साइबरन्यूज़ के साथ साशा फेफर का इंटरव्यू
समय रहते समझौता किए गए पासवर्ड का पता लगाना एक कठिन कार्य है, इसके लिए केवल कुछ अस्पष्ट और स्पष्ट चीजें ही देखनी पड़ती हैं।
असुरक्षित, पुन: उपयोग किए गए, और कमजोर पासवर्ड न केवल सोशल मीडिया उपयोगकर्ताओं बल्कि बड़ी कंपनियों और सरकारी संस्थानों को भी प्रभावित करने वाले मुख्य साइबर सुरक्षा खतरों में से एक हैं। उजागर पासवर्ड पहचान की चोरी, वित्तीय नुकसान, और कई अन्य दीर्घकालिक परिणामों के बराबर हैं।
अब, समाज पासवर्ड प्रबंधकों के महत्व से अवगत है। फिर भी, सबसे महत्वपूर्ण सुविधाओं को ढूंढना, और यह जानना मुश्किल है कि ऑनलाइन सुरक्षा में सुधार करने के लिए कौन से अतिरिक्त उपाय महत्वपूर्ण हैं। Psono पासवर्ड मैनेजर के प्रबंध निदेशक साशा फेफर ने साइबरन्यूज़ टीम के साथ साइबर सुरक्षा के बारे में अपने विचार साझा करने के लिए सहमति व्यक्त की।
चलिए शुरुआत से ही शुरू करते हैं। Psono का विकास कैसा दिखता था?
यह 2015 में था जब मैंने Psono को प्रोग्राम करने का निर्णय लिया। उस समय कोई समाधान मौजूद नहीं था जो किसी कंपनी को उनके सर्वरों पर एक सेवा होस्ट करने की अनुमति देता जो स्टोरेज किए गए गुप्त विवरणों की क्लाइंट-साइड एन्क्रिप्शन के साथ पासवर्ड को प्रबंधित करता। मैंने अपने दोस्तों से बहुत बात की कि यह कैसे काम करना चाहिए या मेरे क्रिप्टोग्राफिक दृष्टिकोण की तरह क्या दिखता था और उन्हें शायद मरने की बोरियत हो गई थी। पहला सार्वजनिक संस्करण 2017 में जारी किया गया था और फिर समय के साथ विस्तारित हुआ। पहले एक्सटेंशनों, फाइलों, iOS और Android के लिए ऐप के साथ। यह सब केवल एक साइड प्रोजेक्ट के रूप में, मूलतः मेरा पूरा मुक्त समय, सप्ताहांत और छुट्टियाँ उत्पाद में चली गईं। 2020 में, मैंने इसे आगे बढ़ाने का फैसला किया और esaqa GmbH की स्थापना की जो उस समय एक कठिन निर्णय था। COVID अपने चरम पर था और टॉयलेट पेपर दुर्लभ था… लेकिन यह निर्णय सफल हुआ और हमारे पास वास्तव में किसी भी वास्तविक विपणन के बिना कुछ ग्राहक आ गए, केवल लोग जो पहले हमारे समुदाय संस्करण का उपयोग कर रहे थे हमारे एंटरप्राइज़ उत्पाद खरीद रहे थे। नए जर्मन सरकार का चुनाव, उपयोगकर्ताओं के एन्क्रिप्शन के अधिकार के प्रति प्रतिबद्धता के साथ, बहुत बड़ी राहत थी। इससे पहले ऐसा लग रहा था कि जर्मन राज्य सॉफ़्टवेयर विक्रेताओं को बैकडोर लागू करने की आवश्यकता हो सकती है जो अब पूरी तरह से तालिका से बाहर है।
क्या आप हमें अपने पासवर्ड मैनेजर से परिचित करा सकते हैं? इसके प्रमुख फीचर्स क्या हैं?
Psono आपको अपने सहकर्मियों और परिवार के सदस्यों के साथ पासवर्ड स्टोर और साझा करने की अनुमति देता है। कुछ बिंदु हैं जो Psono को सबसे अलग बनाते हैं। पहले, आप चीजों को अपने सर्वरों पर होस्ट कर सकते हैं। यह विकेंद्रीकृत दृष्टिकोण इसे उन विक्रेताओं की तुलना में अत्यधिक मजबूत बनाता है जो अपने क्लाइंट्स के लिए चीजों को केंद्रीय रूप से होस्ट करते हैं जहां एक एकल भेद्यता सभी क्लाइंट्स के सभी पासवर्ड को उजागर कर सकती है। Psono का स्टैक ओपन सोर्स है और इस तरह इसे कमजोरियों और बैकडोर के लिए ऑडिट किया जा सकता है। एक जर्मन विक्रेता के रूप में, हम अन्य समाधानों के मुकाबले उपयोगकर्ता गोपनीयता प्रतिबद्ध विकल्प प्रदान करते हैं। सभी पासवर्ड और अन्य गुप्त विवरण उपयोगकर्ता के डिवाइस को छोड़ने से पहले ही एन्क्रिप्ट किए जाते हैं और केवल उपयोगकर्ता द्वारा डिक्रिप्ट किए जा सकते हैं। सभी प्रविष्टियों को अन्य उपयोगकर्ताओं के साथ साझा किया जा सकता है और समूहों के साथ एक विस्तृत अनुमति अवधारणा अविश्वसनीय रूप से लचीले कॉन्फ़िगरेशन की अनुमति देती है जो इसे कंपनियों के लिए एक सही विकल्प बनाती है।
Psono को ओपन-सोर्स बनाने के पीछे का दृष्टिकोण क्या था? क्या आप हमें ओपन-सोर्स सुरक्षा सॉफ़्टवेयर के अंदर और बाहर के बारे में और अधिक बता सकते हैं?
ओपन-सोर्स होना हमारे सुरक्षा मॉडल का एक हिस्सा है। आपको किसी भी सॉफ़्टवेयर पर भरोसा नहीं करना चाहिए जिसे आप ऑडिट नहीं कर सकते। यह विशेष रूप से आपके सबसे महत्वपूर्ण सॉफ़्टवेयर के लिए सच है, एक पासवर्ड मैनेजर। निश्चित रूप से ओपन-सोर्स सॉफ़्टवेयर के लिए एक स्वाभाविक प्रेम भी है। जब मैं उस समय को याद करता हूं जब मेरा पहला उबंटू मेरे लैपटॉप पर बूट हुआ था, तो मैं काफी उदासीन हो जाता हूं। इसलिए, हम सभी दिग्गजों के कंधों पर खड़े हैं और बिना ओपन-सोर्स सॉफ़्टवेयर के, हम सभी आईटी पत्थर के युग में जी रहे होते। ओपन-सोर्स होने के और भी फायदे हैं क्योंकि यह कुछ विपणन चैनलों तक पहुंच प्रदान करता है जो विशेष रूप से ओपन-सोर्स विक्रेताओं के लिए उपलब्ध हैं।
कुछ विशेषज्ञ कहते हैं कि हम वर्तमान में एक पासवर्ड रहित भविष्य की ओर बढ़ रहे हैं। इस दृष्टिकोण के बारे में आपके क्या विचार हैं?
यह प्रवृत्ति आमतौर पर उन समाधानों के विक्रेताओं द्वारा दोहराई जाती है जो इस मुद्दे के समाधान के रूप में अपने सॉफ़्टवेयर को बेचने की कोशिश करते हैं। मुझे विश्वास है कि पासवर्ड अगले 30 वर्षों में गायब नहीं होंगे। समस्या यह है कि अब तक कोई उचित समाधान नहीं उभरा है। आमतौर पर उनके कई नुकसान होते हैं। विरासत उपकरण आमतौर पर कनेक्ट नहीं किए जा सकते। सभी उपकरणों, सॉफ़्टवेयर और प्रणालियों में एक समाधान को लागू करना कठिन है। सभी ये OAuth सेवाएं जैसे सार्वजनिक विकल्प उस सेवा के आपके खाते को बंद करने या किसी कारण के कारण आपको एक्सेस से वंचित करने का जोखिम लगाते हैं जिससे आप अपने सभी जुड़े खातों को खो देते हैं। पासवर्ड में बहुत सारी समस्याएं हैं फिर भी वर्तमान में ज्ञात सभी विकल्पों में उनके मुद्दे हैं।
क्या आपने वर्तमान वैश्विक घटनाओं के परिणामस्वरूप किसी नए खतरों का उदय देखा है?
मैं सावधान रहना चाहता हूं, फिर भी मुझे ईमानदारी से नहीं लगता कि वर्तमान वैश्विक घटनाओं के संबंध में कोई नए खतरे उभर रहे हैं। सुरक्षा और सुरक्षा के लिए निश्चित रूप से अधिक इच्छा है, फिर भी आईटी सुरक्षा पक्ष केवल मध्यम रूप से लाभ पा सकता है। यह निश्चित रूप से काफी जल्दी बदल सकता है यदि नए हैक्स सार्वजनिक हो जाते हैं।
सुरक्षा उल्लंघन की स्थिति में, व्यवसाय को अपने काम के बोझ और ग्राहक डेटा की सुरक्षा के लिए पहले कदम क्या उठाने चाहिए?
पहला कदम शमन होगा। इंटरनेट को अनप्लग करने की कोशिश करें, नेटवर्क, सर्वरों और सेवाओं को पावर ऑफ करें ताकि और कोई नुकसान न हो। दूसरा कदम सेवाओं को फिर से एक अलग तरीके से शुरू करना होगा और यह पहचानने की कोशिश करना होगा कि क्या हुआ, यह कैसे हुआ, संभवतः कुछ बाहरी पेशेवरों की मदद से जो आपको इन प्रश्नों का उत्तर देने में मदद करेंगे। तीसरा कदम प्रभावित ग्राहकों को सूचित करना होगा। विवरण और संभावित जोखिमों की व्याख्या करें। जब आप अपनी सेवाओं को फिर से लाते हैं, तो क्रेडेंशियल्स को घुमाएं और सुनिश्चित करें कि हमलावर ने कोई बैकडोर नहीं छोड़ा है जिसका उपयोग वह सिस्टम तक पुनः पहुंचने के लिए कर सकता है। भविष्य में समान प्रकृति की समस्याओं को रोकने के लिए कैसे जांचें और उन गार्डों को लागू करें। आमतौर पर, यदि कंपनी के पास एक नहीं है तो वहीं पासवर्ड प्रबंधक आते हैं।
कैसे पता लगाएं कि आपका पासवर्ड समझौता किया गया है? क्या कोई पहले की चेतावनी संकेत हैं जो अक्सर अनदेखा कर दी जाती हैं?
आमतौर पर समझौता किए गए पासवर्ड को समझना काफी कठिन होता है, देखने के लिए केवल कुछ अस्पष्ट और स्पष्ट चीजें होती हैं। जैसे संदिग्ध गतिविधि, बदले गए पासवर्ड या अज्ञात स्थानों से लॉगिन की ईमेल सूचनाएं, या वे बैंक स्थानांतरण जिन्हें आपने अधिकृत नहीं किया है। Psono में एक अच्छा फीचर शामिल है जो सार्वजनिक सेवाओं जैसे haveibeenpwned.com के लिए ज्ञात पासवर्ड उल्लंघनों की जांच करता है, इसलिए यह पता लगाएगा कि क्या आपका पासवर्ड कभी समझौता किया गया था। आमतौर पर, बेहतर होता है पूर्वनिर्धारित तरीके से सोचना। क्या आप कर सकते हैं अपने पासवर्ड को समझौता होने से रोकने के लिए वास्तव में यादृच्छिक पासवर्ड का उपयोग करें और कभी भी पासवर्ड का पुन: उपयोग न करें; वहीं एक पासवर्ड मैनेजर आपकी एकमात्र पसंद है।
मजबूत प्रमाणीकरण के अलावा, आपको किस अन्य सुरक्षा उपकरण को प्रत्येक व्यक्ति की जीवनशैली में शामिल करना चाहिए?
बेशक कई उपकरण हैं, फिर भी अधिकांश हमले ईमेल के माध्यम से होते हैं, इसलिए मैं कहूंगा कि एक उचित ईमेल सेवा प्रदाता आपकी पहली रक्षा पंक्ति है। Gmail और Outlook स्पैम, फ़िशिंग और संदिग्ध सामग्री को ब्लॉक करने में वास्तव में अच्छा काम करते हैं। दूसरा सबसे महत्वपूर्ण उपकरण जो आप लागू कर सकते हैं वह है दो-कारक प्रमाणीकरण। जहां तक हो सके इसका उपयोग करें। हमने Yubico के साथ साझेदारी की है ताकि Psono में Yubikeys के समर्थन को लागू किया जा सके (अन्य विकल्पों जैसे Google Authenticator और अन्य के बगल में)। दूसरा कारक अधिकांश डाउनसाइड्स को रोकते हैं जिनके लिए पासवर्ड की आलोचना की जाती है।
हमें बताएं, Psono के लिए आगे क्या है?
मुझे नहीं पता कहां से शुरू करना चाहिए। उत्पाद के लिहाज से हम वर्तमान में हमारे वेब क्लाइंट के एक नए संस्करण पर काम कर रहे हैं जो पूरी तरह से पुनः लिखा गया था। ऐप एक और प्रमुख निर्माण स्थल है क्योंकि हम इसे पासवर्ड के लिए सबसे उत्कृष्ट श्रेणी का ऐप बनाना चाहते हैं। व्यवसाय के संबंध में, मैं अभी तक कुछ कहने की अनुमति में नहीं हूं, फिर भी कुछ बड़ी कॉर्पोरेशन्स रास्ते में हैं जो ग्राहकों को पासवर्ड प्रबंधकों के व्यापक उपयोग की अनुमति देंगी।
