ஆன்லைன் கடவுச்சொற்களை நிர்வகித்தல்
ஆன்லைன் பாதுகாப்பைப் பொறுத்தவரையில், பல பயனர்கள் தங்களால் சமாளிக்க முடியாது என எண்ணுகிறார்கள். பாதுகாப்பு நடவடிக்கைகளை மேற்கொள்ளும்போது இந்த உணர்வுகளைக் கணக்கிலெடுத்துக்கொள்வது குறித்து Googleளின் மார்க் ரிஷரும் ஸ்டீஃபன் மிக்லிட்ஸும் பகிர்ந்து கொள்கின்றனர்
திரு. ரிஷர், இணையப் பாதுகாப்புப் பகுதியில் பணிபுரியும் தயாரிப்பு நிர்வாகத்தின் இயக்குநராக Googleளில் இருக்கிறீர்கள். நீங்கள் எப்போதாவது ஆன்லைன் மோசடியில் சிக்கியுள்ளீர்களா?
மார்க் ரிஷர்: இப்போது சொல்லக்கூடிய உறுதியான உதாரணங்கள் ஞாபகத்திற்கு வரவில்லை, ஆனால் யூகிக்க மட்டுமே முடிகிறது. இணையத்தில் உலாவும்போது நானும் மற்றவர்களைப்போலவே தவறுகள் செய்கிறேன். உதாரணமாக, சமீபத்தில் Google கடவுச்சொல்லைத் தவறான இணையதளத்தில் உள்ளிட்டுவிட்டேன். அதிர்ஷ்டவசமாக, Chrome கடவுச்சொல் எச்சரிக்கை செருகுநிரலை நிறுவியிருந்தேன், அது என் தவறைச் சுட்டிக்காட்டியது. ஆனாலும் கடவுச்சொல்லை உடனடியாக மாற்றிவிட்டேன்.
ஸ்டீஃபன் மிக்லிட்ஸ், Googleளின் தனியுரிமை மற்றும் பாதுகாப்புக் குழுவின் பொறியியல் இயக்குநர்: இது மனித இயல்புதான். ஒரு கடவுச்சொல்லை நினைவில் வைத்துக்கொண்டால் எங்கு உள்ளிடுகிறோம் என்கிற கவனமின்றி அதை டைப் செய்வது எளிதாக நடக்கக் கூடிய ஒன்று.
ரிஷர்: கடவுச்சொற்களை முழுவதுமாக நீக்கிவிட விரும்புகிறோம், ஆனால் அது அவ்வளவு எளிதானதல்ல.
"பின்னணியில் பல பாதுகாப்பு நடவடிக்கைகள் மேற்கொள்ளப்படுகின்றன."
மார்க் ரிஷர்
கடவுச்சொற்களில் அப்படியென்ன குறைகள் உள்ளது? ரிஷர்: அவற்றில் பல குறைகள் உள்ளன: அவற்றை எளிதில் திருடிவிடலாம். ஆனால் ஞாபகம் வைப்பதும் கடினம், நிர்வகிப்பதும் கடினம். கடவுச்சொற்கள் முடிந்தவரை நீளமாகவும் சிக்கலானதாகவும் இருக்க வேண்டும் எனப் பல பயனர்கள் கருதுகின்றனர். உண்மையில் இது பாதுகாப்பு அபாயத்தை அதிகரிக்கும். சிக்கலான கடவுச்சொற்களைப் பயனர்கள் ஒன்றுக்கும் மேற்பட்ட கணக்குகளுக்குப் பயன்படுத்த நினைக்கின்றனர், இதனால் ஆபத்து இன்னும் அதிகமாகிறது.
மிக்லிட்ஸ்: கடவுச்சொல்லைக் குறைவாக உள்ளிடுவது சிறந்தது. எனவேதான் அடிக்கடி கணக்குகளினுள் நுழைவதையும் அவற்றிலிருந்து வெளியேறுவதையும் தவிர்க்க வேண்டும். காலப்போக்கில், தாங்கள் தற்பொழுது எந்த இணையப் பக்கத்திலிருக்கிறோம் என்பதைப் பயனர்கள் கவனிக்காமல் போகக்கூடும், இது கடவுச்சொல் திருடர்களுக்கு வேலையை எளிதாக்கிவிடக்கூடும். எனவே பயனர்கள் தொடர்ந்து உள்நுழைந்திருப்பதை நாங்கள் அறிவுறுத்துகிறோம்.
சில நிமிடங்களுக்குச் செயலில் இல்லையென்றால் எனது பேங்க் இணையதளம் என்னை வெளியேற்றி விடுகிறது. மிக்லிட்ஸ்: துரதிர்ஷ்டவசமாக, பல நிறுவனங்கள் காலாவதியான விதிகளையே இன்னும் பின்பற்றுகின்றன. பெரும்பாலானவர்கள் இன்டெர்நெட் கஃபேக்களிலிருந்து இணையத்தைப் பயன்படுத்திய மற்றும் கம்ப்யூட்டரைப் பலருடன் பகிர்ந்துகொண்ட நாட்களில் எப்போதும் வெளியேறிவிடுவதற்கான அறிவுரை வழங்கப்பட்டு வந்தது. பயனர்கள் அதிக முறை கடவுச்சொற்களை உள்ளிடும்போது பாதிப்புக்குள்ளாவதற்கான வாய்ப்புகள் அதிகரிக்கன்றன என எங்களது ஆராய்ச்சிகள் காட்டுகின்றன. எனவே மொபைலிலோ கம்ப்யூட்டரிலோ திரைப் பூட்டை இயக்குவதும் பாதுகாப்பான கடவுச்சொல்லைப் பயன்படுத்துவதும் பாதுகாப்பானதாக இருக்கும்.
ரிஷர்: இது சரியானது. துரதிர்ஷ்டவசமாக, தவறான, செயல்படுத்த முடியாத அறிவுரைகள் பெருமளவில் பகிரப்பட்டு வருகின்றன, இவை பல பயனர்களுக்குக் குழப்பத்தை உருவாக்கலாம். மிகவும் மோசமான ஒரு சூழ்நிலை உருவாகி பயனர்கள் விட்டு விடலாம் என எண்ணும் நிலைக்குத் தள்ளப்பட்டு விடுகின்றனர்: “எனக்குப் பாதுகாப்பளிப்பது இவ்வளவு கடினமென்றால், அதை முயலுவதையே நான் விட்டுவிடலாம்.” இது திருடர்கள் எங்கும் உள்ளனர் என்பதற்காக வாசலைத் திறந்து வைப்பதற்குச் சமம்.
கடவுச்சொற்கள் ஒழிக்கப்பட்டுவிட்டால் பயனர்களின் பாதுகாப்பை Google எவ்வாறு உறுதிசெய்யும்?
ரிஷர்: பின்னணியில் இயங்குகிற பல கூடுதல் பாதுகாப்பு நடவடிக்கைகள் எங்களிடம் ஏற்கெனவே உள்ளன. ஹேக்கர் உங்களின் கடவுச்சொல்லையும் மொபைல் எண்ணையும் அறிந்துகொண்டாலும் உங்கள் Google கணக்கிற்கு 99.9 சதவீதப் பாதுகாப்பிற்கு எங்களால் உத்திரவாதம் அளிக்க முடியும். உதாரணமாக, பயனர் உள்நுழையும் சாதனத்தையும் நாட்டையும் நாங்கள் சரிபார்க்கிறோம். யாராவது தவறான கடவுச்சொல்லைப் பயன்படுத்தி உங்கள் கணக்கில் நுழைய பலமுறை முயன்றால் அது எங்கள் பாதுகாப்பு சிஸ்டங்களில் எச்சரிக்கை மணியை அடித்துவிடும்.
மிக்லிட்ஸ்: பயனர்கள் தங்கள் Google கணக்கின் தனிப்பட்ட பாதுகாப்பு அமைப்புகளைப் படிப்படியாகச் சரிபார்க்கும் விதத்திலும் நாங்கள் பாதுகாப்புச் சரிபார்ப்பை உருவாக்கியுள்ளோம். மேலும், மேம்பட்ட பாதுகாப்புத் திட்டம் மூலம் நாங்கள் இன்னுமொரு படி முன்சென்றுள்ளோம்.
இந்தத் திட்டத்தின் நோக்கம் என்ன?
மிக்லிட்ஸ்: உண்மையில் இந்தத் திட்டம் மோசடி செய்பவர்கள் குறிவைக்கிற அரசியல்வாதிகள், CEOக்கள், பத்திரிக்கையாளர்கள் ஆகியோருக்காக உருவாக்கப்பட்டது. எனினும் தற்போது கூடுதல் ஆன்லைன் பாதுகாப்பைப் பெற விரும்பும் யாருக்கும் இது கிடைக்கிறது. சிறப்பு USB அல்லது புளூடூத் டாங்கிள் இருப்பவர்கள் மட்டுமே தங்களுடைய பாதுகாக்கப்பட்ட Google கணக்கில் உள்நுழைய முடியும்.
ரிஷர்: இந்த சிஸ்டம் எவ்வளவு பயனுள்ளது என்பது அனுபவத்திலிருந்து எங்களுக்குத் தெரியும், ஏனெனில் Google பணியாளர்கள் அனைவரும் நிறுவனக் கணக்கைப் பாதுகாப்பாக வைக்க பாதுகாப்பு விசையைப் பயன்படுத்துகின்றனர். இந்தப் பாதுகாப்பு நடவடிக்கையை அறிமுகப்படுத்தியதிலிருந்து கடவுச்சொல் உறுதிப்படுத்துதலுடன் தொடர்புடைய ஒரு ஃபிஷிங் நிகழ்வு கூட நடைபெறவில்லை. தாக்குபவர்கள் கடவுச்சொல்லை அறிந்துகொண்டாலும், டோக்கன் இல்லாமல் அவர்களால் கணக்கை அணுக முடியாது என்பதால் இந்த டோக்கன் Google கணக்கின் பாதுகாப்பைப் பெருமளவு மேம்படுத்துகிறது. பொதுவாக, ஆன்லைன் கணக்கை உலகில் எங்கிருந்தும் ஹேக் செய்ய முடியும் எனினும் பாதுகாப்பு விசையை நேரடியாகப் பயன்படுத்திப் பாதுகாக்கப்படும் கணக்குகளில் இதைச் செய்ய முடியாது.
மிக்லிட்ஸ்: மேலும், Googleளின் மேம்பட்ட பாதுகாப்புத் திட்டத்திற்கு மட்டுமின்றி இந்தப் பாதுகாப்பு விசைகளைப் பல இணையதளங்களுக்கும் பயன்படுத்த முடியும். சிறிய கட்டணத்தைச் செலுத்தி இதை நீங்கள் எங்களிடமிருந்தோ பிற வழங்குநர்களிடமிருந்தோ வாங்கிக்கொள்ளலாம். அனைத்து விவரங்களையும் g.co/advancedprotection எனும் இணையதளத்திலிருந்து பெற்றுக்கொள்ளலாம்.
"இணையத்தில் ஆபத்தை மதிப்பிடுவது சில வேளைகளில் பயனர்களுக்குக் கடினமாக உள்ளது."
ஸ்டீஃபன் மிக்லிட்ஸ்
உங்களைப் பொறுத்த வரை, இணையத்தில் இன்று காணக்கூடிய பெரிய ஆபத்துகள் என்ன?
ரிஷர்: ஆன்லைனில் இருக்கக்கூடிய பயனர்பெயர்கள் மற்றும் கடவுச்சொற்களின் பல பட்டியல்கள் ஒரு சிக்கலாகும். எங்கள் சக பணியாளரான தாதெக் பியாத்ராஸெக் மற்றும் அவரது குழு ஆறு வாரங்கள் செலவழித்து இணையத்தை அலசிப் பார்த்ததில் 3.5 பில்லியன் பயனர்பெயர் மற்றும் அவற்றின் கடவுச்சொற்களைக் கண்டுபிடிக்க முடிந்தது. இவை Google கணக்குகளிலிருந்து ஹேக் செய்யப்பட்டவை அல்ல – இது பிற வழங்குநர்களிடமிருந்து திருடப்பட்டவை. எனினும், பல பயனர்கள் அதே கடவுச்சொல்லைப் பல கணக்குகளுக்குப் பயன்படுத்துவதால் இந்தப் பட்டியல்களும் கூட நமக்குச் சிக்கல்களை உருவாக்குகின்றன.
மிக்லிட்ஸ்: ஸ்பியர் ஃபிஷிங்கைப் பெரிய சிக்கலாக நான் கருதுகிறேன். தாக்குபவர் புத்திசாலித்தனமாகப் பிரத்தியேகமாக்கப்பட்ட செய்திகளை உருவாக்குவதால் பாதிக்கப்படுபவர்களால் அதன் மோசடி நோக்கத்தை அடையாளம் காண முடிவதில்லை. ஹேக்கர்கள் இந்த முறையைப் பயன்படுத்தி அதிகமானவர்களை ஏமாற்றிவிடுவதை நாங்கள் பார்க்கிறோம்.
ரிஷர்: ஸ்டீஃபன் சொல்வதை ஏற்கிறேன். அதோடு, நினைக்குமளவு ஸ்பியர் ஃபிஷிங்கிற்கு அதிக நேரம் தேவையில்லை. ஒரு ஸ்பேம் மின்னஞ்சலைப் பிரத்தியேகமாக உருவாக்கச் சில நிமிடங்கள் போதும். பயனர்களைப் பற்றி அவர்களே ஆன்லைனில் வெளியிடும் தகவல்களை ஹேக்கர்கள் பயன்படுத்திக்கொள்ள முடியும். கிரிப்டோ கரன்சிகளில் இது சிக்கலாகும், உதாரணமாக: தங்களிடம் 10,000 பிட்காயின் இருப்பதாகப் பொதுவில் தகவல் வெளியிடும் பயனர் அந்தத் தகவல்கள் இணையவழி மோசடிக்காரர்களின் கவனத்தை ஈர்ப்பதைக் குறித்து ஆச்சரியப்படக் கூடாது.
மிக்லிட்ஸ்: அது சந்தை நடுவே நின்றுகொண்டு மெகாஃபோனில் எனது பேங்க் அக்கவுண்ட் பேலன்ஸை அறிவிப்பது போன்றது. இப்படி யார் செய்வார்கள்? யாரும் செய்யமாட்டார்கள். எனினும், இணையத்தில் ஆபத்தை மதிப்பிடுவது சில வேளைகளில் பயனர்களுக்குக் கடினமாக உள்ளது.
வழக்கமான ஸ்பேம் மின்னஞ்சல்கள் சிக்கல் இன்னும் தொடர்கிறதா?
ரிஷர்: சாதனங்களையும் சேவைகளையும் இணைப்பது எங்களுக்குப் பெரிய சவாலாக உள்ளது. ஆன்லைனினுக்குச் செல்ல லேப்டாப்களையும் ஸ்மார்ட்ஃபோன்களையும் மட்டும் பயனர்கள் பயன்படுத்துவதில்லை – அவர்கள் டிவிகள், ஸ்மார்ட்வாட்ச்சுகள், ஸ்மார்ட் ஸ்பீக்கர்கள் ஆகியவற்றையும் பயன்படுத்துகின்றனர். இந்தக் கருவிகள் அனைத்திலும் பல ஆப்ஸ் இயங்குகின்றன, தாக்கக்கூடிய பல்வேறு வாய்ப்புகளையும் இவை ஹேக்கர்களுக்கு வழங்குகின்றன. இப்போது பல சாதனங்கள் இணைக்கப்பட்டிருப்பதால் ஒரு சாதனத்தைப் பயன்படுத்தி மற்றொன்றில் சேமிக்கப்பட்டுள்ள தகவல்களை அணுக ஹேக்கர்கள் முயற்சி செய்ய முடியும். ஆகவே தற்போது நாம் இந்தச் சிக்கலைச் சரிசெய்ய வேண்டியுள்ளது: பெருமளவிலான புது விதப் பயன்பாட்டுப் பழக்கங்கள் இருந்தாலும் எங்களது பயனர்களுக்கு எவ்வாறு பாதுகாப்பை உத்திரவாதம் அளிக்க முடியும்?
மிக்லிட்ஸ்: ஒவ்வொரு சேவைக்கும் எந்தத் தரவு நமக்கு உண்மையிலேயே தேவை, எந்தத் தரவு சேவைகளுக்கிடையே பகிரப்படுகிறது என்பது பற்றி எங்களை நாங்களே கேட்டுக்கொண்டதிலிருந்து இது தொடங்குகிறது.
பயனர்களைப் பாதுகாக்கச் செயற்கை நுண்ணறிவியலை எவ்வாறு பயன்படுத்துகிறீர்கள்?
மிக்லிட்ஸ்: இப்போது சில காலமாக Google செயற்கை நுண்ணறிவைப் பயன்படுத்தி வருகிறது.
ரிஷர்: தொடக்கத்திலிருந்தே இந்தத் தொழில்நுட்பம் எங்களின் மின்னஞ்சல் சேவை, Gmail ஆகியவற்றில் சேர்க்கப்பட்டுள்ளது. TensorFlow என்றழைக்கப்படுகிற மெஷின் லேர்னிங் லைப்ரரியை Google சொந்தமாக உருவாக்கியுள்ளது. இது மெஷின் லேர்னிங்கில் ஈடுபட்டுள்ள புரோகிராமர்களின் பணியை எளிதாக்குகிறது. குறிப்பாக, பொதுவான பேட்டர்ன்களை அடையாளம் காணும் பயனுள்ள சேவையை Gmailக்கு TensorFlow அளிக்கிறது.
பேட்டர்ன் ரெகக்னிஷன் எவ்வாறு வேலைசெய்கிறது என்பதை விளக்குவீர்களா?
ரிஷர்: வகைப்படுத்த முடியாத பல பயனர்களிடையே சந்தேகத்திற்குரிய செயல்பாடுகளை நாங்கள் காண்கிறோம் என்று வைத்துக்கொள்வோம். ஒரு செல்ஃப் லேர்னிங் மெஷின் இந்த நிகழ்வுகளை ஒப்பிட்டு, புது வடிவிலான மோசடிகள் ஆன்லைனில் பரவும் முன்னரே கண்டறிந்து விடுவதுதான் சிறந்த சூழ்நிலையாக இருக்கும்.
மிக்லிட்ஸ்: எனினும் சில வரம்புகள் உள்ளன: மெஷினுக்கு அதைப் பயன்படுத்துபவருடைய அளவு மதிநுட்பம்தான் இருக்க முடியும். மெஷினுக்குத் தவறான அல்லது ஒரு பட்சமான தரவை ஏற்றினால் அது அடையாளம் காணும் பேட்டர்ன்களும் தவறானவையாகவோ ஒரு பட்சமானவையாகவோ இருக்கும். செயற்கை நுண்ணறிவு பெரிதாகப் பேசப்பட்டாலும் அதன் செயல்திறன் அதைப் பயன்படுத்துபவரைப் பொறுத்துதான் அமையும். உயர்தரத் தரவு மூலம் மெஷினுக்குப் பயிற்சி அளிப்பதும், பின்னர் அதன் முடிவுகளைச் சரிபார்ப்பதும் பயனர் கையில்தான் உள்ளது.
ரிஷர்: வேறொரு மின்னஞ்சல் வழங்குநருக்கு நான் பணியாற்றியபோது ஒருமுறை லாகோஸில் உள்ள பேங்க் பணியாளரிடமிருந்து ஒரு செய்தி வந்தது. அந்த நாட்களில் நைஜீரியாவிலிருந்து வருவதாகக் கருதப்பட்ட மோசடி மின்னஞ்சல்கள் பெருமளவில் பகிரப்பட்டு வந்தன. அவர் நம்பத்தகுந்த பேங்கில் பணிபுரிந்தாலும் அவருடைய மின்னஞ்சல்கள் பெறுநரின் ஸ்பேம் ஃபோல்டருக்குச் சென்று விடுவதாக அந்தப் பணியாளர் தெரிவித்திருந்தார். போதுமான அளவு தகவல்கள் இல்லாததினால் பேட்டர்ன் ரெகக்னிஷன் அமைப்பு தவறாகப் பொதுமைப்படுத்தியதன் வழக்கமான விஷயம்தான் இது. அல்காரிதமை மாற்றியதன் மூலம் இந்தப் பிரச்சனையைத் தீர்க்க எங்களால் உதவ முடிந்தது.
படங்கள்: கோனி மிர்பாக்
இணையப் பாதுகாப்பு மேம்பாடுகள்
உலகில் வேறு எவரையும்விட ஆன்லைனில் அதிகமானோரைப் பாதுகாப்பாக எப்படி வைத்திருக்கிறோம் என்பது குறித்து அறிந்துகொள்ளுங்கள்.
மேலும் அறிக