'شہد ورڈز' کا استعمال پاس ورڈ کریکرز کو بے نقاب کر سکتا ہے

زیادہ سے زیادہ صارفین کے ساتھ ان کے پاس ورڈز روزانہ کی بنیاد پر سمجھوتے ہیں، ایک جوڑی محققین نے اس خیال کو مسترد کر دیا ہے کہ وہ تنازعہ ڈیجیٹل کریڈٹیکشن کریکرز کو پھیلانے میں مدد کرے گی.

وہ ویب سائٹ کا پاسورڈ ڈیٹا بیس کو بہت سے جعلی پاس ورڈ کے ساتھ نمٹنے کا تجویز کرتے ہیں. "honeywords." کہا جاتا ہے پاس ورڈ کے ڈیٹا بیس میں پاسورڈز عام طور پر "دھوکہ" یا ان کی رازداری کی حفاظت کے لئے scrambled ہیں.

"ایک مخالف ہے جو دھوکہ پاس ورڈ کی ایک فائل کو چراغ اور ہین فنکشن کو بدلتا ہے یہ نہیں کہہ سکتا ہے کہ وہ پاسورڈ یا شائستہ لفظ ہے "آر ایس ایس لیبز اور ایم آئی ٹی کے پروفیسر رونالڈ ایل ریوسٹ کے آرری جیل ہنی ایڈیشن کے عنوان سے لکھے گئے کاغذ میں لکھے گئے ہیں: پاس ورڈ-کریکنگ کے پتہ لگانے والا قابل بنانا جو گزشتہ ہفتے جاری کیا گیا تھا.

[مزید پڑھنے: آپ کے ہوا سے میلویئر کو کیسے ہٹا دیں انہوں نے مزید کہا

یہ کیسے کام کرے گا

شبیہیں پاس ورڈ کے ساتھ نمٹنے والے ایک پاسورڈ بیس بیس ڈیٹا بیس سرور میں داخل کیا جائے گا خاص طور پر وقف کرنے کے لئے وقف کیا جائے گا درست پاس ورڈ اور شبیہیں کے درمیان. جب یہ ایک اکاؤنٹ میں لاگ ان کرنے کے لئے استعمال کیا جارہا ہے، تو یہ ایونٹ کے سائٹ ایڈمنسٹریٹر کو انتباہ کرے گا، جو اکاؤنٹس کو بند کر سکتا ہے.

ہائیرڈز کا استعمال کرتے ہوئے ہیکرز آپ کی ویب سائٹ کو توڑنے اور اپنے پاس ورڈوں کو چوری کرنے سے ہیکروں کو روکنے سے روک نہیں سکیں گے، لیکن یہ ویب سائٹ کے آپریٹرز کو خبردار کرے گا کہ خلاف ورزی ہو سکتی ہے.

"یہ بہت قیمتی ہے"، ریڈ7 میں سیکیورٹی انجینئرنگ کے سینئر مینیجر راس بارٹ نے پی ڈی ڈبلیو کو بتایا کہ خاص طور پر ان میں سے بہت سے لوگوں کو بے نقاب کرنے کے لۓ ماتحت ہے.

"ایک معاہدے کا پتہ لگانے کا اوسط وقت چھ ماہ ہے،" انہوں نے کہا، "اور وہ پچھلے سال سے بڑھ گیا ہے."

اگرچہ، ہیکرس کسی سائٹ سے جانتا تھا کہ شائقین اور اکاؤنٹس کا استعمال خود کار طریقے سے بند کر دیا جاتا ہے. جب ایک شائستہ لفظ استعمال کیا جاتا ہے تو، سائٹ پر شناختی سروس کے حملے کی تخلیق کرنے کے لئے ہاتھی ورڈز کو استعمال کیا جا سکتا ہے.

اس اسکیم نے حملہ آوروں کو ایک اور ممکنہ ہدف بھی فراہم کیا ہے. اگر چیکر اور ویب سائٹ کے سرور کے درمیان مواصلات رکاوٹ ہوئی تو، ویب سائٹ حادثہ ہوسکتی ہے.

شہد کو سمجھا جاتا ہے یہاں تک کہ اگر، اگرچہ، ایک ویب سائٹ کے آپریٹر اب بھی ان کے مقابلے میں honeywords کے ساتھ بہتر ہے، Barrett کا مقابلہ کیا.

انہوں نے کہا کہ "شاید شاید ان ہیکرز نے ان کی ویب سائٹ میں توڑنے کے لئے بہت مشکل تھا." انہوں نے کہا. "

جیلز اور ریوسٹ اپنے کاغذ میں سفارش کرتے ہیں کہ شہنیچر کمپیوٹر سے الگ ہوجائے. ایک ویب سائٹ چل رہی ہے.

"دو نظام مختلف انتظامی ڈومینز میں کئے جا سکتے ہیں، مختلف آپریٹنگ سسٹم چلاتے ہیں، اور اسی طرح،" انہوں نے لکھا.

شہد کوکر بھی ڈیزائن کیا جا سکتا ہے لہذا یہ براہ راست انٹرفیس نہیں ہے بیرٹ نے بتایا کہ انٹرنیٹ کے ساتھ، جو اس کو ہیک کرنے کے لئے حملہ آور کی صلاحیت کو بھی کم کرے گا.

مکمل فکس نہیں

ہیکرز کا پاس ورڈ ڈیٹا بیس چوری کرنے سے روکنے اور ان کے راز، تسلیم کرتے ہیں.

ایم آئی ٹی پروفیسر رونال ڈی ایل ریوسٹ

"تاہم،" وہ ان کے کاغذ میں شامل ہوتے ہیں، "ہاتھیڈز استعمال ہونے پر بڑا فرق یہ ہے کہ کامیاب برتن فورس کے پاس ورڈ بریک مخالف اعتماد نہیں دیتا ہے کہ وہ کامیاب اور ناقابل اعتماد میں لاگ ان کرسکتے ہیں."

"شہد کا استعمال کرتے ہوئے"، مصنفین نے کہا، "اس طرح کسی بھی شناخت کو کسی بھی خطرے میں ڈالنے کے لئے خطرے کی نشاندہی کرتا ہے جو بڑے پیمانے پر پاس ورڈ ہش کے سمجھوتہ کا پتہ لگانے کا سبب بن سکتا ہے … یا پھر شہد کے مالک کو سمجھنے کی کوشش کرنا اچھی طرح سے. "

محققین نے تسلیم کیا ہے کہ شائقین کو نیٹ پر صارف کی توثیق کے ساتھ مکمل طور پر تسلی بخش حل نہیں ہے کیونکہ اس منصوبہ میں پاس ورڈ کے ساتھ بہت سے مشہور مسائل اور" کچھ - تم جانتے ہیں "عام طور پر.

" بالآخر، "انہوں نے لکھا،" پاس ورڈ کو مضبوط اور زیادہ آسان تصدیق کے طریقوں کے ساتھ ضم کیا جانا چاہئے … یا مکمل تصدیق کے طریقوں کو مکمل طور پر راستہ دیں. "