यह पोस्ट केवल फ़ायरफ़ॉक्स और क्रोमियम / Google क्रोम पर लागू होती है। मैं इंटरनेट एक्सप्लोरर, ओपेरा या मोबाइल ब्राउज़रों पर टिप्पणी नहीं कर सकता। इसके अलावा, मेरा गणित और नीचे गलत हो सकता है, लेकिन मूल विचार सही है।
बेशक, यह संभव है, हालांकि, फ़ायरफ़ॉक्स और क्रोम / क्रोमियम के मामले में, संभावना नहीं है।
क्या मेरे पासवर्ड (जो ब्राउज़र में संग्रहीत हैं) सुरक्षित हैं?
यह उत्तर मेरे पसंदीदा में से एक है: यह निर्भर करता है। पासवर्डों कि ब्राउज़र जरूरत से सहेजे जाते हैं एक महत्वपूर्ण पूरा करने के लिए, और, देखने के लिए, भयानक, हालत का एक सुरक्षा बिंदु से: वे होने की जरूरत प्लेन टेक्स्ट या सादा पाठ के लिए revertible।
Plaintext बनाम Encrypted बनाम Hashed
वह बुरा क्यों है? खैर, कल्पना कीजिए कि कोई सर्वर में सेंध लगाता है और पासवर्ड डेटाबेस चुराता है। दो संभावित परिणाम हैं:
- पासवर्ड प्लेनटेक्स्ट (या आसानी से प्रतिवर्ती) हैं, इसलिए पटाखा की अब सभी खातों तक पूरी पहुंच है।
- पासवर्ड हैशेड (या एन्क्रिप्टेड) हैं, पासवर्ड प्राप्त करने और खातों तक पहुंचने के लिए हैश के खिलाफ एक क्रूर बल हमला आवश्यक होगा। अब भी कि आपका उपयोगकर्ता नाम और पासवर्ड चोरी हो गया है, आपका खाता अभी भी सुरक्षित है।
चूंकि ब्राउज़र को वेबसाइटों को पासवर्ड भेजने में सक्षम होने की आवश्यकता है, इसलिए यह हैश पासवर्ड नहीं कर सकता है , यह केवल उन्हें एन्क्रिप्ट कर सकता है (या उन्हें प्लेनटेक्स्ट के रूप में भी स्टोर कर सकता है)। यह एक ऐसी चीज है जिसे हमेशा ध्यान में रखना चाहिए (वही ईमेल क्लाइंट, चैट एप्लिकेशन और आगे के लिए जाती है)।
सिर्फ इसलिए कि यह एन्क्रिप्टेड है, इसका मतलब यह सुरक्षित नहीं है
फ़ायरफ़ॉक्स, डिफ़ॉल्ट रूप से, आपको पासवर्ड सहेजने की अनुमति देता है। यह उन्हें भी प्रभावित करता है । यही क्रोमियम पर लागू होता है (देखें परिशिष्ट "खैर, यह निर्भर करता है ..." )। इसके साथ समस्या यह है कि डिक्रिप्शन की कुंजी पासवर्ड के साथ भी संग्रहीत की जाती है। यह एन्क्रिप्शन को किसी ऐसे व्यक्ति के लिए एक छोटी सी असुविधा प्रदान करता है जो आपके पासवर्ड चाहता है और उन्हें किसी भी तरह से रोकता नहीं है।
तब पासवर्ड के साथ कुंजी को स्टोर न करें!
यह सही है, पासवर्ड को सुरक्षित बनाने के लिए , हमें कुंजी को एन्क्रिप्ट किए गए पासवर्ड से दूर करना होगा। यह फ़ायरफ़ॉक्स में एक मास्टर पासवर्ड सेट करके किया जाता है , जो तब आपके सभी पासवर्ड को एन्क्रिप्ट और डिक्रिप्ट करने के लिए उपयोग किया जाता है। इस तकनीक का उपयोग करके, आप एन्क्रिप्ट किए गए डेटा से कुंजी को अलग करते हैं , जो हमेशा एक अच्छा विचार होता है (आखिरकार, आप अपने दरवाजे के बाहर, अपने दरवाजे के सामने एक हुक पर अपनी कुंजी की चाबी नहीं रख रहे हैं?)।
पासवर्ड केवल उतना ही सुरक्षित है जितना कि आप उन्हें बनाते हैं
तो, मैंने पहले क्यों कहा कि आपके पासवर्ड अब सुरक्षित हैं और सुरक्षित नहीं हैं ? क्योंकि अब आपके पासवर्ड की सुरक्षा आपके द्वारा चुने गए पासवर्ड पर निर्भर करती है। यही है, पासवर्ड "asdf" को किसी भी तरह से सुरक्षित नहीं माना जाना चाहिए; न तो "12345" है। अच्छे पासवर्ड लंबे होते हैं , क्योंकि ब्रूट-फोर्सिंग में उन्हें काफी समय लगता है। पासवर्ड "VioletIsAnotherColor" तकनीकी रूप से अपनी लंबाई के कारण "D0! L4riZe" की तुलना में अधिक सुरक्षित है, इस तथ्य के बावजूद कि दूसरे में विशेष वर्ण हैं। उस पर एक छोटी सी नजर डालते हैं।
"VioletIsAnotherColor"
लंबाई: 20
संभावित वर्ण: 52 (26 लोअरकेस + 26 अपरकेस)
"D0! L4riZe"
लंबाई: 9
संभावित वर्ण: 77 (26 निचला + 26 ऊपरी + 10 अंक + 15 विशेष)
विशेष:! "@ $% & / () =? * + # -?
तो, हमें उन पासवर्डों को तोड़ने के कितने प्रयासों की आवश्यकता है, जो उनके चरित्र सेट और लंबाई को जानते हैं?
"VioletIsAnotherColor"
52 20 = ~ 20 मिलियन (~ 2 × 10 34 )
"D0! L4riZe"
77 9 = ~ 95 क्वाड्रिलियन (~ 9 × 10 16 )
जैसा कि हम देखते हैं, बाद के पासवर्ड, व्यापक चरित्र सेट के बावजूद, अपने सीमित सेट के साथ लंबे समय से बल-प्रयोग करना आसान है। इसकी वजह है लंबाई। (एक और उल्टा यह है कि पहले वाले को याद रखना आसान है।) इस मामले पर विवरण के लिए आईटी सुरक्षा प्रश्न देखें।
इसलिए, यदि संभव हो, तो पासवर्ड का नहीं, पासफ़्रेज़ का उपयोग करें ।
विषय पर वापस, स्पूफिंग ऐडऑन से मेरे पासवर्ड कितने सुरक्षित हैं?
वे नहीं हैं। इसका कारण यह है कि addons आपके द्वारा अभी देखी गई वेबसाइट तक पहुंच है। वे इसमें दर्ज पासवर्ड सहित जानकारी निकाल सकते हैं। Addons किसी अन्य इंस्टॉल किए गए सॉफ़्टवेयर की तरह एक सुरक्षा जोखिम है। केवल उन ऐडनों को स्थापित करें जिन पर आपको भरोसा है।
महान! मुझे इस बात की जानकारी कैसे होगी?
केवल उन स्रोतों से स्थापित करें जिन पर आप भरोसा करते हैं। फ़ायरफ़ॉक्स के लिए यह AddOns पेज है और क्रोमियम के लिए यह क्रोम वेब स्टोर है , या यदि आप लेखक / वितरक पर भरोसा करते हैं। दोनों की गारंटी है कि AddOns की जाँच और सुरक्षित है।
न तो मोज़िला एडऑन्स पेज और न ही क्रोम वेब स्टोर किसी भी तरह से गारंटी दे रहे हैं कि ऐडऑन सुरक्षित है। वे स्वचालित समीक्षा प्रक्रियाएँ नियोजित करते हैं जो दुर्भावनापूर्ण व्यसनों को पकड़ सकती हैं या हो सकती हैं। दिन के अंत में, अभी भी एक जोखिम बाकी है।
केवल उन स्रोतों से ऐडऑन स्थापित करें जिन पर आपको भरोसा है।
एक पल इंतज़ार करें; क्या आपने अभी अन्य स्थापित सॉफ़्टवेयर का उल्लेख किया है?
बेशक! कुछ भी अन्य स्थापित सॉफ़्टवेयर को ब्राउज़र से आपके पासवर्ड हथियाने, मैन-इन-द-मिडिल हमलों का प्रदर्शन करने, या यहां तक कि एक प्रॉक्सी को परोसने से रोकता है जो आपकी बैंकिंग वेबसाइटों को खराब करता है। वही ब्राउजर प्लगइन्स के लिए जाता है। अंगूठे का नियम है: ऐसे सॉफ़्टवेयर न स्थापित करें जिन पर आप भरोसा नहीं कर सकते।
निष्कर्ष
इससे आपको क्या लेना देना?
- कभी भी उन सॉफ़्टवेयर / प्लगइन्स / एडोनों को स्थापित न करें जिन पर आपको भरोसा नहीं है।
- यदि आप अभी भी संदेह में हैं, तो एक मास्टर पासवर्ड सेट करें।
- यदि अभी भी संदेह है, तो पासवर्ड के साथ अपने ब्राउज़र पर भरोसा न करें, उन्हें कभी भी न सहेजें।
- यदि अभी भी संदेह है, तो कभी भी किसी भी एडोनस / प्लगइन्स को स्थापित न करें।
- यदि अभी भी संदेह है, तो एक लाइव सिस्टम का उपयोग करें , जिसके साथ छेड़छाड़ नहीं की जा सकती है।
परिशिष्ट: "ठीक है, यह निर्भर करता है ..."
जैसा कि मुझे पता चला है, इस पैराग्राफ में मेरी धारणा 100% सही नहीं है, और मैं इसे सही करना चाहूंगा। निम्नलिखित जानकारी केवल डिस्क पर पासवर्ड के भंडारण पर लागू होती है।
Google Chrome / Chromium
यह वास्तव में करता है , डिस्क पर सुरक्षित तरीके से अपना पासवर्ड सहेजना ऑपरेटिंग सिस्टम उस पर चल रहा है पर निर्भर करता है:
माइक्रोसॉफ़्ट विंडोज़
माइक्रोसॉफ्ट विंडोज एपीआई CryptProtectData
/ CryptUnprotectData
पासवर्ड को एन्क्रिप्ट / डिक्रिप्ट करने के लिए उपयोग किया जाता है। यह एपीआई आपके ओएस खाते के पासवर्ड के साथ काम करता है, इसलिए यह केवल उतना ही सुरक्षित है जितना कि पासवर्ड।
मैक ओ एस
MacOS के लिए परत वर्तमान उपयोगकर्ता के किचेन के पासवर्ड के आधार पर एक यादृच्छिक कुंजी उत्पन्न करती है और उस कुंजी को किचेन में जोड़ती है। फिर, यह केवल उपयोगकर्ता के पासवर्ड के रूप में सुरक्षित है।
लिनक्स
खैर ... चलो इसके बारे में बात नहीं करते हैं।
ठीक है, यदि आपको जानना है, तो यह वही है जो मैंने ग्रहण किया था: यह डेटा को हार्डकोड पासवर्ड के साथ संग्रहीत करता है। यह एक केस क्यों है? केवल इसलिए कि अन्य दो प्रणालियों के लिए एक तरह से एन्क्रिप्टेड डेटा को संभालने के लिए कोई सामान्य बुनियादी ढांचा नहीं है । नहीं, मैंने यह नहीं कहा कि लिनक्स में एन्क्रिप्शन सिस्टम या सुरक्षा का अभाव है; कीरिंग / कीचेन और पासवर्ड भंडारण उपलब्ध समाधान के बहुत देखते हैं यूज़रस्पेस में । जैसा कि लगता है, क्रोम डेवलपर्स ने उनमें से एक का उपयोग नहीं करने का फैसला किया। "क्यों?" एक सवाल नहीं है जिसका मैं जवाब दे सकता हूं।
फ़ायरफ़ॉक्स
हमेशा एक उत्पन्न कुंजी का उपयोग करता है जो पासवर्ड के साथ संग्रहीत होती है। अपवाद यदि आप एक मास्टर पासवर्ड सेट करते हैं, तो यह भी उपयोग किया जाएगा।