پاس ورڈ سیکورٹی

یہ مضمون اس بات پر تبادلہ خیال کرے گا کہ کس طرح ایک محفوظ پاسورڈ تخلیق کرنا ہے، ان کو کیسے تخلیق کرنا چاہئے، کس طرح پاسورڈ کو ذخیرہ کرنے اور اپنی معلومات اور اکاؤنٹس تک پہنچنے والے انٹرویو کے امکانات کو کم سے کم کیا جائے.

یہ مواد مضمون کی تسلسل ہے "آپ کا پاس ورڈ کس طرح ہیک کیا جا سکتا ہے" اور اس کا مطلب یہ ہے کہ آپ وہاں پیش کردہ مواد سے واقف ہیں، اور اس کے بغیر، آپ کو تمام بنیادی طریقوں سے پتہ چلتا ہے جس میں پاسورڈ سمجھا جا سکتا ہے.

پاس ورڈ بنائیں

آج، کسی بھی انٹرنیٹ اکاؤنٹ کو رجسٹر کرنے پر، ایک پاس ورڈ بنانا، آپ عام طور پر پاسورڈ طاقت اشارے کو دیکھتے ہیں. تقریبا ہر جگہ یہ مندرجہ ذیل دو عوامل کی تشخیص کی بنیاد پر کام کرتا ہے: پاس ورڈ کی لمبائی؛ پاس ورڈ میں خصوصی حروف، دارالحکومت خطوط اور نمبروں کی موجودگی.

حقیقت یہ ہے کہ یہ طاقتور طاقت کی طرف سے پھٹانے کے لئے واقعی پاس ورڈ مزاحمت کے اہم پیرامیٹرز ہیں، ایک پاس ورڈ جو قابل اعتماد نظام کو لگتا ہے وہ ہمیشہ نہیں ہے. مثال کے طور پر، "Pa $$ w0rd" (اور یہاں موجود خصوصی حروف اور نمبر موجود ہیں) بہت تیزی سے پھیلنے کا امکان ہے - حقیقت یہ ہے کہ (جیسا کہ گزشتہ مضمون میں بیان کیا گیا ہے) لوگوں کو شاید ہی ہی منفرد پاس ورڈ بنائے (50٪ سے بھی کم ورڈ پاس ورڈ منفرد ہیں) اور یہ اختیار لیبا ڈیٹا بیس میں پہلے ہی وجود میں آسکتا ہے جس میں گھومنے والے ہیں.

کیسے ہو بہترین اختیار پاس ورڈ جنریٹر (آن لائن افادیت کے طور پر دستیاب انٹرنیٹ کے ساتھ ساتھ، زیادہ تر کمپیوٹر کے پاس ورڈ مینیجرز کے ساتھ دستیاب) کا استعمال کرنا ہے، خاص حروف کا استعمال کرتے ہوئے طویل بے ترتیب پاس ورڈ بنانا ہے. زیادہ تر مقدمات میں، 10 یا اس سے زیادہ اس قسم کے پاس ورڈ کا ایک پاس ورڈ صرف اسکرین سے دلچسپی نہیں ہوگی (یعنی، ان کے سافٹ ویئر کو ایسے اختیارات منتخب کرنے کے لئے ترتیب نہیں دیا جائے گا) حقیقت یہ ہے کہ اس وقت کی قیمتوں میں ادا نہیں کی جاتی ہے. حال ہی میں، Google Chrome براؤزر میں بلٹ ان پاس ورڈ جنریٹر شائع ہوا ہے.

اس طریقہ میں، اہم خرابی یہ ہے کہ اس طرح کی پاس ورڈز کو یاد کرنا مشکل ہے. اگر آپ کے سر میں پاسورڈ رکھنے کی ضرورت ہو تو، ایک اور اختیار ہے، اس حقیقت پر مبنی ہے کہ 10 حروف کی پاس ورڈ، دارالحکومت حروف اور خصوصی حروف، ہزار یا اس سے زائد کے برتن فورس کی طرف سے ٹوٹ جاتا ہے (مخصوص نمبر کی اجازت کردہ کردار سیٹ پر منحصر ہے) 20 حروف کی پاسورڈ کے مقابلے میں، صرف چھوٹے حروف لاطینی حروف (یہاں تک کہ اگر حملہ آور اس کے بارے میں جانتا ہے) پر مشتمل ہے.

اس طرح، پاس ورڈ کے 3-5 سادہ بے ترتیب انگریزی الفاظ کو یاد کرنا آسان ہو گا اور ٹوٹ ڈالنا تقریبا ناممکن ہو جائے گا. اور ہر ایک کو دارالحکومت خط کے ساتھ لکھا ہے، ہم دوسری سطح تک اختیارات کی تعداد میں اضافہ کرتے ہیں. اگر یہ 3-5 روسی الفاظ ہیں (دوبارہ، بے ترتیب، لیکن نام اور تاریخ نہیں) انگریزی ترتیب میں لکھا ہے، ایک پاسورڈ کو منتخب کرنے کے لئے لغات کا استعمال کرتے ہوئے جدید ترین طریقوں کا نظریہ بھی ہٹا دیا جاتا ہے.

یقینی طور پر پاس ورڈز بنانے کے لئے کوئی صحیح راستہ نہیں ہے: مختلف طریقوں میں (فوائد اور وشوسنییتا اور دوسرے پیرامیٹرز کو یاد رکھنے کی صلاحیت سے متعلق) مختلف فوائد اور نقصانات ہیں، لیکن بنیادی اصول مندرجہ ذیل ہیں:

• پاسورڈ ایک اہم نمبر پر مشتمل ہونا ضروری ہے. آج کل عام ترین پابندی 8 حروف ہے. اور اگر یہ ایرر برقرار رہے تو ہمارے ہیلپ ڈیسک سے رابطہ کریں.
• اگر ممکن ہو تو، خاص حروف، اوپری اور کم کیس خط، پاس ورڈ میں نمبر شامل کریں.
• اپنے پاس ورڈ میں ذاتی ڈیٹا شامل نہ کریں، یہاں تک کہ اگر یہ بظاہر ہوشیار طریقے سے لکھا جائے. کوئی تاریخ نہیں، پہلے نام اور نام کے نام. مثال کے طور پر، موجودہ جولن سے جدید جولینین کیلنڈر کی کسی بھی تاریخ کی نمائندگی کرنے والے پاس ورڈ توڑنے (آج کل 07/18/2015 یا 18072015 وغیرہ) سیکنڈ سے گھنٹوں تک لے جائے گا (اور گھڑی صرف تاخیر کی وجہ سے ہوگی. کچھ معاملات کی کوششوں کے درمیان).

آپ چیک کر سکتے ہیں کہ آپ سائٹ پر کتنی مضبوطی کا پاسورڈ ہے (اگرچہ کچھ سائٹس پر خاص طور پر بغیر https کے پاس پاسورڈ داخل ہوجائیں) //rumkin.com/tools/password/passchk.php. اگر آپ اپنے حقیقی پاسورڈ کی جانچ نہیں کرنا چاہتے ہیں، تو اس کی وشوسنییتا کا خیال حاصل کرنے کے لئے اسی طرح کے ایک ہی حروف اور اسی حروف کے ساتھ درج کریں.

حروف میں داخل ہونے کے دوران، ایک مخصوص پاسورڈ کے لئے سروس انٹریپ (حساب سے، اختیاری نمبر، 10 بٹس کے لئے، اختیارات کی تعداد دو دس دس تک ہے) اور مختلف اقدار کی وشوسنییتا پر معلومات فراہم کرتا ہے. 60 سے زائد ایک entropy کے ساتھ پاس ورڈز کو بھی ھدف بخش انتخاب کے دوران توڑنے کے لئے تقریبا ناممکن ہیں.

مختلف اکاؤنٹس کے لئے اسی پاس ورڈ استعمال نہ کریں.

اگر آپ کے پاس بہت پیچیدہ پاس ورڈ موجود ہے، لیکن جہاں تک آپ ممکن ہو اسے استعمال کرتے ہیں، یہ خود بخود مکمل طور پر ناقابل اعتماد بن جاتا ہے. جیسے ہی ہیکرز کسی سائٹ میں جہاں آپ کو اس طرح کا پاسورڈ استعمال ہوتا ہے تو اس طرح تک رسائی حاصل ہوسکتی ہے اور آپ کو اس بات کا یقین ہوسکتا ہے کہ یہ فوری طور پر ٹیسٹ کیا جائے گا (خود کار طریقے سے، خصوصی سافٹ ویئر کا استعمال کرتے ہوئے)، دیگر دیگر ای میل، گیمنگ، سماجی خدمات، اور شاید بھی آن لائن بینکوں (یہ دیکھنے کا طریقہ ہے کہ اگر آپ کا پاسورڈ پہلے ہی لکھا گیا ہے پچھلے آرٹیکل کے اختتام میں درج کیا گیا ہے).

ہر اکاؤنٹ کے لئے ایک منفرد پاس ورڈ مشکل ہے، یہ تکلیف دہ نہیں ہے، لیکن یہ ضروری ہے کہ یہ اکاؤنٹس آپ کے لئے اہمیت رکھتے ہیں. اگرچہ، کسی رجسٹریشن کے لئے جو آپ کے لئے کوئی قدر نہیں ہے (یہ ہے کہ، آپ ان کو کھو دینے کے لئے تیار ہیں اور فکر مند نہیں ہوں گے) اور ذاتی معلومات پر مشتمل نہیں ہے، آپ اپنے آپ کو منفرد پاس ورڈ کے ساتھ کشیدگی نہیں بن سکتے ہیں.

دو عنصر کی توثیق

یہاں تک کہ مضبوط پاس ورڈ بھی اس بات کی ضمانت نہیں دیتے ہیں کہ کوئی بھی آپ کے اکاؤنٹ میں داخل نہیں کرسکتا. آپ ایک پاس ورڈ یا کسی اور (فشنگ، مثال کے طور پر، سب سے زیادہ بار بار اختیار کے طور پر) چوری کرسکتے ہیں یا اسے آپ سے حاصل کرسکتے ہیں.

گوگل، Yandex، Mail.ru، فیس بک، Vkontakte، مائیکروسافٹ، ڈراپ باکس، LastPass، بھاپ سمیت دیگر تمام سنگین آن لائن کمپنیاں نے حال ہی میں اپنے دو اکاؤنٹس میں دو فیکٹر (یا دو مرحلہ) کی تصدیق کرنے کی صلاحیت کو شامل کیا ہے. اور، اگر آپ کے لئے حفاظت ضروری ہے تو، میں اس میں شامل ہونے کی سفارش کرتا ہوں.

دو عوامل کی تصدیق کے عمل مختلف خدمات کے لئے تھوڑا سا مختلف ہے، لیکن بنیادی اصول مندرجہ ذیل ہے:

1. صحیح شناخت درج کرنے کے بعد، ایک نامعلوم آلہ سے اکاؤنٹ میں داخل ہونے پر، آپ کو اضافی جانچ پڑتال کرنے کے لئے کہا جاتا ہے.
2. پہلے سے تیار کردہ چھپی ہوئی کوڈ، ایک ای میل پیغام، ایک ہارڈ ویئر کی چابی (Google پر آخری اختیار ظاہر ہوتا ہے، یہ کمپنی عام طور پر دو عنصر کی تصدیق کے لحاظ سے بہتر ہے) کے ذریعے، ایک ایس ایم ایس کوڈ کی مدد سے، ایک اسمارٹ فون پر ایک خصوصی درخواست ہے.

اس طرح، اگر بھی حملہ آور نے اپنا پاس ورڈ سیکھا ہے، تو وہ آپ کے آلات، ٹیلی فون، یا ای میل تک رسائی کے بغیر اپنے اکاؤنٹ میں لاگ ان نہیں کرسکتا.

اگر آپ کو مکمل طور پر سمجھ نہیں آتا کہ دو فیکٹر کی توثیق کس طرح کام کرتا ہے، میں ان انٹرنیٹ پر مضامین کو پڑھتا ہوں جو اس موضوع پر عمل کرنے کے لئے اس موضوع یا وضاحت اور وضاحتوں اور ہدایات پر عمل کرنے کے لئے ہدایات رکھتا ہوں (میں اس آرٹیکل میں تفصیلی ہدایات شامل کرنے کے قابل نہیں ہوں گے).

پاس ورڈ اسٹوریج

ہر سائٹ کے لئے مشکل منفرد پاس ورڈ، لیکن اسے کس طرح ذخیرہ کرنے کے لئے؟ یہ ممکن نہیں ہے کہ یہ سب پاس ورڈ بھول جائیں. براؤزر میں ذخیرہ شدہ پاسورڈز کو ذخیرہ کرنے کے خطرناک ایگزیکٹو ہے: وہ نہ صرف غیر مجاز رسائی تک زیادہ کمزور بن جاتے ہیں بلکہ نظام حادثے کی صورت حال میں کھو سکتے ہیں اور ہم وقت سازی کو غیر فعال کر دیتے ہیں.

بہترین حل پاس ورڈ مینیجرز کو سمجھا جاتا ہے، عام طور پر ایسے پروگراموں کی نمائندگی کرتی ہے جو اپنے خفیہ خفیہ ذخیرہ (آن لائن اور آن لائن دونوں) میں ذخیرہ کرتی ہیں، جو ایک ماسٹر پاسورڈ کا استعمال کرتے ہوئے تک رسائی حاصل ہے (آپ دو فیکٹر عنصر بھی فعال کرسکتے ہیں). اس کے علاوہ، ان پروگراموں میں سے زیادہ تر پاس ورڈز کی وشوسنییتا پیدا کرنے اور تشخیص کے لئے آلات کے ساتھ لیس ہیں.

چند سال قبل، میں نے بہترین پاس ورڈ مینیجرز کے بارے میں ایک علیحدہ مضمون لکھی ہے (یہ دوبارہ لکھنے کے لائق ہے، لیکن آپ اس مضمون کا اندازہ حاصل کرسکتے ہیں اور اس مضمون سے کیا پروگرام مقبول ہیں). کچھ سادہ آف لائن حل پسند کرتے ہیں، جیسے KeePass یا 1Password، جو آپ کے آلے پر تمام پاسورڈز ذخیرہ کرتے ہیں، دوسروں - زیادہ فعال افادیت جو ہم آہنگی کی صلاحیتیں (LastPass، Dashlane) کی نمائندگی کرتے ہیں.

معروف پاس ورڈ مینیجرز کو عام طور پر ان کو ذخیرہ کرنے کے لئے ایک محفوظ اور قابل اعتماد طریقہ سمجھا جاتا ہے. تاہم، کچھ تفصیلات پر غور کرنے کے قابل ہے:

• اپنے تمام پاس ورڈ تک رسائی حاصل کرنے کے لئے آپ کو صرف ایک ماسٹر پاسورڈ جاننے کی ضرورت ہے.
• ہیکنگ آن لائن اسٹوریج کے معاملے میں (لفظی مہینے پہلے، دنیا کے سب سے زیادہ مقبول پاس ورڈ مینجمنٹ سروس، آخریپاس، ہیک کیا گیا تھا)، آپ کو آپ کے تمام پاس ورڈ تبدیل کرنا پڑے گا.

آپ اپنے اہم پاسورڈز کیسے بچ سکتے ہیں؟ یہاں چند اختیارات ہیں:

• کاغذ پر ایک محفوظ، جس تک رسائی اور آپ کے خاندان کے ممبران ہوں گے (پاس ورڈوں کیلئے مناسب نہیں ہے جو آپ اکثر استعمال کرنے کی ضرورت ہے).
• آف لائن پاس ورڈ ڈیٹا بیس (مثال کے طور پر، KeePass) ایک پائیدار ڈیٹا سٹوریج آلہ میں ذخیرہ کیا اور نقصان کی صورت میں کہیں بھی نقل کیا.

میری رائے میں، اوپر بیان کردہ ہر چیز کا بہترین مجموعہ مندرجہ ذیل نقطہ نظر ہے: سب سے اہم پاس ورڈ (اہم ای میل، جس کے ساتھ آپ دیگر اکاؤنٹس، بینک وغیرہ وغیرہ حاصل کرسکتے ہیں) سر اور (یا) محفوظ جگہ میں کاغذ پر محفوظ ہیں. کم اہم اور، ایک ہی وقت میں، اکثر استعمال شدہ افراد کو پاس ورڈ مینیجرز کو تفویض کیا جانا چاہئے.

اضافی معلومات

مجھے امید ہے کہ دو مضامین کا مجموعہ آپ کے پاس پاس ورڈوں پر سیکورٹی کے کچھ پہلوؤں پر توجہ مرکوز کرنے میں مدد ملی جس کے بارے میں آپ نے نہیں سوچا تھا. بلاشبہ، میں نے تمام ممنوع اختیارات پر غور نہیں کیا، لیکن سادہ منطق اور اصولوں کے بارے میں کچھ سمجھنے میں آپ کی مدد کرنے میں مدد ملتی ہے کہ آپ ایک خاص لمحے میں کیا کام کر رہے ہیں. ایک بار پھر، کچھ ذکر کیا اور چند اضافی پوائنٹس:

• مختلف سائٹس کے لئے مختلف پاس ورڈ استعمال کریں.
• پاس ورڈ پیچیدہ ہونا چاہئے، سب سے مشکل پاس ورڈ کی لمبائی میں اضافہ کی طرف سے پیچیدگی میں اضافہ کرنا ہے.
• پاس ورڈ خود کو، اس کے اشارے، وصولی کے لئے ٹیسٹ کے سوالات پیدا کرتے وقت ذاتی ڈیٹا (جو آپ تلاش کر سکتے ہیں) کا استعمال نہ کریں.
• جہاں دو ممکن ہو، دو مرحلہ تصدیق کریں.
• اپنے پاس ورڈ محفوظ رکھنے کے لئے بہترین طریقہ تلاش کریں.
• فشنگ (اس سائٹوں کے پتوں کی جانچ پڑتال، خفیہ کاری کی موجودگی کی جانچ پڑتال) اور سپائیویئر کی بیدار ہونا. جہاں کہیں بھی وہ پاسورڈ داخل کرنے کے لئے کہا جاتا ہے، چیک کریں کہ آیا آپ واقعی صحیح سائٹ پر داخل ہوتے ہیں. یقینی بنائیں کہ کمپیوٹر پر کوئی میلویئر نہیں ہے.
• اگر ممکن ہو تو، آپ کے پاس ورڈ کسی اور کے کمپیوٹرز پر (اگر ضروری ہو تو، براؤزر کے پوشیدہ موڈ میں کیا کریں یا اس سے بھی بہتر ہو، اسکرین کی بورڈ پر استعمال کریں)، عوامی کھلے وائی فائی نیٹ ورک پر، خاص طور پر اگر آپ کے پاس اس سے رابطہ کرنے پر https کو خفیہ کاری نہیں ہے تو .
• شاید آپ کو ایک کمپیوٹر یا آن لائن پر سب سے زیادہ اہم، واقعی قابل قدر، پاس ورڈ جمع نہیں کرنا چاہئے.

اس طرح کچھ. مجھے لگتا ہے کہ میں نے پارونیا کی سطح بڑھانے میں کامیاب کیا. میں سمجھتا ہوں کہ اس میں سے زیادہ تر تکلیف محسوس نہیں کرتے، خیالات "اچھی طرح سے، یہ مجھ سے بائی پاس کریں گے" ہوسکتا ہے، لیکن سست ہونے کے لئے صرف عذر صرف خفیہ معلومات کے ذخیرہ کرنے کے لئے سادہ حفاظتی قواعد و ضوابط کے مطابق صرف اس کی اہمیت کی کمی اور آپ کی تیاری کہ یہ تیسری جماعتوں کی ملکیت بن جائے گی.