क्रिप्टो सुरक्षा: पासवर्ड और प्रमाणीकरण

यह लाइवस्ट्रीम क्रिप्टोकरेंसी धारकों के लिए आवश्यक सुरक्षा प्रथाओं को कवर करती है, जिसमें पासवर्ड प्रबंधन के मूल सिद्धांतों से लेकर मल्टी-फैक्टर प्रमाणीकरण तक शामिल हैं। एंड्रियास एंटोनोपोलोस (Andreas Antonopoulos) उपयोगिता के साथ सुरक्षा को संतुलित करने के सिद्धांतों के बारे में बताते हैं, समझाते हैं कि पासवर्ड मैनेजर क्यों आवश्यक हैं, XKCD पासफ्रेज़ अवधारणा का परिचय देते हैं, और टू-फैक्टर प्रमाणीकरण विधियों के पदानुक्रम का विवरण देते हैं।

यह ट्रांसक्रिप्ट aantonop द्वारा प्रकाशित मूल वीडियो ट्रांसक्रिप्ट (opens in a new tab) की एक सुलभ प्रति है। इसे पठनीयता के लिए थोड़ा संपादित किया गया है।

सुरक्षा के मूल सिद्धांत और जोखिम को संतुलित करना (3:05)

(बीपिंग) - सभी को नमस्कार और इस शनिवार की लाइव स्ट्रीम में आपका स्वागत है। यह बोनस लाइव स्ट्रीम पासवर्ड, पासवर्ड मैनेजर, प्रमाणीकरण, मल्टीफैक्टर प्रमाणीकरण, और आपके खातों की सुरक्षा से संबंधित सभी चीजों के विषय पर है। अब हमारे पास कतार में पहले से ही बहुत सारे प्रश्न हैं, लेकिन मैं जरूरी नहीं कि इस स्ट्रीम में मुख्य रूप से प्रश्नों पर ही ध्यान केंद्रित करूं, क्योंकि मैं कुछ कठिन विषयों को समझाना चाहता हूं। और मेरे लिए किसी विषय पर सामान्य से थोड़ा अधिक समय तक बात करना, या शायद सामान्य से थोड़ा कम समय तक बात करना और इन विषयों के माध्यम से अपना खुद का रास्ता बनाना अधिक सही हो सकता है। ये थोड़े पेचीदा हैं। सुरक्षा एक पेचीदा विषय है। इसलिए केवल एक सटीक प्रश्न खोजने की कोशिश करने के बजाय, मैं शायद ऐसा न करूं। दूसरी ओर, शुरुआत करने के लिए मेरे पास कुछ बेहतरीन प्रश्न हैं। तो सबसे पहले, जुड़ने के लिए आप सभी का धन्यवाद। यह एक खुशी की बात है

कि हमेशा की तरह मैं अपनी शनिवार की सुबह आपके साथ बिटकॉइन और ओपन ब्लॉकचेन से संबंधित नए और दिलचस्प विषयों पर काम करते हुए बिताऊं। अब, पासवर्ड और मल्टीफैक्टर प्रमाणीकरण बिटकॉइन और ओपन ब्लॉकचेन से कैसे संबंधित हैं? खैर, आप जानते हैं, अपनी क्रिप्टोकरेंसी की सुरक्षा बनाए रखने के लिए, आपको अपने सभी खातों की सुरक्षा बनाए रखनी होगी। क्रिप्टोकरेंसी के बारे में एक बहुत ही दिलचस्प बात यह है कि कई लोगों के लिए, यह पहली बार है जब उन्हें अपनी ऑनलाइन पहचान और ऑनलाइन उपकरणों की सुरक्षा के बारे में सावधानी से सोचना पड़ा है। क्योंकि अब वहां पैसा रखा है और यह इसे एक बहुत अधिक आकर्षक लक्ष्य बनाता है। अतीत में लोग अपनी सुरक्षा को लेकर बहुत अधिक प्रेरित नहीं रहे हैं क्योंकि जब आप अपनी गोपनीयता खो देते हैं, जब आपकी जानकारी हैक हो जाती है, तो आप वास्तव में इसे तुरंत महसूस नहीं करते हैं। और इसके कई बुरे परिणाम होते हैं, लेकिन वे परिणाम सीधे तौर पर

दिखाई नहीं देते और तुरंत महसूस नहीं होते हैं। यदि कोई आता है और आपके डिजिटल उपकरणों से कुछ सौ डॉलर या कुछ हजार डॉलर या उससे भी बदतर, दसियों हजार डॉलर चुरा लेता है, तो आप उसे महसूस करते हैं, और आप उसे तुरंत महसूस करते हैं। और आप इसे मूर्त रूप से, या स्पष्ट रूप से कहें तो अमूर्त रूप से जोड़ सकते हैं। आप इसे अमूर्त रूप से, लेकिन बहुत, बहुत स्पष्ट रूप से अपनी सुरक्षा से जोड़ सकते हैं। तो यह उन चीजों में से एक है जो दुर्भाग्य से एक ऐसा सबक है जो वास्तव में केवल एक दर्दनाक अनुभव के माध्यम से सीखा जाता है। और इसलिए मैं नए लोगों को यह बताने में बहुत समय बिता सकता हूं कि अपने खातों को कैसे और क्यों सुरक्षित रखा जाए। जब तक कि वे अपने किसी उपकरण पर क्रिप्टोकरेंसी हॉट वॉलेट स्थापित नहीं करते हैं, और फिर उस हॉट वॉलेट में मौजूद पैसे को खो नहीं देते हैं। यह समझना, या मैं जिस बारे में बात कर रहा हूं उससे प्रेरित होना बहुत मुश्किल है। अब, इस पूरी बातचीत में समझने वाली दूसरी सबसे महत्वपूर्ण बात यह है कि सुरक्षा

एक संतुलन है। यह सब संतुलन के बारे में है। यह जोखिम प्रबंधन है। 100% सुरक्षा जैसी कोई चीज नहीं होती। पूर्ण सुरक्षा जैसी कोई चीज नहीं होती। और आप सभी खतरों से बचाव नहीं कर सकते। आपको यह पता लगाना होगा कि आप किन खतरों का सामना कर रहे हैं। आपको यह पता लगाना होगा कि आप वास्तव में उनमें से कितने खतरों से बचाव कर सकते हैं और आप उन खतरों से बचाव के लिए कितना प्रयास करने जा रहे हैं, यह इस बात पर निर्भर करता है कि आप वास्तव में किसकी सुरक्षा कर रहे हैं। आपको यह भी पता लगाना होगा कि आप जो समाधान बना रहे हैं, जिन प्रणालियों का आप उपयोग कर रहे हैं, वे कब इतने जटिल हो जाते हैं कि वे अपने आप में एक सुरक्षा जोखिम बन जाते हैं। और हम अक्सर नए लोगों को, विशेष रूप से क्रिप्टोकरेंसी के क्षेत्र में, ऐसे समाधान बनाते हुए देखते हैं जो बहुत अधिक जटिल होते हैं। और फिर हम सुरक्षा लचीलेपन के संतुलन के गलत पक्ष पर समाप्त होते हैं। जहां आपकी क्रिप्टोकरेंसी को सुरक्षित करने का तंत्र इतना जटिल है कि वास्तव में, आप अंततः

इसे खो देते हैं क्योंकि आप किसी ऐसी चीज का उपयोग कर रहे हैं जो गैर-मानक है, क्योंकि आप एक पासवर्ड भूल जाते हैं, क्योंकि कोई नहीं जानता कि आपने वास्तव में क्या किया और आप उनकी मदद करने के लिए उपलब्ध नहीं हैं। इसलिए सुरक्षा सौ प्रतिशत हासिल नहीं की जा सकती है और यह सब संतुलन के बारे में है। और सरलता अक्सर सुरक्षा का एक प्रमुख तत्व होती है। सरल सुरक्षा समाधान जिन्हें आप अपने तकनीकी कौशल के भीतर लागू कर सकते हैं, और आप लगातार लागू कर सकते हैं। और यदि आपको कोई समस्या होती है तो आप उनसे उबर सकते हैं, वे उन जटिल सुरक्षा समाधानों से बेहतर हैं जो आपको अपने कौशल के स्तर को पार करने के लिए मजबूर करते हैं, आपको अज्ञात क्षेत्र में डालते हैं और यह अधिक संभावना बनाते हैं कि आप कोई गलती करेंगे। यह अक्सर कुछ ऐसा होता है जिसके बारे में आप बहुत सी बुरी सलाह सुनते हैं। लोग आपको एक ऐसी सुरक्षा योजना लागू करने की सलाह देंगे जो बहुत, बहुत जटिल लगती है। और क्योंकि यह इतनी जटिल है, यह सुरक्षित महसूस होती है। ऐसा लगता है कि वहां एक

सुरक्षा को सरल रखना (8:40)

बहुत कुछ चल रहा है, इसलिए यह बहुत परिष्कृत और गंभीर होना चाहिए। और कई मामलों में, आप अपनी तकनीकी क्षमता से आगे निकल जाएंगे और वास्तव में पैसे खो देंगे, चोरी के कारण नहीं, बल्कि एक गलती के कारण जो आप करते हैं क्योंकि आप अपने कौशल स्तर से बाहर काम कर रहे हैं। तो चलिए इसे सरल रखते हैं। आइए इसे मानकों पर आधारित रखें। आइए सर्वोत्तम प्रथाओं, सामान्य उपकरणों का उपयोग करें और उनका लगातार उपयोग करें। ताकि हम बहुत सुरक्षित रह सकें। हम सीधे, हम सीधे पहले प्रश्न पर जाएंगे। स्ट्रीम पर अब तक 220 लोग हैं। वीडियो और ऑडियो पर मुझे फीडबैक देने के लिए धन्यवाद। यह जानना हमेशा अच्छा होता है। आपकी जानकारी के लिए बता दूं, आज इस स्थान पर थोड़ी बिजली की समस्या हुई थी, और अगर बिजली जाती है, तो आपको पता चल जाएगा क्योंकि स्ट्रीम रुक जाएगी। और इंटरनेट राउटर और वाईफाई को कम से कम 5 मिनट लगते हैं

रीबूट होने में। मैं वापस आ सकता हूं, भले ही यह केवल एक सेकंड के लिए बिजली गई हो, मुझे वापस आने से पहले 5 मिनट इंतजार करना होगा। अगर मैं वापस नहीं आ सका, तो हम आपको चैट में बता देंगे। इसलिए कृपया धैर्य रखें और मुझे उम्मीद है कि हम कटेंगे नहीं। लेकिन आप जानते हैं कि यह उन जोखिमों में से एक है जिन्हें हमें आज प्रबंधित करना है। आइए आज के अपने पहले प्रश्न पर चलते हैं। पहला प्रश्न 'अनाम' (anonymous) की ओर से आता है और अपना प्रश्न पूछने के लिए अनाम शब्द चुनना सुरक्षा का पहला और अच्छा तंत्र है। अगर मुझे डिस्लेक्सिया है और मैं लंबे पासवर्ड याद रखने में अच्छा नहीं हूं, तो कई अद्वितीय, मजबूत पासवर्ड प्रबंधित करने का सबसे अच्छा तरीका क्या है? यह एक बहुत अच्छा प्रश्न है। यह एक बहुत अच्छा प्रश्न है क्योंकि यह एक व्यापक मुद्दे की बात करता है, जो कि चीजों को याद रखने की कठिनाई है। और हम सभी सोचते हैं कि हम इससे बेहतर याद रख सकते हैं

जितना हम वास्तव में कर सकते हैं। और हम में से कुछ को याददाश्त या पढ़ने या लिखने या किसी अन्य कौशल में कठिनाई होती है जो हमें पासवर्ड याद रखने में मदद करते हैं। और शायद जानते हैं कि वे बहुत अच्छी तरह से याद नहीं रख सकते हैं। तो अनाम इसे डिस्लेक्सिया से पीड़ित किसी व्यक्ति के दृष्टिकोण से पूछता है, लेकिन, यह सभी पर समान रूप से लागू होता है। हर कोई जिसकी मानवीय याददाश्त कमजोर है। इंसान लंबे समय तक याद रखने में वास्तव में बहुत खराब होते हैं, खासकर वे चीजें जो यादगार नहीं होती हैं क्योंकि वे छवियों, अनुभवों या भावनाओं से जुड़ी नहीं होती हैं। उन चीजों को याद रखना जिनका हमारे जीवन से कोई संबंध नहीं है, लगभग असंभव है क्योंकि हमारा मस्तिष्क उस जानकारी को हटाने में बहुत अच्छा है जो प्रासंगिक नहीं है। यदि आपके पास उस चीज़ से जुड़ी कोई भावना, अनुभव या छवि नहीं है जिसे आप याद रखने की कोशिश कर रहे हैं, तो मस्तिष्क कहेगा, यह अब मेरे कैशिंग एल्गोरिदम के लिए प्रासंगिक नहीं है और इसे छोड़ देगा। और बहुत से

लोग ठीक इसी वजह से पासवर्ड भूल जाते हैं। इसलिए मैं वास्तव में इस प्रश्न का अधिक व्यापक रूप से उत्तर देने और लोगों को पासवर्ड के मूलभूत सिद्धांतों को समझने में मदद करने के लिए यहां कुछ संसाधनों का उपयोग करने जा रहा हूं। तो इसके लिए, मैं कुछ दृश्य सामग्री (visual aids) का उपयोग करने जा रहा हूं। मैं आमतौर पर दृश्य सामग्री का उपयोग नहीं करता, लेकिन मुझे लगता है कि वे इस विशेष मामले में उपयोगी होंगे। देखते हैं यह कैसा रहता है। ठीक है, तो सबसे पहली बात जिसके बारे में हम बात करने जा रहे हैं, वह है पासवर्ड प्रबंधन सिस्टम। दशकों से, हम उपयोगकर्ताओं को लंबे, यादृच्छिक अल्फ़ान्यूमेरिक पासवर्ड बनाने के लिए प्रशिक्षित कर रहे हैं जिनमें वर्णों की एक विस्तृत श्रृंखला होती है। ये ऐसे पासवर्ड हैं जिन्हें इंसान याद नहीं रख सकते। ये ऐसे पासवर्ड हैं जो वास्तव में बुरे व्यवहार को प्रोत्साहित करते हैं। वे ऐसे व्यवहार को प्रोत्साहित करते हैं जहां आप उसी चालाक पैटर्न का उपयोग करते हैं, Satoshi Nakamoto जिसमें O को शून्य (0) से बदल दिया जाता है और दूसरे शब्द का पहला अक्षर बड़ा (capitalized) कर दिया जाता है और T को

7 से बदल दिया जाता है और अंत में हैश पाउंड (#) लगा दिया जाता है। और अब आपके पास नंबर, लोअरकेस, अपरकेस और अक्षर हैं। लेकिन अगर आपको इसे एक से अधिक साइटों में उपयोग करना है, तो आप एक छोटा सा बदलाव करते हैं। फिर आपको शायद अंत में एक नंबर जोड़ना पड़े। और फिर आप इस वास्तव में पेचीदा मेमोरी समस्या के साथ समाप्त होते हैं, जो यह है कि साइटें आपको भिन्नता (variation) बनाने के लिए प्रेरित कर रही हैं, लेकिन भिन्नता आपके लिए वास्तव में याद रखना असंभव बना देती है, खासकर इस जटिलता के पासवर्ड के साथ। और इसलिए आप कई साइटों पर अपने पासवर्ड का पुन: उपयोग करते हैं। लगभग हर कोई यही करता है। और यह सुरक्षा के लिए बहुत, बहुत बुरा है। अब, इस समस्या को कैसे हल किया जाए, यह समझने के लिए सबसे अच्छे संसाधनों में से एक वास्तव में एक कार्टून है। तो मैं जो करने जा रहा हूं वह आपको दो सलाह देना है। पहली यह है कि अपने खुद के पासवर्ड बनाने की कोशिश न करें,

पासवर्ड मैनेजर (13:50)

पासवर्ड मैनेजर का उपयोग करें। पासवर्ड मैनेजर एक ऐसा सॉफ़्टवेयर है जो आपके लिए यादृच्छिक पासवर्ड बनाता है और उन्हें आपके लिए याद रखता है। ये सिस्टम दो समस्याओं को हल करते हैं, मानव स्मृति अचूक नहीं है और मानव यादृच्छिकता और भी खराब है। हम यादृच्छिक चीजें करने में बहुत खराब हैं। हम याद रखने में बहुत खराब हैं और यादृच्छिक चीजों को याद रखने में तो हम दोगुने खराब हैं। इसलिए आप अधिक अनुशासित, अधिक बुद्धिमान, या अधिक सावधान होकर इस समस्या को ठीक नहीं कर सकते। आप अपनी स्क्रीन पर पोस्ट-इट्स चिपकाकर और वे सभी चीजें करके इसे ठीक नहीं कर सकते, जो आप यहां देखते हैं, है ना? जो आप हर समय कार्यालयों में देखते हैं। पासवर्ड लिखना कोई बुरा विचार नहीं है। बशर्ते वह स्थान वास्तव में सुरक्षित हो जहां आप इसे लिख रहे हैं। इसलिए पासवर्ड मैनेजर का सबसे बुनियादी रूप एक छोटी किताब, एक पासवर्ड बुक है। और, आप जानते हैं, भले ही मैं कहूंगा कि यह बहुत आधुनिक नहीं है, यह

तकनीकी रूप से बहुत उन्नत नहीं है, और यह यादृच्छिक पासवर्ड बनाने की समस्या को हल नहीं करता है। ईमानदारी से कहूं तो यह वह समाधान है जिसका उपयोग मेरे माता-पिता करते हैं। क्योंकि अगर वे इसे लिख लेते हैं, तो वे अपने पासवर्ड में अधिक विविधता रख सकते हैं। और अगर वे उस छोटी पुस्तिका को किसी सुरक्षित स्थान पर रखते हैं, जैसे उदाहरण के लिए, घर में, एक बंद दराज या ऐसा ही कुछ, तो यह काफी टिकाऊ तंत्र है। अब, आप में से अधिकांश लोग शायद मेरे माता-पिता की तुलना में तकनीकी रूप से अधिक परिष्कृत हैं। तो आइए आपके लिए एक बेहतर समाधान के बारे में बात करते हैं। तो एक बेहतर समाधान यह है कि आपके लिए यह काम करने के लिए सॉफ़्टवेयर डाउनलोड किया जाए। पासवर्ड मैनेजर की एक पूरी श्रृंखला उपलब्ध है। और अच्छी खबर यह है कि बुनियादी कार्यक्षमता के लिए, ये मुफ़्त हैं। आप LastPass, 1Password, Bitwarden, और कई अन्य जैसे KeePass इत्यादि उत्पादों का उपयोग कर सकते हैं। अब, इनमें

कई अलग-अलग विशेषताएं होंगी और आपको यह पता लगाना होगा कि आपको वास्तव में किन विशेषताओं की आवश्यकता है। मेरी सलाह है कि यह पता लगाने से शुरुआत करें कि आपको इसे किस तरह के डिवाइस पर उपयोग करने की आवश्यकता है, क्योंकि पासवर्ड मैनेजर का उपयोग करने का एक बड़ा फायदा यह है कि आप अपने सभी पासवर्ड की अपने सभी डिवाइस पर सिंकिंग कर सकते हैं। इसलिए यदि आप Windows, Android और iOS का उपयोग करते हैं, तो यह शायद आसान है। सभी पासवर्ड मैनेजर उन सभी प्लेटफ़ॉर्म का समर्थन करने वाले हैं और आपको कोई परेशानी नहीं होगी। आप यह भी चाहेंगे कि यह आपके द्वारा उपयोग किए जाने वाले ब्राउज़र पर भी काम करे। जैसे Chrome, Firefox, Edge, Opera, Brave, या जो कुछ भी आप एक्सटेंशन के रूप में उपयोग कर रहे हैं, ताकि आप वेब फ़ॉर्म में स्वचालित रूप से पासवर्ड भर सकें और सबमिट कर सकें। मुझे लगता है कि आप सभी ने देखा कि मेरे वीडियो कैमरे का कार्ड अभी फुल हो गया है। सीधे स्ट्रीम के बीच में, वह

मददगार था। हाँ, मेरा SD कार्ड अभी फुल हो गया है, इसलिए अब मैं कैमरे पर रिकॉर्डिंग नहीं कर रहा हूँ। उफ़। खैर, कोई बात नहीं। चलिए जारी रखते हैं। इसलिए पासवर्ड मैनेजर चुनने के तरीकों में से एक यह पता लगाना है कि आपको किन डिवाइस का समर्थन करने की आवश्यकता है। और यदि आपके पास कुछ अजीब डिवाइस हैं तो यह थोड़ा अधिक मुश्किल हो जाता है। तो उदाहरण के लिए, मैं डेस्कटॉप पर Linux का उपयोग करता हूँ। मैं बहुत लंबे समय से डेस्कटॉप पर Linux का उपयोग कर रहा हूँ। और, आप जानते हैं, मुझे लगता है कि यह साल वास्तव में डेस्कटॉप पर Linux का साल है। ऐसा होने वाला है दोस्तों। नहीं, ऐसा नहीं है। लेकिन किसी भी मामले में, मैं इसका उपयोग करता हूँ, यह मेरे लिए काम करता है, लेकिन यह व्यापक रूप से समर्थित नहीं है। इसलिए सभी पासवर्ड मैनेजर Linux डेस्कटॉप पर काम नहीं करते हैं या अच्छी तरह से काम नहीं करते हैं। सौभाग्य से, अधिकांश पासवर्ड मैनेजर ब्राउज़र में ब्राउज़र एक्सटेंशन के रूप में काम करते हैं, जो उन्हें मुख्य रूप से क्रॉस-प्लेटफ़ॉर्म बनाता है। तो मेरे लिए, एक

विभिन्न उपकरणों पर पासवर्ड मैनेजर चुनना (18:22)

पासवर्ड मैनेजर को एंड्रॉइड (Android), विंडोज (Windows), लिनक्स (Linux), क्रोम (Chrome), फ़ायरफ़ॉक्स (Firefox) और आईओएस (iOS) आदि पर काम करना चाहिए। ताकि मैं इसे अपने सभी उपकरणों पर इंस्टॉल कर सकूं और इस प्रकार अपने सभी उपकरणों पर अपने सभी पासवर्ड तक पहुंच प्राप्त कर सकूं। ठीक है। तो एक अनाम व्यक्ति द्वारा पूछे गए प्रश्न का उत्तर देने के लिए, यदि मैं डिस्लेक्सिक (dyslexic) हूं और लंबे पासवर्ड याद रखने में अच्छा नहीं हूं, तो कई अद्वितीय, मजबूत पासवर्ड प्रबंधित करने का सबसे अच्छा तरीका क्या है? सबसे अच्छा तरीका एक पासवर्ड मैनेजर का उपयोग करना है, जो आपके लिए यादृच्छिक रूप से अद्वितीय, मजबूत पासवर्ड उत्पन्न करता है। और, एक बार जब आप एक पासवर्ड मैनेजर चुन लेते हैं, तो आप एक पासवर्ड सेट करते हैं और वह एक पासवर्ड आपके पासवर्ड मैनेजर का पासवर्ड होता है। मैं यह भी सुझाव दूंगा कि आप टू-फैक्टर ऑथेंटिकेशन (two-factor authentication) तंत्र का उपयोग करें ताकि कोई भी केवल उस एक पासवर्ड का उपयोग करके लॉग इन न कर सके और आपकी पासवर्ड फ़ाइल डाउनलोड न कर सके। आपको प्रमाणीकरण के दूसरे कारक की आवश्यकता है। हम बात करेंगे

आज इस वीडियो के दूसरे भाग में इसके बारे में। हमारे पास दर्शकों का एक अनुवर्ती प्रश्न भी है, जो यह है कि मैं इस सॉफ़्टवेयर पर कैसे भरोसा करूं? खैर, इसका सरल उत्तर यह है कि आप ऐसे सॉफ़्टवेयर की तलाश कर रहे हैं जो या तो व्यापक रूप से उपयोग किया जाता हो, सुरक्षा पेशेवरों द्वारा जिसकी समीक्षा और ऑडिट किया गया हो, या ओपन सोर्स हो, या उपरोक्त सभी हो। और मुझे लगता है कि मैंने पहले जिन सभी का उल्लेख किया है, वे उन आवश्यकताओं को पूरा करते हैं। अब उस बात पर वापस आते हैं जिसका मैंने पहले उल्लेख किया था, जो यह है कि, याद रखें जब मैंने कहा था कि सुरक्षा सौ प्रतिशत नहीं होती है और सुरक्षा जोखिम को संतुलित करने और कम करने का मामला है। तो अब इन दो जोखिमों को सामने रखते हैं। जोखिम एक, क्या मैं पासवर्ड मैनेजर पर भरोसा कर सकता हूं? और क्या होगा यदि मेरे द्वारा डाउनलोड किया गया पासवर्ड मैनेजर कॉम्प्रोमाइज (compromise) हो गया है या हो सकता है, या उसमें कोई ऐसा बग है जिस पर लाखों अन्य उपयोगकर्ताओं और सुरक्षा पेशेवरों का ध्यान नहीं गया है जो

इसकी समीक्षा कर रहे हैं? जोखिम दो, क्या मैं अपने दिमाग पर भरोसा कर सकता हूं? खैर, यदि आप इसे इस तरह से देखते हैं, तो यह स्पष्ट हो जाता है कि यहां समस्या यह है कि कोई भी पासवर्ड मैनेजर न होने से कोई भी पासवर्ड मैनेजर होना बेहतर है। यह उसी प्रकार का जोखिम प्रबंधन है जो हम तब करते हैं जब हम क्रिप्टोकरेंसी में हार्डवेयर वॉलेट बनाम सॉफ्टवेयर वॉलेट के बारे में बात करते हैं। क्या मैं हार्डवेयर वॉलेट निर्माता पर भरोसा कर सकता हूं? खैर, कुछ हद तक, सौ प्रतिशत नहीं। वहां कुछ जोखिम हैं। हार्डवेयर वॉलेट न होने की तुलना में वे जोखिम कैसे हैं? और फिर से, उत्तर यह है कि कोई भी हार्डवेयर वॉलेट न होने से कोई भी हार्डवेयर वॉलेट होना बेहतर है। तो वे कौन से जोखिम हैं जिन्हें आप वास्तव में प्रबंधित कर सकते हैं? जब आप इस पासवर्ड मैनेजर को प्राप्त करते हैं तो यह महत्वपूर्ण है कि आप सुनिश्चित करें कि आपके पास सही सॉफ़्टवेयर है। कि आप इसे किसी भी यादृच्छिक वेबसाइट से, किसी Groupon कूपन के साथ, किसी ऐसी चीज़ के लिए डाउनलोड न करें जो वैसे भी मुफ़्त थी, और

फिर अपने सिस्टम पर ट्रोजन (Trojan) प्राप्त कर लें। लेकिन अपनी बात पर वापस आते हुए, कोई भी पासवर्ड मैनेजर न होने से कोई भी पासवर्ड मैनेजर होना बेहतर है। और इसलिए आपको अद्वितीय पासवर्ड उत्पन्न करने का प्रयास नहीं करना चाहिए। यदि कोई वेबसाइट आपसे 8 या अधिक वर्णों का अल्फ़ान्यूमेरिक पासवर्ड मांगती है, तो आप वही करें जो मैं करता हूं। आप उस छोटे बटन पर क्लिक करें जो कहता है कि सुरक्षित पासवर्ड उत्पन्न करें। आप लंबाई को 31 वर्ण, 75 वर्ण, 213 वर्ण पर सेट करें। मुझे वेबसाइटों के साथ खेलना पसंद है यह देखने के लिए कि मैं इसे कितना लंबा बना सकता हूं इससे पहले कि वे चिल्लाना शुरू कर दें कि यह बहुत लंबा है। पासवर्ड मैनेजरों और सिस्टमों के मुझ पर चिल्लाने के इन सभी वर्षों के बाद, कि यह पर्याप्त लंबा नहीं है। यह पर्याप्त जटिल नहीं है। मैं देखना चाहता हूं कि वेबसाइटें चिल्लाना शुरू कर दें कि यह बहुत लंबा है। यह बहुत जटिल है। अरे यार, तुम क्या कर रहे हो? मेरा डेटाबेस इसे फिट नहीं कर सकता। इसलिए एक मजबूत यादृच्छिक पासवर्ड उत्पन्न करें। अब, क्या मैं इस पासवर्ड को याद रख सकता हूं?

बिल्कुल नहीं। मेरे पासवर्ड मैनेजर में 800 पासवर्ड हैं, वे सभी 20 से अधिक वर्णों के हैं, प्रतीकों, अपरकेस, लोअरकेस और संख्याओं के साथ पूरी तरह से यादृच्छिक अल्फ़ान्यूमेरिक हैं। मेरे लिए उनमें से एक को याद रखना असंभव है, सभी 800 की तो बात ही छोड़ दें, लेकिन मुझे अपना मास्टर पासवर्ड याद है। ठीक है, देखते हैं कि हमारे पास और कौन से प्रश्न हैं। और अपने अगले प्रश्न पर चलते हैं, जो मुझे उस अगले विषय के बारे में बात करने का अवसर देगा जिसके बारे में मैं बात करना चाहता हूं। अनाम व्यक्ति पूछता है, क्या पासवर्ड या पासफ्रेज़ के लिए कोई न्यूनतम व्यवहार्य सुरक्षा मानक है, जब मैं एक मजबूत पासवर्ड जनरेटर का उपयोग कर रहा हूं तो यह कई चीजों के लिए काम नहीं करता है। हां। वेबसाइटों को पासवर्ड से हास्यास्पद उम्मीदें होती हैं, और अक्सर वे बुरी उम्मीदें होती हैं। वे उदाहरण के लिए, परस्पर विरोधी जानकारी को प्रोत्साहित करते हैं। मैं आपको एक उदाहरण देता हूं। यह 8 से अधिक वर्णों का होना चाहिए, प्रतीकों और संख्याओं के साथ अल्फ़ान्यूमेरिक होना चाहिए, लेकिन हमने फॉर्म में पेस्ट करने को अक्षम कर दिया है। क्या

खराब पासवर्ड नीतियां (24:02)

आप क्या कर रहे हैं? आप क्या कर रहे हैं? आप मुझे एक जटिल पासवर्ड चुनने के लिए क्यों कह रहे हैं जिसके लिए जाहिर है कि मैं जनरेटर का उपयोग करने वाला हूं और फिर मुझे इसे पेस्ट नहीं करने दे रहे हैं। या मुझे इसे फॉर्म के कन्फर्म वाले हिस्से में पेस्ट नहीं करने दे रहे हैं? क्या आप पागल हैं? आप क्या कर रहे हैं? ऐसा करना बंद करें। या अन्य पासवर्ड जो कहते हैं कि 8 से 12 अक्षर होने चाहिए। सच में? आप चाहते हैं कि मैं इसे जटिल बनाऊं, लेकिन बहुत जटिल नहीं। इसलिए मैं 13 अक्षर रख सकता हूं जिसका कोई मतलब नहीं है। या प्रतीकों (symbols) के अजीब संयोजन। ओह हां, हम प्रतीकों का उपयोग कर सकते हैं, लेकिन केवल पाउंड, विस्मयादिबोधक (exclamation) और तारांकन (asterisks)। सिंगल कोट और एट (@) चिह्न हम नहीं लेते क्योंकि यह हमारे रेगेक्स (regex) को भ्रमित कर देगा। ये सभी वास्तव में, बहुत ही खराब पासवर्ड नीतियां हैं। या हर महीने अपनी पासवर्ड नीतियां बदलें, लेकिन पिछले महीने उपयोग किए गए किसी भी पासवर्ड का दोबारा उपयोग न करें और उन्हें

उसी तरह अजीब रूप से जटिल रखें। ये सभी अजीब पासवर्ड नीतियां हैं और आपको इनमें से कई देखने को मिलेंगी। लब्बोलुआब यह है कि आप अलग-अलग कंपनियों की अलग-अलग वेबसाइटों से यह उम्मीद नहीं कर सकते, जिनकी सुरक्षा टीमें और सुरक्षा नीतियां अलग-अलग हैं और सुरक्षा जागरूकता का स्तर अलग-अलग है, कि वे एक ऐसी अच्छी नीति खोज लें जो उनके अधिकांश उपयोगकर्ताओं के लिए काम करे। ध्यान रखें, वे उन उपयोगकर्ताओं के साथ काम करने की कोशिश कर रहे हैं जो मेरे जैसे पासवर्ड मैनेजर से 37 अक्षरों का जनरेट किया गया रैंडम पासवर्ड डालने की कोशिश करने वालों से लेकर 1, 2, 3, 4, 5, 6, 7, 8 डालने वालों तक फैले हुए हैं। जो स्पष्ट रूप से इंटरनेट पर सबसे आम पासवर्ड है या पासवर्ड 1, 2, 3, 4, जो मुझे लगता है कि इंटरनेट पर दूसरा सबसे आम पासवर्ड है। इसलिए एक ऐसी नीति खोजना जो इन सभी लोगों के लिए काम करे, साइटों के लिए ऐसा करना बहुत, बहुत मुश्किल है। इसलिए मैं जो करता हूं

वह यह है कि मैं बस कोशिश करता रहता हूं। मैं अपनी पसंद का एक रैंडम जनरेट किया गया पासवर्ड डालूंगा, आप जानते हैं, 37 अक्षर और सभी प्रतीक। और फिर वेबसाइट शिकायत करेगी और कहेगी, मुझे वास्तव में तारांकन (asterisks) पसंद नहीं हैं, आप मेरे साथ ऐसा क्यों कर रहे हैं? इसलिए मैं कुछ प्रतीकों को बंद कर दूंगा या यह कहेगा कि यह बहुत लंबा है, इसलिए मैं इसे छोटा कर दूंगा। या यह कहेगा, वास्तव में मुझे कम से कम दो कैपिटल अक्षर भी चाहिए, लेकिन यह किसी संख्या से शुरू नहीं हो सकता। और मैं सोचता हूं, उफ्फ, यार। मैं बस तब तक कोशिश करता रहूंगा जब तक मुझे कुछ ऐसा न मिल जाए जो काम करे। लेकिन मुझे जो भी मिले, उसमें दो गारंटी होंगी। यह लंबा और जटिल होगा और यह पूरी तरह से रैंडम जनरेट किया गया होगा और इसे मेरे लिए जनरेट करने या याद रखने के लिए मानव मस्तिष्क पर निर्भर नहीं होगा। और मैं जितनी हो सके उतनी जटिलता का उपयोग कर रहा हूं। ठीक है, तो एनोनिमस (anonymous)

हमारे लिए अगला सवाल पूछते हैं, जो मुझे इस कहानी को जारी रखने की अनुमति देता है। शायद एक बेवकूफी भरा सवाल हो, लेकिन क्या पासवर्ड मैनेजर क्लाउड में स्थित नहीं होता है और इसलिए आसानी से हैकर्स का निशाना बन सकता है? बहुत अच्छा सवाल एनोनिमस। यहां बताया गया है कि ये डिवाइस कैसे काम करते हैं। आपके पासवर्ड डेटाबेस का बैकअप क्लाउड पर स्टोर होता है। हालांकि, वह बैकअप एन्क्रिप्टेड (encrypted) होता है और यह एंड-टू-एंड एन्क्रिप्टेड होता है। जिसका अर्थ है कि यह आपकी लोकल मशीन पर एन्क्रिप्टेड होता है। इसे क्लाउड पर एन्क्रिप्टेड भेजा जाता है, और इसे फिर से डिक्रिप्टेड (decrypted) किया जाता है, केवल आपकी लोकल मशीन पर। इसे एन्क्रिप्ट और डिक्रिप्ट करने का तरीका आपके मास्टर पासवर्ड का उपयोग करना है। और वह मास्टर पासवर्ड स्वयं एक स्ट्रेचर (stretcher) के माध्यम से गुजारा जाता है। और एक स्ट्रेचर क्या करता है, यह एक पासवर्ड स्ट्रेचिंग एल्गोरिदम लेता है यदि आप चाहें, वास्तव में यह एक हैशिंग (hashing) एल्गोरिदम है। यह क्या करता है कि यह उन शब्दों या अक्षरों को लेता है जिन्हें आप अपने मास्टर

पासवर्ड के रूप में टाइप करते हैं, और फिर यह इसे हैशिंग के हजारों राउंड से गुजारता है। अब इसमें समय लगता है और इसका परिणाम एक ऐसा पासवर्ड होता है जिसे ब्रूट फोर्स (brute force) नहीं किया जा सकता। क्योंकि मान लीजिए कि मैंने एक पासवर्ड टाइप किया और उसे एक बार एन्क्रिप्ट या हैश किया और फिर उसे सर्वर पर भेज दिया। बहुत बढ़िया, यह एक कठिन, या यूं कहें कि काफी आसान हमले का विषय है, जिसे रेनबो टेबल (rainbow table) कहा जाता है। इसके बाद क्या होगा कि हमलावर उन सभी सबसे आम पासवर्डों को लेगा जिनकी आप कल्पना कर सकते हैं, उन्हें हैश करेगा और हैश किए गए पासवर्डों का एक डेटाबेस तैयार करेगा जिसका उपयोग उस हमले के खिलाफ किया जा सकता है। अब, यदि दूसरी ओर, या मैं बस बार-बार अलग-अलग पासवर्ड आज़माता रह सकता हूं, जब तक कि मुझे सही पासवर्ड न मिल जाए। एक सामान्य ब्रूट फोर्स हमला। लेकिन अगर हर पासवर्ड को 25,000 बार या 50,000 बार, या 100,000 बार हैश किया जाता है, तो हर बार जब मैं

पासवर्ड डेटाबेस को कैसे एन्क्रिप्ट किया जाता है (29:19)

इसे मेरे कंप्यूटर में टाइप करने में दो से तीन सेकंड लगते हैं। जो मेरे लिए कोई बड़ी बात नहीं है। जब मैं पहली बार अपने ब्राउज़र या कंप्यूटर में लॉग इन करता हूँ ताकि अपने पासवर्ड मैनेजर को शुरू कर सकूँ, तो दो से तीन सेकंड लगते हैं। लेकिन अगर आपको हर बार पासवर्ड टाइप करते समय दो से तीन सेकंड जोड़ने पड़ें, तो यह इसे ब्रूट फोर्स (brute force) करने के तरीके को पूरी तरह से बिगाड़ देता है। यह पहले से गणना किए गए पासवर्ड हैश (hashes) का डेटाबेस बनाना भी असंभव बना देता है, क्योंकि केवल कुछ हज़ार संयोजनों को आज़माने में ही बहुत लंबा समय लगेगा। और यदि आपका मास्टर पासवर्ड पर्याप्त रूप से जटिल है, तो इसे उत्पन्न करने के लिए केवल कुछ हज़ार पासवर्ड संयोजनों से कहीं अधिक की आवश्यकता होती है। इसलिए पासवर्ड डेटाबेस को आमतौर पर एक काफी सीधे मानक-आधारित एन्क्रिप्शन एल्गोरिदम के साथ एन्क्रिप्ट किया जाता है। AES256 शायद इसके लिए इस्तेमाल होने वाला सबसे आम एल्गोरिदम है, लेकिन यह कुछ इसी तरह का

होता है। यह एक सममित (symmetric) एन्क्रिप्शन एल्गोरिदम है जो डेटा को एन्क्रिप्ट और डिक्रिप्ट करने के लिए एक ही कुंजी, यानी एक निजी कुंजी का उपयोग करता है। एन्क्रिप्शन और डिक्रिप्शन के लिए एक ही कुंजी का उपयोग किया जाता है, इसीलिए इसे सममित एन्क्रिप्शन एल्गोरिदम कहा जाता है। और वह कुंजी आपके मास्टर पासफ्रेज़ की बार-बार हैशिंग करके उत्पन्न की जाती है। इसलिए जब तक आप केवल स्थानीय डिवाइस पर अपने मास्टर पासफ्रेज़ का उपयोग करते हैं, और वह डिवाइस विश्वसनीय है, तब तक आपको उच्च स्तर की सुरक्षा मिलती है। हाँ, पासवर्ड डेटाबेस क्लाउड में है, लेकिन यह एन्क्रिप्टेड है और कोई भी इसे तब तक नहीं खोल सकता जब तक कि उनके पास आपका मास्टर पासफ्रेज़ न हो, जिसे आप कभी भी अपने स्वयं के उपकरणों के अलावा किसी अन्य चीज़ पर टाइप नहीं करते हैं। बेशक, इसमें कुछ समस्याएँ हैं। क्योंकि यदि आपके स्थानीय डिवाइस पर कोई पासवर्ड कीवर्ड लॉगर है, तो वह आपको मास्टर पासफ्रेज़ टाइप करते हुए पकड़ सकता है। लेकिन दिलचस्प बात यह है कि यह एक हमलावर के लिए पर्याप्त नहीं

होगा यदि आपके पास टू-फैक्टर ऑथेंटिकेशन है और इसका कारण यह है कि वे आपका मास्टर पासफ्रेज़ तो कैप्चर कर सकते हैं, लेकिन वे दूसरे फैक्टर ऑथेंटिकेशन के बिना क्लाउड से एन्क्रिप्टेड डेटाबेस डाउनलोड नहीं कर सकते, जो उम्मीद है कि आपकी मशीन या किसी अन्य चीज़ से जुड़ा होगा। और उनके पास वह दूसरा फैक्टर नहीं होता है, टू-फैक्टर ऑथेंटिकेशन के बारे में थोड़ी देर में और बात करेंगे। हम परतें बना रहे हैं। मुझे नहीं पता कि आप देख रहे हैं या नहीं कि हम यहाँ क्या कर रहे हैं, लेकिन हाँ, हम उन सभी समस्याओं को देख रहे हैं जो उत्पन्न हो सकती हैं और हम सुरक्षा की परतें जोड़ रहे हैं। सुरक्षा कोई ऐसी चीज़ नहीं है कि, यहाँ एक चीज़ है जो सब कुछ रोक देती है। सुरक्षा एक हमलावर के रास्ते में बाधाएँ डालना है। और हाँ, आप इस बाधा को तोड़ सकते हैं, लेकिन इसके ठीक पीछे एक और बाधा है। और फिर यदि आप उस बाधा को तोड़ते हैं तो उसके ठीक पीछे, एक और

बाधा है। और यदि मैं बाधाओं को पर्याप्त रूप से मजबूत बनाता हूँ, और साथ ही सुरक्षा की कई परतें, परतें और परतें लगाता हूँ, और मैं यह भी सुनिश्चित करता हूँ कि एक परत को तोड़ने के लिए आपको जिन कौशलों की आवश्यकता है, वे दूसरी परत को तोड़ने के लिए आवश्यक कौशलों से भिन्न हों। और मैं यह सुनिश्चित करता हूँ कि एक परत को तोड़ने के लिए आपको जिन उपकरणों और बजट की आवश्यकता है, वे दूसरी परत से भिन्न हों। तो आपके इन सभी परतों को पार करने की संभावना, मेरे ध्यान दिए बिना, मेरे द्वारा इसे रोके बिना और सफलतापूर्वक पार करने की, या यहाँ तक कि कई, कई पीड़ितों के खिलाफ बड़े पैमाने पर ऐसा करने की संभावना बहुत, बहुत, बहुत कम हो जाती है। और यही मुख्य बात है। ठीक है, मैं यहाँ जल्दी से थोड़ी कॉफी पी लेता हूँ और चैट पर आपसे थोड़ी बात करता हूँ जबकि मैं अन्य सवालों की तलाश करता हूँ जो, हाँ, अन्य सवाल जो आप पूछना चाह सकते हैं। मुझे एक

छोटा सा पेज लगाने दें, मुझे लगता है कि वे सभी संरक्षक जो मेरे लिए इस तरह की शैक्षिक सामग्री बनाना संभव बनाते हैं, जबकि मैं अपने नए मग से कॉफी पीता हूँ जिस पर लिखा है 'rules without rulers'। हाल ही में मेरी सबसे लोकप्रिय वार्ताओं में से एक। यह एक छोटे नारंगी बिटकॉइन के साथ आता है। हे भगवान, हमें विज्ञापन देना बंद करें, हम आपका स्वैग (swag) खरीदने वाले हैं। बस अच्छी सामग्री के साथ आगे बढ़ें। एक सेकंड में। और हम वापस आ गए हैं। ठीक है, मैं इसे वहाँ किनारे रख सकता हूँ। मैं इसे घुमा दूँगा ताकि यह अच्छा लगे। यह लीजिए। ठीक है। तो मैं सवालों को देख रहा था और एक ऐसा सवाल खोजने की कोशिश कर रहा था जो मुझे इस छोटी सी कहानी को यथासंभव संक्षिप्त तरीके से जारी रखने की अनुमति दे। तो अब चलिए पासफ्रेज़ के बारे में बात करते हैं और इसके लिए, मैं ब्रूस से कुछ मदद लेने जा रहा हूँ जो पूछते हैं, वॉलेट पासफ्रेज़ के रूप में मजबूत पासवर्ड का उपयोग करने पर आपके क्या विचार हैं।

वॉलेट पासफ्रेज और BIP-39 (35:02)

और ब्रूस यहाँ जिस बारे में बात कर रहे हैं, वह वैकल्पिक पासफ्रेज है जो उन लोगों के लिए उपलब्ध है जो BIP-39 निमोनिक फ्रेज का उपयोग करते हैं। इसे 25वें शब्द के रूप में भी जाना जाता है क्योंकि निमोनिक फ्रेज 24 शब्दों के होते हैं। और सैद्धांतिक रूप से, यदि आप 25वां शब्द जोड़ते हैं, लेकिन मैं 25वां शब्द जोड़ने के बजाय, हम इसे वही कहेंगे जो यह वास्तव में है, जो कि एक वैकल्पिक पासफ्रेज है, और यह एक से अधिक शब्द का हो सकता है। तो यह एक वॉलेट पासफ्रेज है। यह एक अतिरिक्त वैकल्पिक पासफ्रेज है जिसे आप अपने निमोनिक फ्रेज में जोड़ते हैं ताकि निमोनिक फ्रेज में एक दूसरा फैक्टर (second factor) हो सके। ताकि अगर कोई आपके ऑफिस में एक कागज के टुकड़े पर लिखे 24 शब्दों को चुरा लेता है, उदाहरण के लिए, तो वे तुरंत आपके पैसे नहीं ले सकते क्योंकि वहां एक वॉलेट पासफ्रेज है। अब, याद करें जब हम उस एक पासवर्ड, मास्टर पासवर्ड के बारे में बात कर रहे थे जो

एक पासवर्ड मैनेजर में उपयोग किया जाता है। और हमने कहा था कि उसे बार-बार हैश किया जाता है और यह ब्रूट फोर्सिंग को रोकता है। ठीक वैसा ही BIP-39 मानक में वैकल्पिक पासफ्रेज और निमोनिक फ्रेज के साथ किया जाता है। PBKDF2 नामक एक पासवर्ड स्ट्रेचिंग एल्गोरिदम का उपयोग इसे SHA-512 के 2000 राउंड लागू करके SHA-512 के साथ स्ट्रेच करने के लिए किया जाता है। अब यह थोड़ा समझौता है, यह BIP-39 मानक में एक समझौता है क्योंकि BIP-39 मानक, वॉलेट के लिए निमोनिक फ्रेज मानक को हार्डवेयर वॉलेट उपकरणों पर चलने में सक्षम होना चाहिए, जो इतने बड़े छोटे USB उपकरण होते हैं और जिनमें बहुत अधिक प्रोसेसिंग पावर नहीं होती है। इसलिए वास्तव में SHA-512 के 2000 राउंड चलाने में कुछ सेकंड लगते हैं। दो, तीन सेकंड। अब इसका मतलब यह है कि, दुर्भाग्य से यह बहुत अच्छी सुरक्षा नहीं है, यह पर्याप्त है, लेकिन इसे ब्रूट

फोर्स किया जा सकता है यदि आपके पास बहुत अधिक शक्तिशाली कंप्यूटर है। इसलिए यदि आप एक GPU का उपयोग करते हैं, उदाहरण के लिए, या इससे भी बेहतर, SHA-512 के लिए डिज़ाइन किया गया एक ASIC या SHA-512 के लिए एक FPGA डिवाइस, तो आप वास्तव में एक सेकंड के एक अंश में 2000 राउंड कर सकते हैं। और इसलिए आप एक ही सीड पर प्रति सेकंड सैकड़ों, शायद हजारों पासवर्ड या पासफ्रेज आज़मा सकते हैं। जो आपको बजट पर सही मात्रा में हार्डवेयर के साथ, एक वैकल्पिक पासफ्रेज के साथ BIP-39 निमोनिक पर हमला करने की अनुमति देगा। लेकिन फिर से, यह मामूली बात नहीं है। इसलिए हम लेयर्स के बारे में बात कर रहे हैं। तो चलिए पासफ्रेज के बारे में बात करते हैं। हम यह दर्शाने के लिए पासवर्ड के बजाय पासफ्रेज शब्द का उपयोग करते हैं कि यह एक शब्द नहीं है। यह वास्तव में एक वाक्यांश है। ठीक वैसे ही जैसे निमोनिक फ्रेज एक वाक्यांश है। यह शब्दों की एक श्रृंखला है, जो रिक्त स्थान द्वारा अलग की जाती है। और यह इसे याद रखना बहुत आसान बनाता है, साथ ही

लिखना और पढ़ना भी, भले ही यह थोड़ा खराब हो गया हो और इसे पढ़ने में सक्षम हो। पता चलता है कि इंसान पैटर्न पहचानने में बहुत, बहुत अच्छे हैं। इसलिए यदि आप अपनी लिखावट में, लोअर केस में शब्दों की एक श्रृंखला लिखते हैं, तो आप इसे पढ़ सकते हैं, भले ही शब्द का दो-तिहाई हिस्सा मिट गया हो, या आप काफी अच्छा अनुमान लगा सकते हैं। और यदि शब्दों का आपके लिए कोई अर्थ है, या आप उन शब्दों के साथ एक मानसिक छवि बना सकते हैं, तो आप वास्तव में एक वाक्यांश को बेतरतीब ढंग से उत्पन्न पासवर्ड की तुलना में बहुत बेहतर याद रख सकते हैं जिसमें अपर और लोअर केस अक्षर और संख्याएं होती हैं। लेकिन इसे थोड़ा बेहतर ढंग से समझाने के लिए, मैं रान्डेल मुनरो से कुछ मदद लेने जा रहा हूँ। अब आपने मुझे अतीत में रान्डेल मुनरो के बारे में बात करते हुए सुना होगा। रान्डेल मुनरो एक ग्राफिक कलाकार हैं जो एक कार्टून बनाते हैं जिसे

XKCD कहा जाता है। और XKCD एक ग्राफिक कार्टून है जो विभिन्न तकनीकी अवधारणाओं को दिखाता है, और साथ ही प्रफुल्लित करने वाली सामाजिक आलोचना और सभी प्रकार के शानदार विचारों को भी। इसमें वास्तव में बहुत ही स्मार्ट विचारों को बहुत, बहुत अच्छी तरह से प्रस्तुत किया गया है। और आप जानते हैं, यह उन स्थितियों में से एक है जहां एक XKCD है, लगभग किसी भी अवधारणा के लिए एक XKCD ड्राइंग है जिसे आप अच्छी तरह से समझाना चाहते हैं। इसलिए मैं एक का उपयोग करने जा रहा हूँ जिसके बारे में आप में से कई लोगों ने शायद पहले सुना होगा, और इसे 'correct horse battery staple' के रूप में जाना जाता है। और अगर यह बकवास लगता है तो एक सेकंड के लिए रुकें। ठीक है तो चलिए यहाँ हमारी स्क्रीन पर उस पर एक नज़र डालते हैं। तो इसे कहा जाता है, इसे पासवर्ड कहा जाता है। 20 वर्षों के प्रयास के माध्यम से, हमने सफलतापूर्वक सभी को ऐसे पासवर्ड का उपयोग करने के लिए प्रशिक्षित किया है जिन्हें इंसानों के लिए याद रखना मुश्किल है, लेकिन कंप्यूटर के लिए अनुमान लगाना आसान है। और यदि आप यहाँ ऊपर देखते हैं

XKCD पासफ्रेज़ कॉन्सेप्ट (40:47)

ऊपर बाएँ कोने में, यह एक सामान्य पासवर्ड है जो आपसे किसी वेबसाइट पर माँगा जाता है। तो यह, किसी क्रम में बड़े और छोटे अक्षर, संख्याएँ और प्रतीक हैं। आप यहाँ जो देख रहे हैं वह एक सामान्य बात है जो उपयोगकर्ता इन्हें बनाने और याद रखने के लिए करते हैं, वे किसी शब्द को बिगाड़ने की कोशिश करते हैं। तो यह शब्द Troubadour है। एक घुमक्कड़ संगीतकार जो नायकों के कारनामों के बारे में गाता है। मुझे लगता है कि Troubadour का यही मतलब है। एक Troubadour और 3। तो इस मामले में आप कुछ ऐसा देखते हैं जो दिखने में यादृच्छिक (random) लगता है, लेकिन वास्तव में यादृच्छिक नहीं है। अब इस विशेष चीज़ का कंप्यूटर के आधार पर विश्लेषण किया जा सकता है। गणितीय दृष्टिकोण से, सूचना सिद्धांत के दृष्टिकोण से, यह देखने के लिए कि यह चीज़ कितनी यादृच्छिक है। या इस तरह की चीज़ में कितनी यादृच्छिकता है। तो इस विशेष मामले में, हमारे पास लगभग 28 बिट्स की एन्ट्रोपी है। इसका मतलब है कि यह

जटिलता की मात्रा को 28 बाइनरी अंकों की एक बाइनरी संख्या, 2 की घात 28 द्वारा व्यक्त किया जा सकता है। जिसे अगर आप एक सेकंड में 1,000 अनुमान लगाने में सक्षम हों, तो ब्रूट फोर्स (brute force) करने में आपको 3 दिन लगेंगे। तो यह मूल रूप से एक वेब सेवा या ऐसा ही कुछ है जहाँ आप प्रति सेकंड कई अनुमान लगाने की कोशिश कर रहे हैं। यदि आपके पास कोई डेटाबेस है जिसे आपने किसी वेबसाइट से चुराया है, तो निश्चित रूप से आप एक औसत कंप्यूटर पर प्रति सेकंड 1,000 से कहीं अधिक अनुमान लगा सकते हैं। लेकिन किसी भी मामले में, कंप्यूटर के लिए इसका अनुमान लगाना वास्तव में आसान है। और कंप्यूटर के लिए इसका अनुमान लगाना आसान है क्योंकि 28 बिट्स की एन्ट्रोपी पर्याप्त नहीं है, लेकिन भले ही कंप्यूटर के लिए इस क्रम में बड़े और छोटे अक्षरों के सभी संभावित संयोजनों को आज़माकर अनुमान लगाना और ब्रूट फोर्स करना आसान हो, इंसानों के लिए इसे याद रखना वास्तव में बहुत कठिन है। और ठीक

नीचे रान्डेल मुनरो (Randal Monroe) हमें एक अलग दृष्टिकोण दिखाते हैं, जो कि रिक्त स्थान (spaces) द्वारा अलग किए गए सामान्य अंग्रेजी शब्दों का उपयोग करना है। यह एक निमोनिक पासफ्रेज़ (mnemonic passphrase) है, पासवर्ड नहीं। और इस मामले में, बस यादृच्छिक रूप से 4 शब्द चुनना, केवल 4। यादृच्छिक रूप से चुने गए 4 शब्द वास्तव में उत्पन्न करते हैं, यदि आप मान लें कि यह एक बड़े शब्दकोश से है, शायद एक अंग्रेजी भाषा का शब्दकोश, जिसमें 100,000 शब्द शामिल हैं। तो आपको लगभग 44 बिट्स की एन्ट्रोपी मिलती है। 44 बिट्स की एन्ट्रोपी आपको प्रति सेकंड 1,000 अनुमानों पर 550 साल देती है। और एक सेकंड में 10,000 अनुमानों पर 55 साल। एक सेकंड में 100,000 अनुमानों पर 5 साल। इसे ब्रूट फोर्स करना वास्तव में मुश्किल है और यह केवल 4 शब्द हैं। लेकिन सबसे महत्वपूर्ण बात यह है कि इंसानों के लिए इसे याद रखना आसान है। यही कारण है कि हम bit 39 में निमोनिक वाक्यांशों का उपयोग करते हैं। तो अगर आप 'correct horse battery staple' के बारे में सोचते हैं, तो आप इसे बना सकते हैं, भले ही ये यादृच्छिक

शब्द हों, आप यह अजीब मानसिक छवि बना सकते हैं जो आपको जुड़ाव (association) का आधार देती है। और जुड़ाव ही वह तरीका है जिससे इंसानों में याददाश्त काम करती है। तो आपके पास यह छोटी सी ड्राइंग है जो यहाँ बनाई जा रही है। वह एक बैटरी स्टेपल (battery staple) है, सही (correct)। तो वह एक घोड़ा (horse) है जो कह रहा है कि वह एक बैटरी स्टेपल है और कोई कह रहा है सही, वह एक बैटरी स्टेपल है, एक 'correct horse battery staple'। और अगर आप किसी गीक (geek) से बस ये 4 शब्द कहते हैं, तो वे तुरंत समझ जाएंगे कि आप किस बारे में बात कर रहे हैं क्योंकि इस वाक्यांश को याद रखना इतना आसान है कि इंटरनेट पर लाखों लोगों ने इस एक कार्टून और उदाहरण से इसे सफलतापूर्वक याद कर लिया है। तो इन विशाल चीज़ों के साथ, Xkcd.org वह जगह है जहाँ आप जा सकते हैं और कार्टून की यह सीरीज़ देख सकते हैं। शानदार काम। XKCD। लेकिन मुझे लगता है कि इससे आपको बात समझने में मदद मिलती है। तो यह एक पासफ्रेज़ है, और यह उत्पन्न करने का एक बहुत बेहतर तरीका है एक

वॉलेट और एन्क्रिप्शन के लिए पासफ्रेज़ का उपयोग करना (45:27)

आपके पासवर्ड मैनेजर के लिए मास्टर पासवर्ड, साथ ही आपके वॉलेट के लिए एक वैकल्पिक पासफ्रेज़। तो आप वास्तव में इसके साथ अपने वॉलेट के लिए एक वैकल्पिक पासफ्रेज़ बना सकते हैं। जिसे ब्रूट फोर्स (brute force) करना वास्तव में बहुत मुश्किल है, यहां तक कि GPU या FPG के साथ भी। भले ही आप SHA-512 के 2000 राउंड कर सकें, फिर भी किसी को चार या पांच शब्दों वाले पासफ्रेज़ को ब्रूट फोर्स करने में महीनों नहीं तो सालों लग जाएंगे। यदि आप छह शब्दों का उपयोग करते हैं, तो आपके पास वास्तव में एक बहुत मजबूत तंत्र होता है। अब आप केवल इसका उपयोग नहीं करेंगे। तो मान लीजिए कि आपके पास एक BIP-39 निमोनिक (mnemonic) वाक्यांश है, और आप एक वैकल्पिक पासफ्रेज़ जोड़ना चाहते हैं और आप कहते हैं, ठीक है, मैं डिक्शनरी से यादृच्छिक रूप से चार शब्द चुनने जा रहा हूं। और फिर वह मेरा वैकल्पिक पासफ्रेज़ होगा, और मैं उन चार शब्दों को याद कर सकता हूं और उन्हें ध्यान में रख सकता हूं। और मैं उनका बैकअप भी

किसी दूसरी जगह पर रखूंगा क्योंकि भले ही मैं उन्हें याद रख सकता हूं, लेकिन अगर मुझे कुछ हो गया तो क्या होगा। क्या मैं चाहूंगा कि मेरी विरासत कहीं गायब हो जाए क्योंकि किसी को भी मेरे द्वारा उपयोग किया गया वैकल्पिक पासफ्रेज़ नहीं मिल सकता? नहीं, जाहिर है मैं ऐसा नहीं चाहता। इसलिए मुझे पासफ्रेज़ का भी बैकअप लेना होगा, मैं निमोनिक वाक्यांश यानी सीड (seed) का बैकअप लूंगा। और मैं वैकल्पिक पासफ्रेज़ का भी बैकअप लूंगा और उन्हें दो अलग-अलग स्थानों पर रखूंगा। मैं यह भी सुनिश्चित करूंगा कि अगर कोई मेरे सीड को देख लेता है, तो मुझे पता चल जाए कि उन्होंने मेरा सीड देख लिया है ताकि मैं अपने पैसे को तब तक ट्रांसफर कर सकूं, जब तक कि वे एक शक्तिशाली कंप्यूटर का उपयोग करके पासफ्रेज़ के सभी संभावित संयोजनों को आज़मा न लें। ऐसा करने का मेरा तरीका बहुत ही लो-टेक (low tech) है। यह एक प्लास्टिक बैग है, एक टैम्पर-एविडेंट (tamper-evident) प्लास्टिक बैग, जिससे छेड़छाड़ का पता चल जाता है। आप इन्हें

हर जगह ऑनलाइन रिटेलर्स से सौ के पैक में खरीद सकते हैं। इनका उपयोग बिंगो गेम्स और चर्चों आदि के लिए नकद दान के लिए किया जाता है। इनका उपयोग कर्मचारियों को चोरी करने से रोकने के लिए किया जाता है। और वे अपारदर्शी होते हैं, और एक बार जब आप उन्हें सील कर देते हैं, तो उन्हें बिना किसी को पता चले खोलने का एकमात्र तरीका उन्हें फाड़ना या काटना है, जिससे एक निशान छूट जाएगा। आप बिना निशान छोड़े उन्हें फ्रीज या गर्म नहीं कर सकते, या खोलकर फिर से सील नहीं कर सकते। और इसलिए यदि आप अपने निमोनिक वाक्यांश और अपने वैकल्पिक पासफ्रेज़ को इस तरह के टैम्पर-एविडेंट बैग में रखते हैं, और कोई उसे देखने की कोशिश करता है, तो आपको पता चल जाएगा कि उन्होंने उसे देखा है। इसलिए यदि आप हर कुछ महीनों में अपने स्टोरेज स्थानों का ऑडिट करते हैं, तो आपके पास सुरक्षा का एक अच्छा आधार होगा। ठीक है, अब मैं इसे समाप्त करने जा रहा हूं। हम लगभग 45 मिनट और बात करेंगे, क्योंकि मुझे अभी भी टू-फैक्टर (two-factor)

ऑथेंटिकेशन (authentication) के बारे में बहुत कुछ बात करनी है। लेकिन मैं चाहता था कि आप समझें कि हम इस पासफ्रेज़ कॉन्सेप्ट का उपयोग कैसे करते हैं। तो, अगले भाग में, मैं इस बारे में बात करने जा रहा हूं कि सुरक्षित रूप से पासफ्रेज़ कैसे जनरेट करें। चलिए एक इमोजी स्टॉर्म (emoji storm) करते हैं और कृपया मैं YouTube के सभी कम्युनिटी सदस्यों से आह्वान करता हूं कि वे एक इमोजी स्टॉर्म चलाकर सभी को मेरे चैनल के कस्टम इमोजी की अविश्वसनीय रचनात्मक और अभिव्यंजक शक्ति का प्रदर्शन करें, शुरू करें। ठीक है, और मैं वापस आ गया हूं। तो आप एक पासफ्रेज़ बनाना चाहते हैं। और आप जानते हैं कि यह पासफ्रेज़ शायद सबसे अच्छा तब होता है जब यह उस रूप में हो जिसे हम XKCD पासफ्रेज़ के रूप में जानते हैं, जैसे 'correct horse battery staple'। अंग्रेजी शब्दों की एक श्रृंखला जिन्हें यादृच्छिक रूप से चुना गया है, जिनके साथ आप एक मानसिक जुड़ाव, एक छवि बना सकते हैं जो उनके साथ मेल खाती हो। आप इस पासफ्रेज़ का उपयोग करने जा रहे हैं, शायद अपने मास्टर पासवर्ड के लिए, अपने पासवर्ड मैनेजर के लिए, जिसे आपको टाइप करना होगा

सुरक्षित रूप से पासफ्रेज़ जनरेट करना (50:25)

दिन में कई बार अलग-अलग डिवाइस पर। मैं अन्य उद्देश्यों के लिए समान पासफ्रेज़ का उपयोग करता हूं, और मैं एक ही पासफ्रेज़ को नहीं दोहराता। लेकिन मैंने पाया है कि जटिल होने से पहले मैं इनमें से तीन या चार को याद रख सकता हूं। इसलिए मुझे अपने bit 39 वॉलेट के लिए अपने वैकल्पिक पासफ्रेज़ के रूप में ऐसे ही एक पासफ्रेज़ की आवश्यकता होगी। मुझे अपने लैपटॉप पर हार्ड ड्राइव एन्क्रिप्शन के लिए भी ऐसे ही एक पासफ्रेज़ की आवश्यकता होगी। मैं एन्क्रिप्टेड हार्ड ड्राइव का उपयोग करना पसंद करता हूं। और इससे पहले कि आप मेरे लैपटॉप या मेरे किसी भी डिवाइस को बूट करें, वास्तव में, आपको एक पासफ्रेज़ दर्ज करना होगा। और वह पासफ्रेज़ भी उसी रूप का होता है। यह एक निमोनिक (mnemonic) पासफ्रेज़ है। यह अंग्रेजी शब्दों की एक श्रृंखला का उपयोग करता है, जो रिक्त स्थान (spaces) द्वारा अलग होते हैं। एकरूपता के उद्देश्यों के लिए, मैं हमेशा अपने निमोनिक पासफ्रेज़ को लोअरकेस (छोटे अक्षरों) में टाइप करता हूं और उनके बीच साधारण स्पेस देता हूं। तो लोअरकेस शब्द, स्पेस, लोअरकेस शब्द, स्पेस, लोअरकेस शब्द एंटर। और वे हो सकते हैं

लंबाई में चार से आठ शब्दों के बीच कहीं भी। आपको यह तय करना होगा कि आपको किस स्तर की सुरक्षा की आवश्यकता है, और यह इस बात पर निर्भर करता है कि आप इसका उपयोग कहां कर रहे हैं। उस पासफ्रेज़ से प्राप्त होने वाली एन्क्रिप्शन कुंजी के निर्माण में हैशिंग के कितने राउंड का उपयोग किया जाता है और इन चीजों के लिए आप किस स्तर के खतरे का सामना कर रहे हैं। लेकिन चार शायद आपके द्वारा उपयोग किए जाने वाले शब्दों की न्यूनतम मात्रा होनी चाहिए और आठ शायद अधिकतम मात्रा होगी इससे पहले कि आप चीजों को भूलना और भ्रमित होना शुरू कर दें। विशेष रूप से ऐसे पासफ्रेज़ के लिए जिसका आप बहुत बार उपयोग नहीं करते हैं। जितनी बार आप पासफ्रेज़ का उपयोग करते हैं, जितनी बार आप इसे टाइप करते हैं, आप इसे उतना ही लंबा बना सकते हैं। क्योंकि तब आपको अभ्यास द्वारा इसे याद रखने के लिए मजबूर होना पड़ेगा। इसलिए मैं अपने पासवर्ड मैनेजर पर थोड़ा लंबा पासफ्रेज़ उपयोग कर सकता हूं क्योंकि मैं इसे हर एक दिन टाइप करता हूं। मैं थोड़ा छोटा पासफ्रेज़ उपयोग करूंगा,

उदाहरण के लिए, एक वॉलेट पर एक वैकल्पिक पासफ्रेज़ के रूप में, और मेरे डिवाइस पर एक वैकल्पिक पासफ्रेज़ के रूप में थोड़ा और छोटा पासफ्रेज़, मेरी हार्ड ड्राइव के लिए बूट एन्क्रिप्टेड बूट, क्योंकि मैं इसे महीने में केवल एक बार टाइप करता हूं और मेरे लिए इसे भूलना आसान हो सकता है। तो हम इन शब्दों को कैसे चुनते हैं? ऐसा करने के कई तरीके हैं, लेकिन आप चाहते हैं कि वे यादृच्छिक (random) हों। आप नहीं चाहते कि वे कोई गाना हों। किसी गाने के बोल, मुझे नहीं पता। मैं एक गाने के बारे में कहने वाला था, लेकिन मुझे लगता है कि इससे बहुत अधिक विवाद पैदा होगा। इसलिए मैं इसे पूरी तरह से छोड़ दूंगा। आप नहीं चाहते कि यह आपकी फुटबॉल टीम का नारा हो। आप नहीं चाहते कि यह आपके राज्य का स्लोगन हो। आप नहीं चाहते कि यह Star Trek का कोई वाक्यांश हो। क्यों? क्योंकि वे सभी वाक्यांश उन शब्दकोशों में मौजूद हैं जिन्हें

हैकर्स ने इकट्ठा किया है। कोई भी चीज़ जिसे अगर आप Google में एक वाक्यांश के रूप में टाइप करते हैं और आपको कोई परिणाम मिलता है, जिसे निश्चित रूप से, आप Google में टाइप नहीं करने वाले हैं क्योंकि यह उस सुरक्षा को तोड़ता है जिसका आपको कभी उपयोग नहीं करना चाहिए। आपको कभी भी ऐसे वाक्यांश का उपयोग नहीं करना चाहिए जो कभी कहा गया हो, या जिसके किसी के द्वारा कभी कहे जाने की संभावना हो। तो इसके बजाय आप यादृच्छिक शब्द चुनना चाहते हैं और फिर एक मानसिक छवि या जुड़ाव बनाने की कोशिश करते हैं जो आपके लिए सार्थक हो। और यह बहुत अजीब और विचित्र हो सकता है जब तक कि यह आपके लिए सार्थक है और आप उस छवि को अपने दिमाग में दोहरा सकते हैं और थोड़ा अभ्यास कर सकते हैं। यह इसे करने का एक अच्छा तरीका है। तो आप यादृच्छिक शब्द कैसे चुनते हैं? खैर, ऐसा करने के कई तरीके हैं। आप अलग-अलग पृष्ठों पर एक शब्दकोश खोल सकते हैं और बिना देखे अपनी उंगली नीचे रख सकते हैं जो बहुत

अच्छा नहीं है। आप अपना अधिकांश समय पृष्ठों और शब्दकोश के मध्य तीसरे हिस्से और अपनी उंगली से पृष्ठ के मध्य तीसरे हिस्से को चुनने में बिताने की संभावना रखते हैं। लेकिन यह वास्तव में काफी अच्छा है क्योंकि शब्दकोश में बहुत सारे शब्द होते हैं। एक अच्छा, बड़ा, मोटा शब्दकोश। तो आपको पर्याप्त यादृच्छिकता मिलने वाली है। तो यह एक आसान तरीका है जिसे आप बिना किसी अतिरिक्त प्रयास के घर पर ही कर सकते हैं। यदि आप थोड़ा आगे जाना चाहते हैं, तो आप diceware नामक तकनीक का उपयोग कर सकते हैं। D-I-C-E-W-A-R-E. और diceware एक ऐसा तंत्र है जहां आपके पास शब्दों की एक सूची होती है जिसे आप डाउनलोड कर सकते हैं। आप diceware सूचकांक सूची डाउनलोड कर सकते हैं, जो वेबसाइट आपको मिलेगी वह है... आप इसे Google पर काफी आसानी से पा सकते हैं। जो सबसे पहले आता है, वह diceware.D-M-U-T-H dmuth.org है जो सही है। और यदि आप उस वेबसाइट का उपयोग करते हैं, तो आप सूची डाउनलोड कर सकते हैं। अब क्या

डाइसवेयर विधि (55:27)

उस सूची के बारे में दिलचस्प बात यह है कि इसका सूचकांक उन संख्याओं से बनाया गया है जिनमें 1 और 6 के बीच के अंक होते हैं, जो आपको पासे, साधारण पासे, नियमित पासे का उपयोग करने की अनुमति देता है। आप पासे को 5 बार फेंकते हैं और एक 5 अंकों की संख्या बनाते हैं जहाँ सभी अंक 1 और 6 के बीच होते हैं, और फिर आप उस शब्द को खोजते हैं, जो डाइसवेयर सूची में उस सूचकांक से मेल खाता है, और आप इसे लिख लेते हैं और आपको यादृच्छिकता मिल जाती है। आपको ऐसी यादृच्छिकता मिलती है जिसे साधारण पासे के साथ उपयोग करने के लिए डिज़ाइन किया गया है, जो सुविधाजनक है। यदि आपके पास कुछ पासे पड़े हैं, तो आप इसे आसानी से कर सकते हैं। यह गैर-डिजिटल है, आप सूची को अपने कंप्यूटर पर डाउनलोड करते हैं, और आप बस उस सूची से यादृच्छिक रूप से शब्द चुनते हैं। फिर से, यह इन यादृच्छिक पासफ्रेज़ में से एक को उत्पन्न करने का एक शानदार तरीका है। और निश्चित रूप से, आप अपने कंप्यूटर पर किसी प्रोग्राम का भी उपयोग कर सकते हैं। बेशक समस्या यह है

कि यदि आपके कंप्यूटर पर पहले से ही कोई ट्रोजन मैलवेयर या कीबोर्ड लॉगर है, तो यह कुछ कठिनाई पैदा कर सकता है। मैं XKCD pass नामक एक प्रोग्राम का उपयोग करता हूँ, जो वास्तव में XKCD संगत पासफ्रेज़ बनाता है। मैं उनमें से बहुत सारे उत्पन्न करता हूँ। और फिर मैं उस बहुत, बहुत लंबी सूची में से यादृच्छिक रूप से एक को चुनता हूँ। और मैं अपने कंप्यूटर पर कोई संकेत नहीं देता कि मैंने किसे चुना है। मैं बस एक बहुत लंबी सूची के लिए स्क्रॉल, स्क्रॉल और स्क्रॉल करता हूँ। इस तरह इसे कैप्चर करना बहुत कठिन हो जाता है। फिर से, यह परतों के बारे में है। यह एकदम सही नहीं है। इस पूरी प्रक्रिया में बहुत सारी कठिनाइयाँ और कमियाँ हैं। ठीक है। तो अब हमने पासवर्ड सुरक्षा के बारे में बात की है, और हमने कई विषयों को एक साथ जोड़ा है। हमने पासवर्ड की जटिलता के बारे में बात की है। हमने सुरक्षा की परतें बनाने के बारे में बात की है। हमने मानवीय स्मृति और मानवीय यादृच्छिकता की कमजोरियों के बारे में बात की है। हमने इस बारे में बात की है कि क्यों

सॉफ़्टवेयर का उपयोग न करने की तुलना में सॉफ़्टवेयर का उपयोग करना बेहतर है, भले ही आप सॉफ़्टवेयर पर 100 प्रतिशत भरोसा न कर सकें। हमने इस बारे में बात की कि अपना मास्टर पासफ्रेज़ कैसे उत्पन्न करें और आपको किस प्रकार के मास्टर पासफ्रेज़ का उपयोग करना चाहिए, जिसका उपयोग आप अपने पासवर्ड मैनेजर से अपने सत्र पासवर्ड, या साइट पासवर्ड उत्पन्न करने के लिए कर सकते हैं जो जटिल अल्फ़ान्यूमेरिक और यादृच्छिक होते हैं जिन्हें याद रखना असंभव है और आपका पासवर्ड मैनेजर उन्हें याद रखता है। तो अगला विषय 2-फैक्टर ऑथेंटिकेशन है। अब, 2-फैक्टर ऑथेंटिकेशन क्या है? 2-फैक्टर ऑथेंटिकेशन वह है जब आप खुद को प्रमाणित करने के लिए 2 अलग-अलग तरीकों का उपयोग करते हैं। तो प्रमाणीकरण का मूल अर्थ यह साबित करना है कि आप वही हैं जो आप होने का दावा करते हैं। और 2-फैक्टर ऑथेंटिकेशन का अर्थ है यह साबित करने के लिए 2 अलग-अलग तंत्रों का उपयोग करना कि आप वही हैं जो आप होने का दावा करते हैं। और कंप्यूटर सुरक्षा में, हम मल्टी-फैक्टर ऑथेंटिकेशन और प्रमाणीकरण के कारकों को 3 चीजों में से 1 के रूप में वर्णित करते हैं। 3 संभावित कारक जो आपके

पास हो सकते हैं, वे हैं कुछ ऐसा जो आप जानते हैं, एक पासवर्ड उस चीज़ का उदाहरण है जिसे आप जानते हैं। आप इसे याद करते हैं इसलिए, आप इसे जानते हैं। ज्ञान आधारित प्रमाणीकरण भी इस 'कुछ ऐसा जो आप जानते हैं' कारक का एक रूप है, जैसे आपका जन्म कहाँ हुआ था? आपके पहले केक मिक्सर का ब्रांड क्या है? स्कूल में आपने सबसे पहले किसे चूमा था? चाहे वह कुछ भी हो। अब, स्पष्ट रूप से कुछ ऐसा जो आप जानते हैं, एक कारक है, और यह एक अच्छा कारक है। केवल तभी जब 1, आप इसे याद रख सकें और कोई और आसानी से इसका अनुमान न लगा सके। और इसलिए यहीं पर वह सारी जटिलता आती है जिसके बारे में हमने पासवर्ड के साथ बात की थी। प्रमाणीकरण का दूसरा रूप। प्रमाणीकरण का एक कारक कुछ ऐसा है जो आप हैं। और 'कुछ ऐसा जो आप हैं' आमतौर पर एक बायोमेट्रिक को संदर्भित करता है, आपके भौतिक अस्तित्व के बारे में एक अपरिवर्तनीय माप जिसे नकली नहीं बनाया जा सकता है। तो एक फिंगरप्रिंट, एक आईरिस स्कैन, आपकी आवाज़ की ध्वनि जब आप

उस वाक्यांश को दोहराते हैं जिसे आपको दोहराना होता है। आपकी चाल, आपकी ऊंचाई, चेहरे की पहचान के लिए आपका चेहरा, ये सभी चीजें बायोमेट्रिक कारक हैं। तो कुछ ऐसा जो आप हैं। बायोमेट्रिक कारकों के फायदे और नुकसान हैं। उनका उपयोग किसी अन्य कारक के अतिरिक्त किया जा सकता है। बेशक, बायोमेट्रिक के साथ बड़ा नुकसान यह है कि यदि इसे कॉपी किया जाता है या यदि यह खो जाता है, तो इसे बदला नहीं जा सकता है। तो अगर, उदाहरण के लिए, मेरे फिंगरप्रिंट लीक हो जाते हैं, और हर किसी की मेरे फिंगरप्रिंट तक पहुंच हो जाती है और वे उन्हें लेटेक्स के साथ फिर से बना सकते हैं जैसा कि आपने उन सभी जासूसी फिल्मों में देखा है, तो मैं अपने फिंगरप्रिंट नहीं बदल सकता। और इसलिए यह बायोमेट्रिक अब मेरे लिए उपयोगी नहीं है। और हमने देखा है कि बायोमेट्रिक्स को लागू करना काफी कठिन है, लेकिन यह दूसरे कारक के रूप में बहुत उपयोगी है, प्राथमिक के रूप में कभी नहीं। मैं कभी भी खुद को प्रमाणित करने के एकमात्र तरीके के रूप में बायोमेट्रिक का उपयोग नहीं करूँगा, मान लीजिए मेरे

बायोमेट्रिक प्रमाणीकरण (1:00:44)

फोन। क्योंकि जैसा कि आपने देखा है और हर आठ साल का बच्चा जानता है, अगर आप मम्मी के सोफे पर सोते समय उनके iPhone को उनकी उंगली पर लगाते हैं, तो आप Amazon पर जाकर चीजें खरीद सकते हैं। आप खुद के पर्सनल सांता बन सकते हैं। बस आपको मम्मी के अंगूठे या पापा के चेहरे तक पहुंच मिलनी चाहिए, और फेशियल रिकग्निशन डिवाइस को पापा के चेहरे के सामने रखना होगा। जबकि पापा बारबेक्यू पार्टी में इतना काम करने के बाद खर्राटे ले रहे हों। केवल बायोमेट्रिक पर्याप्त नहीं है, लेकिन यह एक बहुत अच्छा दूसरा फैक्टर (कारक) बनता है। अंतिम फैक्टर वह है जो आपके पास है, जो आपके पास है, और जिस पर आपका स्वामित्व है। और यह बायोमेट्रिक फैक्टर आमतौर पर एक अतिरिक्त डिवाइस में शामिल होता है। यह एक ऐसा डिवाइस है जो एक सुरक्षा फैक्टर है जिसे आप अपने पास रखते हैं। एक कुंजी प्रमाणीकरण का एक ऐसा फैक्टर है जिस पर आपका स्वामित्व होता है। एक डिजिटल कुंजी, एक निजी कुंजी, यहां तक कि एक भौतिक

कुंजी जो आपका दरवाजा खोलने के काम आती है। और आजकल हमारे पास ऐसे दूसरे फैक्टर तेजी से बढ़ रहे हैं जो आपके स्वामित्व वाली किसी चीज़ पर आधारित होते हैं और जिन्हें USB डिवाइस के रूप में बनाया जाता है। वास्तव में, मेरे पास एक ऐसा डिवाइस है जो हमेशा मेरे लैपटॉप में लगा रहता है। आप में से बहुत से लोगों ने शायद मुझे पहले भी इनके बारे में बात करते हुए सुना होगा। यह एक YubiKey है, और यह YubiKey एक ऐसा डिवाइस है जो इतना छोटा है कि जब मैं इसे अपने लैपटॉप के USB पोर्ट में लगाता हूं, तो केवल एक छोटा सा मैटेलिक टैब बाहर निकला रहता है, जो टच-सेंसिटिव (स्पर्श के प्रति संवेदनशील) होता है। जब मैं इसका उपयोग करने की कोशिश करता हूं, तो मुझे इसे छूना पड़ता है। और जब मैं इसे छूता हूं, तो मैं इसे सक्रिय कर देता हूं और यह मेरे कंप्यूटर से एक कोड भेजता है। अब आप मेरे कंप्यूटर के किनारे पर प्रमाणीकरण के लिए टैप किए बिना मेरे कंप्यूटर और मेरी कई अन्य सेवाओं में लॉग इन नहीं कर सकते। अब, यदि आप मेरा डेटाबेस या मेरा मास्टर पासफ्रेज चुरा लेते हैं, या

आप मेरे पासवर्ड का अनुमान लगा लेते हैं, तब भी आप इन डिवाइस को डिक्रिप्ट या खोल नहीं सकते या मेरे विभिन्न खातों तक नहीं पहुंच सकते क्योंकि आपके पास यह चीज़ नहीं है। यह चीज़ मेरे पास है। और निश्चित रूप से यह सुरक्षा का एक अतिरिक्त फैक्टर है। अपने आप में, यह पर्याप्त नहीं है क्योंकि अगर कोई मेरा लैपटॉप चुराने में सक्षम हो गया, तो अब उनके पास यह चीज़ है, लेकिन सौभाग्य से उनके पास मेरा पासवर्ड नहीं है, जो कि दूसरा फैक्टर है। इसलिए सामान्य तौर पर, जब हम मल्टी-फैक्टर प्रमाणीकरण के बारे में बात कर रहे होते हैं, तो हम यह स्वीकार कर रहे होते हैं कि प्रमाणीकरण का कोई भी एक फैक्टर अपने आप में पर्याप्त नहीं है। सभी प्रमाणीकरण फैक्टर के विफल होने के तरीके (failure modes) होते हैं। लेकिन यदि आप मल्टी-फैक्टर प्रमाणीकरण का उपयोग करते हैं और आपके प्रमाणीकरण फैक्टर अलग-अलग हैं, तो विफलता का तरीका, एक प्रमाणीकरण फैक्टर के विफल होने पर दूसरा आपकी सुरक्षा के लिए बच जाता है। तो आपके पास सुरक्षा की परतें होती हैं। आप जानते हैं कि हर जासूसी फिल्म में, जब वे मूल रूप से किसी

बुरे आदमी की उंगली काट देते हैं और उसे फिंगरप्रिंट रीडर तक ले जाते हैं और उसका उपयोग दरवाजा खोलने के लिए करते हैं, खैर कोई भी दरवाजा इस तरह काम नहीं करता है। उन सभी को एक पिन कोड की भी आवश्यकता होती है ताकि यदि आप पिन कोड चुरा लें, तो आपके पास उंगली न हो। और यदि आप उंगली चुरा लेते हैं और उसे काट देते हैं, तो आपको पिन कोड नहीं पता होता है। इसमें दोनों की आवश्यकता होती है। ऐसे डिवाइस का कोई भी निर्माता इसे ऐसा नहीं बनाएगा कि आप इसे केवल एक से खोल सकें। और वास्तव में, जब लोग अपने फोन को केवल बायोमेट्रिक से खोलने के लिए सेट करते हैं, तो यह अविश्वसनीय रूप से खतरनाक होता है, और आपको यह सुनिश्चित करने की आवश्यकता है कि आपके पास एक अतिरिक्त तंत्र हो। चैट में एक बहुत अच्छा फॉलो-अप प्रश्न है, क्या होगा यदि मैं अपनी YubiKey, अपनी सुरक्षा कुंजी खो दूं? खैर, मेरे पास वास्तव में कई हैं। मेरे पास 3 हैं। और मैंने एक को अपने अंतिम बैकअप के रूप में किसी बाहरी स्थान (offsite location) पर सुरक्षित रखा है।

मेरे पास एक दूसरी कुंजी है जिसे मैं अपने लैपटॉप में लगाकर नहीं रखता, बल्कि अपने साथ ले जाता हूं। यह अक्सर कुछ ऐसा होता है जिसे आप सुरक्षाकर्मियों को अपनी गर्दन के चारों ओर डोरी (lanyard) में पहने हुए, या कीचेन के रूप में जुड़े हुए देखेंगे। ये डिवाइस काफी मजबूत होते हैं और अक्सर इन्हें कीचेन से जोड़ने के लिए डिज़ाइन किया जाता है। इसलिए आप इन्हें अपनी चाबियों के साथ ले जा सकते हैं, जो कि समझदारी भरा कदम है। समान सुरक्षा मॉडल के तहत वे लगभग अविनाशी (indestructible) होते हैं। आप उन पर ट्रक चढ़ा सकते हैं और वे फिर भी काम करेंगे। इसलिए मैंने इन तीनों सुरक्षा कुंजियों को पंजीकृत (register) किया है, ताकि कोई भी काम कर सके और मुझे अपनी पहुंच (access) खोने से पहले उन तीनों को खोना पड़ेगा। लेकिन वे तीनों ऐसे स्थानों पर हैं जहां पहुंचना मुश्किल है। और मुख्य जोखिम, मुख्य खतरा जिसे मैं यहां संबोधित करने का प्रयास कर रहा हूं, वह रिमोट कॉम्प्रोमाइज (दूरस्थ सेंधमारी) है। हां, यदि आप मेरे घर, कार्यालय में घुसपैठ करते हैं

सुरक्षा कुंजियां और YubiKeys (1:05:51)

या किसी अज्ञात स्थान नंबर 5 पर, और आप वह दुष्ट नौकरानी हैं जो मेरे होटल के कमरे या कहीं भी घुस जाती है, तो आप इन उपकरणों को ढूंढ सकते हैं, लेकिन फिर शायद आपके पास मेरा पासवर्ड नहीं होगा। यदि आप मेरे सिस्टम को हैक करते हैं और मेरा पासवर्ड प्राप्त कर लेते हैं, तो आपके पास उपकरण नहीं होगा। यदि आप मेरे किसी उपकरण में लॉग इन करने के लिए पासवर्ड का उपयोग करने का प्रयास करते हैं, तो मैं आपको एक्सेस देने के लिए कंप्यूटर के किनारे पर टैप नहीं करूंगा। और पूरी ईमानदारी से कहूं तो, जब मैं अपने कंप्यूटर को अकेला छोड़ता हूं, तो मैं YubiKey निकाल लेता हूं और उसे अपने साथ ले जाता हूं। तो फिर से, यह परतों के बारे में है। इसलिए टू-फैक्टर ऑथेंटिकेशन का मतलब है किसी भी सेवा या उपकरण पर खुद को प्रमाणित करने के लिए कम से कम दो कारकों का उपयोग करना। और ये हैं: कुछ ऐसा जो आप जानते हैं, कुछ ऐसा जो आपके पास है और कुछ ऐसा जो आप हैं। इन तीनों में से किसी एक का उपयोग दूसरे कारक के रूप में किया जा सकता है। और निश्चित रूप से आप

थ्री-फैक्टर ऑथेंटिकेशन का उपयोग कर सकते हैं, यदि आप चाहें, हालांकि यह थोड़ा असामान्य है, उस बिंदु पर यह बोझिल और जटिल हो जाता है। रिकवर करना मुश्किल होता है, और लॉक आउट होना आसान हो जाता है। इसलिए 2 आमतौर पर जादुई संख्या है, और इसीलिए हम इसे 2FA या टू-फैक्टर ऑथेंटिकेशन कहते हैं। अन्य लोग इसे मल्टीपल-फैक्टर ऑथेंटिकेशन या मल्टी-फैक्टर ऑथेंटिकेशन के लिए MFA कहते हैं। यह बिल्कुल एक ही बात है। एक और मानक है, जो सुरक्षा कुंजियों के लिए एक सार्वभौमिक प्रारूप का मानक है, जैसे कि छोटी YubiKey जो मैंने आपको दिखाई थी, जिसका उपयोग उद्योग में किया जाता है। अब यह Fido Alliance नामक एक मानक निकाय द्वारा बनाया गया है, और इसे U2F, यूनिवर्सल टू-फैक्टर कहा जाता है। यदि आप मेरे कोड की स्लाइड पर ध्यान दें तो वहां 'learn U2F' (यूनिवर्सल टू-फैक्टर) लिखा है। U, संख्या 2, अक्षर F, U2F। यह बस एक हार्डवेयर-आधारित मल्टीफैक्टर डिवाइस के लिए एक मानक है जिसे प्लग इन किया जा सकता है, कनेक्ट किया जा सकता है या

ब्लूटूथ या NFC के माध्यम से उस डिवाइस पर ट्रांसमिट किया जा सकता है जिसे आप प्रमाणित करने का प्रयास कर रहे हैं। ठीक है, तो चलिए एक प्रश्न पर चलते हैं। वह वाला नहीं। यह कहां है? शायद अब? ठीक है, एक सेकंड। ऐसा लगता है कि प्रश्न हाइलाइट नहीं हो रहा है। पता नहीं क्यों। कृपया मुझे एक सेकंड दें। मैं इसे ठीक कर दूंगा। मुझे अपना ब्राउज़र रीफ्रेश करना होगा। उम्मीद है कि यह मुझसे कोई जटिल पासवर्ड नहीं मांगेगा। ठीक है, ऐसा लगता है कि किसी प्रकार की... ओह रुकिए, एक सेकंड रुकिए। मेरे Slido के साथ कुछ गलत हो गया है, इसलिए मैं वास्तव में हाइलाइट किए गए प्रश्न नहीं देख पा रहा हूं। मुझे नहीं पता कि ऐसा क्यों हो रहा है। ऐसा पहले कभी नहीं देखा। ओह, एक पोल है। जाहिर है कि एक सक्रिय पोल है जो अब मुझे प्रश्न देखने में बाधा डाल रहा है। मुझे नहीं पता क्यों। मुझे क्षमा करें। ओह, यह आ गया। यह अपने आप ठीक हो गया। तकनीकी कठिनाइयों के लिए क्षमा करें दोस्तों। एक टेक्स्ट

संदेश कमजोर टू-फैक्टर ऑथेंटिकेशन क्यों है, क्या यह कुछ न होने से बेहतर है? तो कई बैंक SMS का उपयोग करते हैं जैसा कि किसी और ने बताया, वे टू-फैक्टर ऑथेंटिकेशन के रूप में SMS टेक्स्ट संदेशों का उपयोग करते हैं। तो एक टेक्स्ट संदेश कमजोर टू-फैक्टर ऑथेंटिकेशन क्यों है? ठीक है। तो एक टेक्स्ट संदेश किस प्रकार का कारक है? आइए देखें कि क्या हम इसका पता लगा सकते हैं। क्या यह कुछ ऐसा है जो आप जानते हैं? नहीं, आप उस समय नहीं जानते हैं। ऐसा लगता है कि किसी प्रकार का पोल चल रहा है जो बाधा डाल रहा है। क्षमा करें। Slido किसी कारण से एक पोल के साथ शुरू हुआ। यह अजीब है। ठीक है। क्या टेक्स्ट संदेश एक अच्छा टू-फैक्टर है। यह किस प्रकार का कारक है? क्या यह कुछ ऐसा है, जो आप जानते हैं? नहीं, क्योंकि आप इसे नहीं जानते हैं, जब यह आपको एक टेक्स्ट संदेश के रूप में भेजा जाता है, तो आप इसे नहीं जानते हैं, आपको इसके बारे में पता चलता है। तो यह कुछ ऐसा नहीं है जिसे आप जानते हैं। क्या यह

SMS एक कमज़ोर टू-फैक्टर ऑथेंटिकेशन क्यों है (1:11:00)

क्या यह आपकी कोई पहचान है? नहीं, यह आपकी पहचान नहीं है। क्या यह कोई ऐसी चीज़ है जिसके आप मालिक हैं? कुछ हद तक। आप सोच सकते हैं, ठीक है, यह मेरी अपनी चीज़ है, मैं उस फोन का मालिक हूँ जिस पर टेक्स्ट संदेश आ रहा है। लेकिन टेक्स्ट संदेश किसी फोन पर नहीं भेजा जा रहा है, यह एक फोन नंबर पर भेजा जा रहा है। क्या आप उस फोन नंबर के मालिक हैं? और इसका जवाब यह है कि फोन नंबर वास्तव में सिम (SIM) है, या यों कहें कि वह खाता है जिससे आपके फोन का सिम कार्ड जुड़ा हुआ है और उस खाते का मालिक कौन है? और इसका जवाब है Vodafone, Verizon, AT&T, T-Mobile या कोई और कंपनी। इसलिए टेक्स्ट संदेश वाले टू-फैक्टर ऑथेंटिकेशन के साथ समस्या यह है कि आप फोन नंबर के मालिक नहीं हैं। फोन कंपनी इसकी मालिक है। और फोन कंपनी की सुरक्षा व्यवस्था बहुत ही बकवास होती है। बस यही बात है, यह वास्तव में इतना ही आसान है। इसलिए आपको बस इतना करना है कि फोन कंपनी के ग्राहक सेवा को कॉल करें,

बैकग्राउंड में रोते हुए बच्चे की आवाज़ चलाएं, ऐसा नाटक करें कि आप किसी परेशान बेबीसिटर से बात कर रहे हैं जबकि बच्चा चिल्ला रहा है। और बैकग्राउंड में आपका पति या आपकी पत्नी आप पर चिल्ला रही है। और आप बहुत परेशान हैं और आपका दिन बहुत खराब गुज़र रहा है। और ग्राहक सेवा के बहुत ही मददगार और सहानुभूति रखने वाले लोग सभी सुरक्षा जांचों को नज़रअंदाज़ कर देंगे क्योंकि आपको नहीं पता कि आपके जीवनसाथी ने खाते पर क्या पासवर्ड सेट किया है, और यह वास्तव में एक आपात स्थिति है और आपको तुरंत संपर्क करने की आवश्यकता है। और वे खुशी-खुशी उस नंबर को आपके नए फोन पर पोर्ट कर देंगे जिसे अभी सक्रिय करने की आवश्यकता है, क्योंकि यह एक आपात स्थिति है। अब, अगर यह आपको केवल एक सैद्धांतिक हमले जैसा लगता है, तो वास्तव में Def Con, Black Hat और अन्य हैकर सम्मेलनों में इसका एक शानदार प्रदर्शन होता है, जहाँ वे इस तरह के हमले करते हैं जिन्हें सोशल इंजीनियरिंग हमले कहा जाता है। और

इनमें से सबसे बेहतरीन एक वीडियो है जहाँ एक बहुत ही कुशल सोशल इंजीनियरिंग हैकर ने एक पत्रकार को दिखाया कि वे कितनी जल्दी फोन कंपनी को कॉल करके, बैकग्राउंड में चिल्लाते हुए बच्चे की रिकॉर्डिंग चलाकर और इस आपात स्थिति में मदद की गुहार लगाकर उनके फोन नंबर पर कब्ज़ा कर सकते हैं। और सचमुच 10 मिनट से भी कम समय में, उन्होंने फोन नंबर पर कब्ज़ा कर लिया, फिर उसका उपयोग उनके ईमेल खाते को रीसेट करने के लिए किया, और फिर उसका उपयोग उनके अन्य सभी खातों को रीसेट करने के लिए किया और मूल रूप से 15 मिनट से भी कम समय में उनकी पूरी डिजिटल पहचान से समझौता कर लिया। तो यही कारण है कि टेक्स्ट संदेश टू-फैक्टर ऑथेंटिकेशन का एक कमज़ोर रूप हैं। और यह वास्तव में महत्वपूर्ण है कि यदि आप इससे बच सकते हैं तो आप इसका उपयोग न करें। लेकिन एक गुमनाम सवाल के लिए, क्या यह कुछ न होने से बेहतर है? यह कुछ न होने से बेहतर है। यह कुछ न होने से बेहतर है यदि

आप इसका उपयोग उन खातों पर करने से बच सकते हैं जहाँ आप बेहतर विकल्प चुन सकते हैं। इसलिए ऐसे किसी भी खाते में जहाँ आप टेक्स्ट संदेशों के अलावा किसी अन्य चीज़ का उपयोग कर सकते हैं, उसका उपयोग करें। दूसरी बात यह है कि इस बारे में बहुत सावधानी से सोचें कि आपका फोन प्रदाता कौन है। इसलिए कई सुरक्षा पेशेवर ऐसे फोन प्रदाताओं का उपयोग करते हैं जिनमें मानव ग्राहक सेवा नहीं होती है जिसे सोशल इंजीनियरिंग का शिकार बनाया जा सके और जहाँ खाते स्वयं मज़बूत टू-फैक्टर ऑथेंटिकेशन द्वारा सुरक्षित होते हैं। उदाहरण के लिए, Google का Project Fi, F-I, जो एक वर्चुअल नेटवर्क ऑपरेटर है, में ऐसे इंसान नहीं हैं जिनसे आप बात कर सकें। और आप उस फोन खाते को एक Google खाते के माध्यम से कनेक्ट, एक्सेस और कॉन्फ़िगर करते हैं जिसे आप एक यूनिवर्सल टू-फैक्टर टोकन जैसे मज़बूत टू-फैक्टर ऑथेंटिकेशन के साथ सुरक्षित कर सकते हैं। इसका मतलब है कि आपका नंबर पोर्ट नहीं किया जा सकता है, जिसका अर्थ है कि तब आप उस नंबर का अधिक सुरक्षित रूप से उपयोग कर सकते हैं ताकि टेक्स्ट संदेश आधारित

टू-फैक्टर ऑथेंटिकेशन को सुरक्षित किया जा सके, जैसे कि आपके बैंक के लिए जिनकी सुरक्षा व्यवस्था बहुत खराब होती है। इसलिए सुरक्षा के मामले में सबसे खराब कंपनियों की बात करें तो, बैंक, फोन कंपनियां, और फिर वास्तविक सेवा प्रदाता आते हैं जिनके पास अच्छी सुरक्षा टीमें होती हैं। तो यह सब सुरक्षा की परतों के बारे में है। यदि आपके पास अपने दूसरे कारक प्रमाणीकरण के रूप में टेक्स्ट संदेश का उपयोग करने के अलावा कोई विकल्प नहीं है, तो मैं आपको बताऊंगा कि मैं कुछ ऐसी सेवाओं का उपयोग करता हूँ जहाँ मेरे पास टेक्स्ट संदेश का उपयोग करने के अलावा कोई विकल्प नहीं है। तब यह सुनिश्चित करें कि वह टेक्स्ट संदेश एक ऐसे खाते में जाए जो अच्छी तरह से सुरक्षित हो। यहां तक कि अपने फोन कैरियर के साथ भी, आप अपने खाते पर एक पिन लगा सकते हैं। आप नंबर को पोर्ट करने की सुविधा को बंद कर सकते हैं। आप उस खाते को मज़बूत करने के लिए जाकर हर तरह की चीज़ें कर सकते हैं। लेकिन अगर आप इससे भी बेहतर कर सकते हैं, तो अपने नंबर को किसी वर्चुअल नेटवर्क ऑपरेटर या सेवा प्रदाता के पास ले जाएं जिसके पास ऐसे इंसान न हों जो

अपना फोन नंबर सुरक्षित करना (1:16:25)

आपके नंबर को पोर्ट करने के लिए सोशल इंजीनियरिंग का शिकार बनाया जा सकता है। और आपके फोन नंबर को नियंत्रित करने वाले कारकों पर मजबूत प्रमाणीकरण होना चाहिए। और यदि आप इससे बच सकते हैं। विशेष रूप से इससे बचें यदि यह आपके एक्सचेंज से जुड़ने के लिए दूसरा कारक (सेकंड फैक्टर) है, जहां आप लाखों डॉलर की क्रिप्टोकरेंसी स्टोर करते हैं। और निश्चित रूप से, मैं यहां एक काफी कुख्यात क्रिप्टोकरेंसी पंडित की ओर इशारा कर रहा हूं, जिसने वास्तव में एक एक्सचेंज वॉलेट पर, एक हॉट वॉलेट पर लाखों डॉलर की क्रिप्टोकरेंसी स्टोर की थी, जो कस्टोडियल था, यानी आपके सिक्के नहीं थे, और वह भी AT&T द्वारा होस्ट किए गए SMS टू-फैक्टर ऑथेंटिकेशन के साथ। और वर्तमान में वह कुछ, मुझे नहीं पता, 50 मिलियन, 100 मिलियन डॉलर, या ऐसे ही किसी हास्यास्पद नुकसान के लिए AT&T पर मुकदमा कर रहा है। ईमानदारी से कहूं तो, यह उस तरह का कानूनी मामला है जहां एक विशेषज्ञ गवाह के रूप में, मैं कटघरे में खड़ा होकर 30 मिनट तक सामने वाले के मुंह पर हंसूंगा

वादी के। जब उन्होंने कहा कि यह किसी और की गलती थी कि उन्होंने AT&T के टेक्स्ट मैसेज टू-फैक्टर ऑथेंटिकेशन द्वारा सुरक्षित एक एक्सचेंज पर लाखों डॉलर रखे। मुझे इसके लिए ज्यादा सहानुभूति नहीं होगी। ठीक है। तो आइए उस टू-फैक्टर ऑथेंटिकेशन के बारे में बात करते हैं जो वास्तव में काम करता है। मैंने सुरक्षा कुंजी (सिक्योरिटी की) के बारे में बात की है, जो हार्डवेयर का एक टुकड़ा है, लेकिन एक और तंत्र भी है जो बहुत आम है, जिसका आप सभी ने पहले उपयोग किया है, जिसमें आपके पास 6 अंकों का नंबर होता है। नीरज ने मददगार तरीके से मुझसे विशेष रूप से उसी विषय पर एक सवाल पूछा। नमस्ते एंड्रियास, Google या Microsoft ऑथेंटिकेटर कैसे काम करता है? क्या कोई विकेंद्रीकृत प्रणाली है जो उनकी जगह ले सकती है? नीरज, ये विकेंद्रीकृत प्रणालियां हैं। हालांकि ऐप एक केंद्रीकृत इकाई द्वारा बनाया गया है, लेकिन ऐप वास्तव में काफी सामान्य (dumb) है। और इसके परिणामस्वरूप, यह वास्तव में विकेंद्रीकृत है। इन ऑथेंटिकेटर्स पर संग्रहीत रहस्य (सीक्रेट्स)

केवल आपके स्थानीय डिवाइस पर संग्रहीत होते हैं। बेशक, इसमें कुछ विविधताएं हैं। इनमें से कुछ एप्लिकेशन, जैसे उदाहरण के लिए, Offi (ऑफी) आपको उन रहस्यों का बैकअप लेने और किसी अन्य डिवाइस पर पोर्ट करने की अनुमति देते हैं जो आपके टू-फैक्टर ऑथेंटिकेशन का आधार हैं। जो उन्हें सुविधाजनक, लेकिन खतरनाक बनाता है। यदि आपने Offi या बैकअप का समर्थन करने वाले अन्य सिस्टम में कई डिवाइसों का समर्थन चालू रखा है, तो आपको इसे बंद रखना चाहिए और इसे केवल तभी चालू करना चाहिए, जब आप किसी अन्य फोन या डिवाइस पर पोर्ट कर रहे हों, जैसे उदाहरण के लिए, जब आप अपने स्मार्टफोन को अपग्रेड करते हैं और आपको उन सभी खातों को एक नए डिवाइस पर ले जाने की आवश्यकता होती है। Google ऑथेंटिकेटर ने वास्तव में अपने नवीनतम संस्करण में बैकअप और पोर्टिंग पेश की है। मुझे नहीं पता कि यह कैसे काम करता है, लेकिन अगर यह उस तरह से काम करता है, तो सुनिश्चित करें कि आपने इसे डिफ़ॉल्ट रूप से बंद रखा है। ताकि केवल वह स्थानीय डिवाइस

उन सुरक्षा कोड का उपयोग कर सके। अन्यथा यह वास्तव में टू-फैक्टर नहीं है, है ना? यह ऐसी चीज़ नहीं है जिसके आप मालिक हैं। यह एक बैकअप पासवर्ड है। यह कुछ ऐसा है, जिसे आप जानते हैं, और जिसे आसानी से चुराया जा सकता है, या यह आपके फोन नंबर से जुड़ा है। जिस स्थिति में हम वापस उसी टेक्स्ट मैसेज सुरक्षा पर आ जाते हैं जिसके बारे में हम पहले बात कर रहे थे। कोई आपके सिम को पोर्ट करता है, वे आपके नंबर पर कब्ज़ा कर लेते हैं। वे स्मार्टफोन पर ऑथेंटिकेटर सॉफ्टवेयर इंस्टॉल करते हैं। फिर वे बैकअप डाउनलोड करते हैं और उसे उस डिवाइस पर पोर्ट करते हैं। और उनके पास आपके वे सभी टू-फैक्टर ऑथेंटिकेशन आ जाते हैं जो वास्तव में टू-फैक्टर ऑथेंटिकेशन थे ही नहीं। तो यह विफलता का तरीका (failure mode) है, लेकिन सबसे पहले आइए बात करते हैं कि यह चीज़ कैसे काम करती है। तो Google या Microsoft ऑथेंटिकेटर कैसे काम करता है? सबसे पहले, आइए इस चीज़ को एक नाम दें। यह एक तंत्र है जिसे वन-टाइम पासवर्ड (OTP) कहा जाता है। वन-टाइम पासवर्ड दशकों पुराने हैं और उनका उपयोग किया जाता रहा है, खैर, मुझे खुद को सुधारने दें। डिजिटल

पोर्टेबल डिवाइसों पर वन-टाइम पासवर्ड, दशकों पुराने हैं। वन-टाइम पासवर्ड अपने आप में वास्तव में हजारों साल पुराने हैं। यहां सामान्य अवधारणा यह है कि यदि आप यादृच्छिक संख्याओं का एक क्रम उत्पन्न करते हैं और संचार करने वाले दोनों पक्षों के पास उस क्रम की एक प्रति होती है, या वे उस क्रम को उत्पन्न कर सकते हैं और कोई अन्य नहीं कर सकता। तो फिर चुराने या अनुमान लगाने के लिए कुछ भी नहीं बचता। वन-टाइम पैड एन्क्रिप्शन का एक अटूट तरीका है जब तक कि आप इन रहस्यों को उत्पन्न कर सकते हैं और उन्हें चोरी होने से बचा सकते हैं। और वन-टाइम पासवर्ड जो संख्यात्मक होते हैं, 6 अंकों के कोड चुराना बहुत, बहुत मुश्किल होता है। जब तक कि आप उन मूल रहस्यों को गुप्त रख सकते हैं, जो उन्हें उत्पन्न करते हैं। अब Google और Microsoft ऑथेंटिकेटर वन-टाइम पासवर्ड का एक विशेष उपवर्ग हैं जिन्हें समय-आधारित वन-टाइम पासवर्ड कहा जाता है। और यदि आप कोई ऐसा एप्लिकेशन खोजना चाहते हैं जो समय-आधारित वन-टाइम पासवर्ड मानक का समर्थन करता हो, तो आप इस संक्षिप्त नाम (acronym) का उपयोग करते हैं

समय-आधारित वन-टाइम पासवर्ड (1:21:56)

T-O-T-P. तो OTP यानी वन-टाइम पासवर्ड और T-OTP यानी समय-आधारित वन-टाइम पासवर्ड। समय-आधारित का सीधा सा मतलब है कि कोड वर्तमान समय से जुड़ा होता है और हर 30 सेकंड में बदल जाता है। इसलिए ये चीजें एक गुप्त जानकारी (secret) और एक घड़ी का उपयोग करती हैं, जिसे उस विशिष्ट समय के लिए विशिष्ट कोड उत्पन्न करने के लिए वर्तमान समय के साथ कमोबेश सही ढंग से सिंक होना चाहिए, जब आप इसका उपयोग करना चाहते हैं। और क्योंकि यह 30 सेकंड की समय सीमा है, आप थोड़ा आगे-पीछे हो सकते हैं और आपके पास इसे अपनी स्क्रीन पर देखने और वेबसाइट में दर्ज करने के लिए कुछ समय होता है। अब क्योंकि जिस वेबसाइट या डिवाइस से आप कनेक्ट कर रहे हैं, उसके पास भी वही गुप्त जानकारी है और घड़ी कमोबेश सिंक है। यह पता लगा सकता है कि आपको कौन सा कोड दर्ज करना है। यह आमतौर पर एक पहले और एक बाद वाले कोड को देखता है ताकि अगर आप थोड़ा आगे-पीछे हों तो उसे पता चल सके,

जैसे कि 30 सेकंड से थोड़ा ऊपर। यह उन्हें स्वीकार कर लेगा। और फिर आप अपनी स्क्रीन पर वर्तमान कोड देखते हैं, और आपको एक छोटा सा काउंटडाउन दिखाई देगा। और 30 सेकंड के बाद, यह बदल जाता है और आपके पास एक नया छह अंकों का नंबर होता है। तो यह एक निजी कुंजी का उपयोग करके काम करता है। और उस निजी कुंजी से, यह एक व्युत्पत्ति फ़ंक्शन (derivation function) का उपयोग करता है, जो कई अलग-अलग चीजें हो सकती हैं। मुझे नहीं पता कि T-OTP के लिए मानक उपयोग क्या है। मैं मान रहा हूं कि यह समय के साथ किसी प्रकार का हैश तंत्र है। और उस व्युत्पत्ति फ़ंक्शन के साथ, यह हर 30 सेकंड में नए संख्यात्मक कोड उत्पन्न करता है। और आप अनुक्रम से, माफ़ करें, गुप्त जानकारी और वर्तमान समय से, वर्तमान समय के लिए सही कोड की गणना कर सकते हैं। गुप्त जानकारी स्वयं उस QR कोड में होती है जिसे आप जिस सेवा का उपयोग करने का प्रयास कर रहे हैं वह पहली बार प्रदर्शित करती है। तो जब आप इनमें से किसी एक

डिवाइस का उपयोग करने जाते हैं, और वे सभी संगत हैं, इसलिए चाहे आप Google Authenticator या Microsoft Authenticator या Offi या Duo या किसी अन्य का उपयोग करें, और अधिकांश पासवर्ड मैनेजरों में भी इनमें से एक T-OTP सेवा अंतर्निहित होती है। आपको बस उस वेबसाइट या सेवा से एक QR कोड स्कैन करना है जिसमें आप टू-फैक्टर ऑथेंटिकेशन जोड़ना चाहते हैं। और उस QR कोड में एक गुप्त जानकारी होती है। वह गुप्त जानकारी एक अल्फ़ान्यूमेरिक यादृच्छिक रूप से उत्पन्न स्ट्रिंग है जो आपके खातों से जुड़ी होती है। और वेबसाइट इसे आपके लिए यादृच्छिक रूप से उत्पन्न करती है। यह एक QR कोड के रूप में प्रस्तुत होता है। आप इसे अपने Google Authenticator डिवाइस से स्कैन करते हैं, आपका Google Authenticator डिवाइस इसे गुप्त जानकारी के रूप में रिकॉर्ड करता है, और फिर वर्तमान समय के लिए कोड उत्पन्न करना शुरू कर देता है। फिर आप इनमें से एक कोड वेबसाइट में दर्ज करते हैं। यह ट्रैक करके और यह कहकर पुष्टि कर सकता है कि आपने इसे सही ढंग से प्राप्त किया है, हाँ, यही वह कोड है जिसकी मुझे उम्मीद थी

इस 30 सेकंड की समय सीमा में। और अब आपने टू-फैक्टर ऑथेंटिकेशन स्थापित कर लिया है। बेशक इनके साथ कठिनाई बैकअप की है। और ऐसे कई तरीके हैं जिनसे आप बैकअप ले सकते हैं। बैकअप लेने का एक तरीका, जो वास्तव में ईमानदारी से बैकअप लेने का शायद सबसे सुरक्षित तरीका है, वह है एक भौतिक प्रिंटआउट। तो जब आपकी स्क्रीन पर वह QR कोड हो तो प्रिंट दबाएं। मैं भौतिक प्रिंटआउट कहता हूं, क्योंकि आप कुछ और करने के इच्छुक हो सकते हैं, जो कि इसकी एक फोटो लेना है। और निश्चित रूप से, इसकी एक फोटो लेने के लिए, आप अपने स्मार्टफोन का उपयोग करने जा रहे हैं। समस्या यह है कि वह फोटो क्लाउड में स्टोर होने वाली है। जिस बिंदु पर यह अब केवल Google Authenticator में, T-OTP ऑथेंटिकेटर में डिवाइस पर नहीं है। और उस बिंदु पर, यह अब एक सुरक्षित दूसरा कारक (second factor) नहीं है। बैकअप बनाना

अपने टू-फैक्टर ऑथेंटिकेशन की गुप्त जानकारी का क्लाउड में, एक बुरा विचार है। वास्तव में उस बैकअप सुविधा का उपयोग करना बेहतर है जो टू-फैक्टर सॉफ़्टवेयर में हो सकती है, जो कम से कम आपकी पसंद के पासवर्ड के साथ एन्क्रिप्टेड है। आप उस पासवर्ड को अपने पासवर्ड मैनेजर में कहां रखते हैं? अगर आप देख सकते हैं तो हम यहां गोल-गोल घूम रहे हैं, और कभी-कभी यह भ्रमित करने वाला हो सकता है। इसलिए यदि आप बैकअप बनाना चाहते हैं तो QR कोड का प्रिंट आउट लें या अधिकांश सेवाओं के साथ ऐसा न करें, यदि आप अपना टू-फैक्टर ऑथेंटिकेशन टोकन या ऐप खो देते हैं, तो आप उनसे इसे रीसेट करने के लिए कह सकते हैं। और वे आपको बहुत पापड़ बेलने पर मजबूर करेंगे, आईडी पकड़कर और सेल्फी लेकर और ईमेल और फोन कॉल जैसी कई अन्य तंत्रों के माध्यम से पुष्टि करेंगे। इनमें से कई सेवाएं आपको बैकअप कोड की एक श्रृंखला भी देंगी, जो पूर्व-गणना किए गए संख्यात्मक कोड हैं जिन्हें आप गतिशील रूप से उत्पन्न कोड के बजाय दर्ज कर सकते हैं।

टू-फैक्टर ऑथेंटिकेशन का पदानुक्रम (1:26:44)

ऐसे कोड उत्पन्न किए जो स्थिर होते हैं। और ये उस स्थिति के लिए होते हैं जब आप अपना ऑथेंटिकेशन डिवाइस खो देते हैं। और आप इन्हें कहाँ स्टोर करते हैं? आप इन्हें अपने पासवर्ड मैनेजर में स्टोर करते हैं। इसलिए टाइम-बेस्ड वन-टाइम पासवर्ड एप्लिकेशन के साथ टू-फैक्टर ऑथेंटिकेशन एक मजबूत, प्रभावी और उपयोग में आसान तंत्र है जिसे आप आज ही अपने सभी खातों में जोड़ सकते हैं। अब आइए सुरक्षा के पदानुक्रम को देखें। यूनिवर्सल टू-फैक्टर सिक्योरिटी कुंजी, जो बहुत ही मजबूत एन्क्रिप्शन पर आधारित होती है। यदि आप उनमें से कई को पंजीकृत करते हैं और उन्हें सुरक्षित स्थानों पर रखते हैं, तो उनके साथ छेड़छाड़ करना बहुत मुश्किल है। बैकअप लेना बहुत आसान है, यह एक भौतिक वस्तु है। आप एक और भौतिक वस्तु को अपने पास रखकर इसका बैकअप लेते हैं। इसकी नकल करना असंभव है और आपके ध्यान दिए बिना इसे चुराना भी असंभव है। दूसरे स्तर पर टाइम-बेस्ड वन-टाइम पासवर्ड आते हैं जिनका उपयोग आप QR कोड स्कैन करके और नीरज द्वारा चर्चा किए गए एप्लिकेशन जैसे ऐप के माध्यम से करते हैं। वे आपको 6 अंकों का

कोड हर 30 सेकंड में देते हैं। फिर से, यह आपके फोन को, यानी आपके पास मौजूद किसी चीज़ को दूसरा कारक बनाता है, और इनका बैकअप लेना थोड़ा मुश्किल होता है। और यदि आपका फोन चोरी हो जाता है, तो उनके साथ छेड़छाड़ करना आसान हो सकता है। मुझे टू-फैक्टर ऑथेंटिकेशन ऐप पर ही फिंगरप्रिंट लगाना पसंद है ताकि आप फिंगरप्रिंट का उपयोग किए बिना संख्यात्मक कोड न देख सकें। अब, यह अनिवार्य रूप से दूसरे कारक के ऊपर एक तीसरा कारक है, जो मुझे उस स्थिति में बचाता है जब कोई मेरा फोन चुरा लेता है और वह उस समय खुला होता है और वे मेरे टू-फैक्टर ऐप में प्रवेश कर सकते हैं, लेकिन वे ऐसा नहीं कर पाते। और अंत में, सबसे निचला स्तर टेक्स्ट मैसेज टू-फैक्टर ऑथेंटिकेशन है, जो निश्चित रूप से तब तक सुरक्षित नहीं है जब तक कि आपके पास कोई अन्य विकल्प न हो, उस स्थिति में यह कुछ भी न होने से बेहतर है। तो ये टू-फैक्टर ऑथेंटिकेशन के स्तर हैं। आइए देखें कि हमारे पास और कौन से प्रश्न हैं जबकि

मैं यहाँ एक छोटा सा ब्रेक लेता हूँ। और मैं अपने संरक्षकों का एक वीडियो चलाने जा रहा हूँ, जो आपको बताता है कि आपको ऑनलाइन मेरे काम का समर्थन क्यों करना चाहिए। तो आज हम जो कर रहे हैं, और जो मैं हमेशा करने की कोशिश करता हूँ, वह यह है कि आपको बिटकॉइन और ओपन ब्लॉकचेन के बारे में उच्च गुणवत्ता वाली शैक्षिक सामग्री इस तरह से दी जाए जो तटस्थ हो, बिना प्रायोजकों के, बिना विज्ञापनों के, विज्ञापनदाताओं को बिके बिना या कॉर्पोरेट हितों के अधीन हुए बिना। आपके अलावा कोई भी इसके लिए भुगतान नहीं कर रहा है। और इसलिए यदि आपको यह शिक्षा पसंद है, यदि आपको इस शिक्षा से लाभ हुआ है, या यहाँ तक कि यदि आप केवल वापस देना चाहते हैं और दूसरों की मदद करना चाहते हैं, यह शिक्षा प्राप्त करें और मुझे और मेरी टीम को इसे जारी रखने और इसे बेहतर ढंग से और अधिक व्यापक रूप से करने में मदद करें, तो कृपया YouTube सदस्यता या उससे भी बेहतर मासिक संरक्षक सदस्यता के साथ मेरा समर्थन करने पर विचार करें। और मेरे संरक्षकों के शब्दों में, यहाँ बताया गया है कि क्यों।

• मैं एंड्रियास का संरक्षक हूँ क्योंकि मैंने उनके वीडियो ऑनलाइन देखे और इसी तरह मैंने बिटकॉइन के बारे में सीखा। तो इस तरह से मेरा परिचय बिटकॉइन से हुआ। - मैं आज रात एंड्रियास द्वारा आयोजित एक सामाजिक कार्यक्रम में बाहर हूँ, जो उनके सशुल्क संरक्षकों के समर्थन का हिस्सा है। अभी डाउनटाउन लंदन में कुछ ड्रिंक्स ली हैं, इसलिए यह वास्तव में एक मजेदार शाम रही है। समान विचारधारा वाले कई लोगों से मिलने का मौका मिला। - हमें एंड्रियास के काम का समर्थन करना चाहिए। वह नए लोगों को बिटकॉइन और बिटकॉइन शिक्षा में लाने के लिए बहुत कुछ कर रहे हैं। - वह एक बेहतरीन शिक्षक हैं। वह बहुत जटिल विषयों को आसानी से समझने योग्य तरीके से समझा सकते हैं। वह बहुत ईमानदार और बहुत सटीक हैं। वे तैयार और बौद्धिक रूप से ईमानदार हो सकते हैं। मुझे लगता है कि यह उनकी सबसे अच्छी विशेषता है। - वह बिटकॉइन और इसके आसपास के उद्योग जैसे वास्तव में जटिल विषय में इतनी स्पष्टता लाते हैं। - यह

मेरे लिए एक बहुत, बहुत अच्छी प्रेरणा रहा है और हर बिटकॉइन जो मैं उन्हें दे रहा हूँ, उसका उपयोग हमें बिटकॉइन को समझने में मदद करने के लिए बहुत अच्छी तरह से किया जाएगा। और मुझे लगता है कि यह किसी बिंदु पर दुनिया को बेहतर बनाएगा। - एक संरक्षक होने के नाते मुझे एंड्रियास से मिलने का मौका मिलता है और इसीलिए मुझे संरक्षक होना पसंद है और मैं आगे भी संरक्षक बना रहूँगा। - मुझे लगता है कि यह बस एक अच्छी बात है। यदि आप नई चीजें सीखने में रुचि रखते हैं और बिटकॉइन समुदाय का समर्थन भी करना चाहते हैं, तो आपको एक संरक्षक बनना चाहिए। - एक संरक्षक होने से आपको विशेष महसूस होता है। आप उनके लाइव प्रश्नोत्तर सत्रों में भाग ले सकते हैं। आप उनसे हैप्पी आवर्स में मिल सकते हैं। यह वास्तव में बहुत अच्छा है, पूरी तरह से इसके लायक है। मैं एक संरक्षक होने को लेकर बहुत, बहुत उत्साहित हूँ। - मैं चाहूँगा कि वह भविष्य में विज्ञापन से मुक्त होकर अपनी बेहतरीन और मूल्यवान सामग्री का उत्पादन करने में सक्षम हों और बस

प्रश्न-उत्तर: फोन नंबर पोर्ट करना और ऐप सुरक्षा (1:31:37)

अपने संरक्षकों (patrons) की मदद से। और इसीलिए मैं पैट्रियन (Patreon) पर उनका समर्थन कर रहा हूँ। (मधुर संगीत) - ठीक है, इससे पहले कि हम अगले प्रश्न पर जाएँ, चैट में कुछ बेहतरीन फॉलो-अप आए हैं। जिन्हें मेरे निर्माता ने मेरी मदद के लिए पोस्ट किया है। तो सबसे पहले, लूसिया का एक फॉलो-अप है, क्या किसी भी फोन नंबर को गैर-व्यक्तिगत (non-person) ग्राहक सेवा में पोर्ट किया जा सकता है? यह उस देश पर निर्भर करता है जहाँ आप पंजीकृत हैं। टेलीकॉम प्रदाताओं के बीच पोर्टेबिलिटी के बारे में अलग-अलग देशों के अलग-अलग कानून हैं। लेकिन ईमानदारी से कहूँ तो, अधिकांश यूरोपीय देश और निश्चित रूप से उत्तरी अमेरिका, मुझे पता है कि संयुक्त राज्य अमेरिका और कनाडा में ऐसा ही है, यह अनिवार्य करते हैं कि कैरियर पोर्टिंग अनुरोधों का सम्मान करें। और इसका मतलब है कि सही प्रक्रिया के साथ, आप अपना नंबर ले जा सकते हैं और इसे खोए बिना एक नए कैरियर के पास जा सकते हैं। और फिर आप एक ऐसे कैरियर के पास जा सकते हैं जो एक, बिना ग्राहक

सेवा, बिना लोगों वाला कैरियर हो। Google Fi वह है जिसके बारे में मैंने वहाँ सबसे ज्यादा सुना है। ऐसे कई हो सकते हैं, अन्य जो नंबर पोर्टिंग हमलों के खिलाफ समान रूप से सुरक्षित हैं। मैं उसका पक्षधर हूँ, हालाँकि स्पष्ट कारणों से इसमें कुछ गोपनीयता जोखिम हैं। दूसरा प्रश्न बेन की ओर से है और बेन कहते हैं कि यह कैसे जानें कि आपका ऐप गुप्त कुंजी लीक नहीं कर रहा है। बेन, आप यह नहीं जान सकते कि आपका ऐप गुप्त कुंजी लीक नहीं कर रहा है। आप केवल उन ऐप्स के साथ जा सकते हैं जो बहुत से लोगों द्वारा उपयोग किए जाते हैं, सुरक्षा वातावरण में उपयोग किए जाते हैं, ऑडिट किए गए हैं, समीक्षा किए गए हैं, शायद ऐसे स्रोत जिनके कोड का ऑडिट किया गया है, जो विश्वसनीय कंपनियों द्वारा बनाए गए हैं। जो सुरक्षा को गंभीरता से लेते हैं, जिनका चीजों को न तोड़ने का एक लंबा ट्रैक रिकॉर्ड है। इसके लिए किसी प्रतिपक्ष (counterparty) पर विश्वास की आवश्यकता होती है। हालाँकि, मैंने जिन लगभग सभी चीजों के बारे में बात की है, उनमें प्रतिपक्ष पर विश्वास की आवश्यकता होती है। तो फिर सवाल यह है कि आप प्रतिपक्ष पर कितना विश्वास

कर रहे हैं और यह प्रतिपक्ष कौन है? और इसका विकल्प क्या है? और यदि विकल्प किसी ऐप का उपयोग न करना और याददाश्त पर निर्भर रहने की कोशिश करना है, तो वास्तव में विकल्प और भी बुरा है। और सुरक्षा में आपको यही सावधानीपूर्वक संतुलन बनाना होता है। हम तेजी से देख रहे हैं कि अधिक से अधिक कंपनियाँ विकेंद्रीकृत प्रमाणीकरण, विकेंद्रीकृत पहचान (डीआईडी), विकेंद्रीकृत सत्यापन के लिए विभिन्न तंत्रों को लागू करने का प्रयास कर रही हैं, जो अधिक सुरक्षित हैं। उदाहरण के लिए बिटकॉइन या इथेरियम पर मल्टीसिग अक्सर ऐसी सेवाओं का आधार होता है। लेकिन अभी के लिए ये सेवाएँ अपेक्षाकृत अपरिपक्व हैं, व्यापक रूप से तैनात नहीं हैं और अभी तक इस प्रकार के समाधानों के लिए उपयुक्त नहीं हैं। इसलिए उस क्षेत्र में भविष्य के लिए बहुत आशान्वित हूँ। इस बीच, आपको जो सवाल पूछना चाहिए, वह यह है कि क्या बेहतर है, एक केंद्रीकृत सेवा का उपयोग करना जिसका ट्रैक रिकॉर्ड अच्छा है या किसी सेवा का बिल्कुल भी उपयोग न करना, और निर्भर रहने की कोशिश करना

याददाश्त पर? और मैं इसका निश्चित रूप से उत्तर दे सकता हूँ कि एक विश्वसनीय या अच्छे ट्रैक रिकॉर्ड वाली कंपनी के पासवर्ड मैनेजर का उपयोग करना, पासवर्ड मैनेजर का उपयोग न करने और कमजोर याददाश्त, कमजोर यादृच्छिकता और DIY समाधानों पर निर्भर रहने की कोशिश करने से बेहतर है जो आपकी तकनीकी क्षमता से अधिक हो सकते हैं। चलिए अगले प्रश्न पर चलते हैं। यह ट्रिक्सी की ओर से है, एंड्रियास चश्मे बहुत पसंद आए। मुझे भी। धन्यवाद ट्रिक्सी। इनके साथ, मैं वास्तव में पढ़ सकता हूँ कि मेरे लैपटॉप पर क्या है। मैं दो प्रकार के लाइवस्ट्रीम करता हूँ। कुछ थोड़े अधिक तदर्थ (ad hoc) होते हैं, जो प्रश्नों पर अधिक आधारित होते हैं। मुझे यह पढ़ने की ज्यादा जरूरत नहीं होती कि मेरे लैपटॉप पर क्या हो रहा है। मेरे पास वहाँ एक अच्छा स्टूडियो मॉनिटर है, जो इतनी दूर है कि मैं इसे अपनी कमजोर होती आँखों की रोशनी से पढ़ सकता हूँ। और कुछ आज की तरह थोड़े अधिक जटिल होते हैं। मुझे बहुत कुछ करना पड़ता है

प्रश्न और उत्तर: बैंक SMS को अधिक मजबूत प्रमाणीकरण में बदलना (1:36:01)

पढ़ने के लिए। मेरा लैपटॉप टेबल पर है। और इसलिए मुझे इन चीजों की आवश्यकता है। लेकिन धन्यवाद, हम विषय से भटक गए। वापस इस प्रश्न के मुख्य भाग पर आते हैं। मैं हमारे संपादक के लिए फिर से शुरू करूंगा। ट्रिक्सी पूछती हैं, क्या कोई ऐसा तरीका है जिससे मैं उन बेवकूफी भरे बैंक टेक्स्ट संदेशों को ऑफी (offi) या किसी समान चीज़ में बदल सकूं? एक समय-आधारित वन-टाइम पासवर्ड सिस्टम। ऑफी उन समय-आधारित T-OTP, समय-आधारित वन-टाइम पासवर्ड में से एक है। ट्रिक्सी, नहीं, ऐसा कोई तरीका नहीं है। जब तक कि आपके बैंक के पास कोई ऐसा तंत्र न हो जो टेक्स्ट संदेश के अलावा किसी अन्य चीज़ का समर्थन करता हो, आप समय-आधारित वन-टाइम पासवर्ड का उपयोग नहीं कर सकते। इस मामले में सही उत्तर यह है कि टेक्स्ट मैसेजिंग का उपयोग करें, लेकिन अपने फोन प्रदाता को ऐसे प्रदाता में बदलें जिसे एक मजबूत प्रमाणीकरण तंत्र की आवश्यकता हो, जैसे कि समय-आधारित वन-टाइम पासवर्ड, या इससे भी बेहतर एक सुरक्षा कुंजी के साथ यूनिवर्सल टू-फैक्टर या जहां आप उन विकल्पों को कॉन्फ़िगर कर सकें। ताकि आपका नंबर पोर्ट न किया जा सके क्योंकि इसके लिए एक मजबूत प्रमाणीकरण की आवश्यकता होती है। और

यदि आपका नंबर पोर्ट किया जा सकता है, तो आपका बैंक टेक्स्ट संदेश बहुत, बहुत अधिक सुरक्षित है। तो यह ट्रिक्सी का एक बहुत अच्छा प्रश्न था। आइए देखें कि हमारे पास यहां और कौन से प्रश्न हैं। मुझे बहुत अधिक अन्य प्रश्न नहीं दिख रहे हैं, इसलिए, ओह, और यह लीजिए। ओह, मॉडरेटर अब पागलों की तरह, पागलों की तरह प्रश्न निकाल रहे हैं और उन्हें मेरे लिए कतार में लगा रहे हैं, ताकि हम कुछ और प्रश्न ढूंढ सकें। मुझे उम्मीद है कि आप आज के सत्र का आनंद ले रहे होंगे। तो आइए अब तक हमने जो सीखा है उसका एक त्वरित पुनर्कथन करें। सुरक्षा कभी भी सौ प्रतिशत नहीं होती है, सुरक्षा आपकी तकनीकी क्षमता के भीतर यथार्थवादी जोखिमों को प्रबंधित करने के बारे में है, जिसमें आप सबसे सरल और सबसे लगातार लागू किए जाने वाले समाधान का उपयोग करते हैं, जिसे एक दृढ़ हमलावर के खिलाफ बाधाओं की एक श्रृंखला प्रदान करने के लिए अन्य समाधानों के साथ स्तरित किया जाता है। यदि आप सुरक्षा सही ढंग से करते हैं, तो आप इन उपायों के साथ सहज हो जाते हैं। आप उन्हें लगातार लागू कर सकते हैं, और आप

के पास पर्याप्त परतें होती हैं जो आपके कौशल और आपके खतरे के माहौल दोनों से सावधानीपूर्वक मेल खाती हैं ताकि एक हमलावर के पास वास्तव में आप पर हमला करने के लिए न तो समय हो, न संसाधन, न बजट, या न ही रुचि और पुरस्कार हो। और इसके बजाय वे किसी ऐसे व्यक्ति पर हमला करते हैं जो एक आसान लक्ष्य है, और मूल रूप से यही सुरक्षा है। आप इसके बारे में पूर्ण नहीं हो सकते। वास्तव में, आप इंसान हैं। इसलिए आप, परिभाषा के अनुसार, अपूर्ण होंगे। आपको इसे लगातार और अपने कौशल स्तर के भीतर निष्पादित करने में सक्षम होना चाहिए, जिसका अर्थ है कि इसे पर्याप्त सरल होना चाहिए। इसे एक ही टूल तकनीक, अभ्यास या कार्रवाई से हल नहीं किया जा सकता है, इसलिए आपको कई टूल, कई तकनीकों, कई कार्रवाइयों का उपयोग करना होगा, जिन्हें एक साथ स्तरित किया गया हो, अधिमानतः सुरक्षा के विविध तंत्र जिनके लिए हमलावरों से अलग-अलग कौशल की आवश्यकता होती है जो विभिन्न खतरों से बचाते हैं ताकि आप उन्हें स्तरित कर सकें और एक व्यापक प्रणाली बना सकें। और वह भी आपको

सौ प्रतिशत सुरक्षा तक नहीं पहुंचाएगा, लेकिन, आप जानते हैं, यदि आप इसे लगातार करते हैं, और यदि आप इसे जानबूझकर करते हैं, और यदि आप इसे अपनी खतरे की जरूरतों और अपने कौशल के स्तर दोनों के अनुसार अच्छी तरह से तैयार करते हैं, तो आप उन लोगों के विशिष्ट समूह में शामिल हो सकते हैं जो ईमानदारी से कह सकते हैं, मुझे वर्षों से हैक नहीं किया गया है। यह सबसे अच्छा है जो आप कर सकते हैं, लेकिन यह आमतौर पर काफी अच्छा होता है। और यह आपको बहुत से अन्य लोगों से बहुत ऊपर ले जाता है। गुमनाम पूछते हैं, क्या आप किसी ऐसे व्यक्ति के लिए पासवर्ड मैनेजर के बारे में कोई चिंता या सुझाव साझा कर सकते हैं जिसने अभी तक बारीकी से तुलना करने या किसी को आज़माने का समय नहीं निकाला है। मैंने पिछले कुछ वर्षों में कई अलग-अलग पासवर्ड मैनेजर का उपयोग किया है, कुछ ऐसे हैं जो बहुत, बहुत आम तौर पर उपयोग किए जाते हैं जो मेरे पसंदीदा नहीं हैं। जिनका मैं अनिच्छा से समय-समय पर या हर समय उपयोग करता हूं, यह इस बात पर निर्भर करता है कि मैं किस डिवाइस पर हूं। कुछ ऐसे हैं जो

लोकप्रिय हुए हैं या उनकी लोकप्रियता कम हुई है। और कुछ नए हैं जो प्रमुखता प्राप्त कर रहे हैं। मैं वास्तव में आपको यह नहीं बता सकता कि आपके लिए क्या सही होने वाला है। मैं आपको बता सकता हूं कि शायद दो सबसे लोकप्रिय एक सिस्टम है जिसे लास्ट पास (last pass) कहा जाता है और एक सिस्टम जिसे वन पासवर्ड (one password) कहा जाता है, एक नंबर 1, उसके बाद पासवर्ड शब्द, सभी एक शब्द में। वन पासवर्ड और लास्ट पास शायद सबसे प्रसिद्ध हैं। इसके अलावा अलग-अलग क्षमताओं और अंतरों के साथ कई अन्य सिस्टम मौजूद हैं। थोड़े नए सिस्टम में से एक जिसे मैं दिलचस्पी के साथ देख रहा हूं वह बिट वार्डन (bit warden) है, क्योंकि यह एक ओपन सोर्स सिस्टम है जो मल्टी-प्लेटफॉर्म है और काफी अच्छी तरह से तैयार किया गया है। लेकिन अंत में, जैसा कि मैंने उदाहरण के लिए हार्डवेयर वॉलेट निर्माताओं के लिए यही सलाह दी है, मैं आपको हमारे पासवर्ड मैनेजर के लिए भी यही सलाह दूंगा। मान लीजिए शीर्ष तीन, चार के बीच का अंतर,

प्रश्न और उत्तर: पासवर्ड मैनेजरों की तुलना (1:41:43)

इस क्षेत्र में पांच कंपनियां हैं जिनके उत्पादों के बीच बहुत छोटे-छोटे अंतर हैं। वे सभी काफी अच्छे हैं। वे सभी काफी सुरक्षित हैं। वे सभी काफी सुसंगत हैं। शीर्ष चार या पांच पासवर्ड मैनेजरों में से किसी एक का उपयोग करने और बिल्कुल भी पासवर्ड मैनेजर न होने, या अपनी याददाश्त पर निर्भर रहने या अपना खुद का समाधान बनाने की कोशिश करने के बीच का अंतर बहुत बड़ा है। इसलिए सवाल यह नहीं है कि मुझे इनमें से किसका उपयोग करना चाहिए? सवाल यह है कि क्या मुझे किसी एक का उपयोग करना चाहिए, इसका उत्तर हां है, और इसमें बहुत अधिक समय बर्बाद न करें। इसके बारे में सोचने का एक तरीका यह है कि आपके परिवार के अन्य लोग किसका उपयोग कर रहे हैं? ताकि आप आसानी से उनके साथ पासवर्ड साझा कर सकें। इनमें से अधिकांश चीजें बंद इकोसिस्टम हैं। इसलिए यदि आपके परिवार में हर किसी के पास बिटवार्डन है, तो बेहतर होगा कि आप भी बिटवार्डन का उपयोग करें। यदि आपकी कंपनी या आपका नियोक्ता किसी एक का उपयोग कर रहा है, तो संभवतः आपके लिए

अपने व्यक्तिगत कार्यों के लिए उसी का उपयोग करना बेहतर होगा, बशर्ते आप दो अलग-अलग खाते रख सकें, ताकि आपको बहुत सारे एप्लिकेशन न चलाने पड़ें और बहुत अधिक जटिलता न हो। फिर से, इसे सरल रखें। आपको केवल यह सवाल पूछना चाहिए कि मैं कितनी जल्दी इनमें से किसी एक को चालू कर सकता हूं और फिर इसे ठीक से सुरक्षित कर सकता हूं, और फिर बाहर जाकर सभी वेबसाइटों पर सभी पासवर्ड बदल सकता हूं, सबसे महत्वपूर्ण वेबसाइटों से शुरू करते हुए। एक अनाम व्यक्ति पूछता है कि क्या Google Authenticator का प्रारंभिक सेटअप और कार्यान्वयन एक सममित कुंजी का उपयोग करता है, बिटकॉइन के विपरीत, जो असममित एन्क्रिप्शन का उपयोग करता है। हां, ऐसा ही है। और मुझे नहीं पता कि T-OTP मानक क्या है क्योंकि मैंने इसे कभी नहीं देखा है। यह सममित एन्क्रिप्शन भी नहीं हो सकता है। यह एक पासवर्ड स्ट्रेचिंग एल्गोरिदम हो सकता है। वास्तव में, यह संभावना है कि यह किसी प्रकार का अनुक्रम है जो

हैश का उपयोग करके व्युत्पत्ति पर आधारित है। लेकिन मुझे नहीं पता, मैंने इसकी जांच नहीं की है। यह असममित नहीं है, यह मैं आपको बता सकता हूं। इसलिए यह एक निजी सार्वजनिक कुंजी प्रणाली नहीं है। सममित एन्क्रिप्शन क्या है? असममित एन्क्रिप्शन क्या है? यह एक और सवाल है जो चैट पर आया था। असममित एन्क्रिप्शन वह है जहां एक जोड़े में दो कुंजियां होती हैं और हम उन्हें एक निजी कुंजी और एक सार्वजनिक कुंजी कहते हैं और जो कुछ भी एक द्वारा एन्क्रिप्ट किया जाता है उसे केवल दूसरे द्वारा डिक्रिप्ट किया जा सकता है और इसके विपरीत। इसलिए यदि आप अपनी निजी कुंजी के साथ कुछ एन्क्रिप्ट करते हैं, तो इसे केवल आपकी सार्वजनिक कुंजी के साथ डिक्रिप्ट किया जा सकता है। और यदि आप सार्वजनिक कुंजी के साथ कुछ एन्क्रिप्ट करते हैं, तो केवल निजी कुंजी वाला व्यक्ति ही इसे डिक्रिप्ट कर सकता है। और इन तकनीकों के संयोजन का उपयोग डिजिटल हस्ताक्षर के लिए किया जाता है। और इसका उपयोग दो प्राप्तकर्ताओं के बीच डेटा के एन्क्रिप्शन और डिक्रिप्शन के लिए किया जाता है। हालांकि, इसका मतलब यह है

कि यदि आप मेरे लिए कुछ डिक्रिप्ट करना चाहते हैं, तो आपको मेरी सार्वजनिक कुंजी की आवश्यकता है। यदि आप इसे मेरी सार्वजनिक कुंजी पर एन्क्रिप्ट करते हैं, जो सार्वजनिक है और साझा करने में आसान है, तो केवल मैं ही इसे डिक्रिप्ट कर सकता हूं। यदि आप इसे बहुत से लोगों के लिए एन्क्रिप्ट करना चाहते हैं, तो आपको उन सभी की सार्वजनिक कुंजियों की आवश्यकता होगी और आपको इसे उन सभी की सार्वजनिक कुंजियों पर अलग-अलग एन्क्रिप्ट करना होगा। सममित एन्क्रिप्शन वह है जहां आपके पास एक कुंजी होती है जो एन्क्रिप्शन और डिक्रिप्शन दोनों का काम करती है। और वास्तव में, 1970 के दशक तक सममित एन्क्रिप्शन ही एन्क्रिप्शन तंत्र था। असममित एन्क्रिप्शन का आविष्कार, मेरा मानना है कि अगर मैं गलत नहीं हूं तो 1970 के दशक तक नहीं हुआ था। तो सममित और असममित के बीच यही अंतर है। मुझे देखने दें, मुझे लगता है कि मेरे पास यहां एक और सवाल है। कार्लोस का एक और फॉलो-अप सवाल। हम प्रमाणीकरण के लिए बिटकॉइन हस्ताक्षर का उपयोग कब करेंगे? आप आज भी प्रमाणीकरण के लिए बिटकॉइन हस्ताक्षर का उपयोग कर सकते हैं। समस्या यह है कि आपको

सावधान रहना होगा कि इसे कैसे संरचित किया जाए और यह समझना होगा कि आप वास्तव में क्या साबित कर रहे हैं। एक बिटकॉइन हस्ताक्षर और आम तौर पर प्रमाणीकरण के लिए डिजिटल हस्ताक्षर का उपयोग बहुत विशिष्ट और बहुत संकीर्ण चीजों को साबित करता है। तो मान लीजिए कि आप मुझे अपनी बिटकॉइन निजी कुंजी के साथ एक संदेश पर हस्ताक्षर करने और एक हस्ताक्षर उत्पन्न करने के लिए कहते हैं, और फिर उसे दुनिया के साथ साझा करने के लिए कहते हैं। खैर, यहां कुछ चीजें हैं जो मैं साबित करता हूं। मैं साबित करता हूं कि जिस समय हस्ताक्षर बनाया गया था, उस समय मेरे पास निजी कुंजी थी। बेशक, इसका मतलब यह नहीं है कि मैंने वह हस्ताक्षर वर्षों पहले नहीं बनाया था। आप नहीं जानते कि हस्ताक्षर कब बनाया गया है। दूसरी बात यह है कि इसे एक व्यवहार्य योजना में उपयोग करने के लिए, जो व्यक्ति हस्ताक्षर मांग रहा है उसे चुनौती-प्रतिक्रिया (challenge response) नामक प्रक्रिया करनी होगी। मैं सिर्फ यह नहीं कह सकता कि किसी चीज पर हस्ताक्षर करो, क्योंकि अगर मुझे

प्रश्न और उत्तर: प्रमाणीकरण के लिए बिटकॉइन हस्ताक्षर (1:47:01)

संदेश चुनने के लिए, मैं मूल रूप से एक ऐसा संदेश चुन सकता हूं जिस पर किसी और ने बहुत पहले हस्ताक्षर किए हों, उनके द्वारा लागू किए गए हस्ताक्षर प्रस्तुत कर सकता हूं और आपको बता सकता हूं कि मैंने अभी ऐसा किया है। और आपके पास यह जानने का कोई तरीका नहीं है कि यह सच है या नहीं। इसलिए उस परिदृश्य में, आपको चुनौती-प्रतिक्रिया की आवश्यकता होती है। तो मैं यह कहूंगा कि कृपया, CarlosM, एक संदेश पर हस्ताक्षर करें जो कहता है, मैं CarlosM दिसंबर जो भी हो, क्या आज 5 तारीख है? मुझे तो यह भी नहीं पता, दिसंबर, जो भी हो, 5, 2020 को, मेरी निजी कुंजी मेरे पास है। और मैं Andreas के अनुरोध पर इस संदेश पर हस्ताक्षर कर रहा हूं। तो क्या आप समझ रहे हैं कि मैं यहाँ क्या कह रहा हूँ? यह इसे समय में बांध देता है। आपको तब तक नहीं पता होगा कि संदेश क्या है जब तक कि मैं आपसे किसी विशिष्ट संदेश पर हस्ताक्षर करने के लिए न कहूं। आप इसे किसी विशिष्ट गतिविधि से जोड़ते हैं। मैंने आपसे

उसमें उस समय के बारे में जानकारी डालने के लिए कहा है जब आपने उस पर हस्ताक्षर किए थे और हस्ताक्षरकर्ता की पहचान डालने के लिए कहा है। यह इसे बहुत कठिन बना देता है, लेकिन फिर भी, मुझे नहीं पता कि Carlos ने इस पर हस्ताक्षर किए हैं या नहीं। हमने इसी तरह की बातचीत तब की थी जब हमने यह साबित करने के लिए वॉलेट के साथ हस्ताक्षर करने के बारे में बात की थी कि आप अमेरिका में प्रस्तावित और यूरोपीय संघ में पहले से ही लागू किए गए नए यात्रा नियमों के लिए एक पते के मालिक हैं। और निश्चित रूप से, यदि Carlos यह साबित करना चाहते थे कि वे एक पते के मालिक हैं और मैंने उन्हें ऐसा संदेश दिया, तो उन्हें बस इतना करना था कि वह संदेश Jimmy को दें, Jimmy से यह कहते हुए हस्ताक्षर करवाएं कि, यह Carlos है, इसे वापस Carlos को दें, Carlos इसे मुझे देते हैं, और मुझे लगता है कि यह साबित करता है कि Carlos के पास निजी कुंजी है जबकि वास्तव में यह Jimmy के पास है और वे एक साथ काम कर रहे हैं। तो यह जटिल है। यह

पहली नज़र में जितना सरल लगता है उतना नहीं है। ठीक है, देखते हैं। मैं शायद एक और प्रश्न का उत्तर देने जा रहा हूँ। ओह, यह एक अच्छा प्रश्न है। मुझे यह वास्तव में पसंद आया। यह Jeff का प्रश्न है। Jeff Tezos पूछते हैं, उन पासवर्ड के बारे में क्या जिन्हें आपको टीवी या इसी तरह के Amazon, Netflix पर अपने रिमोट से मैन्युअल रूप से इनपुट करने की आवश्यकता होती है। यह कितना लंबा और कठिन होना चाहिए? Jeff, मैंने इसके साथ संघर्ष किया है। और मेरे पास इसका उत्तर है, जो मैं आपको बस एक सेकंड में दूंगा। अब, उस परिदृश्य की कल्पना करें जिसके बारे में Jeff बात कर रहे हैं, आपने अपने Netflix खाते के लिए प्रतीकों वाली एक अद्वितीय अल्फ़ान्यूमेरिक 32 वर्णों की कुंजी उत्पन्न करने के लिए अपने पासवर्ड मैनेजर का उपयोग किया है। अब आपको इसे स्मार्ट Roku टीवी के कीबोर्ड पर दर्ज करना होगा, जहां प्रत्येक अक्षर को कीबोर्ड पर सही अक्षर पर अपने छोटे कर्सर को ले जाकर, एंटर दबाकर दर्ज करना होगा,

और फिर वापस जाकर और कैप्स लॉक पर नीचे जाकर और कैप्स लॉक चालू करके और ऊपर जाकर और बड़े अक्षर पर जाकर और फिर कैप्स लॉक बंद करके और फिर प्रतीक पर जाकर और संख्यात्मक कीबोर्ड पर स्विच करके। हे भगवान, इसमें घंटों, घंटों लगने वाले हैं। और इसलिए हाँ, उन मामलों में, मैं वही बात कहूंगा जहां आपकी सुरक्षा इतनी महत्वपूर्ण नहीं है, आपको कुछ ऐसा करने की आवश्यकता है जहां आपको अक्सर इस कुंजी को अन्य लोगों के साथ साझा करना पड़ता है। एक अच्छा उदाहरण आपका वाईफाई पासवर्ड होगा, है ना? तो उन मामलों में, मैं जो करूंगा वह यह है कि मैं एक साधारण संख्यात्मक या वर्णमाला पासवर्ड का उपयोग करूंगा। सभी एक ही वर्ग के वर्ण और इसे थोड़ा लंबा बनाएं। इसलिए मुझे कोई परवाह नहीं है कि कोई मेरे Netflix को हैक कर ले और देखे कि मैं Queen's Gambit देख रहा हूँ। बेशक, मैं Queen's Gambit देख रहा हूँ। हर कोई

Queen's Gambit देख रहा है। यह Queen's Gambit सप्ताह है। यह वास्तव में मेरे लिए मायने नहीं रखता है, हालांकि कुछ सुरक्षा विचार हैं, जैसे कि यह पता लगाने में सक्षम होना कि जब मैं इसे देख रहा हूं तो मैं कहां हूं। इसलिए मुझे अभी भी एक पासवर्ड की आवश्यकता है। लेकिन इसे इतना लंबा होने की आवश्यकता नहीं है क्योंकि इसकी संभावना नहीं है कि कोई इसे क्रैक करने की कोशिश करेगा। असली मुद्दा यह है कि क्या मुझे Airbnb छोड़ते समय Roku टीवी को रीसेट करना याद था। अहा। यह एक अच्छा प्रश्न है। तो मैं क्या करूँ? मैं आमतौर पर एक संख्यात्मक पासवर्ड या एक वर्णमाला या लोअरकेस पासवर्ड चुनता हूं और मैं इसे समूहों में समूहित करता हूं। तो एक क्लासिक जो मैं करूंगा वह है 12 संख्याएं जो माइनस या हाइफ़न चिह्नों द्वारा अलग की गई हैं। तो इसका मतलब है कि मैं चार के तीन समूह या तीन अंकों के चार समूह बनाऊंगा। तो मेरा पासवर्ड कुछ इस तरह होगा नौ तीन सात डैश तीन एक दो डैश तीन

प्रश्न-उत्तर (Q&A): टीवी रिमोट और कम सुरक्षा वाले उपकरणों के लिए पासवर्ड (1:52:10)

तीन एक डैश चार एक पांच। मैं इस समय बस यादृच्छिक रूप से नंबर चुन रहा हूं। वैसे, यह बहुत अच्छी यादृच्छिकता नहीं है। मैं अपने पासवर्ड मैनेजर में एक रैंडम नंबर जनरेटर का उपयोग करूंगा। मैं इसे केवल अंक देने और इसकी लंबाई 12 रखने के लिए कहूंगा। और फिर मैं इसे चार के अच्छे समूहों में बीच में डैश के साथ लिखूंगा, क्योंकि मेरे लिए इसे स्क्रीन से पढ़ना और कीबोर्ड पर टाइप करना आसान होता है। और आमतौर पर नंबर और डैश एक ही कीबोर्ड पर होते हैं और वे बहुत कम दूरी पर होते हैं, इसलिए मैं उन्हें जल्दी से कर सकता हूं या इससे भी बेहतर, कई रिमोट कंट्रोल आपको कीबोर्ड के संख्यात्मक हिस्से का उपयोग करने की अनुमति देते हैं, जो इसके लिए था... पुराने दिनों में, हमारे टेलीविजन पर चैनल हुआ करते थे और उन चैनलों को संख्यात्मक चैनल नंबर द्वारा चुना जाता था। मुझे पता है कि यह दिमाग चकरा देने वाली तकनीक है।

तो कई रिमोट पर एक नंबर कीपैड होता है। इसलिए यह फिर से पासफ्रेज टाइप करना बहुत आसान बना देता है। धन्यवाद, जेफ। यह एक बहुत अच्छा सवाल था। और सुरक्षा को संतुलित करने के बारे में एक बहुत ही व्यावहारिक सवाल। क्या आप वास्तव में, वास्तव में उस खाते की सुरक्षा के लिए इतनी परेशानी उठाना चाहते हैं जो उतना सुरक्षित नहीं है और जहां बड़ा जोखिम यह है कि जब आप Airbnb छोड़ते हैं तो आप उस पासवर्ड को मिटाना या रीसेट करना भूल जाते हैं और इसे अन्य लोगों के खोजने के लिए छोड़ देते हैं, जिस बिंदु पर, यह थोड़ा मुश्किल हो सकता है। जेफ का एक ऐसा ही सवाल। उफ़। ओह नहीं, यह जेफ नहीं है। क्षमा करें, एक सेकंड। यह लीजिए। क्या इसने काम किया? आज मेरे ऐप्स में थोड़ा लैग है। केवल 4 अंकों के पिन का उपयोग करना कितना सुरक्षित है, जैसे कि उदाहरण के लिए सभी बैंक कार्डों पर उपयोग किया जाता है, माइक पूछते हैं। माइक यह निर्भर करता है, यह

इस बात पर निर्भर करता है कि आप वह पिन कहां टाइप कर सकते हैं। तो बैंक कार्ड पर 4 अंकों का पिन सुरक्षित होने का कारण यह है कि आपको इसे केवल एक सुरक्षा उपकरण, जैसे पिन पैड या एटीएम मशीन में टाइप करने को मिलता है। इन उपकरणों को आपको एक निश्चित संख्या से अधिक बार प्रयास करने से रोकने के लिए डिज़ाइन किया गया है। और यदि वे पर्यवेक्षित उपकरण हैं, जिसका अर्थ है कि आप गैस स्टेशन पर हैं, आप सुपरमार्केट के चेकआउट काउंटर पर हैं, जो भी हो वहां एक व्यक्ति खड़ा है और आप कुछ से अधिक बार टाइप करेंगे। वे आपको ऐसा करते हुए देख सकते हैं और यदि आप 4,000 अलग-अलग संयोजनों को टाइप करने का प्रयास करते हैं, तो वे सुरक्षाकर्मियों को बुला लेंगे। और जब यह एक गैर-पर्यवेक्षित उपकरण होता है जहां आप बस वहां बैठ सकते हैं और घंटों तक सभी संभावित संयोजनों की कोशिश कर सकते हैं, तो यह वास्तव में लॉक हो जाएगा और आपके कार्ड को खा जाएगा जैसा कि आप जानते हैं, एटीएम के साथ होता है। तो

अगर मैं इसे बैंक की नीति के आधार पर 4 बार गलत, या 6 बार गलत, या 3 बार गलत टाइप करता हूं, तो यह मेरे कार्ड को निगल जाएगा और मुझे कोशिश करने का दूसरा मौका नहीं देगा। तो यह सिर्फ पिन नहीं है, यह इस बात का संदर्भ है कि उस पिन का उपयोग कैसे किया जाता है। इसे कहां दर्ज किया गया है, आप कितनी बार प्रयास कर सकते हैं और यदि आप इन स्तरित सुरक्षा तंत्रों में विफल होते हैं तो क्या होता है। तो हाँ, एटीएम और पिन पैड जैसे नियंत्रित एक्सेस उपकरणों के संदर्भ में 4 अंकों का पिन पर्याप्त सुरक्षित है, जहां सुरक्षा की अतिरिक्त परतें होती हैं जैसे कि यदि आप इसे गलत टाइप करते हैं तो आपके कार्ड को खा जाना, या आपको बहुत अधिक बार प्रयास न करने देना। मुझे लगता है कि यह अच्छा है। हमने कई विषयों को कवर किया है। इन सभी बेहतरीन सवालों के लिए आपका बहुत-बहुत धन्यवाद। वास्तव में अच्छी टिप्पणियां छोड़ने के लिए धन्यवाद। मुझे बताएं कि आपको इसके बारे में क्या पसंद आया

यह विशेष सत्र। यह हमारे द्वारा किए गए अन्य सत्रों से थोड़ा अलग था। मुझे बताएं कि आप बिटकॉइन और ओपन ब्लॉकचेन की इस यात्रा में अपनी मदद करने के लिए और क्या सीखना चाहेंगे। और यह न भूलें, हमारे पास ऐसे कई सत्र आने वाले हैं। मैं आपको दिखाता हूं कि हमारे आने वाले अगले कार्यक्रम हैं, ऑकवर्ड हॉलिडे कन्वर्सेशन्स (Awkward Holiday Conversations), ऑकवर्ड हॉलिडे कन्वर्सेशन्स। यह अगला कार्यक्रम है जो आने वाला है। मैं आपको सही उत्तरों और अन्य लोगों की प्रफुल्लित करने वाली कहानियों से लैस करने जा रहा हूं जो वर्तमान में पैट्रियन (Patreon) और अन्य प्लेटफार्मों पर टिप्पणियों में अपने परिवार की अजीब छुट्टी की बातचीत साझा कर रहे हैं। ज्यादातर बिटकॉइन और ओपन ब्लॉकचेन के बारे में, कभी-कभी उन विषयों के बारे में जो इसे और अधिक अजीब बनाते हैं जिन्हें हम लाइव स्ट्रीम में कवर नहीं करेंगे। फिर हमारे पास हमारा दिसंबर ओपन टॉपिक प्रश्न-उत्तर (Q&A) है, जहां आप कोई भी प्रश्न पूछ सकते हैं और मैं उसका उत्तर देना चुन सकता हूं। और

समापन (1:57:25)

फिर अंत में हमारा 2021 का एक्स्ट्रावैगेंज़ा इवेंट (Extravaganza Event) है। तो यह जानने के लिए कि ये इवेंट कब हो रहे हैं और उनके बारे में जानने के लिए, कृपया मेरे चैनल को सब्सक्राइब करें। बेल आइकन दबाकर नोटिफिकेशन चालू करें, और इस तरह आप इन नए इवेंट के बारे में जानने वाले पहले व्यक्ति होंगे। आज मेरे साथ जुड़ने के लिए धन्यवाद, आज हमारे चैनल पर लाइव स्ट्रीम में 300 से अधिक लोग थे जो इस लगभग दो घंटे की प्रस्तुति के लिए हमारे साथ जुड़े, लेकिन हमें बहुत कुछ कवर करना था। अब, जब मैं यह कर रहा था, तो आपने शायद ध्यान दिया होगा कि मेरे पास अलग-अलग रंगों की शानदार रंगीन किताबों का एक ढेर है। और खैर, रंगों का आनंद लेने के लिए आपको इनके प्रिंट संस्करण की आवश्यकता होगी, आप वास्तव में सामग्री को ईबुक के रूप में पढ़ सकते हैं। और आप उस ईबुक को मेरी दुकान antonov.com/shop पर प्राप्त कर सकते हैं। आप इस तरह के मग भी प्राप्त कर सकते हैं। और

वैसे, ये वास्तव में शानदार मग हैं। ये बड़े हैं, ये भारी हैं। ये गर्मी बनाए रखते हैं। इन्हें तोड़ना बहुत मुश्किल है। मुझे पता है क्योंकि मैंने कोशिश की है। मैंने उन्हें कई बार गिराया है और उनमें बहुत सारी कॉफी आती है, जिसकी हम सभी को उन अजीब छुट्टी की बातचीत से निपटने के लिए आवश्यकता होगी। तो, सोमवार तक, अगले दो दिनों के लिए, हमारी हॉलिडे सेल है, जो आपको सभी चीजों पर 20% की छूट देती है। एक और चीज जो आप खरीद सकते हैं वह है अपनी क्रिप्टोकरेंसी चुनें वर्कशॉप। और 20% की छूट उस पर भी लागू होती है। हॉलिडे 2020 सेल दुकान पर उपलब्ध है, कूपन खोजने के लिए दुकान के मुख्य पृष्ठ antonov.com/shop पर जाएं। इस वीडियो के लिए नीचे कमेंट करना न भूलें। देखने के लिए बहुत-बहुत धन्यवाद। आपका सप्ताहांत शानदार रहे। अलविदा सभी को।