Tuesday, October 9, 2018

तुमच्या तिजोरीच्या चाव्या सुरक्षित आहेत काय ?

आपण आपले पैसे, महत्वाचे कागदपत्र इत्यादी आपल्या तिजोरीत ठेवतो आणि त्या तिजोरीला लॉक लावतो आणि तिजोरीची चावी अशा ठिकाणी लपवून ठेवतो जिथं सहसा कोणीही पोहचणार नाही. परंतु या टेक्नॉलॉजीच्या युगात आपले महत्वाचे कागदपत्र, आपला सारा ऐवज हे सर्व तर तंत्रज्ञानाने उघडलेल्या खात्यामध्ये आहे. त्याच्या चाव्या कुठं आणि कशा सुरक्षित आहेत ? याचा विचार आपण केला आहे का ? केवळ इंटरनेट बँकिंगच नव्हे तर दैनंदिन जीवनात वापरली जाणारी बाकीची इतर खाती किती सुरक्षित आहेत हेही जरा तपासण्याची गरज आहे. आपला पासवर्ड किती जणांना माहित आहे? तो किती सुरक्षित आहे? बँकेकडे कोणत्या पातळीपर्यंत सुरक्षित राहू शकतो ? परवाचा कॉसमॉस बँकेवर जो हल्ला झाला त्यात तुमचे तर खाते नव्हते ना? आणि जर असते तर? तुमच्या पासवर्डची ताकत किती आहे ? तुमचा पासवर्ड चोरण्यासाठी हॅकर्स काय करतात ? आपण या लेखात अशा अनेक प्रशांवर नजर टाकणार आहोत.

काही दिवसापूर्वी सर्वोच्च न्यायालयात 'व्यक्तिगत माहिती संरक्षण विधेयक २०१८'  सादर करण्यात आले. विधेयक आल्यानंतर व्यक्तिगत माहिती संरक्षणासाठी असा कायदाही काही दिवसांनी अस्तित्वात येईल. या कायद्याने देशातील प्रत्येकाला माहितीच्या खाजगीपणाचा अधिकार मिळाला आहे असे वाटत जरी असले, तरी सर्वाधिक माहिती ज्याच्याकडे आहे, त्या सरकारला मात्र या कायद्याच्या कचाट्यातून मुभा देण्याचे काम मात्र या कायद्याने केले आहे आणि ते न्यायालयाने दिलेल्या निवाड्याच्या विरोधातही आहे. एखाद्या व्यक्तीची सर्व संवेदनशील माहिती घेण्यापूर्वी तिचा सुस्पष्ट होकार असावा. या संवेदनक्षम माहितीमध्ये पासवर्ड, आर्थिक माहिती, आरोग्याशी संबधित माहिती, लैंगिक आयुष्य, बायोमेट्रिक माहिती त्याचप्रमाणे जात, धर्म, पंथ, जमाती किंवा राजकीय विचारधारा यांचा समावेश होतो. आजपर्यंत माहितीसाठी मग ती खाजगी कंपन्यांनी किंवा सरकारने गोळा केलेली असो, याबाबत कोणतीही चौकट अस्तित्वात नव्हती. आता या कायद्यानिमित्ताने ती चौकट तयार होत आहे.  कंपन्या व सरकार अगदी सहजरीत्या आपल्याकडून माहिती गोळा करतात. कधी सेवा पुरवण्याच्या निमित्ताने तर कधी एखादी सुविधा देण्याच्या निमित्ताने. नंतर याच माहितीचा वापर सामग्री म्हणून केला जातो. हीच माहिती नंतर इतर खाजगी कंपन्यांना विकली जाते. इथून पुढे माहिती विकण्याअगोदर किंवा त्यात बदल करण्याअगोदर माहितीपूर्ण, स्वच्छ, स्पष्ट आणि नेमक्या शब्दात, ज्या व्यक्तीची माहिती आहे व्यक्तीची परवानगी घेणे आवश्यक आहे. त्याचवेळी माहितीचा वापर करण्याचा, बदलण्याचा  किंवा काढून टाकण्याचा अधिकारही ज्या व्यक्तीची माहिती आहे त्याच व्यक्तीला असेल. अर्थात ही सर्व माहिती डेटाबेसमध्ये इन्क्रीपटेड स्वरुपात असते. म्हणजेच मनुष्याला सहसा वाचता न येणारी. त्याच्या परवानगी नंतरच ती वाचता येवू शकेल. आणि ज्या कारणासाठी ही माहिती गोळा केली आहे केवळ त्याच कामासाठी तिचा वापर केला जाईल. इतर कोणत्याही कामासाठी त्या माहितीचा वापर करता येणार नाही. हेही हा कायदा सांगतो.

याबरोबरच आपण आपल्याबाजूनेही कशाप्रकारे आपल्या माहितीबद्दलची सुरक्षा ठेवू शकतो ते पाहूयात. पासवर्ड चोरण्यासाठी हॅकर्स डिक्शनरी अटॅक, हायब्रीड अटॅक , बूट फोर्स अटॅक अशा अनेक हल्ल्यांचा वापर करतात. डिक्शनरी अटॅकमध्ये हॅकर्स युवझर्सचा पासवर्ड इंग्लिश शब्दकोशानुसार तपासत जातो. अनेक लोक इंग्रजी भाषेतला कोणताही एखादा शब्द पासवर्ड म्हणून वापरतात उदा. success, inspire, awesome, happy, वगैरे. हॅकर्स डिक्शनरीमधले सगळे सर्व शब्द कॉम्पुटरच्या एका फाईलमध्ये भरतात. या फाईलला डिक्शनरी म्हणून ओळखलं जातं. आता ज्या वेबसाईटवर एखाद्या माणसाचा पासवर्ड चोरायचा असेल त्या वेबसाईटवर हॅकर त्या माणसाचा युझर आयडी भरतो. पासवर्डच्या ठिकाणी हॅकर डिक्शनरीमधला पुढचा शब्द वापरण्याच तंत्र वापरतो. यासाठी त्याला माहिती हाताने भरण्याची अजिबात गरज नसते, त्याच्यासाठी डिक्शनरी फाईल तयारच असते. या डिक्शनरीमधला पुढचा शब्द पासवर्ड म्हणून वापरत रहा आणि तो शब्द पासवर्ड म्हणून चालला नाही तर त्याच्या पुढचा शब्द पासवर्ड म्हणून वापरत रहा, याच्यासाठी त्याच्याकडे एक छोटासा प्रोग्राम लिहून तयार असतो. ज्या वेळी डिक्शनरीमधला एखादा शब्द मॅच होतो तेव्हा ते खाते हॅक झालेले असते. अशा पद्धतीने हॅकर्स डिक्शनरी अटॅकचा वापर करून खाती हॅक करतात.

लोकांना जेव्हा डिक्शनरी अटॅकबद्दल समजतं तेव्हा ते कटाक्षाने आपला पासवर्ड एखादा अवघड शब्द वापरण्याविषयीची काळजी घेतात. असं असूनही त्यांच्या पासवर्डवर यशस्वी हल्ला होतोच. आपला पासवर्ड कुठलाही इंग्लिशमधला शब्द नसावा त्यासाठी पासवर्डमध्ये बारीकसा बदल करतात. समजा एखाद्या व्यक्तीचा पासवर्ड apple असेल, तर तो apple1 किंवा apple123 असा करतो. परंतु यात इंग्लिशमधला शब्द आलेलाच असतो. काही विशिष्ट शब्दानंतर अंक आहेत आणि अंकावर लूप (वारंवारता) लावता येते. हॅकर्स अशा रीतीने असे सोपे पासवर्डही हॅक करू शकतात. यालाच हायब्रीड अटॅक म्हणतात. मूळ इंग्लिश शब्दांमध्ये काही अंकाची किंवा चिन्हांची भर टाकून तयार केलेले हायब्रीड पासवर्ड म्हणजेच जोड पासवर्ड मूळ इंग्रजी शब्दांच्या पासवर्ड म्हणून केल्या जाणाऱ्या वापराहून निश्चितच जास्त सुरक्षित असतात म्हणून ते पूर्णतः सुरक्षित असतातच असं नाही. आता बहुतांशी इंटरनेट बँकिंग साईट्सनी केवळ तीन अयशस्वी प्रयत्नानंतर इंटरनेट बँकिंग खाते लॉक करतात. सुरक्षेच्या दृष्टीने ही एक निश्चितच चांगली गोष्ट आहे.

दुसऱ्या बाजूला ब्रूट फोर्स अटॅकमध्ये हॅकर्स त्याला शक्य तितक्या सर्व शब्दांचा किंवा शब्द्श्रुखलांचा पासवर्ड म्हणून वापर करून बघतात. उदा. A, B, C, D,.... ही अक्षरं एकापाठोपाठ एक पासवर्ड म्हणून वापरून बघेल त्यातून पासवर्ड फुटला नाही तर हॅकर a, b, c, d,.... ही अक्षरं एकापाठोपाठ एक पासवर्ड म्हणून वापरून बघेल. त्यानंतर aa, bb, cc, dd, .... ही अक्षरं एकापाठोपाठ एक पासवर्ड म्हणून वापरून बघेल. असं करत करत हॅकर शक्य तितक्या शब्दांचा पासवर्ड म्हणून वापर करून बघेल. अर्थात हे खूप कष्टाच आणि वेळखाऊ काम आहे. म्हणून यासाठी त्याच्याकडे प्रोग्राम तयार असतो. प्रोग्राम हॅकरसाठी हे सारं काम आपोआप सोपं करून देतो. यातून खरा पासवर्ड हॅकरच्या हाती लागेलच याची खात्री नसली तरी बरेचदा असाही हल्ला यशस्वी होतो. अगदीच सोपं करून सांगायचं झालं तर आपल्या पासवर्डची लांबी पाच अक्षरं किंवा त्याहून कमी असेल तर असा पासवर्ड हॅक करण्यासाठी हॅकरला फक्त पाच सेकंद पुरेशे असतात. ही लांबी सात अक्षरांहून कमी असेल तर हॅकर असा पासवर्ड एका दिवसात फोडू शकतो. ही लांबी नऊवर गेली तर पासवर्ड फोडण्यासाठी त्याला शेकडो वर्ष लागू शकतात. समजा आपण दहा अक्षरी पासवर्ड निवडला आणि त्यात कॅपिटल लेटर, स्मॉल लेटर, अंक, विशेष चिन्ह या सर्वांचा समावेश असेल तर असा पासवर्ड फोडण्यासाठी हॅकरला ९१८०० वर्षे लागतात. म्हणूनच तर आपल्या पासवर्डमध्ये कोणताही डिक्शनरी शब्द नसावा, त्यात किमान एक कॅपिटल लेटर, एक स्मॉल लेटर एक अंक आणि एक विशेष चिन्ह अशी रचना असावी. सुरक्षित पासवर्ड कसा तयार करायचा आणि लक्षात ठेवायचा यावर आपण एकदा नजर टाकुयात. आता समजा मला दोन मुलं आहेत. एकाच नाव राम आहे आणि एकाच नाव श्याम आहे. हेच मी जर इंग्लिशमध्ये लिहिलं, तर हे वाक्य असं बनेल I am having 2 kids, Ram & Shyam. आणि या वाक्यामधल्या शब्दामधलं मी जर पहिलं अक्षर घेतलं तर तो शब्द असा बनेल Iah2kR&S. तोच मी पासवर्ड म्हणून वापरू शकतो जेणे करून माझ्यासाठी हे लक्षात ठेवण्यासाठीही सोपा असेल. अशी अनेक वाक्य बनवून आपले सुरक्षित पासवर्ड बनवू शकतो आणि लक्षातही ठेवू शकतो.

Published in Saptahik Chaprak 10 Sept.-16 Sept. 2018.