S3 Ep139: کیا پاس ورڈ کے قواعد بارش کے ذریعے چلنے جیسے ہیں؟

نیچے کوئی آڈیو پلیئر نہیں ہے؟ سنو براہ راست ساؤنڈ کلاؤڈ پر۔

ڈوگ  منگل کو پیچ، سائبر کرائم کی آمد، اور پاس ورڈز کے ساتھ تفریح۔

وہ سب کچھ، اور بہت کچھ، ننگی سیکیورٹی پوڈ کاسٹ پر۔

[میوزیکل موڈیم]

پوڈ کاسٹ میں خوش آمدید، سب۔

میں ڈوگ آموت ہوں؛ وہ پال ڈکلن ہے۔

پال، آج آپ کیسے کر رہے ہیں؟

---

بطخ.  ڈوگ، مجھے یہ نہیں کہنا چاہیے… لیکن اس لیے کہ میں جانتا ہوں کہ کیا ہو رہا ہے۔ ٹیک ہسٹری میں یہ ہفتہکیونکہ آپ نے مجھے ایک پیش نظارہ دیا، میں بہت پرجوش ہوں!

---

ڈوگ  ٹھیک ہے، ٹھیک ہے، آئیے اس تک پہنچتے ہیں!

اس ہفتے، 15 جون کو، 1949 میں واپسی پر، جے فارسٹر، جو میساچوسٹس انسٹی ٹیوٹ آف ٹیکنالوجی، یا MIT میں پروفیسر تھے، نے لکھا…

---

بطخ.  [مذاق ڈرامہ] یہ مت کہو جیسے آپ بوسٹن سے ہیں اور آپ اس کے بارے میں سب کچھ اسمگل کر رہے ہیں، ڈوگ؟ [ہنسی]

---

ڈوگ  ارے، یہ ایک خوبصورت کیمپس ہے؛ میں وہاں کئی بار گیا ہوں۔

---

بطخ.  یہ ایک طرح کا مشہور انجینئرنگ اسکول بھی ہے، ہے نا؟ [ہنسی]

---

ڈوگ  اس بات کا یقین ہے!

جے فورسٹر نے اپنی نوٹ بک میں "کور میموری" کے لیے ایک تجویز لکھی، اور بعد میں MIT کے Whirlwind کمپیوٹر پر مقناطیسی کور میموری انسٹال کرے گا۔

اس ایجاد نے کمپیوٹر کو زیادہ قابل اعتماد اور تیز تر بنا دیا۔

1970 کی دہائی میں سیمی کنڈکٹرز کی ترقی تک کور میموری کمپیوٹر اسٹوریج کے لیے مقبول انتخاب رہی۔

---

بطخ.  ایک بار جب آپ جان لیں کہ یہ کیسے کام کرتا ہے تو یہ ایک حیرت انگیز طور پر آسان خیال ہے۔

چھوٹے چھوٹے فیرائٹ مقناطیسی کور، جیسے کہ آپ کو ٹرانسفارمر کے مرکز میں ملے گا… جیسے سپر چھوٹے واشر۔

وہ مقناطیسی تھے، یا تو گھڑی کی سمت یا مخالف سمت میں، صفر یا ایک کا مطلب ہے۔

یہ لفظی طور پر مقناطیسی ذخیرہ تھا۔

اور اس میں فنکی خصوصیت تھی، ڈگلس، کیونکہ فیرائٹ بنیادی طور پر ایک مستقل مقناطیس بناتا ہے…

…آپ اسے دوبارہ میگنیٹائز کر سکتے ہیں، لیکن جب آپ پاور آف کرتے ہیں، تو یہ مقناطیسی رہتا ہے۔

تو یہ غیر مستحکم تھا!

اگر آپ کے پاس بجلی کی خرابی تھی، تو آپ بنیادی طور پر کمپیوٹر کو دوبارہ شروع کر سکتے ہیں اور جہاں سے آپ نے چھوڑا تھا اسے جاری رکھ سکتے ہیں۔

حیرت انگیز!

---

ڈوگ  بقایا، ہاں… یہ واقعی بہت اچھا ہے۔

---

بطخ.  بظاہر، MIT کا اصل منصوبہ اس خیال پر US$0.02 فی بٹ کی رائلٹی وصول کرنا تھا۔

کیا آپ تصور کر سکتے ہیں کہ یہ 64 گیگا بائٹ آئی فون میموری کو کتنا مہنگا بنائے گا؟

یہ اربوں ڈالر میں ہوگا! [ہنسی]

---

ڈوگ  غیر حقیقی.

ٹھیک ہے، کچھ دلچسپ تاریخ، لیکن آئیے اسے جدید دور تک لاتے ہیں۔

زیادہ عرصہ نہیں گزرا… مائیکروسافٹ پیچ منگل۔

صفر دن نہیں، لیکن پھر بھی بہت ساری اصلاحات، پال:

پیچ منگل 4 اہم RCE کیڑے، اور آفس ہولز کا ایک گروپ ٹھیک کرتا ہے۔

---

بطخ.  ٹھیک ہے، اس مہینے میں کوئی صفر دن نہیں ہیں اگر آپ اس ایج ریموٹ کوڈ پر عمل درآمد کے سوراخ کو نظر انداز کرتے ہیں جس کے بارے میں ہم نے پچھلے ہفتے بات کی تھی۔

---

ڈوگ  ہممممم۔

---

بطخ.  تکنیکی طور پر، یہ پیچ منگل کا حصہ نہیں ہے…

…لیکن مجموعی طور پر 26 ریموٹ کوڈ ایگزیکیوشن [RCE] بگز تھے، اور 17 ایلیویشن آف پریلیج [EoP] کیڑے تھے۔

یہ وہ جگہ ہے جہاں بدمعاش پہلے سے موجود ہیں، لیکن وہ ابھی زیادہ کچھ نہیں کر سکتے، اس لیے وہ پھر آپ کے نیٹ ورک پر سپر پاور حاصل کرنے کے لیے EoP بگ کا استعمال کرتے ہیں، اور بہت زیادہ گھناؤنی چیزیں کرتے ہیں۔

ان میں سے چار ریموٹ کوڈ ایگزیکیوشن بگز کو مائیکروسافٹ نے "کریٹیکل" کا نام دیا تھا، یعنی اگر آپ ان لوگوں میں سے ایک ہیں جو اب بھی اپنے پیچ کو مخصوص ترتیب میں کرنا پسند کرتے ہیں، تو یہ وہی ہیں جن کے ساتھ ہم آپ کو شروع کرنے کا مشورہ دیتے ہیں۔

چار اہم پیچ کے بارے میں اچھی خبر یہ ہے کہ ان میں سے تین ونڈوز کے ایک ہی جزو سے متعلق ہیں۔

جہاں تک میں سمجھ سکتا ہوں، یہ متعلقہ کیڑے کا ایک گروپ تھا، جو غالباً اس جزو کے کسی قسم کے کوڈ کے جائزے کے دوران پایا گیا تھا۔

جس کا تعلق ونڈوز میسجنگ سروس سے ہے، اگر آپ اسے اپنے نیٹ ورک میں استعمال کرتے ہیں۔

---

ڈوگ  اور SketchUp شکست کے ساتھ ہمارے صبر کے لیے ہم سب کا اجتماعی طور پر شکریہ ادا کیا گیا ہے، جس کے بارے میں مجھے اب تک معلوم نہیں تھا۔

---

بطخ.  آپ کی طرح، ڈوگ، میں نے کبھی بھی SketchUp نامی یہ پروگرام استعمال نہیں کیا، جس کے بارے میں مجھے یقین ہے کہ یہ تھرڈ پارٹی 3D گرافکس پروگرام ہے۔

کون جانتا تھا کہ SketchUp 3D امیجز کو اپنے Word, Excel, PowerPoint دستاویزات میں ڈالنا واقعی بہت اچھا ہو گا؟

جیسا کہ آپ تصور کر سکتے ہیں، آفس کے اندر تجزیہ کرنے، تشریح کرنے، کارروائی کرنے، پیش کرنے کے لیے بالکل نئے فائل فارمیٹ کے ساتھ…

…Microsoft نے ایک بگ متعارف کرایا جسے CVE-2023-33146 کے طور پر طے کیا گیا تھا۔

لیکن کہانی کے پیچھے چھپی ہوئی کہانی، اگر آپ چاہیں، تو یہ ہے کہ 01 جون 2023 کو مائیکروسافٹ نے اعلان کیا کہ:

SketchUp گرافکس داخل کرنے کی صلاحیت کو ورڈ، ایکسل، پاورپوائنٹ اور آؤٹ لک برائے ونڈوز اور میک میں عارضی طور پر غیر فعال کر دیا گیا ہے۔

ہم آپ کے صبر کی تعریف کرتے ہیں کیونکہ ہم اس خصوصیت کی حفاظت اور فعالیت کو یقینی بنانے کے لیے کام کرتے ہیں۔

مجھے خوشی ہے کہ مائیکروسافٹ میرے صبر کی تعریف کرتا ہے، لیکن میں شاید یہ خواہش کرتا ہوں کہ مائیکروسافٹ خود اس فیچر کو آفس میں متعارف کرانے سے پہلے تھوڑا زیادہ صبر کرتا۔

کاش انہوں نے اسے محفوظ ہونے کے بعد *اس کے اندر* ڈال دیا ہوتا، بجائے اس کے کہ یہ دیکھنے کے لیے کہ یہ محفوظ ہے یا نہیں اور یہ معلوم کرتے، جیسا کہ آپ کہتے ہیں (حیرت! حیرت!)، کہ ایسا نہیں تھا۔

---

ڈوگ  عظیم.

آئیے صبر کے موضوع پر قائم رہیں۔

میں نے کہا کہ ہم "اس پر نظر رکھیں گے"، اور مجھے امید تھی کہ ہمیں اس پر نظر رکھنے کی ضرورت نہیں ہوگی۔

لیکن ہمیں تھوڑا سا متنبہ کرنا ہوگا، جیسا کہ آپ نے سرخی میں کیا تھا۔

مزید MOVEit تخفیف: مزید تحفظ کے لیے شائع کیے گئے نئے پیچ، پال۔

مزید MOVEit تخفیف: مزید تحفظ کے لیے شائع کیے گئے نئے پیچ

---

بطخ.  یہ وہی اچھا پرانا MOVEit مسئلہ دوبارہ ہے: the ایس کیو ایل انجیکشن بگ.

اس کا مطلب یہ ہے کہ اگر آپ MOVEit ٹرانسفر پروگرام استعمال کر رہے ہیں، اور آپ نے اسے پیچ نہیں کیا ہے، تو بدمعاش جو ویب پر مبنی فرنٹ اینڈ تک رسائی حاصل کر سکتے ہیں آپ کے سرور کو غلط کام کرنے کے لیے دھوکہ دے سکتے ہیں…

… تک اور ایک ویب شیل کو سرایت کرنا شامل ہے جو انہیں بعد میں گھومنے دے گا اور جو چاہے کرے گا۔

جیسا کہ آپ جانتے ہیں، ایک CVE جاری کیا گیا تھا، اور MOVEit کے بنانے والے Progress Software نے جنگلی میں معلوم استحصال سے نمٹنے کے لیے ایک پیچ تیار کیا تھا۔

اب ان کے پاس اسی طرح کے کیڑوں سے نمٹنے کے لیے ایک اور پیچ ہے جو، جہاں تک وہ جانتے ہیں، بدمعاشوں کو ابھی تک نہیں ملا ہے (لیکن اگر وہ کافی سخت لگتے ہیں، تو ہو سکتا ہے)۔

اور، جتنا عجیب لگتا ہے، جب آپ کو معلوم ہوتا ہے کہ آپ کے سافٹ ویئر کے کسی خاص حصے میں ایک خاص قسم کا بگ ہے، تو آپ کو حیران نہیں ہونا چاہیے، جب آپ گہری کھدائی کرتے ہیں…

…آپ کو معلوم ہوتا ہے کہ پروگرامر (یا پروگرامنگ ٹیم جس نے اس وقت اس پر کام کیا تھا جس کے بارے میں آپ پہلے سے جانتے ہیں کہ بگ متعارف ہو چکا ہے) نے اسی وقت میں اسی طرح کی غلطیاں کیں۔

اس معاملے میں بہت اچھا کام کیا گیا ہے، میں یہ کہوں گا کہ پروگریس سافٹ ویئر کو اس سے فعال طور پر نمٹنے کی کوشش کرنے پر۔

پروگریس سافٹ ویئر نے ابھی کہا، "All Move It کے صارفین کو 09 جون 2023 کو جاری کردہ نئے پیچ کو لاگو کرنا ہوگا۔

---

ڈوگ  ٹھیک ہے، میرا اندازہ ہے کہ ہم... اس پر نظر رکھیں گے!

پال، یہاں میری مدد کرو۔

میں سال 2023 میں ہوں، ایک میں پڑھ رہا ہوں۔ ننگی سیکورٹی کی سرخی "ماؤنٹ کے بارے میں کچھ گوکس۔"

مجھے کیا ہو رہا ہے؟

تاریخ پر نظرثانی کی گئی: US DOJ نے Mt. Gox سائبر کرائم کے الزامات کو ختم کر دیا۔

---

بطخ.  ماؤنٹ گوکس!

"جادو دی گیدرنگ آن لائن ایکسچینج"، ڈوگ، جیسا کہ یہ تھا…

---

ڈوگ  یقیناً!

---

بطخ.  …جہاں آپ میجک دی گیدرنگ کارڈز کی تجارت کر سکتے ہیں۔

وہ ڈومین فروخت ہو گیا، اور لمبی یادیں رکھنے والوں کو معلوم ہو جائے گا کہ یہ سیارے پر سب سے زیادہ مقبول، اور اب تک کے سب سے بڑے بٹ کوائن کے تبادلے میں بدل گیا ہے۔

اسے جاپان سے باہر ایک فرانسیسی تارکین وطن مارک کارپیلس چلا رہا تھا۔

یہ سب کچھ تیراکی کے ساتھ چل رہا تھا، بظاہر، یہاں تک کہ یہ 2014 میں کرپٹو کرنسی کی دھول میں پھنس گیا، جب انہیں احساس ہوا کہ، ڈھیلے الفاظ میں، ان کے تمام بٹ کوائنز غائب ہو چکے ہیں۔

---

ڈوگ  مجھے ہنسنا نہیں چاہیے!

---

بطخ.  ان میں سے 647,000، یا کچھ اور۔

اور اس وقت بھی، ان کی قیمت پہلے ہی تقریباً $800 ایک پاپ تھی، تو یہ نصف بلین امریکی ڈالر کی "پف" کی قیمت تھی۔

حیرت انگیز طور پر، اس وقت، بہت ساری انگلیاں خود ماؤنٹ گوکس ٹیم کی طرف اشارہ کرتے ہوئے کہتی ہیں، "اوہ، یہ اندر کا کام ہونا چاہیے۔"

اور درحقیقت، نئے سال کے دن، میرے خیال میں، 2015 میں، یومیوری شیمبون نامی ایک جاپانی اخبار نے دراصل ایک مضمون شائع کیا تھا، جس میں کہا گیا تھا، "ہم نے اس پر غور کیا ہے، اور 1% نقصانات کی وضاحت اس عذر سے کی جا سکتی ہے۔ کے ساتھ آئے ہیں؛ باقی کے لیے، ہم یہ کہتے ہوئے ریکارڈ پر جا رہے ہیں کہ یہ اندرونی کام تھا۔

اب، وہ مضمون جو انہوں نے شائع کیا، جس کی وجہ سے بہت ڈرامہ ہوا کیونکہ یہ کافی ڈرامائی الزام ہے، جب آپ آج اس پر جاتے ہیں تو اب ایک 404 غلطی [HTTP صفحہ نہیں ملا] دیتا ہے۔

---

ڈوگ  بہت دلچسپ!

---

بطخ.  تو مجھے نہیں لگتا کہ وہ اب اس کے ساتھ کھڑے ہیں۔

اور، درحقیقت، ریاستہائے متحدہ میں محکمہ انصاف [DOJ] نے آخر کار، ان تمام سالوں کے بعد، اصل میں دو روسی شہریوں پر بنیادی طور پر تمام Bitcoins چوری کرنے کا الزام لگایا ہے۔

تو ایسا لگتا ہے کہ مارک کارپیلس کو کم از کم جزوی معافی مل گئی ہے، بشکریہ امریکی محکمہ انصاف، کیونکہ انہوں نے ان دو روسی چپسوں کو ان تمام سالوں پہلے اس جرم کے فریم میں ضرور ڈالا ہے۔

---

ڈوگ  یہ ایک دلچسپ پڑھنا ہے۔

تو اسے ننگی سیکیورٹی پر چیک کریں۔

آپ کو بس تلاش کرنا ہے، آپ نے اندازہ لگایا، "Mt. گوکس"۔

آئیے سائبر کرائم کے موضوع پر رہیں، کیونکہ گوزی بینکنگ میلویئر کے پیچھے ایک اہم مجرم ہے جیل میں اترا دس سالوں کے بعد، پال:

گوزی بینکنگ میلویئر "آئی ٹی چیف" کو 10 سال سے زیادہ کے بعد بالآخر جیل بھیج دیا گیا۔

---

بطخ.  ہاں… بس کا انتظار کرنا تھوڑا سا تھا۔

دو حیران کن "واہ، یہ دس سال پہلے ہوا تھا، لیکن ہم اسے آخر میں حاصل کر لیں گے" کہانیاں ایک ساتھ پہنچ گئیں۔ [ہنسی]

اور یہ، میں نے سوچا، دوبارہ لکھنا ضروری تھا، صرف یہ کہنا، "یہ محکمہ انصاف ہے؛ وہ اس کے بارے میں نہیں بھولے تھے۔"

اصل میں. اسے کولمبیا میں گرفتار کیا گیا تھا۔

مجھے یقین ہے کہ اس نے دورہ کیا، اور وہ بوگوٹا ہوائی اڈے پر تھا، اور میرا اندازہ ہے کہ سرحدی اہلکاروں نے سوچا، "اوہ، یہ نام واچ لسٹ میں ہے"!

اور اس طرح بظاہر کولمبیا کے حکام نے سوچا، "آئیے یو ایس ڈپلومیٹک سروس سے رابطہ کریں۔"

اُنہوں نے کہا، "ارے، ہم یہاں اس کے نام سے ایک چیپ پکڑے ہوئے ہیں (میں اس کے نام کا ذکر نہیں کروں گا - یہ مضمون میں ہے)۔ . کیا آپ اب بھی دلچسپی رکھتے ہیں، کسی بھی موقع سے؟"

اور، کیا حیرت ہے، ڈوگ، امریکہ واقعی بہت دلچسپی رکھتا تھا.

لہذا، اس نے حوالگی کی، عدالت کا سامنا کیا، جرم قبول کیا، اور اب اسے سزا سنائی گئی ہے۔

اسے صرف تین سال قید ہو گی، جو شاید ہلکی سزا کی طرح لگتی ہے، اور اسے $3,000,000 سے زیادہ کی رقم واپس کرنی ہوگی۔

میں نہیں جانتا کہ اگر وہ ایسا نہیں کرتا ہے تو کیا ہوتا ہے، لیکن میرا اندازہ ہے کہ یہ صرف ایک یاد دہانی ہے کہ میلویئر سے متعلق جرائم سے بھاگ کر اور چھپ کر…

… ٹھیک ہے، اگر آپ کے خلاف الزامات ہیں اور امریکہ آپ کو ڈھونڈ رہا ہے، تو وہ صرف یہ نہیں چھوڑیں گے، "آہ، یہ دس سال ہیں، ہم بھی اسے چھوڑ سکتے ہیں۔"

اور اس لڑکے کی مجرمانہ چال چل رہی تھی جسے اصطلاح میں "بلٹ پروف میزبان" کے نام سے جانا جاتا ہے، ڈوگ۔

بنیادی طور پر یہ وہ جگہ ہے جہاں آپ ایک ISP کی طرح ہیں، لیکن ایک باقاعدہ ISP کے برعکس، آپ قانون نافذ کرنے والے اداروں، بلاک لسٹوں، اور باقاعدہ ISPs سے نوٹس لینے کے لیے متحرک ہدف بننے کے لیے اپنے راستے سے ہٹ جاتے ہیں۔

لہذا، آپ خدمات فراہم کرتے ہیں، لیکن آپ ان کو، اگر آپ چاہیں، انٹرنیٹ پر گھومتے پھرتے رہتے ہیں، تاکہ بدمعاش آپ کو فیس ادا کریں، اور وہ جانتے ہیں کہ آپ جو ڈومینز ان کے لیے ہوسٹ کر رہے ہیں وہ جاری رہیں گے۔ کام کرنا، چاہے قانون نافذ کرنے والے آپ کے پیچھے ہوں۔

---

ڈوگ  ٹھیک ہے، ایک بار پھر اچھی خبر۔

پال، آپ نے، جیسا کہ ہم نے اپنی کہانیوں کو دن کے لیے تیار کیا، ایک بہت مشکل، باریک بینی سے، ابھی تک اہم سوال پاس ورڈز کے بارے میں

یعنی، کیا ہمیں انہیں مسلسل گردش میں بدلنا چاہیے، شاید مہینے میں ایک بار؟

یا شروع کرنے کے لئے واقعی پیچیدہ لوگوں میں لاک کریں، اور پھر کافی حد تک تنہا چھوڑ دیں؟

طے شدہ پاس ورڈ کی تبدیلیوں کے بارے میں خیالات (انہیں گردش مت کہو!)

---

بطخ.  اگرچہ یہ ایک طرح کی پرانی کہانی کی طرح لگتا ہے، اور واقعی یہ ایک ایسی ہے جسے ہم پہلے بھی کئی بار دیکھ چکے ہیں، لیکن میں نے اسے لکھنے کی وجہ یہ ہے کہ ایک قاری نے اس چیز کے بارے میں پوچھنے کے لیے مجھ سے رابطہ کیا۔

انہوں نے کہا، “میں 2FA کے لیے بلے بازی میں نہیں جانا چاہتا۔ میں پاس ورڈ مینیجرز کے لیے بیٹ میں نہیں جانا چاہتا۔ وہ الگ الگ مسائل ہیں۔ میں صرف یہ جاننا چاہتا ہوں کہ اگر آپ چاہیں تو، میری کمپنی کے اندر دو دھڑوں کے درمیان جنگ کیسے طے کی جائے، جہاں کچھ لوگ کہہ رہے ہیں کہ ہمیں پاس ورڈ درست طریقے سے کرنے کی ضرورت ہے، اور دوسرے صرف یہ کہہ رہے ہیں، 'وہ کشتی چلی گئی، یہ بہت مشکل ہے، ہم صرف لوگوں کو انہیں تبدیل کرنے پر مجبور کریں گے اور یہ کافی اچھا ہوگا''۔

تو میں نے سوچا کہ یہ واقعی اس کے بارے میں لکھنے کے قابل ہے۔

ننگی سیکورٹی، اور سوشل میڈیا پر تبصروں کی تعداد کو دیکھتے ہوئے، بہت سی آئی ٹی ٹیمیں اب بھی اس کے ساتھ کشتی کر رہی ہیں۔

اگر آپ لوگوں کو ہر 30 دن یا 60 دن بعد اپنا پاس ورڈ تبدیل کرنے پر مجبور کرتے ہیں، تو کیا واقعی اس سے کوئی فرق پڑتا ہے کہ اگر وہ کوئی ایسا انتخاب کریں جو نمایاں طور پر کریک ایبل ہو اگر ان کی ہیش چوری ہو جائے؟

جب تک وہ انتخاب نہیں کرتے password or secret یا دنیا کے ٹاپ ٹین بلیوں کے ناموں میں سے ایک، شاید یہ ٹھیک ہے کہ اگر ہم اسے کسی اور غیر بہت اچھے پاس ورڈ میں تبدیل کرنے پر مجبور کریں، اس سے پہلے کہ بدمعاش اسے کریک کر سکیں؟

شاید یہ کافی اچھا ہے؟

لیکن میرے پاس تین وجوہات ہیں کہ آپ صرف دوسری بری عادت کی پیروی کرکے کسی بری عادت کو ٹھیک نہیں کر سکتے۔

---

ڈوگ  گیٹ سے باہر نکلنے والا پہلا: پاس ورڈز کو باقاعدگی سے تبدیل کرنا مضبوط پاس ورڈز کو منتخب کرنے اور استعمال کرنے کا متبادل نہیں ہے، پال۔

---

بطخ.  نہیں!

آپ دونوں کو کرنے کا انتخاب کر سکتے ہیں (اور میں آپ کو ایک منٹ میں دو وجوہات بتاؤں گا کیوں کہ میرے خیال میں لوگوں کو انہیں باقاعدگی سے تبدیل کرنے پر مجبور کرنے سے مسائل کا ایک اور مجموعہ ہے)۔

لیکن سادہ مشاہدہ یہ ہے کہ خراب پاس ورڈ کو باقاعدگی سے تبدیل کرنے سے یہ بہتر پاس ورڈ نہیں بنتا۔

اگر آپ بہتر پاس ورڈ چاہتے ہیں تو شروع کرنے کے لیے ایک بہتر پاس ورڈ کا انتخاب کریں!

---

ڈوگ  اور آپ کہتے ہیں: لوگوں کو اپنے پاس ورڈز کو معمول کے مطابق تبدیل کرنے پر مجبور کرنے سے وہ بری عادتوں میں پڑ سکتے ہیں۔

---

بطخ.  تبصروں کو دیکھتے ہوئے، یہ بالکل وہی مسئلہ ہے جو بہت سی آئی ٹی ٹیموں کو درپیش ہے۔

اگر آپ لوگوں سے کہتے ہیں، "ارے، آپ کو ہر 30 دن بعد اپنا پاس ورڈ تبدیل کرنا پڑے گا، اور بہتر ہے کہ آپ کوئی اچھا پاس ورڈ چن لیں،" تو وہ بس کریں گے…

…وہ ایک اچھا انتخاب کریں گے۔

وہ اپنی باقی زندگی کے لیے اسے یاد رکھنے میں ایک ہفتہ گزاریں گے۔

اور پھر ہر مہینے وہ شامل کریں گے۔ -01, -02، اور اسی طرح.

لہذا اگر بدمعاش پاس ورڈ میں سے کسی ایک کو کریک کرتے ہیں یا سمجھوتہ کرتے ہیں، اور وہ اس طرح کا ایک نمونہ دیکھتے ہیں، تو وہ کافی حد تک اس بات کا اندازہ لگا سکتے ہیں کہ آج آپ کا پاس ورڈ کیا ہے اگر انہیں آپ کا پاس ورڈ چھ ماہ پہلے کا معلوم ہو۔

اس لیے جب ضروری نہ ہو تو تبدیلی کو مجبور کرنا لوگوں کو سائبر سیکیورٹی کے شارٹ کٹس لینے پر مجبور کر سکتا ہے جو آپ نہیں چاہتے کہ وہ کریں۔

---

ڈوگ  اور یہ ایک دلچسپ ہے۔

ہم اس کے بارے میں پہلے بھی بات کر چکے ہیں، لیکن یہ ایسی چیز ہے جس کے بارے میں کچھ لوگوں نے سوچا بھی نہیں ہوگا: پاس ورڈ کی تبدیلیوں کو شیڈول کرنے سے ہنگامی ردعمل میں تاخیر ہو سکتی ہے۔

تمہارا اس سے کیا مطلب ہے؟

---

بطخ.  بات یہ ہے کہ اگر آپ کے پاس پاس ورڈ کی تبدیلی کے لیے باقاعدہ، طے شدہ شیڈول ہے تاکہ سب کو معلوم ہو کہ جب اس مہینے کا آخری دن آئے گا تو وہ بہرحال اپنا پاس ورڈ تبدیل کرنے پر مجبور ہوں گے…

اور پھر وہ سوچتے ہیں، "تم جانتے ہو کیا؟ یہ مہینے کی 12 تاریخ ہے، اور میں ایک ایسی ویب سائٹ پر گیا جس کے بارے میں مجھے یقین نہیں ہے کہ یہ ایک فشنگ سائٹ ہو سکتی ہے۔ ٹھیک ہے، میں بہرحال دو ہفتوں میں اپنا پاس ورڈ تبدیل کرنے جا رہا ہوں، اس لیے میں ابھی جا کر اسے تبدیل نہیں کروں گا۔"

لہذا، اپنے پاس ورڈز کو *باقاعدگی سے* تبدیل کرنے سے، آپ اس عادت کو ختم کر سکتے ہیں جہاں کبھی کبھی، جب یہ واقعی، واقعی اہم ہوتا ہے، آپ اپنا پاس ورڈ *کثرت سے* تبدیل نہیں کرتے ہیں۔

اگر اور جب آپ کو لگتا ہے کہ آپ کے پاس ورڈ کو تبدیل کرنے کی کوئی اچھی وجہ ہے، تو اسے ابھی کریں!

---

ڈوگ  مجھے یہ پسند ہے!

ٹھیک ہے، آئیے پاس ورڈ کے ٹکڑے پر اپنے قارئین میں سے ایک سے سنتے ہیں۔

ننگے سیکورٹی ریڈر فلپ لکھتے ہیں، جزوی طور پر:

اپنے پاس ورڈ کو اکثر تبدیل کرنا تاکہ سمجھوتہ نہ ہو جائے یہ سوچنے کے مترادف ہے کہ اگر آپ کافی تیزی سے دوڑتے ہیں تو آپ بارش کے تمام قطروں کو چکما سکتے ہیں۔

ٹھیک ہے، آپ اپنے پیچھے گرنے والے بارش کے قطروں کو روکیں گے، لیکن آپ جہاں جا رہے ہیں وہاں بہت سے لوگ ہوں گے۔

اور، اپنے پاس ورڈز کو باقاعدگی سے تبدیل کرنے پر مجبور ہونے پر، لوگوں کی ایک بہت بڑی تعداد صرف ایک نمبر کو شامل کرے گی جس میں وہ ضرورت کے مطابق اضافہ کر سکتے ہیں۔

جیسا کہ آپ نے کہا، پال!

---

بطخ.  آپ کے اور میرے دوست، چیسٹر [وسنیوسکی] نے کہا، چند سال پہلے جب ہم بات کر رہے تھے۔ پاس ورڈ کی خرافات, "انہیں صرف یہ کرنے کی ضرورت ہے [ہنس]، یہ جاننے کے لیے کہ آخر نمبر کیا ہے، اپنے LinkedIn صفحہ پر جانا ہے۔ 'اس کمپنی میں اگست 2017 میں شروع ہوا'… اس کے بعد سے مہینوں کی تعداد شمار کریں۔

یہ وہ نمبر ہے جس کی آپ کو آخر میں ضرورت ہے۔

Sophos Techknow - پاس ورڈ کی خرافات کو ختم کرنا

---

ڈوگ  بالکل! [ہنسی]

---

بطخ.  اور مسئلہ یہ ہے کہ جب آپ کوشش کرتے ہیں اور شیڈول کرتے ہیں، یا الگورتھم… کیا یہ ایک لفظ ہے؟

(یہ شاید نہیں ہونا چاہئے، لیکن میں اسے بہرحال استعمال کروں گا۔)

جب آپ کوشش کرتے ہیں کہ بے ترتیب پن، اور اینٹروپی، اور غیر متوقعیت کا خیال لیں، اور اسے کچھ انتہائی سخت الگورتھم میں جوڑیں، جیسا کہ الگورتھم جو یہ بتاتا ہے کہ گاڑیوں کے ٹیگز پر حروف اور نمبر کیسے رکھے جاتے ہیں، مثال کے طور پر…

…پھر آپ کا اختتام *کم* بے ترتیب پن کے ساتھ ہوتا ہے، نہ کہ *زیادہ*، اور آپ کو اس سے آگاہ ہونے کی ضرورت ہے۔

لہذا، لوگوں کو کوئی بھی ایسا کام کرنے پر مجبور کرنا جس کی وجہ سے وہ ایک نمونے میں پڑ جائیں، جیسا کہ چیسٹر نے اس وقت کہا تھا، انہیں محض ایک بری عادت کی عادت میں ڈالنا ہے۔

اور میں اسے ڈالنے کا طریقہ پسند کرتا ہوں۔

---

ڈوگ  ٹھیک ہے، فلپ، اسے بھیجنے کے لیے آپ کا بہت شکریہ۔

اور اگر آپ کے پاس کوئی دلچسپ کہانی، تبصرہ، یا سوال ہے جسے آپ جمع کروانا چاہتے ہیں، تو ہم اسے پوڈ کاسٹ پر پڑھنا پسند کریں گے۔

آپ tips@sophos.com پر ای میل کر سکتے ہیں، ہمارے کسی بھی مضمون پر تبصرہ کر سکتے ہیں، یا ہمیں سوشل: @nakedsecurity پر مار سکتے ہیں۔

یہ ہمارا آج کا شو ہے۔

سننے کا بہت بہت شکریہ۔

پال ڈکلن کے لیے، میں ڈوگ آموت ہوں، آپ کو یاد دلا رہا ہوں، اگلی بار تک،...

---

دونوں  محفوظ رہو!

[میوزیکل موڈیم]