ज्ञान ही शक्ति है। यह समझना कि खातों को वास्तव में कैसे समझौता किया जाता है, आप अपने खातों को सुरक्षित रखने और अपने पासवर्ड को पहले स्थान पर "हैक" होने से रोकने में मदद कर सकते हैं।
पासवर्ड का पुन: उपयोग, विशेष रूप से लीक ऑन
बहुत से लोग - शायद अधिकतर लोग - विभिन्न खातों के लिए पासवर्ड का पुन: उपयोग करें। कुछ लोग अपने द्वारा उपयोग किए जाने वाले प्रत्येक खाते के लिए एक ही पासवर्ड का उपयोग कर सकते हैं। यह बेहद असुरक्षित है। कई वेबसाइटें - यहां तक कि बड़े, प्रसिद्ध लिंक्डइन और ईहर्मनी जैसे प्रसिद्ध लोगों ने पिछले कुछ वर्षों में अपने पासवर्ड डेटाबेस लीक किए हैं। उपयोगकर्ता नाम और ईमेल पते के साथ लीक किए गए पासवर्ड के डेटाबेस आसानी से ऑनलाइन पहुंच योग्य हैं। हमलावर अन्य वेबसाइटों पर इन ईमेल पते, उपयोगकर्ता नाम और पासवर्ड संयोजनों को आजमा सकते हैं और कई खातों तक पहुंच प्राप्त कर सकते हैं।
आपके ईमेल खाते के लिए पासवर्ड का पुन: उपयोग करने से आपको और भी जोखिम होता है, क्योंकि आपके ईमेल खाते का उपयोग आपके सभी अन्य पासवर्ड रीसेट करने के लिए किया जा सकता है यदि किसी हमलावर को इसका उपयोग प्राप्त हो जाता है।
हालांकि, आप अपने पासवर्ड सुरक्षित करने के लिए अच्छे हैं, आप नियंत्रित नहीं कर सकते कि आपके द्वारा उपयोग की जाने वाली सेवाओं को कितनी अच्छी तरह से सुरक्षित किया जाता है। यदि आप पासवर्ड का पुन: उपयोग करते हैं और एक कंपनी फिसल जाती है, तो आपके सभी खाते जोखिम में होंगे। आपको हर जगह अलग-अलग पासवर्ड का उपयोग करना चाहिए - एक पासवर्ड मैनेजर इससे मदद कर सकता है।
keyloggers
Keyloggers सॉफ़्टवेयर के दुर्भावनापूर्ण टुकड़े हैं जो पृष्ठभूमि में चल सकते हैं, जो आपके द्वारा किए गए हर महत्वपूर्ण स्ट्रोक को लॉगिंग करते हैं। वे अक्सर क्रेडिट कार्ड नंबर, ऑनलाइन बैंकिंग पासवर्ड, और अन्य खाता प्रमाण-पत्र जैसे संवेदनशील डेटा को कैप्चर करने के लिए उपयोग किए जाते हैं। फिर वे इस डेटा को इंटरनेट पर हमलावर को भेजते हैं।
इस तरह के मैलवेयर शोषण के माध्यम से आ सकते हैं - उदाहरण के लिए, यदि आप जावा के पुराने संस्करण का उपयोग कर रहे हैं, क्योंकि इंटरनेट पर अधिकांश कंप्यूटर हैं, तो आपको वेब पेज पर जावा एप्लेट के माध्यम से समझौता किया जा सकता है। हालांकि, वे अन्य सॉफ्टवेयर में छिपे हुए भी पहुंच सकते हैं। उदाहरण के लिए, आप ऑनलाइन गेम के लिए एक थर्ड-पार्टी टूल डाउनलोड कर सकते हैं। टूल दुर्भावनापूर्ण हो सकता है, आपके गेम पासवर्ड को कैप्चर कर सकता है और इसे इंटरनेट पर हमलावर को भेज सकता है।
एक सभ्य एंटीवायरस प्रोग्राम का उपयोग करें, अपने सॉफ़्टवेयर को अद्यतन रखें, और अविश्वसनीय सॉफ़्टवेयर डाउनलोड करने से बचें।
सोशल इंजीनियरिंग
हमलावर आमतौर पर आपके खातों तक पहुंचने के लिए सोशल इंजीनियरिंग चाल का उपयोग करते हैं। फ़िशिंग सामाजिक इंजीनियरिंग का एक सामान्य रूप से ज्ञात रूप है - अनिवार्य रूप से, हमलावर किसी का प्रतिरूपण करता है और आपका पासवर्ड मांगता है। कुछ उपयोगकर्ता आसानी से अपने पासवर्ड सौंपते हैं। सोशल इंजीनियरिंग के कुछ उदाहरण यहां दिए गए हैं:
- आपको एक ईमेल प्राप्त होता है जो आपके बैंक से होने का दावा करता है, आपको नकली बैंक वेबसाइट पर निर्देशित करता है और आपको अपना पासवर्ड भरने के लिए कहता है।
- आपको किसी ऐसे उपयोगकर्ता से फेसबुक या किसी अन्य सोशल वेबसाइट पर एक संदेश मिलता है जो एक आधिकारिक फेसबुक खाता होने का दावा करता है, जिससे आप स्वयं को प्रमाणित करने के लिए अपना पासवर्ड भेज सकते हैं।
- आप ऐसी वेबसाइट पर जाते हैं जो आपको कुछ मूल्यवान देने का वादा करता है, जैसे वर्ल्ड वार्कक्राफ्ट में भाप या मुफ्त सोने पर मुफ्त गेम। इस नकली इनाम पाने के लिए, वेबसाइट को सेवा के लिए अपना उपयोगकर्ता नाम और पासवर्ड चाहिए।
इस बारे में सावधान रहें कि आप अपना पासवर्ड किसके पास देते हैं - ईमेल में लिंक पर क्लिक न करें और अपने बैंक की वेबसाइट पर जाएं, किसी भी व्यक्ति को अपना पासवर्ड न दें जो आपसे संपर्क करता है और अनुरोध करता है, और अपने खाते के प्रमाण-पत्रों को अविश्वसनीय रूप से न दें वेबसाइटें, विशेष रूप से वे जो सच होने के लिए बहुत अच्छे लगते हैं।
जवाब सुरक्षा प्रश्न
सुरक्षा प्रश्नों का उत्तर देकर पासवर्ड को रीसेट किया जा सकता है। सुरक्षा प्रश्न आम तौर पर अविश्वसनीय रूप से कमजोर होते हैं - अक्सर "आप कहां पैदा हुए थे?", "आप किस उच्च विद्यालय में गए थे?" और "आपकी मां का पहला नाम क्या था?"। सार्वजनिक रूप से सुलभ सोशल नेटवर्किंग साइटों पर यह जानकारी अक्सर खोजना बहुत आसान होता है, और अधिक सामान्य लोग आपको बताएंगे कि अगर वे पूछे गए तो वे किस हाई स्कूल गए थे। इस आसान जानकारी के साथ, हमलावर अक्सर पासवर्ड रीसेट कर सकते हैं और खातों तक पहुंच प्राप्त कर सकते हैं।
आदर्श रूप से, आपको सुरक्षा प्रश्नों का उन उत्तरों के साथ उपयोग करना चाहिए जिन्हें आसानी से खोजा या अनुमानित नहीं किया जाता है। वेबसाइटों को लोगों को खाते में पहुंच प्राप्त करने से भी रोकना चाहिए क्योंकि वे कुछ सुरक्षा प्रश्नों के उत्तर जानते हैं, और कुछ करते हैं - लेकिन कुछ अभी भी नहीं करते हैं।
ईमेल खाता और पासवर्ड रीसेट
यदि कोई हमलावर आपके ईमेल खातों तक पहुंच प्राप्त करने के लिए उपर्युक्त तरीकों में से किसी एक का उपयोग करता है, तो आप बड़ी परेशानी में हैं। आपका ईमेल खाता आम तौर पर आपके मुख्य खाते के रूप में ऑनलाइन काम करता है। आपके द्वारा उपयोग किए जाने वाले अन्य सभी खाते इससे जुड़े हुए हैं, और ईमेल खाते तक पहुंचने वाले किसी भी व्यक्ति को ईमेल पते के साथ पंजीकृत किसी भी साइट पर अपने पासवर्ड रीसेट करने के लिए इसका उपयोग किया जा सकता है।
इस कारण से, आपको जितना संभव हो सके अपने ईमेल खाते को सुरक्षित करना चाहिए। इसके लिए एक अद्वितीय पासवर्ड का उपयोग करना और सावधानीपूर्वक इसकी रक्षा करना महत्वपूर्ण है।
क्या पासवर्ड "हैकिंग" नहीं है
ज्यादातर लोग कल्पना करते हैं कि हमलावर अपने ऑनलाइन खाते में लॉग इन करने के लिए हर संभव पासवर्ड का प्रयास कर रहे हैं। यह नहीं हो रहा है।यदि आपने किसी के ऑनलाइन खाते में लॉग इन करने और पासवर्ड अनुमानित रखने का प्रयास किया है, तो आप धीमे हो जाएंगे और कुछ हद तक पासवर्ड से अधिक प्रयास करने से रोका जाएगा।
यदि कोई हमलावर पासवर्ड अनुमान लगाकर ऑनलाइन खाते में प्रवेश करने में सक्षम था, तो संभव है कि पासवर्ड कुछ स्पष्ट था जिसे पहले कुछ प्रयासों जैसे "पासवर्ड" या व्यक्ति के पालतू जानवर के नाम पर अनुमान लगाया जा सकता था।
हमलावर केवल ऐसे ब्रूट-फोर्स विधियों का उपयोग कर सकते हैं यदि उनके पास आपके डेटा तक स्थानीय पहुंच थी - उदाहरण के लिए, मान लीजिए कि आप अपने ड्रॉपबॉक्स खाते में एन्क्रिप्टेड फ़ाइल संग्रहीत कर रहे थे और हमलावरों ने इसका उपयोग प्राप्त किया और एन्क्रिप्टेड फ़ाइल डाउनलोड की। फिर वे एन्क्रिप्शन को क्रूर-बल करने की कोशिश कर सकते थे, अनिवार्य रूप से प्रत्येक कार्य संयोजन को तब तक कोशिश कर सकते हैं जब तक कि कोई काम न करे।
जो लोग अपने खाते कहते हैं उन्हें "हैक किया गया" संभवतः पासवर्ड का पुनः उपयोग करने, एक महत्वपूर्ण लॉगर स्थापित करने, या सोशल इंजीनियरिंग चाल के बाद हमलावर को उनके प्रमाण पत्र देने का दोषी माना जाता है। आसानी से अनुमानित सुरक्षा प्रश्नों के परिणामस्वरूप उन्हें समझौता भी किया जा सकता है।
यदि आप उचित सुरक्षा सावधानी बरतते हैं, तो आपके खातों को "हैक करना" आसान नहीं होगा। दो-कारक प्रमाणीकरण का उपयोग करने में भी मदद मिल सकती है - हमलावर को केवल आपके पासवर्ड से अधिक की आवश्यकता होगी।