बहुत बार जब लोग सुरक्षा की बात करते हैं तो पासवर्ड मैनेजर या वॉल्ट की चर्चा सामने आती है। ये व्यक्तियों के लिए उपयोगी हो सकते हैं। हालांकि, वे कंपनियों के लिए कुछ वास्तविक जोखिम उठाते हैं, अगर उन्हें सावधानी से नहीं माना जाता है।  , और हमलावर से सभी खातों द्वारा पूरी तरह से। थायकोटिक नामक एक पासवर्ड वॉल्ट सिस्टम सुरक्षा को हटाने के बजाय जोड़ने के लिए डिज़ाइन किए गए कुछ अन्य उपायों के साथ-साथ चलन में आया।   उबेर का हाल ही में उल्लंघन किया गया था   https://hackernoon.com/how-an-18-year-old-teen-breached-uber-without-hacking-a-single-system?embedable=true   कुछ चीजें हैं जिनसे मैं शुरुआत करना चाहता हूं:  प्रौद्योगिकी और उपकरण स्वयं यहां गलती नहीं हैं, इसके बजाय यह उनके कार्यान्वयन और उबेर के सिस्टम के व्यापक डिजाइन के लिए नीचे है  पासवर्ड प्रबंधकों और वाल्टों को एक दूसरे के स्थान पर उपयोग किया जाता है, लेकिन आमतौर पर एक पासवर्ड वॉल्ट एक कंपनी के लिए एक उद्यम प्रणाली के रूप में अधिक होगा जो एक एकल उपयोगकर्ता के बजाय पूरे व्यवसाय में क्रेडेंशियल्स की रक्षा करेगा।  सुरक्षा जटिल है, और जब इसे शुरू से ही डिज़ाइन नहीं किया गया है तो आप बड़ी कमजोरियों के साथ समाप्त हो जाते हैं, जिसका अर्थ है कि छोटी सी गलती बहुत कम नोटिस के साथ एक बड़ा उल्लंघन बन सकती है  उबेर हैक में क्या हुआ?  हम अधिसूचना थकान के साथ शुरुआत करते हैं। हमलावर, माना जाता है कि यूके का एक 17 वर्षीय "टीपोट" एक उबेर ठेकेदार की साख (संभावित रूप से ऑनलाइन खरीदा गया) पाया गया और उन्हें बार-बार बहु कारक प्रमाणीकरण अनुरोध भेजना शुरू कर दिया। यह तेजी से एक आम हमला होता जा रहा है, बस लोगों को अधिसूचना स्वीकार करने में परेशान करने की कोशिश कर रहा है, हालांकि इस मामले में उन्होंने व्हाट्सएप के माध्यम से एक संदेश भी भेजा है जो उबर आईटी से होने का दावा कर रहा है और ठेकेदार को बता रहा है कि कोई त्रुटि थी, और अगर उन्होंने स्वीकार कर लिया अधिसूचना यह अलर्ट बंद कर देगा।  ठेकेदार द्वारा अलर्ट स्वीकार करने के बाद टीपोट ने इंट्रानेट तक पहुंचने का दावा किया और थायकोटिक सीक्रेट्स वॉल्ट उबर के लिए व्यवस्थापक क्रेडेंशियल्स के साथ एक स्क्रिप्ट मिली, जो उनके क्रेडेंशियल्स को प्रबंधित करने के लिए उपयोग करता है।  व्यवस्थापक क्रेडेंशियल्स का अर्थ यह हो सकता है कि पासवर्ड वॉल्ट में सब कुछ हमलावर के लिए उपलब्ध था, और ऐसा ही हुआ। माना जाता है कि इसमें बग बाउंटी प्रोग्राम तक पहुंच शामिल है, जिसका अर्थ है कि टीपोट ने उबर के ऐप्स और सिस्टम में अनफिक्स कमजोरियों तक पहुंच प्राप्त की है।  तो क्या पासवर्ड वॉल्ट खराब हैं?  यहाँ समस्या है। सुरक्षा जटिल है और साख का प्रबंधन कठिन है। उबेर और अन्य यूनिकॉर्न जिस पैमाने पर काम करते हैं, उनमें से कई शुरू से ही सुरक्षा के लिए नहीं बने हैं, वे प्रभावी रूप से क्विकसैंड की नींव पर काम कर रहे हैं। एक व्यवसाय के रूप में काम करने और निवेशकों की मांगों को पूरा करने की कोशिश करते हुए कभी भी इसके लिए डिज़ाइन नहीं किए गए सिस्टम में सुरक्षा को वापस लेने की सख्त कोशिश कर रहा है।  थायकोटिक जैसे पासवर्ड वॉल्ट अपने आप में एक बुरा विचार नहीं हैं, लेकिन उबेर के मामले में क्या मदद करता? आप शून्य विश्वास सिद्धांतों के बारे में बहुत सी बातें देखेंगे, जिसका अर्थ है कि किसी भी चीज़ को एक्सेस करने के लिए नेटवर्क में किसी एक डिवाइस पर भरोसा नहीं करना, लेकिन जब इन सिद्धांतों के बारे में बहुत बात की जाती है, तो उन्हें लागू करना असंभव रूप से कठिन होता है यदि वे इससे निर्मित नहीं होते हैं शुरुवात।  पासवर्ड वॉल्ट नहीं होना एक और विकल्प है, और इससे शायद मदद मिली होगी क्योंकि इसका मतलब होगा कि उन सभी क्रेडेंशियल्स को एक ही स्थान पर रखने की संभावना कम होगी। दूसरी ओर, इसका मतलब है कि उपयोगकर्ताओं द्वारा पहली बार में कमजोर पासवर्ड का उपयोग करने और उन्हें असुरक्षित तरीके से संग्रहीत करने की अधिक संभावना है जैसे कि स्प्रेडशीट या टेक्स्ट फ़ाइल पर।  यदि उन्हें ठीक से कार्यान्वित किया जाता है, तो पासवर्ड वाल्ट उपयोगकर्ताओं के लिए सुरक्षित सिस्टम को प्रबंधित करना बहुत आसान बनाते हैं। यहां असली गलती पासवर्ड वॉल्ट में पहले स्थान पर व्यवस्थापक क्रेडेंशियल्स होने में थी, इसके बजाय अलग-अलग खातों को केवल उन क्रेडेंशियल्स तक पहुंच के साथ बनाया जाना चाहिए जिनकी उन्हें आवश्यकता है। कोई भी बाहरी ठेकेदार, चाहे कितना भी भरोसेमंद क्यों न हो, को कभी भी उस स्तर की साख तक पहुंच नहीं होनी चाहिए - उन्हें बस इसकी आवश्यकता नहीं है।  मैं सबसे भरोसेमंद कर्मचारियों के साथ भी उस तरह की पहुंच रखने में सहज नहीं होता। यह उस प्रकार की चीज है जिसे आप कई टुकड़ों में विभाजित करते हैं, बोर्ड के कई सदस्यों के बीच फैलते हैं, और आपात स्थिति के लिए एक तिजोरी में बंद कर देते हैं, जैसे कि आपकी पूरी आईटी टीम का एलियंस द्वारा अपहरण कर लिया जाता है।  क्या मुझे पासवर्ड वॉल्ट का उपयोग करना चाहिए?  हमले के बाद एक बात जो सामने आई वह यह थी कि बहुत सारे सुरक्षा उत्पाद विक्रेता अपना समाधान बेच रहे थे और केवल वही इसे रोक सकता था। सबसे अच्छा, इन्हें पूरी तरह से नजरअंदाज कर दिया जाना चाहिए, क्योंकि कमजोरियों के कारण उल्लंघन हुआ (और लगभग हमेशा होता है) जटिल और बिना किसी आसान सुधार के बहुआयामी। दूसरा यह था कि बहुत से लोग सवाल कर रहे थे कि क्या पासवर्ड वॉल्ट या मैनेजर अचानक एक नया और भारी जोखिम लेने के लिए थे, और क्या वे उपयोग करने के लिए सुरक्षित थे।    के माध्यम से छवि यूरेजिना  सरल उत्तर हां है, यदि यह उपयोगी है और आपके लिए समझ में आता है। एक अच्छी तरह से सेट-अप वॉल्ट आपको अधिक सुरक्षित पासवर्ड का उपयोग करने देता है, उन्हें नियमित रूप से घुमाता है, और उन्हें अच्छी तरह से प्रबंधित करता है। कई एंटरप्राइज़ सीक्रेट वॉल्ट प्रत्येक उपयोग के बाद पासवर्ड बदल देंगे और उपयोगकर्ता क्रेडेंशियल जैसे प्रमाणपत्र और अन्य निजी कुंजियों की तुलना में बहुत अधिक प्रबंधित करेंगे।  अधिक जटिल उत्तर यह है कि सुरक्षा को सरल बनाने के लिए आपके द्वारा उपयोग किया जाने वाला कोई भी उपकरण व्यापार बंद और पर्यावरण के लिए अपने स्वयं के जोखिमों का परिचय देगा। एक पासवर्ड वॉल्ट आपको अधिक सुरक्षित पासवर्ड और क्रेडेंशियल्स का बेहतर प्रबंधन देगा, लेकिन ट्रेड ऑफ यह है कि ये सभी क्रेडेंशियल एक ही स्थान पर इसे एक हमलावर के लिए एक आकर्षक लक्ष्य बनाते हैं और एक मामूली उल्लंघन को और अधिक गंभीर रूप से तेज कर सकते हैं।

Google

Target

Uber

Buy My Book

Read My Blog

Portfolio

यह ऑडियो कहानी की मूल भाषा में निर्मित है!

बहुत लंबा; पढ़ने के लिए

Download free Tech Leaders Productivity Report!

उबेर और थाइकोटिक: क्या पासवर्ड वॉल्ट एक बड़ी सुरक्षा भेद्यता है?

About Author

टिप्पणियाँ

लेबल

इस लेख में चित्रित किया गया था

Related Stories

10 Reasons Why Publishing on HackerNoon Will Skyrocket Your Reach and Impact

AI की शक्ति को उन्मुक्त करना। अत्याधुनिक तकनीकों की एक व्यवस्थित समीक्षा: सार और परिचय

क्लाउड सॉनेट 3.5 सिस्टम प्रॉम्प्ट लीक: एक फोरेंसिक विश्लेषण

डिजिटल खानाबदोशों सुनो: थाईलैंड के नए डीटीवी वीज़ा के बारे में आपको क्या जानना चाहिए

10 Reasons Why Publishing on HackerNoon Will Skyrocket Your Reach and Impact

AI की शक्ति को उन्मुक्त करना। अत्याधुनिक तकनीकों की एक व्यवस्थित समीक्षा: सार और परिचय

क्लाउड सॉनेट 3.5 सिस्टम प्रॉम्प्ट लीक: एक फोरेंसिक विश्लेषण

डिजिटल खानाबदोशों सुनो: थाईलैंड के नए डीटीवी वीज़ा के बारे में आपको क्या जानना चाहिए

Light-Mode

Classic

Newspaper

Dark-Mode

Neon Noir

Minty

HN StartUps