फिशिंगचा धोका कमी केल्यामुळे पासकींना पाठिंबा मिळत आहे

पासकीबाबतची चर्चा आता का महत्त्वाची ठरत आहे

पासकी सतत उत्सुकता आणि गोंधळ दोन्ही निर्माण करत आहेत, कारण त्या वापरकर्त्यांना अशा गोष्टीवर विश्वास ठेवण्यास सांगतात जी अनेक वर्षे सवयीने तयार केलेल्या पासवर्डपेक्षा सोपी वाटते. दिलेल्या स्रोतामध्ये हा ताण थेट दिसतो. एक वाचक विचारतो की स्मार्टफोन PIN किंवा चेहऱ्याची ओळख ही गुंतागुंतीच्या पासवर्डसह दोन-घटक प्रमाणीकरणापेक्षा खरोखर कशी अधिक सुरक्षित असू शकते, विशेषतः फोन चोरीला गेला किंवा हरवला तर.

हा योग्य प्रश्न आहे, आणि हाच पासकींचे महत्त्व स्पष्ट करतो. स्रोतामधील प्रतिसादांनुसार, मुख्य सुरक्षा फायदा असा की पासकी दूरस्थ हल्ल्यांवरील संपर्क कमी करतात. पारंपरिक पासवर्ड हा वापरकर्ता आणि वेबसाइट यांच्यातील सामायिक गुपित असतो. तो पाठवावा आणि पडताळावा लागतो म्हणून फिशिंग, क्रेडेन्शियल चोरी, आणि सर्व्हर-साइड भंग यासाठी संधी निर्माण होतात. याउलट, स्रोतामध्ये पासकींना डिव्हाइस-आधारित ओळखपत्रे म्हणून सादर केले आहे, जी कंपनीच्या सर्व्हरवर त्याच पद्धतीने साठवली जात नाहीत आणि त्यामुळे परिचित इंटरनेट-स्तरीय हल्ल्यांद्वारे चोरणे खूप कठीण होते.

हा बदल धोक्याचे मॉडेल बदलतो. एका वाचकाच्या प्रतिसादानुसार, पासवर्ड लॉगिन जगातील कुठल्याही ठिकाणच्या हॅकरसाठी असुरक्षित असते, तर भौतिक पासकी प्रामुख्याने प्रत्यक्ष फोन चोरू शकणाऱ्या व्यक्तीसाठीच असुरक्षित असते. तुलना अशी नाही की पासकी परिपूर्ण आहेत. मुद्दा असा आहे की त्या सर्वात सामान्य आणि मोठ्या प्रमाणावर होणाऱ्या हल्ल्यांविरुद्ध अधिक सुरक्षित असू शकतात.

सामायिक गुपितांपासून डिव्हाइस-जोडलेल्या प्रमाणीकरणाकडे

दिलेल्या चर्चेत सर्वात महत्त्वाची संकल्पना म्हणजे सामायिक गुपितांची कमजोरी. पासवर्ड प्रणालींमध्ये वापरकर्ता आणि सेवा दोघांनाही एकाच मूळ गुपितावर अवलंबून राहावे लागते, जे सादर केले जाते आणि तपासले जाते. हे पर्यावरण भेदले गेले तर नुकसान पसरू शकते. चोरी केलेली ओळखपत्रे पुन्हा वापरता येतात, फिश करता येतात, लीक करता येतात किंवा विकता येतात. वर्षानुवर्षे पासवर्ड सुरक्षेतील ही एक कायमस्वरूपी संरचनात्मक त्रुटी राहिली आहे.

पासकी समर्थकांचे म्हणणे आहे की हेच ते सुधारत आहेत. प्रमाणीकरणाच्या केंद्रस्थानी डिव्हाइस येते, आणि लॉगिन दरम्यान ओळखपत्र त्याच प्रकारे उघडे पडत नाही. वाचकांच्या प्रतिसादांमध्ये याला “unphishable” असे संबोधले आहे, जे मजबूत भाष्य आहे, पण आकर्षण स्पष्ट करते: वापरकर्ता आता पुन्हा वापरता येणारे गुपित अशा पेटीत टाइप करत नाही ज्याची नक्कल किंवा अडवणूक केली जाऊ शकते.

याचा अर्थ वापरकर्त्याची जबाबदारी नाहीशी होते असे नाही. उलट, स्रोत स्पष्ट करतो की डिव्हाइसची सुरक्षा अधिक महत्त्वाची बनते. एका प्रतिसादात यादृच्छिक अंकांनी बनलेला मजबूत 10-अंकी PIN वापरण्याची आणि iPhone वर Apple चे Stolen Device Protection किंवा Android वर Identity Check यांसारखी अतिरिक्त सुरक्षा सुरू करण्याची शिफारस करण्यात आली आहे. अधिक जोखमीतील वापरकर्त्यांसाठी Lockdown Mode किंवा Advanced Protection Mode यांसारखी इतर कठोर सुरक्षा साधनेही नमूद केली आहेत.

चोरी गेलेल्या फोनबाबतचा आक्षेप खरा आहे, पण मर्यादित

पासकींच्या विरोधातील सर्वात मोठा सहजसुचणारा आक्षेपही सर्वात सोपा आहे: कोणी फोन चोरला तर काय? दिलेल्या प्रतिसादांमध्ये ही चिंता दुर्लक्षित केलेली नाही. त्याऐवजी, ते असा युक्तिवाद करतात की चोरी ही दूरस्थ क्रेडेन्शियल भंगाच्या तुलनेत अधिक संकुचित आणि अधिक दृश्यमान जोखीम आहे.

चोरी गेलेला फोन ही गंभीर घटना असते, पण साधारणपणे ती लवकर लक्षात येते. एक प्रतिसाद सांगतो की डिव्हाइस हरवल्यावर वापरकर्ते त्यांच्या खात्यांवरून पासकी रद्द करू शकतात. याउलट, चोरी केलेला किंवा फिश केलेला पासवर्ड पीडिताला काहीतरी चुकले आहे हे कळण्याआधी बराच काळ गैरवापरला जाऊ शकतो. हा फरक महत्त्वाचा आहे. सुरक्षितता म्हणजे केवळ भंग शक्य आहे का एवढेच नाही. हल्ल्याचे क्षेत्र किती व्यापक आहे, हल्ला किती सहजपणे मोठ्या प्रमाणावर करता येतो, आणि वापरकर्ता किती लवकर प्रतिसाद देऊ शकतो, हेही तितकेच महत्त्वाचे आहे.

दुसऱ्या शब्दांत, पासकी एक प्रकारचा धोका लहान आणि अधिक नियंत्रणीय धोक्यात बदलत असल्यासारखे दिसते. दूरस्थ हल्ले जागतिक स्तरावर केले जाऊ शकतात. प्रत्यक्ष चोरीसाठी जवळीक, वेळ, आणि अनेकदा अतिरिक्त डिव्हाइस प्रवेश आवश्यक असतो. त्यामुळे धोका नाहीसा होत नाही, पण आर्थिक गणित वापरकर्त्याच्या बाजूने जाते.

सोयीचा भागही सुरक्षा कथेत असतो

पासवर्ड प्रणाली अजूनही नाजूक राहण्यामागे एक कारण वर्तनात्मक आहे. लोक पासवर्ड पुन्हा वापरतात, कमकुवत पर्याय निवडतात, किंवा विश्वासार्ह लॉगिन सूचनांना फसतात, कारण ही प्रणाली कटकटीची असते. पासकी वेगळ्या परस्परसंवाद पद्धतीचे वचन देतात. PIN किंवा बायोमेट्रिक पद्धतीने फोन अनलॉक करणे सोपे वाटते, आणि सुरक्षा रचनेत, कमी चुका होत असतील तर सोपे असणे चांगलेच.

दिलेली चर्चा हीच व्यावहारिक तर्कशैली प्रतिबिंबित करते, जरी ती औपचारिक तांत्रिक मानकाऐवजी वाचक मंचातून आलेली असली तरी. स्रोतामधील समर्थक प्रत्यक्षात असे म्हणत आहेत की पासकी मजबूत क्रिप्टोग्राफिक संरक्षण आणि लोक प्रत्यक्ष सहन करतील अशा वापरकर्ता वर्तनाचे जुळवण करतात. लांब पासवर्ड, नियमित रीसेट, आणि अनेक थरांचे कोड्स यांसह हे संयोजन साधणे कठीण आहे.

तरीही, विश्वासाचा बदल सुरूच आहे. अनेक वापरकर्त्यांना स्वाभाविकपणे असे वाटते की लक्षात ठेवलेला पासवर्ड जलद चेहरा स्कॅन किंवा फोन PIN पेक्षा अधिक ठोस असतो. पण पारंपरिक पासवर्ड फिश केला जाऊ शकतो, कॉपी केला जाऊ शकतो किंवा भंगात उघड होऊ शकतो, तर ही धारणा उलटीही ठरू शकते. गुंतागुंतीची वाटणारी सुरक्षा नेहमीच संरचनात्मकदृष्ट्या अधिक मजबूत सुरक्षा असेलच असे नाही.

ग्राहक सुरक्षा विचारांमध्ये अर्थपूर्ण बदल

दिलेला स्रोत दाखवतो की पासकींबाबतची चर्चा तज्ज्ञ वर्तुळांच्या बाहेर का पोहोचत आहे. लोक केवळ तंत्रज्ञान चालते का हे विचारत नाहीत. ते असेही विचारत आहेत की वर्षानुवर्षे करायला सांगितलेल्या गुंतागुंतीच्या विधींपेक्षा एक सोपी कृती अधिक सुरक्षित कशी असू शकते.

दिलेल्या सामग्रीच्या आधारे उत्तर असे आहे की पासकी पासवर्ड प्रणालींच्या मध्यभागी असलेली सामायिक-गुपित कमजोरी दूर करण्याचा आणि व्यापक, दूरस्थ हल्ला पद्धतींवरील संपर्क कमी करण्याचा प्रयत्न करतात. त्या चोरीला अशक्य करत नाहीत, आणि वापरकर्त्यांनी आपली डिव्हाइसेस गंभीरपणे सुरक्षित ठेवणेही आवश्यक असते. पण समर्थकांचे म्हणणे आहे की तरीही हा एक पुढचा टप्पा आहे, कारण तो धोका मर्यादित करतो, फिशिंगचा संपर्क कमी करतो, आणि डिव्हाइस हरवल्यास वापरकर्त्यांना पटकन प्रतिसाद देता येतो.

म्हणूनच पासकींना संस्थात्मक पाठिंबा मिळत आहे. वचन जादूचे नाही. ते अधिक संकुचित हल्ला-क्षेत्र आणि नेहमीच्या लॉगिन वर्तनाचा वापर वापरकर्त्याविरुद्ध करण्याचे कमी मार्ग आहे.

हा लेख The Guardian च्या वार्तांकनावर आधारित आहे. मूळ लेख वाचा.