सुरक्षा मार्गदर्शिका

कैसे जांचें कि पासवर्ड लीक हुआ है या नहीं

अविश्वसनीय वेबसाइटों पर वास्तविक पासवर्ड डाले बिना संभावित पासवर्ड लीक का जवाब देने के सुरक्षित तरीके जानें।

सारांश

यदि आपको संदेह है कि कोई पासवर्ड लीक हो गया है, तो सबसे सुरक्षित प्रतिक्रिया अक्सर इसे अज्ञात वेबसाइटों पर पेस्ट करने के बजाय बदलना होता है। लीक जांच तभी उपयोगी होती है जब सेवा में विश्वसनीय गोपनीयता डिज़ाइन हो और आप समझते हों कि क्या भेजा जा रहा है।

स्थानीय पैटर्न विश्लेषण के लिए पासवर्ड स्ट्रेंथ चेकर का उपयोग करें, लेकिन इसे ब्रीच डेटाबेस के रूप में न मानें।

पहले क्या करें

किसी विश्वसनीय डिवाइस से पासवर्ड बदलें। यदि वही पासवर्ड दोबारा इस्तेमाल किया गया था, तो सभी प्रभावित खातों को बदलें। ईमेल, बैंकिंग, काम, क्लाउड स्टोरेज और पासवर्ड मैनेजर रिकवरी खातों से शुरू करें।

खाते की स्थिति की समीक्षा करें

सक्रिय सत्रों को रद्द करें, रिकवरी ईमेल और फ़ोन सेटिंग्स जांचें, फ़ॉरवर्डिंग नियमों की समीक्षा करें, संदिग्ध ऐप एक्सेस हटाएं, और MFA या पासकी सक्षम करें।

विस्तृत मार्गदर्शन

यह मार्गदर्शिका यह जांचने पर केंद्रित है कि क्या कोई पासवर्ड लापरवाही से उजागर किए बिना ब्रीच में दिखाई दिया हो सकता है। यह उन उपयोगकर्ताओं के लिए लिखा गया है जिन्होंने किसी ब्रीच के बारे में सुना है और सुरक्षित रूप से प्रतिक्रिया देना चाहते हैं, इसलिए व्यावहारिक लक्ष्य कोई नाटकीय सुरक्षा दावा बनाना नहीं है। लक्ष्य एक पासवर्ड आदत चुनना है जो रोजमर्रा के उपयोग में टिक सके: साइन-इन फॉर्म, पासवर्ड मैनेजर, मोबाइल कीबोर्ड, खाता पुनर्प्राप्ति, साझा डिवाइस, और कभी-कभी अजीब वैलिडेशन नियमों वाली सेवाएं। एक सुरक्षित अनुशंसा तभी उपयोगी है जब कोई वास्तविक व्यक्ति इसे लगातार अपना सके।

सबसे सुरक्षित शुरुआती बिंदु यादृच्छिकता और विशिष्टता है। यादृच्छिकता का मतलब है कि मान क्रिप्टोग्राफिक रूप से उपयुक्त यादृच्छिक स्रोत द्वारा एक बड़े स्थान से चुना गया है, न कि जन्मदिन, पालतू जानवर के नाम, कीबोर्ड पैटर्न या पसंदीदा उद्धरण से आविष्कार किया गया। विशिष्टता का मतलब है कि वही पासवर्ड कहीं और उपयोग नहीं किया गया है। एक पासवर्ड जो लंबा है लेकिन पुन: उपयोग किया गया है, वह एक असंबंधित ब्रीच के बाद जल्दी विफल हो सकता है, जबकि एक अद्वितीय यादृच्छिक पासवर्ड नुकसान को केवल उसी खाते तक सीमित करता है जहां इसका उपयोग किया गया था।

इस विषय के लिए, एक व्यावहारिक प्रीसेट पहले स्थानीय पैटर्न विश्लेषण है, फिर जरूरत पड़ने पर विश्वसनीय ब्रीच-अलर्ट सेवाएं। आप उस प्रीसेट को पासवर्ड स्ट्रेंथ चेकर के साथ लागू कर सकते हैं और फिर अंतिम मान को एक विश्वसनीय पासवर्ड मैनेजर में स्टोर कर सकते हैं। PwdGen ब्राउज़र में Web Crypto के साथ स्थानीय रूप से मान उत्पन्न करता है; उत्पन्न पासवर्ड PwdGen सर्वर को नहीं भेजा जाता है। यह स्थानीय डिज़ाइन सर्वर-साइड एक्सपोज़र को कम करता है, लेकिन यह हर खतरे से रक्षा नहीं करता है। एक दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन, एक समझौता किया गया डिवाइस, एक फ़िशिंग पेज, या असुरक्षित क्लिपबोर्ड हैंडलिंग अभी भी उत्पन्न होने के बाद रहस्य को उजागर कर सकता है।

सबसे आम समस्याएं जिनसे बचना चाहिए, वे हैं अज्ञात वेबसाइटों पर वास्तविक पासवर्ड टाइप करना, लॉग में सटीक पासवर्ड खोजना, और यह मान लेना कि कोई परिणाम नहीं मिलने का मतलब कोई जोखिम नहीं है। ये समस्याएं मायने रखती हैं क्योंकि हमलावरों को शायद ही कभी हर संभावित पासवर्ड को ब्रूट-फोर्स करने की आवश्यकता होती है जब मानव आदतें उन्हें शॉर्टकट देती हैं। क्रेडेंशियल स्टफिंग, फ़िशिंग, लीक हुई पासवर्ड सूचियां, और खाता-पुनर्प्राप्ति दुरुपयोग अक्सर शुद्ध गणितीय खोज की तुलना में अधिक यथार्थवादी होते हैं। यही कारण है कि सबसे अच्छी सलाह पासवर्ड गुणवत्ता को MFA, पासकी, रिकवरी-कोड स्टोरेज, और रिकवरी ईमेल या फ़ोन सेटिंग्स की नियमित समीक्षा जैसे खाता-स्तरीय नियंत्रणों के साथ जोड़ती है।

अनुशंसा लागू करते समय इस चेकलिस्ट का उपयोग करें:

ब्रीच के बाद पुन: उपयोग किए गए पासवर्ड बदलें।
ईमेल और उच्च-मूल्य वाले खातों से शुरू करें।
केवल विश्वसनीय ब्रीच अधिसूचना उपकरणों का उपयोग करें।
संवेदनशील पासवर्ड को कभी भी यादृच्छिक पेजों पर पेस्ट न करें।

यदि कोई वेबसाइट आदर्श सेटिंग को अस्वीकार करती है, तो पासवर्ड को हाथ से कमजोर पैटर्न में मजबूर न करें। एक बार में एक चर समायोजित करें। यदि प्रतीकों को अस्वीकार कर दिया जाता है, तो अपरकेस, लोअरकेस और संख्याओं को सक्षम रखें और लंबाई बढ़ाएं। यदि अधिकतम लंबाई कम है, तो स्वीकृत सबसे बड़ी लंबाई का उपयोग करें और सुनिश्चित करें कि मान अद्वितीय है। यदि पासवर्ड को जोर से पढ़ा जाना है, मुद्रित किया जाना है, या टेलीविजन या राउटर स्क्रीन पर टाइप किया जाना है, तो भ्रमित करने वाले वर्णों को बाहर करने और छोटे वर्णमाला की भरपाई के लिए लंबाई बढ़ाने पर विचार करें।

अंत में, पासवर्ड सलाह की सीमा को याद रखें। एक मजबूत पासवर्ड रक्षा की एक परत है, गारंटी नहीं। यह फ़िशिंग पेज को सुरक्षित नहीं बना सकता, मैलवेयर को ठीक नहीं कर सकता, या क्रेडेंशियल्स को खराब तरीके से संग्रहीत करने वाली सेवा की भरपाई नहीं कर सकता। उपयोगी आदत उबाऊ लेकिन टिकाऊ है: एक अद्वितीय मान उत्पन्न करें, इसे सुरक्षित रूप से संग्रहीत करें, पुनर्प्राप्ति पथ की रक्षा करें, और यदि आपको एक्सपोज़र का संदेह हो तो इसे जल्दी से बदलें।

एक सुरक्षित अगला कदम

इस मार्गदर्शिका को पढ़ने के बाद, एक बार में सब कुछ ठीक करने की कोशिश करने के बजाय एक छोटा खाता ऑडिट करें। उस खाते को चुनें जो अगर ले लिया जाए तो सबसे अधिक परेशानी का कारण बनेगा, पुष्टि करें कि उसका पासवर्ड अद्वितीय है, और रिकवरी ईमेल, रिकवरी फ़ोन, MFA विधि और बैकअप-कोड स्टोरेज की जांच करें। यदि उस श्रृंखला का कोई भी हिस्सा कमजोर है, तो कम जोखिम वाले खातों पर जाने से पहले उस हिस्से में सुधार करें। यह क्रम काम को प्रबंधनीय रखता है और उन खातों की रक्षा करता है जिनका हमलावर सीढ़ी के रूप में उपयोग करने की सबसे अधिक संभावना रखते हैं। यह जांचने के लिए कि क्या पासवर्ड लीक हुआ है, सबसे अच्छा परिणाम एक दोहराने योग्य आदत है: स्थानीय रूप से उत्पन्न करें, सावधानी से संग्रहीत करें, और पुन: उपयोग से बचें।

अक्सर पूछे जाने वाले प्रश्न

क्या मुझे अपना पासवर्ड रैंडम लीक-चेक साइटों पर पेस्ट करना चाहिए?

नहीं। केवल स्पष्ट गोपनीयता डिज़ाइन वाली विश्वसनीय ब्रीच-चेक सेवाओं का उपयोग करें, या परीक्षण करने के बजाय पासवर्ड बदलें।

लीक के बाद मुझे क्या करना चाहिए?

प्रभावित पासवर्ड बदलें, पुन: उपयोग किए गए पासवर्ड बदलें, सत्र रद्द करें, रिकवरी सेटिंग्स की समीक्षा करें, और MFA सक्षम करें।

क्या PwdGen ब्रीच डेटाबेस की जांच कर सकता है?

नहीं। PwdGen स्थानीय ताकत और क्रैक-टाइम अनुमान प्रदान करता है, रिमोट ब्रीच-पासवर्ड लुकअप नहीं।

स्रोत

OWASP Credential Stuffing