ऑनलाइन पासवर्ड व्यवस्थापित करणे
ऑनलाइन सुरक्षेचा विषय येतो तेव्हा, अनेक वापरकर्त्यांना त्यांच्यावर फार काम पडत असल्यासारखे वाटते. Google चे मार्क रिशर आणि स्टेफन मिकलिट्झ हे सुरक्षा उपाययोजना तयार करताना या भावना विचारात घेण्याबद्दल बोलत आहेत
श्री. रिशर, तुम्ही Google येथे इंटरनेट सुरक्षेच्या क्षेत्रात काम करणारे उत्पादन व्यवस्थापन संचालक आहात. तुम्ही कधी एखाद्या ऑनलाइन घोटाळ्याला बळी पडला आहात का?
मार्क रिशर : मला या क्षणी एखादे मोठे उदाहरण आठवत नाही, पण तसे झाले असेल असे मी गृहीत धरू शकतो. वेब सर्फ करत असताना मी अगदी इतरांसारख्याच चुका करत असतो. उदाहरणार्थ, एका चुकीच्या वेबसाइटवर मी नुकताच माझा Google पासवर्ड टाकला. सुदैवाने, मी Chrome पासवर्ड अलर्ट प्लगिन इंस्टॉल केले आहे, ज्याने माझी चूक दाखवून दिली. अर्थातच, त्यानंतर लगेच मी माझा पासवर्ड बदलला.
स्टेफन मिकलिट्झ, Google च्या गोपनीयता आणि सुरक्षा टीमचे इंजिनिअरिंग संचालक : हा मानवी स्वभावच आहे. आपण एकदा पासवर्ड पाठ करून घेतल्यावर, असे सहज घडू शकते, की आपण तो कुठे टाकत आहोत याकडे पुरेसे लक्ष न देता तो टाइप करतो.
रिशर : आम्हाला पासवर्डचा वापर पूर्णपणे बंद करणे आवडेल, पण दुर्दैवाने ते इतके सोपे नाही.
"अनेक सुरक्षा उपाययोजना पडद्याआड काम करतात."
मार्क रिशर
पासवर्ड इतके वाईट आहेत का?
रिशर : त्यांच्यात अनेक उणिवा आहेत: ते चोरण्यासाठी सोपे, पण लक्षात ठेवण्यासाठी कठीण असतात आणि आपले पासवर्ड व्यवस्थापित करणे कंटाळवाणे असू शकते. अनेक वापरकर्त्यांना असे वाटते की पासवर्ड शक्य तितका मोठा आणि क्लिष्ट असावा – मात्र, प्रत्यक्षात त्यामुळे सुरक्षेला असणारा धोका वाढतो. वापरकर्त्यांना क्लिष्ट पासवर्ड एकाहून अधिक खात्यांसाठी वापरण्याचा मोह होतो, ज्यामुळे ते आणखी असुरक्षित होऊ शकतात.
मिकलिट्झ : तुम्ही पासवर्ड जितका कमी वेळा एंटर कराल तितके बरे. त्यामुळेच तुम्ही तुमच्या खात्यांमध्ये पुनःपुन्हा साइन इन आणि त्यांमधून साइन आउट करू नये. कालांतराने, याचा परिणाम असा होऊ शकतो की वापरकर्ते यावर लक्ष देणे थांबवतील की ते सध्या कोणत्या वेब पेजवर आहेत, त्यामुळे पासवर्ड चोरांचे काम बरेच सोपे होईल. म्हणूनच, आमचा सल्ला आहे की वापरकर्त्यांनी लॉग इन करून ठेवावे, लॉग आउट करू नये.
मी काही मिनिटे इनॅक्टिव्ह राहिल्यास, माझ्या बँकेची वेबसाइट मला आपोआप लॉग आउट करते.
मिकलिट्झ : दुर्दैवाने, अनेक कंपन्या अजूनही कालबाह्य झालेल्या नियमांना चिकटून आहेत. ज्या काळी बहुतांश लोक इंटरनेट कॅफे किंवा इतरांसोबत शेअर केलेल्या कॉम्प्युटरवर ऑनलाइन जात असत तेव्हा नेहमी लॉग आउट करण्याचा सल्ला दिला जात असे. आमच्या संशोधनातून असे दिसते, की लोक जितके जास्त वेळा त्यांचा पासवर्ड टाकतात, तितकी जास्त शक्यता ते सायबर हल्ल्याला बळी पडण्याची असते. म्हणून, फक्त तुमचा मोबाइल फोन किंवा कॉम्प्युटर यांवरील स्क्रीन लॉक अॅक्टिव्हेट करणे आणि सुरक्षित पासवर्ड वापरणे हे अधिक सुरक्षित असते.
रिशर : अगदी बरोबर. दुर्दैवाने, बरेच खोटे आणि अव्यवहार्य सल्ले दिले जातात, जे अनेक वापरकर्त्यांना गोंधळात टाकू शकतात. अगदी वाईट परिस्थितीत, लोकांना इतकी अनिश्चितता जाणवते, की ते या गोष्टीचा नादच सोडतात : “स्वतःचे संरक्षण करणे एवढे कठीण असेल, तर मी प्रयत्नच करत नाही.” हे काहीसे असे आहे, की एखाद्या भागात चोर फार असल्याचे तुम्हाला माहीत असल्यामुळे दारे नेहमी उघडी ठेवावीत.
पासवर्ड वापरणे थांबवल्यास, Google हे वापरकर्ता सुरक्षेची खात्री कशी करेल?
रिशर : आमच्याकडे आधीपासूनच पडद्यामागे काम करणार्या अनेक अतिरिक्त सुरक्षा उपाययोजना आहेत. एखादा हॅकर तुमचा पासवर्ड आणि मोबाइल नंबर जाणून घेऊ शकतो आणि तरीही आम्ही तुमच्या Google खात्यासाठी ९९.९ टक्के सुरक्षेची हमी देऊ शकतो. उदाहरणार्थ, एखादी व्यक्ती कोणत्या डिव्हाइसमधून किंवा देशामधून लॉग इन करत आहे ते आम्ही तपासतो. एखाद्या व्यक्तीने चुकीचा पासवर्ड वापरून तुमच्या खात्यामध्ये लॉग इन करण्याचे लागोपाठ बरेच प्रयत्न केल्यास, आमच्या सुरक्षा सिस्टीममध्ये अलार्म वाजतात.
मिकलिट्झ : आम्ही Security Checkup देखील तयार केले आहे, जे वापरकर्त्यांना त्यांच्या Google खात्यामध्ये वैयक्तिक सुरक्षा सेटिंग्ज क्रमाक्रमाने पूर्ण करू देते. Advanced Protection Program सह आम्ही आणखी बरीच सुरक्षा देतो.
या प्रोग्रॅममागील कल्पना काय आहे?
मिकलिट्झ : हा प्रोग्रॅम मुळात गुन्हेगारांना विशेष स्वारस्य असणारे राजकारणी लोक, CEO किंवा पत्रकार यांसारख्या लोकांसाठी तयार केला गेला होता. मात्र, आता तो ऑनलाइन संरक्षण पाहिजे असणार्या कोणाही व्यक्तीसाठी उपलब्ध आहे. विशिष्ट USB किंवा ब्लूटूथ डोंगल असलेल्या लोकांनाच त्यांच्या संरक्षित Google खात्याचा अॅक्सेस मिळू शकतो.
रिशर : सर्व Google कर्मचारी त्यांचे कंपनी खाते सुरक्षित ठेवण्यासाठी सिक्युरिटी की वापरत असल्यामुळे, ही सिस्टीम किती परिणामकारक आहे हे आम्ही अनुभवावरून जाणतो. ही सुरक्षा उपाययोजना सादर केल्यापासून, पासवर्ड कंफर्मेशनपर्यंत माग काढता येईल असे फिशिंगचे एकही प्रकरण आमच्याकडे घडले नाही. Google खात्याच्या सुरक्षेमध्ये टोकन मोठ्या प्रमाणावर सुधारणा करते कारण हल्लेखोरांना पासवर्ड माहीत असला तरीही, ते टोकनशिवाय खाते अॅक्सेस करू शकत नाहीत. सर्वसाधारणपणे, एखादे ऑनलाइन खाते जगात कुठूनही हॅक केले जाऊ शकते; प्रत्यक्ष सुरक्षा टोकन वापरून संरक्षित केलेल्या खात्यांसाठी हे शक्य नाही.
मिकलिट्झ : तसेच, ही सुरक्षा टोकन फक्त Google च्या Advanced Protection Program यासाठीच नाही, तर अनेक वेबसाइटसाठी वापरता येतात. तुम्ही ती आमच्याकडून किंवा इतर पुरवठादारांकडून थोडेसे शुल्क देऊन खरेदी करू शकता. g.co/advancedprotection येथे सर्व तपशील मिळू शकेल.
"लोकांना काहीवेळा इंटरनेटवरील धोक्यांचे मूल्यांकन करणे कठीण वाटते."
स्टेफन मिकलिट्झ
तुमच्या मते, आज इंटरनेटवर दडलेले सर्वात मोठे धोके कोणते आहेत?
रिशर : एक समस्या म्हणजे, वापरकर्ता नावे आणि पासवर्डच्या अनेक ऑनलाइन याद्या. आमचे सहकारी टाडेक पिएट्राशेक आणि त्यांच्या टीमने सहा आठवडे इंटरनेटवर कसून शोध घेतला आणि त्यांना वापरकर्ता नाव आणि पासवर्ड यांची ३.५ अब्ज काँबिनेशन सापडली. हा हॅक केलेल्या Google खात्यांमधला डेटा नाही – तो इतर पुरवठादारांकडून चोरला गेला आहे. मात्र, अनेक वापरकर्ते बर्याच खात्यांसाठी एकच पासवर्ड वापरत असल्यामुळे, या याद्यादेखील आमच्यासमोर समस्या उभी करतात.
मिकलिट्झ : स्पीअर फिशिंग ही मला प्रचंड मोठी समस्या वाटते. जेव्हा एखादा हल्लेखोर बळीला त्यातील फसवणूक ओळखता येणे कठीण असलेले, फार हुशारीने पर्सनलाइझ केलेले मेसेज कुशलतेने तयार करतो तेव्हा हे घडते. हॅकर या पद्धतीचा अधिकाधिक अवलंब यशस्वीपणे करताना आपल्याला दिसत आहेत.
रिशर : मी स्टेफनसोबत सहमत आहे. तसेच, स्पीअर फिशिंग हे वाटते तितके वेळखाऊ नाही. एखादा स्पॅम ईमेल पर्सनलाइझ करण्यासाठी बरेचदा फक्त काही मिनिटे लागतात. वापरकर्ते ऑनलाइन प्रकाशित करत असलेली स्वतःबद्दलची माहिती हॅकर वापरू शकतात. क्रिप्टो करन्सीबाबत ही समस्या आहे, उदाहरणार्थ : जे लोक त्यांच्याकडे १०,००० बिटकॉइन आहेत असे सार्वजनिकरीत्या जाहीर करतात त्यांना या माहितीमुळे सायबर गुन्हेगारांचे लक्ष वेधले गेल्यास आश्चर्य वाटू नये.
मिकलिट्झ : हे तसेच आहे की मी लाऊडस्पीकर घेऊन भर बाजारात मध्यभागी उभा राहून माझ्या बँक खात्यामध्ये किती पैसे आहेत ते सर्वांना सांगणे. असे कोण करेल? कोणीही नाही. मात्र, लोकांना काहीवेळा इंटरनेटवरील धोक्यांचे मूल्यांकन करणे कठीण वाटते.
नियमित येणारे स्पॅम ईमेल ही अजूनही समस्या आहे का?
रिशर : डिव्हाइस आणि सेवा लिंक करणे हे आमच्यासाठी मोठे आव्हान आहे. ऑनलाइन जाण्यासाठी लोक फक्त लॅपटॉप आणि स्मार्टफोन वापरत नाहीत – ते टीव्ही, स्मार्टवॉच आणि स्मार्ट स्पीकरदेखील वापरतात. या सर्व डिव्हाइसवर विविध अॅप्स चालू असतात, ज्यामुळे हॅकरना संभाव्य हल्ल्याचे अनेक वेगवेगळे पॉइंट सापडतात. आता अनेक डिव्हाइस कनेक्ट केलेली असल्यामुळे, हॅकर एक डिव्हाइस वापरून दुसर्या डिव्हाइसवर स्टोअर केलेली माहिती अॅक्सेस करण्याचा प्रयत्न करू शकतात. म्हणून आम्हाला आता हा प्रश्न विचारात घ्यावा लागतो : वापराच्या अनेक नवीन सवयी निर्माण झाल्या असल्या तरी, आम्हाला आमच्या वापरकर्त्यांच्या सुरक्षिततेची हमी कशी देता येईल?
मिकलिट्झ : प्रत्येक सेवेसाठी आम्हाला खरोखर कोणत्या डेटाची गरज आहे आणि सेवांदरम्यान कोणत्या डेटाची देवाणघेवाण केली जाते असे स्वतःला विचारून त्याची सुरुवात होते.
वापरकर्त्यांचे संरक्षण करण्यात मदतीसाठी तुम्ही कृत्रिम बुद्धिमत्ता कशी वापरता?
मिकलिट्झ : Google बर्याच काळापासून कृत्रिम बुद्धिमत्ता वापरत आहे.
रिशर : आमच्या Gmail या ईमेल सेवेमध्ये या तंत्रज्ञानाचा अगदी सुरुवातीपासूनच समावेश केला गेला आहे. Google ने TensorFlow या नावाची स्वतःची मशीन लर्निंग लायब्ररीदेखील तयार केली आहे, जी मशीन लर्निंगवर काम करत असलेल्या प्रोग्रॅमरचे काम सुलभ करते. Gmail ला TensorFlow पासून विशेष फायदा होतो, कारण ती सामान्य पॅटर्न ओळखण्याच्या बाबतीत मौल्यवान सेवा पुरवते.
हे पॅटर्न रेकग्निशन कसे काम करते ते तुम्ही स्पष्ट करू शकाल का?
रिशर : समजा, आम्हाला बर्याच वापरकर्ता खात्यांमध्ये अशी गतिविधी आढळली जी वर्गीकृत करता येत नाही. सेल्फ-लर्निंग मशीन या इव्हेंटची तुलना करू शकते आणि सर्वोत्तम परिस्थितीमध्ये, फसवणुकीचे नवीन प्रकार ऑनलाइन पसरणे सुरू होण्यापूर्वीच शोधून काढू शकते.
मिकलिट्झ : पण याला मर्यादा आहेत: मशीन फक्त ती वापरणार्या व्यक्तीइतकी हुशार असते. मी मशीनमध्ये खोटा किंवा एकतर्फी डेटा फीड केल्यास, ती जे पॅटर्न ओळखेल तेदेखील खोटे किंवा एकतर्फी असतील. कृत्रिम बुद्धिमत्तेचा कितीही गाजावाजा होत असला, तरीही तिची परिणामकारकता नेहमी ती वापरणार्या व्यक्तीवर अवलंबून असते. मशीनला उच्च दर्जाचा डेटा वापरून प्रशिक्षित करणे आणि त्यानंतर परिणाम तपासणे हे वापरकर्त्यावर अवलंबून असते.
रिशर : एकदा मी एका इतर ईमेल पुरवठादारासाठी काम करत असताना, आम्हाला लागोसमधील एका बँक कर्मचार्याकडून मेसेज मिळाला होता. त्या वेळी, नायजेरियाहून येत असल्याचे समजले जाणारे बरेच फसवणुकीचे ईमेल प्रसारात होते. त्या माणसाची अशी तक्रार होती, की तो एका प्रतिष्ठित बँकमध्ये काम करत असला तरीही, त्याचे ईमेल नेहमी मिळवणार्याच्या स्पॅम फोल्डरमध्ये जात असत. अपुर्या माहितीमुळे पॅटर्न रेकग्निशनमध्ये होणार्या खोट्या सामान्यीकरणाचे हे एक सामान्य प्रकरण आहे. अल्गोरिदम बदलून, आम्ही ही समस्या सोडवण्यात मदत करू शकलो.
फोटोग्राफ: कॉनी मिरबाख
सायबरसुरक्षेशी संबंधित प्रगती
जगातील इतर कोणत्याही कंपनीच्या तुलनेत जास्त लोकांना आम्ही ऑनलाइन कसे सुरक्षित ठेवतो ते जाणून घ्या.
अधिक जाणून घ्या