Password हल्ला हा एक सामान्य हल्ला वेक्टर आहे जो वापरकर्त्याच्या खात्यांचे प्रमाणीकरण बायपास करण्यासाठी किंवा शोषण करण्यासाठी वापरला जातो. सर्वात सामान्य अॅप्लिकेशन सुरक्षा धोक्यांपैकी एक म्हणून, 2020 मध्ये 81% पेक्षा जास्त डेटा उल्लंघनासाठी Password हल्ल्यांचा वाटा आहे. हा लेख Password हल्ला म्हणजे काय, अशा प्रकारच्या हल्ल्यांचे विविध प्रकार आणि आधुनिक अॅप्लिकेशन्समध्ये त्यांना रोखण्यासाठी सर्वोत्तम पद्धती शिकवतो.
सायबर सुरक्षा: Password Attack म्हणजे काय ? – संकेतशब्द हल्ल्यांचे दूरगामी परिणाम होतात कारण दुर्भावनापूर्ण वापरकर्त्यांना वेब अनुप्रयोगाशी तडजोड करण्यासाठी केवळ एका विशेषाधिकारित खात्यावर किंवा काही वापरकर्त्यांच्या खात्यांमध्ये अनधिकृत प्रवेश आवश्यक असतो. अनुप्रयोगाद्वारे होस्ट केलेल्या डेटावर अवलंबून, तडजोड केलेले संकेतशब्द संवेदनशील माहिती, वितरित नकार-सेवा, आर्थिक फसवणूक आणि इतर अत्याधुनिक हल्ल्यांसाठी मार्ग मोकळा करू शकतात.
Password हल्ल्यांचे प्रकार –
वैध वापरकर्त्याचा Password मिळवण्यासाठी आणि प्रमाणीकरण करण्यासाठी हॅकर्स सामान्यत: वेगवेगळ्या तंत्रांवर अवलंबून असतात. यात समाविष्ट:
- Phishing Attacks:
Phishing हल्ला हा आतापर्यंतचा सर्वात सामान्य प्रकारचा password हल्ला आहे. हे सामाजिक अभियांत्रिकी दृष्टिकोन वापरते ज्यामध्ये हॅकर पीडित व्यक्तीला दुर्भावनापूर्ण लिंक देऊन विश्वासार्ह साइट म्हणून मास्करीड करतो. पीडितेने असे गृहीत धरले की ते वैध वेब सर्व्हरवर प्रमाणीकरण करत आहेत आणि दुव्यावर क्लिक करतात आणि आक्रमणकर्त्याला त्यांच्या खात्याचे तपशील पुरवतात.
- Brute-force password attacks:
Brute-force हल्ला वापरकर्त्याच्या लॉगिन तपशीलांचा अंदाज घेण्यासाठी चाचणी-आणि-एरर पद्धती वापरतो. वापरकर्त्याच्या Password चा यशस्वीपणे अंदाज लावण्यासाठी हॅकर्स स्वयंचलित स्क्रिप्ट वापरतात. जरी ही एक जुनी पद्धत आहे ज्यामध्ये खूप संयम आणि प्रयत्नांचा समावेश आहे, तरीही खाते उल्लंघनाच्या प्रयत्नांमध्ये क्रूट फोर्स अॅटॅकचा वापर केला जातो. कारण हे स्वयंचलित आणि तुलनेने सोपे आहे.
Password Attack
- Dictionary password attacks:
dictionary password हल्ला तंत्र दिलेल्या लक्ष्य नेटवर्कद्वारे संकेतशब्द म्हणून वापरल्या जाण्याची शक्यता असलेल्या संज्ञांची एक तयार यादी वापरते. ही यादी वापरकर्त्याच्या वर्तणुकीचे नमुने आणि आधीच्या डेटाच्या उल्लंघनातून मिळवलेले password चे विश्लेषण करून तयार केली जाते. केसांनुसार सामान्य शब्द संयोजन बदलून, संख्यात्मक प्रत्यय आणि उपसर्ग जोडून आणि सामान्य वाक्ये वापरून याद्या तयार केल्या जातात. या याद्या एका स्वयंचलित ऍप्लिकेशनमध्ये फेड केल्या जातात, जे ज्ञात वापरकर्तानावांच्या डेटाबेसवर प्रमाणीकरण करण्याचा प्रयत्न करतात.
- Password spraying attack:
Password spraying, Password रीसेट करण्यापूर्वी हॅकर एकाधिक खात्यांवर समान Password वापरून प्रमाणीकृत करण्याचा प्रयत्न करतो. हे प्रभावी आहे कारण बहुतेक वेबसाइट वापरकर्ते सोपे Password वापरतात, आणि सराव लॉकआउट नियमांचे उल्लंघन करत नाही कारण ती अनेक खाती वापरते. हल्लेखोर सामान्यत: वेबसाइटवर Password फवारणीचे आयोजन करतात जेथे प्रशासक नवीन वापरकर्ते आणि नोंदणी नसलेल्या खात्यांसाठी एकसमान डीफॉल्ट Password निर्दिष्ट करतात.
- Keylogging:
Keylogging हल्ल्यादरम्यान, वापरकर्त्याने गुप्तपणे दाबलेल्या की रेकॉर्ड करण्यासाठी हॅकर वापरकर्त्याच्या संगणकावर मॉनिटरिंग टूल्स स्थापित करतो. कीलॉगिंग वापरकर्त्यांनी इनपुट फील्डमध्ये प्रविष्ट केलेली सर्व माहिती संकलित करते आणि ती दुर्भावनापूर्ण तृतीय पक्षाकडे हस्तांतरित करते. Keylogging अनेकदा कामाच्या ठिकाणी सेटिंग्जमध्ये वापरले जात असताना, अनधिकृत प्रवेशासाठी लॉगिन क्रेडेन्शियल्स सारखी माहिती मिळविण्यासाठी आक्रमणकर्ते दुर्भावनापूर्णपणे त्यांचा वापर करतात.
Password हल्ला उदाहरण –
फिशिंग password हल्ल्याच्या सर्वात सामान्य उदाहरणांपैकी एक म्हणजे पीडित व्यक्तीशी खोटे बोलणे समाविष्ट आहे की त्यांनी त्यांच्या लॉगिन तपशीलांची पुष्टी न केल्यास त्यांचे खाते निष्क्रिय केले जाईल.
वापरकर्ता URL असलेल्या वेबसाइटवरून सेवा वापरतो असे गृहीत धरा: http://darwin.com
हल्लेखोर वापरकर्त्यांना फिशिंग ईमेल तयार करतो, त्यांना सूचित करतो की त्यांच्या खात्याशी तडजोड झाली आहे आणि खाते टिकवून ठेवण्यासाठी त्यांचे क्रेडिट कार्ड आणि लॉगिन तपशील आवश्यक आहेत. ईमेलमध्ये हॅकरच्या दुर्भावनापूर्ण वेबसाइटकडे निर्देश करून http://darw1n.com/confirm-details यासारखी लिंक समाविष्ट आहे. पीडित व्यक्ती या लिंकवर क्लिक करते आणि त्याला बनावट पुष्टीकरण पृष्ठावर पुनर्निर्देशित केले जाते, जिथे ते त्यांचे कायदेशीर लॉगिन क्रेडेन्शियल्स पुरवतात. त्यानंतर हॅकर ही क्रेडेन्शियल्स गोळा करतो आणि पीडितेच्या कायदेशीर खात्यात प्रवेश करण्यासाठी त्यांचा वापर करतो.
Password हल्ले कसे रोखायचे –
password हल्ल्यांना प्रतिबंध करण्यासाठी काही सर्वोत्तम पद्धतींचा समावेश आहे:
- Enforce strong password policies:
- सुरक्षा प्रशासकांनी अशा धोरणांची अंमलबजावणी करणे आवश्यक आहे जे वापरकर्त्यांनी दुर्भावनापूर्ण अभिनेत्यांना त्यांचे संकेतशब्द क्रॅक करण्यापासून रोखण्यासाठी सेट केलेल्या निकषांचे पालन करणे सुनिश्चित केले पाहिजे.
- उदाहरणार्थ, password कमीत कमी 8 वर्णांचा असावा आणि ब्रूट फोर्स प्रयत्न टाळण्यासाठी विशेष वर्णांचा समावेश असावा.
- तसेच, password मध्ये वैयक्तिकरित्या ओळखणारी माहिती असू नये, कारण यामुळे शब्दकोश हल्ले वाढू शकतात.
- वापरकर्त्यांनी प्रत्येक सेवेसाठी अनन्य पासवर्ड देखील वापरावे आणि आक्रमणकर्त्यांना password हल्ल्यांसाठी उघड क्रेडेन्शियल डेटाबेस वापरण्यापासून रोखण्यासाठी password वारंवार फिरवावे.
- Organization-wide password security training:
- प्रत्येक वापरकर्त्याला सशक्त password पॉलिसीची गंभीरता समजते आणि password सुरक्षिततेबद्दल संस्था-व्यापी जागरूकता पाळली जाते याची खात्री करणे अत्यावश्यक आहे.
- याव्यतिरिक्त, प्रत्येक अनुप्रयोग वापरकर्त्यास सामाजिक अभियांत्रिकी हल्ल्यांबद्दल जागरुक असले पाहिजे जे त्यांना त्यांचे क्रेडेन्शियल्स दुर्भावनापूर्ण तृतीय पक्षांना सबमिट करण्यास फसवतात.
- Enable Multifactor Authentication:
- password स्वतःमध्ये सामान्यतः संपूर्ण वापरकर्ता प्रमाणीकरण समाधान देत नाहीत.
- मल्टीफॅक्टर ऑथेंटिकेशनमध्ये अतिरिक्त सुरक्षा तपासणीसह password चा वापर समाविष्ट असतो.
- काही MFA अंमलबजावणीमध्ये वन-टाइम password (OTP), बायोमेट्रिक प्रमाणीकरण, सॉफ्टवेअर टोकन आणि वर्तणूक विश्लेषण यांचा समावेश होतो.
- Use a password manager:
- संकेतशब्द व्यवस्थापकाचे प्राथमिक कार्य वेब प्रशासकांना वापरकर्ता क्रेडेन्शियल्स संचयित आणि व्यवस्थापित करण्यात मदत करणे आहे.
- password मॅनेजमेंट सोल्यूशन्स वापरकर्त्यांसाठी मजबूत धोरणे आणि सर्वोत्तम पद्धतींचे पालन करून password तयार करतात.
- या व्यतिरिक्त, ही साधने वापरकर्त्याची क्रेडेन्शियल्स मजबूतपणे एनक्रिप्टेड डेटाबेसमध्ये संग्रहित करतात, ज्यामुळे डेटा उल्लंघनाच्या संपर्कात येण्यापासून ते मजबूतपणे सुरक्षित होतात.
सायबर सुरक्षा: Password Attack म्हणजे काय ?