paint-brush
क्रोम पासवर्ड मैनेजर ने 13 साल पहले मेरे भरोसे को धोखा दिया। मैं कभी नहीं भूला.द्वारा@lucasneves
1,164 रीडिंग
1,164 रीडिंग

क्रोम पासवर्ड मैनेजर ने 13 साल पहले मेरे भरोसे को धोखा दिया। मैं कभी नहीं भूला.

द्वारा Lucas Neves10m2024/03/02
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

क्रोम के पासवर्ड स्टोरेज से मोहभंग होने के बाद एक बेहतर पासवर्ड मैनेजर बनाने के लिए 13 साल की यात्रा करनी पड़ी। राजनयिक साइबर सुरक्षा में दुनिया के सबसे डरावने कारनामों से निपटने के अपने व्यक्तिगत अनुभव का लाभ उठाते हुए, लेखक पासवर्ड रखने के एक अपरंपरागत तरीके के डिजाइन का मार्गदर्शन करने के लिए 3 सुरक्षा सिद्धांतों की खोज करता है।
featured image - क्रोम पासवर्ड मैनेजर ने 13 साल पहले मेरे भरोसे को धोखा दिया। मैं कभी नहीं भूला.
Lucas Neves HackerNoon profile picture
0-item
1-item
2-item


यह 13 साल की यात्रा है जिसके परिणामस्वरूप पासवर्ड प्रबंधन के लिए एक अलग दृष्टिकोण न्यूलॉक आया। यहां लेखों के लेख[0] दिए गए हैं। लंबाई == 2।

भाग I

यह 2011 की बात है। कॉन्टैगियन अभी भी फिल्म सामग्री थी; लोगों ने पेपे द फ्रॉग और शीबा इनु डॉग्स के बजाय मोनोक्रोमैटिक डूडल चेहरों का उपयोग करके संचार किया, और डेनेरीस टारगैरियन वह छोटी लड़की थी जिसने बर्बर खल ड्रोगो को प्यार दिलाया।


भागो, ड्रोगो! सब लोग भागो! Pinterest पर टीना रिओर्डन द्वारा छवि।


यह तब था जब Google Chrome ने पहली बार यह ऑफ़र पेश किया था।


क्या आप चाहते हैं कि Google Chrome इस साइट के लिए आपका पासवर्ड सहेजे?


यह पासवर्ड सहेजें? क्या यह वही चीज़ है जो ब्राउज़र अब करते हैं? वाह, धन्यवाद, क्रोम, यह बहुत सुविधाजनक है! इसके बारे में सोचें, मैं अधिकांश पासवर्ड वेब ब्राउज़र पर टाइप करता हूं, इसलिए यह उन्हें सहेजने के लिए एक बेहतरीन जगह लगती है।

इसके अलावा, सबसे बुरा क्या हो सकता है? Chrome मेरे कंप्यूटर पर इंस्टॉल किया गया एक प्रोग्राम है. मेरा कंप्यूटर! मैं एक अनुभवी डेबियन लिनक्स पावर उपयोगकर्ता हूं, और ब्रह्मांड में मेरी हार्ड ड्राइव से अधिक सुरक्षित जगह कहीं नहीं है!

ज़रूर, क्रोम, आगे बढ़ो। इस पासवर्ड, और अगले पासवर्ड, और मेरे द्वारा टाइप किए गए प्रत्येक पासवर्ड को अपने इनपुट फ़ील्ड में सहेजें।

धोखे

जब तक मैंने दूसरा कंप्यूटर नहीं खरीदा। उस समय मैं जिस भी लिनक्स डिस्ट्रो की कल्पना करता था, उसके लिए पूर्व-स्थापित विंडोज़ को हटाने के बाद, अगला काम क्रोम स्थापित करना था। फ़ायरफ़ॉक्स क्वांटम अभी भी छह साल दूर था, इसलिए ज्यादा विकल्प नहीं थे।


अपने गूगल खाते के साथ साइन इन करें? हाँ हाँ, क्यों नहीं? आइए फेसबुक या कुछ भी देखें, और... अरे, क्या आपको मेरा उपयोगकर्ता नाम, क्रोम याद है? ठीक है, आइए फेसबुक पर साइन इन करें। रुको, पासवर्ड फ़ील्ड पहले से ही तारांकन से क्यों भरा हुआ है? नहीं, प्रिय क्रोम, यह एक बग होना चाहिए, मैंने अभी यह कंप्यूटर खरीदा है, आपका स्थानीय डेटाबेस प्राचीन है। जैसे ही मैं लॉगिन बटन पर क्लिक करूंगा आपको अपनी गलती का एहसास हो जाएगा। और... मैं अंदर हूँ?


मैं तुरंत क्रोम सेटिंग्स जांचने गया। मैंने जो देखा उससे मेरा भय और बढ़ गया। वे सभी वेबसाइटें और उपयोगकर्ता नाम जिन्हें मैं सहेज रहा था, एक सूची में थे। प्लेनटेक्स्ट पासवर्ड केवल एक क्लिक की दूरी पर थे।


दो उम्मीदें टूट गईं. पहली और सबसे महत्वपूर्ण बात यह है कि मैंने कभी यह अपेक्षा नहीं की थी कि Chrome सहमति के बिना मेरे पासवर्ड Google के सर्वर पर अपलोड कर देगा। उन्होंने मुझसे अपने पासवर्ड सहेजने के लिए कहा, उन्हें साझा करने के लिए नहीं!


जब मुझे एहसास हुआ कि Chrome मेरे पासवर्ड अपलोड कर रहा है तो मेरा चेहरा ख़राब हो गया


दूसरी अपेक्षा मेरी ओर से इच्छाधारी सोच थी। मुझ पर शर्म की बात है। Google दुनिया की सबसे शानदार तकनीकी कंपनियों में से एक है, और इसके इंजीनियरों को Googleplex में पिंग-पोंग मैचों के बीच असंभव काम करने वाले प्रतिभाशाली माना जाता है। मैंने सोचा कि क्रोम मेरे पासवर्ड को कुछ सुपर-सुरक्षित तरीके से संग्रहीत कर रहा है और प्रत्येक पासवर्ड को सही समय पर पुनर्प्राप्त कर रहा है ताकि इसे सटीक इनपुट फ़ील्ड में निंजा की तरह इंजेक्ट किया जा सके जहां वह था। मुझे उन सभी को सादे पाठ में देखने की उम्मीद नहीं थी।


और मैं अकेला नहीं था जो हैरान था। इलियट केम्बर ने क्रोम की पासवर्ड सुरक्षा को "पागल" कहा । आगे की चर्चा में, क्रोम के सुरक्षा प्रमुख जस्टिन शुह ने इसे अहंकारी तरीके से टाल दिया । सर टिम बर्नर्स-ली ने केम्बर का पक्ष लेते हुए क्रोम के पासवर्ड मैनेजर को " अपनी बड़ी बहन के पासवर्ड प्राप्त करने का एक तरीका " बताया।


इस अनुभव के बाद, मैंने कभी भी किसी पासवर्ड मैनेजर पर भरोसा नहीं किया, भले ही मुझे पता था कि यह मेरे बेवकूफ मानव दिमाग में अजीब पासवर्ड बनाने से बेहतर था। लेकिन, जैसा कि हम ब्राजील में कहते हैं, जिस कुत्ते को सांप ने काट लिया हो वह सॉसेज से भी डरता है। पुर्तगाली में इसका अधिक अर्थ नहीं है।

एक बेहतर पासवर्ड मैनेजर

मैंने अगले दस साल पासवर्ड असुरक्षा के रेगिस्तान में भटकते हुए बिताए। मैं एक बेहतर पासवर्ड मैनेजर की तलाश में था, लेकिन वे सभी एक ही सिद्धांत का पालन करते दिखे: अपने सभी पासवर्ड को "वॉल्ट" में बंडल करें, इसे अपनी मास्टर कुंजी के साथ एन्क्रिप्ट करें और इस वॉल्ट को अपने क्लाउड सर्वर पर अपलोड करें। मैं इस मॉडल पर कभी भरोसा नहीं कर सका. क्या वे एंड-टू-एंड एन्क्रिप्शन लागू कर रहे हैं, है ना? क्या कोई "कुंजी पुनर्प्राप्ति" पिछले दरवाजे से शोषण की प्रतीक्षा में है? या हो सकता है कि जस्टिन शुह बिल्कुल सही थे: आपके पासवर्ड किसी भी एप्लिकेशन से "तुच्छ रूप से पुनर्प्राप्त" किए जाते हैं जो उन्हें संग्रहीत करता है, और पासवर्ड को लीक करने के लिए कठिन प्रयास करने का प्रयास "सभी सिर्फ थिएटर" हैं। इस अर्थ में, पासवर्ड मैनेजर पर भरोसा करने के अलावा अपने पासवर्ड को सुरक्षित रखने की कोशिश करना एक नौसिखिए मूर्ख का काम था।


2019 में, मैं ब्राजील के विदेश मंत्रालय में आईटी विभाग में पहुंचा। वहां, मैंने सीटीओ और तकनीकी गुरु फैबियो सेरेडा से मुलाकात की। मैंने उनसे बहुत कुछ सीखा और उनके जाने के बाद मैंने कार्यभार संभाल लिया। साइबर सुरक्षा हमेशा एजेंडे में थी क्योंकि मंत्रालय ने ब्राज़ीलियाई संघीय सरकार में सभी वर्गीकृत जानकारी का लगभग 80% उत्पादन किया था, और इसका संचालन सभी रहने योग्य महाद्वीपों में 240 स्थानों पर फैला हुआ था। हमें लगातार दुनिया के सबसे डरावने संक्षिप्त शब्दों द्वारा निशाना बनाया गया, इसलिए हमें हर समय सतर्क रहने की जरूरत थी। उन वर्षों में, साइबर सुरक्षा के विभिन्न डोमेन में समस्याओं के निरंतर संपर्क के माध्यम से, मैंने एक बेहतर पासवर्ड मैनेजर के लिए सिद्धांतों को एक साथ रखना शुरू कर दिया।

सिद्धांत #0: सभी क्रिप्टोग्राफी टूट गई है या अंततः टूट जाएगी

वहाँ राजनयिक संचार का एक संग्रहालय था जहाँ मैं काम करता था। यह कोड बुक्स, कास्ट-आयरन सिफर मशीनें, सूटकेस-पोर्टेबल डिश एंटेना, टेलेक्स एडेप्टर और कुख्यात क्रिप्टो एजी सी-52 मशीन के कुछ नमूनों से भरा हुआ था। यह मुख्यालय और ब्राज़ीलियाई दूतावासों और विदेशों में राजनयिक मिशनों के बीच डेढ़ सदी के गुप्त संचार का प्रदर्शन था। वे सभी रहस्य छुपाने के लिए किसी न किसी प्रकार की क्रिप्टो पर निर्भर थे। वह सारी क्रिप्टो अब टूट गई है।


यह चीज़ गुप्त रूप से सीआईए के स्वामित्व में थी। श्रेय: रामा/विकिमीडिया कॉमन्स


यदि आप पासवर्ड मैनेजर के बारे में सोचते हैं, तो यह तथ्य डरावना नहीं है कि सभी क्रिप्टो अंततः टूट जाएंगे। मान लीजिए कि एक क्रिप्टोग्राफ़िक प्रोटोकॉल को तोड़ने में औसतन 15 साल लगते हैं। बस हर दो साल में अपना पासवर्ड बदलें, और आप ठीक रहेंगे। एक अच्छे पासवर्ड मैनेजर को अपने क्रिप्टो को समय-समय पर अपग्रेड करना चाहिए ताकि आप हमेशा आगे रहें।


डरावनी बात यह है कि यह जानना असंभव है कि कोई प्रोटोकॉल पहले ही तोड़ा जा चुका है या नहीं। या इससे भी बदतर, अगर इसे जानबूझकर, छिपी हुई भेद्यता के साथ डिज़ाइन किया गया था, जैसा कि क्रिप्टो एजी मशीन के मामले में था। ख़ुफ़िया एजेंसियाँ और साइबर अपराधी संगठन अपने शून्य-दिनों को जब तक संभव हो सके, रडार के नीचे रखते हैं।


जितना अधिक मैंने अंतिम पीढ़ी, कॉर्पोरेट-ग्रेड सुरक्षा प्रणालियों को गुप्त जानकारी लीक करते देखा, कभी-कभी बेहद शानदार तरीके से, उतना ही कम मैंने सभी क्लाउड-आधारित पासवर्ड प्रबंधकों द्वारा नियोजित वॉल्ट मॉडल पर भरोसा किया।


हाल तक, ये चिंताएँ केवल सैद्धांतिक थीं। जैसा कि साथी हैकरनूनर @hossam26644 ने लिखा ,


Google, Microsoft, Apple, 1password, Bitwarden, या जो भी हो, के पासवर्ड मैनेजर का उपयोग करने में कुछ भी गलत नहीं है। लोग लंबे समय से इनका उपयोग कर रहे हैं, अब तक उन्हें कोई समस्या नहीं हुई है।


25 जुलाई, 2022 को वह सही थे। हालाँकि, उन्हें उनमें से किसी पर भी भरोसा नहीं था, और वह फिर से सही थे। एक साल बाद, इस बात के पुख्ता सबूत मिले कि कुख्यात लास्टपास लीक के परिणामस्वरूप कुछ उच्च-मूल्य वाली तिजोरियाँ टूट गईं और लोगों को पैसे का नुकसान हुआ। 150 से अधिक लोग, 35 मिलियन डॉलर से अधिक धन।


एक आम ग़लतफ़हमी यह है कि एन्क्रिप्टेड वॉल्ट को क्रैक करने के लिए, एईएस एल्गोरिथ्म से समझौता करने की आवश्यकता होगी। लास्टपास ने हमें याद दिलाया है कि एन्क्रिप्शन को तोड़ना कितना आसान है। एईएस मजबूत है, लेकिन लास्टपास ने खराब कार्यान्वयन निर्णय लिए: बहुत कम मास्टर कुंजी आवश्यकताएं, बहुत कम पुनरावृत्तियां, और कुछ उपयोगकर्ताओं के पास वॉल्ट बचे थे जिन्हें बलपूर्वक आसानी से तोड़ा जा सकता था।

सिद्धांत #1: लॉजिस्टिक्स अक्सर सबसे कमजोर सुरक्षा कड़ी होती है

सरकारी क्रिप्टो विश्लेषक सिद्धांत #0 को अच्छी तरह से जानते थे। वे सबसे बुद्धिमान लोगों में से कुछ हैं जिनसे मैं कभी मिला हूँ, और उनमें से कुछ अकेले क्रिप्टोग्राफ़ी द्वारा संरक्षित किसी चीज़ पर पैसा लगाएंगे।


उनमें से सबसे सावधान लोगों ने गंभीर रूप से सुरक्षित संचार के लिए वन-टाइम पैड (ओटीपी) के उपयोग पर जोर दिया। वास्तव में, उन्होंने इस आवश्यकता को शीर्ष-गुप्त दस्तावेजों के प्रसारण और भंडारण के नियमों में डाल दिया।


सिद्धांत रूप में, एक ओटीपी साइफर को तोड़ा नहीं जा सकता। यह प्लेनटेक्स्ट (डेटा) का एक सरल XOR ऑपरेशन और डेटा (ओटीपी कुंजी) के समान लंबाई के यादृच्छिक मानों का एक बफर है। उसी कुंजी के विरुद्ध सिफर को दोबारा XOR' करने से, प्लेनटेक्स्ट पुनर्प्राप्त हो जाता है।


हालाँकि क्रिप्टोएनालिसिस के दृष्टिकोण से अटूट, ओटीपी में कई असुविधाएँ हैं:


  • प्रत्येक ओटीपी कुंजी का कभी भी पुन: उपयोग नहीं किया जा सकता है;
  • एक ओटीपी कुंजी कम से कम प्लेनटेक्स्ट जितनी लंबी होनी चाहिए;
  • कुंजी सममित है और इसे भेजने और प्राप्त करने वाले पक्षों के बीच पहले से साझा किया जाना चाहिए।


एक विश्वव्यापी संगठन के लिए, प्रत्येक कार्यालय को ओटीपी कुंजियाँ प्रदान करना एक बड़ा चल रहा लॉजिस्टिक ऑपरेशन है। इससे भी बुरी बात यह है कि यह संपूर्ण सुरक्षा मॉडल की कमज़ोरी है! क्योंकि, ओटीपी की सभी क्रिप्टो-आश्चर्यजनकता को सच बनाए रखने के लिए, आपको पारगमन और आराम दोनों में सही लॉजिस्टिक्स की आवश्यकता होती है।


एक राजनयिक थैली को नमस्ते कहो। अंतर्राष्ट्रीय कानून और कुछ अन्य इसे छेड़छाड़ से बचाते हैं। श्रेय: एंफेकारो/विकिमीडिया कॉमन्स


क्या गंतव्य की ओर जाते समय ईव को आपकी ओटीपी कुंजी रोकनी चाहिए? उस बिंदु से आपके सभी संचारों से समझौता कर लिया गया है।


क्या ईव को शारीरिक रूप से आपके सुरक्षित कमरे में सेंध लगानी चाहिए और आपका ओटीपी कुंजी मीडिया चुरा लेना चाहिए? उस बिंदु से आपके सभी कॉम से छेड़छाड़ की गई है, और शायद आपके पिछले भी, यदि कुंजी के उपयोग किए गए हिस्सों को मीडिया से ठीक से नहीं मिटाया गया है।


यदि आप ओटीपी कुंजियों को यादृच्छिक बाइट्स के 1 जीबी खंड के रूप में लागू करते हैं जो आपके जानकारी भेजते समय खपत हो जाते हैं, तो इसमें स्पष्ट रूप से आगे और पीछे दोनों गोपनीयता का अभाव है।


अंत में, सही क्रिप्टो जिम्मेदारी को साइबर सुरक्षा टीम से भौतिक सुरक्षा टीम में स्थानांतरित करने का एक तरीका है।

और इसी तरह की समस्या ऑफ़लाइन पासवर्ड प्रबंधकों को प्रभावित करती है: वे गोपनीयता के लिए उपलब्धता का व्यापार बंद कर देते हैं, जिससे आपको एक तार्किक गड़बड़ी से निपटना पड़ता है।


जैसा कि KeePass की स्थानीय प्रति चलाने वाला कोई भी व्यक्ति जानता है, आपको अपनी तिजोरी का बैकअप लेना होगा। यदि आपके कंप्यूटर का भंडारण समाप्त हो जाता है तो यह बैकअप बाहरी होना बेहतर होगा। आपको अपना बैकअप अद्यतन रखना होगा. और सुनिश्चित करें कि किसी की भी उस तक पहुंच न हो। और उन सब को अपने घर में न रखना, ऐसा न हो कि वे बाढ़ और आग में फंस जाएं। और उन्हें Google Drive पर अपलोड न करें; अन्यथा, अब आप ऑफ़लाइन पासवर्ड मैनेजर का उपयोग नहीं कर रहे हैं। और…


आपका बैकअप क्लाउड पर अपलोड किया जा रहा है. Adobe Firefly द्वारा बनाई गई छवि

सिद्धांत #2: जब किसी उपयोगकर्ता के उपकरण के साथ छेड़छाड़ की जाती है, तो खेल ख़त्म हो जाता है

एक दिन मेरे बॉस ने मुझे बुलाया. वह उच्च वर्ग के दस लोगों के साथ एक पीडीएफ साझा करना चाहती थी। यह जानकारी उनकी नजर में सिर्फ तीन दिन तक रहनी चाहिए. वह जानती थी कि आगे बढ़ने के लिए इस दस्तावेज़ को अपनी-अपनी टीमों के साथ साझा करने से उन्हें प्रोत्साहन मिलेगा। इस प्रकार की जानकारी व्यक्तिगत रूप से प्रस्तुत की जानी चाहिए, लेकिन कोविड। इसलिए, उसने मुझसे इस पीडीएफ को कॉपी करना और साझा करना असंभव बनाने के लिए कहा।


- नहीं किया जा सकता, मैंने उत्तर दिया।


मेरे बॉस एक राजदूत थे। यह एक जनरल का राजनयिक समकक्ष है। राजदूत उत्तर के रूप में "नहीं" सुनने के आदी नहीं हैं।

मैंने धैर्यपूर्वक समझाया कि, कंप्यूटर विज्ञान में, जब आप किसी को किसी संसाधन को पढ़ने की अनुमति देते हैं, तो आप परोक्ष रूप से उन्हें प्रतिलिपि बनाने और वितरित करने की अनुमति देते हैं। सूचना पहुंच अधिकार कानूनी अधिकारों का पालन नहीं करते। भले ही हमने किसी तरह से फ़ाइल को साझा करना असुविधाजनक बना दिया हो, वे बस अपने फोन से अपनी स्क्रीन की तस्वीरें ले सकते हैं और उन्हें व्हाट्सएप पर साझा कर सकते हैं। यदि वे दस्तावेज़ को स्क्रीन पर देख सकते हैं, तो उनके कैमरे भी देख सकते हैं।


जस्टिन शुह सही थे। यदि कोई आपके कंप्यूटर (या फोन) तक पूर्ण पहुंच प्राप्त कर लेता है, तो उनके पास उस जानकारी तक पूर्ण पहुंच होती है जिसे आप, उपयोगकर्ता, उस डिवाइस के माध्यम से एक्सेस कर सकते हैं। वह सही है, लेकिन क्रोम पर इतना घटिया पासवर्ड मैनेजर लागू करने के लिए यह उसे माफ नहीं करता।


किसने कभी बैक ऑरिफिस को वेयरज़ में एम्बेड नहीं किया और अपने दोस्तों को सिर्फ LOLz के लिए pwn नहीं किया? स्रोत: Nestor.minsk.by


पासवर्ड मैनेजर के लिए, इसका मतलब है कि उपयोगकर्ता के डिवाइस की सुरक्षा करना हमेशा महत्वपूर्ण होता है। यदि सर्वर लीक हो जाता है, तो हमलावरों को अभी भी वॉल्ट को क्रैक करने की चुनौती से गुजरना होगा। लेकिन अगर कोई हैकर पासवर्ड मैनेजर क्लाइंट चलाने वाले कंप्यूटर पर पूर्ण स्वामित्व हासिल कर लेता है, तो उसे सभी पासवर्ड चुराने से कोई नहीं रोक सकता।


क्रिप्टो समुदाय में ऐसा अक्सर होता है। उपयोगकर्ता ऐलिस के पास कुछ दर्जन बीटीसी हैं, जो उसे करोड़पति बनाती है। उसे धोखा दिया गया है या उसने पहली बार में अपनी पहचान कभी नहीं छिपाई। वह अपने डेस्कटॉप पर स्थानीय पासवर्ड मैनेजर में अपने बीज वाक्यांश की एक प्रति रखती है। “यह क्लाउड पासवर्ड मैनेजर नहीं है; मैं लीक से सुरक्षित हूं,” वह सोचती है। हैकर्स उसके कंप्यूटर पर पिछला दरवाज़ा स्थापित करने का एक तरीका ढूंढते हैं। यदि वे वास्तव में अच्छे हैं, तो वे उपयोगकर्ता की सहभागिता के बिना ऐसा कर सकते हैं। अगली सुबह, वह जागती है तो एक खाली बटुआ देखती है।


उपयोगकर्ता डिवाइस समझौते के बारे में सभी निराशा और निराशा के लिए, एक उम्मीद की किरण है: उपयोगकर्ताओं के रूप में हमारे अपने उपकरणों की सुरक्षा करना, कुछ ऐसा है जो हमारे नियंत्रण में है। सर्वर लीक नहीं है. जिन 150+ लोगों ने लास्टपास सर्वर लीक के कारण लाखों का नुकसान उठाया, उन्होंने लीक के लिए या लास्टपास द्वारा अपर्याप्त एन्क्रिप्शन मानकों को लागू करने के लिए कोई जिम्मेदारी नहीं ली।


यदि उपयोगकर्ता डिवाइस समझौता एक भयावह हमला वेक्टर है, तो पासवर्ड प्रबंधक सुरक्षा मॉडल से कोई फर्क नहीं पड़ता है, और यदि हम, उपयोगकर्ताओं के रूप में, किसी भी तरह से अपने डिवाइस की रक्षा करनी चाहिए, तो क्या यह अच्छा नहीं होगा यदि यह एकमात्र हमला वेक्टर होता? क्या हम एक ऐसा ऑनलाइन पासवर्ड मैनेजर बना सकते हैं जहां उपयोगकर्ता के डिवाइस से कोई भी रहस्य न छूटे, ताकि उपयोगकर्ताओं को सर्वर सुरक्षा और एईएस कार्यान्वयन विवरण जैसी उनके नियंत्रण से बाहर की चीजों के बारे में चिंता करने की आवश्यकता न हो?

सामग्री मेज पर हैं

साथी लेखक @hossam26644 ने अपने लेख पर जारी रखा: "शायद मैं एक सुरक्षा सनकी हूं, लेकिन मैं अपने पासवर्ड पर किसी इकाई पर भरोसा नहीं करना चाहता, चाहे उनके वादे और/प्रतिष्ठा कुछ भी हो"। वह फिर से सही है. साइबर सुरक्षा को विश्वास और प्रतिष्ठा पर आधारित नहीं, बल्कि सिद्ध और श्रवण योग्य माना जाता है।


ऊपर उल्लिखित तीन सिद्धांतों ने न्यूलॉक पासवर्ड मैनेजर के मेरे विकास को निर्देशित किया। इसके वर्तमान स्वरूप तक पहुंचने में मुझे तीन साल का विचार और पुनरावृत्ति लगी: एक ऑडिटेबल क्लाउड-आधारित पासवर्ड मैनेजर जो डिज़ाइन द्वारा शून्य ज्ञान प्राप्त करता है, एन्क्रिप्शन के माध्यम से नहीं। पासवर्ड को क्लाउड का उपयोग करके उपयोगकर्ता डिवाइसों में सिंक किया जाता है, लेकिन कोई भी रहस्य इन डिवाइसों से कभी नहीं छूटता। क्लाउड सर्वर समझौता किसी भी रहस्य को लीक नहीं कर सकता क्योंकि रहस्य कभी भी क्लाउड तक नहीं पहुंचते हैं।


न्यूलॉक के निर्माण के तीन वर्षों को भाग II में प्रलेखित किया जाएगा।