શું તમે માનો છો કે તમારો પાસવર્ડ સ્ટ્રોન્ગ છે?

Do you believe your password is strong enough? Check this out

શું તમે માનો છો કે તમારો પાસવર્ડ સ્ટ્રોન્ગ છે?

તો તમે એ જાણી લો કે હેકર્સ દર એક મિનિટે 16 કેરેક્ટર્સના મજબૂત કહેવાતા એવા 6 પાસવર્ડ તોડી પાડે છે. ફક્ત એક પ્રયોગ દરમ્યાન જ હેકર્સ 16449 જેટલા પાસવર્ડને 90% ક્રેક કરવામાં સફળ થયાં હતાં.

આજના જમાનામાં નેટીઝન ઓનલાઈન બેન્કિંગ, સોશ્યલ મિડીયા અને ટિકિટ બુકીંગ જેવી મહત્વની સર્વિસનો ઉપયોગ વેબસાઈટ દ્વારા કરતી થઈ છે ત્યારે તમારા ઓનલાઈન એકાઉન્ટ સલામત છે કે નહીં તેવો યક્ષપ્રશ્ન ઊભો થાય છે. જો આમ જોઈએ તો એકાઉન્ટને સેફ રાખવા માટે માત્ર ને માત્ર એક પાસવર્ડ જ તમારો સહારો હોય છે. તો જ્યારે જો પાસવર્ડ જ સેફ ન હોય અને હેકર્સની કાળી નજર તમારા એકાઉન્ટ પર પડતી હોય ત્યારે ચિંતા વધુ થઈ જાતી હોય છે.

ગત માર્ચ મહિનામાં જ એક વેબસાઈટના એડિટર જે પાસવર્ડ ક્રેકિંગ માટે નવો નિશાળયો ગણાય તેણે લગભગ 16000 જેટલા ક્રિપ્ટોગ્રાફ કરેલા પાસવર્ડનું એક લિસ્ટ ડાઉનલોડ કર્યું હતું. મોરલ ઓફ ધ સ્ટોરી એ છે કે એક એડિટર જે પાસવર્ડ ક્રેકિંગમાં ઝીરો નોલેજ ધરાવે છે તે આમ કરી શકે છે તો એક એક્સપર્ટ હેકર તો શું કરી શકે છે એ તમે જ વિચારી શકો છો.

આપણે ઘણી વાર સાંભળ્યું છે કે હેકર્સ પાસવર્ડ ક્રેક કર્યા ને એવું બધું. પરંતુ કમ્પ્યૂટરના આ દુશ્મનો વેબસાઈટમાં સ્ટોર થયેલા જટિલ પાસવર્ડને પણ તોડી પાડવામાં સફળ કેવી રીતે રહે છે તેના વિશે સમજીએ. સૌપ્રથમ તો જે-તે વેબસાઈટના સોફ્ટવેર ડેવલોપર્સ પાસવર્ડને સિક્યોર બનાવવા માટે ઘણી મહેનત કરતા હોય છે. વેબસાઈટના ડેટાબેઝમાં એક પ્રકારે પાસવર્ડ સ્ટોર થતો હોય છે પરંતુ જ્યારે તે સ્ટોર થતો હોય છે ત્યારે સિમ્પલ ટેક્સ્ટના બદલે હૅશ વેલ્યુમાં કન્વર્ટ થઈને સૅવ થતો હોય છે. ઉદાહરણ તરીકે વાત કરીએ તો gujaratguardian પાસવર્ડની હૅશ વેલ્યુ કંઈક આવી હશે a86064f5524e232a6e0a327b4651a0a3. જ્યારે જો પાસવર્ડનો કોઈ પણ કેરેક્ટર કેપિટલ કરી દેવામાં આવે તો પણ તેની વેલ્યુ પણ નવી જ બનતી હોય છે.

પાસવર્ડ કેવી રીતે સિક્યોર બને છે?

વેબસાઈટ કે સોફ્ટવેર પાસવર્ડને સીધેસીધી સિમ્પલ ટેક્સ્ટ ફોર્મમાં સેવ નથી કરતી પરંતુ તેની હૅશિંગ વેલ્યુ બનાવીને સ્ટોર કરે છે. હૅશિંગ (Hashing) એ એક પ્રકારની મેથમેટકિલ ફંક્શન છે જેમાં નંબર અને અક્ષરોનો યુનિક મેળ કરીને એક અટપટી વેલ્યુ વેબસાઈટ (સોફ્ટવેર) દ્વારા જનરેટ કરવામાં આવે છે. હૅશિંગ પાસવર્ડ તોડવા માટે હુમલો કરનારની કામગીરી મુશ્કેલીભરી બનાવે છે જેમાં હૅશ વેલ્યુમાંથી પાસવર્ડ કાઢવો લોઢાના ચણા ચાવવા જેવું બની જતું હોય છે. એટલે જો ફક્ત હૅશ વેલ્યુનું લિસ્ટ મળી જાય તો પણ સિમ્પલ ટેક્સ્ટનો પાસવર્ડ સરળતાથી મળી શકતો નથી.

ત્યાર બાદ તેમાં ક્રિપ્ટોગ્રાફી પ્રક્રિયાનું મીઠું ઉમેરવામાં આવે છે જેથી પાસવર્ડને હજુ પણ મજબૂત બનાવી શકાય. આ પ્રોસેસમાં હૅશિંગ બનાવતી વખતે પાસવર્ડની આગળ અથવા તો પાછળ રેન્ડમ નંબર, કેરેક્ટર કે અક્ષર ઉમેરવામાં આવે છે જેથી હેકર્સ હૅશ વેલ્યુ મેચ કરવા માટે સિમ્પલ ટેક્સ્ટ નાંખીને પાસવર્ડ ક્રેક ન કરી શકે.

પાસવર્ડ ક્રેક કરવા માટે જુદી જુદી રીત અપનાવવામાં આવતી હોય છે જેમાં હેકર્સ પોતાની મુજબ બ્રૂટ ઍટેક (Brute- Force Attack), હાઈબ્રીડ ઍટેક (Hybrid Attack), માર્કોવ ઍટેક (Markov Chains), માસ્ક ઍટેક (Mask Attack) જેવી પાસવર્ડ ક્રેક કરવાની પદ્ધતિઓનો ઉપયોગ હેકર્સ કરતાં હોય છે.



બ્રૂટ-ફોર્સ ઍટેક

પાસવર્ડ તોડી પાડવા માટે આ પ્રકારના કરવામાં આવતા હુમલામાં કમ્પ્યૂટર પોતાનું દિમાગ દોડાવીને બને તેટલાં શક્ય ‘a’ થી શરૂ થઈને ‘//////’ અંત સુધીમાં 6 કેરેક્ટર્સના કોમ્બિનેશન કરીને પાસવર્ડની શોધ ચલાવે છે. આ પ્રક્રિયા દરમ્યાનના ફર્સ્ટ રાઉન્ડમાં 32 સેકન્ડમાં લગભગ 1316 પ્લેન ટેક્સ્ટ પાસવર્ડ મળી આવ્યાં હતાં. જ્યારે સાત અને આઠ કેરેક્ટર્સના અનુક્રમે 1618 અને 708 પાસવર્ડ તોડી પાડવામાં સફળતા મળી હતી.

હાઈબ્રીડ ઍટેક

બ્રૂટ-ફોર્સ ઍટેક અને ડિક્શનરી ઍટેકને મિક્સ કરીને આ પ્રકારના હુમલા કરવામાં આવે છે અને આ હેકર્સ ગ્રુપની સૌથી ફેવરિટ અને ફાયદાકારક પદ્ધતિ છે. ક્રિપ્ટોગ્રાફી કરેલા પાસવર્ડને ક્રેક કરવામાં સૌથી વધુ કામ લાગતા આ ઍટેકમાં હેકર્સ નંબર અને સિમ્બોલ્સના 2 કેરેક્ટર્સ તેમની ડિક્શનરીના શબ્દોની અંતમાં મૂકીને સર્ચ કરે છે. જેના શક્ય એટલા કોમ્બિનેશન્સ સર્ચ કરવામાં આવે છે. આ પ્રયોગમાં 11 મિનિટ 25 સેકન્ડ્સમાં 585 પ્લેન પાસવર્ડ મળી આવ્યાં હતાં. ત્યાર બાદ ત્રણ, ચાર અને પાંચ કેરેક્ટર્સને અંતમાં મૂકીને સર્ચ કરતા કુલ પાંચ કલાકમાં 12935 પાસવર્ડનો ઢગલો મળી આવ્યો હતો.

માર્કોવ ચેઇન્સ ઍટેક

સૌથી જટિલ ગણાતી આ પદ્ધતિ એક પ્રકારની મેથેમેટિકલ સિસ્ટમ છે. જે જટિલ ગણાતા પાસવર્ડને ક્રેક કરવા માટે ખાસ ઉપયોગમાં લેવામાં આવે છે. જેમાં પહેલાં પ્લેન ટેક્સ્ટ પાસવર્ડ ક્રેક કરાયેલા હોય તેમાં ધારણાઓ કરીને એક પ્રકારની એનાલિસિસ કરવાનું કમ્પ્યૂટરને શીખવવામાં આવે છે અને ત્યાર બાદ પાસવર્ડની વચ્ચે પોતાની જાતે જ અમુક કેરેક્ટર્સ મૂકીને પાસવર્ડના કોમ્બિનેશન્સની શોધ ચલાવે છે.

સામાન્ય રીતે પાસવર્ડમાં લોકો પ્રથમ અક્ષર કેપિટલ, વચ્ચે લોઅર-કૅસ લેટર્સ અને અંતમાં સિમ્બોલ્સ અને નંબર રાખતાં હોય છે જેથી આ જ પ્રકારને કમ્પ્યૂટરને પાસવર્ડ સર્ચ કરવાનું આ ઍટેકમાં શીખવવામાં આવે છે. આ પ્રયોગમાં આશરે 14 કલાકમાં  1699 જેટલાં જટિલ પાસવર્ડ ક્રેક થયા હતાં.

માર્કોવ એટેક્સ દ્વારા પાસવર્ડ મેળવવાના એક પ્રયોગ દરમ્યાન જાણવા મળ્યું હતું કે જે લોકો એકબીજાને નથી જાણતા તેઓ પણ એક જ સાઈટમાં સરખા પાસવર્ડ રાખતાં હોય છે.

માસ્ક ઍટેક

આ ઍટેક હાઈબ્રીડ ઍટેકની જેમ જ કામ કરે છે પરંતુ અહીં હેકર્સ કોમન અક્ષરને નંબર વડે રિપ્લેસ કરી દેતાં હોય છે. જેમ કે ‘e’ ને બદલે ‘3’ નો ઉપયોગ કરીને સર્ચ કરવામાં આવે છે. આ પદ્ધતિ હાઈબ્રીડ કરતાં ઓછો ટાઈમ લે છે તેમ માનવામાં આવે છે.

advertisement

જટિલ ગણી શકાય તેવા અમુક પાસવર્ડ જે ક્રેક થયા જુઓ હેકર્સ દ્વારા કેટલાંક પાસવર્ડ તોડી પડાયા હતાં જે લાંબા, સ્ટ્રોન્ગ અને ધ્યાનમાં આવ્યાં તેવા પાસવર્ડને ક્રેક કરવામાં આવ્યાં હતાં તેનું લિસ્ટ k1araj0hns0n Sh1a-labe0uf Apr!l221973 Qbesancon321 DG091101% @Yourmom69 ilovetofunot windermere2313 tmdmmj17 and BandGeek2014 all of the lights i hate hackers allineedislove ilovemySister31, iloveyousomuch Philippians4:13 Philippians4:6-7 qeadzcwrsfxv1331

આવા પાસવર્ડ ક્યારેય ન રાખો તમારો પાસવર્ડ સહેલાઈથી કોઈ અનુમાન લગાવી ન શકે તેવો રાખવો. અહીં અભ્યાસ અનુસાર ટોપ 15 પાસવર્ડ જે એકદમ કોમન છે અને કોઈ પણ વ્યક્તિ તેનું સહેલાઈથી અનુમાન કરી મેળવી શકે છે તેની યાદી 123456 (જેવા નંબરની સીરીઝ) password iloveyou 55555 (પાંચ વખત 5 વગેરે) princess rockyou qwerty (keyboardની ઉપરની લાઈનમાં) monkey letmein abc123 password1 access myspace1 bond007 captain અને છેલ્લે... તમારું નામ તો પાસવર્ડ તરીકે ભૂલથી પણ ક્યારેય ન રાખો.

 

 

 પાસવર્ડ ક્રેકિંગ સંબંધિત ઘટનાઓ

જુલાઈ 16, 1998માં CERT (computer emergency response team) દ્વારા રિપોર્ટ કરવામાં આવ્યું હતું કે 1,86,126 એન્ક્રિપ્ટીડ પાસવર્ડ હેકર્સના હાથમાં આવી ગયાં છે. જ્યાં સુધી ટીમ દ્વારા એ હેકર્સને શોધી પડાયા ત્યાં  સુધીમાં તેમણે 47,642 પાસવર્ડ ક્રેક કરી દીધાં હતાં.

ડિસેમ્બર 2009માં Rockyou.com વેબસાઈટ પર હેકર્સ દ્વારા SQL ઇન્જેક્શન પદ્ધતિ દ્વારા 32 મિલિયન પાસવર્ડની ચોરી કરવામાં આવી હતી. વેબસાઈટમાં પાસવર્ડ એન્ક્રિપ્શન કર્યા વિના સિમ્પલ ટેક્સ્ટ ફોર્મમાં ડેટાબેઝમાં સ્ટોર કરવામાં આવ્યાં હતાં. હેકર્સ દ્વારા આ 32 મિલિયન પાસવર્ડનું લિસ્ટ (કોઈ અન્ય માહિતી સિવાય) જાહેર કરવામાં પણ આવ્યું હતું.

જૂન 2011માં NATOએ પણ આ પ્રકારની સમસ્યાનો સામનો કરવો પડ્યો હતો. જેમાં તેમની ઈ-બુક શોપના રજિસ્ટર્ડ યુઝર્સના ફર્સ્ટ, લાસ્ટ નેમ સાથે તેમના યુઝરનેમ અને પાસવર્ડને જાહેર કરી દેવામાં આવ્યાં હતાં.

જુલાઈ 2011ના રોજ એક અમેરિકન કન્સલ્ટિંગ કંપની જે પેન્ટાગોન સાથે કામ કરતી હતી તેમાંથી 90000 મિલિટરી ઓફિસર્સની લોગ-ઈન માહિતી ચોરી લેવામાં આવી હતી.

જુલાઈ 18, 2011ના રોજથી હોટમેલ દ્વારા 123456 પાસવર્ડને બૅન કરી દેવામાં આવ્યો છ

હેકર્સ ગ્રુપના પ્રકાર

વ્હાઈટ હેટ :
આ પ્રકારનો હેકર એ વ્યક્તિ છે જે કોમ્પ્યુટર સિક્યોરીટી તોડે છે પરંતુ જે નિઃસ્વાર્થ ભાવે અથવા તો અજાણતા થઈ હોય છે. કોઈ પણ દ્વેષ ભાવનાથી નહિ પરંતુ ક્રિમિનલ હેકર્સથી બચવા તેમના કોડ અને ટેકનોલોજીને સમજવા માટેનો કોઈ પ્રયોગ દ્વારા થયેલી પ્રવૃત્તિ હોય છે. કોઈ પણ કંપનીની ટેકનિકલ ટીમ આ પ્રકારની પ્રવૃત્તિ હેકર્સથી બચવા માટે કરતી હોય છે.
ગ્રે હેટ :
આ હેકર્સને 'કુશળ હેકર્સ' તરીકે ઓળખી શકાય અને તેઓ હેકીંગ કોઈક વાર લીગલી, સારા કામ માટે અથવા તો પાતાની ટેકનોલોજી જ્ઞાનની પ્રસિદ્ધિ માટે કરતાં હોય છે. ગ્રે હેટ હેકર્સ હંમેશા પોતાના સ્વાર્થ ખાતર કે કંઈક મેળવવા અર્થે પ્રવૃત્તિ નથી કરતાં.
બ્લુ હેટ :
આ પ્રકારના હેકર્સ કોમ્પ્યુટર સિક્યોરીટી કન્સલ્ટન્ટસ હોય છે જે કોઈ પણ સીસ્ટમ કે સોફ્ટવેરને લોન્ચ કરતાં પહેલાં તેની ખામી કે સફળતાને ચકાસવા માટે કરતાં હેકીંગની પ્રવૃત્તિ કરતાં હોય છે. માઈક્રોસોફ્ટ પોતાની સિક્યોરીટીને લગતાં પ્રોડક્ટ્સની શ્રેણી માટે આ જ પદ્ધતિ અપનાવે છે.
બ્લેક હેટ :
આ હેકર્સ એટલે કોમ્પ્યુટરના આતંકવાદીઓ જે કોમ્પ્યુટર સિક્યોરીટી બિનઅધિકૃત રીતે તોડે છે. તેઓ ટેકનોલોજીનો ઉપયોગ આતંકવાદ, દુશ્મનાવટ, ક્રેડિટ કાર્ડની માહિતી ચોરી કરવા, પર્સનલ માહિતીઓ લેવાં, ટેકનોલોજીનું જ્ઞાાન ચોરી કરવા અને બીજાં ઘણાં બધાં ગુનાઓ કરવા માટે હેકીંગ કરતાં હોય છે.
સ્ક્રિપ્ટ કીડી :
આ પ્રકારનો હેકર એ છે જે કોમ્પ્યુટર સિક્યોરીટીમાં નિપૂણ નથી પરંતુ કોઈ બીજા દ્વારા બનાવેલી સ્ક્રિપ્ટ કે ટેકનોલોજી ટુલ્સ દ્વારા હેકીંગ કરે છે.
હેક્ટીવીસ્ટ :
આ હેકર્સ ગ્રુપ ટેકનોલોજી દ્વારા રાજકીય વિચારસરણી કે સંદેશા ફેલાવવા માટેની પ્રવૃત્તિ કરતાં હોય છે.