پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > تصدیق اور پاس ورڈ کا کیا ہوگا؟ جیولین رپورٹ کا ترجمہ "مضبوط تصدیق کی حالت" تبصروں کے ساتھ

تصدیق اور پاس ورڈ کا کیا ہوگا؟ جیولین رپورٹ کا ترجمہ "مضبوط تصدیق کی حالت" تبصروں کے ساتھ

تصدیق اور پاس ورڈ کا کیا ہوگا؟ جیولین رپورٹ کا ترجمہ "مضبوط تصدیق کی حالت" تبصروں کے ساتھ

رپورٹ کے عنوان سے سپوئلر: "نئے خطرات اور ریگولیٹری تقاضوں کے خطرے کی وجہ سے مضبوط تصدیق کا استعمال بڑھتا ہے۔"
تحقیقی کمپنی "جیولین اسٹریٹیجی اینڈ ریسرچ" نے رپورٹ شائع کی "The State of Strong Authentication 2019" ( اصل پی ڈی ایف فارمیٹ میں یہاں سے ڈاؤن لوڈ کیا جا سکتا ہے۔)۔ یہ رپورٹ کہتی ہے: کتنے فیصد امریکی اور یورپی کمپنیاں پاس ورڈ استعمال کرتی ہیں (اور اب کیوں بہت کم لوگ پاس ورڈ استعمال کرتے ہیں)؛ کرپٹوگرافک ٹوکنز پر مبنی دو عنصر کی تصدیق کا استعمال اتنی تیزی سے کیوں بڑھ رہا ہے؟ ایس ایم ایس کے ذریعے بھیجے جانے والے ایک وقتی کوڈ کیوں محفوظ نہیں ہیں۔

انٹرپرائزز اور صارفین کی ایپلی کیشنز میں تصدیق کے حال، ماضی اور مستقبل میں دلچسپی رکھنے والا کوئی بھی شخص خوش آئند ہے۔

مترجم سے

افسوس کہ یہ رپورٹ جس زبان میں لکھی گئی ہے وہ بالکل ’’خشک‘‘ اور رسمی ہے۔ اور ایک مختصر جملے میں لفظ "تصدیق" کا پانچ بار استعمال مترجم کے ٹیڑھے ہاتھ (یا دماغ) نہیں بلکہ مصنفین کی خواہش ہے۔ دو اختیارات سے ترجمہ کرتے وقت - قارئین کو اصل کے قریب متن دینے کے لیے، یا اس سے زیادہ دلچسپ، میں نے کبھی پہلے کا انتخاب کیا اور کبھی دوسرا۔ لیکن صبر کریں، عزیز قارئین، رپورٹ کے مندرجات قابل قدر ہیں۔

کہانی کے لیے کچھ غیر اہم اور غیر ضروری ٹکڑوں کو ہٹا دیا گیا، ورنہ اکثریت پوری تحریر سے گزرنے کے قابل نہ ہوتی۔ جو لوگ اس رپورٹ کو پڑھنا چاہتے ہیں "uncut" لنک ​​پر عمل کر کے اصل زبان میں ایسا کر سکتے ہیں۔

بدقسمتی سے، مصنفین اصطلاحات کے ساتھ ہمیشہ محتاط نہیں رہتے ہیں۔ اس طرح، ایک وقتی پاس ورڈ (ون ٹائم پاس ورڈ - OTP) کو کبھی کبھی "پاس ورڈز"، اور کبھی "کوڈز" کہا جاتا ہے۔ توثیق کے طریقوں سے یہ اور بھی خراب ہے۔ غیر تربیت یافتہ قاری کے لیے یہ اندازہ لگانا ہمیشہ آسان نہیں ہوتا کہ "کرپٹوگرافک کیز کا استعمال کرتے ہوئے تصدیق" اور "مضبوط تصدیق" ایک ہی چیز ہیں۔ میں نے زیادہ سے زیادہ شرائط کو یکجا کرنے کی کوشش کی، اور رپورٹ میں ہی ان کی تفصیل کے ساتھ ایک ٹکڑا موجود ہے۔

بہر حال، رپورٹ کو پڑھنے کی انتہائی سفارش کی جاتی ہے کیونکہ اس میں تحقیق کے منفرد نتائج اور درست نتائج ہوتے ہیں۔

تمام اعداد و شمار اور حقائق معمولی تبدیلیوں کے بغیر پیش کیے گئے ہیں، اور اگر آپ ان سے متفق نہیں ہیں، تو بہتر ہے کہ مترجم سے نہیں بلکہ رپورٹ کے مصنفین سے بحث کی جائے۔ اور یہاں میرے تبصرے ہیں (کوٹیشن کے طور پر رکھے گئے ہیں، اور متن میں نشان زد ہیں۔ اطالوی) میرا قیمتی فیصلہ ہے اور مجھے ان میں سے ہر ایک پر بحث کرنے میں خوشی ہوگی (نیز ترجمہ کے معیار پر)۔

کا جائزہ لیں

آج کل، صارفین کے ساتھ مواصلات کے ڈیجیٹل چینلز کاروبار کے لیے پہلے سے کہیں زیادہ اہم ہیں۔ اور کمپنی کے اندر، ملازمین کے درمیان مواصلات پہلے سے کہیں زیادہ ڈیجیٹل طور پر مبنی ہیں۔ اور یہ تعاملات کتنے محفوظ ہوں گے اس کا انحصار صارف کی توثیق کے منتخب کردہ طریقہ پر ہے۔ حملہ آور صارف کے اکاؤنٹس کو بڑے پیمانے پر ہیک کرنے کے لیے کمزور تصدیق کا استعمال کرتے ہیں۔ جواب میں، ریگولیٹرز کاروباروں کو صارف کے اکاؤنٹس اور ڈیٹا کی بہتر حفاظت کے لیے مجبور کرنے کے لیے معیارات کو سخت کر رہے ہیں۔

تصدیق سے متعلق خطرات صارفین کی ایپلی کیشنز سے آگے بڑھتے ہیں؛ حملہ آور انٹرپرائز کے اندر چلنے والی ایپلیکیشنز تک بھی رسائی حاصل کر سکتے ہیں۔ یہ آپریشن انہیں کارپوریٹ صارفین کی نقالی کرنے کی اجازت دیتا ہے۔ کمزور تصدیق کے ساتھ رسائی پوائنٹس استعمال کرنے والے حملہ آور ڈیٹا چوری کر سکتے ہیں اور دیگر جعلی سرگرمیاں انجام دے سکتے ہیں۔ خوش قسمتی سے، اس سے نمٹنے کے لئے اقدامات موجود ہیں. مضبوط تصدیق سے حملہ آور کے حملے کے خطرے کو کم کرنے میں مدد ملے گی، دونوں صارفین کی ایپلی کیشنز اور انٹرپرائز بزنس سسٹمز پر۔

یہ مطالعہ اس بات کا جائزہ لیتا ہے: کس طرح انٹرپرائزز صارف کے اختتامی ایپلی کیشنز اور انٹرپرائز بزنس سسٹمز کی حفاظت کے لیے تصدیق کو لاگو کرتے ہیں۔ تصدیقی حل کا انتخاب کرتے وقت وہ جن عوامل پر غور کرتے ہیں۔ وہ کردار جو مضبوط تصدیق ان کی تنظیموں میں ادا کرتا ہے؛ ان اداروں کو ملنے والے فوائد۔

خلاصہ

اہم نتائج

2017 سے، مضبوط تصدیق کے استعمال میں تیزی سے اضافہ ہوا ہے۔ روایتی تصدیق کے حل کو متاثر کرنے والے خطرات کی بڑھتی ہوئی تعداد کے ساتھ، تنظیمیں مضبوط تصدیق کے ساتھ اپنی تصدیق کی صلاحیتوں کو مضبوط بنا رہی ہیں۔ کرپٹوگرافک ملٹی فیکٹر توثیق (MFA) استعمال کرنے والی تنظیموں کی تعداد صارفین کی ایپلی کیشنز کے لیے 2017 سے تین گنا بڑھ گئی ہے اور انٹرپرائز ایپلی کیشنز کے لیے تقریباً 50% اضافہ ہوا ہے۔ بائیو میٹرک تصدیق کی بڑھتی ہوئی دستیابی کی وجہ سے موبائل تصدیق میں سب سے تیزی سے اضافہ دیکھا گیا ہے۔

یہاں ہم اس کہاوت کی ایک مثال دیکھتے ہیں "جب تک گرج نہیں آتی، آدمی اپنے آپ کو پار نہیں کرے گا۔" جب ماہرین نے پاس ورڈز کی عدم تحفظ کے بارے میں خبردار کیا تو کوئی بھی دو عنصر کی توثیق کو لاگو کرنے کی جلدی میں نہیں تھا۔ جیسے ہی ہیکرز نے پاس ورڈ چرانا شروع کیا، لوگوں نے ٹو فیکٹر تصدیق کو لاگو کرنا شروع کر دیا۔

یہ سچ ہے کہ لوگ 2FA کو زیادہ فعال طور پر نافذ کر رہے ہیں۔ سب سے پہلے، ان کے لیے اسمارٹ فونز میں بنائے گئے بائیو میٹرک تصدیق پر بھروسہ کرکے اپنے خوف کو پرسکون کرنا آسان ہے، جو حقیقت میں بہت ہی ناقابل اعتبار ہے۔ تنظیموں کو ٹوکن کی خریداری پر پیسہ خرچ کرنے اور ان پر عمل درآمد کرنے کے لیے کام (حقیقت میں، بہت آسان) کرنے کی ضرورت ہے۔ اور دوسری بات، صرف سست لوگوں نے فیس بک اور ڈراپ باکس جیسی سروسز سے پاس ورڈ لیک ہونے کے بارے میں نہیں لکھا ہے، لیکن ان تنظیموں کے سی آئی او کسی بھی صورت میں تنظیموں میں پاس ورڈ چوری ہونے کے بارے میں کہانیاں شیئر نہیں کریں گے (اور آگے کیا ہوا)۔

جو لوگ مضبوط تصدیق کا استعمال نہیں کرتے ہیں وہ اپنے کاروبار اور صارفین کے لیے اپنے خطرے کو کم کر رہے ہیں۔ کچھ تنظیمیں جو فی الحال مضبوط توثیق کا استعمال نہیں کرتی ہیں لاگ ان اور پاس ورڈز کو صارف کی توثیق کے سب سے مؤثر اور استعمال میں آسان طریقوں میں سے ایک کے طور پر دیکھتے ہیں۔ دوسروں کو اپنے ڈیجیٹل اثاثوں کی قدر نظر نہیں آتی۔ سب کے بعد، یہ قابل غور ہے کہ سائبر کرائمین کسی بھی صارف اور کاروباری معلومات میں دلچسپی رکھتے ہیں. دو تہائی کمپنیاں جو اپنے ملازمین کی توثیق کرنے کے لیے صرف پاس ورڈ استعمال کرتی ہیں ایسا کرتی ہیں کیونکہ ان کا خیال ہے کہ پاس ورڈ اس قسم کی معلومات کے لیے کافی اچھے ہیں جس کی وہ حفاظت کرتے ہیں۔

تاہم، پاس ورڈ قبر کے راستے پر ہیں. صارفین اور انٹرپرائز ایپلی کیشنز دونوں کے لیے پاس ورڈ پر انحصار میں نمایاں کمی آئی ہے (بالترتیب 44% سے 31% اور 56% سے 47% تک) کیونکہ تنظیمیں روایتی MFA اور مضبوط تصدیق کے اپنے استعمال میں اضافہ کرتی ہیں۔
لیکن اگر ہم مجموعی طور پر صورتحال کو دیکھیں تو تصدیق کے کمزور طریقے اب بھی غالب ہیں۔ صارف کی تصدیق کے لیے، تقریباً ایک چوتھائی تنظیمیں سیکیورٹی سوالات کے ساتھ SMS OTP (ون ٹائم پاس ورڈ) کا استعمال کرتی ہیں۔ نتیجے کے طور پر، خطرات سے بچانے کے لیے اضافی حفاظتی اقدامات کو لاگو کیا جانا چاہیے، جس سے اخراجات بڑھ جاتے ہیں۔ بہت زیادہ محفوظ تصدیقی طریقوں کا استعمال، جیسے کہ ہارڈویئر کرپٹوگرافک کیز، تقریباً 5% تنظیموں میں بہت کم استعمال ہوتا ہے۔

ابھرتا ہوا ریگولیٹری ماحول صارفین کی ایپلی کیشنز کے لیے مضبوط تصدیق کو اپنانے میں تیزی لانے کا وعدہ کرتا ہے۔ PSD2 کے متعارف ہونے کے ساتھ ساتھ EU اور کئی امریکی ریاستوں جیسے کیلیفورنیا میں ڈیٹا پروٹیکشن کے نئے قوانین، کمپنیاں گرمی محسوس کر رہی ہیں۔ تقریباً 70% کمپنیاں متفق ہیں کہ انہیں اپنے صارفین کو مضبوط تصدیق فراہم کرنے کے لیے سخت ریگولیٹری دباؤ کا سامنا ہے۔ نصف سے زیادہ کاروباری اداروں کا خیال ہے کہ چند سالوں میں ان کے تصدیقی طریقے ریگولیٹری معیارات پر پورا اترنے کے لیے کافی نہیں ہوں گے۔

پروگراموں اور خدمات کے صارفین کے ذاتی ڈیٹا کے تحفظ کے لیے روسی اور امریکی-یورپی قانون سازوں کے نقطہ نظر میں فرق واضح طور پر نظر آتا ہے۔ روسی کہتے ہیں: پیارے سروس مالکان، آپ جو چاہیں اور جس طرح چاہیں کریں، لیکن اگر آپ کا ایڈمن ڈیٹا بیس کو ضم کرتا ہے تو ہم آپ کو سزا دیں گے۔ وہ بیرون ملک کہتے ہیں: آپ کو اقدامات کا ایک مجموعہ نافذ کرنا ہوگا۔ اجازت نہیں دیں گے۔ بنیاد کو نالی. یہی وجہ ہے کہ وہاں سخت دو عنصری تصدیق کے تقاضے لاگو کیے جا رہے ہیں۔
سچ ہے، یہ حقیقت سے بعید ہے کہ ہماری قانون ساز مشین ایک دن اپنے ہوش میں نہیں آئے گی اور مغربی تجربے کو مدنظر نہیں رکھے گی۔ پھر یہ پتہ چلتا ہے کہ ہر ایک کو 2FA کو نافذ کرنے کی ضرورت ہے، جو روسی کرپٹوگرافک معیارات کے مطابق ہے، اور فوری طور پر۔

ایک مضبوط تصدیقی فریم ورک کا قیام کمپنیوں کو اپنی توجہ ریگولیٹری ضروریات کو پورا کرنے سے کسٹمر کی ضروریات کو پورا کرنے کی طرف منتقل کرنے کی اجازت دیتا ہے۔ ان تنظیموں کے لیے جو اب بھی سادہ پاس ورڈ استعمال کر رہی ہیں یا SMS کے ذریعے کوڈ وصول کر رہی ہیں، توثیق کا طریقہ منتخب کرتے وقت سب سے اہم عنصر ریگولیٹری تقاضوں کی تعمیل ہو گی۔ لیکن وہ کمپنیاں جو پہلے سے ہی مضبوط تصدیق کا استعمال کرتی ہیں وہ ان تصدیقی طریقوں کو منتخب کرنے پر توجہ مرکوز کر سکتی ہیں جو گاہک کی وفاداری میں اضافہ کرتے ہیں۔

کسی انٹرپرائز کے اندر کارپوریٹ تصدیق کے طریقہ کار کا انتخاب کرتے وقت، ریگولیٹری تقاضے اب کوئی اہم عنصر نہیں ہیں۔ اس صورت میں، انضمام کی آسانی (32%) اور لاگت (26%) بہت زیادہ اہم ہیں۔

فشنگ کے دور میں، حملہ آور گھوٹالے کے لیے کارپوریٹ ای میل کا استعمال کر سکتے ہیں۔ دھوکہ دہی سے ڈیٹا، اکاؤنٹس تک رسائی حاصل کرنے کے لیے (مناسب رسائی کے حقوق کے ساتھ)، اور یہاں تک کہ ملازمین کو اپنے اکاؤنٹ میں رقم کی منتقلی پر راضی کرنے کے لیے۔ اس لیے، کارپوریٹ ای میل اور پورٹل اکاؤنٹس کو خاص طور پر اچھی طرح سے محفوظ کیا جانا چاہیے۔

گوگل نے مضبوط تصدیق نافذ کرکے اپنی سیکیورٹی کو مضبوط کیا ہے۔ دو سال سے زیادہ پہلے، گوگل نے FIDO U2F معیار کا استعمال کرتے ہوئے کرپٹوگرافک سیکیورٹی کیز پر مبنی دو فیکٹر تصدیق کے نفاذ کے بارے میں ایک رپورٹ شائع کی تھی، جس میں متاثر کن نتائج کی اطلاع دی گئی تھی۔ کمپنی کے مطابق، 85 سے زائد ملازمین کے خلاف ایک بھی فشنگ حملہ نہیں کیا گیا۔

سفارشات

موبائل اور آن لائن ایپلیکیشنز کے لیے مضبوط تصدیق کو نافذ کریں۔ کرپٹوگرافک کیز پر مبنی ملٹی فیکٹر توثیق روایتی MFA طریقوں کے مقابلے ہیکنگ کے خلاف بہت بہتر تحفظ فراہم کرتی ہے۔ اس کے علاوہ، کرپٹوگرافک کیز کا استعمال بہت زیادہ آسان ہے کیونکہ اضافی معلومات استعمال کرنے اور منتقل کرنے کی ضرورت نہیں ہے - پاس ورڈز، ایک بار کے پاس ورڈز یا بائیو میٹرک ڈیٹا کو صارف کے آلے سے تصدیقی سرور پر۔ مزید برآں، تصدیقی پروٹوکول کو معیاری بنانا تصدیق کے نئے طریقوں کو لاگو کرنا بہت آسان بناتا ہے کیونکہ وہ دستیاب ہوتے ہیں، عمل درآمد کے اخراجات کو کم کرتے ہیں اور مزید جدید ترین فراڈ سکیموں سے تحفظ فراہم کرتے ہیں۔

ون ٹائم پاس ورڈز (OTP) کے خاتمے کی تیاری کریں۔ OTPs میں موروثی کمزوریاں تیزی سے ظاہر ہوتی جارہی ہیں کیونکہ سائبر جرائم پیشہ افراد تصدیق کے ان ذرائع سے سمجھوتہ کرنے کے لیے سوشل انجینئرنگ، اسمارٹ فون کلوننگ اور مالویئر کا استعمال کرتے ہیں۔ اور اگر کچھ معاملات میں OTPs کے کچھ فوائد ہیں، تو صرف تمام صارفین کے لیے آفاقی دستیابی کے نقطہ نظر سے، لیکن سیکورٹی کے نقطہ نظر سے نہیں۔

یہ دیکھنا ناممکن ہے کہ ایس ایم ایس یا پش نوٹیفیکیشنز کے ذریعے کوڈز وصول کرنے کے ساتھ ساتھ اسمارٹ فونز کے لیے پروگرام استعمال کرتے ہوئے کوڈز تیار کرنا انہی ون ٹائم پاس ورڈز (OTP) کا استعمال ہے جن کے لیے ہمیں کمی کے لیے تیار رہنے کو کہا جاتا ہے۔ تکنیکی نقطہ نظر سے، حل بہت درست ہے، کیونکہ یہ ایک نایاب دھوکہ باز ہے جو کسی غلط صارف سے ون ٹائم پاس ورڈ معلوم کرنے کی کوشش نہیں کرتا۔ لیکن مجھے لگتا ہے کہ اس طرح کے سسٹمز بنانے والے آخری وقت تک مرنے والی ٹیکنالوجی سے چمٹے رہیں گے۔

کسٹمر کے اعتماد کو بڑھانے کے لیے مارکیٹنگ ٹول کے طور پر مضبوط تصدیق کا استعمال کریں۔ مضبوط توثیق آپ کے کاروبار کی اصل سیکورٹی کو بہتر بنانے کے علاوہ بھی بہت کچھ کر سکتی ہے۔ گاہکوں کو مطلع کرنا کہ آپ کا کاروبار مضبوط توثیق کا استعمال کرتا ہے اس کاروبار کی حفاظت کے بارے میں عوامی تاثر کو مضبوط بنا سکتا ہے- ایک اہم عنصر جب مضبوط تصدیقی طریقوں کے لیے گاہک کی اہم مانگ ہوتی ہے۔

کارپوریٹ ڈیٹا کی مکمل انوینٹری اور تنقیدی تشخیص کریں اور اہمیت کے مطابق اس کی حفاظت کریں۔ یہاں تک کہ کم خطرہ والے ڈیٹا جیسے کہ کسٹمر سے رابطہ کی معلومات (نہیں، واقعی، رپورٹ میں کہا گیا ہے کہ "کم خطرہ"، یہ بہت عجیب بات ہے کہ وہ اس معلومات کی اہمیت کو کم سمجھتے ہیں)، دھوکہ دہی کرنے والوں کے لیے اہم قیمت لا سکتا ہے اور کمپنی کے لیے مسائل پیدا کر سکتا ہے۔

مضبوط انٹرپرائز کی توثیق کا استعمال کریں۔ کئی نظام مجرموں کے لیے سب سے زیادہ پرکشش ہدف ہیں۔ ان میں اندرونی اور انٹرنیٹ سے منسلک نظام جیسے اکاؤنٹنگ پروگرام یا کارپوریٹ ڈیٹا گودام شامل ہیں۔ مضبوط تصدیق حملہ آوروں کو غیر مجاز رسائی حاصل کرنے سے روکتی ہے، اور یہ بھی درست طریقے سے تعین کرنا ممکن بناتی ہے کہ کس ملازم نے بدنیتی پر مبنی سرگرمی کا ارتکاب کیا ہے۔

مضبوط توثیق کیا ہے؟

مضبوط تصدیق کا استعمال کرتے وقت، صارف کی صداقت کی تصدیق کے لیے کئی طریقے یا عوامل استعمال کیے جاتے ہیں:

  • علم کا عنصر: صارف اور صارف کے مستند موضوع کے درمیان مشترکہ راز (جیسے پاس ورڈ، سیکورٹی سوالات کے جوابات وغیرہ)
  • ملکیت کا عنصر: ایک آلہ جو صرف صارف کے پاس ہے (مثال کے طور پر، ایک موبائل ڈیوائس، ایک خفیہ کلید، وغیرہ)
  • سالمیت کا عنصر: صارف کی جسمانی (اکثر بائیو میٹرک) خصوصیات (مثال کے طور پر، فنگر پرنٹ، ایرس پیٹرن، آواز، سلوک، وغیرہ)

متعدد عوامل کو ہیک کرنے کی ضرورت حملہ آوروں کے لیے ناکامی کے امکانات کو بہت زیادہ بڑھا دیتی ہے، کیونکہ مختلف عوامل کو نظرانداز کرنے یا دھوکہ دینے کے لیے ہر ایک عنصر کے لیے الگ الگ ہیکنگ کے متعدد طریقے استعمال کرنے کی ضرورت ہوتی ہے۔

مثال کے طور پر، 2FA "پاس ورڈ + اسمارٹ فون" کے ساتھ، حملہ آور صارف کے پاس ورڈ کو دیکھ کر اور اپنے اسمارٹ فون کی درست سافٹ ویئر کاپی بنا کر تصدیق کر سکتا ہے۔ اور یہ صرف پاس ورڈ چوری کرنے سے کہیں زیادہ مشکل ہے۔

لیکن اگر 2FA کے لیے پاس ورڈ اور ایک کرپٹوگرافک ٹوکن استعمال کیا جاتا ہے، تو کاپی کرنے کا آپشن یہاں کام نہیں کرتا ہے - ٹوکن کو ڈپلیکیٹ کرنا ناممکن ہے۔ دھوکہ باز کو چوری چھپے صارف سے ٹوکن چوری کرنے کی ضرورت ہوگی۔ اگر صارف نے بروقت نقصان کا نوٹس لیا اور منتظم کو مطلع کیا تو ٹوکن بلاک کر دیا جائے گا اور دھوکہ باز کی کوششیں رائیگاں جائیں گی۔ یہی وجہ ہے کہ ملکیت کے عنصر کو عام مقصد کے آلات (اسمارٹ فونز) کے بجائے خصوصی محفوظ آلات (ٹوکن) کے استعمال کی ضرورت ہوتی ہے۔

تینوں عوامل کا استعمال اس تصدیق کے طریقہ کار کو لاگو کرنے میں کافی مہنگا اور استعمال کرنے میں کافی تکلیف دہ بنا دے گا۔ لہذا، عام طور پر تین میں سے دو عوامل استعمال ہوتے ہیں۔

دو عنصر کی توثیق کے اصولوں کو مزید تفصیل سے بیان کیا گیا ہے۔ یہاں، "دو عنصر کی توثیق کیسے کام کرتی ہے" بلاک میں۔

یہ نوٹ کرنا ضروری ہے کہ مضبوط تصدیق میں استعمال ہونے والے تصدیقی عوامل میں سے کم از کم ایک کو عوامی کلید کی خفیہ نگاری کا استعمال کرنا چاہیے۔

مضبوط توثیق کلاسک پاس ورڈز اور روایتی MFA پر مبنی سنگل فیکٹر توثیق سے کہیں زیادہ مضبوط تحفظ فراہم کرتی ہے۔ کی لاگرز، فشنگ سائٹس، یا سوشل انجینئرنگ کے حملوں (جہاں شکار کو اپنا پاس ورڈ ظاہر کرنے کے لیے دھوکہ دیا جاتا ہے) کا استعمال کرتے ہوئے پاس ورڈز کی جاسوسی کی جا سکتی ہے یا اسے روکا جا سکتا ہے۔ مزید یہ کہ پاس ورڈ کے مالک کو چوری کے بارے میں کچھ معلوم نہیں ہوگا۔ روایتی ایم ایف اے (بشمول او ٹی پی کوڈز، اسمارٹ فون یا سم کارڈ کے پابند) کو بھی آسانی سے ہیک کیا جا سکتا ہے، کیونکہ یہ عوامی کلیدی خفیہ نگاری پر مبنی نہیں ہے۔ویسے، ایسی بہت سی مثالیں ہیں جب، سوشل انجینئرنگ کی انہی تکنیکوں کا استعمال کرتے ہوئے، سکیمرز نے صارفین کو ون ٹائم پاس ورڈ دینے پر آمادہ کیا۔).

خوش قسمتی سے، مضبوط تصدیق اور روایتی MFA کا استعمال گزشتہ سال سے صارفین اور انٹرپرائز دونوں ایپلی کیشنز میں کرشن حاصل کر رہا ہے۔ صارفین کی ایپلی کیشنز میں مضبوط تصدیق کے استعمال میں خاص طور پر تیزی سے اضافہ ہوا ہے۔ اگر 2017 میں صرف 5% کمپنیوں نے اسے استعمال کیا تو 2018 میں یہ پہلے سے ہی تین گنا زیادہ تھا - 16%۔ اس کی وضاحت ٹوکنز کی بڑھتی ہوئی دستیابی سے کی جا سکتی ہے جو پبلک کی کرپٹوگرافی (PKC) الگورتھم کو سپورٹ کرتے ہیں۔ اس کے علاوہ، PSD2 اور GDPR جیسے ڈیٹا پروٹیکشن کے نئے قوانین کو اپنانے کے بعد یورپی ریگولیٹرز کی طرف سے بڑھتے ہوئے دباؤ کا یورپ سے باہر بھی مضبوط اثر پڑا ہے (روس سمیت).

تصدیق اور پاس ورڈ کا کیا ہوگا؟ جیولین رپورٹ کا ترجمہ "مضبوط تصدیق کی حالت" تبصروں کے ساتھ

آئیے ان نمبروں پر گہری نظر ڈالیں۔ جیسا کہ ہم دیکھ سکتے ہیں، ملٹی فیکٹر توثیق کا استعمال کرنے والے نجی افراد کی فیصد میں سال بھر میں 11 فیصد کا متاثر کن اضافہ ہوا ہے۔ اور یہ واضح طور پر پاس ورڈ سے محبت کرنے والوں کی قیمت پر ہوا، کیونکہ پش نوٹیفیکیشن، ایس ایم ایس اور بائیو میٹرکس کی حفاظت پر یقین رکھنے والوں کی تعداد میں کوئی تبدیلی نہیں آئی ہے۔

لیکن کارپوریٹ استعمال کے لیے دو عنصر کی توثیق کے ساتھ، چیزیں اتنی اچھی نہیں ہیں۔ سب سے پہلے، رپورٹ کے مطابق، صرف 5% ملازمین کو پاس ورڈ کی تصدیق سے ٹوکن پر منتقل کیا گیا تھا۔ اور دوسری بات، کارپوریٹ ماحول میں متبادل MFA آپشنز استعمال کرنے والوں کی تعداد میں 4% اضافہ ہوا ہے۔

میں تجزیہ کار کا کردار ادا کرنے اور اپنی تشریح دینے کی کوشش کروں گا۔ انفرادی صارفین کی ڈیجیٹل دنیا کے مرکز میں اسمارٹ فون ہے۔ لہذا، یہ کوئی تعجب کی بات نہیں ہے کہ اکثریت ان صلاحیتوں کو استعمال کرتی ہے جو ڈیوائس انہیں فراہم کرتی ہے - بائیو میٹرک تصدیق، ایس ایم ایس اور پش نوٹیفیکیشنز، نیز اسمارٹ فون پر ہی ایپلی کیشنز کے ذریعہ تیار کردہ ایک وقتی پاس ورڈ۔ لوگ عام طور پر ان ٹولز کا استعمال کرتے وقت حفاظت اور بھروسے کے بارے میں نہیں سوچتے جن کے وہ استعمال ہوتے ہیں۔

یہی وجہ ہے کہ قدیم "روایتی" تصدیقی عوامل کے استعمال کنندگان کی فیصد میں کوئی تبدیلی نہیں ہوئی ہے۔ لیکن وہ لوگ جنہوں نے پہلے پاس ورڈز استعمال کیے ہیں وہ سمجھتے ہیں کہ وہ کتنا خطرہ مول لے رہے ہیں، اور نئے تصدیقی عنصر کا انتخاب کرتے وقت، وہ جدید ترین اور محفوظ ترین آپشن کا انتخاب کرتے ہیں - ایک کرپٹوگرافک ٹوکن۔

جہاں تک کارپوریٹ مارکیٹ کا تعلق ہے، یہ سمجھنا ضروری ہے کہ کس سسٹم میں تصدیق کی جاتی ہے۔ اگر ونڈوز ڈومین میں لاگ ان لاگو کیا جاتا ہے، تو پھر کرپٹوگرافک ٹوکن استعمال کیے جاتے ہیں۔ انہیں 2FA کے لیے استعمال کرنے کے امکانات پہلے ہی ونڈوز اور لینکس دونوں میں بنائے گئے ہیں، لیکن متبادل اختیارات طویل اور لاگو کرنا مشکل ہیں۔ پاس ورڈز سے ٹوکنز میں 5% کی منتقلی کے لیے اتنا زیادہ۔

اور کارپوریٹ انفارمیشن سسٹم میں 2FA کا نفاذ بہت زیادہ ڈویلپرز کی قابلیت پر منحصر ہے۔ اور ڈویلپرز کے لیے کرپٹوگرافک الگورتھم کے عمل کو سمجھنے کے مقابلے میں ایک وقتی پاس ورڈ بنانے کے لیے ریڈی میڈ ماڈیول لینا بہت آسان ہے۔ اور اس کے نتیجے میں، یہاں تک کہ ناقابل یقین حد تک سیکورٹی کے لیے اہم ایپلی کیشنز جیسے سنگل سائن آن یا مراعات یافتہ رسائی مینجمنٹ سسٹم OTP کو دوسرے عنصر کے طور پر استعمال کرتے ہیں۔

روایتی توثیق کے طریقوں میں بہت سے خطرات

اگرچہ بہت سی تنظیمیں میراثی سنگل فیکٹر سسٹم پر انحصار کرتی ہیں، روایتی ملٹی فیکٹر کی توثیق میں کمزوریاں تیزی سے ظاہر ہوتی جا رہی ہیں۔ ایک وقتی پاس ورڈ، عام طور پر چھ سے آٹھ حروف کی لمبائی، SMS کے ذریعے ڈیلیور کی جاتی ہے، تصدیق کی سب سے عام شکل بنی ہوئی ہے (یقینا پاس ورڈ عنصر کے علاوہ)۔ اور جب مقبول پریس میں الفاظ "ٹو فیکٹر توثیق" یا "دو قدمی تصدیق" کا ذکر کیا جاتا ہے، تو وہ تقریباً ہمیشہ ایس ایم ایس ون ٹائم پاس ورڈ کی توثیق کا حوالہ دیتے ہیں۔

یہاں مصنف کی تھوڑی سی غلطی ہے۔ ایس ایم ایس کے ذریعے ایک وقتی پاس ورڈ کی فراہمی کبھی بھی دو عنصر کی تصدیق نہیں رہی۔ یہ اپنی خالص ترین شکل میں دو قدمی توثیق کا دوسرا مرحلہ ہے، جہاں پہلا مرحلہ آپ کا لاگ ان اور پاس ورڈ درج کرنا ہے۔

2016 میں، نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) نے ایس ایم ایس کے ذریعے بھیجے گئے ون ٹائم پاس ورڈز کے استعمال کو ختم کرنے کے لیے اپنے تصدیقی اصولوں کو اپ ڈیٹ کیا۔ تاہم، صنعت کے احتجاج کے بعد ان قوانین میں نمایاں طور پر نرمی کی گئی۔

تو آئیے پلاٹ کی پیروی کریں۔ امریکی ریگولیٹر بجا طور پر تسلیم کرتا ہے کہ فرسودہ ٹیکنالوجی صارف کی حفاظت کو یقینی بنانے کے قابل نہیں ہے اور نئے معیارات متعارف کروا رہی ہے۔ آن لائن اور موبائل ایپلیکیشنز (بشمول بینکنگ ایپلی کیشنز) کے صارفین کی حفاظت کے لیے بنائے گئے معیارات۔ انڈسٹری اس بات کا حساب لگا رہی ہے کہ اسے واقعی قابل بھروسہ کرپٹوگرافک ٹوکن خریدنے، ایپلیکیشنز کو دوبارہ ڈیزائن کرنے، عوامی کلیدی انفراسٹرکچر کی تعیناتی، اور "اپنی پچھلی ٹانگوں پر اٹھنے" پر کتنا پیسہ خرچ کرنا پڑے گا۔ ایک طرف، صارفین ون ٹائم پاس ورڈز کے قابل اعتماد ہونے کے قائل تھے، اور دوسری طرف، NIST پر حملے ہو رہے تھے۔ نتیجے کے طور پر، معیار کو نرم کیا گیا تھا، اور ہیک اور پاس ورڈ کی چوری (اور بینکنگ ایپلی کیشنز سے رقم) کی تعداد میں تیزی سے اضافہ ہوا. لیکن صنعت کو پیسہ نکالنے کی ضرورت نہیں تھی۔

تب سے، SMS OTP کی موروثی کمزوریاں زیادہ واضح ہو گئی ہیں۔ دھوکہ باز ایس ایم ایس پیغامات سے سمجھوتہ کرنے کے لیے مختلف طریقے استعمال کرتے ہیں:

  • سم کارڈ کی نقل۔ حملہ آور سم کی کاپی بناتے ہیں۔ (موبائل آپریٹر کے ملازمین کی مدد سے، یا آزادانہ طور پر، خصوصی سافٹ ویئر اور ہارڈ ویئر کا استعمال کرتے ہوئے)۔ نتیجے کے طور پر، حملہ آور کو ایک وقتی پاس ورڈ کے ساتھ ایک SMS موصول ہوتا ہے۔ ایک خاص طور پر مشہور کیس میں، ہیکرز یہاں تک کہ کرپٹو کرنسی کے سرمایہ کار مائیکل ٹرپین کے AT&T اکاؤنٹ سے سمجھوتہ کرنے میں کامیاب ہو گئے، اور تقریباً $24 ملین کرپٹو کرنسی چوری کر لیے۔ نتیجے کے طور پر، Turpin نے کہا کہ AT&T کی غلطی تصدیق کے کمزور اقدامات کی وجہ سے تھی جس کی وجہ سے سم کارڈ کی نقل تیار ہوئی۔

    حیرت انگیز منطق۔ تو یہ واقعی صرف AT&T کی غلطی ہے؟ نہیں، یہ بلاشبہ موبائل آپریٹر کا قصور ہے کہ کمیونیکیشن اسٹور میں سیلز والوں نے ڈپلیکیٹ سم کارڈ جاری کیا۔ کرپٹو کرنسی ایکسچینج کے تصدیقی نظام کے بارے میں کیا خیال ہے؟ انہوں نے مضبوط کرپٹوگرافک ٹوکنز کا استعمال کیوں نہیں کیا؟ کیا عمل درآمد پر پیسہ خرچ کرنا افسوسناک تھا؟ کیا مائیکل خود قصوروار نہیں ہے؟ اس نے تصدیق کے طریقہ کار کو تبدیل کرنے پر اصرار کیوں نہیں کیا یا صرف ان تبادلوں کا استعمال کیوں نہیں کیا جو کرپٹوگرافک ٹوکنز کی بنیاد پر دو عنصر کی تصدیق کو نافذ کرتے ہیں؟

    صحیح معنوں میں توثیق کے معتبر طریقوں کے تعارف میں خاصی تاخیر ہوئی ہے کیونکہ صارفین ہیک کرنے سے پہلے حیرت انگیز لاپرواہی کا مظاہرہ کرتے ہیں، اور اس کے بعد وہ اپنی پریشانیوں کا الزام کسی پر اور قدیم اور "لیکی" تصدیقی ٹیکنالوجی کے علاوہ کسی اور چیز پر ڈال دیتے ہیں۔

  • مالویئر موبائل میلویئر کے ابتدائی کاموں میں سے ایک حملہ آوروں کو ٹیکسٹ پیغامات کو روکنا اور آگے بڑھانا تھا۔ اس کے علاوہ، مین-ان-دی-براؤزر اور مین-ان-دی مڈل حملے ایک بار کے پاس ورڈ کو روک سکتے ہیں جب وہ متاثرہ لیپ ٹاپ یا ڈیسک ٹاپ ڈیوائسز پر داخل ہوتے ہیں۔

    جب آپ کے سمارٹ فون پر Sberbank ایپلیکیشن اسٹیٹس بار میں ایک سبز آئیکن کو جھپکتی ہے، تو یہ آپ کے فون پر "مال ویئر" بھی تلاش کرتی ہے۔ اس ایونٹ کا مقصد ایک عام سمارٹ فون کے قابل اعتماد ماحول کو، کم از کم کسی طرح سے، ایک قابل اعتماد میں تبدیل کرنا ہے۔
    ویسے، ایک اسمارٹ فون، ایک مکمل طور پر ناقابل اعتماد ڈیوائس کے طور پر جس پر کچھ بھی کیا جا سکتا ہے، اسے تصدیق کے لیے استعمال کرنے کی ایک اور وجہ ہے۔ صرف ہارڈ ویئر ٹوکنجو کہ محفوظ ہیں اور وائرس اور ٹروجن سے پاک ہیں۔

  • معاشرتی انجینرنگ. جب دھوکہ بازوں کو معلوم ہوتا ہے کہ کسی شکار کے پاس SMS کے ذریعے OTPs فعال ہیں، تو وہ متاثرہ سے براہ راست رابطہ کر سکتے ہیں، اپنے بینک یا کریڈٹ یونین جیسی قابل اعتماد تنظیم کے طور پر، شکار کو ابھی موصول ہونے والا کوڈ فراہم کرنے کے لیے دھوکہ دے سکتے ہیں۔

    میں نے ذاتی طور پر کئی بار اس قسم کے فراڈ کا سامنا کیا ہے، مثال کے طور پر، جب کسی مشہور آن لائن فلی مارکیٹ میں کچھ بیچنے کی کوشش کر رہا ہوں۔ میں نے خود اس دھوکے باز کا مذاق اڑایا جس نے مجھے میرے دل کی بات کے مطابق بیوقوف بنانے کی کوشش کی۔ لیکن افسوس، میں خبروں میں باقاعدگی سے پڑھتا ہوں کہ کس طرح دھوکہ بازوں کے ایک اور شکار نے "سوچا نہیں"، تصدیقی کوڈ دیا اور ایک بڑی رقم کھو دی۔ اور یہ سب اس لیے ہے کہ بینک اپنی ایپلی کیشنز میں کرپٹوگرافک ٹوکنز کے نفاذ سے نمٹنا ہی نہیں چاہتا۔ بہر حال، اگر کچھ ہوتا ہے، تو کلائنٹ "خود کو قصوروار ٹھہراتے ہیں۔"

اگرچہ OTP کی ترسیل کے متبادل طریقے اس توثیق کے طریقہ کار میں کچھ کمزوریوں کو کم کر سکتے ہیں، دوسری کمزوریاں باقی ہیں۔ اسٹینڈ ایلون کوڈ جنریشن ایپلی کیشنز چھپنے کے خلاف بہترین تحفظ ہیں، کیونکہ میلویئر بھی شاید ہی کوڈ جنریٹر کے ساتھ براہ راست بات چیت کر سکتا ہے (سنجیدگی سے؟ کیا رپورٹ کا مصنف ریموٹ کنٹرول کے بارے میں بھول گیا؟)، لیکن براؤزر میں داخل ہونے پر OTPs کو اب بھی روکا جا سکتا ہے (مثال کے طور پر ایک keylogger کا استعمال کرتے ہوئے)، ہیک شدہ موبائل ایپلیکیشن کے ذریعے؛ اور سوشل انجینئرنگ کا استعمال کرتے ہوئے صارف سے براہ راست بھی حاصل کیا جا سکتا ہے۔
ایک سے زیادہ رسک اسیسمنٹ ٹولز کا استعمال کرنا جیسے ڈیوائس کی شناخت (ایسے آلات سے لین دین کرنے کی کوششوں کا پتہ لگانا جو قانونی صارف سے تعلق نہیں رکھتے) جغرافیائی محل وقوع (ایک صارف جو ابھی ماسکو میں ہے نووسیبرسک سے آپریشن کرنے کی کوشش کرتا ہے۔) اور طرز عمل کے تجزیات خطرات سے نمٹنے کے لیے اہم ہیں، لیکن کوئی بھی حل علاج نہیں ہے۔ ہر صورت حال اور ڈیٹا کی قسم کے لیے، خطرات کا بغور جائزہ لینا اور اس کا انتخاب کرنا ضروری ہے کہ کون سی توثیق کی ٹیکنالوجی استعمال کی جائے۔

کوئی تصدیقی حل ایک علاج نہیں ہے۔

تصویر 2۔ توثیق کے اختیارات کا جدول

توثیق عنصر تفصیل کلیدی کمزوریاں
پاس ورڈ یا پن علم فکسڈ ویلیو، جس میں حروف، اعداد اور کئی دوسرے حروف شامل ہو سکتے ہیں۔ روکا، جاسوسی، چوری، اٹھایا یا ہیک کیا جا سکتا ہے۔
علم پر مبنی توثیق علم سوالات کے جوابات جن کا صرف ایک قانونی صارف ہی جان سکتا ہے۔ سماجی انجینئرنگ کے طریقوں کا استعمال کرتے ہوئے روکا، اٹھایا، حاصل کیا جا سکتا ہے
ہارڈ ویئر OTP (مثال کے طور پر) قبضہ ایک خاص آلہ جو ایک بار کے پاس ورڈ تیار کرتا ہے۔ کوڈ کو روکا اور دہرایا جا سکتا ہے، یا آلہ چوری ہو سکتا ہے۔
سافٹ ویئر OTPs قبضہ ایک ایپلیکیشن (موبائل، براؤزر کے ذریعے قابل رسائی، یا ای میل کے ذریعے کوڈ بھیجنا) جو ایک وقتی پاس ورڈ تیار کرتی ہے۔ کوڈ کو روکا اور دہرایا جا سکتا ہے، یا آلہ چوری ہو سکتا ہے۔
SMS OTP قبضہ ایس ایم ایس ٹیکسٹ میسج کے ذریعے ایک وقتی پاس ورڈ ڈیلیور کیا گیا۔ کوڈ کو روکا اور دہرایا جا سکتا ہے، یا سمارٹ فون یا سم کارڈ چوری ہو سکتا ہے، یا سم کارڈ ڈپلیکیٹ ہو سکتا ہے۔
اسمارٹ کارڈز (مثال کے طور پر) قبضہ ایک کارڈ جس میں ایک کرپٹوگرافک چپ اور ایک محفوظ کلیدی میموری ہے جو تصدیق کے لیے عوامی کلیدی بنیادی ڈھانچے کا استعمال کرتی ہے جسمانی طور پر چوری ہوسکتی ہے (لیکن حملہ آور پن کوڈ جانے بغیر آلہ استعمال نہیں کر سکے گا۔ کئی غلط ان پٹ کوششوں کی صورت میں، ڈیوائس کو بلاک کر دیا جائے گا۔)
سیکورٹی کیز - ٹوکن (مثال کے طور پر, ایک اور مثال) قبضہ ایک USB آلہ جس میں ایک کرپٹوگرافک چپ اور محفوظ کلیدی میموری ہے جو تصدیق کے لیے عوامی کلیدی بنیادی ڈھانچہ استعمال کرتی ہے جسمانی طور پر چوری کیا جا سکتا ہے (لیکن حملہ آور PIN کوڈ کو جانے بغیر آلہ استعمال نہیں کر سکے گا؛ داخلے کی کئی غلط کوششوں کی صورت میں، ڈیوائس کو بلاک کر دیا جائے گا)
کسی ڈیوائس سے لنک کرنا قبضہ وہ عمل جو پروفائل بناتا ہے، اکثر جاوا اسکرپٹ کا استعمال کرتے ہوئے، یا کوکیز اور فلیش شیئرڈ آبجیکٹ جیسے مارکر کا استعمال کرتے ہوئے اس بات کو یقینی بناتا ہے کہ کوئی مخصوص ڈیوائس استعمال ہو رہی ہے۔ ٹوکن چوری کیے جا سکتے ہیں (کاپی کیے گئے)، اور قانونی ڈیوائس کی خصوصیات کو حملہ آور اپنے آلے پر نقل کر سکتا ہے۔
سلوک وراثت تجزیہ کرتا ہے کہ صارف کسی ڈیوائس یا پروگرام کے ساتھ کیسے تعامل کرتا ہے۔ رویے کی تقلید کی جا سکتی ہے۔
انگلیوں کے نشانات۔ وراثت ذخیرہ شدہ فنگر پرنٹس کا موازنہ آپٹیکل یا الیکٹرانک طور پر کیپچر کیے گئے فنگر پرنٹس سے کیا جاتا ہے۔ تصویر چوری کی جا سکتی ہے اور تصدیق کے لیے استعمال کی جا سکتی ہے۔
آنکھ کا اسکین وراثت آنکھوں کی خصوصیات کا موازنہ کرتا ہے، جیسے آئیرس پیٹرن، نئے آپٹیکل اسکینوں کے ساتھ تصویر چوری کی جا سکتی ہے اور تصدیق کے لیے استعمال کی جا سکتی ہے۔
چہرے کی شناخت وراثت چہرے کی خصوصیات کا موازنہ نئے آپٹیکل اسکینوں سے کیا جاتا ہے۔ تصویر چوری کی جا سکتی ہے اور تصدیق کے لیے استعمال کی جا سکتی ہے۔
آواز کی پہچان وراثت ریکارڈ شدہ آواز کے نمونے کی خصوصیات کا موازنہ نئے نمونوں سے کیا جاتا ہے۔ ریکارڈ چوری کیا جا سکتا ہے اور تصدیق کے لیے استعمال کیا جا سکتا ہے، یا نقل کیا جا سکتا ہے۔

اشاعت کے دوسرے حصے میں، سب سے مزیدار چیزیں ہمارے منتظر ہیں - اعداد و شمار اور حقائق، جن پر پہلے حصے میں دیئے گئے نتائج اور سفارشات کی بنیاد ہے. صارف کی ایپلی کیشنز اور کارپوریٹ سسٹمز میں توثیق پر الگ الگ بات کی جائے گی۔

ملتے ہیں!

ماخذ: www.habr.com

نیا تبصرہ شامل کریں