نیٹ ورکس آپ کے پاس ورڈز اور دیگر لاگ ان معلومات کو کیسے محفوظ کرتے ہیں؟

نیٹ ورکس آپ کے پاس ورڈز اور دیگر لاگ ان معلومات کو کیسے محفوظ کرتے ہیں؟
آپ جیسے قارئین MUO کو سپورٹ کرنے میں مدد کرتے ہیں۔ جب آپ ہماری سائٹ پر لنکس کا استعمال کرتے ہوئے خریداری کرتے ہیں، تو ہم ملحق کمیشن حاصل کر سکتے ہیں۔ مزید پڑھ.

برسوں پہلے، آٹھ حروف کے بے ترتیب پاس ورڈز جن میں بڑے اور چھوٹے حروف، علامتیں اور اعداد شامل تھے، کو توڑنا واقعی مشکل تھا۔ کچھ معاملات میں، اس طرح کے پاس ورڈ کو ٹوٹنے میں برسوں لگتے ہیں۔





آج کی بدلتی ہوئی ٹیکنالوجی اور کرائے کے قابل مشینوں کی بدولت اس وقت کو گھنٹوں تک کم کر دیا گیا ہے۔ لیکن یہ پاس ورڈ پہلی جگہ کیسے محفوظ ہیں؟



دن کی ویڈیو کا میک یوز مواد کے ساتھ جاری رکھنے کے لیے اسکرول کریں۔

پاس ورڈز آن لائن کیسے محفوظ کیے جاتے ہیں۔

سسٹمز صارف کے پاس ورڈز کو براہ راست فائلوں یا ڈیٹا بیس میں محفوظ نہیں کرتے ہیں، کیونکہ حملہ آور ڈیٹا بیس پر قبضہ کر سکتے ہیں جہاں سسٹم پاس ورڈ رکھتے ہیں۔ اس کے بجائے، سسٹمز صارف کے پاس ورڈز کو انکرپٹ کرتے ہیں، اور حملہ آور ہر پاس ورڈ کے ایک انکرپٹڈ ورژن کا سامنا کرتے ہیں۔





نیٹ فلکس بوجھ لیتا ہے لیکن نہیں چلتا۔

کچھ الگورتھم ہیں جو سسٹم پاس ورڈ کو خفیہ کرنے کے لیے استعمال کرتے ہیں۔ ان الگورتھم میں سے ایک ہم آہنگی الگورتھم ہے۔ ہم آہنگی الگورتھم ایک قسم کی خفیہ کاری ہے۔ جہاں آپ ایک ہی کلید کو انکرپشن اور ڈکرپشن دونوں کے لیے استعمال کر سکتے ہیں۔ آپ ڈیٹا کو انکرپٹ کرنے کے لیے جو کلید استعمال کریں گے وہ انکرپشن اور ڈکرپشن دونوں کے لیے یکساں ہے۔ ہم آہنگ الگورتھم کی حفاظت میں کچھ خطرات ہوتے ہیں کیونکہ ڈکرپشن کے لیے صرف ایک کلید ہوتی ہے۔ اس وجہ سے، سسٹمز عام طور پر پاس ورڈ کی خفیہ کاری کے لیے ہم آہنگ الگورتھم استعمال نہیں کرتے ہیں۔

عام طور پر، نظام جو خفیہ کاری کے لیے استعمال کرتا ہے وہ ہیش الگورتھم ہے۔ ہیش الگورتھم ڈیٹا کی سالمیت کی تصدیق اور نمائندگی کے لیے ہیں، ڈیٹا کو خفیہ کرنے کے لیے نہیں۔ ہیش الگورتھم ڈیٹا کو فکسڈ سائز ہیش میں تبدیل کرتے ہیں۔ یہ ہیش عام طور پر ڈیٹا کی ایک منفرد ہیش کی نمائندگی کرتی ہیں۔



ہیش الگورتھم کی بدولت، اگر حملہ آور نے پاس ورڈ ڈیٹا بیس پر قبضہ کر لیا ہے، تو حملہ آور یہاں سے پاس ورڈ تک رسائی نہیں کر سکتا۔ یہاں ایک بہت اہم نکتہ ہے جس پر آپ کو توجہ دینی چاہئے۔ نظریاتی طور پر، ایک حملہ آور جو کسی ایسے نظام سے سمجھوتہ کرتا ہے جو پاس ورڈ کے تمام مجموعوں کے لیے ایک ہی ہیش الگورتھم کا استعمال کرتا ہے، حاصل کردہ نتائج کا موازنہ کر سکتا ہے۔ اگر حملہ آور ان موازنہ کے نتیجے میں ایک ہی قدر پیدا کرتا ہے، تو حملہ آور کو پتہ چلا ہے کہ پاس ورڈ کا کھلا ورژن کیا ہے۔ یہ طریقہ آزمائش اور غلطی کے بارے میں ہے، اور حملے کی یہ شکل ہے۔ جسے عام طور پر بروٹ فورس حملہ کہا جاتا ہے۔ .

2000 کی دہائی کے آغاز میں، مشہور ہیشنگ الگورتھم کے ساتھ خفیہ کردہ 8-حروف والے پاس ورڈز کے تمام امتزاج کو آزمانے میں سینکڑوں سال لگ سکتے ہیں۔ بلاشبہ، اس میں اس سیٹ میں '123456' یا 'mypassword' جیسے بہت آسان مجموعے شامل نہیں ہیں۔ آج کے سافٹ وئیر اور ہارڈویئر ٹیکنالوجیز کی ترقی کے ساتھ ساتھ پاس ورڈ کو کریک کرنے کا طریقہ بھی بہت بدل گیا ہے۔



ابھرتے ہوئے GPUs کا اثر

دو rtx2080 گرافکس کارڈ

گرافکس پروسیسرز (GPUs) کی متوازی ڈیٹا پروسیسنگ کی صلاحیتوں میں وقت کے ساتھ ساتھ بہتری آئی ہے۔ GPUs عام مقصد کے CPUs کی طرح ورسٹائل آپریشنز کرنے کے قابل نہیں ہیں۔ لہذا اگرچہ بہت سارے کور اور متوازی پروسیسنگ پاور ہیں، ان کو CPU جیسے تقریباً ہر مسئلے کے لیے استعمال کرنا کوئی معنی نہیں رکھتا۔

اس کے باوجود GPU پر پاس ورڈز کے لیے استعمال ہونے والے کچھ ہیش الگورتھم کو کافی مؤثر طریقے سے انجام دینا ممکن ہے۔ کمپیوٹیبل ہیشز فی سیکنڈ جو آپ روایتی CPUs کے ساتھ حاصل کر سکتے ہیں نئے GPU پلیٹ فارمز کے ساتھ بہت زیادہ بڑھ گئے ہیں۔



ایک خیال حاصل کرنے کے لیے، نیچے دیے گئے جدول میں NTLM، MD5، اور SHA1 جیسے ہیش الگورتھم کے فی سیکنڈ ہیشنگ نمبرز کا جائزہ لیں۔ ابھی کے لیے یہ جان لینا کافی ہے کہ یہ الگورتھم صرف ایک ہیش الگورتھم ہیں۔ اس ٹیبل کو بنانے کے لیے، میں نے 25 AMD Radeon GPUs پر مشتمل کلسٹر سسٹم استعمال کیا۔

tbh کا متن میں کیا مطلب ہے؟

الگورتھم

Hashings فی سیکنڈ

NTLM

350,000,000,000

MD5

180,000,000,000

SHA1

63,000,000,000

SHA512Crypt

364,000

Bcrypt

71,000

سکرپٹ

33,000

جیسا کہ آپ دیکھ سکتے ہیں، اس طرح کے نظام کے ساتھ، آپ NTLM ہیشز 350 بلین بار فی سیکنڈ بنا سکتے ہیں۔ اس کا مطلب ہے کہ آپ 6 گھنٹے سے بھی کم وقت میں 8-حروف والے پاس ورڈ کے تمام مجموعے آزما سکتے ہیں۔ مزید یہ کہ اس مثال میں موجود ہارڈ ویئر کا تعلق برسوں پہلے سے ہے۔ آج کی پاس ورڈ کریکنگ پاور کا تصور کریں۔

سافٹ ویئر ڈویلپرز کو کیا کرنا چاہیے؟

ایک ڈویلپر تحریری کوڈ

پروگرامرز کو جس طرح سے جانا چاہئے وہ بہت آسان ہے: انہیں الگورتھم کو ترجیح دینی چاہئے جو پاس ورڈ کو خفیہ کرتے وقت ہیش ویلیو کا حساب لگانے میں زیادہ وقت لے۔ ڈویلپرز کو نہ صرف اس الگورتھم کی کارکردگی کے بارے میں جاننے کی ضرورت ہے جو وہ CPU پر استعمال کر رہے ہیں بلکہ یہ بھی جاننے کی ضرورت ہے کہ یہ GPU دنیا کے خلاف کتنا لچکدار ہے۔

اگر ڈویلپرز ایک ایسے سافٹ ویئر فریم ورک کے ساتھ کام کر رہے ہیں جو پاس ورڈ کی خفیہ کاری کے عمل جیسے کہ Django، Ruby on Rails، اور Spring Security کو بھی ایڈریس کرتا ہے، تو انہیں چیک کرنا چاہیے کہ آیا سیکورٹی کے لحاظ سے فریم ورک کے اندر صحیح فیصلے کیے گئے ہیں۔

مثال کے طور پر، وضع کرنا Ruby on Rails میں صارف کے کاموں کے لیے سب سے زیادہ استعمال ہونے والی لائبریریوں میں سے ایک، Bcrypt کو بطور ڈیفالٹ ہیش الگورتھم استعمال کرتی ہے۔ یہ آپ کو ہیش الگورتھم کے بطور دوسرا طریقہ استعمال کرنے کی بھی اجازت دیتا ہے۔ Bcrypt الگورتھم قابل اعتماد ہے کیونکہ GPU کو ٹوٹنے میں ابھی بھی کافی وقت لگتا ہے۔

خلاصہ یہ کہ، ہیش ویلیو کیلکولیشن میں جتنا زیادہ وقت لگے گا، آپ اتنے ہی زیادہ محفوظ ہوں گے۔

آپ کے پاس ورڈ میں کتنے حروف ہونے چاہئیں؟

ہر ایک اضافی کردار جو آپ استعمال کرتے ہیں ہندسی طور پر آپ کے پاس ورڈ کو کریک کرنے اور آپ کے پاس ورڈ کو مزید محفوظ بنانے کے لیے درکار آزمائشوں اور غلطیوں کی تعداد میں اضافہ کرے گا۔

آئیے اس صورت حال پر دو مختلف منظرناموں سے غور کریں۔ NTLM ہیش الگورتھم کے لیے اوپر دیے گئے جدول میں موجود اقدار پر غور کریں اور تصور کریں کہ آپ پاس ورڈ کو کریک کرنے کی کوشش کریں گے۔ آٹھ حروف یا اس سے زیادہ کے پاس ورڈ کو نشانہ بنانے کا تصور کریں۔

حروف کی تعداد

بڑے/چھوٹے حروف اور اعداد

بڑے/چھوٹے حروف، اعداد، اور خصوصی علامتیں۔

8

1 منٹ سے کم

2 منٹ

9

2 منٹ

2 گھنٹے

10

2 گھنٹے

1 ہفتہ

گیارہ

6 دن

2 سال

12

1 سال

200 سال

13

100 سال سے زیادہ

1000 سال سے زیادہ

جب آپ جدول کا جائزہ لیتے ہیں، تو آپ دیکھ سکتے ہیں کہ جب آپ بڑے/چھوٹے حروف، نمبرز، اور خصوصی علامتوں کے تمام امتزاج استعمال کرتے ہیں تو کم از کم 12 حروف کے پاس ورڈ کا استعمال محفوظ ہے۔ اگر آپ خاص علامتیں استعمال نہیں کر رہے ہیں تو پتہ چلتا ہے کہ آپ کو محفوظ پاس ورڈ کی لمبائی کے طور پر 13 حروف استعمال کرنے کی ضرورت ہے۔ اگر آپ اس سسٹم میں NTLM ہیش کے بجائے Bcrypt ہیش کا طریقہ استعمال کرتے ہیں تو 8 حروف کافی ہوں گے۔ تاہم، آپ کے پاس یہ جاننے کا موقع نہیں ہے کہ آپ ویب پر جو سسٹم داخل کرتے ہیں وہ کس ہیش طریقہ سے آپ کا پاس ورڈ رکھتا ہے۔ اس لیے آپ کو تمام امکانات پر غور کرنا چاہیے۔

سافٹ ویئر ڈویلپرز کے لیے بنیادی مسئلہ یہ ہے کہ صارفین کو کم از کم 12 حروف کا پاس ورڈ رکھنے پر قائل کرنا تقریباً ناممکن ہے۔ آج، یہ کہنا ممکن ہے کہ اس لمبائی کے پاس ورڈ کے استعمال کی شرح کم ہے۔ لہذا، ترقی یافتہ نظام کے استعمال کے منظر نامے کے مطابق، ایک درمیانی زمین تلاش کرنا ضروری ہو گا جسے صارفین قبول کر لیں گے۔ اپنے پاس ورڈ کی حفاظت کو بہتر بنانے کے لیے .

ڈویلپرز کے لیے ایک آخری تجویز یہ ہے کہ نہ صرف کم از کم لمبائی بلکہ ان پٹ کی زیادہ سے زیادہ لمبائی کو بھی چیک کریں جو آپ نے صارف کو پیش کیے ہیں۔ خاص طور پر جب آپ حفاظتی مقاصد کے لیے Bcrypt جیسے سست ٹو کیلکولیٹ ہیش الگورتھم کے استعمال کو فعال کرتے ہیں، اگر آپ صارف کے داخل کردہ پاس ورڈ کی زیادہ سے زیادہ لمبائی کو کنٹرول نہیں کرتے ہیں تو آپ کو کچھ خطرات کا سامنا کرنا پڑ سکتا ہے۔ مثال کے طور پر، حملہ آور کچھ خاص طور پر تیار کردہ درخواستوں کے ساتھ ایک ہی وقت میں 100 ہزار حروف کے درجنوں پاس ورڈز آزما کر حملے کر سکتے ہیں۔ ایسی صورت میں، یہ بہت زیادہ امکان ہے کہ آپ کا سسٹم دوسرے صارفین کے لیے غیر جوابدہ ہو جائے گا۔

اختتامی صارفین کو مشورہ

اپنے پاس ورڈ کی لمبائی کو کم از کم 12 حروف بنائیں اور اس بات کو یقینی بنائیں کہ بالائی اور چھوٹے حروف کے امتزاج، اعداد اور علامتیں شامل ہوں۔ یہ کبھی نہ بھولیں کہ آپ کا پاس ورڈ محفوظ کرنے والے سسٹمز کو ہیک کیا جا سکتا ہے، اور آپ کی معلومات کا غلط استعمال کیا جا سکتا ہے۔ آپ یہ نہیں جان سکتے کہ سسٹم آپ کے پاس ورڈ کو خفیہ کرنے کے لیے کون سے الگورتھم استعمال کرتا ہے، اس لیے احتیاطی تدابیر اختیار کرنا اور مضبوط پاس ورڈ بنانا مکمل طور پر آپ پر منحصر ہے۔

ونڈوز پر میک پروگرام کیسے چلائیں