हैकर्स व्यवसायों और व्यक्तियों दोनों के लिए एक बड़ा खतरा हैं। प्रमाणीकरण उन्हें सुरक्षित क्षेत्रों से बाहर रखने वाला है, लेकिन यह हमेशा काम नहीं करता है।
साइबर अपराधियों के पास कई प्रकार की तरकीबें होती हैं जिनका उपयोग वैध उपयोगकर्ताओं को प्रतिरूपित करने के लिए किया जा सकता है। यह उन्हें निजी जानकारी तक पहुंचने की अनुमति देता है जिसे वे नहीं चाहते हैं। इसके बाद इसे इस्तेमाल या बेचा जा सकता है।
टूटी हुई प्रमाणीकरण कमजोरियों के कारण हैकर्स अक्सर सुरक्षित क्षेत्रों तक पहुंचने में सक्षम होते हैं। तो ये भेद्यताएँ क्या हैं, और आप इन्हें कैसे रोक सकते हैं?
टूटी हुई प्रमाणीकरण भेद्यताएँ क्या हैं?
एक टूटी हुई प्रमाणीकरण भेद्यता कोई भी भेद्यता है जो एक हमलावर को एक वैध उपयोगकर्ता का प्रतिरूपण करने की अनुमति देती है।
एक वैध उपयोगकर्ता आमतौर पर पासवर्ड या सत्र आईडी का उपयोग करके लॉग इन करता है। एक सत्र आईडी उपयोगकर्ता के कंप्यूटर पर कुछ है जो इंगित करता है कि उन्होंने पहले लॉग इन किया है। जब भी आप इंटरनेट ब्राउज़ कर रहे होते हैं और आपसे आपके किसी खाते में लॉग इन करने के लिए नहीं कहा जाता है, ऐसा इसलिए होता है क्योंकि खाता प्रदाता को आपकी सत्र आईडी मिल गई है।
अधिकांश टूटी हुई प्रमाणीकरण भेद्यताएँ समस्याएँ हैं कि सत्र आईडी या पासवर्ड कैसे प्रबंधित किए जाते हैं। हमलों को रोकने के लिए, आपको यह देखने की जरूरत है कि एक हैकर इनमें से किसी एक आइटम का उपयोग कैसे कर सकता है, और फिर सिस्टम को संशोधित करना जितना संभव हो उतना मुश्किल हो सकता है।
सत्र आईडी कैसे प्राप्त की जाती हैं?
सिस्टम कैसे डिज़ाइन किया गया है, इस पर निर्भर करते हुए, सत्र आईडी को विभिन्न तरीकों से प्राप्त किया जा सकता है। एक बार सेशन आईडी स्वीकार हो जाने के बाद, हैकर सिस्टम के किसी भी हिस्से तक पहुंच सकता है, जो एक वैध उपयोगकर्ता कर सकता है।
सत्र अपहरण
सत्र अपहरण एक सत्र आईडी चोरी करने का कार्य है। यह अक्सर उपयोगकर्ता द्वारा गलती करने और उनकी सत्र आईडी को किसी और के लिए आसानी से उपलब्ध कराने के कारण होता है।
यदि उपयोगकर्ता असुरक्षित वाई-फ़ाई का उपयोग कर रहा है, तो उसके कंप्यूटर पर आने और जाने वाले डेटा को एन्क्रिप्ट नहीं किया जाएगा. एक हैकर तब सत्र आईडी को इंटरसेप्ट करने में सक्षम हो सकता है क्योंकि यह सिस्टम से उपयोगकर्ता को भेजा जाता है।
यदि उपयोगकर्ता सार्वजनिक कंप्यूटर का उपयोग करता है और लॉग आउट करना भूल जाता है तो एक बहुत आसान विकल्प है। इस परिदृश्य में, सत्र ID कंप्यूटर पर रहता है और कोई भी उस तक पहुँच सकता है।
सत्र आईडी यूआरएल पुनर्लेखन
कुछ सिस्टम इस तरह से डिज़ाइन किए गए हैं कि सत्र आईडी एक यूआरएल में जमा हो जाती है। ऐसी प्रणाली में लॉग इन करने के बाद, उपयोगकर्ता को एक अद्वितीय URL पर निर्देशित किया जाता है। उपयोगकर्ता फिर उसी पृष्ठ पर जाकर सिस्टम को फिर से एक्सेस कर सकता है।
यह समस्याग्रस्त है क्योंकि उपयोगकर्ता के विशिष्ट URL तक पहुंच प्राप्त करने वाला कोई भी व्यक्ति उस उपयोगकर्ता का प्रतिरूपण कर सकता है। यह तब हो सकता है जब कोई उपयोगकर्ता असुरक्षित वाई-फाई का उपयोग कर रहा हो या यदि वे अपना अद्वितीय URL किसी और के साथ साझा करते हैं। URL अक्सर ऑनलाइन साझा किए जाते हैं और उपयोगकर्ताओं के लिए अनजाने में सत्र आईडी साझा करना असामान्य नहीं है।
पासवर्ड कैसे प्राप्त होते हैं?
उपयोगकर्ता की सहायता से और उसके बिना पासवर्ड को विभिन्न तरीकों से चुराया या अनुमान लगाया जा सकता है। इनमें से कई तकनीकों को स्वचालित किया जा सकता है, जिससे हैकर्स को एक ही कार्रवाई में हजारों पासवर्ड क्रैक करने का प्रयास करने की अनुमति मिलती है।
पासवर्ड छिड़काव
पासवर्ड स्प्रेइंग में कमजोर पासवर्ड को बल्क में आजमाना शामिल है। कई सिस्टम कई गलत प्रयासों के बाद उपयोगकर्ताओं को लॉक आउट करने के लिए डिज़ाइन किए गए हैं।
एक व्यक्तिगत खाते को लक्षित करने की कोशिश करने के बजाय सैकड़ों खातों पर कमजोर पासवर्ड का प्रयास करके पासवर्ड छिड़काव इस समस्या को हल करता है। यह हमलावर को सिस्टम को अलर्ट किए बिना बल्क में पासवर्ड का प्रयास करने की अनुमति देता है।
क्रेडेंशियल भराई
क्रेडेंशियल स्टफिंग चोरी किए गए पासवर्ड का उपयोग करके निजी खातों को बल्क में एक्सेस करने का प्रयास है। चोरी हुए पासवर्ड व्यापक रूप से ऑनलाइन उपलब्ध हैं। जब भी किसी वेबसाइट को हैक किया जाता है, तो उपयोगकर्ता के विवरण चुरा लिए जा सकते हैं, और अक्सर हैकर द्वारा उन्हें फिर से बेच दिया जाता है।
क्रेडेंशियल स्टफिंग में इन उपयोगकर्ता विवरणों को खरीदना और फिर उन्हें थोक में वेबसाइटों पर आज़माना शामिल है। क्योंकि पासवर्ड का अक्सर पुन: उपयोग किया जाता है, एक ही उपयोगकर्ता नाम और पासवर्ड की जोड़ी का उपयोग अक्सर कई खातों में लॉग इन करने के लिए किया जा सकता है।
फ़िशिंग
एक फ़िशिंग ईमेल एक ईमेल है जो वैध प्रतीत होता है लेकिन वास्तव में लोगों के पासवर्ड और अन्य निजी विवरण चुराने के लिए डिज़ाइन किया गया है। फ़िशिंग ईमेल में, उपयोगकर्ता को एक वेबपेज पर जाने और अपने खाते में लॉग इन करने के लिए कहा जाता है। हालाँकि, प्रदान किया गया वेबपेज दुर्भावनापूर्ण है और दर्ज की गई कोई भी जानकारी तुरंत चोरी हो जाती है।
सत्र प्रबंधन में सुधार कैसे करें
एक हैकर के लिए सत्र आईडी का उपयोग करने वाले उपयोगकर्ता को प्रतिरूपित करने की क्षमता इस बात पर निर्भर करती है कि सिस्टम कैसे डिज़ाइन किया गया है।
यूआरएल में सत्र आईडी स्टोर न करें
सेशन आईडी को कभी भी यूआरएल में स्टोर नहीं करना चाहिए। कुकीज़ सत्र आईडी के लिए आदर्श हैं और एक हमलावर के लिए उपयोग करना बहुत कठिन है।
स्वचालित लॉगआउट लागू करें
एक निश्चित मात्रा में निष्क्रियता के बाद उपयोगकर्ताओं को अपने खातों से लॉग आउट कर देना चाहिए। एक बार लागू हो जाने के बाद, चोरी की गई सत्र आईडी का अब उपयोग नहीं किया जा सकता है।
सत्र आईडी घुमाएँ
उपयोगकर्ता को लॉग आउट करने की आवश्यकता के बिना भी सत्र आईडी नियमित रूप से बदली जानी चाहिए। यह स्वचालित लॉगआउट के विकल्प के रूप में कार्य करता है और एक ऐसे परिदृश्य को रोकता है जहां एक हमलावर चुराए गए सत्र आईडी का उपयोग तब तक कर सकता है जब तक कि उपयोगकर्ता करता है।
पासवर्ड नीतियों में सुधार कैसे करें
सभी निजी क्षेत्रों चाहिए मजबूत पासवर्ड की आवश्यकता है और उपयोगकर्ताओं को अतिरिक्त प्रमाणीकरण प्रदान करने के लिए कहा जाना चाहिए।
पासवर्ड नियम लागू करें
कोई भी प्रणाली जो पासवर्ड स्वीकार करती है, उसमें कौन से पासवर्ड स्वीकार किए जाते हैं, इसके बारे में नियम शामिल होने चाहिए। उपयोगकर्ताओं को न्यूनतम लंबाई और वर्णों के मिश्रण का पासवर्ड प्रदान करने की आवश्यकता होनी चाहिए।
टू-फैक्टर ऑथेंटिकेशन अनिवार्य करें
पासवर्ड आसानी से चोरी हो जाते हैं और हैकर्स को उनका उपयोग करने से रोकने का सबसे अच्छा तरीका दो-कारक प्रमाणीकरण लागू करना है। इसके लिए एक उपयोगकर्ता को न केवल अपना पासवर्ड दर्ज करने की आवश्यकता होती है, बल्कि अन्य जानकारी भी प्रदान करनी होती है, जो आमतौर पर केवल उनके डिवाइस पर संग्रहीत होती है।
एक बार लागू हो जाने के बाद, कोई हैकर खाते तक नहीं पहुंच पाएगा, भले ही उन्हें पासवर्ड पता हो।
टूटा हुआ प्रमाणीकरण भेद्यता एक महत्वपूर्ण खतरा है
टूटी हुई प्रमाणीकरण भेद्यता किसी भी प्रणाली पर एक महत्वपूर्ण समस्या है जो निजी जानकारी संग्रहीत करती है। वे हैकर्स को वैध उपयोगकर्ताओं को प्रतिरूपित करने और उनके लिए उपलब्ध किसी भी क्षेत्र तक पहुंचने की अनुमति देते हैं।
टूटा हुआ प्रमाणीकरण आमतौर पर समस्याओं को संदर्भित करता है कि सत्र कैसे प्रबंधित किए जाते हैं या पासवर्ड कैसे उपयोग किए जाते हैं। यह समझ कर कि कैसे हैकर किसी सिस्टम तक पहुँचने का प्रयास कर सकते हैं, ऐसा करना जितना संभव हो उतना कठिन बनाना संभव है।
सिस्टम को इस तरह डिज़ाइन किया जाना चाहिए कि सत्र आईडी आसानी से उपलब्ध न हों और आवश्यकता से अधिक समय तक काम न करें। उपयोगकर्ता प्रमाणीकरण के एकमात्र साधन के रूप में पासवर्ड पर भी भरोसा नहीं किया जाना चाहिए।