کیوں پاس ورڈ (آخر میں) دور ہو سکتے ہیں | بین ڈکسن

2012 میں ، وائرڈ کے میٹ ہنن نے خطوط ، ہندسوں اور علامتوں کی تار میں آپ کی پوری ڈیجیٹل زندگی کو باندھنے کے تباہ کن نتائج کے بارے میں لکھا۔ ہانان ان گنت لوگوں میں سے ایک ہے جن کے آن لائن اکاؤنٹ ہیکرز کے پاس ورڈ دریافت کرنے کے بعد ہائی جیک کرلیے گئے تھے۔ متاثرین کی فہرست میں مارک زکربرگ سمیت ہائی پروفائل ٹیک ایگزیکٹوز بھی شامل ہیں۔

سالوں سے ، ہم پاس ورڈز کو زیادہ محفوظ اور قابل اعتماد طریقوں سے تبدیل کرنے کی ضرورت کے بارے میں بات کر رہے ہیں۔ جیسے ہی پچھلے مہینے کی طرح ، اقوام متحدہ نے حادثاتی طور پر ملازمین کے پاس ورڈز کو عوامی طور پر مشترکہ ٹریلو بورڈ اور گوگل دستاویزات پر انکشاف کیا۔ یہاں تک کہ فیس بک کا حالیہ ہیک ناقص پاس ورڈ پر مبنی توثیق کے نظام سے متعلق تھا۔ اور اربوں چوری شدہ پاس ورڈ ڈارک ویب مارکیٹوں میں ہاتھ بدل رہے ہیں۔

اور ابھی تک ، پاس ورڈ آن لائن اکاؤنٹس کی حفاظت کا بنیادی طریقہ بنے ہوئے ہیں۔

توثیق کرنے کی جگہ میں جدت کی کوئی کم مقدار نہیں ہوئی ہے۔ 2016 میں ، میں نے توثیق کرنے والی ٹکنالوجیوں کے بارے میں لکھا جو پاس ورڈ کو محفوظ اور آسان استعمال متبادل فراہم کرتی ہیں ، لیکن ابھی تک کسی نے بھی بڑے پیمانے پر اپنانے کو حاصل نہیں کیا تھا۔

اگرچہ ، اب امید ہے کہ آخر کار ہم ضوابط اور کھلے معیاروں کی ایک سیریز کے بدولت لمبا ، پیچیدہ پاس ورڈ کھود سکتے ہیں جو آن لائن ایپلی کیشنز میں پاس ورڈ کے بغیر تصدیق کے طریقوں کے نفاذ میں آسانی اور حوصلہ افزائی کرتے ہیں۔

پاس ورڈ لیس توثیق کو روکنے والا کیا ہے؟

یوبیکو 5 این ایف سی جیسے جسمانی سلامتی کی چابیاں تیار کرنے والی یوبیکو کے سی ای او اور بانی ، اسٹینا ایرنس ورڈ کا کہنا ہے کہ ، "ہماری روز مرہ زندگی میں ضرورت سے زیادہ پاس ورڈز کا بوجھ بن گیا ہے ، یہی وجہ ہے کہ ہم بہت سارے استعمال شدہ یا کمزور مستحکم اسناد دیکھتے ہیں۔" . "ہمیں اس مسئلے کو حل کرنے کے طریقے کے بارے میں سوچنے کی ضرورت ہے جس میں اعلی سطح کی سیکیورٹی کو شامل کرتے ہوئے لاگ ان عمل کو آسان بنایا جائے۔ اب تک ، واقعی ان دونوں چیزوں کو کامیابی کے ساتھ انجام دینے کا کوئی راستہ نہیں نکلا ہے۔"

پاس ورڈز کی کمزوریوں کا استعمال ان تنظیموں پر نہیں جاتا ہے جو ان کا استعمال جاری رکھے ہوئے ہیں۔ لیکن متبادلات پر غور کرنے سے پہلے ، انھیں ٹیکنالوجی کی سلامتی ، پریوستیت ، دستیابی اور لاگت کو بھی مدنظر رکھنا چاہئے۔

"اس سے پہلے کہ ہم نے پہلے سے زیادہ قابل اعتماد چیزوں کے ساتھ پاس ورڈز کی جگہ نہیں لی ہے وہ یہ ہے کہ وہ تمام متبادلات جو سیکیورٹی یا پریوستیت کے لئے بہتر ہوسکتے ہیں وہ انٹرنیٹ سے منسلک آلات کی ہر شکل اور سائز کو ہر جگہ دستیاب نہیں کر سکے ہیں ، اور نہ ہی ان کی لاگت آئی ہے۔ موثر ، "فیڈو الائنس کے ایگزیکٹو ڈائریکٹر ، بریٹ میک ڈویل کہتے ہیں ، جو کنسورشیم ہے جو توثیق کے معیار کو تیار کرتا ہے۔

نیز ، ویب سائٹوں اور موبائل ایپس میں نافذ کرنے کے لئے پاس ورڈ اندراج کم سے کم مہنگا اور آسان ترین توثیقی ٹکنالوجی ہے۔ اور جب کہ بائیو میٹرک تصدیق ٹیکنالوجی جیسے متبادل موبائل آلات پر زیادہ وسیع پیمانے پر دستیاب ہوچکے ہیں ، پاس ورڈ انٹری ہر جگہ خصوصیت کی حیثیت رکھتی ہے جسے تمام آلات سپورٹ کرتے ہیں۔ اسے حذف کرنے سے بہت سارے صارفین کو ان خدمات تک رسائی حاصل ہونے سے روکے گی۔

معیارات کی کمی کی وجہ سے پاس ورڈز سے دور ہونا بھی مشکل ہوتا ہے۔ کلائنٹ ایپلی کیشنز اور بیک سیکنڈ سرورز میں درجنوں مختلف توثیقی ٹیکنالوجیز کے لئے مدد شامل کرنے کی اوور ہیڈ لاگت وہ چیز ہے جس کی زیادہ تر تنظیمیں برداشت نہیں کرسکتی ہیں۔

اور ظاہر ہے ، انسانی عنصر ہمیشہ موجود رہتا ہے۔ "کچھ کمپنیاں اور افراد یقین رکھتے ہیں کہ وہ سائبر حملوں سے متاثر نہیں ہوں گے اور وہ سائبر جرائم پیشہ افراد کے مفاد میں نہیں ہیں۔ موجودہ حلوں کو تبدیل کرنے کی خواہش اور وسائل کا فقدان نئے پاس ورڈ لیس تصدیق کے حل کو اپنانے میں رکاوٹ ہے۔" موموت ، REMME کے سی ای او ، ایک اسٹارٹ اپ جو ایک विकेंद्रीकृत توثیق کا نظام تیار کرتے ہیں۔

فیڈز دستک دے رہے ہیں

حالیہ برسوں میں ، آن لائن سیکیورٹی اور صارفین کی رازداری کے بارے میں آگاہی میں اضافہ ہوا ہے ، خصوصا سرکاری اداروں اور ریگولیٹرز کے درمیان۔ اس سے قبل ، تنظیمیں اعداد و شمار کی خلاف ورزیوں اور حفاظتی واقعات کو کچھ قانونی اور مالی نقصانات سے دور رکھ سکتی تھیں ، اب یہ معاملہ نہیں رہا ہے۔

میک ڈویل کہتے ہیں ، "ریگولیٹرز کسی اور کی طرح ڈیٹا کی خلاف ورزی کی سرخیوں سے تنگ آچکے ہیں ، اور وہ کارروائی کرنا شروع کر رہے ہیں ، جس کے نتیجے میں مزید کاروباری اداروں کو اپنے ڈیٹا سے متعلق حفاظت کے طریقوں میں مستند توثیق کرنا شامل ہے۔"

سب سے زیادہ متعلقہ ریگولیٹری کارروائیوں میں جنرل ڈیٹا پروٹیکشن ریگولیشن (جی ڈی پی آر) بھی شامل ہے ، جو قواعد کا ایک مجموعہ ہے جس میں یہ وضاحت کی جاتی ہے کہ کمپنیاں صارف کے ڈیٹا کو کس طرح جمع ، سنبھالنے اور محفوظ بناتی ہیں۔ جی ڈی پی آر مضبوط صارف کی تصدیق کے لئے معیارات کی بھی وضاحت کرتا ہے۔ وہ کمپنیاں جو قوانین کی تعمیل اور اپنے صارفین کے ڈیٹا کی حفاظت میں ناکام رہتی ہیں انہیں سخت جرمانہ عائد کیا جائے گا۔ جی ڈی پی آر کا اطلاق صرف یورپی یونین کے دائرہ اختیار پر ہوتا ہے ، لیکن چونکہ بہت سی کمپنیاں جو یورپی یونین میں نہیں ہیں اس خطے میں اب بھی کاروبار کرتی ہیں ، لہذا اب اسے سلامتی کے لئے سنہری معیار سمجھا جاتا ہے۔

"ایسے وقت میں جب زیادہ سے زیادہ کمپنیاں مضبوط توثیق اختیار کر رہی ہیں ، اور پاس ورڈ سمجھوتہ کی وجہ سے زیادہ سے زیادہ ڈیٹا کی خلاف ورزی ہو رہی ہے ، کسی کاروبار کے لئے جی ڈی پی آر ریگولیٹر کو یہ معاملہ بنانا بہت مشکل ہو رہا ہے کہ صرف پاس ورڈ کی توثیق میک ڈویل کا کہنا ہے کہ مناسب سیکیورٹی ، ممکنہ طور پر ان کی کمپنی کو جرمانے میں بے نقاب کرنا جو پاس ورڈ سے حقیقی مضبوط تصدیق کی طرف جانے کی قیمت سے کہیں زیادہ مہنگا ہے۔

صنعت سے متعلق دیگر ضابطے استناد ٹیکنالوجی کے استعمال کے بارے میں زیادہ واضح ہیں۔ ایک مثال ادائیگی کی خدمات ہدایت 2 (پی ایس ڈی 2) ہے ، جو یورپ میں ای کامرس اور آن لائن مالیاتی خدمات کو باقاعدہ کرتی ہے اور دو فیکٹر تصدیق (2 ایف اے) کو لازمی قرار دیتی ہے۔ پی ایس ڈی 2 سیکیورٹی کارڈز ، موبائل ڈیوائسز ، اور بائیو میٹرک اسکینرز کے استعمال کو بھی سیکیورٹی پر سمجھوتہ کیے بغیر صارف کے تجربے کو بہتر بنانے کی ترغیب دیتا ہے۔

اور نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹکنالوجی (این آئی ایس ٹی) ، جو مختلف صنعتوں کے معیار کی وضاحت کرتا ہے ، اپنی ڈیجیٹل شناخت کی رہنما خطوط میں بیان کرتا ہے کہ تنظیموں کو پاس ورڈ اور ایک وقتی پاس کوڈ سے دور ہونا چاہئے اور جدید مضبوط تصدیق کو اپنانا چاہئے۔

میک ڈویل کا کہنا ہے کہ "خاص طور پر ، NIS اس توثیق کی سفارش کرتا ہے جس میں آپ کا جدید ڈیوائس آپ کے نئے اکاؤنٹ کی اسناد کے طور پر کریپٹوگرافک نجی کیز تشکیل دیتا ہے اور استعمال کرتا ہے اور اسی طرح محفوظ طریقے سے آپ کے ذاتی ڈیوائس میں اسٹور کرتا ہے ، اب زیادہ تر اسمارٹ فونز محفوظ طریقے سے آپ کے فنگر پرنٹ ڈیٹا کو محفوظ کرتے ہیں۔"

اس پر بحث ہے کہ آیا حکومتی ضابطہ بدعت کی راہ میں رکاوٹ یا حوصلہ افزائی کرے گا۔ لیکن اس مرحلے پر ، ہمیں زیادہ سے زیادہ محفوظ توثیق کے طریقہ کار کو اپنانے کی طرف ایک باقاعدہ دباؤ کی ضرورت ہوگی۔

ایرنس ورڈ کا کہنا ہے کہ "حکومتیں کھلے معیاروں کو اپنانے میں اہم کردار ادا کرسکتی ہیں۔ "مثال کے طور پر سیٹ بیلٹ پر ایک نظر ڈالیں۔ یہ بھی ایک کھلا معیار ہے ، اور اس کے استعمال کو حکومت نے باقاعدہ بنایا تھا۔ اسی وجہ سے ، آج سڑک پر 10 گنا زیادہ کاریں موجود ہیں لیکن ہلاکت خیز کار حادثات کی کم تعداد ہے۔ "

اسی صفحے پر آرہا ہے

صرف پاس ورڈ کی توثیق کو وسیع پیمانے پر تبدیل کرنا ضوابط سے زیادہ کی ضرورت ہے۔ معیاری پروٹوکول کے ایک سیٹ کے بغیر ، تنظیمیں اور کمپنیاں ایسی توثیق کرنے والی ٹکنالوجی تلاش کرنے کے لئے جدوجہد کریں گی جو ان کو صارفین کے لئے ان کی ایپلی کیشنز کی فراہمی کے دوران حفاظتی ضوابط کے مطابق رہتی ہے۔

یہی مسئلہ تھا جس کو حل کرنے کے لئے فیڈو مقرر کیا گیا تھا۔ FIDO کی توثیق مفت اور اوپن ٹکنالوجی معیاروں کے ایک سیٹ پر مبنی ہے ، جو ورلڈ وائڈ ویب کنسورشیم (W3C) کی شراکت میں تیار کی گئی ہے۔ اس کا مقصد یہ ہے کہ پوری کنزیومر الیکٹرانکس انڈسٹری کو ان کی مصنوعات اور پلیٹ فارم میں ٹیکنالوجی کو مربوط کرنے کے قابل بنا کر آلات اور خدمات کے مابین باہمی استقامت پیدا کریں۔

FIDO پاس ورڈز کو عوامی کلیدی خفیہ نگاری سے تبدیل کرتا ہے۔ اس کا مطلب یہ ہے کہ پاس ورڈ کے بجائے صارفین کو عوامی اور نجی کلیدوں کے جوڑے سے شناخت کیا جاتا ہے۔ کسی بھی عوامی کلید کے ساتھ خفیہ کردہ کسی بھی چیز کو اس کی نجی نجی کلید کے ذریعہ ہی ڈکرپٹ کیا جاسکتا ہے۔ جب صارف کسی آن لائن سروس کے ساتھ سائن اپ کرتا ہے جو FIDO تصدیق کی حمایت کرتا ہے تو ، خدمت ایک کلیدی جوڑی تیار کرتی ہے اور عوامی سرور کو اس کے سرورز پر اسٹور کرتی ہے۔ نجی کلید صرف صارف کے آلے پر محفوظ ہے۔ لاگ ان کرتے وقت ، کلائنٹ کی ایپلی کیشن کو عوامی کلید کے ذریعہ تیار کردہ ایک خفیہ چیلنج کے ساتھ پیش کیا جاتا ہے ، جو صرف نجی کلید کے ذریعہ ہی حل ہوسکتا ہے۔ صارفین کو اپنی نجی کلید کو غیر مقفل کرنے اور چیلنج کو حل کرنے کے ل their اپنے آلہ (فنگر پرنٹ ، چہرے یا پن کے ذریعے) سے اپنی شناخت کی تصدیق کرنی ہوگی۔

اس ماڈل کا فائدہ یہ ہے کہ یہ پاس ورڈز کے اسٹوریج اور تبادلے کی ضرورت کے بغیر ملٹی فیکٹر تصدیق فراہم کرتا ہے۔ یہاں تک کہ اگر ہیکرز سروس فراہم کرنے والے کے سرورز کی خلاف ورزی کرنے میں کامیاب ہوجاتے ہیں تو ، انہیں صرف عوامی چابیاں تک ہی رسائی حاصل ہوجائے گی ، جو صارفین کے آلات پر محفوظ نجی چابیاں کے بغیر بیکار ہیں۔ اگر ہیکرز کسی صارف کا آلہ چوری کرتے ہیں تو ، نجی کلید حاصل کرنے کے ل they انہیں مقامی شناختی توثیق کو نظرانداز کرنے کی ضرورت ہوگی۔ صارف کے نقطہ نظر سے ، یہ اعلی سیکیورٹی کی فراہمی کے دوران ہر اکاؤنٹ کے لئے لمبے ، پیچیدہ پاس ورڈ حفظ کرنے کی ضرورت کو مسترد کرتا ہے۔

لیکن فیڈو کی اس بڑی کامیابی کو ٹیک انڈسٹری کی جانب سے وسیع پیمانے پر پذیرائی مل رہی ہے۔ اس اتحاد نے گوگل ، مائیکروسافٹ ، ایمیزون ، اور انٹیل جیسے بڑے نام اکٹھے کیے ہیں تاکہ ان معیارات کو تیار کیا جاسکے جو مختلف ڈیوائس اقسام اور آپریٹنگ سسٹمز پر عملدرآمد کرنا آسان ہوں گے۔

"وہ کاروبار جو فیڈو الائنس کی تشکیل کے لئے اکٹھے ہوئے تھے وہ سمجھ گئے تھے کہ آن لائن تصدیق کے لئے پاس ورڈ کو تبدیل کرنا صرف آزاد اور آزادانہ ٹیکنالوجی کے معیار ، بہت زیادہ اعلی صارف کے تجربے ، اور سیکیورٹی ماڈل کے لئے بنیادی طور پر مختلف نقطہ نظر کے ذریعے پیمانے پر تجارتی طور پر قابل عمل ہوسکتا ہے۔ ، "میک ڈویل کہتے ہیں۔

فیڈو نے حال ہی میں ایف آئی ڈی او 2 جاری کیا ، جو اس کے معیار میں ایک توسیع ہے جس میں براؤزرز میں عوامی کلیدی تصدیق کے لئے اور اطلاق کے فریم ورک کی ایک وسیع رینج کی مدد شامل ہے۔ اس معیار کو ونڈوز 10 ، اینڈروئیڈ پر گوگل پلے سروسز ، اور کروم ، فائر فاکس ، اور ایج ویب براؤزر کے ذریعہ تعاون حاصل ہے۔ ایپل کے سفاری براؤزر کے پیچھے والی ویب سائٹ ، کٹ FIDO2 کے لئے بھی جلد مدد فراہم کرسکتی ہے۔

اہرنس ورڈ کا کہنا ہے ، "ایف آئی ڈی او 2 معیار مضبوط ہارڈ ویئر پر مبنی تصدیق کے ساتھ کمزور پاس ورڈ پر مبنی توثیق کو تبدیل کرنے کے قابل بناتا ہے جو عوامی کلیدی خفیہ نگاری کو استعمال کرتی ہے ،" اہرنس ورڈ کا کہنا ہے ، جس کی کمپنی یوبیکو فیڈو کے کلیدی ممبروں میں شامل ہے۔ "یہ معیاری متعدد فارموں میں بغیر پاس ورڈ کی توثیق کرنے کی اجازت دیتا ہے ، بشمول یو ایس بی اور ٹیپ اینڈ گو این ایف سی کے ذریعے ، جو صارف کا زیادہ سے زیادہ تجربہ فراہم کرتا ہے ، اور سیکیورٹی اور پیداواری صلاحیت کو یکسر بہتر بناتا ہے۔"

آخر پاس ورڈز کب ختم ہوں گے؟

اگرچہ اس صنعت نے تصدیقی متبادل کے طریقوں کو تیار کرنے کی طرف ایک طویل سفر طے کیا ہے ، لیکن پاس ورڈ راتوں رات ختم نہیں ہوں گے۔ "ہمیں اس بات کو ذہن میں رکھنا چاہئے کہ ہمارے پاس بہت سارے 'لیگیسی' سافٹ ویئر اور انفارمیشن سسٹم موجود ہیں۔ اسی وجہ سے یہ ہمیشہ ممکن نہیں ہے کہ آسانی کے ساتھ تصدیق کے قائم کردہ قواعد کو تبدیل کیا جائے جن میں پاس ورڈ پر مبنی ہیں۔

دوسرے ماہرین جیسے سینڈر پالفے ، لوگ منین کے سی ٹی او ، یقین رکھتے ہیں کہ صارف کی شناخت کے لئے پاس ورڈ ایک مرکزی پہلو رہے گا۔ ان کا یہ بھی ماننا ہے کہ صنعت کو پاس ورڈ کے تجربے کو بہتر بنانے پر توجہ دینی چاہئے۔

• 2019 کے لئے بہترین پاس ورڈ مینیجر۔ 2019 کے لئے بہترین پاس ورڈ مینیجر
• پاس ورڈ کیا ہے؟ کچھ میوزک چلائیں اور برین ویوز کے ذریعے لاگ ان ہوں پاس ورڈ کیا ہے؟ کچھ میوزک چلائیں اور برین ویوز کے ذریعے لاگ ان ہوں
• جعلی فحش ای میلز جو آپ کو نقد پہنچانے کے لئے پرانے پاس ورڈ کا استعمال کرتے ہیں جعلی فحش ای میلز آپ کو نقد رقم سے باہر دھوکہ دینے کے لئے پرانے پاس ورڈز کا استعمال کرتے ہیں۔

"جب تک ملٹی فیکٹر تصدیق (یا حتی کہ سلوک یا سیاق و سباق کی تصدیق) کے ساتھ آفاقی کوریج دستیاب نہ ہو ، کمپنیوں کو پوری تنظیم میں پاس ورڈ سے محفوظ خدمات کو مستحکم بنانے میں سرمایہ کاری کرنے کی ضرورت ہے۔"

"ہمارے تمام کام اور ذاتی اکاؤنٹس کے لئے انوکھے ، پیچیدہ پاس ورڈز کو یاد رکھنا قدرتی انسانی طرز عمل سے ہم آہنگ نہیں ہوتا۔ پاس ورڈ منیجر جیسے اوزار استعمال کرکے ، متعدد پاس ورڈز کو یاد رکھنا ماضی کی بات ہونی چاہئے ، صارفین کو صرف ایک ماسٹر پاس ورڈ یاد رکھنا پڑتا ہے ، "پالفے کہتے ہیں ، جس کی کمپنی لاسٹ پاس پاس ورڈ منیجر کی ڈویلپر ہے۔

لیکن میک ڈویل ، جو 2014 سے ایف آئی ڈی او کی نگرانی میں ہے ، پاس ورڈ کو جڑ سے اکھاڑ پھینکنے کی جدوجہد بالآخر اپنے آخری مراحل پر پہنچ رہا ہے۔ "آج پاس ورڈ لیس مستقبل حقیقت میں ایک وقت بنتا جا رہا ہے ، ایک وقت میں ایک ہی درخواست۔ کچھ سالوں کے اندر ، میں توقع کرتا ہوں کہ پاس ورڈ کے اندراج کے فارم ویب صفحات پر پائے جانے کے بارے میں اتنے ہی نادر ہوں گے کیونکہ آج کل عوامی ٹیلیفون بوتھ عوامی جگہوں پر ہیں ، اور اسی وجہ سے - ہمارے پاس ایک سرمایہ کاری مؤثر ، ہر جگہ متبادل ہے جو صارف کے تجربے کو بہتر تر پیش کرتا ہے۔