لسٹ پاس نیٹ ورک کی حفاظت سے سمجھوتہ کرنے والی خبریں یقینا ایک سنگین مسئلہ ہے۔ جس کمپنی کی خلاف ورزی کی جارہی ہے وہی ایک تھی جو پاس ورڈ مینجمنٹ سروس فراہم کرتی ہے جو ایک نوچ - یا دس کے ذریعہ سنجیدگی کو بڑھا رہی ہے۔ تو میں کیوں ہوں ، کوئی ایسا شخص جس نے آئی ٹی سیکیورٹی کے بارے میں لکھنے پر کیریئر بنایا ہو ، اس کے بارے میں اپنے بال نہیں کھینچ رہا ہوں؟ اس حقیقت سے پرے کہ میرے پاس ٹگ کرنے کے لئے کوئی نہیں ہے ، لسٹ پاس کی خلاف ورزی اتنا بڑا معاملہ نہیں ہے جتنا دوسروں کے لئے ہے۔
ہمیں کوئی ثبوت نہیں ملا ہے کہ خفیہ کردہ صارف والٹ کا ڈیٹا لیا گیا تھا اور نہ ہی لسٹ پاس صارف کے کھاتوں تک رسائی حاصل کی گئی تھی ، لسٹ پاس کے ترجمان نے ہمیں بتایا۔ تو ، آپ کیا پوچھ سکتے ہیں کہ کس طرح کی ہنگامہ آرائی ہے؟ جہاں خطرہ ہے؟ ٹھیک ہے جیسے ہی میں اسے دیکھ رہا ہوں اس میں دوگنا ہے۔ پہلے ، چونکہ ای میل پتوں اور اس سے وابستہ پاس ورڈ کی یاد دہانیوں پر سمجھوتہ کیا گیا ہے ، لہذا میں جعلی ماسٹر پاس ورڈ دوبارہ ترتیب دینے والے پیغامات کی شکل میں ٹارگٹ فش کرنے کی کوششوں کو دیکھنے کی توقع کروں گا۔ میں سوچنا چاہتا ہوں کہ میں ان کے لئے نہیں گروں گا۔
ونڈوز 10 میں تمام کور کو چالو کرنے کا طریقہ
دوسرے خطرے کی بات ہے تو ، کمزور ماسٹر پاس ورڈ فی الحال بریٹ فورس کریکنگ کی کوششوں ، سرور فی صارف صارف نمک اور توثیق ہیشوں تک رسائی حاصل کرنے کے تحت ہوں گے۔ جہاں تک کریکنگ کی اس طرح کی کوششیں ہوتی ہیں ، حقیقت یہ ہے کہ لسٹ پاس ان تصدیقی ہیشوں کو بے ترتیب نمک کے ساتھ مستحکم کرتا ہے اور اچھ measureی پیمائش کے ل server سرور سائڈ PBKDF2-SHA256 کے اضافی 100،000 راؤنڈ میں پھینک دیتا ہے۔ تاہم ، اگر ماسٹر پاس ورڈ ناقص ہے تو پھر بھی یہ طاقت ور حملوں کے لئے کھلا ہوگا۔ اس کو توڑنے میں ابھی تھوڑا سا زیادہ وقت لگے گا۔
لہذا لسٹ پاس اکثر صارفین پر ماسٹر پاس ورڈ تبدیل کرنے پر مجبور کررہا ہے ، اور نئے آلے یا IP پتے سے لاگ ان ہونے والوں سے ای میل کی توثیق کے لئے دعا گو ہے۔ تاہم ، میں اب اپنے ماسٹر پاس ورڈ کو تبدیل نہیں کروں گا ، اور نہ ہی میں (ابھی ایک نظر ڈالیں) 442 دن کے لئے ہوں کیونکہ یہ بے ترتیب ہے ، یہ پیچیدہ ہے ، یہ 25 حروف سے زیادہ لمبا ہے ، یہ کہیں اور استعمال نہیں ہوا ہے ، اور میں اسے دل سے یاد کر سکتے ہیں۔ اس کے علاوہ ، اس کو مندرجہ ذیل دو جادو الفاظ کی حمایت حاصل ہے: ملٹی فیکٹر کی توثیق۔
بوم! جہاں تک میرا تعلق ہے ، لاسٹ پاس نیٹ ورک کے دائرہ میں جانے کی ساری کوششیں کسی کام کے نہیں ہیں کیونکہ میں ملٹی فیکٹر کی توثیق کے ذریعہ ایک مضبوط ماسٹر پاس ورڈ کا استعمال کرتا ہوں۔ یہاں تک کہ اگر میرے ماسٹر پاس ورڈ پر کسی نہ کسی طرح سمجھوتہ کیا گیا تھا ، تب بھی حملہ آور کو میرے پاس ورڈ والٹ کو ڈیکرٹ کرنے کے ل my میرے یوبیکی (جسمانی ٹوکن) تک رسائی حاصل کرنی ہوگی۔ یہ اعلی درجے کی ترتیبات استعمال کرنے کے لئے آزاد ہیں اور کچھ وقت کے لئے صارفین کے لئے دستیاب ہیں - اس کے علاوہ ، آپ کو یوبیکی خریدنے کی ضرورت نہیں ہے۔ اگر آپ چاہیں تو مفت ڈاؤن لوڈ ایپ استعمال کرسکتے ہیں جیسے گوگل مستند۔ آپ کسی بھی سائٹ یا سروس پر جہاں پیش کی جاتی ہیں وہاں دو عنصر کی توثیق (2 ایف اے) کیوں نہیں استعمال کریں گے؟ نہیں سچ میں؟
اعلی درجے کی ترتیبات کے بارے میں بات کرتے ہوئے ، ایک اور بھی ہے جو میں استعمال کرتا ہوں جو مجھے اپنے ڈیٹا پر اعتماد کی ایک اور پرت مہی .ا کرتا ہے جو لسٹ پاس کے ساتھ معقول حد تک محفوظ ہے ، اور یہ ایک جغرافیائی رسائی لاک ڈاؤن ہے۔ آپ ملک پر پابندیاں متعین کرسکتے ہیں جو آپ کو ان ممالک کا فیصلہ کرنے میں اہل بناتے ہیں جہاں سے آپ کے پاس ورڈ والٹ تک رسائی حاصل ہوسکتی ہے۔ میں اس وقت تک برطانیہ میں بند رہتا ہوں جب تک کہ میں بیرون ملک سفر نہیں کرتا ہوں ، ایسی حالت میں میں روانگی سے قبل اس مخصوص جگہ کو اہل بناتا ہوں۔ اوہ ، اور میں ٹور نیٹ ورکس سے بھی لاگ ان نہیں ہونے دیتا ہوں۔ پیرانوئڈ ، موئی؟ نہیں ، ان کلیدوں تک بادشاہی تک رسائی کو محدود کرنے کے بارے میں صرف سمجھدار ہے۔ جیسا کہ آپ کو بھی ہونا چاہئے۔
لاسٹ پاس سمجھوتہ کے بارے میں مجھے سب سے زیادہ پریشانی کرنے والا ، عجیب و غریب حد تک ، سمجھوتہ خود نہیں بلکہ اس کا جواب ہے۔ اور خاص طور پر میڈیا - پیشہ ورانہ اور معاشرتی دونوں۔ ایسا لگتا ہے کہ لسٹ پاس کو لات مارنے میں خوشی کا ایک بنیادی احساس پایا جاتا ہے ، اور بہت ساری قسم کی اطلاع آپ کو بتاتی ہے۔ لیکن آپ نے ہمیں بالکل کیا بتایا؟ بالکل یہاں کیا ہوا ہے؟ جہاں تک ہم دیکھ سکتے ہیں کسی بھی خفیہ کردہ پاس ورڈ کے ڈیٹا سے سمجھوتہ نہیں کیا گیا ہے ، اور لسٹ پاس اس واقعے کا انکشاف کرنے اور صارف کے اعتماد کو مزید محفوظ بنانے کیلئے اقدامات کرنے میں بالکل شفاف تھا۔
میڈیا نائسرز ہم سے کیا کریں گے؟ قلم اور کاغذ پر واپس جائیں ، یا اس سے کہیں زیادہ تکنیکی انکریپٹ خود ہی حل ہوجائیں؟ میں نے دونوں کو تجویز کردہ دیکھا ہے ، اور نہ ہی اوسط جو کے لئے خطرہ کم کیا ہے ، حقیقت میں اس کے برعکس ہے۔ ہوسکتا ہے کہ کسی دوسرے پاس ورڈ کے انتظام فراہم کرنے والے کے پاس منتقل ہو؟ ایک بار پھر ، یہ کس طرح مدد کرتا ہے جب آپ نہیں جانتے کہ ان کا ردعمل کیسے ہوگا جب - اگر نہیں - وہ کسی خلاف ورزی کا شکار ہیں۔ کم سے کم آپ جانتے ہو کہ جب بات کی خلاف ورزی کی بات آتی ہے تو لاسٹ پاس بال پر ہوتا ہے۔
میرے لئے ، پاس ورڈ مینیجر زیادہ تر لوگوں کے لئے سب سے محفوظ آپشن رہتا ہے ، اور اگر آپ میری برتری کی پیروی کرتے ہیں اور ملٹی فیکٹر کی توثیق اور کچھ لاگ ان لاک ڈاؤن آپشنز کے ساتھ مضبوط ماسٹر پاس ورڈ کو جوڑ دیتے ہیں تو آپ سمجھوتہ کے خطرے کو اتنا کم کردیں گے جتنا انسانیت ممکن ہے۔
اور یہ ، پیارے قارئین ، اسی لئے مجھے اپنا ماسٹر پاس ورڈ تبدیل کرنے کی ضرورت نہیں ہے۔ یا اس معاملے میں میرا پاس ورڈ منیجر۔
