ऑनलाइन पासवर्ड मैनेज करना
जब भी ऑनलाइन सुरक्षा की बात होती है, तो तमाम तरह की जानकारी से उपयोगकर्ता अक्सर उलझन में पड़ जाते हैं. Google के मार्क रिशर और स्टेफ़न मिक्लिट्ज़ बता रहे हैं कि किस तरह सुरक्षा उपायों को बनाते वक्त, लोगों की ऐसी भावनाओं को ध्यान में रखा जाता है
श्रीमान रिशर, आप Google में डायरेक्टर ऑफ़ प्रॉडक्ट मैनेजमेंट हैं और इंटरनेट सुरक्षा के लिए काम करते हैं. क्या आप कभी किसी ऑनलाइन धोखाधड़ी का शिकार हुए हैं?
मार्क रिशर: फ़िलहाल, ऐसा कोई मामला मुझे याद नहीं है, लेकिन मैं ऐसा सिर्फ़ मान रहा हूं कि मेरे साथ धोखाधड़ी नहीं हुई. मैं भी वेब पर सर्फ़िंग करते समय, आम लोगों की तरह ही गलतियां करता हूं. जैसे, हाल ही मैंने किसी दूसरी वेबसाइट पर अपना Google पासवर्ड डाल दिया था. अच्छी बात यह है कि मैंने Chrome का पासवर्ड की चेतावनी देने वाला प्लग इन इंस्टॉल कर रखा है, जिससे मुझे अपनी गलती का पता चल गया. इसके तुरंत बाद, मैंने अपना पासवर्ड बदल लिया.
स्टेफ़न मिक्लिट्ज़, Google की निजता और सुरक्षा टीम के डायरेक्टर ऑफ़ इंजीनियरिंग: ऐसा किसी भी इंसान के साथ हो सकता है. एक बार पासवर्ड याद हो जाने के बाद, ऐसा हो सकता है कि बिना ध्यान दिए, हम कहीं भी अपना पासवर्ड डाल दें.
रिशर: हमें अच्छा लगेगा अगर हम पासवर्ड का सिस्टम खत्म कर दें, लेकिन यह इतना आसान नहीं है.
"सुरक्षा से जुड़े बहुत से उपायों पर, पर्दे के पीछे से काम चलता रहता है."
मार्क रिशर
पासवर्ड से जुड़ी सबसे मुश्किल चीज़ क्या है?
रिशर: पासवर्ड से जुड़ी कई तरह की समस्याए हैं: इन्हें चुराना आसान है और याद रखना मुश्किल. साथ ही, अपने पासवर्ड मैनेज करना मुश्किल काम हो सकता है. कई उपयोगकर्ता मानते हैं कि पासवर्ड ज़्यादा से ज़्यादा लंबे और मुश्किल होने चाहिए. हालांकि, इससे सुरक्षा से जुड़े खतरे बढ़ जाते हैं. मुश्किल होने की वजह से, उपयोगकर्ता ऐसे एक ही पासवर्ड का इस्तेमाल कई खातों के लिए करते हैं. इससे उनके खातों के हैक होने का खतरा बढ़ जाता है.
मिक्लिट्ज़: किसी पासवर्ड का इस्तेमाल जितनी कम बार करना पड़े उतना ही बेहतर है. इसलिए, यह अहम हो जाता है कि आप खातों में बार-बार साइन इन और साइन आउट न करें. हो सकता है कि किसी बार उपयोगकर्ता को ध्यान न रहे कि वह किस वेब पेज पर है, इससे पासवर्ड चुराने वालों का काम आसान हो जाता है. इसलिए, हम उपयोगकर्ताओं को सलाह देते हैं कि वे लॉग इन रहें.
मेरे बैंक की वेबसाइट पर कुछ देर तक ऐक्टिव नहीं रहने पर, उपयोगकर्ता अपने-आप लॉग आउट हो जाते हैं.
मिक्लिट्ज़: अफ़सोस है, लेकिन कई कंपनियां अब भी पुराने नियमों का ही पालन कर रही हैं. बार-बार खाते से लॉग आउट करने की सलाह तब दी जाती थी, जब लोग ऑनलाइन होने के लिए इंटरनेट कैफ़े जाते थे या एक ही कंप्यूटर पर कई लोग काम करते थे. हमारी रिसर्च के मुताबिक, बार-बार पासवर्ड डालने वाले लोगों पर सायबर हमले का खतरा ज़्यादा होता है. इसलिए, यह ज़्यादा सुरक्षित है कि आप बस अपने मोबाइल फ़ोन या कंप्यूटर की स्क्रीन लॉक रखें और इसके लिए एक सुरक्षित पासवर्ड का इस्तेमाल करें.
रिशर: हां यह सही है. दुर्भाग्य से, कई गलत और अव्यावहारिक तरीकों की सलाह दे दी जाती है, जिससे उपयोगकर्ता उलझन में पड़ सकते हैं. सबसे बुरा यह होता है कि लोग ज़्यादा उलझन होने पर हार मान लेते हैं: “अगर खुद को सुरक्षित रखना इतना मुश्किल है, तो अच्छा है कि मैं कोशिश ही न करूं.” हालांकि, यह चोरों को सामने देखकर घर का दरवाज़ा खुला छोड़ देने जैसा है.
अगर पासवर्ड न रहें, तो Google उपयोगकर्ता के खाते की सुरक्षा कैसे पक्की करेगा?
रिशर: हम पहले से ही कई और सुरक्षा उपाय अपना रहे हैं, जो पर्दे पीछे से काम कर रहे हैं. अगर हैकर आपका पासवर्ड और मोबाइल नंबर जान भी ले, तो भी हम आपके Google खाते की सुरक्षा की 99.9 प्रतिशत गारंटी देते हैं. उदाहरण के लिए, हम इसकी जांच करते हैं कि कोई व्यक्ति, किस डिवाइस या देश से लॉग इन कर रहा है. अगर कोई गलत पासवर्ड डालकर बार-बार आपके अकाउंट में लॉग इन करने की कोशिश करता है, तो हमारे सुरक्षा सिस्टम को इसकी जानकारी मिल जाती है.
मिक्लिट्ज़: इसके अलावा, हमने सुरक्षा जांच का एक सिस्टम बनाया है. इसकी मदद से उपयोगकर्ता, अपने Google खाते की सभी निजी सुरक्षा सेटिंग की एक-एक करके जांच कर सकते हैं. बेहतर सुरक्षा के लिए कार्यक्रम की मदद से, हम और बेहतर सुरक्षा दे सकते हैं.
इस प्रोग्राम को बनाने का क्या मकसद है?
मिक्लिट्ज़: यह प्रोग्राम मूल रूप से नेताओं, सीईओ या पत्रकार जैसे लोगों के लिए बनाया गया था, क्योंकि ये अपराधियों के निशाने पर हो सकते हैं. हालांकि, अब यह प्रोग्राम ऐसे हर व्यक्ति के लिए उपलब्ध है जिसे इंटरनेट पर ज़्यादा सुरक्षा चाहिए. इसके तहत, सुरक्षित Google खाते को सिर्फ़ विशेष यूएसबी या ब्लूटूथ डोंगल की मदद से ऐक्सेस किया जा सकता है.
रिशर: हम अपने अनुभव के आधार पर जानते हैं कि यह सिस्टम काफ़ी सुरक्षित है. दरअसल, Google के सभी कर्मचारी, अपने कंपनी खाते को सुरक्षित रखने के लिए सुरक्षा कुंजी का इस्तेमाल करते हैं. सुरक्षा के इस उपाय को अपनाने के बाद, पासवर्ड की पुष्टि करने से हाेने वाला फ़िशिंग का एक भी मामला सामने नहीं आया है. इस टोकन की मदद से Google खाते की सुरक्षा काफ़ी बढ़ जाती है. अगर हमलावर पासवर्ड जान लेते हैं, तो भी वे बिना टोकन के खाता ऐक्सेस नहीं कर सकते. आम तौर पर, कोई ऑनलाइन खाता, दुनिया में कहीं से भी हैक किया जा सकता है. हालांकि, ऐसे खातों को हैक नहीं किया जा सकता जिन्हें सुरक्षा से जुड़े फ़िज़िकल टोकन से सुरक्षित किया गया हो.
मिक्लिट्ज़: वैसे, सुरक्षा से जुड़े इन टोकनों का इस्तेमाल कई वेबसाइटों के लिए किया जा सकता है. ऐसा नहीं है कि इन्हें सिर्फ़ Google के बेहतर सुरक्षा के लिए कार्यक्रम में ही इस्तेमाल किया जाए. ये टोकन, हमसे या इसकी सेवा देने वाली किसी और कंपनी से मामूली कीमत पर खरीदे जा सकते हैं. इनसे जुड़ी पूरी जानकारी g.co/advancedprotection पर देखी जा सकती है.
"लोग कई बार इंटरनेट पर मौजूद खतरों का अंदाज़ा नहीं लगा पाते."
स्टेफ़न मिक्लिट्ज़
आपके हिसाब से, इंटरनेट पर मंडराने वाला सबसे बड़ा खतरा कौनसा है?
रिशर: एक समस्या तो यह है कि उपयोगकर्ता नाम और पासवर्ड की कई लिस्ट इंटरनेट पर मौजूद हैं. हमारे सहयोगी तादेक पित्राशेक और उनकी टीम ने छह हफ़्ते तक इंटरनेट पर खोजबीन की और उन्हें साढ़े तीन अरब उपयोगकर्ता नाम और पासवर्ड के कॉम्बिनेशन मिल गए. यह डेटा हैक किए गए Google खातों का नहीं है, बल्कि यह दूसरी कंपनियों से चोरी किया गया डेटा है. हालांकि, बहुत से उपयोगकर्ता कई खातों के लिए एक ही पासवर्ड का इस्तेमाल करते हैं. इस वजह से, ऑनलाइन मौजूद यह डेटा, Google खातों के लिए भी मुश्किलें खड़ी कर सकता है.
मिक्लिट्ज़: मुझे सबसे बड़ी समस्या स्पीयर फ़िशिंग की लगती है. ऐसा तब होता है जब हमलावर बड़ी ही चालाकी से, उपयोगकर्ता के हिसाब से मैसेज तैयार करता है. इसकी वजह से, उसका शिकार हो रहे लोगों को धोखाधड़ी का अंदाज़ा ही नहीं लग पाता. हमने देखा है हैकर्स इस तरीके का इस्तेमाल ज़्यादा से ज़्यादा करने लगे हैं और वे सफल भी हो जाते हैं.
रिशर: मैं स्टेफ़न की बातों से सहमत हूं. साथ ही, स्पीयर फ़िशिंग में उतना समय भी नहीं लगता जितना लोग सोचते हैं. किसी उपयोगकर्ता के हिसाब से स्पैम ईमेल लिखने में अक्सर कुछ ही मिनट लगते हैं. इसके लिए हैकर्स, उस उपयोगकर्ता के बारे में इंटरनेट पर मौजूद जानकारी का इस्तेमाल कर सकते हैं. यह समस्या आभासी मुद्राओं (क्रिप्टोकरंसी) के साथ भी है, उदाहरण के लिए: अगर कोई सार्वजनिक तौर पर यह बताता है कि उसके पास 10,000 बिटकॉइन हैं, तो उसे समझना चाहिए कि ऐसी जानकारी सायबर अपराधियों का ध्यान खींचती है.
मिक्लिट्ज़: यह ऐसा ही है कि मैं बाज़ार में खड़े होकर, लाउडस्पीकर से सबको अपने बैंक खाते के बैलेंस के बारे में बताऊं. ऐसा कौन करता है? कोई भी नहीं. लोग कई बार इंटरनेट पर मौजूद खतरों का अंदाज़ा नहीं लगा पाते.
क्या लगातार आने वाले स्पैम ईमेल अब भी समस्या खड़ी कर सकते हैं?
रिशर: डिवाइसों और सेवाओं को लिंक करना हमारे लिए एक बड़ी चुनौती है. ऑनलाइन होने के लिए लोग सिर्फ़ लैपटॉप और स्मार्टफ़ोन का इस्तेमाल नहीं कर रहे. वे टीवी, स्मार्चवॉट, और स्मार्ट स्पीकर का इस्तेमाल करके भी ऑनलाइन हो रहे हैं. इन डिवाइसों पर कई ऐप्लिकेशन का इस्तेमाल किया जाता है, हमलावर इनमें से किसी का भी इस्तेमाल करके हमला कर सकता है. साथ ही, अब ज़्यादातर डिवाइस आपस में कनेक्ट होते हैं. इसलिए, हैकर किसी एक डिवाइस का इस्तेमाल करके, दूसरे डिवाइस पर मौजूद जानकारी को ऐक्सेस करने की कोशिश कर सकते हैं. हमें अब इस सवाल का जवाब खोजना होगा कि इस्तेमाल करने के तमाम तरह के नए तरीकों के बीच, हम उपयोगकर्ताओं को सुरक्षा की गारंटी कैसे देते रहें?
मिक्लिट्ज़: इसके लिए, हम खुद से यह सवाल पूछते हैं कि हमें कोई सेवा देने के लिए किस डेटा की ज़रूरत है और दो सेवाओं के बीच कौनसा डेटा शेयर किया जाता है.
आप उपयोगर्ताओं की सुरक्षा करने में आर्टिफ़िशियल इंटेलिजेंस का इस्तेमाल कैसे करते हैं?
मिक्लिट्ज़: Google काफ़ी समय से आर्टिफ़िशियल इंटेलिजेंस का इस्तेमाल कर रहा है.
रिशर: हमारी ईमेल सेवा Gmail में, शुरू से ही इस टेक्नोलॉजी का इस्तेमाल किया जा रहा है. Google ने अपनी मशीन लर्निंग लाइब्रेरी भी बनाई है जिसे TensorFlow कहते हैं. इससे मशीन लर्निंग पर काम कर रहे प्रोग्रामर को मदद मिलती है. TensorFlow का सबसे ज़्यादा फ़ायदा Gmail को मिलता है, क्योंकि किसी खास तरह के पैटर्न की पहचान करने में इससे काफ़ी मदद मिलती है.
क्या आप बता सकते हैं कि पैटर्न की पहचान कैसे की जाती है?
रिशर: मान लें कि हमने कई उपयोगकर्ताओं के बीच कोई ऐसी संदिग्ध गतिविधि देखी जिसे हम किसी कैटगरी में नहीं रख सकते. सेल्फ़ लर्निंग मशीन, ऐसे मामलों की आपस में तुलना कर सकती है और हो सकता है कि कुछ मामलों में, धोखाधड़ी के नए तरीकों की पहचान भी कर ले. इससे, उन तरीकों को ऑनलाइन दुनिया में फैलने से पहले ही रोका जा सकता है.
मिक्लिट्ज़: हालांकि, इसकी अपनी सीमा है. कोई मशीन उतनी ही समझदारी दिखा सकती है जितना कि उसे इस्तेमाल कर रहा व्यक्ति दिखाए. अगर मैं किसी मशीन में, गलत या एकतरफ़ा डेटा फ़ीड करता हूं, तो मशीन जिस पैटर्न की पहचान करेगी वह भी गलत या एकतरफ़ा ही होगा. चाहे आर्टिफ़िशियल इंटेलिजेंस को लेकर कितनी भी बातें की जाएं, लेकिन इससे कितना फ़र्क़ पड़ेगा, यह इसका इस्तेमाल कर रहे व्यक्ति पर ही निर्भर करता है. यह इस्तेमाल करने वाले का ही काम है कि वह मशीन की लर्निंग के लिए अच्छी क्वालिटी का डेटा दे और इसके बाद रिज़ल्ट की जांच करे.
रिशर: एक बार, जब मैं ईमेल की सेवा देने वाली दूसरी कंपनी के लिए काम कर रहा था, तो हमें लागोस के एक बैंक कर्मचारी का मैसेज मिला. उस दौरान, धोखाधड़ी वाले बहुत से ईमेल आ रहे थे. शायद वे नाइजीरिया से भेजे जाते थे. बैंक के उस कर्मचारी की शिकायत थी कि उसके भेजे गए सारे ईमेल स्पैम फ़ोल्डर में चले जाते हैं, जबकि वह व्यक्ति एक जाने माने बैंक के लिए काम करता था. इस तरह का मामला एक आम बात है, जिसमें मशीन पैटर्न की पहचान करने की अधूरी जानकारी के आधार पर, कोई कार्रवाई सभी पर लागू कर देती है. हमने यह समस्या दूर कर दी थी. इसके लिए, हमें एल्गोरिदम में बदलाव करना पड़ा था.
फ़ोटोग्राफ़: कॉनी मर्बेक
सायबर सिक्योरिटी
जानें कि कैसे हम दुनिया की किसी भी कंपनी के मुकाबले, ज़्यादा लोगों को इंटरनेट पर सुरक्षित रखते हैं.
ज़्यादा जानें