काठमाण्डौ — धेरैजसो प्रयोगकर्ताहरूले आफ्नो डिजिटल अकाउन्ट सुरक्षित राख्न समय समयमा पासवर्ड परिवर्तन गर्ने गर्छन्। तर नयाँ पासवर्ड बनाउँदा पुरानै पासवर्डमा सामान्य हेरफेर मात्र गर्ने बानीले झन् ठूलो सुरक्षा जोखिम निम्त्याइरहेको एक पछिल्लो अध्ययनले देखाएको छ।
सुरक्षा विज्ञहरूका अनुसार, प्रयोगकर्ताहरूले गर्ने यस्तो चलाखीलाई ‘नियर-आइडेन्टिकल पासवर्ड रियुज’ (Near-identical password reuse) भनिन्छ। यसले गर्दा कम्पनीहरूले बनाएका कडा पासवर्ड नीतिहरू पनि असफल सावित भइरहेका छन्।
के हो ‘नियर-आइडेन्टिकल’ पासवर्डको जोखिम?
जब कुनै सिस्टमले पासवर्ड फेर्न भन्छ, धेरै प्रयोगकर्ताहरूले नयाँ शब्द सोच्नुको साटो पुरानै पासवर्डमा एउटा अंक वा चिन्ह मात्र थप्ने गर्छन्। उदाहरणका लागि:
- अंक मात्र फेर्ने: Summer2023! बाट Summer2024! बनाउने।
- चिन्ह थप्ने: P@ssword बाट P@ssword1 बनाउने।
- सिम्बोल साट्ने: Welcome! को सट्टा Welcome? राख्ने।
यी परिवर्तनहरूले प्राविधिक रूपमा सिस्टमको ‘पासवर्ड नीति’ त पुरा गर्छन्, तर ह्याकरका लागि यो अनुमान लगाउन अत्यन्तै सजिलो हुन्छ।
ह्याकरले कसरी गर्छन् फाइदा?
आजका आधुनिक ह्याकिङ टूल्सहरू ‘रेन्डम गेसिङ’ (अन्धाधुन्ध अनुमान) मा होइन, मानवीय स्वभावमा आधारित हुन्छन्। ह्याकरहरूले पहिले नै ‘डाटा ब्रिच’ बाट सार्वजनिक भएका पुराना पासवर्डहरूको सूची लिन्छन् र त्यसमा सामान्य हेरफेर गरेर (जस्तै अंक बढाउने वा चिन्ह थप्ने) नयाँ पासवर्ड पत्ता लगाउँछन्।
‘स्पेकअप्स’ (Specops) को अनुसन्धान अनुसार, २५० जना कर्मचारी भएको एउटा सानो संस्थामा मात्रै झण्डै ४७ हजार ७ सय ५० वटा पासवर्डहरू प्रयोगमा हुन्छन्। यति धेरै पासवर्ड सम्झन गाह्रो हुने हुनाले कर्मचारीहरूले ‘नियर-आइडेन्टिकल’ शैली अपनाउँछन्, जुन ह्याकरका लागि ‘गोल्डेन गेट’ बन्न पुग्छ।
परम्परागत पासवर्ड नीति किन असफल हुँदैछन्?
धेरैजसो संस्थाहरूले पासवर्डमा ठूला अक्षर, अंक र सिम्बोल अनिवार्य गरेका हुन्छन्। तर, यी नियमहरूले ‘समानता’ (Similarity) लाई रोक्न सक्दैनन्। यदि कसैले FinanceTeam!2023 लाई FinanceTeam!2024 बनाउँछ भने सिस्टमले यसलाई ‘नयाँ पासवर्ड’ मान्छ। तर ह्याकरका लागि एउटा संस्करण थाहा पाउने बित्तिकै अर्को संस्करण पत्ता लगाउनु केही सेकेन्डको काम मात्र हो।
कसरी बच्ने? विज्ञहरूको सुझाव
१. सिमिलारिटी चेक (Similarity Analysis): संस्थाहरूले यस्तो प्रविधि अपनाउनुपर्छ जसले नयाँ पासवर्ड पुरानोसँग कति प्रतिशत मिल्छ भनेर जाँच गरोस् र धेरै मिल्ने भएमा अस्विकार गरोस्।
२. ब्रिच डाटा मनिटरिङ: आफ्नो पासवर्ड पहिले नै कुनै ह्याकिङमा परेर सार्वजनिक भइसकेको छ कि छैन भनेर निरन्तर निगरानी गर्नुपर्छ।
३. पासवर्ड म्यानेजरको प्रयोग: धेरै पासवर्ड सम्झिने झन्झटबाट मुक्त हुन ‘पासवर्ड म्यानेजर’ सफ्टवेयर प्रयोग गर्नु उत्तम हुन्छ, जसले जटिल र फरक-फरक पासवर्ड बनाइदिन्छ।
४. मल्टि-फ्याक्टर अथेन्टिकेसन (MFA): पासवर्ड मात्र पर्याप्त छैन, मोबाइलमा आउने ओटीपी (OTP) वा बायोमेट्रिक सुरक्षा अनिवार्य गर्नाले पासवर्ड चोरी भए पनि अकाउन्ट जोगिन्छ।
विज्ञहरूका अनुसार, सुरक्षा केवल नियम पालना गर्नु मात्र होइन, बरु सम्भावित जोखिमको ढाँचा बुझ्नु पनि हो। तपाईँको एउटा सानो ‘आलस्य’ ले पूरै संस्थाको तथा तपाईको डाटा जोखिममा पर्न सक्दछ।
