Skip to main content

My article for May'14 in Cyber Safar :- પાસવર્ડ ક્રેકિંગ & સિક્યોરીટી

પાસવર્ડ સિક્યોરીટી વિષે આમ તો આપણે  ઘણું જાણતા હોઈએ છીએ પરંતુ તેમ છતાં હોવી જોઈએ એટલી જરૂરી સિક્યોરીટી રહેતી નથી અને વારંવાર પાસવર્ડ ચોરી અને હેકિંગ ની ઘટનાઓ બનતી રહે છે.  સિગારેટ કે ગુટકાના પેકેટ પર જેમ મોટા મોટા અક્ષરે ચેતવણી આપી હોવા છતાં તેને અવગણવામાં આવે છે તેમ પાસવર્ડ સિક્યોરીટી માટે પણ જેતે વેબસાઈટ કે સર્વિસ પ્રોવાઈડર  દ્વારા અપાતી સૂચનાઓ ને અવગણવામાં આવે છે.


આપણે આ અંક માં આપણે જાણીશું કે અલગ અલગ એપ્લીકેશન ની પાસવર્ડ સ્ટ્રેટેજી કઈ સેટ થાય છે અને આ પાસવર્ડ ને ક્રેક કરવો શક્ય છે કે નહિ.

પાસવર્ડ ક્રેકિંગ :- કમ્પ્યુટર સિક્યોરીટી ના શબ્દકોશ પ્રમાણે કમ્પ્યુટર સીસ્ટમ માં સ્ટોર થયેલ એન્ક્રિપ્ટેડ (સામાન્ય યુઝર ના વાચી શકે તેવા) ને રીકવર કરવાની પ્રોસેસ ને પાસવર્ડ ક્રેકિંગ કહેવાય છે. પાસવર્ડ ક્રેકિંગ નો મુખ્ય હેતુ ભૂલી ગયેલા પાસવર્ડ ને ફરીથી રીકવર કરવા માટે હોય છે. પરંતુ ઘણી વાર તેનો દુરુપયોગ થઇ શકે છે.હેકર્સ આવી રીતે કોઈ પણ કમ્પ્યુટરમાં કે એપ્લીકેશન માં ઘુસી ને ડેટા ચોરી શકે છે. આપણા  આ આર્ટીકલ માં અપને જાણીશું કે પાસવર્ડ કઈ રીતે ક્રેક થઇ શકે અને આ ક્રેકિંગ ટેકનીક થી કઈ રીતે બચી શકાય।

પાસવર્ડ ક્રેકિંગ ની મુખ્ય ટેકનીક વિષે જાણીએ।
  • Password  Guessing :- કોઈ પણ કમ્પ્યુટર માં સેટ કરેલો પાસવર્ડ તોડવા માટે અંદાજો લગાવીને અલગ અલગ પાસવર્ડ ટ્રાય કરવાની સામાન્ય ટેકનીક છે. મોટા ભાગના સોશ્યલ એન્જીનીયરીંગ એક્સપર્ટ આ ટેકનીક વડે પાસવર્ડ તોડી નાખતા હોય છે. આમાં કોઈ મોટી વાત નથી. જો તમે જે તે યુઝર ને સારી રીતે ઓળખતા હોય અને તેની પસંદ કે આદતો વિષે જાણકારી હોય તો આપ તેની સીસ્ટમ નો પાસવર્ડ ક્રેક કરી શકો. જો કે આમાં સફળતા મળવાના ચાન્સ 50-50 છે.

દા.ત. :- કોઈ ફિલ્મ નું નામ, કોઈ કાર નું નામ, કોઈવાર તો પોતાનું નામ, ફોન નમ્બર, પોતાના પ્રિય પાત્ર નું નામ અથવા તો જય માતાજી, જય  શ્રી કૃષ્ણ આવા સહેલાઇ થી ધારી શકાય તેવા પાસવર્ડ નો આમાં સમાવેશ થાય છે.  

  • Dictionary  Attack :- ઘણીવાર પાસવર્ડ માં ડીક્ષનરી ના અમુક શબ્દો હોય છે જેમ કે “Catch me if u can”, “Password”,”All is well”,”Hello”,”Apple” વગેરે। પાસવર્ડ ક્રેકિંગ માટે ની અમુક એપ્લીકેશન્સ માં અલગ અલગ ભાષાઓ ની ડીક્ષનરી લોડ કરેલી હોય છે જેને જે-તે ફાઈલ પર એપ્લાય કરવાથી જો તે પાસવર્ડ ડીક્ષનરી માંથી હશે તો તૂટી જશે. વધુ માં આવી એપ્લીકેશન માં ફોરેન લેન્ગવેજ ડીક્ષનરી પણ ઉમેરવાની સુવિધા હોય છે જેને લીધે પાસવર્ડ તરીકે ચાઇનીઝ કે સ્પેનીશ શબ્દ પણ રાખ્યો હશે તો પણ ક્રેક થવાની શક્યતા છે.
  • Bruteforce Attack :-  Buteforce Attack માં જે -તે એપ્લીકેશન ટાર્ગેટ ફાઈલ પર A થી Z , 0 થી 9 અને બીજા બધા સ્પેશ્યલ કેરેક્ટર ના અલગ અલગ કોમ્બીનેશન ટ્રાય કરે છે. આ પ્રોસેસ માં તે એપ્લીકેશન એક સેકન્ડ માં 300 થી 500 અલગ અલગ પાસવર્ડ ટ્રાય કરે છે.
દા.ત. કોઈ ફાઈલ નો પાસવર્ડ છે “Milap” તો પણ તે શરૂઆત થી જ Aaa,A123,A000,Abc,...... 1234 આ રીતે દરેક શક્ય કોમ્બીનેશન લાગવશે અને જયારે તે M  સુધી પહોચશે ત્યારે તે પાસવર્ડનો માત્ર  20% ભાગ ક્રેક થયો હોય છે. અને એટલે જ Bruteforce Attack પાસવર્ડ ક્રેકિંગ માં ઘણો સમય લગાવશે। જેટલો પાસવર્ડ સરળ હશે તેટલો તે જલ્દી તૂટશે।

  • Hybrid  Attack :-   મોટાભાગની પાસવર્ડ ક્રેકિંગ એપ્લીકેશન Hybrid  Attack  ને સપોર્ટ કરતી હોય છે. આ પ્રકાર ના એટેક માં Bruteforce  અને Dictionary  એમ બંને પ્રકારના એટેક કરવાની સુવિધા હોય છે. જો કે આ પ્રકારના એટેકમાં પણ સમય ઘણો લાગે છે. કોઈ કોઈ વાર સાવ સામાન્ય પાસવર્ડ ને ક્રેક કરતા 3-4 કલાક લાગે છે તો કોઈ વાર પાસવર્ડ જો મોટો અને અટપટો હોય તો અંગત અનુભવ પ્રમાણે 2-3 દિવસો લાગી શકે છે.

  • Rule Based Attack  :-  ઘણી વાર એવું બની શકે કે એટેક કરનાર ને પાસવર્ડ વિષે અડધી પડધી જાણકારી હોય , જેમ કે કોઈ યુઝરે પોતાનો ફોન નમ્બર પાસવર્ડ તરીકે રાખ્યો છે અથવા તો એટલી જાણકારી હોય કે પાસવર્ડ ટાઈપ કરતી વખતે છેલ્લે 123 લખે છે તો આટલી માહિતી પણ પાસવર્ડ ક્રેકિંગ માં મદદરૂપ થાય છે. એટલી માહિતી તમે જે તે એપ્લીકેશન માં આપો એટલે તેને પાસવર્ડ ક્રેકિંગ માં થોડીઘણી મદદ મળી જાય છે. પછી તો જેમ CID  માં એક પુરાવો મળી જતા આખો કેસ ઉકેલાઈ જાય તેમ આમાં પણ ઓછા સમયમાં પાસવર્ડ ક્રેક થઇ શકે છે.

(અમુક લોકો ને મનમાં સવાલ થતો હશે કે આ એટેક ના પ્રકાર તો સમજી ગયા પણ તેને એપ્લાય કઈ રીતે કરવું અને તેની મદદ થી પાસવર્ડ સાચે જ બ્રેક કઈ રીતે કરી શકાય તો તે ચિંતા ના કરશો,બધું આગળ સ્ટેપ બાય સ્ટેપ સમજાવેલું છે. પરંતુ તેના ઉપયોગ માટે આપને પ્રાથમિક માહિતી હોવી જરૂરી છે.)

  • Shoulder Surfing :- મારા લેક્ચર્સ માં હું વિદ્યાર્થીઓને ઘણી વાર કહેતો હોઉં છું કે તમારો પાસવર્ડ 8-10 કેરેક્ટર નો હોવો જોઈએ અને આ 8-10 કેરેક્ટર ને તમારે માત્ર 3 સેકન્ડ માં ટાઈપ કરી શકવાની પ્રેક્ટીસ પાડવી જોઈએ। શા માટે ? બની શકે કોઈ વાર પાસવર્ડ ટાઈપ કરતી વખતે કોઈ અન્ય વ્યક્તિ તમારી બાજુમાં હોઈ શકે અને તે તમારો પાસવર્ડ જોઈ શકે અને પછી ગમે ત્યારે ટ્રાય કરી શકે. આ ટેકનીક થી પાસવર્ડ તોડવાની પ્રક્રિયાને શોલ્ડર સર્ફિંગ કહે છે. બને તો કોઈ આજુબાજુમાં હોય ત્યારે પાસવર્ડ નાખવાનું ટાળવું અથવા તો 2-3 સેકન્ડ માં જ આખો પાસવર્ડ ટાઈપ કરી શકો તેવી પ્રેક્ટીસ રાખવી।

  • Dumpster Diving :- ઘણીવાર કોઈ ઓફીસ માં કામ કરતા વ્યક્તિને પાસવર્ડ લખી રાખવાની ટેવ હોય છે. આ પાસવર્ડ યાદ ના રહે ત્યાં સુધી તે લખેલો રાખે છે અને પછી તેને ડસ્ટ  બિન માં ફેંકી દે છે।  તેની આ ભૂલ નો પણ કોઈ ગેરલાભ ઉઠાવી શકે છે.

  • Reuse for Multiple Site :- બધા તાળા માટે એક જ ચાવી હોય તો ?  ઘણાબધા પાસવર્ડ યાદ ના રાખવો પડે તે માટે ઘણા લોકો એક જ પાસવર્ડ બધા એકાઉન્ટ માટે રાખતા હોય છે. આના લીધે જો કોઈ એક પાસવર્ડ ભૂલથી પણ કોઈ ના હાથ માં આવી ગયો તો તેના બીજા ઘણા બધા એકાઉન્ટ્સ જોખમ માં મૂકી શકે છે.  

આ સિવાય Social Engineering, Phishing અને  Key-Loggers વિષે મારા પહેલાના આર્ટીકલ્સમાં જણાવવામાં આવ્યું છે.


મિત્રો , પાસવર્ડ સિક્યોરીટી વિષે ઘણી વાર સાવચેતી રાખવા છતાં વારે વારે પાસવર્ડ ચોરી કે એકાઉન્ટ હેકિંગ ની ઘટનાઓ બનતી રહેતી હોય છે.  હેકર કોઈ જાદુગર નથી કે તમારું એકાઉન્ટ ફટ દઈને હેક કરી લે, તમારી સામાન્ય લાગતી ભૂલ પકડીને તેનો ગેરલાભ ઉઠાવીને જ હેકર તમારા પાસવર્ડ સંબંધિત માહિતી શોધી કાઢે છે.
કઈ રીતે ? એક ઉદાહરણ દ્વારા સમજીએ।

આપના મેઈલ એકાઉન્ટ માં Security Question નો ઓપ્શન આવે છે. હવે મોટા ભાગના લોકો એવો પ્રશ્ન સિલેક્ટ કરે છે જેની માહિતી તેના સિવાય પણ અન્ય પાસે હોઈ શકે। .. જેમ કે આપની સ્કૂલ નું નામ , આપના પાલતૂ પ્રાણી નું નામ, આપનો પહેલો ફોન નમ્બર વગેરે। હવે આ પ્રકારની જાણકારી તમારી નજીકના સંબંધી કે મિત્રો પાસે હોય તે સ્વાભાવિક છે.  તો તેમની પાસે તમારો પાસવર્ડ ન હોવા છતાં પણ તે તમારું એકાઉન્ટ ખોલી શકે છે. થોડા સમય પહેલા મને એક ઈ-મેઈલ મળેલો જેમાં જે- તે વિદ્યાર્થી નું જી-મેઈલ એકાઉન્ટ હેક થઇ ગયેલું। તેની સાથે ફોન પર થોડીઘણી વાતચીત કરતા જ મને સમજાઈ ગયું કે આ એકાઉન્ટ હેક કઈ રીતે થયું। હકીકત માં તે વિદ્યાર્થી હોસ્ટેલ માં રહેતો હતો અને તેના કોઈ રૂમમેટ એ તેની ગેર હાજરી માં તેના ફોન દ્વારા સિક્યોરીટી કોડ મેળવીને તેનું એકાઉન્ટ હેક કરી લીધેલું। જો કે થોડી ઘણી મહેનત બાદ એ રીકવર તો થઇ ગયું પરંતુ આવું ક્યાંક અપની સાથે પણ ના બને તે ખાસ ધ્યાન રાખવું।

મિત્રો પાસવર્ડ ક્રેકિંગ જેટલું લાગે છે એટલું સહેલું નથીહોતું।  આ માટે ઘણી વાર અલગ અલગ ટ્રીક્સ અને ટૂલ્સ વડે મથવું પડતું હોય છે ત્યારે પણ સફળતા ની 100% ગેરંટી નથી હોતી। સાથે સાથે એ પણ જણાવી દઉં કે જો તમે કશુક ગેરકાયદેસર કરી રહ્યા છો તો પાસવર્ડ ક્રેકિંગ એ એક સજાપાત્ર સાયબર ક્રાઈમ પણ છે.

પાસવર્ડ ક્રેકિંગ વિષે  ચાલો જાણીએ કે પાસવર્ડ ને વધુ સિક્યોર કઈ રીતે બનાવી શકાય અને પાસવર્ડ ક્રેકિંગ થી કઈ રીતે બચી શકાય।

  1. દરેક ઓનલાઈન એકાઉન્ટ અને યુઝર માટે અલગ અલગ પાસવર્ડ વાપરો।
  2. પાસવર્ડ નાખતી વખતે જાની લો કે આસપાસ કોઈ જોતું નથી ને ? અને બને તો 3 સેકન્ડ માં તમારો 8-10 કેરેક્ટર નો પાસવર્ડ ટાઈપ કરી શકો તેવી પ્રેક્ટીસ રાખો।
  3. સાયબર કાફે, પબ્લિક પ્લેસ કેવી કે મોલ એરપોર્ટ ઉપરાંત ઓફીસ અને તમારા પર્સનલ કમ્પ્યુટર માં પણ હમેશા લોગ - આઉટ કરવાની આદત રાખો।
  4. હમેશા લેટેસ્ટ અને અપડેટ કરેલો એન્ટીવાઈરસ જ વાપરવો।  બને તો ટોટલ સિક્યોરીટી નો આગ્રહ રાખવો જેથી કી-લોગર્સ કે સ્પાયવેર થી સુરક્ષિત રહો.
  5. ઓફિસમાં પોતાના કમ્પ્યુટરની ફીઝીકલ સિક્યોરીટી નો આગ્રહ રાખો સાથે સાથે લોક નો પણ ઉપયોગ કરો.
  6. પાક્કા ગુજરાતી તરીકે કોઈ વસ્તુ ફ્રી  માં મળે તો ખુશ થવું જોઈએ પરંતુ ક્યાંક ફ્રી Wi -Fi  જોઈ ને સીધું જોડાઈ ના જતા. બની શકે તે તમારા સીસ્ટમ માં માલ્વેર ઇન્સ્ટોલ કરવા માટે કે તમારા પાસવર્ડ જાણવા માટે હોઈ શકે. આ જ બાબત લલચામણી નેટબેન્કિંગ ઓફરો માં પણ લાગુ પડે છે.

  1. પોતાના ગમે તેટલા અંગત મિત્ર ને પણ આપનો પાસવર્ડ શેર કરવો  નહિ.
  2. માત્ર કેપિટલ લેટર્સ કે સ્મોલ લેટર્સ માં પાસવર્ડ રાખશો નહિ.
  3. MilapOza પાસવર્ડ ને બદલે M!l@p_0z@  પાસવર્ડ વધારે સુરક્ષિત છે જેને તોડવો વધુ મુશ્કેલ છે.
  4. રેગ્યુલર સમયે આપનો પાસવર્ડ બદલતા રહો.
જો આપ જાણવા માંગતા હો કે આપનો પાસવર્ડ કેટલો સ્ટ્રોંગ છે તો નીચે દર્શાવેલી વેબ્સાઈટસ પર આપ ચેક કરી શકો છો કે આપનો પાસવર્ડ કેટલો સ્ટ્રોંગ છે.


મિત્રો, આ વાક્ય મેં પહેલા પણ જણાવેલું છે, આજે ફરી યાદ કરાવી દઉં.
“If a Hacker wants to enter into your system, you can’t stop him. you only can make that difficult for him”
(હેકર જો તમારી સીસ્ટમ માં ઘુસવાનું ધારશે તો તમે તો તમે તેને રોકી નહિ શકો , તમે બસ તેનો રસ્તો વધુ ને વધુ અઘરો બનાવી શકશો। )

પાસવર્ડ ક્રેકિંગ ખરેખર ખુબ અઘરો અને વિસ્તૃત વિષય છે જે માત્ર એક આર્ટીકલ માં પૂરો કરી શકાય તેમ નથી તેમ છતાં આપને આ આર્ટીકલ દ્વારા મોટાભાગની પાસવર્ડ ક્રેકિંગ ટેકનીક્સ નો ખ્યાલ આવી ગયો હશે. હું જાણું કે આ આર્ટીકલ વાચ્યા બાદ આપના મનમાં અનેક પ્રશ્નો ઉદભવશે। તો આપના પ્રશ્નો અને આ આર્ટીકલ અંગે ના અભિપ્રાય આપ ઈ-મેઈલ દ્વારા જણાવી શકો છો.
આભાર।

Comments

Popular posts from this blog

CIA Triad for- Base of Information security

The essential security principles of confidentiality, integrity, and availability are often  referred to as the  CIA Triad. All security controls must address these principles. These three  security principles serve as common threads throughout the CISSP CBK. Each domain  addresses these principles in unique ways, so it is important to understand them both in  general terms and within each specific domain: Confidentiality is the principle that objects are not disclosed to unauthorized subjects. Integrity is the principle that objects retain their veracity and are intentionally modified by  authorized subjects only. Availability is the principle that authorized subjects are granted timely access to objects  with sufficient bandwidth to perform the desired interaction. Different security mechanisms address these three principles in different ways and offer varying  degrees of support or application of these principl...

List of Company Slogans

·          3M : "Innovation" ·          Agere Systems : "How Communication Happens" ·          Agilent : "Dreams Made Real" ·          Airbus : "Setting the Standards" ·          Amazon.com : "…and You're Done" ·          AMX : "It's Your World. Take Control" ·          Anritsu : "Discover What's Possible ·          AT&T : "Your World. Delivered" ·          ATG Design Services : "Circuit Design for the RF Impaired" ·          ATI Technologies : "Get In the Game" ·          BAE Systems : "Innovatin...

My Article :- હેકર બનવું છે? કઈ રીતે?

મારી ૨ વર્ષ ની કારકિર્દી માં મને કેટલાય  લોકોએ, ખાસ કરીને કોલેજ ના વિદ્યાર્થીઓએ ઘણી વાર પૂછ્યું છે કે "મારે હેકર બનવું છે. તો હું શું કરું? " અને મારા બ્લોગ્સ માં પણ પૂછવામાં આવે છે કે એક સારો હેકર કઈ રીતે બની શકાય? એવું હું શું કરું અથવા તો મારા માં કઈ લાયકત હોવી જોઈએ એક હેકર બનવા માટે? આ પ્રશ્ન નો સંતોષકારક જવાબ આપવા માટે મેં internet પર શોધખોળ કર્યા પછી મને જે કઈ માહિતી મળી તેને હું આજે અહી રજુ કરું છું. મિત્રો, સૌપ્રથમ હેકર કઈ રીતે બનવું એ જાણવા પહેલા એ જાણવું જરૂરી છે કે ખરેખર હેકિંગ શું છે ? અને હેકર કોને કહેવાય. હેકિંગ ની સીધી અને સરળ વ્યાખ્યા નીચે મુજબ છે.  "તમારા કમ્પ્યુટર,નેટવર્ક(ઈન્ટરનેટ કે LAN દ્વારા) કે કોઈ ડીવાઈસ માં (ફોન, ટેબ્લેટ) માં કરવામાં આવતા ગેરકાયદેસર પ્રવેશ અને ઉપયોગ એ હેકિંગ કહેવાય છે."અને હેકિંગ કરતા લોકોને હેકર કહેવાય છે. હવે તમને થશે કે આવું શું કામ કરવું જોઈએ? આ તો ક્રાઈમ છે. તો તમને જણાવી દઉં કે હેકર મુખ્યત્વે ૨ પ્રકારના હોય છે.    વાઈટ હેટ હેકર્સ (એથીકલ હેકર્સ) : ધારો કે તમે તમારો ફેસબુક નો પાસવર્ડ ભૂલી ગયા(ખરેખર ના ભૂલતા ક્યારેય..)કે ત...