमाश इसे क्रैक कर सकें?

शायद यह काफी अच्छा है?

लेकिन मेरे पास तीन कारण हैं कि आप किसी दूसरी बुरी आदत का पालन करके एक बुरी आदत को ठीक क्यों नहीं कर सकते।

डौग  गेट से बाहर निकलने वाला पहला व्यक्ति: नियमित रूप से पासवर्ड बदलना मजबूत पासवर्ड चुनने और उपयोग करने का विकल्प नहीं है, पॉल।

बत्तख।  नहीं!

आप दोनों करना चुन सकते हैं (और मैं आपको एक मिनट में दो कारण बताऊंगा कि मुझे क्यों लगता है कि लोगों को इन्हें नियमित रूप से बदलने के लिए मजबूर करना समस्याओं का एक और सेट है)।

लेकिन सरल अवलोकन यह है कि एक खराब पासवर्ड को नियमित रूप से बदलने से वह बेहतर पासवर्ड नहीं बन जाता है।

यदि आप एक बेहतर पासवर्ड चाहते हैं, तो शुरुआत के लिए एक बेहतर पासवर्ड चुनें!

डौग  और आप कहते हैं: लोगों को नियमित रूप से अपने पासवर्ड बदलने के लिए मजबूर करने से वे बुरी आदतों में पड़ सकते हैं।

बत्तख।  टिप्पणियों को देखते हुए, यह बिल्कुल वही समस्या है जो कई आईटी टीमों के साथ है।

यदि आप लोगों से कहते हैं, "अरे, आपको हर 30 दिनों में अपना पासवर्ड बदलना होगा, और बेहतर होगा कि आप कोई अच्छा पासवर्ड चुनें," वे बस इतना ही करेंगे...

...वे कोई अच्छा चुनेंगे।

वे इसे जीवन भर याद रखने के लिए एक सप्ताह बिताएंगे।

और फिर हर महीने वे जोड़ देंगे -01, -02, और इतने पर.

इसलिए यदि बदमाश किसी एक पासवर्ड को क्रैक या समझौता कर लेते हैं, और उन्हें ऐसा कोई पैटर्न दिखाई देता है, तो वे काफी हद तक पता लगा सकते हैं कि आपका पासवर्ड आज क्या है, यदि उन्हें आपका पासवर्ड छह महीने पहले से पता हो।

इसलिए जब आवश्यक न हो तो बदलाव के लिए दबाव डालना लोगों को साइबर सुरक्षा शॉर्टकट अपनाने के लिए प्रेरित कर सकता है जो आप नहीं चाहते कि वे करें।

डौग  और यह एक दिलचस्प बात है.

हमने इस बारे में पहले भी बात की है, लेकिन यह कुछ ऐसा है जिसके बारे में कुछ लोगों ने नहीं सोचा होगा: पासवर्ड परिवर्तन शेड्यूल करने से आपातकालीन प्रतिक्रिया में देरी हो सकती है।

उससे तुम्हारा क्या मतलब है?

बत्तख।  मुद्दा यह है कि यदि आपके पास पासवर्ड बदलने के लिए एक औपचारिक, निश्चित कार्यक्रम है, ताकि हर कोई जान सके कि जब इस महीने का आखिरी दिन आएगा, तो उन्हें अपना पासवर्ड बदलने के लिए मजबूर होना पड़ेगा...

...और फिर वे सोचते हैं, “तुम्हें पता है क्या? यह महीने की 12 तारीख है, और मैं एक ऐसी वेबसाइट पर गया जिसके बारे में मुझे यकीन नहीं है कि वह फ़िशिंग साइट हो सकती है। खैर, मैं वैसे भी दो सप्ताह में अपना पासवर्ड बदलने जा रहा हूं, इसलिए मैं इसे अभी नहीं बदलूंगा।

इसलिए, अपने पासवर्ड *नियमित* बदलने से, आप उस आदत में पड़ सकते हैं, जहां कभी-कभी, जब यह वास्तव में, वास्तव में महत्वपूर्ण होता है, तो आप अपना पासवर्ड *बार-बार* नहीं बदलते हैं।

यदि और जब आपको लगता है कि अपना पासवर्ड बदलने का कोई अच्छा कारण है, तो इसे अभी करें!

डौग  मुझे यह अच्छा लगता है!

ठीक है, आइए पासवर्ड के बारे में हमारे एक पाठक से सुनें।

नग्न सुरक्षा पाठक फिलिप लिखते हैं, कुछ हद तक:

अपने पासवर्ड को बार-बार बदलना ताकि कोई समझौता न हो, यह सोचने जैसा है कि यदि आप काफी तेज दौड़ते हैं, तो आप बारिश की सभी बूंदों से बच सकते हैं।

ठीक है, आप अपने पीछे गिरने वाली बारिश की बूंदों से बच जाएंगे, लेकिन जहां आप जा रहे हैं वहां उतनी ही बूंदें होंगी।

और, नियमित रूप से अपने पासवर्ड बदलने के लिए मजबूर होने पर, बहुत बड़ी संख्या में लोग बस एक संख्या जोड़ देंगे जिसे वे आवश्यकतानुसार बढ़ा सकते हैं।

जैसा आपने कहा, पॉल!

बत्तख।  आपके मित्र और मेरे, चेस्टर [विस्निविस्की] ने कहा, कुछ साल पहले जब हम बात कर रहे थे पासवर्ड मिथक, “उन्हें बस इतना करना है [हंसते हुए], यह पता लगाने के लिए कि अंत में संख्या क्या है, अपने लिंक्डइन पेज पर जाना है। 'अगस्त 2017 में इस कंपनी की शुरुआत हुई'...तब से अब तक के महीनों की गिनती करें।'

यही वह संख्या है जिसकी आपको अंत में आवश्यकता है।

सोफोस टेकनो - पासवर्ड संबंधी मिथकों को तोड़ना

डौग  बिल्कुल! [हँसी]

बत्तख।  और समस्या यह आती है कि जब आप प्रयास करते हैं और शेड्यूल करते हैं, या एल्गोरिथम बनाते हैं... तो क्या वह एक शब्द है?

(यह शायद नहीं होना चाहिए, लेकिन फिर भी मैं इसका उपयोग करूंगा।)

जब आप कोशिश करते हैं और यादृच्छिकता, एन्ट्रॉपी, और अप्रत्याशितता का विचार लेते हैं, और इसे कुछ सुपर-सख्त एल्गोरिदम में जोड़ते हैं, जैसे एल्गोरिदम जो वर्णन करता है कि वाहन टैग पर वर्ण और संख्याएं कैसे रखी जाती हैं, उदाहरण के लिए ...

...तब आप *कम* यादृच्छिकता के साथ समाप्त होते हैं, *अधिक* नहीं, और आपको इसके बारे में जागरूक होने की आवश्यकता है।

इसलिए, लोगों को ऐसा कुछ भी करने के लिए मजबूर करना जिससे वे एक पैटर्न में ढल जाएं, जैसा कि चेस्टर ने उस समय कहा था, बस उन्हें एक बुरी आदत की आदत में डालना है।

और मुझे इसे रखने का यह तरीका बहुत पसंद है।

डौग  ठीक है, इसे भेजने के लिए आपका बहुत-बहुत धन्यवाद, फिलिप।

और यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हम इसे पॉडकास्ट पर पढ़ना पसंद करेंगे।

आपtips@sophos.com पर ईमेल कर सकते हैं, हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या हमें सोशल: @nakedsecurity पर संपर्क कर सकते हैं।

आज के लिए यही हमारा शो है।

सुनने के लिए बहुत-बहुत धन्यवाद।

पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...

दोनों को।  सुरक्षित रहें!

[संगीत मोडेम]

समय टिकट:

से अधिक नग्न सुरक्षा