paint-brush
13 বছর আগে Chrome পাসওয়ার্ড ম্যানেজার আমার বিশ্বাসের সাথে বিশ্বাসঘাতকতা করেছে। আমি কখনই ভুলিনি।দ্বারা@lucasneves
1,164 পড়া
1,164 পড়া

13 বছর আগে Chrome পাসওয়ার্ড ম্যানেজার আমার বিশ্বাসের সাথে বিশ্বাসঘাতকতা করেছে। আমি কখনই ভুলিনি।

দ্বারা Lucas Neves10m2024/03/02
Read on Terminal Reader

অতিদীর্ঘ; পড়তে

ক্রোমের পাসওয়ার্ড স্টোরেজ নিয়ে মোহভঙ্গ একটি 13 বছরের যাত্রার দিকে নিয়ে যায় একটি ভাল পাসওয়ার্ড ম্যানেজার তৈরি করতে। কূটনৈতিক সাইবার নিরাপত্তায় বিশ্বের সবচেয়ে ভয়ঙ্কর কাজের সাথে মোকাবিলা করার জন্য তার ব্যক্তিগত অভিজ্ঞতাকে কাজে লাগিয়ে, লেখক পাসওয়ার্ড রাখার জন্য একটি অপ্রচলিত উপায়ের নকশাকে গাইড করার জন্য 3টি নিরাপত্তা নীতি অন্বেষণ করেছেন।
featured image - 13 বছর আগে Chrome পাসওয়ার্ড ম্যানেজার আমার বিশ্বাসের সাথে বিশ্বাসঘাতকতা করেছে। আমি কখনই ভুলিনি।
Lucas Neves HackerNoon profile picture
0-item
1-item
2-item


এটি হল 13 বছরের যাত্রা যার ফলস্বরূপ নিউলক , পাসওয়ার্ড পরিচালনার একটি ভিন্ন পদ্ধতি। এখানে articles.length == 2 এর নিবন্ধগুলি[0] রয়েছে৷

পার্ট I

এটি 2011 সালে ফিরে এসেছিল। সংক্রামক তখনও চলচ্চিত্রের উপাদান ছিল; লোকেরা পেপে দ্য ফ্রগ এবং শিবা ইনু কুকুরের পরিবর্তে একরঙা ডুডল মুখ ব্যবহার করে যোগাযোগ করেছিল এবং ডেনেরিস টারগারিয়েন ছিলেন সেই ছোট্ট মেয়ে যে বর্বর খল দ্রোগোকে ভালবাসার সন্ধান করেছিল।


দৌড়াও, দ্রোগো! সবাই চালান! Pinterest-এ টিনা রিওর্ডানের ছবি।


তখনই গুগল ক্রোম প্রথম সেই অফারটি করেছিল।


আপনি কি চান যে Google Chrome এই সাইটের জন্য আপনার পাসওয়ার্ড সংরক্ষণ করুক?


এই পাসওয়ার্ড সংরক্ষণ করবেন? যে একটি জিনিস ব্রাউজার এখন কি? বাহ, ধন্যবাদ, ক্রোম, এটি এত সুবিধাজনক! এটির কথা ভাবুন, আমি একটি ওয়েব ব্রাউজারে বেশিরভাগ পাসওয়ার্ড টাইপ করি, তাই সেগুলি সংরক্ষণ করার জন্য এটি একটি দুর্দান্ত জায়গা বলে মনে হচ্ছে।

এছাড়া, সবচেয়ে খারাপ কি ঘটতে পারে? Chrome আমার কম্পিউটারে ইনস্টল করা একটি প্রোগ্রাম। আমার কম্পিউটার! আমি একজন পাকা ডেবিয়ান লিনাক্স পাওয়ার ব্যবহারকারী, এবং মহাবিশ্বের কোথাও আমার হার্ড ড্রাইভের চেয়ে নিরাপদ জায়গা নেই!

অবশ্যই, ক্রোম, এগিয়ে যান। এই পাসওয়ার্ডটি সংরক্ষণ করুন এবং পরেরটি এবং প্রতিটি পাসওয়ার্ড আমি আপনার ইনপুট ক্ষেত্রে টাইপ করি।

প্রতারণা

যতক্ষণ না আমি অন্য একটি কম্পিউটার কিনি। লিনাক্স ডিস্ট্রোর জন্য আগে থেকে ইনস্টল করা উইন্ডোজ ডিচ করার পরে, আমি সেই সময়ে অনুমান করেছিলাম, পরবর্তী কাজটি ছিল ক্রোম ইনস্টল করা। ফায়ারফক্স কোয়ান্টাম এখনও ছয় বছর দূরে ছিল, তাই খুব বেশি পছন্দ ছিল না।


আপনার Google অ্যাকাউন্ট দিয়ে সাইন ইন করবেন? নিশ্চিত, কেন না? আসুন Facebook বা যাই হোক না কেন চেক করা যাক, এবং... আরে, আপনার কি আমার ব্যবহারকারীর নাম, ক্রোম মনে আছে? ঠিক আছে, আসুন Facebook এ সাইন ইন করি। অপেক্ষা করুন, কেন পাসওয়ার্ড ক্ষেত্রটি ইতিমধ্যে তারকাচিহ্ন দিয়ে ভরা হয়েছে? না, প্রিয় ক্রোম, এটি অবশ্যই একটি বাগ, আমি এইমাত্র এই কম্পিউটারটি কিনেছি, আপনার স্থানীয় ডাটাবেস আদি। আমি লগইন বোতামে ক্লিক করলেই আপনি আপনার ভুল বুঝতে পারবেন। আর… আমি আছি?


আমি অবিলম্বে Chrome সেটিংস চেক করতে গিয়েছিলাম। যা দেখলাম তাতে আমার আতঙ্ক বেড়ে গেল। আমি যে সমস্ত ওয়েবসাইট এবং ব্যবহারকারীর নাম সংরক্ষণ করেছিলাম সেগুলি একটি তালিকায় ছিল। প্লেইনটেক্সট পাসওয়ার্ড শুধুমাত্র একটি ক্লিক দূরে ছিল.


দুটি প্রত্যাশা ভেঙ্গে গেল। প্রথম এবং সবচেয়ে গুরুত্বপূর্ণ বিষয় হল যে আমি কখনই আশা করিনি যে Chrome সম্মতি চাওয়া ছাড়াই Google এর সার্ভারগুলিতে আমার পাসওয়ার্ডগুলি আপলোড করবে৷ তারা আমাকে আমার পাসওয়ার্ড সংরক্ষণ করতে বলেছিল, সেগুলি ভাগ করতে নয়!


আমার মুখ যখন আমি বুঝতে পারলাম Chrome আমার পাসওয়ার্ড আপলোড করছে


দ্বিতীয় প্রত্যাশা আমার পক্ষ থেকে ইচ্ছাপূর্ণ চিন্তা ছিল. নিজের প্রতি লজ্জা. Google হল বিশ্বের সেরা প্রযুক্তি সংস্থাগুলির মধ্যে একটি, এবং এর প্রকৌশলীরা Googleplex-এ পিং-পং ম্যাচগুলির মধ্যে অসম্ভবকে সম্ভব করার প্রতিভাবান বলে মনে করা হয়৷ আমি ভেবেছিলাম ক্রোম আমার পাসওয়ার্ডগুলিকে কিছু অতি-সুরক্ষিত ফ্যাশনে সঞ্চয় করছে এবং সঠিক সময়ে প্রতিটি পাসওয়ার্ড পুনরুদ্ধার করছে যাতে এটি একটি সুনির্দিষ্ট ইনপুট ক্ষেত্রের মধ্যে একটি নিনজার মতো ইনজেক্ট করে। আমি তাদের সব প্লেইনটেক্সট দেখতে আশা করিনি.


আর আমিই যে হতবাক হয়েছিলাম তা নয়। ইলিয়ট কেম্বার ক্রোমের পাসওয়ার্ড নিরাপত্তাকে "উন্মাদ" বলেছেন । আরও একটি আলোচনায়, জাস্টিন শুহ, ক্রোমের নিরাপত্তা প্রধান, এটিকে বরং অহংকারীভাবে বন্ধ করে দিয়েছেন । স্যার টিম বার্নার্স-লি কেম্বারের পক্ষ নিয়েছিলেন, ক্রোমের পাসওয়ার্ড ম্যানেজারকে " আপনার বড় বোনের পাসওয়ার্ড পাওয়ার একটি উপায় " বলে অভিহিত করেছেন৷


এই অভিজ্ঞতার পর, আমি কখনই নিজেকে কোনো পাসওয়ার্ড ম্যানেজারকে বিশ্বাস করতে পারিনি, যদিও আমি জানতাম যে এটি আমার বোকা মানুষের মাথায় অদ্ভুত পাসওয়ার্ড তৈরি করার চেয়ে ভাল। কিন্তু, আমরা ব্রাজিলে যেমন বলি, একটি কুকুর যাকে সাপে কামড়েছে সে এমনকি সসেজকে ভয় পায়। পর্তুগিজ ভাষায় এর বেশি অর্থ হয় না।

একটি ভাল পাসওয়ার্ড ম্যানেজার

পাসওয়ার্ড নিরাপত্তাহীনতার মরুভূমিতে আমি পরের দশ বছর কাটিয়েছি। আমি আরও ভালো পাসওয়ার্ড ম্যানেজারের জন্য আকাঙ্ক্ষা করছিলাম, কিন্তু তাদের সকলেই একই নীতি অনুসরণ করছে বলে মনে হচ্ছে: আপনার সমস্ত পাসওয়ার্ড একটি "ভল্ট" এ বান্ডেল করুন, এটি আপনার মাস্টার কী দিয়ে এনক্রিপ্ট করুন এবং এই ভল্টটি তাদের ক্লাউড সার্ভারে আপলোড করুন৷ আমি এই মডেল বিশ্বাস করতে পারে না. তারা কি এন্ড-টু-এন্ড এনক্রিপশন বাস্তবায়ন করছে, তাই না? একটি "কী পুনরুদ্ধার" ব্যাকডোর শোষণ করার জন্য অপেক্ষা করছে? অথবা সম্ভবত জাস্টিন শুহ ঠিকই ছিলেন: আপনার পাসওয়ার্ডগুলি যেকোন অ্যাপ্লিকেশন থেকে "তুচ্ছভাবে পুনরুদ্ধার" করা হয়েছে যা সেগুলি সংরক্ষণ করে, এবং পাসওয়ার্ডগুলি ফাঁস করা আরও কঠিন করার প্রচেষ্টাগুলি "সমস্তই থিয়েটার।" এই অর্থে, একটি পাসওয়ার্ড ম্যানেজারকে বিশ্বাস করার চেয়ে আপনার পাসওয়ার্ডগুলিকে সুরক্ষিত করার চেষ্টা করা একটি নবাগত বোকাদের কাজ।


2019 সালে, আমি ব্রাজিলের পররাষ্ট্র মন্ত্রণালয়ের আইটি বিভাগে অবতরণ করি। সেখানে আমি CTO এবং প্রযুক্তি গুরু ফ্যাবিও সেরেদাকে ছায়া দিয়েছিলাম। আমি তার কাছ থেকে অনেক কিছু শিখেছি এবং তিনি চলে যাওয়ার পর দায়িত্ব গ্রহণ করেছি। সাইবার সিকিউরিটি সবসময় এজেন্ডায় ছিল যেহেতু সেই মন্ত্রনালয় ব্রাজিলের ফেডারেল সরকারের সমস্ত শ্রেণীবদ্ধ তথ্যের প্রায় 80% উত্পাদিত করেছিল এবং এর কার্যক্রম সমস্ত বাসযোগ্য মহাদেশের 240টি স্থানে ছড়িয়ে ছিল। আমরা ক্রমাগত বিশ্বের ভয়ঙ্কর সংক্ষিপ্ত শব্দগুলির দ্বারা লক্ষ্যবস্তু ছিলাম, তাই আমাদের সর্বদা আমাদের গার্ড আপ রাখতে হবে। সেই বছরগুলিতে, সাইবার নিরাপত্তার বিভিন্ন ডোমেনে সমস্যার ক্রমাগত এক্সপোজারের মাধ্যমে, আমি আরও ভাল পাসওয়ার্ড ম্যানেজারের জন্য নীতিগুলি একত্রিত করতে শুরু করেছি।

নীতি #0: সমস্ত ক্রিপ্টোগ্রাফি ভেঙে গেছে বা শেষ পর্যন্ত ভেঙে যাবে

আমি যেখানে কাজ করতাম সেখানে কূটনৈতিক যোগাযোগের একটি জাদুঘর ছিল। এটি কোড বই, কাস্ট-আয়রন সাইফার মেশিন, স্যুটকেস-পোর্টেবল ডিশ অ্যান্টেনা, টেলেক্স অ্যাডাপ্টার এবং কুখ্যাত ক্রিপ্টো এজি সি-52 মেশিনের কয়েকটি নমুনায় পূর্ণ ছিল। এটি সদর দপ্তর এবং ব্রাজিলের দূতাবাস এবং বিদেশে কূটনৈতিক মিশনের মধ্যে দেড় শতাব্দীর গোপন যোগাযোগের একটি প্রদর্শনী ছিল। তাদের সকলেই গোপনীয়তা ধরে রাখতে কিছু ধরণের ক্রিপ্টোর উপর নির্ভর করেছিল। সেই সমস্ত ক্রিপ্টো এখন ভেঙে গেছে।


এই জিনিসটি গোপনে সিআইএর মালিকানাধীন ছিল। ক্রেডিট: রামা/উইকিমিডিয়া কমন্স


আপনি যদি একটি পাসওয়ার্ড ম্যানেজার সম্পর্কে চিন্তা করেন, তবে সমস্ত ক্রিপ্টো শেষ পর্যন্ত ভেঙে যাবে তা ভীতিজনক নয়। ধরা যাক, একটি ক্রিপ্টোগ্রাফিক প্রোটোকল ভাঙতে গড়ে 15 বছর সময় লাগে৷ প্রতি দু'বছর অন্তর আপনার পাসওয়ার্ড পরিবর্তন করুন, এবং আপনি ঠিক হয়ে যাবেন। একজন শালীন পাসওয়ার্ড ম্যানেজারকে তার ক্রিপ্টো প্রতিবার আপগ্রেড করা উচিত যাতে আপনি সবসময় বক্ররেখা থেকে এগিয়ে থাকবেন।


ভীতিকর অংশটি হল যে কোনও প্রোটোকল ইতিমধ্যে ভেঙে গেছে কিনা তা জানা অসম্ভব। অথবা আরও খারাপ, যদি এটি একটি ইচ্ছাকৃত, লুকানো দুর্বলতার সাথে ডিজাইন করা হয়, যেমনটি ক্রিপ্টো এজি মেশিনের ক্ষেত্রে ছিল। গোয়েন্দা সংস্থা এবং সাইবার অপরাধী সংস্থাগুলি যতদিন পারে তাদের শূন্য-দিন রাডারের অধীনে রাখে।


আমি যত বেশি দেখেছি শেষ-জেন, কর্পোরেট-গ্রেড নিরাপত্তা ব্যবস্থা গোপন তথ্য ফাঁস করছে, কখনও কখনও বিপর্যয়করভাবে দর্শনীয় ভঙ্গিতে, সমস্ত ক্লাউড-ভিত্তিক পাসওয়ার্ড ম্যানেজারদের দ্বারা নিযুক্ত ভল্ট মডেলটিকে আমি তত কম বিশ্বাস করি।


খুব সম্প্রতি পর্যন্ত, এই উদ্বেগগুলি নিছক তাত্ত্বিক ছিল। সহকর্মী হ্যাকারনুনার @hossam26644 লিখেছেন ,


গুগলের পাসওয়ার্ড ম্যানেজার, মাইক্রোসফ্ট, অ্যাপল, 1 পাসওয়ার্ড, বিটওয়ার্ডেন, বা যাই হোক না কেন ব্যবহার করার ক্ষেত্রে কোনও ভুল নেই। লোকেরা এগুলি দীর্ঘকাল ধরে ব্যবহার করছে, এখন পর্যন্ত শূন্য সমস্যা সহ।


25শে জুলাই, 2022-এ তিনি ঠিক ছিলেন। যদিও তিনি তাদের কাউকেই বিশ্বাস করেননি, এবং তিনি আবার ঠিক ছিলেন। এক বছর পরে, এমন বাধ্যতামূলক প্রমাণ ছিল যে কুখ্যাত LastPass ফাঁসের ফলে কিছু উচ্চ-মূল্যের ভল্ট ফাটল হয়ে গেছে এবং লোকেরা অর্থ হারাচ্ছে। 150 জনেরও বেশি লোক, $35 মিলিয়নের বেশি টাকা।


একটি সাধারণ ভুল ধারণা হল যে একটি এনক্রিপ্ট করা ভল্ট ক্র্যাক করার জন্য, AES অ্যালগরিদম নিজেই আপস করতে হবে। LastPass আমাদের মনে করিয়ে দিয়েছে এনক্রিপশন ভাঙা কতটা সহজ। AES শক্তিশালী, কিন্তু LastPass দুর্বল বাস্তবায়ন সিদ্ধান্ত নিয়েছে: খুব ছোট মাস্টার কী প্রয়োজনীয়তা, খুব কম পুনরাবৃত্তি, এবং কিছু ব্যবহারকারীর কাছে ভল্ট রেখে দেওয়া হয়েছিল যেগুলি পাশবিক শক্তি দ্বারা সহজেই ক্র্যাকযোগ্য ছিল।

নীতি #1: লজিস্টিক প্রায়শই দুর্বল নিরাপত্তা লিঙ্ক

সরকারী ক্রিপ্টা বিশ্লেষকরা নীতি # 0 খুব ভালভাবে জানতেন। তারা আমার দেখা সবচেয়ে বুদ্ধিমান ব্যক্তিদের মধ্যে কয়েকজন, এবং তাদের মধ্যে কয়েকজন একাই ক্রিপ্টোগ্রাফি দ্বারা সুরক্ষিত কিছুতে অর্থ রাখবে।


তাদের মধ্যে সবচেয়ে সতর্ক ব্যক্তিরা সমালোচনামূলকভাবে সুরক্ষিত যোগাযোগের জন্য ওয়ান-টাইম প্যাড (OTP) ব্যবহারের উপর জোর দিয়েছিলেন। প্রকৃতপক্ষে, তারা শীর্ষ-গোপন নথিগুলির ট্রান্সমিশন এবং স্টোরেজের জন্য প্রবিধানে এই প্রয়োজনীয়তা রাখে।


নীতিগতভাবে, একটি OTP সাইফার ভাঙ্গা যাবে না। এটি প্লেইনটেক্সট (ডেটা) এর একটি সাধারণ XOR অপারেশন এবং ডেটা (OTP কী) এর মতো একই দৈর্ঘ্যের এলোমেলো মানের একটি বাফার। আবার একই কী এর বিপরীতে সাইফার XOR' করে, প্লেইনটেক্সট পুনরুদ্ধার করা হয়।


যদিও ক্রিপ্টানালাইসিস দৃষ্টিকোণ থেকে অলঙ্ঘনীয়, OTP-এর বেশ কিছু অসুবিধা রয়েছে:


  • প্রতিটি OTP কী কখনোই পুনরায় ব্যবহার করা যাবে না;
  • একটি OTP কী ন্যূনতম প্লেইনটেক্সট যতটা লম্বা হতে হবে;
  • মূলটি প্রতিসম এবং প্রেরণকারী এবং গ্রহণকারী পক্ষের মধ্যে পূর্ব-ভাগ করা আবশ্যক।


একটি বিশ্বব্যাপী সংস্থার জন্য, প্রতিটি অফিসে OTP কী সরবরাহ করা একটি বড় চলমান লজিস্টিক অপারেশন। আরও খারাপ, এটি পুরো নিরাপত্তা মডেলের অ্যাকিলিসের হিল! কারণ, OTP-এর সমস্ত ক্রিপ্টো-অসাধারণতা সত্য ধরে রাখার জন্য, আপনার নিখুঁত লজিস্টিক প্রয়োজন, ইন-ট্রানজিট এবং বিশ্রাম উভয়ই।


একটি কূটনৈতিক থলি হ্যালো বলুন. আন্তর্জাতিক আইন এবং অন্য কিছু এটাকে টেম্পারিং থেকে রক্ষা করে। ক্রেডিট: Anfecaro / Wikimedia Commons


গন্তব্যে যাওয়ার পথে ইভের কি আপনার ওটিপি কীগুলি আটকানো উচিত? সেই বিন্দু থেকে আপনার সমস্ত যোগাযোগ আপস করা হয়।


ইভের কি শারীরিকভাবে আপনার নিরাপদ রুম ক্র্যাক করা উচিত এবং আপনার OTP কী মিডিয়া চুরি করা উচিত? সেই বিন্দু থেকে আপনার সমস্ত comms আপস করা হয়েছে, এবং এমনকি আপনার পূর্ববর্তীগুলিও, যদি কীটির ব্যবহৃত অংশগুলি মিডিয়া থেকে সঠিকভাবে মুছে ফেলা না হয়।


আপনি যদি OTP কীগুলিকে 1 GB র্যান্ডম বাইটের অংশ হিসাবে প্রয়োগ করেন যা আপনি তথ্য প্রেরণের সাথে সাথে গ্রাস হয়ে যায়, এতে স্পষ্টতই সামনে এবং পিছনের গোপনীয়তার অভাব রয়েছে।


শেষ পর্যন্ত, নিখুঁত ক্রিপ্টো হল সাইবার সিকিউরিটি টিম থেকে ফিজিক্যাল সিকিউরিটি টিমে দায়িত্ব স্থানান্তর করার একটি উপায়।

এবং একটি অনুরূপ সমস্যা অফলাইন পাসওয়ার্ড পরিচালকদের প্রভাবিত করে: তারা গোপনীয়তার জন্য প্রাপ্যতা লেনদেন বন্ধ করে দেয়, যা আপনাকে বাছাই করার জন্য একটি লজিস্টিক জগাখিচুড়ি রেখে দেয়।


KeePass- এর স্থানীয় অনুলিপি চালানোর মতো যে কেউ জানেন, আপনাকে আপনার ভল্টের ব্যাকআপ নিতে হবে। আপনার কম্পিউটার স্টোরেজটি মারা গেলে এই ব্যাকআপটি বাহ্যিক হওয়া ভাল। আপনাকে আপনার ব্যাকআপ আপ-টু-ডেট রাখতে হবে। এবং নিশ্চিত করুন যে এটিতে কারও অ্যাক্সেস নেই। এবং সেগুলিকে আপনার বাড়িতে রাখবেন না, পাছে তারা বন্যা এবং আগুনের শিকার হবে। এবং তাদের Google ড্রাইভে আপলোড করবেন না; অন্যথায়, আপনি আর অফলাইন পাসওয়ার্ড ম্যানেজার ব্যবহার করছেন না। এবং…


আপনার ব্যাকআপ ক্লাউডে আপলোড করা হচ্ছে। ছবি Adobe Firefly দ্বারা উত্পন্ন

নীতি # 2: যখন একটি ব্যবহারকারী ডিভাইস আপস করা হয়, এটি খেলা শেষ

একদিন, আমার বস আমাকে ডাকলেন। তিনি উচ্চ স্তরের দশজন লোকের সাথে একটি পিডিএফ ভাগ করতে চেয়েছিলেন। এই তথ্য তাদের চোখে পড়ে মাত্র তিনদিন। তিনি জানতেন যে তাদের এই নথিটি তাদের নিজ নিজ দলের সাথে ভাগ করে নেওয়ার জন্য প্রণোদনা ছিল যাতে তারা একটি প্রধান শুরু পেতে পারে। এই ধরণের তথ্য ব্যক্তিগতভাবে উপস্থাপন করা উচিত, তবে কোভিড। সুতরাং, তিনি আমাকে এই পিডিএফটি অনুলিপি এবং ভাগ করা অসম্ভব করতে বলেছিলেন।


- করা যাবে না, আমি উত্তর দিলাম।


আমার বস একজন রাষ্ট্রদূত ছিলেন। এটি একজন জেনারেলের কূটনৈতিক সমতুল্য। রাষ্ট্রদূতরা উত্তর হিসাবে "না" শুনতে অভ্যস্ত নয়।

আমি ধৈর্য সহকারে ব্যাখ্যা করেছি যে, কম্পিউটার বিজ্ঞানে, আপনি যখন কাউকে একটি সংস্থান পড়ার অনুমতি দেন, তখন আপনি তাদের অনুলিপি এবং বিতরণ করার অনুমতি দেন। তথ্য অ্যাক্সেস অধিকার আইনি অধিকার মেনে চলে না। এমনকি যদি আমরা কোনওভাবে ফাইল শেয়ার করা অসুবিধাজনক করে থাকি, তারা কেবল তাদের ফোন দিয়ে তাদের স্ক্রীনের ছবি তুলতে পারে এবং হোয়াটসঅ্যাপে শেয়ার করতে পারে। যদি তারা স্ক্রিনে নথি দেখতে পায়, তবে তাদের ক্যামেরাও দেখতে পারে।


জাস্টিন শুহ ঠিক ছিল। যদি কেউ আপনার কম্পিউটারে (বা ফোন) সম্পূর্ণ অ্যাক্সেস লাভ করে, তবে আপনি, ব্যবহারকারী, সেই ডিভাইসের মাধ্যমে অ্যাক্সেস করতে পারেন এমন তথ্যে তাদের সম্পূর্ণ অ্যাক্সেস রয়েছে। তিনি ঠিকই বলেছেন, কিন্তু ক্রোমে এইরকম খারাপ পাসওয়ার্ড ম্যানেজার প্রয়োগ করার জন্য এটি তাকে ক্ষমা করে না।


কে কখনই ব্যাক অরিফিসকে কেবল LOLz-এর জন্য তাদের বন্ধুদের ওয়ারেজ এবং পিওয়ানে এমবেড করেনি? সূত্র: nestor.minsk.by


একটি পাসওয়ার্ড ম্যানেজারের জন্য, এর মানে হল যে ব্যবহারকারীর ডিভাইস রক্ষা করা সবসময় গুরুত্বপূর্ণ। সার্ভার লিক হলে, আক্রমণকারীদের এখনও ভল্ট ক্র্যাক করার চ্যালেঞ্জের মধ্য দিয়ে যেতে হবে। কিন্তু যদি কোনো হ্যাকার পাসওয়ার্ড ম্যানেজার ক্লায়েন্ট চালাতে থাকা কম্পিউটারের উপর সম্পূর্ণ মালিকানা লাভ করে, তাহলে তাদের সমস্ত পাসওয়ার্ড চুরি করা থেকে কিছুতেই বাধা নেই।


এটি ক্রিপ্টো সম্প্রদায়ে প্রায়শই ঘটে। ব্যবহারকারী অ্যালিসের কয়েক ডজন BTC রয়েছে, যা তাকে কোটিপতি করে তোলে। তাকে ডক্স করা হয়েছে বা প্রথমে তার পরিচয় গোপন করেনি। সে তার ডেস্কটপে স্থানীয় পাসওয়ার্ড ম্যানেজারে তার বীজ বাক্যাংশের একটি অনুলিপি রাখে। "এটি একটি ক্লাউড পাসওয়ার্ড ম্যানেজার নয়; আমি ফাঁস থেকে নিরাপদ,” সে মনে করে। হ্যাকাররা তাকে তার কম্পিউটারে একটি ব্যাকডোর ইনস্টল করার একটি উপায় খুঁজে বের করে৷ যদি তারা সত্যিই ভাল হয়, তারা ব্যবহারকারীর মিথস্ক্রিয়া ছাড়াই এটি করতে পারে। পরের দিন সকালে, তিনি একটি খালি মানিব্যাগ ঘুম থেকে ওঠে.


ব্যবহারকারীর ডিভাইসের আপস সম্পর্কে সমস্ত ধ্বংস এবং বিষণ্ণতার জন্য, একটি রূপালী আস্তরণ রয়েছে: ব্যবহারকারী হিসাবে আমাদের নিজস্ব ডিভাইসগুলিকে রক্ষা করা আমাদের নিয়ন্ত্রণের মধ্যে রয়েছে। একটি সার্ভার লিক হয় না. 150+ লোক যারা LastPass সার্ভার লিক লক্ষ লক্ষ হারিয়েছে তারা ফাঁসের জন্য বা LastPass অপর্যাপ্ত এনক্রিপশন মান বাস্তবায়নের জন্য কোন দায়বদ্ধতা বহন করে না।


যদি ব্যবহারকারীর ডিভাইস আপস একটি বিপর্যয়মূলক আক্রমণ ভেক্টর হয় পাসওয়ার্ড ম্যানেজার নিরাপত্তা মডেল কোন ব্যাপার না, এবং আমরা, ব্যবহারকারী হিসাবে, যেভাবেই হোক আমাদের ডিভাইসগুলিকে রক্ষা করতে হবে, যদি এটি শুধুমাত্র আক্রমণ ভেক্টর হয় তবে কি ভাল হবে না? যদি আমরা একটি অনলাইন পাসওয়ার্ড ম্যানেজার তৈরি করতে পারি যেখানে কোনও গোপনীয়তা কখনও ব্যবহারকারীর ডিভাইসগুলি ছেড়ে যায় না যাতে ব্যবহারকারীদের তাদের নিয়ন্ত্রণের বাইরে থাকা জিনিসগুলি সম্পর্কে চিন্তা করতে না হয়, যেমন সার্ভার সুরক্ষা এবং AES বাস্তবায়নের বিবরণ?

উপাদানগুলি টেবিলে রয়েছে

সহযোগী লেখক @hossam26644 তার নিবন্ধে অব্যাহত রেখেছেন: "সম্ভবত আমি একজন নিরাপত্তা পাগল, কিন্তু আমি তাদের প্রতিশ্রুতি এবং/খ্যাতি নির্বিশেষে একটি সত্তার কাছে আমার পাসওয়ার্ড বিশ্বাস করতে চাই না"। সে আবার ঠিক। সাইবারসিকিউরিটি প্রমাণিত এবং নিরীক্ষণযোগ্য বলে মনে করা হয়, বিশ্বাস এবং খ্যাতির উপর ভিত্তি করে নয়।


উপরে উল্লিখিত তিনটি নীতি আমার Neulock পাসওয়ার্ড ম্যানেজারের বিকাশকে নির্দেশিত করেছে। এটির বর্তমান ফর্মে পৌঁছাতে আমার ধারণা এবং পুনরাবৃত্তির তিন বছর লেগেছে: একটি নিরীক্ষণযোগ্য ক্লাউড-ভিত্তিক পাসওয়ার্ড ম্যানেজার যা এনক্রিপশনের মাধ্যমে নয় ডিজাইনের মাধ্যমে শূন্য জ্ঞান অর্জন করে। পাসওয়ার্ডগুলি ক্লাউড ব্যবহার করে ব্যবহারকারীর ডিভাইস জুড়ে সিঙ্ক করা হয়, তবে এই ডিভাইসগুলি থেকে কোনও গোপনীয়তা কখনও ছেড়ে যায় না। ক্লাউড সার্ভারের আপস কোনো গোপনীয়তা ফাঁস করতে পারে না কারণ গোপনীয়তাগুলি কখনই ক্লাউডে পৌঁছায় না।


নিউলক তৈরির তিন বছর দ্বিতীয় খণ্ডে নথিভুক্ত করা হবে।