बुरी आदत की आदत मत डालो
चुंबकीय कोर मेमोरी. पैच मंगलवार और स्केचअप शेंनिगन्स। अधिक MOVEit शमन. माउंट गोक्स वापस समाचार में। गोजी मैलवेयर अपराधी आख़िरकार कैद कर लिया गया। क्या पासवर्ड नियम जैसे हैं बारिश में दौड़ना?
नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग पैच मंगलवार, साइबर अपराध की घटना, और पासवर्ड के साथ मज़ा।
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोत हूँ; वह पॉल डकलिन है।
पॉल, आज आप कैसे हैं?
बत्तख। डौग, मुझे यह नहीं कहना चाहिए... लेकिन क्योंकि मुझे पता है कि क्या होने वाला है टेक इतिहास में यह सप्ताह, क्योंकि आपने मुझे पूर्वावलोकन दिया, मैं बहुत उत्साहित हूँ!
डौग ठीक है, ठीक है, चलिए सीधे इस पर आते हैं!
इस सप्ताह, 15 जून को, 1949 में, जे फॉरेस्टर, जो मैसाचुसेट्स इंस्टीट्यूट ऑफ टेक्नोलॉजी, या एमआईटी में प्रोफेसर थे, ने लिखा...
बत्तख। [मॉक ड्रामा] ऐसा मत कहो जैसे कि तुम बोस्टन से हो और तुम इसके बारे में पूरी तरह से आत्मसंतुष्ट हो, डौग? [हँसी]
डौग अरे, यह एक सुंदर परिसर है; मैं वहां कई बार गया हूं.
बत्तख। यह एक प्रकार का प्रसिद्ध इंजीनियरिंग स्कूल भी है, है ना? [हंसते हुए]
डौग यह निश्चित है!
जे फॉरेस्टर ने अपनी नोटबुक में "कोर मेमोरी" के लिए एक प्रस्ताव लिखा, और बाद में एमआईटी के व्हर्लविंड कंप्यूटर पर चुंबकीय कोर मेमोरी स्थापित की।
इस आविष्कार ने कंप्यूटर को अधिक विश्वसनीय और तेज़ बना दिया।
1970 के दशक में सेमीकंडक्टर्स के विकास तक कोर मेमोरी कंप्यूटर स्टोरेज के लिए लोकप्रिय विकल्प बनी रही।
बत्तख। एक बार जब आप जान लें कि यह कैसे काम करता है तो यह एक बेहद सरल विचार है।
छोटे छोटे फेराइट चुंबकीय कोर, जैसे कि आप ट्रांसफार्मर के केंद्र में पाते हैं... सुपर-लघु वॉशर की तरह।
वे या तो दक्षिणावर्त या वामावर्त दिशा में चुम्बकित होते थे, अर्थात शून्य या एक।
यह वस्तुतः चुंबकीय भंडारण था।
और इसमें अजीब विशेषता थी, डगलस, क्योंकि फेराइट अनिवार्य रूप से एक स्थायी चुंबक बनाता है...
...आप इसे पुनः चुम्बकित कर सकते हैं, लेकिन जब आप बिजली बंद कर देते हैं, तो यह चुम्बकित ही रहता है।
तो यह गैर-वाष्पशील था!
यदि आपके पास बिजली की विफलता है, तो आप मूल रूप से कंप्यूटर को पुनरारंभ कर सकते हैं और वहीं से आगे बढ़ सकते हैं जहां आपने छोड़ा था।
गजब का!
डौग उत्कृष्ट, हाँ... यह सचमुच बहुत बढ़िया है।
बत्तख। जाहिर तौर पर, एमआईटी की मूल योजना इस विचार पर प्रति बिट 0.02 अमेरिकी डॉलर की रॉयल्टी वसूलने की थी।
क्या आप कल्पना कर सकते हैं कि 64 गीगाबाइट iPhone मेमोरी कितनी महंगी होगी?
यह अरबों डॉलर में होगा! [हंसते हुए]
डौग अवास्तविक।
खैर, कुछ दिलचस्प इतिहास, लेकिन आइए इसे आधुनिक समय तक लेकर आएं।
बहुत समय पहले नहीं... माइक्रोसॉफ्ट पैच मंगलवार।
कोई शून्य-दिन नहीं, लेकिन फिर भी बहुत सारे सुधार, पॉल:
पैच ट्यूजडे 4 महत्वपूर्ण आरसीई बग, और कार्यालय छेद का एक गुच्छा ठीक करता है
बत्तख। ठीक है, यदि आप उस एज रिमोट कोड निष्पादन छेद को अनदेखा करते हैं जिसके बारे में हमने पिछले सप्ताह बात की थी, तो इस महीने कोई शून्य-दिन नहीं होगा।
डौग हम्म्म्मम्म।
बत्तख। तकनीकी रूप से, यह पैच मंगलवार का हिस्सा नहीं है...
...लेकिन कुल 26 रिमोट कोड निष्पादन [आरसीई] बग थे, और 17 एलिवेशन-ऑफ-प्रिविलेज [ईओपी] बग थे।
यहीं पर बदमाश पहले से ही मौजूद हैं, लेकिन वे अभी तक बहुत कुछ नहीं कर सकते हैं, इसलिए वे आपके नेटवर्क पर सुपरपावर प्राप्त करने के लिए ईओपी बग का उपयोग करते हैं, और बहुत अधिक घृणित काम करते हैं।
उन रिमोट कोड निष्पादन बगों में से चार को माइक्रोसॉफ्ट द्वारा "क्रिटिकल" करार दिया गया था, जिसका अर्थ है कि यदि आप उन लोगों में से एक हैं जो अभी भी अपने पैच को एक विशिष्ट क्रम में करना पसंद करते हैं, तो हमारा सुझाव है कि आप उन्हीं से शुरुआत करें।
चार महत्वपूर्ण पैच के बारे में अच्छी खबर यह है कि उनमें से तीन एक ही विंडोज घटक से संबंधित हैं।
जहां तक मैं समझ सकता हूं, यह संबंधित बगों का एक समूह था, संभवतः उस घटक की किसी प्रकार की कोड समीक्षा के दौरान पाया गया था।
जो विंडोज़ मैसेजिंग सेवा से संबंधित है, यदि आप अपने नेटवर्क में इसका उपयोग करते हैं।
डौग और हम सभी को स्केचअप पराजय के साथ हमारे धैर्य के लिए सामूहिक रूप से धन्यवाद दिया गया है, जिसके बारे में मुझे अब तक पता नहीं था।
बत्तख। आपकी तरह, डौग, मैंने कभी भी स्केचअप नामक इस प्रोग्राम का उपयोग नहीं किया है, जो मेरा मानना है कि एक तृतीय-पक्ष 3D ग्राफ़िक्स प्रोग्राम है।
कौन जानता था कि आपके वर्ड, एक्सेल, पॉवरपॉइंट दस्तावेज़ों में स्केचअप 3डी छवियों को छोड़ने में सक्षम होना वास्तव में बहुत अच्छा होगा?
जैसा कि आप कल्पना कर सकते हैं, Office के अंदर पार्स करने, व्याख्या करने, संसाधित करने, प्रस्तुत करने के लिए बिल्कुल नए फ़ाइल स्वरूप के साथ...
...Microsoft ने एक बग पेश किया जिसे CVE-2023-33146 के रूप में ठीक किया गया था।
लेकिन अगर आप चाहें तो कहानी के पीछे छिपी कहानी यह है कि 01 जून 2023 को माइक्रोसॉफ्ट ने घोषणा की कि:
विंडोज़ और मैक के लिए वर्ड, एक्सेल, पावरपॉइंट और आउटलुक में स्केचअप ग्राफिक्स डालने की क्षमता अस्थायी रूप से अक्षम कर दी गई है।
हम आपके धैर्य की सराहना करते हैं क्योंकि हम इस सुविधा की सुरक्षा और कार्यक्षमता सुनिश्चित करने के लिए काम कर रहे हैं।
मुझे ख़ुशी है कि Microsoft मेरे धैर्य की सराहना करता है, लेकिन शायद मैं चाहता हूँ कि Office में पहली बार इस सुविधा को पेश करने से पहले Microsoft स्वयं थोड़ा और धैर्यवान होता।
काश, उन्होंने इसे सुरक्षित होने के *बाद* में वहां रखा होता, बजाय इसके कि इसे यह देखने के लिए रखा होता कि यह सुरक्षित है या नहीं और यह पता लगाने के बाद, जैसा कि आप कहते हैं (आश्चर्य! आश्चर्य!), कि यह सुरक्षित नहीं था।
डौग अच्छा है।
आइए धैर्य के विषय पर कायम रहें।
मैंने कहा कि हम "इस पर नज़र रखेंगे", और मुझे उम्मीद थी कि हमें इस पर नज़र रखने की ज़रूरत नहीं होगी।
लेकिन हमें थोड़ा अनुप्रास जोड़ना होगा, जैसा आपने शीर्षक में किया था।
अधिक मूव मिटिगेशन: आगे की सुरक्षा के लिए प्रकाशित नए पैच, पॉल.
बत्तख। यह फिर से वही अच्छी पुरानी MOVEit समस्या है: एसक्यूएल इंजेक्शन बग.
इसका मतलब है कि यदि आप MOVEit ट्रांसफर प्रोग्राम का उपयोग कर रहे हैं, और आपने इसे पैच नहीं किया है, तो जो बदमाश वेब-आधारित फ्रंट एंड तक पहुंच सकते हैं, वे आपके सर्वर को गलत काम करने के लिए धोखा दे सकते हैं...
...एक वेबशेल एम्बेड करने तक और इसमें शामिल है जो उन्हें बाद में भटकने देगा और जो कुछ भी वे चाहते हैं वह करने देगा।
जैसा कि आप जानते हैं, एक CVE जारी किया गया था और MOVEit के निर्माता प्रोग्रेस सॉफ्टवेयर ने जंगल में ज्ञात शोषण से निपटने के लिए एक पैच निकाला था।
अब उनके पास समान बग से निपटने के लिए एक और पैच आउट है, जहां तक उन्हें पता है, बदमाशों को अभी तक नहीं मिला है (लेकिन अगर वे पर्याप्त रूप से ध्यान से देखें, तो वे पा सकते हैं)।
और, यह सुनने में जितना अजीब लगता है, जब आप पाते हैं कि आपके सॉफ़्टवेयर के किसी विशेष भाग में एक विशेष प्रकार का बग है, तो आपको आश्चर्य नहीं होना चाहिए, जब आप गहराई से खोज करते हैं...
...आप पाते हैं कि प्रोग्रामर (या प्रोग्रामिंग टीम जिसने उस समय इस पर काम किया था जब बग के बारे में आप पहले से जानते थे) ने उसी समय के आसपास समान त्रुटियां कीं।
इस मामले में बहुत अच्छा किया, मैं कहूंगा कि प्रोग्रेस सॉफ्टवेयर ने इससे सक्रिय रूप से निपटने की कोशिश की।
प्रोग्रेस सॉफ्टवेयर ने अभी कहा, “सभी मूव इट ग्राहकों को 09 जून 2023 को जारी नया पैच लागू करना होगा।
डौग ठीक है, मुझे लगता है हम... उस पर नज़र रखेंगे!
पॉल, यहाँ मेरी मदद करो।
मैं वर्ष 2023 में पढ़ रहा हूं नग्न सुरक्षा शीर्षक "माउंट" के बारे में कुछ गोक्स।"
मुझे क्या हो रहा है?
इतिहास पर दोबारा गौर किया गया: यूएस डीओजे ने माउंट गोक्स साइबर क्राइम के आरोपों को रद्द कर दिया
बत्तख। माउंट गोक्स!
"मैजिक द गैदरिंग ऑनलाइन एक्सचेंज", डौग, जैसा कि यह था...
डौग [हंसते हुए] बिल्कुल!
बत्तख। ...जहां आप मैजिक द गैदरिंग कार्ड का व्यापार कर सकते हैं।
वह डोमेन बिक गया, और जिनके पास लंबी यादें हैं उन्हें पता होगा कि यह ग्रह पर सबसे लोकप्रिय और अब तक का सबसे बड़ा बिटकॉइन एक्सचेंज बन गया है।
इसे जापान से बाहर एक फ्रांसीसी प्रवासी, मार्क कारपेलस द्वारा चलाया गया था।
जाहिरा तौर पर, यह सब ठीक-ठाक चल रहा था, जब तक कि 2014 में यह क्रिप्टोकरेंसी की धूल में फंस नहीं गया, जब उन्हें एहसास हुआ कि, संक्षेप में कहें तो, उनके सभी बिटकॉइन गायब हो गए थे।
डौग [हँसते हैं] मुझे हँसना नहीं चाहिए!
बत्तख। उनमें से 647,000, या कुछ और।
और उस समय भी, उनकी कीमत पहले से ही लगभग $800 प्रति पॉप थी, यानी कि आधा अरब अमेरिकी डॉलर का मूल्य "पफ" था।
दिलचस्प बात यह है कि उस समय, माउंट गोक्स टीम पर ही कई उंगलियां उठीं और कहा, "ओह, यह अंदर का काम होना चाहिए।"
और वास्तव में, नए साल के दिन, मुझे लगता है कि 2015 में, योमीउरी शिंबुन नामक एक जापानी अखबार ने वास्तव में एक लेख प्रकाशित किया था, जिसमें कहा गया था, "हमने इस पर गौर किया है, और 1% नुकसान को इस बहाने से समझाया जा सकता है 'के साथ आए हैं; बाकी के लिए, हम रिकॉर्ड पर कह रहे हैं कि यह अंदर का काम था।''
अब, वह लेख जो उन्होंने प्रकाशित किया था, जिसके कारण बहुत सारा ड्रामा हुआ क्योंकि यह काफी नाटकीय आरोप है, अब जब आप आज उस पर जाते हैं तो 404 त्रुटि [HTTP पृष्ठ नहीं मिला] देता है।
डौग बहुत ही रोचक!
बत्तख। इसलिए मुझे नहीं लगता कि वे अब इस पर कायम हैं।
और, वास्तव में, संयुक्त राज्य अमेरिका में न्याय विभाग [डीओजे] ने आखिरकार, इन सभी वर्षों के बाद, वास्तव में दो रूसी नागरिकों पर मूल रूप से सभी बिटकॉइन चुराने का आरोप लगाया है।
तो ऐसा लगता है कि अमेरिकी न्याय विभाग के सौजन्य से मार्क कारपेलस को कम से कम आंशिक दोषमुक्ति मिल गई है, क्योंकि उन्होंने निश्चित रूप से इन दो रूसी लोगों को इतने साल पहले इस अपराध के लिए फ्रेम में डाल दिया था।
डौग यह एक दिलचस्प पाठ है।
तो इसे नेकेड सिक्योरिटी पर जांचें।
आपको बस खोजना है, आपने अनुमान लगाया, "माउंट।" गोक्स"।
आइए साइबर अपराध के विषय पर बने रहें, क्योंकि गोज़ी बैंकिंग मैलवेयर के पीछे मुख्य अपराधियों में से एक है जेल जाना पड़ा दस लंबे वर्षों के बाद, पॉल:
गोज़ी बैंकिंग मैलवेयर "आईटी प्रमुख" को आखिरकार 10 से अधिक वर्षों के बाद जेल हो गई
बत्तख। हां... यह कुछ-कुछ बस का इंतजार करने जैसा था।
दो आश्चर्यजनक "वाह, यह दस साल पहले हुआ था, लेकिन अंत में हम उसे पकड़ लेंगे" कहानियाँ एक साथ आ गईं। [हँसी]
और मैंने सोचा, इसे फिर से लिखना महत्वपूर्ण है, बस यह कहने के लिए, “यह न्याय विभाग है; वे उसके बारे में नहीं भूले।”
वास्तव में। उन्हें कोलंबिया में गिरफ्तार किया गया था.
मेरा मानना है कि उन्होंने दौरा किया था, और वह बोगोटा हवाई अड्डे पर थे, और मुझे लगता है कि सीमा अधिकारियों ने सोचा, "ओह, वह नाम निगरानी सूची में है"!
और इसलिए जाहिर तौर पर कोलंबियाई अधिकारियों ने सोचा, "आइए अमेरिकी राजनयिक सेवा से संपर्क करें।"
उन्होंने कहा, "अरे, हम यहां इस नाम के एक व्यक्ति को पकड़ रहे हैं (मैं उसका नाम नहीं बताऊंगा - यह लेख में है).. आप उसमें बहुत गंभीर मल्टीमिलियन-डॉलर मैलवेयर अपराधों से संबंधित रुचि रखते थे। . क्या आप अभी भी रुचि रखते हैं, किसी भी संयोग से?"
और, क्या आश्चर्य है, डौग, अमेरिका वास्तव में इसमें बहुत रुचि रखता था।
इसलिए, उसे प्रत्यर्पित किया गया, अदालत का सामना करना पड़ा, दोष स्वीकार किया गया और अब उसे सजा सुनाई गई है।
उसे केवल तीन साल की जेल होगी, जो एक हल्की सजा की तरह लग सकती है, और उसे 3,000,000 डॉलर से अधिक वापस लौटाने होंगे।
मुझे नहीं पता कि अगर वह ऐसा नहीं करता है तो क्या होगा, लेकिन मुझे लगता है कि यह सिर्फ एक अनुस्मारक है कि मैलवेयर से संबंधित आपराधिकता से भागने और छिपने से...
... ठीक है, अगर आपके खिलाफ आरोप हैं और अमेरिका आपकी तलाश कर रहा है, तो वे बस यह नहीं कहते हैं, "आह, दस साल हो गए हैं, हम इसे छोड़ भी सकते हैं।"
और इस आदमी की आपराधिकता वह चल रही थी जिसे शब्दजाल में "बुलेटप्रूफ होस्ट", डौग के नाम से जाना जाता है।
यह मूल रूप से वह जगह है जहां आप एक प्रकार के आईएसपी हैं, लेकिन एक नियमित आईएसपी के विपरीत, आप कानून प्रवर्तन, ब्लॉकलिस्ट और नियमित आईएसपी से नोटिस हटाने के लिए एक गतिशील लक्ष्य बनने के लिए अपने रास्ते से हट जाते हैं।
तो, आप सेवाएं प्रदान करते हैं, लेकिन आप उन्हें रखते हैं, यदि आप चाहें, तो इंटरनेट पर इधर-उधर घूमते रहते हैं, ताकि बदमाश आपको शुल्क का भुगतान करें, और वे जान लें कि आप उनके लिए जो डोमेन होस्ट कर रहे हैं, वे चलते रहेंगे। काम कर रहे हैं, भले ही कानून प्रवर्तन आपके पीछे हो।
डौग ठीक है, फिर से बड़ी खुशखबरी।
पॉल, जैसा कि हम दिन के लिए अपनी कहानियों को पूरा करते हैं, आप एक बहुत ही कठिन, सूक्ष्म, फिर भी से जूझ रहे हैं महत्वपूर्ण सवाल पासवर्ड के बारे में.
अर्थात्, क्या हमें उन्हें लगातार बारी-बारी से बदलना चाहिए, शायद महीने में एक बार?
या शुरुआत में वास्तव में जटिल लोगों को लॉक कर दें और फिर उन्हें अकेला छोड़ दें?
शेड्यूल किए गए पासवर्ड परिवर्तन पर विचार (उन्हें घुमाव न कहें!)
बत्तख। हालाँकि यह एक प्रकार की पुरानी कहानी की तरह लगती है, और वास्तव में यह वह है जिसे हम पहले भी कई बार देख चुके हैं, मैंने इसे लिखने का कारण यह है कि एक पाठक ने इसी चीज़ के बारे में पूछने के लिए मुझसे संपर्क किया था।
उन्होंने कहा, “मैं 2FA के लिए बल्लेबाजी करने नहीं जाना चाहता; मैं पासवर्ड प्रबंधकों की वकालत नहीं करना चाहता। वे अलग मुद्दे हैं. मैं बस यह जानना चाहता हूं कि अगर आप चाहें तो मेरी कंपनी के अंदर दो गुटों के बीच चल रहे विवाद को कैसे सुलझाया जाए, जहां कुछ लोग कह रहे हैं कि हमें पासवर्ड ठीक से बनाने की जरूरत है, और अन्य बस यही कह रहे हैं, 'वह नाव चल पड़ी, यह बहुत कठिन है,' हम बस लोगों को उन्हें बदलने के लिए मजबूर करेंगे और यह काफी अच्छा होगा।''
इसलिए मैंने सोचा कि वास्तव में इसके बारे में लिखना उचित है।
नेकेड सिक्योरिटी और सोशल मीडिया पर टिप्पणियों की संख्या को देखते हुए, कई आईटी टीमें अभी भी इससे जूझ रही हैं।
यदि आप लोगों को हर 30 दिन या 60 दिन में अपना पासवर्ड बदलने के लिए मजबूर करते हैं, तो क्या इससे वास्तव में कोई फर्क पड़ता है कि क्या वे ऐसा पासवर्ड चुनते हैं जो उनके हैश चोरी होने पर क्रैक करने योग्य हो?
जब तक वे चयन नहीं करते password
or secret
या दुनिया में शीर्ष दस बिल्लियों के नामों में से एक, शायद यह ठीक है अगर हम उन्हें इसे दूसरे गैर-बहुत अच्छे पासवर्ड में बदलने के लिए मजबूर करें, इससे पहले कि बदमाश इसे क्रैक कर सकें?
शायद यह काफी अच्छा है?
लेकिन मेरे पास तीन कारण हैं कि आप किसी दूसरी बुरी आदत का पालन करके एक बुरी आदत को ठीक क्यों नहीं कर सकते।
डौग गेट से बाहर निकलने वाला पहला व्यक्ति: नियमित रूप से पासवर्ड बदलना मजबूत पासवर्ड चुनने और उपयोग करने का विकल्प नहीं है, पॉल।
बत्तख। नहीं!
आप दोनों करना चुन सकते हैं (और मैं आपको एक मिनट में दो कारण बताऊंगा कि मुझे क्यों लगता है कि लोगों को इन्हें नियमित रूप से बदलने के लिए मजबूर करना समस्याओं का एक और सेट है)।
लेकिन सरल अवलोकन यह है कि एक खराब पासवर्ड को नियमित रूप से बदलने से वह बेहतर पासवर्ड नहीं बन जाता है।
यदि आप एक बेहतर पासवर्ड चाहते हैं, तो शुरुआत के लिए एक बेहतर पासवर्ड चुनें!
डौग और आप कहते हैं: लोगों को नियमित रूप से अपने पासवर्ड बदलने के लिए मजबूर करने से वे बुरी आदतों में पड़ सकते हैं।
बत्तख। टिप्पणियों को देखते हुए, यह बिल्कुल वही समस्या है जो कई आईटी टीमों के साथ है।
यदि आप लोगों से कहते हैं, "अरे, आपको हर 30 दिनों में अपना पासवर्ड बदलना होगा, और बेहतर होगा कि आप कोई अच्छा पासवर्ड चुनें," वे बस इतना ही करेंगे...
...वे कोई अच्छा चुनेंगे।
वे इसे जीवन भर याद रखने के लिए एक सप्ताह बिताएंगे।
और फिर हर महीने वे जोड़ देंगे -01
, -02
, और इतने पर.
इसलिए यदि बदमाश किसी एक पासवर्ड को क्रैक या समझौता कर लेते हैं, और उन्हें ऐसा कोई पैटर्न दिखाई देता है, तो वे काफी हद तक पता लगा सकते हैं कि आपका पासवर्ड आज क्या है, यदि उन्हें आपका पासवर्ड छह महीने पहले से पता हो।
इसलिए जब आवश्यक न हो तो बदलाव के लिए दबाव डालना लोगों को साइबर सुरक्षा शॉर्टकट अपनाने के लिए प्रेरित कर सकता है जो आप नहीं चाहते कि वे करें।
डौग और यह एक दिलचस्प बात है.
हमने इस बारे में पहले भी बात की है, लेकिन यह कुछ ऐसा है जिसके बारे में कुछ लोगों ने नहीं सोचा होगा: पासवर्ड परिवर्तन शेड्यूल करने से आपातकालीन प्रतिक्रिया में देरी हो सकती है।
उससे तुम्हारा क्या मतलब है?
बत्तख। मुद्दा यह है कि यदि आपके पास पासवर्ड बदलने के लिए एक औपचारिक, निश्चित कार्यक्रम है, ताकि हर कोई जान सके कि जब इस महीने का आखिरी दिन आएगा, तो उन्हें अपना पासवर्ड बदलने के लिए मजबूर होना पड़ेगा...
...और फिर वे सोचते हैं, “तुम्हें पता है क्या? यह महीने की 12 तारीख है, और मैं एक ऐसी वेबसाइट पर गया जिसके बारे में मुझे यकीन नहीं है कि वह फ़िशिंग साइट हो सकती है। खैर, मैं वैसे भी दो सप्ताह में अपना पासवर्ड बदलने जा रहा हूं, इसलिए मैं इसे अभी नहीं बदलूंगा।
इसलिए, अपने पासवर्ड *नियमित* बदलने से, आप उस आदत में पड़ सकते हैं, जहां कभी-कभी, जब यह वास्तव में, वास्तव में महत्वपूर्ण होता है, तो आप अपना पासवर्ड *बार-बार* नहीं बदलते हैं।
यदि और जब आपको लगता है कि अपना पासवर्ड बदलने का कोई अच्छा कारण है, तो इसे अभी करें!
डौग मुझे यह अच्छा लगता है!
ठीक है, आइए पासवर्ड के बारे में हमारे एक पाठक से सुनें।
नग्न सुरक्षा पाठक फिलिप लिखते हैं, कुछ हद तक:
अपने पासवर्ड को बार-बार बदलना ताकि कोई समझौता न हो, यह सोचने जैसा है कि यदि आप काफी तेज दौड़ते हैं, तो आप बारिश की सभी बूंदों से बच सकते हैं।
ठीक है, आप अपने पीछे गिरने वाली बारिश की बूंदों से बच जाएंगे, लेकिन जहां आप जा रहे हैं वहां उतनी ही बूंदें होंगी।
और, नियमित रूप से अपने पासवर्ड बदलने के लिए मजबूर होने पर, बहुत बड़ी संख्या में लोग बस एक संख्या जोड़ देंगे जिसे वे आवश्यकतानुसार बढ़ा सकते हैं।
जैसा आपने कहा, पॉल!
बत्तख। आपके मित्र और मेरे, चेस्टर [विस्निविस्की] ने कहा, कुछ साल पहले जब हम बात कर रहे थे पासवर्ड मिथक, “उन्हें बस इतना करना है [हंसते हुए], यह पता लगाने के लिए कि अंत में संख्या क्या है, अपने लिंक्डइन पेज पर जाना है। 'अगस्त 2017 में इस कंपनी की शुरुआत हुई'...तब से अब तक के महीनों की गिनती करें।'
यही वह संख्या है जिसकी आपको अंत में आवश्यकता है।
डौग बिल्कुल! [हँसी]
बत्तख। और समस्या यह आती है कि जब आप प्रयास करते हैं और शेड्यूल करते हैं, या एल्गोरिथम बनाते हैं... तो क्या वह एक शब्द है?
(यह शायद नहीं होना चाहिए, लेकिन फिर भी मैं इसका उपयोग करूंगा।)
जब आप कोशिश करते हैं और यादृच्छिकता, एन्ट्रॉपी, और अप्रत्याशितता का विचार लेते हैं, और इसे कुछ सुपर-सख्त एल्गोरिदम में जोड़ते हैं, जैसे एल्गोरिदम जो वर्णन करता है कि वाहन टैग पर वर्ण और संख्याएं कैसे रखी जाती हैं, उदाहरण के लिए ...
...तब आप *कम* यादृच्छिकता के साथ समाप्त होते हैं, *अधिक* नहीं, और आपको इसके बारे में जागरूक होने की आवश्यकता है।
इसलिए, लोगों को ऐसा कुछ भी करने के लिए मजबूर करना जिससे वे एक पैटर्न में ढल जाएं, जैसा कि चेस्टर ने उस समय कहा था, बस उन्हें एक बुरी आदत की आदत में डालना है।
और मुझे इसे रखने का यह तरीका बहुत पसंद है।
डौग ठीक है, इसे भेजने के लिए आपका बहुत-बहुत धन्यवाद, फिलिप।
और यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हम इसे पॉडकास्ट पर पढ़ना पसंद करेंगे।
आपtips@sophos.com पर ईमेल कर सकते हैं, हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या हमें सोशल: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है।
सुनने के लिए बहुत-बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, अगली बार तक, आपको याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
[संगीत मोडेम]
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- ईवीएम वित्त। विकेंद्रीकृत वित्त के लिए एकीकृत इंटरफ़ेस। यहां पहुंचें।
- क्वांटम मीडिया समूह। आईआर/पीआर प्रवर्धित। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/06/15/s3-ep139-are-password-rules-like-running-through-rain/
- :हैस
- :है
- :नहीं
- :कहाँ
- $3
- $यूपी
- 000
- 10
- 15% तक
- 17
- 1949
- 2014
- 2015
- 2023
- 26% तक
- 2FA
- 30
- 3d
- 60
- a
- क्षमता
- योग्य
- About
- इसके बारे में
- पहुँच
- वास्तव में
- जोड़ना
- बाद
- फिर
- के खिलाफ
- पूर्व
- हवाई अड्डे
- कलन विधि
- सब
- अकेला
- पहले ही
- ठीक है
- वैकल्पिक
- हालांकि
- am
- an
- और
- की घोषणा
- अन्य
- कोई
- अब
- कुछ भी
- कहीं भी
- Apple
- लागू करें
- सराहना
- हैं
- चारों ओर
- गिरफ्तार
- लेख
- लेख
- AS
- At
- ऑडियो
- अगस्त
- लेखक
- जागरूक
- वापस
- बुरा
- बैंकिंग
- बैंकिंग मालवेयर
- मूल रूप से
- बल्लेबाजी
- BE
- सुंदर
- क्योंकि
- किया गया
- से पहले
- पीछे
- मानना
- नीचे
- बेहतर
- के बीच
- सबसे बड़ा
- अरबों
- बिट
- Bitcoin
- Bitcoins
- नाव
- सीमा
- बोस्टन
- के छात्रों
- ब्रांड
- ब्रांड नई
- लाना
- दोष
- कीड़े
- गुच्छा
- बस
- लेकिन
- by
- कॉल
- बुलाया
- कैंपस
- कर सकते हैं
- पत्ते
- ले जाना
- लगे रहो
- मामला
- के कारण होता
- का कारण बनता है
- केंद्र
- संयोग
- परिवर्तन
- परिवर्तन
- बदलना
- अक्षर
- प्रभार
- आरोप लगाया
- प्रभार
- चेक
- चुनाव
- चुनें
- चुनने
- कोड
- को़ड समीक्षा
- सामूहिक रूप से
- कोलम्बिया
- COM
- कैसे
- आता है
- अ रहे है
- टिप्पणी
- टिप्पणियाँ
- प्रतिबद्ध
- करने
- कंपनी
- जटिल
- अंग
- समझौता
- छेड़छाड़ की गई
- कंप्यूटर
- कंप्यूटर्स
- निरंतर
- संपर्क करें
- ठंडा
- मूल
- सका
- कोर्ट
- दरार
- अपराध
- अपराध
- महत्वपूर्ण
- cryptocurrency
- ग्राहक
- सीवीई
- cybercrime
- साइबर सुरक्षा
- दिन
- दिन
- सौदा
- निश्चित रूप से
- देरी
- विभाग
- न्याय विभाग
- विकास
- डीआईडी
- मुश्किल
- डीआईजी
- विकलांग
- do
- दस्तावेजों
- कर देता है
- नहीं करता है
- कर
- DoJ
- डोमेन
- डोमेन
- किया
- dont
- नीचे
- नाटक
- नाटकीय
- बूंद
- करार दिया
- दौरान
- धूल
- Edge
- भी
- ईमेल
- embedding
- आपात स्थिति
- समाप्त
- प्रवर्तन
- अभियांत्रिकी
- पर्याप्त
- सुनिश्चित
- त्रुटि
- त्रुटियाँ
- अनिवार्य
- और भी
- प्रत्येक
- हर कोई
- ठीक ठीक
- एक्सेल
- एक्सचेंज
- निष्पादन
- महंगा
- समझाया
- शोषण करना
- आंख
- का सामना करना पड़ा
- तथ्य
- गुटों
- विफलता
- गिरना
- गिरने
- प्रसिद्ध
- दूर
- आकर्षक
- फास्ट
- और तेज
- Feature
- शुल्क
- कुछ
- पट्टिका
- अंत में
- खोज
- खोज
- प्रथम
- फिक्स
- तय
- निम्नलिखित
- के लिए
- सेना
- प्रारूप
- रूपों
- फॉरेस्टर
- पाया
- चार
- फ्रेम
- फ्रेंच
- मित्र
- से
- सामने
- फ़्रंट एंड
- मज़ा
- कार्यक्षमता
- आगे
- सभा
- मिल
- मिल रहा
- देना
- देता है
- Go
- जा
- अच्छा
- गूगल
- गोक्स
- गोजी
- ग्राफ़िक्स
- महान
- अनुमान लगाया
- दोषी
- था
- हाथ
- होना
- हुआ
- हो रहा है
- हो जाता
- कठिन
- हैश
- है
- he
- शीर्षक
- सुनना
- मदद
- यहाँ उत्पन्न करें
- छिपा हुआ
- उसे
- उसके
- इतिहास
- मारो
- पकड़े
- छेद
- होस्टिंग
- कैसे
- How To
- http
- HTTPS
- i
- मैं करता हूँ
- विचार
- if
- छवियों
- कल्पना करना
- महत्वपूर्ण
- in
- सहित
- वेतन वृद्धि
- अंदर
- स्थापित
- संस्थान
- रुचि
- दिलचस्प
- इंटरनेट
- में
- शुरू की
- शुरू करने
- आविष्कार
- iPhone
- आईएसपी
- जारी किए गए
- मुद्दों
- IT
- खुद
- जेल में बंद
- जापान
- जापानी
- शब्दजाल
- काम
- जून
- केवल
- न्याय
- रखना
- बच्चा
- जानना
- जानने वाला
- बड़ा
- पिछली बार
- बाद में
- कानून
- कानून प्रवर्तन
- नेतृत्व
- कम से कम
- छोड़ना
- बाएं
- चलो
- जीवन
- प्रकाश
- पसंद
- को यह पसंद है
- लिंक्डइन
- सुनना
- थोड़ा
- लंबा
- देखा
- देख
- हानि
- लॉट
- मोहब्बत
- मैक
- बनाया गया
- जादू
- मुख्य
- बनाना
- निर्माताओं
- मैलवेयर
- प्रबंधक
- बहुत
- निशान
- मेसाचुसेट्स
- मेसाचुसेट्स प्रौद्योगिक संस्थान
- बात
- मई..
- मतलब
- अर्थ
- साधन
- मीडिया
- -K-on (ITS MY FAVORITE ANIME!)
- याद
- मैसेजिंग
- माइक्रोसॉफ्ट
- हो सकता है
- मिनट
- एमआईटी
- आधुनिक
- महीना
- महीने
- अधिक
- अधिकांश
- सबसे लोकप्रिय
- चाल
- चलती
- MT
- माउंट Gox
- बहुत
- संगीत
- संगीत
- चाहिए
- my
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नाम
- नामों
- आवश्यक
- आवश्यकता
- नेटवर्क
- कभी नहीँ
- नया
- समाचार
- अगला
- नहीं
- नोटबुक
- अभी
- संख्या
- संख्या
- of
- बंद
- Office
- अधिकारी
- अक्सर
- पुराना
- on
- एक बार
- ONE
- लोगों
- ऑनलाइन
- केवल
- or
- आदेश
- मूल
- अन्य
- हमारी
- आउट
- आउटलुक
- बकाया
- पृष्ठ
- प्रदत्त
- भाग
- विशेष
- पासवर्ड
- पासवर्ड
- पैच
- पैच मंगलवार
- पैच
- धैर्य
- रोगी
- पैटर्न
- पॉल
- वेतन
- स्टाफ़
- शायद
- स्थायी
- फ़िशिंग
- चुनना
- टुकड़ा
- जगह
- योजना
- ग्रह
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- खिलाड़ी
- पॉडकास्ट
- पॉडकास्ट
- बिन्दु
- पॉप
- लोकप्रिय
- पोस्ट
- बिजली
- सुंदर
- पूर्वावलोकन
- जेल
- शायद
- मुसीबत
- समस्याओं
- प्रक्रिया
- प्रोफेसर
- कार्यक्रम
- प्रोग्रामर
- प्रोग्रामिंग
- प्रगति
- अच्छी तरह
- प्रस्ताव
- प्रदान करना
- सेवाएं प्रदान करें
- प्रकाशित
- रखना
- लाना
- प्रश्न
- वर्षा
- अनियमितता
- बल्कि
- पढ़ना
- पाठक
- पाठकों
- पढ़ना
- वास्तव में
- कारण
- कारण
- रिकॉर्ड
- नियमित
- नियमित तौर पर
- सम्बंधित
- रिहा
- विश्वसनीय
- बने रहे
- दूरस्थ
- अपेक्षित
- प्रतिक्रियाएं
- बाकी
- की समीक्षा
- सही
- दौर
- नियमित रूप से
- रॉयल्टी
- आरएसएस
- नियम
- रन
- दौड़ना
- रूसी
- कहा
- वही
- कहना
- कहावत
- अनुसूची
- अनुसूचित
- स्कूल के साथ
- Search
- सुरक्षित
- सुरक्षा
- देखना
- लगता है
- अर्धचालक
- भेजना
- वाक्य
- सजा सुनाई
- अलग
- गंभीर
- सेवा
- सेवाएँ
- सेट
- बसना
- स्थानांतरण
- चाहिए
- दिखाना
- समान
- सरल
- केवल
- के बाद से
- साइट
- छह
- छह महीने
- So
- सोशल मीडिया
- सोशल मीडिया
- सॉफ्टवेयर
- बेचा
- कुछ
- कुछ
- ध्वनि
- Soundcloud
- बोल रहा हूँ
- विशिष्ट
- बिताना
- बात
- Spotify
- स्टैंड
- प्रारंभ
- राज्य
- रहना
- फिर भी
- चुराया
- भंडारण
- कहानियों
- कहानी
- मजबूत
- विषय
- प्रस्तुत
- सुझाव
- आश्चर्य
- आश्चर्य चकित
- लेना
- में बात कर
- लक्ष्य
- टीम
- टीमों
- तकनीक
- तकनीकी रूप से
- टेक्नोलॉजी
- कहना
- दस
- से
- धन्यवाद
- कि
- RSI
- दुनिया
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- बात
- चीज़ें
- सोचना
- विचारधारा
- तीसरे दल
- इसका
- उन
- विचार
- तीन
- यहाँ
- पहर
- बार
- सेवा मेरे
- आज
- भी
- ऊपर का
- टॉप टेन
- कुल
- व्यापार
- स्थानांतरण
- कोशिश
- मंगलवार
- मोड़
- बदल गया
- दो
- यूनाइटेड
- संयुक्त राज्य अमेरिका
- भिन्न
- असत्य
- जब तक
- यूआरएल
- us
- अमेरिकी न्याय विभाग
- यूएस DOJ
- उपयोग
- प्रयुक्त
- का उपयोग
- वाहन
- बहुत
- भेंट
- दौरा
- इंतज़ार कर रही
- करना चाहते हैं
- युद्ध
- था
- घड़ी
- मार्ग..
- we
- वेब आधारित
- वेबसाइट
- सप्ताह
- सप्ताह
- कुंआ
- चला गया
- थे
- क्या
- जो कुछ
- कब
- या
- कौन कौन से
- कौन
- क्यों
- जंगली
- मर्जी
- खिड़कियां
- साथ में
- शब्द
- काम
- व्यायाम
- काम किया
- काम कर रहे
- कार्य
- विश्व
- लायक
- होगा
- लिखना
- लिख रहे हैं
- वर्ष
- साल
- अभी तक
- आप
- आपका
- जेफिरनेट
- शून्य