क्यों आपका सबसे जटिल पासवर्ड भी जल्द ही क्रैक हो जाएगा

80% से अधिक डेटा ब्रीच पासवर्ड से संबंधित हैं। प्रत्येक खाते के लिए जटिल और अलग-अलग पासवर्ड का उपयोग करने से सुरक्षा बढ़ सकती है। हालाँकि, मजबूत पासवर्ड वाले ग्राहक खाते भी हैक हो सकते हैं।

जब हम डिजिटल खातों में लॉग इन करने की बात करते हैं, चाहे वह ऐप में हो या वेबसाइट पर, तो हमें एक यूजरनेम और पासवर्ड का संयोजन याद आता है। गुप्त पासवर्ड का उपयोग हजारों वर्षों से किया जा रहा है। यह एक सरल अवधारणा है - जानकारी का एक साझा टुकड़ा, जिसे व्यक्तियों के बीच गुप्त रखा जाता है और पहचान साबित करने के लिए उपयोग किया जाता है।

ऐसे समय में जब लोग अपना अधिकांश जीवन ऑनलाइन बिताते हैं, इस सरल अवधारणा का उपयोग व्यापक है। सर्वेक्षणों में पाया गया है कि नए ऐप और ऑनलाइन सेवाओं के विस्फोट के जवाब में, हाल के वर्षों में प्रति उपयोगकर्ता पासवर्ड से सुरक्षित खातों की संख्या में तेजी से वृद्धि हुई है। NordPass द्वारा शुरू किए गए एक अध्ययन में पाया गया कि 2019 और 2020 के बीच प्रति उपयोगकर्ता पासवर्ड की संख्या 20% तक बढ़ गई, जो औसतन 83 से 100 हो गई।

पासवर्ड से सुरक्षित खातों की बढ़ती संख्या शुरू में कोई समस्या नहीं लगती है। हालाँकि, उपयोगकर्ता जिस तरह से पासवर्ड सेट और प्रबंधित करते हैं, वह वास्तव में एक समस्या है। पासवर्ड स्थिर होता है और इसलिए इसे उपयोगकर्ता द्वारा याद रखा जाना चाहिए या संग्रहीत किया जाना चाहिए - चाहे वह एक स्टिकी नोट पर हो या पासवर्ड मैनेजर के भीतर। चूंकि एक औसत व्यक्ति केवल 7 अक्षरों या संख्याओं के संयोजन को ही याद रख सकता है, इसलिए 100 अलग-अलग पासवर्ड याद रखना काफी दर्दनाक हो सकता है। नतीजतन, उपयोगकर्ता परिवार के सदस्यों के नाम, जन्म तिथि या बस 123456 जैसे सरल पासवर्ड का उपयोग करते हैं - जो अभी भी इंटरनेट पर सबसे अधिक उपयोग किया जाने वाला पासवर्ड है। लेकिन पासवर्ड पहली जगह में सुरक्षा समस्या क्यों हैं?

पासवर्ड का पुन: उपयोग सुरक्षा उल्लंघनों का #1 कारण है#

अपने सभी खातों का प्रबंधन करने के लिए, 52% उपयोगकर्ता गंभीर परिणामों के साथ पासवर्ड का पुन: उपयोग करते हैं। यह हैकर्स को सबसे कमजोर कड़ी (सबसे कम सुरक्षा मानकों वाली वेबसाइट) पर हमला करके कई खातों तक पहुंच प्राप्त करने की अनुमति देता है। उदाहरण के लिए, आपका Facebook खाता एक जटिल पासवर्ड और मजबूत सुरक्षा मानकों द्वारा सुरक्षित है। हालाँकि, इस बात की अच्छी संभावना है कि आपके क्रेडेंशियल्स पिछले डेटा ब्रीच में शामिल थे, जैसे कि 2008 में MySpace का ब्रीच, जहाँ 359,420,698 क्रेडेंशियल्स चोरी हो गए थे। और यह सिर्फ एक उदाहरण है। Forbes के अनुसार, 2018 के बाद से चोरी हुए क्रेडेंशियल्स की संख्या में 300% की वृद्धि हुई है। आज, 100,000 ब्रीच से 15 बिलियन से अधिक क्रेडेंशियल्स इंटरनेट पर किसी के भी द्वारा खरीदे जा सकते हैं। इन क्रेडेंशियल्स के साथ, हैकर्स आपके खातों तक पहुंच प्राप्त करने के लिए सैकड़ों प्लेटफॉर्म पर बड़े पैमाने पर लॉगिन अनुरोध करते हैं (जिन्हें क्रेडेंशियल स्टफिंग हमले कहा जाता है)।

यहां तक कि जटिल पासवर्ड भी सुरक्षित नहीं हैं#

इस व्यापक रूप से ज्ञात जोखिम के बावजूद, 70% लीक हुए क्रेडेंशियल्स अभी भी उपयोग में हैं। आमतौर पर, पासवर्ड मैनेजर के संयोजन में प्रत्येक प्लेटफॉर्म पर प्रत्येक खाते के लिए अलग, जटिल पासवर्ड का उपयोग करके क्रेडेंशियल स्टफिंग हमलों से बचा जा सकता है। हालाँकि, जटिल पासवर्ड को भी कुछ ही सेकंड में आसानी से क्रैक किया जा सकता है। पिछले साल, हर संभव पासवर्ड उत्पन्न करने की कोशिश करने वाले कंप्यूटर के लिए एक रिकॉर्ड बनाया गया था। इसने प्रति सेकंड 100,000,000,000 से अधिक अनुमानों की दर हासिल की। यादृच्छिक यूजरनेम/पासवर्ड संयोजनों को आजमाने के लिए ऐसे स्क्रिप्ट का उपयोग करने को ब्रूट फोर्स तरीके कहा जाता है।

लेकिन भले ही आपका पासवर्ड ब्रूट फोर्स द्वारा क्रैक नहीं किया गया था, फिर भी यह पूरी तरह से सुरक्षित नहीं है। एक ग्राहक के रूप में, आपको उन प्लेटफॉर्म के सुरक्षा मानकों पर भरोसा करना होगा जिनमें आप लॉग इन कर रहे हैं। कमजोर सुरक्षा के मामले में, कोई भी पासवर्ड चोरी हो सकता है, चाहे वह कितना भी जटिल क्यों न हो।

हैकर्स रचनात्मक हैं और अपने तरीकों में लगातार सुधार कर रहे हैं#

दुर्भाग्य से, ग्राहक खातों तक अनधिकृत पहुंच प्राप्त करने के लिए क्रेडेंशियल स्टफिंग और ब्रूट फोर्स ही एकमात्र तरीके नहीं हैं। एक अन्य व्यापक तकनीक फ़िशिंग है, जहाँ मूल साइट के नकली यूजर इंटरफेस का उपयोग उपयोगकर्ताओं को अपने क्रेडेंशियल दर्ज करने के लिए धोखा देने के लिए किया जाता है। आगे के तरीके मैन-इन-द-मिडल हमले हैं, जहां सार्वजनिक वाईफाई नेटवर्क जैसे संचार स्ट्रीम को इंटरसेप्ट किया जाता है या कीलॉगिंग, जहां क्रेडेंशियल्स को कैप्चर करने के लिए कंप्यूटर पर मैलवेयर स्थापित किया जाता है।

जब तक पासवर्ड मौजूद हैं, ग्राहक खाते हैक होते रहेंगे#

ऊपर बताई गई समस्याएं इस बात का कारण हैं कि क्यों 80% से अधिक डेटा ब्रीच और हैकिंग हमले पासवर्ड के कारण होते हैं और इस बात पर जोर देते हैं कि हमें प्रमाणीकरण को संभालने के लिए सिर्फ यूजरनेम और पासवर्ड से बेहतर दृष्टिकोण की आवश्यकता है। सुरक्षा के मामले में 2-फैक्टर-ऑथेंटिकेशन (2FA) जैसे विकास सही दिशा में जाते हैं, लेकिन उपयोगकर्ताओं द्वारा इसे अपनाने की दर काफी कम है। तो क्यों न पासवर्ड को पूरी तरह से हटा दिया जाए और पासवर्डलेस हो जाया जाए? दिलचस्प लगता है? Corbado के पासवर्डलेस समाधानों का अन्वेषण करें और भविष्य के प्रमाणीकरण की पहली झलक पाएं!

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

अक्सर पूछे जाने वाले प्रश्न#

मेरा खाता सुरक्षित रखने के लिए एक अद्वितीय, जटिल पासवर्ड का उपयोग करना पर्याप्त क्यों नहीं है?#

एक जटिल पासवर्ड से भी समझौता किया जा सकता है यदि इसे स्टोर करने वाले प्लेटफॉर्म के सुरक्षा मानक कमजोर हैं, क्योंकि किसी भी पासवर्ड को उसकी मजबूती की परवाह किए बिना कमजोर सर्वर से चुराया जा सकता है। फ़िशिंग, कीलॉगिंग और मैन-इन-द-मिडल हमले जैसी तकनीकें एन्क्रिप्शन लागू होने से पहले ही क्रेडेंशियल्स कैप्चर कर लेती हैं, जिससे पासवर्ड स्वयं सबसे कमजोर कड़ी बन जाता है, चाहे वह कितना भी जटिल क्यों न हो।

क्रेडेंशियल स्टफिंग क्या है और चोरी हुए क्रेडेंशियल्स का पैमाना इसे इतना खतरनाक कैसे बनाता है?#

क्रेडेंशियल स्टफिंग में एक ब्रीच से चोरी किए गए यूजरनेम और पासवर्ड जोड़े लेना और स्वचालित रूप से सैकड़ों अन्य प्लेटफॉर्म पर उनका परीक्षण करना शामिल है। ऑनलाइन खरीद के लिए उपलब्ध 100,000 ब्रीच से 15 बिलियन से अधिक क्रेडेंशियल्स के साथ, हमलावरों के पास काम करने के लिए विशाल डेटासेट हैं, और अकेले 2008 के MySpace ब्रीच ने 359 मिलियन से अधिक क्रेडेंशियल्स को उजागर किया जो वहां भी शोषित होने योग्य बने हुए हैं जहां पीड़ितों ने उन पासवर्ड का पुन: उपयोग किया था।

जोखिमों को जानने के बावजूद इतने सारे उपयोगकर्ता अभी भी कमजोर या पुन: उपयोग किए गए पासवर्ड पर भरोसा क्यों करते हैं?#

औसत व्यक्ति केवल लगभग 7 अक्षरों या संख्याओं के संयोजन को ही मज़बूती से याद रख सकता है, जिससे 100 अद्वितीय जटिल पासवर्ड याद रखना व्यावहारिक रूप से असंभव हो जाता है। यह संज्ञानात्मक सीमा 52% उपयोगकर्ताओं को कई खातों में पासवर्ड का पुन: उपयोग करने के लिए प्रेरित करती है, जो बदले में हैकर्स को उपयोगकर्ता द्वारा पंजीकृत सबसे कम सुरक्षित प्लेटफॉर्म को लक्षित करके कई सेवाओं तक पहुंचने में सक्षम बनाती है।

क्या टू-फैक्टर ऑथेंटिकेशन (2FA) जैसे समाधान पासवर्ड को पूरी तरह से बदलने के लिए पर्याप्त हैं?#

टू-फैक्टर ऑथेंटिकेशन सुरक्षा के लिए सही दिशा में आगे बढ़ता है, लेकिन लेख में उल्लेख किया गया है कि उपयोगकर्ता द्वारा इसे अपनाना काफी कम रहता है, जो इसके व्यावहारिक प्रभाव को सीमित करता है। अधिक आशाजनक दिशा पासवर्डलेस प्रमाणीकरण के माध्यम से पासवर्ड को पूरी तरह से समाप्त करना है, जो उस स्थिर साझा रहस्य को हटा देता है जो मूल रूप से फ़िशिंग, ब्रूट फोर्स और क्रेडेंशियल स्टफिंग हमलों को आधार प्रदान करता है।