क्रिप्टो सुरक्षा: पासवर्ड आणि प्रमाणीकरण

या लाईव्हस्ट्रीममध्ये क्रिप्टोकरन्सी धारकांसाठी पासवर्ड व्यवस्थापनाच्या मूलभूत तत्त्वांपासून ते मल्टी-फॅक्टर ऑथेंटिकेशनपर्यंतच्या आवश्यक सुरक्षा पद्धतींची माहिती दिली आहे. अँड्रियास अँटोनोपौलोस सुरक्षा आणि उपयोगिता यांच्यात समतोल राखण्याच्या तत्त्वांबद्दल मार्गदर्शन करतात, पासवर्ड मॅनेजर का आवश्यक आहेत हे स्पष्ट करतात, XKCD पासफ्रेज संकल्पनेची ओळख करून देतात आणि टू-फॅक्टर ऑथेंटिकेशन पद्धतींच्या श्रेणीबद्ध रचनेचे सविस्तर वर्णन करतात.

ही ट्रान्सक्रिप्ट aantonop द्वारे प्रकाशित केलेल्या मूळ व्हिडिओ ट्रान्सक्रिप्ट (opens in a new tab)ची एक सुलभ प्रत आहे. वाचनीयतेसाठी यात थोडे संपादन केले आहे.

सुरक्षा मूलतत्त्वे आणि जोखीम संतुलन (3:05)

(बीपिंग) - सर्वांना नमस्कार आणि या शनिवारच्या लाईव्ह स्ट्रीममध्ये आपले स्वागत आहे. हा बोनस लाईव्ह स्ट्रीम पासवर्ड्स, पासवर्ड मॅनेजर्स, प्रमाणीकरण, मल्टीफॅक्टर ऑथेंटिकेशन आणि तुमच्या खात्यांच्या सुरक्षेशी संबंधित सर्व गोष्टींवर आधारित आहे. आता आमच्याकडे आधीपासूनच रांगेत बरेच प्रश्न आहेत, परंतु मी या स्ट्रीममध्ये प्रामुख्याने प्रश्नांवरच अवलंबून राहणार नाही, कारण मला काही कठीण विषय समजावून सांगायचे आहेत. आणि एखाद्या विषयावर नेहमीपेक्षा थोडा जास्त वेळ किंवा कदाचित थोडा कमी वेळ बोलणे आणि या विषयांमधून माझा स्वतःचा मार्ग तयार करणे अधिक योग्य ठरेल. ते थोडे गुंतागुंतीचे आहेत. सुरक्षा हा एक गुंतागुंतीचा विषय आहे. त्यामुळे केवळ परिपूर्ण प्रश्न शोधण्याचा प्रयत्न करण्याऐवजी, मी कदाचित तसे करणार नाही. दुसरीकडे, सुरुवात करण्यासाठी माझ्याकडे काही उत्तम प्रश्न आहेत. तर सर्वप्रथम, सामील झाल्याबद्दल तुम्हा सर्वांचे आभार. हा एक आनंद आहे

नेहमीप्रमाणे माझी शनिवारची सकाळ तुमच्यासोबत बिटकॉइन आणि ओपन ब्लॉकचेनशी संबंधित नवीन आणि मनोरंजक विषयांवर काम करण्यात घालवणे. आता, पासवर्ड आणि मल्टीफॅक्टर ऑथेंटिकेशनचा बिटकॉइन आणि ओपन ब्लॉकचेनशी काय संबंध आहे? बरं, तुम्हाला माहीतच आहे की, तुमच्या क्रिप्टोकरन्सीची सुरक्षा राखण्यासाठी, तुम्हाला तुमच्या सर्व खात्यांची सुरक्षा राखावी लागेल. क्रिप्टोकरन्सीबद्दल एक अतिशय मनोरंजक गोष्ट म्हणजे बऱ्याच लोकांसाठी, ही पहिलीच वेळ आहे जेव्हा त्यांना त्यांच्या ऑनलाइन ओळखीच्या आणि ऑनलाइन उपकरणांच्या सुरक्षेबद्दल काळजीपूर्वक विचार करावा लागला आहे. कारण आता तिथे पैसे आहेत आणि त्यामुळे ते एक अधिक आकर्षक लक्ष्य बनते. भूतकाळात लोक स्वतःच्या सुरक्षेचे रक्षण करण्यासाठी फारसे प्रेरित नव्हते कारण जेव्हा तुम्ही तुमची गोपनीयता गमावता, जेव्हा तुमची माहिती हॅक होते, तेव्हा तुम्हाला ते लगेच जाणवत नाही. आणि त्याचे बरेच वाईट परिणाम होतात, परंतु ते परिणाम थेट

दृश्यमान नसतात आणि लगेच जाणवत नाहीत. जर कोणी येऊन तुमच्या डिजिटल उपकरणांमधून काही शे डॉलर्स किंवा काही हजार डॉलर्स किंवा त्याहूनही वाईट, हजारो डॉलर्स चोरले, तर तुम्हाला ते जाणवते आणि ते लगेच जाणवते. आणि तुम्ही त्याचा मूर्तपणे संबंध जोडू शकता, अधिक स्पष्टपणे सांगायचे तर अमूर्तपणे. तुम्ही अमूर्तपणे, परंतु अतिशय लक्षणीयरीत्या त्याचा तुमच्या सुरक्षेशी संबंध जोडू शकता. त्यामुळे ही अशा गोष्टींपैकी एक आहे जी दुर्दैवाने केवळ एका वेदनादायक अनुभवातूनच शिकायला मिळते. आणि म्हणून मी नवशिक्यांना त्यांची खाती कशी आणि का सुरक्षित करावीत हे सांगण्यात बराच वेळ घालवू शकतो. जोपर्यंत ते त्यांच्या एखाद्या उपकरणावर क्रिप्टोकरन्सी हॉट वॉलेट इन्स्टॉल करत नाहीत आणि नंतर त्या हॉट वॉलेटमधील पैसे गमावत नाहीत. मी ज्याबद्दल बोलत आहे ते समजून घेणे किंवा त्यातून प्रेरित होणे खूप कठीण आहे. आता, या संपूर्ण संभाषणात समजून घेण्यासारखी दुसरी खरोखर महत्त्वाची गोष्ट म्हणजे सुरक्षा

हे एक संतुलन आहे. हे सर्व संतुलनाबद्दल आहे. हे जोखीम व्यवस्थापन आहे. 100% सुरक्षा अशी कोणतीही गोष्ट नाही. परिपूर्ण सुरक्षा अशी कोणतीही गोष्ट नाही. आणि तुम्ही सर्व धोक्यांपासून संरक्षण करू शकत नाही. तुम्हाला कोणत्या धोक्यांचा सामना करावा लागतो हे तुम्हाला शोधावे लागेल. तुम्ही प्रत्यक्षात कशाचे रक्षण करत आहात यावर अवलंबून, तुम्ही त्यापैकी किती धोक्यांपासून प्रत्यक्षात संरक्षण करू शकता आणि त्या धोक्यांपासून संरक्षण करण्यासाठी तुम्ही किती प्रयत्न करणार आहात हे तुम्हाला शोधावे लागेल. तुम्ही तयार करत असलेला उपाय, तुम्ही वापरत असलेल्या सिस्टीम्स इतक्या गुंतागुंतीच्या कधी होतात की त्या स्वतःच एक सुरक्षा जोखीम बनतात, हे देखील तुम्हाला शोधावे लागेल. आणि आपण अनेकदा पाहतो की नवशिके, विशेषतः क्रिप्टोकरन्सीच्या क्षेत्रात, असे उपाय तयार करतात जे खूपच गुंतागुंतीचे असतात. आणि मग आपण सुरक्षा लवचिकतेच्या संतुलनाच्या चुकीच्या बाजूला पोहोचतो. जिथे तुमची क्रिप्टोकरन्सी सुरक्षित करण्याची यंत्रणा इतकी गुंतागुंतीची असते की प्रत्यक्षात, तुम्ही

ती गमावून बसता कारण तुम्ही काहीतरी अमानक (non-standard) वापरत आहात, कारण तुम्ही पासवर्ड विसरता, कारण तुम्ही नक्की काय केले हे कोणालाही माहीत नसते आणि तुम्ही त्यांना मदत करण्यासाठी उपलब्ध नसता. त्यामुळे सुरक्षा शंभर टक्के मिळवता येत नाही आणि हे सर्व संतुलनाबद्दल आहे. आणि साधेपणा हा अनेकदा सुरक्षेचा एक प्रमुख घटक असतो. सोपे सुरक्षा उपाय जे तुम्ही तुमच्या तांत्रिक कौशल्यांच्या मर्यादेत लागू करू शकता आणि तुम्ही ते सातत्याने लागू करू शकता. आणि जर तुम्हाला समस्या आल्या तर तुम्ही त्यातून सावरू शकता, हे अशा गुंतागुंतीच्या सुरक्षा उपायांपेक्षा चांगले आहेत जे तुम्हाला तुमच्या कौशल्याची पातळी ओलांडण्यास भाग पाडतात, तुम्हाला अज्ञात प्रदेशात ढकलतात आणि तुम्ही चूक करण्याची शक्यता वाढवतात. ही अशी गोष्ट आहे ज्यावर तुम्हाला अनेकदा खूप वाईट सल्ले ऐकायला मिळतात. लोक तुम्हाला अतिशय गुंतागुंतीची वाटणारी सुरक्षा योजना लागू करण्याचा सल्ला देतील. आणि ती इतकी गुंतागुंतीची असल्यामुळे, ती सुरक्षित वाटते. असे वाटते की तिथे एक

सुरक्षा सोपी ठेवणे (8:40)

खूप काही घडत आहे, त्यामुळे ते खूप गुंतागुंतीचे आणि गंभीर असले पाहिजे. आणि बऱ्याच प्रकरणांमध्ये, तुम्ही तुमच्या तांत्रिक क्षमतेच्या पलीकडे जाता आणि प्रत्यक्षात पैसे गमावता, चोरीमुळे नाही, तर तुम्ही तुमच्या कौशल्य पातळीच्या बाहेर काम करत असल्यामुळे झालेल्या चुकीमुळे. त्यामुळे आपण ते सोपे ठेवूया. आपण ते मानकांवर आधारित ठेवूया. आपण सर्वोत्तम पद्धती, सामान्य साधने वापरूया आणि त्यांचा सातत्याने वापर करूया. जेणेकरून आपण खूप सुरक्षित राहू शकू. आपण थेट, आपण थेट पहिल्या प्रश्नाकडे जाऊ. आतापर्यंत स्ट्रीमवर 220 लोक आहेत. व्हिडिओ आणि ऑडिओबद्दल मला अभिप्राय दिल्याबद्दल धन्यवाद. हे जाणून घेणे नेहमीच चांगले असते. तुमच्या माहितीसाठी, आज या ठिकाणी थोडासा वीजपुरवठा खंडित झाला होता, आणि जर वीज गेली, तर तुम्हाला समजेल कारण स्ट्रीम थांबेल. आणि इंटरनेट राउटर आणि वायफाय

रीबूट होण्यासाठी किमान पाच मिनिटे लागतात. मी परत येऊ शकेन, जरी फक्त एका सेकंदासाठी वीज गेली तरी, मला परत येण्यापूर्वी पाच मिनिटे वाट पाहावी लागेल. जर मी परत येऊ शकलो नाही, तर आम्ही तुम्हाला चॅटमध्ये कळवू. त्यामुळे कृपया धीर धरा आणि मला आशा आहे की आपला संपर्क तुटणार नाही. पण तुम्हाला माहीत आहे की आज आपल्याला व्यवस्थापित कराव्या लागणाऱ्या धोक्यांपैकी हा एक धोका आहे. आपण आजच्या आपल्या पहिल्या प्रश्नाकडे वळूया. पहिला प्रश्न एका अनामिक (anonymous) व्यक्तीकडून आला आहे आणि तुमचा प्रश्न विचारण्यासाठी अनामिक हा शब्द निवडणे ही सुरक्षेची पहिली आणि चांगली यंत्रणा आहे. जर मला डिस्लेक्सिया (dyslexia) असेल आणि लांब पासवर्ड लक्षात ठेवण्यात मी चांगला नसेन, तर अनेक युनिक, मजबूत पासवर्ड व्यवस्थापित करण्याचा सर्वोत्तम मार्ग कोणता आहे? हा एक उत्तम प्रश्न आहे. हा एक उत्तम प्रश्न आहे कारण तो एका व्यापक समस्येवर भाष्य करतो, ती म्हणजे गोष्टी लक्षात ठेवण्याची अडचण. आणि आपल्या सर्वांना वाटते की आपण

प्रत्यक्षात करू शकतो त्यापेक्षा अधिक चांगले लक्षात ठेवू शकतो. आणि आपल्यापैकी काहींना स्मरणशक्ती किंवा वाचन किंवा लेखन किंवा पासवर्ड लक्षात ठेवण्यास मदत करणाऱ्या इतर कोणत्याही कौशल्यांमध्ये अडचण असते. आणि कदाचित त्यांना माहीत असते की ते फार चांगले लक्षात ठेवू शकत नाहीत. त्यामुळे अनामिक व्यक्तीने हा प्रश्न डिस्लेक्सियाने ग्रस्त असलेल्या व्यक्तीच्या दृष्टिकोनातून विचारला आहे, परंतु, हे सर्वांना समान रीतीने लागू होते. मानवी चुका करणारी स्मरणशक्ती असलेल्या प्रत्येकाला. मानव दीर्घकाळापर्यंत गोष्टी लक्षात ठेवण्यात खरोखरच वाईट आहेत, विशेषतः अशा गोष्टी ज्या संस्मरणीय नसतात कारण त्या प्रतिमा, अनुभव किंवा भावनांशी जोडलेल्या नसतात. आपल्या जीवनाशी कोणताही संबंध नसलेल्या गोष्टी लक्षात ठेवणे जवळजवळ अशक्य आहे कारण आपला मेंदू संबंधित नसलेली माहिती काढून टाकण्यात खूप चांगला आहे. जर तुम्ही जे लक्षात ठेवण्याचा प्रयत्न करत आहात त्याच्याशी जोडलेली कोणतीही भावना, अनुभव, प्रतिमा नसेल, तर मेंदू म्हणेल, हे आता माझ्या कॅशिंग अल्गोरिदमसाठी (caching algorithm) संबंधित नाही आणि ते सोडून देईल. आणि बरेच

लोक नेमके याच कारणामुळे पासवर्ड विसरतात. त्यामुळे या प्रश्नाचे अधिक व्यापकपणे उत्तर देण्यासाठी आणि लोकांना पासवर्डच्या मूलभूत तत्त्वांचा पाया मिळवून देण्यासाठी मी येथे काही संसाधनांचा वापर करणार आहे. तर त्यासाठी, मी काही दृश्य साधनांचा (visual aids) वापर करणार आहे. मी सहसा दृश्य साधने वापरत नाही, परंतु मला वाटते की या विशिष्ट प्रकरणात ती उपयुक्त ठरतील. बघूया ते कसे होते. ठीक आहे, तर आपण ज्या पहिल्या गोष्टीबद्दल बोलणार आहोत, ती म्हणजे पासवर्ड व्यवस्थापन प्रणाली (password management systems). अनेक दशकांपासून, आम्ही वापरकर्त्यांना लांब, यादृच्छिक (random) अल्फान्यूमेरिक पासवर्ड तयार करण्याचे प्रशिक्षण देत आहोत ज्यामध्ये अक्षरांची विस्तृत श्रेणी असते. हे असे पासवर्ड आहेत जे मानव लक्षात ठेवू शकत नाहीत. हे असे पासवर्ड आहेत जे प्रत्यक्षात वाईट वर्तनाला प्रोत्साहन देतात. ते अशा वर्तनाला प्रोत्साहन देतात जिथे तुम्ही तोच लबाडीचा पॅटर्न वापरता, Satoshi Nakamoto ज्यामध्ये O च्या जागी शून्य (0) आणि दुसऱ्या शब्दाचे पहिले अक्षर कॅपिटल आणि T च्या जागी

सात (7) आणि शेवटी हॅश पाउंड (#) वापरला जातो. आणि आता तुम्हाला संख्या, लोअरकेस, अप्परकेस आणि अक्षरे मिळाली आहेत. परंतु जर तुम्हाला ते एकापेक्षा जास्त साइटवर वापरायचे असेल, तर तुम्ही थोडासा बदल करता. मग तुम्हाला कदाचित शेवटी एक संख्या जोडावी लागेल. आणि मग तुम्हाला या खरोखरच कठीण स्मरणशक्तीच्या समस्येचा सामना करावा लागतो, ती म्हणजे साइट्स तुम्हाला विविधता (variation) निर्माण करण्यास भाग पाडत आहेत, परंतु विविधतेमुळे तुम्हाला प्रत्यक्षात लक्षात ठेवणे अशक्य होते, विशेषतः या गुंतागुंतीच्या पासवर्डसह. आणि त्यामुळे तुम्ही अनेक साइट्सवर तुमचा पासवर्ड पुन्हा वापरता. जवळजवळ प्रत्येकजण हेच करतो. आणि हे सुरक्षेसाठी खूप, खूप वाईट आहे. आता, ही समस्या कशी सोडवायची हे समजून घेण्यासाठी सर्वोत्तम संसाधनांपैकी एक म्हणजे प्रत्यक्षात एक व्यंगचित्र (cartoon) आहे. त्यामुळे मी तुम्हाला दोन सल्ले देणार आहे. पहिला म्हणजे तुमचे स्वतःचे पासवर्ड तयार करण्याचा प्रयत्न करू नका,

पासवर्ड मॅनेजर्स (13:50)

पासवर्ड मॅनेजर वापरा. पासवर्ड मॅनेजर हे एक सॉफ्टवेअर आहे जे तुमच्यासाठी यादृच्छिक पासवर्ड तयार करते आणि ते तुमच्यासाठी लक्षात ठेवते. या सिस्टीम्स दोन समस्या सोडवतात, मानवी स्मरणशक्ती चुका करू शकते आणि मानवी यादृच्छिकता त्याहूनही वाईट आहे. आपण यादृच्छिक गोष्टी करण्यात खूप वाईट आहोत. आपण गोष्टी लक्षात ठेवण्यात खूप वाईट आहोत आणि यादृच्छिक गोष्टी लक्षात ठेवण्यात तर दुप्पट वाईट आहोत. त्यामुळे तुम्ही अधिक शिस्तबद्ध, अधिक हुशार, अधिक सावध राहून ही समस्या सोडवू शकत नाही. तुम्ही तुमच्या स्क्रीनवर पोस्ट-इट्स चिकटवून आणि तुम्हाला इथे दिसणाऱ्या सर्व गोष्टी करून ही समस्या सोडवू शकत नाही, बरोबर? जे तुम्ही ऑफिसमध्ये नेहमी पाहता. पासवर्ड लिहून ठेवणे, ही वाईट कल्पना नाही. जर तुम्ही ज्या ठिकाणी ते लिहित आहात ती जागा खरोखरच सुरक्षित असेल. त्यामुळे पासवर्ड मॅनेजरचे सर्वात मूलभूत स्वरूप म्हणजे एक छोटे पुस्तक, एक पासवर्ड बुक. आणि, तुम्हाला माहिती आहे, मी जरी असे म्हणेन की ते फार आधुनिक नाही, तरी ते

फार तांत्रिकदृष्ट्या प्रगत नाही, आणि ते यादृच्छिक पासवर्ड तयार करण्याची समस्या सोडवत नाही. प्रामाणिकपणे सांगायचे तर, हाच उपाय माझे आई-वडील वापरतात. कारण जर त्यांनी ते लिहून ठेवले, तर ते त्यांच्या पासवर्डमध्ये अधिक विविधता ठेवू शकतात. आणि जर त्यांनी ती छोटी पुस्तिका सुरक्षित ठिकाणी ठेवली, जसे की उदाहरणार्थ, घरात, कुलूपबंद ड्रॉवरमध्ये किंवा तशाच एखाद्या ठिकाणी, तर ती एक बऱ्यापैकी टिकाऊ यंत्रणा आहे. आता, तुमच्यापैकी बहुतांश लोक कदाचित माझ्या आई-वडिलांपेक्षा तांत्रिकदृष्ट्या अधिक प्रगत असतील. त्यामुळे तुमच्यासाठी एका चांगल्या उपायाबद्दल बोलूया. तर एक चांगला उपाय म्हणजे हे काम तुमच्यासाठी करण्यासाठी सॉफ्टवेअर डाउनलोड करणे. पासवर्ड मॅनेजर्सची एक मोठी श्रेणी उपलब्ध आहे. आणि चांगली बातमी ही आहे की मूलभूत कार्यक्षमतेसाठी, हे मोफत आहेत. तुम्ही Last Password किंवा LastPass, 1Password, Bitwarden, आणि इतर अनेक जसे की KeePass, इत्यादी उत्पादने वापरू शकता. आता, यामध्ये

अनेक वेगवेगळी वैशिष्ट्ये असतील आणि तुम्हाला खरोखर कोणत्या वैशिष्ट्यांची आवश्यकता आहे हे तुम्हाला शोधावे लागेल. माझा सल्ला असा आहे की तुम्हाला हे कोणत्या प्रकारच्या उपकरणांवर वापरायचे आहे हे शोधण्यापासून सुरुवात करा, कारण पासवर्ड मॅनेजर वापरण्याचा एक मोठा फायदा हा आहे की तुम्ही तुमचे सर्व पासवर्ड तुमच्या सर्व उपकरणांवर समक्रमित करू शकता. त्यामुळे जर तुम्ही Windows आणि Android आणि iOS वापरत असाल, तर ते कदाचित सोपे आहे. सर्व पासवर्ड मॅनेजर्स त्या सर्व प्लॅटफॉर्मना सपोर्ट करतील आणि तुम्हाला कोणतीही अडचण येणार नाही. तुम्ही वापरत असलेल्या ब्राउझरवरही त्याने सपोर्ट करावा असे तुम्हाला वाटेल. त्यामुळे Chrome, Firefox, Edge, Opera, Brave, किंवा तुम्ही जे काही एक्स्टेंशन म्हणून वापरत आहात, जेणेकरून तुम्ही वेब फॉर्ममध्ये आपोआप पासवर्ड भरू शकाल आणि सबमिट करू शकाल. मला वाटते तुम्ही सर्वांनी पाहिले असेल की माझ्या व्हिडिओ कॅमेराचे कार्ड नुकतेच फुल झाले आहे. थेट स्ट्रीममध्ये, ते

उपयुक्त होते. होय, माझे SD कार्ड नुकतेच फुल झाले आहे, त्यामुळे मी आता कॅमेरावर रेकॉर्डिंग करत नाहीये. अरेरे. ठीक आहे, काही हरकत नाही. आपण पुढे चालू ठेवूया. त्यामुळे पासवर्ड मॅनेजर निवडण्याचा एक मार्ग म्हणजे तुम्हाला कोणत्या उपकरणांवर सपोर्ट हवा आहे हे शोधणे. आणि जर तुमच्याकडे काही वेगळी उपकरणे असतील तर ते थोडे अधिक कठीण होते. तर, मी डेस्कटॉपवर Linux वापरतो. मी खूप काळापासून डेस्कटॉपवर Linux वापरत आहे. आणि, तुम्हाला माहिती आहे, मला वाटते की हे वर्ष खरोखरच डेस्कटॉपवरील Linux चे वर्ष आहे. हे घडणार आहे लोकांनो. नाही, तसे नाहीये. पण काहीही असले तरी, मी ते वापरतो, ते माझ्यासाठी काम करते, परंतु त्याला व्यापक सपोर्ट नाही. त्यामुळे सर्वच पासवर्ड मॅनेजर्स Linux डेस्कटॉपवर काम करत नाहीत किंवा चांगले काम करत नाहीत. सुदैवाने, बहुतांश पासवर्ड मॅनेजर्स ब्राउझरमध्ये ब्राउझर एक्स्टेंशन म्हणून काम करतात, ज्यामुळे ते बहुतांशी क्रॉस-प्लॅटफॉर्म बनतात. त्यामुळे माझ्यासाठी, एक

विविध उपकरणांवर पासवर्ड मॅनेजर निवडणे (18:22)

पासवर्ड मॅनेजर Android आणि Windows आणि Linux आणि Chrome आणि Firefox आणि iOS, इत्यादींवर काम करणे आवश्यक आहे. जेणेकरून मी ते माझ्या सर्व उपकरणांवर स्थापित करू शकेन आणि त्यामुळे माझ्या सर्व उपकरणांवरील माझ्या सर्व पासवर्ड्समध्ये प्रवेश करू शकेन. ठीक आहे. तर निनावी व्यक्तीने विचारलेल्या प्रश्नाचे उत्तर देण्यासाठी, जर मला डिस्लेक्सिया (dyslexia) असेल आणि लांब पासवर्ड लक्षात ठेवण्यात मी चांगला नसेन, तर अनेक अद्वितीय, मजबूत पासवर्ड व्यवस्थापित करण्याचा सर्वोत्तम मार्ग कोणता आहे? सर्वोत्तम मार्ग म्हणजे पासवर्ड मॅनेजर वापरणे, जे तुमच्यासाठी यादृच्छिकपणे अद्वितीय, मजबूत पासवर्ड तयार करते. आणि, एकदा तुम्ही पासवर्ड मॅनेजर निवडल्यानंतर, तुम्ही एक पासवर्ड सेट करता आणि तो एक पासवर्ड तुमचा पासवर्ड मॅनेजर पासवर्ड असतो. मी तुम्हाला टू-फॅक्टर ऑथेंटिकेशन (two-factor authentication) यंत्रणा वापरण्याचा सल्ला देईन जेणेकरून कोणीही केवळ तो एक पासवर्ड वापरून लॉग इन करू शकणार नाही आणि तुमची पासवर्ड फाईल डाउनलोड करू शकणार नाही. तुम्हाला ऑथेंटिकेशनच्या दुसऱ्या घटकाची आवश्यकता आहे. आपण याबद्दल बोलू

आज या व्हिडिओच्या दुसऱ्या भागात. आमच्याकडे प्रेक्षकांकडून एक फॉलो-अप प्रश्न देखील आहे, तो म्हणजे मी या सॉफ्टवेअरवर कसा विश्वास ठेवू? बरं, याचं सोपं उत्तर असं आहे की तुम्ही असं सॉफ्टवेअर शोधत आहात जे एकतर मोठ्या प्रमाणावर वापरले जाते, सुरक्षा व्यावसायिकांद्वारे ज्याचे पुनरावलोकन आणि ऑडिट केले जाते किंवा जे ओपन सोर्स आहे किंवा वरील सर्व. आणि मला वाटते की मी आधी नमूद केलेले सर्व या आवश्यकता पूर्ण करतात. आता मी आधी नमूद केलेल्या गोष्टीकडे परत येऊया, ती म्हणजे, तुम्हाला आठवतंय का जेव्हा मी म्हणालो होतो की सुरक्षा 100 टक्के नसते आणि सुरक्षा ही जोखीम संतुलित आणि कमी करण्याची बाब आहे. तर आता या दोन जोखमींचा विचार करूया. जोखीम एक, मी पासवर्ड मॅनेजरवर विश्वास ठेवू शकतो का? आणि जर मी डाउनलोड केलेला पासवर्ड मॅनेजर तडजोड केलेला असेल किंवा तडजोड करण्यायोग्य असेल, किंवा त्यात एखादा बग असेल जो इतर लाखो वापरकर्त्यांच्या आणि सुरक्षा व्यावसायिकांच्या लक्षात आला नसेल जे त्याचे

पुनरावलोकन करत आहेत, तर काय होईल? जोखीम दोन, मी माझ्या मेंदूवर विश्वास ठेवू शकतो का? बरं, जर तुम्ही असा विचार केला, तर हे स्पष्ट होते की इथली समस्या अशी आहे की कोणताही पासवर्ड मॅनेजर नसण्यापेक्षा कोणताही पासवर्ड मॅनेजर असणे चांगले आहे. जेव्हा आपण क्रिप्टोकरन्सीमध्ये हार्डवेअर वॉलेट विरुद्ध सॉफ्टवेअर वॉलेटबद्दल बोलतो तेव्हा आपण याच प्रकारच्या जोखीम व्यवस्थापनाचा विचार करतो. मी हार्डवेअर वॉलेट्सच्या निर्मात्यावर विश्वास ठेवू शकतो का? बरं, काही प्रमाणात, 100 टक्के नाही. तिथे काही धोके आहेत. हार्डवेअर वॉलेट नसण्याच्या तुलनेत ते धोके कसे आहेत? आणि पुन्हा, उत्तर हेच आहे की कोणतेही हार्डवेअर वॉलेट नसण्यापेक्षा कोणतेही हार्डवेअर वॉलेट असणे चांगले आहे. तर तुम्ही प्रत्यक्षात कोणत्या जोखमींचे व्यवस्थापन करू शकता? जेव्हा तुम्ही हा पासवर्ड मॅनेजर मिळवता तेव्हा हे महत्त्वाचे आहे की तुम्ही योग्य सॉफ्टवेअर घेत आहात याची खात्री करा. तुम्ही ते कोणत्याही यादृच्छिक वेबसाइटवरून, Groupon कूपनसह, अशा गोष्टीसाठी डाउनलोड करू नका जे आधीच मोफत होते, आणि

नंतर तुमच्या सिस्टीमवर ट्रोजन (Trojan) मिळवा. पण मूळ मुद्द्याकडे परत येताना, कोणताही पासवर्ड मॅनेजर नसण्यापेक्षा कोणताही पासवर्ड मॅनेजर असणे चांगले आहे. आणि त्यामुळे तुम्ही स्वतः अद्वितीय पासवर्ड तयार करण्याचा प्रयत्न करू नये. जर एखादी वेबसाइट तुम्हाला 8 किंवा त्याहून अधिक वर्णांचा अल्फान्यूमेरिक (alphanumeric) पासवर्ड विचारत असेल, तर तुम्ही तेच करा जे मी करतो. तुम्ही 'सुरक्षित पासवर्ड तयार करा' (generate secure password) असे लिहिलेल्या छोट्या बटणावर क्लिक करा. तुम्ही लांबी 31 वर्ण, 75 वर्ण, 213 वर्णांवर सेट करा. मला वेबसाइट्ससोबत खेळायला आवडते हे पाहण्यासाठी की ते 'हा खूप लांब आहे' असे ओरडण्यापूर्वी मी तो किती लांब करू शकतो. इतकी वर्षे पासवर्ड मॅनेजर आणि सिस्टीम्स माझ्यावर ओरडत आहेत की, तो पुरेसा लांब नाही. तो पुरेसा गुंतागुंतीचा नाही. मला बघायचंय की वेबसाइट्सनी ओरडायला सुरुवात करावी की तो खूप लांब आहे. तो खूप गुंतागुंतीचा आहे. अरे मित्रा, तू काय करतोयस? माझ्या डेटाबेसमध्ये तो बसू शकत नाही. त्यामुळे एक मजबूत यादृच्छिक पासवर्ड तयार करा. आता, मी हा पासवर्ड लक्षात ठेवू शकतो का?

नक्कीच नाही. माझ्या पासवर्ड मॅनेजरमध्ये 800 पासवर्ड्स आहेत, ते सर्व 20 पेक्षा जास्त वर्णांचे आहेत, चिन्हे, अप्परकेस, लोअरकेस आणि संख्यांसह पूर्णपणे यादृच्छिक अल्फान्यूमेरिक आहेत. माझ्यासाठी त्यापैकी एक लक्षात ठेवणे अशक्य आहे, सर्व 800 तर दूरच, पण मला माझा मास्टर पासवर्ड नक्कीच आठवतो. ठीक आहे, पाहूया आपल्याकडे आणखी कोणते प्रश्न आहेत. आणि आपल्या पुढच्या प्रश्नाकडे वळूया, ज्यामुळे मला पुढच्या विषयावर बोलण्याची संधी मिळेल ज्यावर मला बोलायचे आहे. निनावी व्यक्ती विचारते, जेव्हा मी मजबूत पासवर्ड जनरेटर वापरत असतो तेव्हा पासवर्ड किंवा पासफ्रेजसाठी किमान व्यवहार्य सुरक्षा मानके आहेत का, कारण ते बऱ्याच गोष्टींसाठी काम करत नाही. होय. वेबसाइट्सच्या पासवर्ड्सकडून हास्यास्पद अपेक्षा असतात, आणि बऱ्याचदा त्या वाईट अपेक्षा असतात. ते उदाहरणार्थ, परस्परविरोधी माहितीला प्रोत्साहन देतात. मी तुम्हाला एक उदाहरण देतो. तो 8 पेक्षा जास्त वर्णांचा, चिन्हे आणि संख्यांसह अल्फान्यूमेरिक असावा लागतो, परंतु आम्ही फॉर्ममध्ये पेस्ट करणे अक्षम केले आहे. काय

खराब पासवर्ड धोरणे (24:02)

तुम्ही काय करत आहात? तुम्ही काय करत आहात? तुम्ही मला एक गुंतागुंतीचा पासवर्ड निवडायला का सांगत आहात जो मी साहजिकच जनरेटर वापरून तयार करणार आहे आणि मग मला तो पेस्ट करू देत नाही. किंवा फॉर्मच्या कन्फर्म (confirm) भागात मला तो पेस्ट करू देत नाही? तुम्ही वेडे आहात का? तुम्ही काय करत आहात? असे करणे थांबवा. किंवा इतर पासवर्ड जे 8 ते 12 अक्षरांचे असावेत असे सांगतात. खरंच? तुम्हाला मी तो गुंतागुंतीचा बनवायला हवा आहे, पण खूप गुंतागुंतीचा नको. त्यामुळे मी 13 अक्षरे वापरू शकतो ज्याचा काहीही अर्थ होत नाही. किंवा चिन्हांचे विचित्र संयोजन. अरे हो, आपण चिन्हे वापरू शकतो, पण फक्त पाउंड, उद्गारवाचक चिन्ह आणि ॲस्टरिस्क (asterisks). सिंगल कोट आणि ॲट (@) चिन्ह आम्ही घेत नाही कारण त्यामुळे आमच्या रेजेक्स (regex) मध्ये गोंधळ होईल. ही सर्व खरोखर, खरोखरच खराब पासवर्ड धोरणे आहेत. किंवा दर महिन्याला तुमची पासवर्ड धोरणे बदला, पण मागील महिन्यात वापरलेला कोणताही पासवर्ड पुन्हा वापरू नका आणि त्यांना

तसे विचित्रपणे गुंतागुंतीचे ठेवा. ही सर्व विचित्र पासवर्ड धोरणे आहेत आणि तुम्हाला अशा अनेक धोरणांचा सामना करावा लागेल. मुख्य मुद्दा असा आहे की, वेगवेगळ्या कंपन्यांच्या वेगवेगळ्या वेबसाइट्स, ज्यांच्याकडे विविध सुरक्षा टीम्स आणि सुरक्षा धोरणे आहेत आणि सुरक्षेबाबत जागरूकतेचे विविध स्तर आहेत, त्यांच्याकडून तुम्ही त्यांच्या बहुतांश वापरकर्त्यांसाठी काम करेल असे एक चांगले धोरण शोधून काढण्याची अपेक्षा करू शकत नाही. लक्षात ठेवा, ते अशा वापरकर्त्यांसोबत काम करण्याचा प्रयत्न करत आहेत जे 'मी माझ्या पासवर्ड मॅनेजरमधून 37 अक्षरांचा जनरेट केलेला यादृच्छिक पासवर्ड टाकण्याचा प्रयत्न करत आहे' इथपासून ते '1, 2, 3, 4, 5, 6, 7, 8' पर्यंत पसरलेले आहेत. जो वरवर पाहता इंटरनेटवरील सर्वात सामान्य पासवर्ड आहे किंवा 'password 1, 2, 3, 4', जो मला वाटतं इंटरनेटवरील दुसरा सर्वात सामान्य पासवर्ड आहे. त्यामुळे या सर्व लोकांसाठी काम करेल असे धोरण शोधणे, साइट्ससाठी असे करणे खूप, खूप कठीण आहे. त्यामुळे मी काय करतो

की मी फक्त प्रयत्न करत राहतो. मी मला आवडेल तसा यादृच्छिकपणे जनरेट केलेला पासवर्ड टाकेन, तुम्हाला माहिती आहे, 37 अक्षरे आणि सर्व चिन्हे. आणि मग वेबसाइट तक्रार करेल आणि म्हणेल, मला खरोखर ॲस्टरिस्क आवडत नाहीत, तुम्ही माझ्यासोबत असे का करत आहात? त्यामुळे मी काही चिन्हे बंद करेन किंवा ती म्हणेल की तो खूप लांब आहे, त्यामुळे मी तो लहान करेन. किंवा ती म्हणेल, खरं तर मला किमान 2 कॅपिटल अक्षरे देखील हवी आहेत, पण त्याची सुरुवात नंबरने होऊ शकत नाही. आणि मी म्हणतो, उफ्फ, काय हे. जोपर्यंत मला काम करणारा पासवर्ड मिळत नाही तोपर्यंत मी फक्त प्रयत्न करत राहीन. पण मला काहीही मिळाले तरी, त्याच्या दोन हमी असतील. तो लांब आणि गुंतागुंतीचा असेल आणि तो पूर्णपणे यादृच्छिकपणे जनरेट केलेला असेल आणि तो माझ्यासाठी जनरेट करण्यासाठी किंवा लक्षात ठेवण्यासाठी मानवी मेंदूवर अवलंबून नसेल. आणि मी शक्य तितक्या जास्त गुंतागुंतीचा वापर करत आहे. ठीक आहे, तर निनावी (anonymous)

आमच्यासाठी पुढचा प्रश्न विचारतो, ज्यामुळे मला ही कथा पुढे चालू ठेवता येते. कदाचित हा एक मूर्खपणाचा प्रश्न असेल, पण पासवर्ड मॅनेजर क्लाउडमध्ये स्थित नसतो का आणि त्यामुळे तो हॅकर्ससाठी सहजपणे लक्ष्य बनू शकत नाही का? उत्तम प्रश्न निनावी. ही उपकरणे कशी काम करतात ते येथे दिले आहे. तुमच्या पासवर्ड डेटाबेसचा बॅकअप क्लाउडवर स्टोअर केलेला असतो. तथापि, तो बॅकअप कूटबद्ध केलेला असतो आणि तो एंड-टू-एंड कूटबद्ध केलेला असतो. याचा अर्थ असा की तो तुमच्या स्थानिक मशीनवर कूटबद्ध केलेला असतो. तो क्लाउडवर कूटबद्ध स्वरूपात पाठवला जातो, आणि तो पुन्हा फक्त तुमच्या स्थानिक मशीनवरच कूटउकल केला जातो. तो कूटबद्ध आणि कूटउकल करण्याचा मार्ग म्हणजे तुमचा मास्टर पासवर्ड वापरणे. आणि तो मास्टर पासवर्ड स्वतः स्ट्रेचर (stretcher) म्हणून ओळखल्या जाणाऱ्या प्रक्रियेतून पार केला जातो. आणि स्ट्रेचर काय करते तर ते एक पासवर्ड स्ट्रेचिंग अल्गोरिदम घेते, खरं तर ते एक हॅशिंग अल्गोरिदम असते. ते काय करते तर तुम्ही तुमचा मास्टर पासवर्ड म्हणून टाइप केलेले शब्द किंवा अक्षरे घेते

पासवर्ड, आणि मग ते त्याला हॅशिंगच्या हजारो फेऱ्यांमधून पार करते. आता याला वेळ लागतो आणि याचा परिणाम असा होतो की असा पासवर्ड तयार होतो ज्यावर ब्रूट फोर्स (brute force) हल्ला करता येत नाही. कारण समजा मी एक पासवर्ड टाइप केला आणि तो एकदा कूटबद्ध केला किंवा हॅश केला आणि मग तो सर्व्हरला पाठवला. उत्तम, पण तो एका कठीण, बऱ्यापैकी सोप्या हल्ल्याला बळी पडू शकतो, ज्याला रेनबो टेबल (rainbow table) म्हणतात. पुढे काय होईल की हल्लेखोर तुम्ही कल्पना करू शकता असे सर्व सर्वात सामान्य पासवर्ड घेईल, त्यांना हॅश करेल आणि हॅश केलेल्या पासवर्डचा एक डेटाबेस तयार करेल जो त्या हल्ल्याविरुद्ध वापरला जाऊ शकतो. आता, जर दुसरीकडे, किंवा मी योग्य पासवर्ड मिळेपर्यंत पुन्हा पुन्हा आणि पुन्हा वेगवेगळे पासवर्ड वापरून पाहू शकतो. एक सामान्य ब्रूट फोर्स हल्ला. पण जर प्रत्येक पासवर्ड 25,000 वेळा किंवा 50,000 वेळा, किंवा 100,000 वेळा हॅश केला गेला, तर प्रत्येक वेळी मी

पासवर्ड डेटाबेस कसे कूटलिखित केले जातात (29:19)

माझ्या संगणकावर ते टाईप करण्यासाठी 2 ते 3 सेकंद लागतात. जे माझ्यासाठी फार मोठी गोष्ट नाही. माझे पासवर्ड मॅनेजर सुरू करण्यासाठी जेव्हा मी पहिल्यांदा माझ्या ब्राउझरमध्ये किंवा संगणकावर लॉग इन करतो तेव्हा 2 ते 3 सेकंद लागतात, 2 ते 3 सेकंद. परंतु जर तुम्हाला प्रत्येक वेळी पासवर्ड टाईप करताना 2 ते 3 सेकंद जोडावे लागत असतील, तर ते ब्रूट फोर्स (brute force) करण्याच्या पद्धतीला पूर्णपणे बिघडवून टाकते. यामुळे पूर्व-गणित केलेल्या पासवर्ड हॅशचा हा डेटाबेस तयार करणे देखील अशक्य होते, कारण केवळ काही हजार कॉम्बिनेशन्स वापरून पाहण्यासाठी खूप वेळ लागेल. आणि जर तुमचा मास्टर पासवर्ड पुरेसा गुंतागुंतीचा असेल, तर तो तयार करण्यासाठी केवळ काही हजार पासवर्ड कॉम्बिनेशन्सपेक्षा खूप जास्त वेळ लागतो. त्यामुळे पासवर्ड डेटाबेस सामान्यतः बऱ्यापैकी सरळ स्टँडर्ड्स-आधारित कूटलेखन अल्गोरिदमने कूटलिखित केलेला असतो. यासाठी AES256 हा बहुधा सर्वात सामान्यपणे वापरला जाणारा अल्गोरिदम आहे, पण तो काहीसा असा

आहे. तो एक सिमेट्रिक कूटलेखन अल्गोरिदम आहे जो डेटा कूटलिखित करण्यासाठी आणि डेटाची कूटउकल करण्यासाठी एकाच कीचा, म्हणजेच खाजगी कीचा वापर करतो. कूटलेखन आणि कूटउकल करण्यासाठी तीच की वापरली जाते, म्हणूनच याला सिमेट्रिक कूटलेखन अल्गोरिदम म्हटले जाते. आणि ती की तुमच्या मास्टर पासफ्रेजचे वारंवार हॅशिंग करून तयार केली जाते. त्यामुळे जोपर्यंत तुम्ही तुमचा मास्टर पासफ्रेज फक्त स्थानिक डिव्हाइसवर वापरता आणि ते डिव्हाइस विश्वासार्ह असते, तोपर्यंत तुम्हाला उच्च दर्जाची सुरक्षितता मिळते. होय, पासवर्ड डेटाबेस क्लाउडमध्ये असतो, परंतु तो कूटलिखित केलेला असतो आणि जोपर्यंत त्यांच्याकडे तुमचा मास्टर पासफ्रेज नसेल तोपर्यंत कोणीही तो उघडू शकत नाही, जो तुम्ही तुमच्या स्वतःच्या डिव्हाइसशिवाय इतर कशावरही कधीच टाईप करत नाही. अर्थात, यात काही समस्या आहेत. कारण जर तुमच्या स्थानिक डिव्हाइसवर पासवर्ड कीवर्ड लॉगर असेल, तर तो तुम्हाला मास्टर पासफ्रेज टाईप करताना पकडू शकतो. पण विशेष म्हणजे, तेवढे

पुरेसे असणार नाही एका हल्लेखोरासाठी जर तुमच्याकडे टू-फॅक्टर ऑथेंटिकेशन असेल आणि ते हल्लेखोरासाठी पुरेसे नसण्याचे कारण असे आहे की ते तुमचा मास्टर पासफ्रेज कॅप्चर करू शकतात, परंतु ते दुसऱ्या फॅक्टर ऑथेंटिकेशनशिवाय क्लाउडवरून कूटलिखित डेटाबेस डाउनलोड करू शकत नाहीत, जे बहुधा तुमच्या मशीनशी किंवा इतर कशाशी तरी जोडलेले असते. आणि त्यांच्याकडे तो दुसरा फॅक्टर नसतो, टू-फॅक्टर ऑथेंटिकेशनबद्दल थोड्याच वेळात अधिक माहिती पाहू. आपण स्तर तयार करत आहोत. आपण येथे काय करत आहोत हे तुम्हाला समजत आहे की नाही मला माहीत नाही, पण होय, आपण उद्भवू शकणाऱ्या प्रत्येक समस्येकडे पाहत आहोत आणि आपण सुरक्षिततेचे स्तर जोडत आहोत. सुरक्षा ही अशी गोष्ट नाही की, 'ही एक गोष्ट आहे जी सर्व काही थांबवते'. सुरक्षा म्हणजे हल्लेखोराच्या मार्गात अडथळे निर्माण करणे. आणि होय, तुम्ही हा अडथळा मोडू शकता, परंतु त्याच्या अगदी मागे दुसरा अडथळा आहे. आणि मग जर तुम्ही तो अडथळा मोडला तर त्याच्या अगदी मागे,

आणखी एक अडथळा आहे. आणि जर मी अडथळे पुरेसे मजबूत बनवले, तसेच सुरक्षिततेचे अनेक स्तर आणि स्तर आणि स्तर तयार केले, आणि मी हे देखील सुनिश्चित केले की एक स्तर मोडण्यासाठी तुम्हाला आवश्यक असलेली कौशल्ये दुसरा स्तर मोडण्यासाठी आवश्यक असलेल्या कौशल्यांपेक्षा वेगळी आहेत. आणि मी याची खात्री करतो की एक स्तर मोडण्यासाठी तुम्हाला आवश्यक असलेली साधने आणि बजेट दुसऱ्यापेक्षा वेगळे आहेत. तर माझ्या लक्षात न येता, मी ते न थांबवता आणि यशस्वीरीत्या या सर्व स्तरांमधून पार जाण्याची, किंवा अनेक, अनेक बळींविरुद्ध मोठ्या प्रमाणावर असे करण्याची तुमची शक्यता खूप, खूप, खूप कमी होते. आणि हाच मुख्य उद्देश आहे. ठीक आहे, मी येथे पटकन कॉफी पितो आणि चॅट्सवर तुमच्याशी थोडे बोलतो, तोपर्यंत मी इतर प्रश्न शोधतो जे, होय, इतर प्रश्न जे तुम्हाला विचारायचे असतील. मला एक

लहान पेज लावू द्या, मला वाटते की ते सर्व आश्रयदाते ज्यांच्यामुळे मला अशा प्रकारचे शैक्षणिक साहित्य तयार करणे शक्य होते, तोपर्यंत मी माझ्या नवीन मगमधून कॉफी पितो ज्यावर 'rules without rulers' असे लिहिले आहे. नुकत्याच झालेल्या माझ्या अधिक लोकप्रिय भाषणांपैकी एक. हे एका छोट्या केशरी बिटकॉइनसोबत येते. अरे देवा, आम्हाला जाहिरात करणे थांबवा, आम्ही तुमचे स्वॅग विकत घेणार आहोत. फक्त चांगला आशय चालू ठेवा. एका सेकंदात. आणि आपण परत आलो आहोत. ठीक आहे, मी हे तिथे बाजूला ठेवू शकतो. मी ते फिरवतो जेणेकरून ते छान दिसेल. हे पहा. ठीक आहे. तर मी प्रश्न पाहत होतो आणि असा एखादा प्रश्न शोधण्याचा प्रयत्न करत होतो जो मला ही छोटी कथा शक्य तितक्या संक्षिप्तपणे पुढे नेण्यास अनुमती देईल. तर आता आपण पासफ्रेजबद्दल बोलूया आणि त्यासाठी, मी ब्रूसची थोडी मदत घेणार आहे जो विचारतो, वॉलेट पासफ्रेज म्हणून मजबूत पासवर्ड वापरण्याबद्दल तुमचे काय विचार आहेत.

वॉलेट पासफ्रेजेस आणि BIP-39 (35:02)

आणि ब्रूस येथे ज्याबद्दल बोलत आहेत तो एक पर्यायी पासफ्रेज आहे जो त्यांच्यासाठी उपलब्ध आहे जे bit 39 निमोनिक (mnemonic) फ्रेज वापरतात. याला 25 वा शब्द म्हणूनही ओळखले जाते कारण निमोनिक फ्रेजेस 24 शब्दांचे असतात. आणि सैद्धांतिकदृष्ट्या, जर तुम्ही 25 वा शब्द जोडला, पण मी 25 वा शब्द जोडणार नाही त्याऐवजी, आपण त्याला तेच म्हणणार आहोत जे ते प्रत्यक्षात आहे, जे एक पर्यायी पासफ्रेज आहे, आणि ते एकापेक्षा जास्त शब्दांचे असू शकते. तर तो एक वॉलेट पासफ्रेज आहे. हा एक अतिरिक्त पर्यायी पासफ्रेज आहे जो तुम्ही तुमच्या निमोनिक फ्रेजमध्ये जोडता जेणेकरून निमोनिक फ्रेजला दुसरा फॅक्टर (second factor) मिळेल. जेणेकरून जर कोणी तुमच्या ऑफिसमध्ये कागदाच्या तुकड्यावर लिहिलेले 24 शब्द चोरले, तर ते लगेच तुमचे पैसे घेऊ शकत नाहीत कारण तिथे एक वॉलेट पासफ्रेज असतो. आता, आठवा जेव्हा आपण एका पासवर्डबद्दल बोलत होतो, तो मास्टर पासवर्ड जो

पासवर्ड मॅनेजरमध्ये वापरला जातो. आणि आपण म्हणालो होतो की तो वारंवार हॅश (hashed) केला जातो आणि त्यामुळे ब्रूट फोर्सिंग (brute forcing) टळते. बरं, bit 39 स्टँडर्डमध्ये पर्यायी पासफ्रेज आणि निमोनिक फ्रेजसोबत अगदी तेच केले जाते. PBK DF2 नावाचा पासवर्ड स्ट्रेचिंग अल्गोरिदम वापरून, Shaw 512 च्या 2000 फेऱ्या (rounds) लागू करून त्याला Shaw 512 सोबत स्ट्रेच केले जाते. आता ही थोडी तडजोड आहे, ही bit 39 स्टँडर्डमधील एक तडजोड आहे कारण bit 39 स्टँडर्ड, जे वॉलेट्ससाठी निमोनिक फ्रेज स्टँडर्ड आहे, ते हार्डवेअर वॉलेट उपकरणांवर चालण्यास सक्षम असले पाहिजे, जे एवढे छोटे USB उपकरणे असतात आणि ज्यांच्याकडे जास्त प्रोसेसिंग पॉवर नसते. त्यामुळे प्रत्यक्षात Shaw 512 च्या 2000 फेऱ्या चालवण्यासाठी काही सेकंद लागतात. दोन, तीन सेकंद. आता याचा अर्थ असा आहे की, दुर्दैवाने हे फार चांगले संरक्षण नाही, ते पुरेसे आहे, परंतु ते ब्रूट

फोर्स केले जाऊ शकते जर तुमच्याकडे खूप अधिक शक्तिशाली संगणक असेल. म्हणून जर तुम्ही GPU वापरत असाल, उदाहरणार्थ, किंवा त्याहूनही चांगले, Shaw 12 साठी डिझाइन केलेले ASIC किंवा Shaw 512 साठी FPGA उपकरण वापरत असाल, तर तुम्ही प्रत्यक्षात एका सेकंदाच्या काही भागात 2000 फेऱ्या करू शकता. आणि त्यामुळे तुम्ही एकाच सीडवर (seed), प्रति सेकंद शेकडो, कदाचित हजारो पासवर्ड किंवा पासफ्रेजेस वापरून पाहू शकता. ज्यामुळे तुम्हाला योग्य बजेटमधील हार्डवेअरच्या मदतीने, पर्यायी पासफ्रेज असलेल्या bit 39 निमोनिकवर हल्ला करणे शक्य होईल. पण पुन्हा, हे क्षुल्लक नाही. त्यामुळे आपण लेयर्सबद्दल (layers) बोलत आहोत. तर चला पासफ्रेजेसबद्दल बोलूया. हा एकच शब्द नाही हे दर्शवण्यासाठी आपण पासवर्ड ऐवजी पासफ्रेज हा शब्द वापरतो. ही प्रत्यक्षात एक फ्रेज (वाक्यांश) आहे. जसे निमोनिक फ्रेज ही एक फ्रेज असते. ही शब्दांची एक मालिका असते, जी स्पेसने (spaces) वेगळी केलेली असते. आणि यामुळे ते लक्षात ठेवणे खूप सोपे होते, तसेच

लिहिणे आणि वाचणे देखील, जरी ते थोडे खराब झाले असले तरीही ते वाचता येते. असे दिसून येते की मानव पॅटर्न ओळखण्यात (pattern recognition) खरोखरच खूप चांगले आहेत. त्यामुळे जर तुम्ही तुमच्या स्वतःच्या हस्ताक्षरात, लोअर केसमध्ये (lower case) शब्दांची मालिका लिहिली, तर तुम्ही ती वाचू शकता, जरी शब्दाचा दोन तृतीयांश भाग पुसट झाला असला तरीही, किंवा तुम्ही बऱ्यापैकी चांगला अंदाज लावू शकता. आणि जर त्या शब्दांचा तुमच्यासाठी काही अर्थ असेल, किंवा तुम्ही त्या शब्दांसह एक मानसिक चित्र तयार करू शकत असाल, तर तुम्ही अप्पर आणि लोअर केस अक्षरे आणि संख्यांनी बनलेल्या यादृच्छिकपणे (randomly) तयार केलेल्या पासवर्डपेक्षा एखादी फ्रेज खूप चांगल्या प्रकारे लक्षात ठेवू शकता. पण हे थोडे अधिक चांगल्या प्रकारे समजावून सांगण्यासाठी, मी रँडल मनरो (Randall Monroe) यांची थोडी मदत घेणार आहे. आता तुम्ही मला भूतकाळात रँडल मनरोबद्दल बोलताना ऐकले असेल. रँडल मनरो हे एक ग्राफिक आर्टिस्ट आहेत जे एक कार्टून बनवतात ज्याचे नाव आहे

XKCD. आणि XKCD हे एक ग्राफिक कार्टून आहे जे विविध तांत्रिक संकल्पना दर्शवते, आणि सोबतच अतिशय मजेदार सामाजिक टीका आणि सर्व प्रकारच्या विलक्षण कल्पना देखील मांडते. त्यात खरोखरच खूप हुशार कल्पना अतिशय उत्तम प्रकारे सादर केल्या आहेत. आणि तुम्हाला माहिती आहे, ही अशा परिस्थितींपैकी एक आहे जिथे एक XKCD आहे, तुम्हाला चांगल्या प्रकारे समजावून सांगायच्या असलेल्या जवळजवळ कोणत्याही संकल्पनेसाठी एक XKCD चित्र उपलब्ध असते. त्यामुळे मी असे एक वापरणार आहे ज्याबद्दल तुमच्यापैकी अनेकांनी कदाचित आधी ऐकले असेल, आणि ते 'correct horse battery staple' म्हणून ओळखले जाते. आणि जर हे तुम्हाला निरर्थक वाटत असेल तर एक सेकंद थांबा. ठीक आहे तर चला आपल्या स्क्रीनवर ते पाहूया. तर याला म्हणतात, याला पासवर्ड्स (passwords) म्हणतात. 20 वर्षांच्या प्रयत्नांतून, आपण सर्वांना असे पासवर्ड वापरण्यासाठी यशस्वीरित्या प्रशिक्षित केले आहे जे मानवांना लक्षात ठेवणे कठीण आहे, परंतु संगणकांना अंदाज लावणे सोपे आहे. आणि जर तुम्ही इथे वर पाहिले तर

XKCD पासफ्रेज संकल्पना (40:47)

वरच्या डाव्या कोपऱ्यात, हा एक सामान्य पासवर्ड आहे जो तुम्हाला वेबसाइटवर विचारला जातो. तर हे, कॅपिटल, लोअरकेस, अंक आणि चिन्हे कोणत्यातरी क्रमाने असतात. तुम्ही येथे जे पाहत आहात ती एक सामान्य गोष्ट आहे जी वापरकर्ते हे तयार करण्यासाठी आणि लक्षात ठेवण्यासाठी करतात, ते म्हणजे एखाद्या शब्दात बदल करण्याचा प्रयत्न करतात. तर हा Troubadour शब्द आहे. एक फिरता संगीतकार जो शूरवीरांच्या पराक्रमांबद्दल गातो. मला वाटते Troubadour चा अर्थ हाच आहे. एक Troubadour आणि 3. तर या प्रकरणात तुम्हाला असे काहीतरी दिसते जे यादृच्छिक वाटते, परंतु ते खरोखर यादृच्छिक नसते. आता या विशिष्ट गोष्टीचे संगणकाच्या आधारावर विश्लेषण केले जाऊ शकते. गणिती दृष्टिकोनातून, माहिती सिद्धांताच्या दृष्टिकोनातून, ही गोष्ट किती यादृच्छिक आहे हे पाहण्यासाठी. किंवा या प्रकारच्या गोष्टीत किती यादृच्छिकता आहे. तर या विशिष्ट प्रकरणात, आपल्याकडे अंदाजे 28 बिट्सची एंट्रॉपी आहे. याचा अर्थ असा की ही

गुंतागुंत 28 बायनरी अंकांच्या बायनरी संख्येद्वारे व्यक्त केली जाऊ शकते, 2 चा 28 वा घात. ज्याचा जर तुम्ही एका सेकंदात 1,000 अंदाज लावू शकलात, तर ब्रूट फोर्स करण्यासाठी तुम्हाला 3 दिवस लागतील. तर ही मुळात एक वेब सेवा किंवा त्यासारखे काहीतरी आहे जिथे तुम्ही प्रति सेकंद अनेक अंदाज लावण्याचा प्रयत्न करत आहात. जर तुमच्याकडे एखाद्या वेबसाइटवरून चोरलेला डेटाबेस असेल, तर अर्थातच तुम्ही सामान्य संगणकावर प्रति सेकंद 1,000 हून अधिक अंदाज लावू शकता. परंतु कोणत्याही परिस्थितीत, संगणकांसाठी याचा अंदाज लावणे खरोखर सोपे आहे. आणि संगणकांसाठी याचा अंदाज लावणे सोपे आहे कारण 28 बिट्सची एंट्रॉपी पुरेशी नाही, परंतु या क्रमातील अप्पर आणि लोअरकेस अक्षरांचे सर्व संभाव्य संयोजन वापरून संगणकांसाठी अंदाज लावणे आणि ब्रूट फोर्स करणे सोपे असले तरी, मानवांसाठी ते लक्षात ठेवणे खरोखर कठीण आहे. आणि अगदी

खाली रँडल मनरो आपल्याला एक वेगळा दृष्टिकोन दाखवतात, जो म्हणजे स्पेसने वेगळे केलेले साधे इंग्रजी शब्द वापरणे. हा एक निमोनिक पासफ्रेज आहे, पासवर्ड नाही. आणि या प्रकरणात, फक्त 4 शब्द यादृच्छिकपणे निवडणे, फक्त 4. यादृच्छिकपणे निवडलेले 4 शब्द खरोखर तयार करतात, जर तुम्ही असे गृहीत धरले की ते एका मोठ्या शब्दकोशातून आहेत, कदाचित इंग्रजी भाषेच्या शब्दकोशातून, ज्यामध्ये 100,000 शब्द आहेत. तर तुम्हाला सुमारे 44 बिट्सची एंट्रॉपी मिळते. 44 बिट्सची एंट्रॉपी तुम्हाला प्रति सेकंद 1,000 अंदाजांवर 550 वर्षे देते. आणि प्रति सेकंद 10,000 अंदाजांवर 55 वर्षे. प्रति सेकंद 100,000 अंदाजांवर 5 वर्षे. हे ब्रूट फोर्स करणे खरोखर कठीण आहे आणि हे फक्त 4 शब्द आहेत. परंतु सर्वात महत्त्वाचे म्हणजे, मानवांसाठी हे लक्षात ठेवणे सोपे आहे. म्हणूनच आपण bit 39 मध्ये निमोनिक वाक्ये वापरतो. तर जर तुम्ही correct horse battery staple बद्दल विचार केला, तर तुम्ही हे तयार करू शकता, जरी हे यादृच्छिक

शब्द असले तरी, तुम्ही एक विचित्र मानसिक चित्र तयार करू शकता जे तुम्हाला जोडण्यासाठी आधार देते. आणि मानवांमध्ये स्मरणशक्ती अशाच प्रकारे काम करते. तर तुमच्याकडे हे छोटे चित्र आहे जे येथे काढले जात आहे. ते एक बॅटरी स्टेपल आहे, बरोबर. तर तो एक घोडा आहे जो म्हणत आहे की ते एक बॅटरी स्टेपल आहे आणि कोणीतरी म्हणत आहे बरोबर, ते एक बॅटरी स्टेपल आहे, एक correct horse battery staple. आणि जर तुम्ही हे 4 शब्द एखाद्या गीक व्यक्तीला सांगितले, तर त्यांना लगेच समजेल की तुम्ही कशाबद्दल बोलत आहात कारण हे वाक्य लक्षात ठेवणे इतके सोपे आहे की इंटरनेटवरील लाखो लोकांनी या एकाच व्यंगचित्रावरून आणि उदाहरणावरून ते यशस्वीरित्या पाठ केले आहे. तर अशा प्रचंड गोष्टींसह, Xkcd.org ही अशी जागा आहे जिथे तुम्ही जाऊन या व्यंगचित्रांची मालिका पाहू शकता. अप्रतिम काम. XKCD. परंतु मला वाटते की यामुळे तुम्हाला मुद्दा समजण्यास मदत होईल. तर हा एक पासफ्रेज आहे, आणि एक तयार करण्याचा हा एक खूप चांगला मार्ग आहे

वॉलेट आणि कूटलेखनासाठी पासफ्रेज वापरणे (45:27)

तुमच्या पासवर्ड मॅनेजरसाठी मास्टर पासवर्ड, तसेच तुमच्या वॉलेटसाठी पर्यायी पासफ्रेज. त्यामुळे तुम्ही याच्या मदतीने तुमच्या वॉलेटसाठी खरोखरच एक पर्यायी पासफ्रेज तयार करू शकता. GPU किंवा FPG वापरूनही ते ब्रूट फोर्स (brute force) करणे खरोखरच कठीण आहे. जरी तुम्ही Shaw 512 चे 2000 राऊंड्स करू शकलात, तरीही चार किंवा पाच शब्दांसारख्या छोट्या पासफ्रेजला ब्रूट फोर्स करण्यासाठी कोणालाही वर्षे नाही तरी महिने लागतील. जर तुम्ही सहा शब्दांचा वापर केला, तर तुमच्याकडे खरोखरच एक अतिशय मजबूत यंत्रणा असेल. आता तुम्ही फक्त एवढेच वापरणार नाही. समजा तुमच्याकडे bit 39 निमोनिक (mnemonic) फ्रेज आहे, आणि तुम्हाला एक पर्यायी पासफ्रेज जोडायची आहे आणि तुम्ही म्हणता, ठीक आहे, मी शब्दकोशातून यादृच्छिकपणे चार शब्द निवडणार आहे. आणि मग ती माझी पर्यायी पासफ्रेज असेल, आणि मी ते चार शब्द पाठ करू शकेन आणि लक्षात ठेवू शकेन. आणि मी त्यांचा बॅकअप देखील घेईन

एका दुय्यम ठिकाणी, कारण जरी मी ते लक्षात ठेवू शकत असलो, तरी मला काही झाले तर काय. मी वापरलेली पर्यायी पासफ्रेज कोणालाही न सापडल्यामुळे माझा वारसा कुठेतरी नाहीसा व्हावा असे मला वाटते का? नाही, साहजिकच मला तसे वाटत नाही. त्यामुळे मला पासफ्रेजचाही बॅकअप घ्यावा लागेल, मी निमोनिक फ्रेज म्हणजेच सीडचा (seed) बॅकअप घेणार आहे. आणि मी पर्यायी पासफ्रेजचा देखील बॅकअप घेईन आणि त्यांना दोन वेगवेगळ्या ठिकाणी ठेवेन. मी अशीही व्यवस्था करेन की जर कोणी माझी सीड पाहिली, तर मला समजेल की त्यांनी माझी सीड पाहिली आहे, जेणेकरून ते शक्तिशाली संगणकाचा वापर करून पासफ्रेजच्या सर्व संभाव्य संयोजनांमधून जाण्यापूर्वी मी माझे पैसे हलवू शकेन. मी हे ज्या पद्धतीने करतो ती अतिशय लो-टेक (low tech) आहे. ती एक प्लास्टिकची पिशवी आहे, छेडछाड ओळखता येणारी (tamper-evident), प्लास्टिकची पिशवी. तुम्ही त्या

शंभरच्या पॅकमध्ये सर्वत्र ऑनलाइन किरकोळ विक्रेत्यांकडून खरेदी करू शकता. त्यांचा वापर बिंगो गेम्स आणि चर्च आणि अशाच गोष्टींसाठी रोख देणग्यांसाठी केला जातो. कर्मचाऱ्यांना चोरी करण्यापासून रोखण्यासाठी त्यांचा वापर केला जातो. आणि त्या अपारदर्शक असतात, आणि एकदा तुम्ही त्या सील केल्या की, त्या उघडल्याचे कोणालाही न समजता त्या उघडण्याचा एकमेव मार्ग म्हणजे त्या फाडणे किंवा कापणे, ज्यामुळे त्यावर एक खूण राहील. तुम्ही खूण न सोडता त्यांना गोठवू शकत नाही, गरम करू शकत नाही किंवा उघडून पुन्हा सील करू शकत नाही. आणि त्यामुळे जर तुम्ही तुमची निमोनिक फ्रेज आणि तुमची पर्यायी पासफ्रेज अशा छेडछाड ओळखता येणाऱ्या पिशवीत ठेवली, आणि कोणी ती पाहिली, तर तुम्हाला समजेल की त्यांनी ती पाहिली आहे. त्यामुळे जर तुम्ही दर काही महिन्यांनी तुमच्या स्टोरेजच्या ठिकाणांचे परीक्षण (audit) केले, तर तुमच्याकडे सुरक्षिततेचा एक चांगला आधार असेल. ठीक आहे, मी आता थांबतो. आपण आणखी सुमारे 45 मिनिटे चालू ठेवणार आहोत, कारण मला अजूनही टू-फॅक्टर (two-factor)

ऑथेंटिकेशनबद्दल (authentication) खूप काही बोलायचे आहे. पण आपण ही पासफ्रेजची संकल्पना कशी वापरतो हे तुम्हाला समजावे अशी माझी इच्छा होती. त्यामुळे, पुढच्या भागात, मी सुरक्षितपणे पासफ्रेज कशी तयार करावी याबद्दल बोलणार आहे. चला एका इमोजी स्टॉर्मकडे (emoji storm) वळूया आणि कृपया मी YouTube च्या सर्व समुदाय सदस्यांना आवाहन करतो की त्यांनी माझ्या चॅनेलमधील कस्टम इमोजींची अविश्वसनीय सर्जनशील आणि अभिव्यक्त करण्याची शक्ती सर्वांना दाखवण्यासाठी इमोजी स्टॉर्म सुरू करावे. ठीक आहे, आणि मी परत आलो आहे. तर तुम्हाला एक पासफ्रेज तयार करायची आहे. आणि तुम्हाला माहीत आहे की ही पासफ्रेज बहुधा XKCD पासफ्रेजच्या स्वरूपात असल्यास सर्वोत्तम असते, जसे की 'correct horse battery staple'. इंग्रजी शब्दांची एक मालिका जी यादृच्छिकपणे निवडलेली असते, ज्यांच्याशी तुम्ही एक मानसिक संबंध, त्यांच्याशी जुळणारी एक प्रतिमा तयार करू शकता. तुम्ही ही पासफ्रेज वापरणार आहात, कदाचित तुमच्या मास्टर पासवर्डसाठी, तुमच्या पासवर्ड मॅनेजरसाठी, जी तुम्हाला टाइप करावी लागेल

सुरक्षितपणे पासफ्रेज तयार करणे (50:25)

दिवसातून अनेक वेळा वेगवेगळ्या उपकरणांवर. मी इतर उद्देशांसाठी समान पासफ्रेज वापरतो, आणि मी तोच पासफ्रेज पुन्हा वापरत नाही. परंतु मला असे आढळले आहे की गुंतागुंतीचे होण्यापूर्वी मी यापैकी 3 किंवा 4 लक्षात ठेवू शकतो. त्यामुळे मला माझ्या bit 39 वॉलेटसाठी पर्यायी पासफ्रेज म्हणून अशा पासफ्रेजची आवश्यकता असेल. मला माझ्या लॅपटॉपवरील हार्ड ड्राईव्ह कूटलेखनासाठी देखील अशा पासफ्रेजची आवश्यकता असेल. मी कूटलिखित हार्ड ड्राईव्ह वापरणे पसंत करतो. आणि माझा लॅपटॉप किंवा माझे कोणतेही उपकरण बूट करण्यापूर्वी, तुम्हाला खरोखरच एक पासफ्रेज प्रविष्ट करणे आवश्यक आहे. आणि तो पासफ्रेज देखील त्याच स्वरूपाचा आहे. तो एक निमोनिक पासफ्रेज आहे. त्यात इंग्रजी शब्दांची मालिका वापरली जाते, जे स्पेसने वेगळे केलेले असतात. सुसंगततेसाठी, मी नेहमी माझे निमोनिक, पासफ्रेज लोअरकेसमध्ये आणि त्यांच्यामध्ये साधे स्पेस देऊन टाईप करतो. म्हणजे लोअरकेस शब्द, स्पेस, लोअरकेस शब्द, स्पेस, लोअरकेस शब्द आणि एंटर. आणि ते

4 ते 8 शब्दांच्या लांबीचे असू शकतात. तुम्हाला कोणत्या स्तराच्या सुरक्षिततेची आवश्यकता आहे हे तुम्हाला ठरवावे लागेल, आणि ते तुम्ही कुठे वापरत आहात यावर अवलंबून असते. त्या पासफ्रेजमधून मिळवलेल्या कूटलेखन की तयार करण्यासाठी हॅशिंगच्या किती फेऱ्या वापरल्या जातात आणि या गोष्टींसाठी तुम्हाला कोणत्या स्तराचा धोका आहे. परंतु तुम्ही वापरत असलेल्या शब्दांची किमान संख्या बहुधा 4 असावी आणि तुम्ही गोष्टी विसरण्यापूर्वी आणि गोंधळून जाण्यापूर्वी कमाल संख्या बहुधा 8 असावी. विशेषतः अशा पासफ्रेजसाठी जो तुम्ही वारंवार वापरत नाही. तुम्ही जितक्या वेळा पासफ्रेज वापराल, जितक्या वेळा तुम्ही तो टाईप कराल, तितका मोठा तुम्ही तो बनवू शकता. कारण त्यानंतर सरावाने तुम्हाला तो लक्षात ठेवणे भाग पडेल. त्यामुळे मी माझ्या पासवर्ड मॅनेजरवर थोडा मोठा पासफ्रेज वापरू शकतो कारण मी तो दररोज टाईप करतो. मी थोडा लहान पासफ्रेज वापरेन,

उदाहरणार्थ, वॉलेटवरील पर्यायी पासफ्रेज म्हणून, आणि माझ्या उपकरणांवर पर्यायी पासफ्रेज म्हणून त्याहूनही थोडा लहान पासफ्रेज, माझ्या हार्ड ड्राईव्हसाठी बूट कूटलिखित बूट, कारण तो मी महिन्यातून एकदाच टाईप करतो आणि तो विसरणे माझ्यासाठी सोपे असू शकते. तर आपण हे शब्द कसे निवडायचे? हे करण्याचे अनेक मार्ग आहेत, परंतु ते यादृच्छिक असावेत असे तुम्हाला वाटेल. ते एखादे गाणे नसावे. मला माहित नाही, एखाद्या गाण्याचे बोल. मी एका गाण्याबद्दल बोलणार होतो, पण मला वाटते की त्यामुळे खूप वाद निर्माण होईल. त्यामुळे मी ते पूर्णपणे सोडून देईन. ते तुमच्या फुटबॉल संघाची घोषणा नसावी. ते तुमच्या राज्याचे घोषवाक्य नसावे. ते स्टार ट्रेक मधील एखादे वाक्य नसावे. का? कारण ती सर्व वाक्ये अशा शब्दकोशांमध्ये अस्तित्वात आहेत जे

हॅकर्सनी गोळा केले आहेत. गुगलवर एखादे वाक्य म्हणून टाईप केल्यास तुम्हाला जे काही मिळू शकते, जे अर्थातच, तुम्ही गुगलवर टाईप करणार नाही कारण त्यामुळे सुरक्षितता धोक्यात येते, ते तुम्ही कधीही वापरू नये. तुम्ही असे वाक्य कधीही वापरू नये जे कधीही बोलले गेले असेल, किंवा एखाद्याकडून कधीही बोलले जाण्याची शक्यता असेल. त्यामुळे त्याऐवजी तुम्हाला यादृच्छिक शब्द निवडायचे आहेत आणि नंतर एक मानसिक चित्र किंवा संबंध तयार करण्याचा प्रयत्न करायचा आहे जो तुमच्यासाठी अर्थपूर्ण असेल. आणि जोपर्यंत ते तुमच्यासाठी अर्थपूर्ण आहे आणि तुम्ही ते चित्र तुमच्या डोक्यात पुन्हा पुन्हा आणू शकता आणि थोडा सराव करू शकता, तोपर्यंत ते खूप विचित्र आणि विलक्षण असू शकते. हा एक चांगला मार्ग आहे. तर तुम्ही यादृच्छिक शब्द कसे निवडता? बरं, तुम्ही हे अनेक मार्गांनी करू शकता. तुम्ही वेगवेगळ्या पानांवर शब्दकोश उघडू शकता आणि न बघता तुमचे बोट ठेवू शकता, जे फारसे

चांगले नाही. तुम्ही तुमचा बहुतांश वेळ शब्दकोशाच्या आणि पानांच्या मध्यभागी असलेल्या एक तृतीयांश भागावर बोट ठेवण्यात घालवण्याची शक्यता आहे. परंतु हे खरोखर पुरेसे चांगले आहे कारण शब्दकोशात बरेच शब्द असतात. एक छान, मोठा, जाड शब्दकोश. त्यामुळे तुम्हाला पुरेशी यादृच्छिकता मिळेल. तर हा एक सोपा मार्ग आहे जो तुम्ही कोणत्याही अतिरिक्त प्रयत्नाशिवाय घरीच करू शकता. जर तुम्हाला थोडे पुढे जायचे असेल, तर तुम्ही डाईसवेअर (diceware) नावाचे तंत्र वापरू शकता. D-I-C-E-W-A-R-E. आणि डाईसवेअर ही एक यंत्रणा आहे जिथे तुमच्याकडे शब्दांची एक सूची असते जी तुम्ही डाउनलोड करू शकता. तुम्ही डाईसवेअर निर्देशांक सूची डाउनलोड करू शकता, तुम्हाला जी वेबसाईट मिळेल ती आहे... तुम्ही हे गुगलवर अगदी सहज शोधू शकता. जे पहिले येते, ते म्हणजे diceware.D-M-U-T-H dmuth.org हे योग्य आहे. आणि जर तुम्ही ती वेबसाईट वापरली, तर तुम्ही सूची डाउनलोड करू शकता. आता काय

डाइसवेअर पद्धत (55:27)

त्या यादीबद्दल मनोरंजक गोष्ट अशी आहे की ती 1 आणि 6 मधील अंक असलेल्या संख्यांद्वारे निर्देशांकित (indexed) केलेली असते, ज्यामुळे तुम्हाला फासे (dice), साधे फासे, नियमित फासे वापरता येतात. तुम्ही पाच वेळा फासे फेकता आणि एक 5 अंकी संख्या तयार करता जिथे सर्व अंक 1 आणि 6 च्या दरम्यान असतात, आणि नंतर तुम्ही डाइसवेअर यादीतील त्या निर्देशांकाशी (index) संबंधित शब्द शोधता, आणि तो लिहून ठेवता आणि तुम्हाला यादृच्छिकता (randomness) मिळते. तुम्हाला अशी यादृच्छिकता मिळते जी साध्या फाशांसोबत वापरण्यासाठी डिझाइन केलेली आहे, जी सोयीस्कर आहे. जर तुमच्याकडे काही फासे पडलेले असतील, तर तुम्ही हे सहज करू शकता. हे नॉन-डिजिटल आहे, तुम्ही ती यादी तुमच्या स्वतःच्या संगणकावर डाउनलोड करता आणि त्या यादीतून यादृच्छिकपणे शब्द निवडता. पुन्हा, हे यादृच्छिक पासफ्रेज तयार करण्याचा एक उत्तम मार्ग आहे. आणि अर्थातच, तुम्ही तुमच्या संगणकावर एखादा प्रोग्राम देखील वापरू शकता. अर्थातच समस्या अशी आहे की

जर तुमच्या संगणकावर आधीपासूनच ट्रोजन मालवेअर (Trojan malware) किंवा कीबोर्ड लॉगर (keyboard logger) असेल, तर त्यामुळे काही काठिण्य निर्माण होऊ शकते. मी XKCD pass नावाचा एक प्रोग्राम वापरतो, जो प्रत्यक्षात XKCD सुसंगत पासफ्रेज तयार करतो. मी असे अनेक पासफ्रेज तयार करतो. आणि मग त्या खूप, खूप लांबलचक यादीतून मी यादृच्छिकपणे एक निवडतो. आणि मी कोणता निवडला आहे याचा कोणताही संकेत मी माझ्या संगणकावर देत नाही. मी फक्त एका खूप लांबलचक यादीसाठी स्क्रोल करत राहतो. अशा प्रकारे ते कॅप्चर करणे खूप कठीण होते. पुन्हा, हे स्तरांबद्दल (layers) आहे. हे परिपूर्ण नाही. या संपूर्ण प्रक्रियेत अनेक काठिण्य आणि त्रुटी आहेत. ठीक आहे. तर आता आपण पासवर्ड सुरक्षेबद्दल बोललो आहोत, आणि आपण अनेक विषय एकत्र केले आहेत. आपण पासवर्डच्या गुंतागुंतीबद्दल बोललो आहोत. आपण सुरक्षेचे स्तर तयार करण्याबद्दल बोललो आहोत. आपण मानवी स्मरणशक्ती आणि मानवी यादृच्छिकतेच्या कमकुवतपणाबद्दल बोललो आहोत. आपण याबद्दल बोललो आहोत की

सॉफ्टवेअर न वापरण्यापेक्षा सॉफ्टवेअर वापरणे का चांगले आहे, जरी तुम्ही सॉफ्टवेअरवर 100 टक्के विश्वास ठेवू शकत नसलात तरी. आपण आपला मास्टर पासफ्रेज कसा तयार करायचा आणि कोणत्या प्रकारचा मास्टर पासफ्रेज वापरायचा याबद्दल बोललो, ज्याचा वापर करून तुम्ही तुमच्या पासवर्ड मॅनेजरमधून तुमचे सेशन पासवर्ड किंवा साइट पासवर्ड तयार करू शकता जे गुंतागुंतीचे अल्फान्यूमेरिक आणि यादृच्छिक असतात जे लक्षात ठेवणे अशक्य असते आणि तुमचा पासवर्ड मॅनेजर ते लक्षात ठेवतो. तर पुढचा विषय आहे टू-फॅक्टर ऑथेंटिकेशन (two factor authentication). आता, टू-फॅक्टर ऑथेंटिकेशन म्हणजे काय? टू-फॅक्टर ऑथेंटिकेशन म्हणजे जेव्हा तुम्ही स्वतःला प्रमाणित (authenticate) करण्यासाठी दोन वेगवेगळ्या पद्धती वापरता. तर ऑथेंटिकेशनचा मूळ अर्थ असा आहे की तुम्ही जे आहात तेच तुम्ही आहात हे सिद्ध करणे. आणि टू-फॅक्टर ऑथेंटिकेशन म्हणजे तुम्ही जे आहात तेच तुम्ही आहात हे सिद्ध करण्यासाठी दोन भिन्न यंत्रणा वापरणे. आणि संगणक सुरक्षेमध्ये, आपण मल्टी-फॅक्टर ऑथेंटिकेशन आणि ऑथेंटिकेशनच्या घटकांचे (factors) तीनपैकी एक गोष्ट म्हणून वर्णन करतो. तुम्ही वापरू शकणारे तीन संभाव्य घटक

असे असू शकतात जे तुम्हाला माहीत आहेत (something you know), उदाहरणार्थ पासवर्ड ही अशी गोष्ट आहे जी तुम्हाला माहीत असते. तुम्ही तो पाठ करता म्हणून, तो तुम्हाला माहीत असतो. नॉलेज-बेस्ड ऑथेंटिकेशन (Knowledge based authentication) हे देखील या 'तुम्हाला माहीत असलेल्या' घटकाचे एक रूप आहे, जसे की तुमचा जन्म कुठे झाला? तुमच्या पहिल्या केक मिक्सरचा ब्रँड कोणता आहे? शाळेत तुम्ही पहिल्यांदा कोणाचे चुंबन घेतले? ते काहीही असू शकते. आता, साहजिकच तुम्हाला माहीत असलेली गोष्ट हा एक घटक आहे, आणि तो एक चांगला घटक आहे. फक्त तेव्हाच जेव्हा एक, तुम्ही ते लक्षात ठेवू शकता आणि दुसरे कोणीही त्याचा सहज अंदाज लावू शकत नाही. आणि म्हणूनच इथे आपण पासवर्डच्या ज्या गुंतागुंतीबद्दल बोललो ती सर्व येते. ऑथेंटिकेशनचे दुसरे रूप. ऑथेंटिकेशनचा एक घटक म्हणजे 'तुम्ही जे आहात' (something you are). आणि 'तुम्ही जे आहात' हे सहसा बायोमेट्रिक (biometric) संदर्भात असते, तुमच्या शारीरिक अस्तित्वाबद्दलचे एक अपरिवर्तनीय मोजमाप जे बनावट असू शकत नाही. जसे की फिंगरप्रिंट, आयरीस स्कॅन (Iris scan), जेव्हा तुम्ही

तुम्हाला दिलेले वाक्य पुन्हा उच्चारता तेव्हा तुमच्या आवाजाचा ध्वनी. तुमची चालण्याची पद्धत, तुमची उंची, फेशियल रेकग्निशनसाठी (facial recognition) तुमचा चेहरा, या सर्व गोष्टी बायोमेट्रिक घटक आहेत. म्हणजेच 'तुम्ही जे आहात' ते. बायोमेट्रिक घटकांचे फायदे आणि तोटे आहेत. ते दुसऱ्या घटकासोबत अतिरिक्त म्हणून वापरले जाऊ शकतात. अर्थात, बायोमेट्रिकचा सर्वात मोठा तोटा हा आहे की जर त्याची कॉपी केली गेली किंवा ते हरवले, तर ते बदलले जाऊ शकत नाही. त्यामुळे जर, उदाहरणार्थ, माझे फिंगरप्रिंट्स लीक झाले, आणि प्रत्येकाला माझ्या फिंगरप्रिंट्सचा अ‍ॅक्सेस मिळाला आणि तुम्ही त्या सर्व गुप्तहेर चित्रपटांमध्ये पाहिल्याप्रमाणे ते लेटेक्सच्या (latex) साहाय्याने पुन्हा तयार करू शकले, तर मी माझे फिंगरप्रिंट्स बदलू शकत नाही. आणि त्यामुळे हे बायोमेट्रिक माझ्यासाठी यापुढे उपयुक्त राहणार नाही. आणि आपण पाहिले आहे की बायोमेट्रिक्स लागू करणे खूप कठीण आहे, परंतु ते दुसऱ्या घटकासाठी (second factor) खूप उपयुक्त आहेत, प्राथमिक म्हणून कधीही नाही. मी स्वतःला प्रमाणित करण्यासाठी बायोमेट्रिकचा एकमेव मार्ग म्हणून कधीही वापरणार नाही, समजा माझ्या

बायोमेट्रिक प्रमाणीकरण (1:00:44)

फोन. कारण तुम्ही पाहिलं असेलच आणि प्रत्येक 8 वर्षांच्या मुलाला माहीत असतं की, आई सोफ्यावर झोपलेली असताना तिचा iPhone तिच्या बोटाला लावला, तर तुम्ही Amazon वर जाऊन वस्तू खरेदी करू शकता. तुम्ही स्वतःचे वैयक्तिक सांता बनू शकता. जोपर्यंत तुम्हाला आईच्या अंगठ्याचा किंवा बाबांच्या चेहऱ्याचा अ‍ॅक्सेस मिळतो आणि फेशियल रेकग्निशन (चेहरा ओळखणारे) डिव्हाइस बाबांच्या चेहऱ्यासमोर धरता येते. बार्बेक्यू पार्टीतील सर्व कामानंतर बाबा घोरत असताना. केवळ बायोमेट्रिक पुरेसे नाही, परंतु ते एक अतिशय चांगले दुसरे फॅक्टर (घटक) बनते. अंतिम फॅक्टर म्हणजे तुमच्याकडे असलेली एखादी गोष्ट, तुमच्या मालकीची एखादी गोष्ट. आणि हा बायोमेट्रिक फॅक्टर सहसा अतिरिक्त डिव्हाइसमध्ये समाविष्ट केलेला असतो. हे एक डिव्हाइस आहे जे तुमच्याकडे असलेला एक सुरक्षा फॅक्टर आहे. की हा प्रमाणीकरणाचा तुमच्या मालकीचा फॅक्टर आहे. एक डिजिटल की, एक खाजगी की, अगदी एक भौतिक

की तुमचा दरवाजा उघडण्यासाठी. आणि आजकाल आपल्याकडे वाढत्या प्रमाणात असे दुसरे फॅक्टर्स आहेत जे तुमच्या मालकीच्या गोष्टींवर आधारित आहेत आणि जे USB डिव्हाइसेसमध्ये बनवले आहेत. किंबहुना, माझ्या लॅपटॉपमध्ये एक कायमस्वरूपी प्लग इन केलेले आहे. तुमच्यापैकी बऱ्याच जणांनी मला याबद्दल बोलताना ऐकले असेल. ही एक YubiKey आहे, आणि ही YubiKey इतकी लहान आहे की जेव्हा मी ती माझ्या लॅपटॉपच्या USB पोर्टमध्ये टाकतो, तेव्हा फक्त एक लहान धातूचा टॅब बाहेर आलेला असतो, जो स्पर्श-संवेदनशील (touch sensitive) असतो. जेव्हा मी हे वापरण्याचा प्रयत्न करतो, तेव्हा मला त्याला स्पर्श करणे आवश्यक असते. आणि जेव्हा मी स्पर्श करतो, तेव्हा मी ते सक्रिय करतो आणि ते माझ्या संगणकावरून एक कोड पाठवते. आता तुम्ही माझ्या संगणकाच्या बाजूला प्रमाणीकरण करण्यासाठी टॅप केल्याशिवाय माझ्या संगणकावर आणि मी वापरत असलेल्या इतर अनेक सेवांवर लॉग इन करू शकत नाही. आता, जर तुम्ही माझा डेटाबेस किंवा माझा मास्टर पासफ्रेज चोरलात, किंवा

तुम्ही माझा पासवर्ड ओळखलात, तरीही तुम्ही कूटउकल करू शकत नाही किंवा ही डिव्हाइसेस उघडू शकत नाही किंवा माझ्या विविध खात्यांमध्ये प्रवेश करू शकत नाही कारण तुमच्याकडे ही गोष्ट नाही. माझ्याकडे ही गोष्ट आहे. आणि अर्थातच तो सुरक्षेचा एक अतिरिक्त फॅक्टर आहे. स्वतःहून, ते पुरेसे नाही कारण जर कोणी माझा लॅपटॉप चोरण्यात यशस्वी झाले, तर आता त्यांच्याकडे ही गोष्ट आहे, परंतु सुदैवाने त्यांच्याकडे माझा पासवर्ड नाही, जो दुसरा फॅक्टर आहे. त्यामुळे सर्वसाधारणपणे, जेव्हा आपण मल्टी-फॅक्टर ऑथेंटिकेशन (बहु-घटक प्रमाणीकरण) बद्दल बोलत असतो, तेव्हा आपण हे ओळखत असतो की प्रमाणीकरणाचा कोणताही एक फॅक्टर स्वतःहून पुरेसा नसतो. सर्व प्रमाणीकरण फॅक्टर्समध्ये निकामी होण्याचे मार्ग (failure modes) असतात. परंतु जर तुम्ही मल्टीफॅक्टर ऑथेंटिकेशन वापरत असाल आणि तुमचे प्रमाणीकरण फॅक्टर्स वैविध्यपूर्ण असतील, तर एका प्रमाणीकरण फॅक्टरचा निकामी होण्याचा मार्ग दुसऱ्याला तुमचे संरक्षण म्हणून सोडतो. त्यामुळे तुमच्याकडे स्तर (layers) असतात. तुम्हाला माहीत आहे की प्रत्येक गुप्तहेर चित्रपटात, जेव्हा ते मुळात वाईट माणसाचे बोट कापतात आणि

फिंगरप्रिंट रीडरकडे नेतात आणि दरवाजा उघडण्यासाठी त्याचा वापर करतात, बरं कोणताही दरवाजा तसा काम करत नाही. त्या सर्वांना पिन कोडची देखील आवश्यकता असते जेणेकरून जर तुम्ही पिन कोड चोरलात, तर तुमच्याकडे बोट नसते. आणि जर तुम्ही बोट चोरले आणि ते कापले, तर तुम्हाला पिन कोड माहीत नसतो. यासाठी दोन्ही आवश्यक असतात. अशा डिव्हाइसचा कोणताही निर्माता ते असे बनवणार नाही की तुम्ही ते फक्त एकाने उघडू शकाल. आणि किंबहुना, जेव्हा लोक त्यांचे फोन फक्त बायोमेट्रिकने उघडण्यासाठी सेट करतात, तेव्हा ते अत्यंत धोकादायक असते, आणि तुमच्याकडे अतिरिक्त यंत्रणा असल्याची खात्री करणे आवश्यक आहे. चॅटमध्ये एक उत्तम फॉलो-अप प्रश्न आहे, जर मी माझी YubiKey, माझी सुरक्षा की गमावली तर काय? बरं, माझ्याकडे प्रत्यक्षात अनेक आहेत. माझ्याकडे 3 आहेत. आणि माझ्याकडे एक अंतिम बॅकअप म्हणून ऑफसाइट ठिकाणी साठवलेली आहे.

माझ्याकडे दुसरी एक आहे जी मी माझ्या लॅपटॉपमध्ये प्लग इन करून ठेवत नाही, ती मी माझ्यासोबत घेऊन जातो. हे सहसा असे काहीतरी असते जे तुम्ही सुरक्षा कर्मचाऱ्यांना त्यांच्या गळ्याभोवती लॅनयार्डवर (LAN yard) घातलेले किंवा की चेन (key chain) म्हणून जोडलेले पाहाल. ही डिव्हाइसेस बरीच मजबूत असतात आणि ती सहसा की चेनला जोडण्यासाठी डिझाइन केलेली असतात. त्यामुळे तुम्ही त्यांना तुमच्या कीजसोबत घेऊ शकता, जे योग्य वाटते. समान सुरक्षा मॉडेल, ती जवळजवळ अविनाशी आहेत. तुम्ही त्यांच्यावरून ट्रक चालवू शकता आणि तरीही ती काम करतात. त्यामुळे मी या तिन्ही सुरक्षा कीज नोंदणीकृत केल्या आहेत, जेणेकरून कोणतीही एक काम करेल आणि माझा अ‍ॅक्सेस गमावण्यापूर्वी मला त्या तिन्ही गमावाव्या लागतील. परंतु त्या तिन्ही मिळवणे कठीण असलेल्या ठिकाणी आहेत. आणि मुख्य धोका, मुख्य अडचण ज्यावर मी येथे उपाय शोधण्याचा प्रयत्न करत आहे ती म्हणजे रिमोट तडजोड (remote compromise). होय, जर तुम्ही माझ्या घरात, ऑफिसमध्ये घुसखोरी केलीत

सुरक्षा की आणि YubiKeys (1:05:51)

किंवा अज्ञात ठिकाण क्रमांक 5, आणि तुम्ही माझ्या हॉटेलच्या खोलीत घुसणारी एखादी दुष्ट मोलकरीण आहात किंवा काहीही असो, तुम्हाला ही उपकरणे सापडू शकतात, परंतु तरीही तुमच्याकडे माझा पासवर्ड नसेल. जर तुम्ही माझ्या सिस्टीम हॅक केल्या आणि तुम्हाला माझा पासवर्ड मिळाला, तरी तुमच्याकडे ते उपकरण नसेल. जर तुम्ही माझ्या एखाद्या उपकरणामध्ये लॉग इन करण्यासाठी पासवर्ड वापरण्याचा प्रयत्न केला, तर मी तुम्हाला अ‍ॅक्सेस देण्यासाठी कॉम्प्युटरच्या बाजूला टॅप करणार नाही. आणि प्रामाणिकपणे सांगायचे तर, जेव्हा मी माझा कॉम्प्युटर तसाच सोडून जातो, तेव्हा मी YubiKey काढतो आणि माझ्यासोबत घेऊन जातो. त्यामुळे पुन्हा एकदा, हे लेयर्स (स्तरांबद्दल) आहे. त्यामुळे टू फॅक्टर ऑथेंटिकेशन (two factor authentication) म्हणजे कोणत्याही सेवेवर किंवा उपकरणावर स्वतःला प्रमाणित करण्यासाठी किमान दोन घटकांचा वापर करणे. आणि हे घटक म्हणजे तुम्हाला माहीत असलेली एखादी गोष्ट (something you know), तुमच्याकडे असलेली एखादी गोष्ट (something you have) आणि तुम्ही स्वतः (something you are) असे असतात. या तिन्हींपैकी कोणत्याही एकाचा दुसरा घटक म्हणून वापर केला जाऊ शकतो. आणि अर्थातच तुम्ही

तुम्हाला हवे असल्यास थ्री फॅक्टर ऑथेंटिकेशन (three factor authentication) वापरू शकता, जरी ते थोडे असामान्य असले तरी, त्या टप्प्यावर ते त्रासदायक आणि गुंतागुंतीचे बनते. रिकव्हर करणे कठीण होते आणि लॉक आउट होणे सोपे होते. त्यामुळे 2 हा सहसा योग्य आकडा असतो, आणि म्हणूनच आपण त्याला 2FA (टू फॅक्टर ऑथेंटिकेशन) म्हणतो. इतर लोक त्याला मल्टिपल फॅक्टर ऑथेंटिकेशन किंवा मल्टी-फॅक्टर ऑथेंटिकेशनसाठी MFA म्हणतात. ही अगदी तीच गोष्ट आहे. आणखी एक स्टँडर्ड आहे, जे मी तुम्हाला दाखवलेल्या छोट्या YubiKey सारख्या सुरक्षा की (security keys) च्या युनिव्हर्सल फॉरमॅटसाठीचे स्टँडर्ड आहे, जे इंडस्ट्रीमध्ये वापरले जाते. आता हे Fido Alliance नावाच्या स्टँडर्ड्स बॉडीने तयार केले आहे, आणि त्याला U2F, युनिव्हर्सल टू फॅक्टर (universal two factor) असे म्हणतात. जर तुम्ही माझ्या कोडच्या स्लाइडवर लक्ष दिले तर तिथे learn U2F युनिव्हर्सल टू फॅक्टर आहे. U, 2 हा अंक, F हे अक्षर, U2F. हे फक्त हार्डवेअर आधारित मल्टीफॅक्टर उपकरणासाठीचे एक स्टँडर्ड आहे जे प्लग इन केले जाऊ शकते, कनेक्ट केले जाऊ शकते किंवा

तुम्ही ज्या उपकरणावर ऑथेंटिकेट करण्याचा प्रयत्न करत आहात त्यावर Bluetooth किंवा NFC द्वारे ट्रान्समिट केले जाऊ शकते. ठीक आहे, तर आपण एका प्रश्नाकडे वळूया. तो नाही. कुठे आहे तो? कदाचित आता? ठीक आहे, एक सेकंद. असे दिसते की प्रश्न हायलाइट होत नाहीये. का ते माहीत नाही. कृपया मला एक सेकंद द्या. मी हे दुरुस्त करतो. मला माझा ब्राउझर रिफ्रेश करावा लागेल. आशा करूया की तो मला एखादा कठीण पासवर्ड विचारणार नाही. ठीक आहे, इथे काहीतरी... अरे थांबा, एक सेकंद थांबा. माझ्या Slido मध्ये काहीतरी बिघाड झाला आहे, त्यामुळे मला हायलाइट केलेले प्रश्न प्रत्यक्षात दिसत नाहीयेत. असे का होत आहे ते मला माहीत नाही. असे आधी कधीच पाहिले नव्हते. अरे, तिथे एक पोल (poll) आहे. वरवर पाहता तिथे एक सक्रिय पोल आहे जो आता मला प्रश्न पाहण्यात अडथळा आणत आहे. मला माहीत नाही का. मला माफ करा. अरे, तो तिथे आहे. ते आपोआप दुरुस्त झाले. तांत्रिक अडचणींबद्दल क्षमस्व मित्रांनो. का एक टेक्स्ट

संदेश कमकुवत टू फॅक्टर ऑथेंटिकेशन आहे, ते काहीच नसण्यापेक्षा चांगले आहे का? त्यामुळे अनेक बँका SMS वापरतात जसे की इतर कोणीतरी निदर्शनास आणून दिले आहे, ते टू फॅक्टर ऑथेंटिकेशन म्हणून SMS टेक्स्ट संदेश वापरतात. तर मग टेक्स्ट संदेश हे कमकुवत टू फॅक्टर ऑथेंटिकेशन का आहे? ठीक आहे. तर टेक्स्ट संदेश हा कोणत्या प्रकारचा घटक आहे? आपण हे शोधू शकतो का ते पाहूया. ही तुम्हाला माहीत असलेली गोष्ट आहे का? नाही, तुम्हाला त्या वेळी ते माहीत नसते. असे दिसते की तिथे काही प्रकारचा पोल चालवला जात आहे जो व्यत्यय आणत आहे. क्षमस्व. Slido काही कारणास्तव पोलने सुरू झाला. हे विचित्र आहे. ठीक आहे. टेक्स्ट संदेश हा एक चांगला टू फॅक्टर आहे का. तो कोणत्या प्रकारचा घटक आहे? ही तुम्हाला माहीत असलेली गोष्ट आहे का? नाही, कारण तुम्हाला ते माहीत नसते, जेव्हा ते तुम्हाला टेक्स्ट संदेश म्हणून पाठवले जाते, तेव्हा तुम्हाला ते माहीत नसते, तुम्हाला त्याबद्दल नंतर समजते. त्यामुळे ही तुम्हाला माहीत असलेली गोष्ट नाही. मग ती

SMS हे कमकुवत टू-फॅक्टर ऑथेंटिकेशन का आहे (1:11:00)

ते तुम्ही आहात का? नाही, ते तुम्ही नाही आहात. ती तुमच्या मालकीची गोष्ट आहे का? काही प्रमाणात. तुम्हाला वाटेल, ठीक आहे, ती माझ्या मालकीची गोष्ट आहे, ज्या फोनवर टेक्स्ट मेसेज येत आहे तो फोन माझा आहे. पण टेक्स्ट मेसेज फोनवर पाठवला जात नाही, तो फोन नंबरवर पाठवला जात आहे. तो फोन नंबर तुमच्या मालकीचा आहे का? आणि याचे उत्तर असे आहे की फोन नंबर म्हणजे खरोखरच सिम (SIM) असते, किंवा त्यापेक्षा तुमच्या फोनमधील सिम कार्ड ज्या खात्याशी जोडलेले असते ते खाते (account) असते आणि त्या खात्याचा मालक कोण आहे? आणि त्याचे उत्तर आहे Vodafone किंवा Verizon किंवा AT&T किंवा T-Mobile किंवा इतर कोणीही. त्यामुळे टेक्स्ट मेसेज टू-फॅक्टर ऑथेंटिकेशनची समस्या ही आहे की फोन नंबर तुमच्या मालकीचा नसतो. तो फोन कंपनीच्या मालकीचा असतो. आणि फोन कंपनीची सुरक्षा अतिशय खराब असते. एवढेच, हे खरोखर इतके सोपे आहे. त्यामुळे तुम्हाला फक्त फोन कंपनीच्या कस्टमर सर्व्हिसला कॉल करायचा आहे,

बॅकग्राउंडमध्ये रडणाऱ्या बाळाचा आवाज प्ले करा, बाळ रडत असताना तुम्ही एखाद्या वैतागलेल्या बेबीसिटरशी बोलत आहात असे भासवा. आणि बॅकग्राउंडमध्ये तुमचा नवरा किंवा तुमची पत्नी तुमच्यावर ओरडत आहे. आणि तुम्ही खूप तणावात आहात आणि तुमचा दिवस खूप वाईट जात आहे. आणि कस्टमर सर्व्हिसमधील अतिशय मदत करणारे आणि सहानुभूतीपूर्ण लोक सर्व सुरक्षा तपासण्या बायपास करतील कारण तुमच्या जोडीदाराने खात्यावर कोणता पासवर्ड सेट केला आहे हे तुम्हाला माहीत नाही, आणि ही खरोखरच आणीबाणीची परिस्थिती आहे आणि तुम्हाला खरोखरच संपर्क साधण्याची गरज आहे. आणि ते आनंदाने तो नंबर तुमच्या नवीन फोनवर पोर्ट करतील जो आत्ताच ॲक्टिव्हेट करणे आवश्यक आहे, कारण ती आणीबाणीची परिस्थिती आहे. आता, जर तुम्हाला हा केवळ एक सैद्धांतिक हल्ला वाटत असेल, तर Def Con आणि Black Hats आणि इतर हॅकर कॉन्फरन्समध्ये याचे एक उत्तम प्रात्यक्षिक पाहायला मिळते, जिथे ते सोशल इंजिनिअरिंग हल्ले करतात. आणि

यापैकी एक सर्वोत्तम व्हिडिओ असा आहे ज्यामध्ये एका अत्यंत कुशल सोशल इंजिनिअरिंग हॅकरने एका पत्रकाराला दाखवून दिले की ते किती लवकर त्यांचा फोन नंबर ताब्यात घेऊ शकतात, यासाठी त्यांनी फोन कंपनीला कॉल केला, बॅकग्राउंडमध्ये रडणाऱ्या बाळाचे रेकॉर्डिंग प्ले केले आणि या आणीबाणीच्या परिस्थितीत मदतीची याचना केली. आणि अक्षरशः 10 मिनिटांपेक्षा कमी वेळात, त्यांनी फोन नंबर ताब्यात घेतला, त्यानंतर त्याचा वापर करून त्यांचे ईमेल खाते रिसेट केले, आणि नंतर त्याचा वापर करून त्यांची इतर सर्व खाती रिसेट केली आणि मुळात 15 मिनिटांपेक्षा कमी वेळात त्यांची संपूर्ण डिजिटल ओळख धोक्यात आणली. म्हणूनच टेक्स्ट मेसेज हे टू-फॅक्टर ऑथेंटिकेशनचे एक कमकुवत स्वरूप आहे. आणि हे खरोखर महत्त्वाचे आहे की शक्य असल्यास तुम्ही त्याचा वापर टाळावा. पण एका निनावी प्रश्नाचे उत्तर द्यायचे झाल्यास, हे काहीच नसण्यापेक्षा चांगले आहे का? होय, काहीच नसण्यापेक्षा ते चांगले आहे. हे काहीच नसण्यापेक्षा चांगले आहे जर

ज्या खात्यांवर तुम्ही अधिक चांगले पर्याय निवडू शकता तिथे तुम्ही त्याचा वापर करणे टाळू शकत असाल. त्यामुळे ज्या खात्यांवर तुम्ही टेक्स्ट मेसेज व्यतिरिक्त इतर काही वापरू शकता, तिथे त्याचा वापर करा. दुसरी गोष्ट म्हणजे तुमचा फोन प्रोव्हायडर कोण आहे याचा अतिशय काळजीपूर्वक विचार करणे. त्यामुळे अनेक सुरक्षा व्यावसायिक असे फोन प्रोव्हायडर वापरतात ज्यांच्याकडे मानवी कस्टमर सर्व्हिस नसते ज्यांचे सोशल इंजिनिअरिंग केले जाऊ शकते आणि जिथे खाती स्वतः मजबूत टू-फॅक्टर ऑथेंटिकेशनद्वारे संरक्षित असतात. उदाहरणार्थ, Google चा प्रोजेक्ट Fi, F-I, जो एक व्हर्च्युअल नेटवर्क ऑपरेटर आहे, तिथे तुम्ही बोलू शकाल असे कोणतेही मानवी प्रतिनिधी नसतात. आणि तुम्ही ते फोन खाते एका Google खात्याद्वारे कनेक्ट, ॲक्सेस आणि कॉन्फिगर करता जे तुम्ही युनिव्हर्सल टू-फॅक्टर टोकन सारख्या मजबूत टू-फॅक्टर ऑथेंटिकेशनसह सुरक्षित करू शकता. याचा अर्थ असा की तुमचा नंबर पोर्ट केला जाऊ शकत नाही, ज्याचा अर्थ असा की तुम्ही टेक्स्ट मेसेज आधारित सुरक्षित करण्यासाठी तो नंबर अधिक सुरक्षितपणे वापरू शकता

टू-फॅक्टर ऑथेंटिकेशन हे तुमच्या बँकेसारखे आहे ज्यांची सुरक्षा अतिशय खराब असते. त्यामुळे सुरक्षेच्या बाबतीत सर्वात खराब कंपन्यांचा विचार केल्यास, बँका, फोन कंपन्या आणि त्यानंतर प्रत्यक्ष सर्व्हिस प्रोव्हायडर येतात ज्यांच्याकडे चांगल्या सुरक्षा टीम्स असतात. त्यामुळे हे सर्व लेयर्सबद्दल आहे. जर तुमच्याकडे दुसरा कोणताही पर्याय नसेल आणि तुम्हाला तुमचे सेकंड फॅक्टर ऑथेंटिकेशन म्हणून टेक्स्ट मेसेज वापरावाच लागत असेल, तर मी तुम्हाला सांगेन की मी अशा काही सेवा वापरतो जिथे माझ्याकडे टेक्स्ट मेसेज वापरण्याशिवाय दुसरा कोणताही पर्याय नसतो. मग हे सुनिश्चित करा की तो टेक्स्ट मेसेज अशा खात्यावर जाईल जे चांगल्या प्रकारे सुरक्षित आहे. अगदी तुमच्या फोन कॅरियरसोबतही, तुम्ही तुमच्या खात्यावर पिन सेट करू शकता. तुम्ही नंबर पोर्ट करण्याची सुविधा बंद करू शकता. ते खाते मजबूत करण्यासाठी तुम्ही जाऊन सर्व प्रकारच्या गोष्टी करू शकता. पण जर शक्य असेल तर तुमचा नंबर अशा व्हर्च्युअल नेटवर्क ऑपरेटर किंवा सर्व्हिस प्रोव्हायडरकडे हलवणे अधिक चांगले राहील ज्यांच्याकडे असे मानवी प्रतिनिधी नसतात जे

तुमचा फोन नंबर सुरक्षित करणे (1:16:25)

तुमचा नंबर पोर्ट करण्यासाठी सोशल इंजिनिअरिंग केले जाऊ शकते. आणि तुमच्या फोन नंबरवर नियंत्रण ठेवणाऱ्या घटकांवर मजबूत प्रमाणीकरण (authentication) असावे. आणि शक्य असल्यास ते टाळा. विशेषतः जर तो तुमच्या एक्सचेंजशी कनेक्ट करण्यासाठी दुसरा फॅक्टर (second factor) असेल, जिथे तुम्ही लाखो डॉलर्सची क्रिप्टोकरन्सी साठवता, तर ते नक्कीच टाळा. आणि अर्थातच, मी येथे एका कुप्रसिद्ध क्रिप्टोकरन्सी तज्ञाकडे इशारा करत आहे, ज्याने खरोखरच लाखो डॉलर्सची क्रिप्टोकरन्सी एका एक्सचेंज वॉलेटवर, एका हॉट वॉलेटवर ठेवली होती, जे कस्टोडियल होते (तुमचे कॉइन्स नाहीत), आणि त्यासाठी AT&T द्वारे होस्ट केलेले SMS टू-फॅक्टर ऑथेंटिकेशन वापरले होते. आणि आता तो काहीतरी 50 दशलक्ष, 100 दशलक्ष डॉलर्स किंवा अशाच एखाद्या हास्यास्पद रकमेच्या नुकसानीसाठी AT&T वर खटला भरत आहे. खरे सांगायचे तर, हा असा कायदेशीर खटला आहे जिथे एक तज्ञ साक्ष म्हणून, मी स्टँडवर उभा राहीन आणि 30 मिनिटे त्यांच्या तोंडावर हसेन

फिर्यादीच्या. जेव्हा ते म्हणाले की त्यांनी लाखो डॉलर्स एका एक्सचेंजवर ठेवले ज्याला AT&T च्या टेक्स्ट मेसेज टू-फॅक्टर ऑथेंटिकेशनचा आधार होता, आणि ही दुसऱ्या कोणाची तरी चूक होती. मला त्याबद्दल फारशी सहानुभूती वाटणार नाही. ठीक आहे. तर आता आपण खरोखर काम करणाऱ्या टू-फॅक्टर ऑथेंटिकेशनबद्दल बोलूया. मी सिक्युरिटी की बद्दल बोललो आहे, जे एक हार्डवेअर आहे, परंतु आणखी एक यंत्रणा आहे जी खूप सामान्य आहे, जी तुम्ही सर्वांनी यापूर्वी वापरली असेल, जिथे तुमच्याकडे 6 अंकी क्रमांक असतो. नीरजने मला विशेषतः याच विषयावर एक उपयुक्त प्रश्न विचारला. हाय अँड्रियास, Google किंवा Microsoft ऑथेंटिकेटर कसे काम करते? त्यांची जागा घेऊ शकेल अशी कोणतीही विकेंद्रित प्रणाली आहे का? नीरज, या विकेंद्रित प्रणालीच आहेत. जरी हे ॲप एका केंद्रित संस्थेने तयार केले असले तरी, ॲप प्रत्यक्षात फारच सामान्य (dumb) आहे. आणि परिणामी, ते प्रत्यक्षात विकेंद्रित आहे. या ऑथेंटिकेटर्सवर साठवलेली गुपिते

केवळ तुमच्या स्थानिक डिव्हाइसवर साठवली जातात. अर्थात, यात काही बदल आहेत. यापैकी काही ॲप्लिकेशन्स, उदाहरणार्थ, Offi तुम्हाला तुमच्या टू-फॅक्टर ऑथेंटिकेशनचा आधार असलेल्या गुपितांचा बॅकअप घेण्याची आणि ती दुसऱ्या डिव्हाइसवर पोर्ट करण्याची परवानगी देतात. ज्यामुळे ते सोयीस्कर बनतात, परंतु धोकादायकही ठरतात. जर तुम्ही Offi किंवा बॅकअपला सपोर्ट करणाऱ्या इतर सिस्टीममध्ये एकाधिक उपकरणांचा सपोर्ट चालू ठेवला असेल, तर तुम्ही तो बंद ठेवला पाहिजे आणि तो फक्त तेव्हाच चालू केला पाहिजे, जेव्हा तुम्ही दुसऱ्या फोनवर किंवा डिव्हाइसवर पोर्ट करत असाल, उदाहरणार्थ, जेव्हा तुम्ही तुमचा स्मार्टफोन अपग्रेड करता आणि तुम्हाला ती सर्व खाती नवीन डिव्हाइसवर हलवावी लागतात. Google ऑथेंटिकेटरने प्रत्यक्षात त्यांच्या नवीनतम आवृत्तीमध्ये बॅकअप आणि पोर्टिंगची सुविधा आणली आहे. मला माहित नाही ते कसे काम करते, परंतु जर ते तशा प्रकारे काम करत असेल, तर खात्री करा की तुम्ही ते डीफॉल्टनुसार बंद ठेवले आहे. जेणेकरून केवळ ते स्थानिक डिव्हाइस

ते सुरक्षा कोड वापरू शकेल. अन्यथा ते खरोखर टू-फॅक्टर नाही, बरोबर? ती तुमच्या मालकीची गोष्ट नाही. तो एक बॅकअप पासवर्ड आहे. ती अशी गोष्ट आहे जी तुम्हाला माहित असते, आणि ती सहजपणे चोरली जाऊ शकते, किंवा ती तुमच्या फोन नंबरशी जोडलेली असते. अशा परिस्थितीत आपण पुन्हा त्याच टेक्स्ट मेसेज सुरक्षेकडे परत येतो ज्याबद्दल आपण आधी बोलत होतो. कोणीतरी तुमचे SIM पोर्ट करते, ते तुमचा नंबर ताब्यात घेतात. ते स्मार्टफोनवर ऑथेंटिकेटर सॉफ्टवेअर इन्स्टॉल करतात. त्यानंतर ते बॅकअप डाउनलोड करतात आणि त्या डिव्हाइसवर पोर्ट करतात. आणि त्यांच्याकडे तुमचे सर्व टू-फॅक्टर ऑथेंटिकेशन असते जे प्रत्यक्षात टू-फॅक्टर ऑथेंटिकेशन नव्हतेच. तर हा अपयशाचा प्रकार आहे, परंतु सर्वप्रथम ही गोष्ट कशी काम करते याबद्दल बोलूया. तर Google किंवा Microsoft ऑथेंटिकेटर कसे काम करते? प्रथम, आपण या गोष्टीला नाव देऊया. ही एक यंत्रणा आहे ज्याला वन-टाइम पासवर्ड किंवा OTP म्हणतात. वन-टाइम पासवर्ड अनेक दशके जुने आहेत आणि ते वापरले गेले आहेत, बरं, मला स्वतःला दुरुस्त करू द्या. डिजिटल

पोर्टेबल उपकरणांवरील वन-टाइम पासवर्ड अनेक दशके जुने आहेत. वन-टाइम पासवर्ड स्वतःच हजारो वर्षे जुने आहेत. येथील सामान्य संकल्पना अशी आहे की जर तुम्ही यादृच्छिक संख्यांचा क्रम तयार केला आणि संवादातील दोन पक्षांकडे त्या क्रमाची प्रत असेल, किंवा ते तो क्रम तयार करू शकत असतील आणि इतर कोणीही करू शकत नसेल. तर तिथे चोरण्यासारखे किंवा अंदाज लावण्यासारखे काहीही उरत नाही. जोपर्यंत तुम्ही ही गुपिते तयार करू शकता आणि ती चोरीला जाऊ देत नाही, तोपर्यंत वन-टाइम पॅड्स ही कूटलेखनाची एक अतूट पद्धत आहे. आणि वन-टाइम पासवर्ड जे अंकीय, 6 अंकी कोड असतात ते चोरणे खूप, खूप कठीण असते. जोपर्यंत तुम्ही मूळ गुपिते, जी त्यांना तयार करतात, ती गुप्त ठेवू शकता. आता Google आणि Microsoft ऑथेंटिकेटर हे वन-टाइम पासवर्डचा एक विशिष्ट उपवर्ग आहेत ज्याला टाइम-बेस्ड वन-टाइम पासवर्ड म्हणतात. आणि जर तुम्हाला टाइम-बेस्ड वन-टाइम पासवर्ड मानकाला सपोर्ट करणारे ॲप्लिकेशन शोधायचे असेल, तर तुम्ही हे संक्षिप्त रूप वापरता

वेळ-आधारित वन-टाइम पासवर्ड (1:21:56)

T-O-T-P. तर OTP म्हणजे वन-टाइम पासवर्ड आणि T-OTP म्हणजे वेळ-आधारित वन-टाइम पासवर्ड (time-based one-time password). वेळ-आधारित याचा अर्थ असा की हा कोड सध्याच्या वेळेशी जोडलेला असतो आणि दर 30 सेकंदांनी बदलतो. त्यामुळे या गोष्टी एका सिक्रेट (secret) आणि घड्याळाचा वापर करतात, जे तुम्हाला वापरायच्या असलेल्या विशिष्ट वेळेसाठी विशिष्ट कोड तयार करण्यासाठी सध्याच्या वेळेशी कमी-अधिक प्रमाणात योग्यरित्या समक्रमित केलेले असावे लागते. आणि कारण ही 30 सेकंदांची वेळ असते, तुम्ही थोडे मागे-पुढे होऊ शकता आणि तुम्हाला तो तुमच्या स्क्रीनवर पाहण्यासाठी आणि वेबसाइटवर प्रविष्ट करण्यासाठी थोडा वेळ मिळतो. आता कारण तुम्ही ज्या वेबसाइटशी किंवा डिव्हाइसशी कनेक्ट करत आहात त्याकडे तेच सिक्रेट असते आणि घड्याळ कमी-अधिक प्रमाणात समक्रमित असते. तुम्ही कोणता कोड प्रविष्ट करणे अपेक्षित आहे हे ते शोधू शकते. ते सहसा एक आधीचा आणि एक नंतरचा कोड पाहते जेणेकरून तुम्ही थोडे मागे-पुढे असाल तर त्याला समजेल,

जसे की 30 सेकंदांपेक्षा थोडे जास्त. ते त्यांचा स्वीकार करेल. आणि मग तुम्हाला तुमच्या स्क्रीनवर सध्याचा कोड दिसेल, आणि तुम्हाला एक छोटे काउंटडाउन दिसेल. आणि 30 सेकंदांनंतर, तो बदलतो आणि तुम्हाला एक नवीन सहा अंकी क्रमांक मिळतो. तर हे काम करण्याची पद्धत खाजगी की (private key) वापरून आहे. आणि त्या खाजगी की मधून, ते एक डेरिव्हेशन फंक्शन (derivation function) वापरते, जे विविध प्रकारच्या गोष्टी असू शकते. T-OTP साठी प्रमाणित वापर काय आहे हे मला माहीत नाही. मी असे गृहीत धरत आहे की ती वेळेसोबतची एक प्रकारची हॅश (hash) यंत्रणा आहे. आणि त्या डेरिव्हेशन फंक्शनसह, ते दर 30 सेकंदांनी नवीन अंकीय कोड तयार करते. आणि तुम्ही सिक्रेट्स आणि सध्याच्या वेळेवरून, सध्याच्या वेळेसाठी योग्य कोडची गणना करू शकता. सिक्रेट स्वतः त्या QR कोडमध्ये असते जे तुम्ही वापरण्याचा प्रयत्न करत असलेली सेवा पहिल्यांदा प्रदर्शित करते. त्यामुळे जेव्हा तुम्ही यापैकी एक वापरण्यासाठी जाता

डिव्हाइसेस, आणि ते सर्व सुसंगत आहेत, त्यामुळे तुम्ही Google Authenticator किंवा Microsoft Authenticator किंवा Offi किंवा Duo किंवा इतर कोणतेही वापरत असलात तरी, आणि बहुतांश पासवर्ड मॅनेजर्समध्ये यापैकी एक T-OTP सेवा अंगभूत असते. तुम्हाला फक्त त्या वेबसाइट किंवा सेवेवरून एक QR कोड स्कॅन करायचा आहे जिथे तुम्ही सेकंड फॅक्टर ऑथेंटिकेशन जोडण्याचा प्रयत्न करत आहात. आणि त्या QR कोडमध्ये एक सिक्रेट असते. ते सिक्रेट एक अल्फान्यूमेरिक यादृच्छिकपणे व्युत्पन्न केलेली स्ट्रिंग असते जी तुमच्या खात्यांशी जोडलेली असते. आणि वेबसाइट तुमच्यासाठी ती यादृच्छिकपणे व्युत्पन्न करते. ती QR कोड म्हणून सादर केली जाते. तुम्ही ती तुमच्या Google Authenticator डिव्हाइसने स्कॅन करता, तुमचे Google Authenticator डिव्हाइस तिची सिक्रेट म्हणून नोंद करते, आणि नंतर सध्याच्या वेळेसाठी कोड तयार करण्यास सुरुवात करते. त्यानंतर तुम्ही यापैकी एक कोड वेबसाइटवर प्रविष्ट करता. ते ट्रॅक करून आणि असे म्हणून तुम्ही ते योग्यरित्या मिळवले आहे याची पुष्टी करू शकते की, होय, हाच तो कोड आहे ज्याची मी अपेक्षा करत होतो

या 30 सेकंदांच्या वेळेत. आणि आता तुम्ही टू फॅक्टर ऑथेंटिकेशन स्थापित केले आहे. अर्थातच यातील काठिण्य (difficulty) बॅकअपची आहे. आणि तुम्ही अनेक प्रकारे बॅकअप घेऊ शकता. बॅकअप घेण्याचा एक मार्ग, जो खरोखरच बॅकअप घेण्याचा सर्वात सुरक्षित मार्ग आहे, तो म्हणजे फिजिकल प्रिंटआउट. त्यामुळे जेव्हा तुमच्या स्क्रीनवर तो QR कोड असेल तेव्हा प्रिंट दाबा. मी फिजिकल प्रिंटआउट्स म्हणतो, कारण तुमचा कल दुसरे काहीतरी करण्याकडे असू शकतो, जे म्हणजे त्याचा फोटो काढणे. आणि अर्थातच, त्याचा फोटो काढण्यासाठी, तुम्ही तुमचा स्मार्टफोन वापरणार आहात. समस्या अशी आहे की तो फोटो क्लाउडमध्ये स्टोअर होणार आहे. ज्या क्षणी तो केवळ Google Authenticator मधील डिव्हाइसवर, T-OTP ऑथेंटिकेटरमध्ये राहत नाही. आणि त्या क्षणी, तो यापुढे सुरक्षित सेकंड फॅक्टर राहत नाही. क्लाउडमध्ये

तुमच्या टू फॅक्टर ऑथेंटिकेशन सिक्रेट्सचा बॅकअप घेणे ही एक वाईट कल्पना आहे. टू फॅक्टर सॉफ्टवेअरमध्ये असू शकणारी बॅकअप सुविधा वापरणे खरोखरच चांगले आहे, जी किमान तुमच्या पसंतीच्या पासवर्डने कूटबद्ध केलेली असते. तुम्ही तो पासवर्ड तुमच्या पासवर्ड मॅनेजरमध्ये कुठे ठेवता? तुम्ही पाहू शकत असाल तर आपण येथे गोल-गोल फिरत आहोत, आणि कधीकधी हे गोंधळात टाकणारे असू शकते. त्यामुळे तुम्हाला बॅकअप घ्यायचा असेल तर QR कोड प्रिंट करा किंवा बहुतांश सेवांसोबत तसे करू नका, जर तुम्ही तुमचे टू फॅक्टर ऑथेंटिकेशन टोकन (token) किंवा ॲप गमावले, तर तुम्ही त्यांना ते रीसेट करण्यास सांगू शकता. आणि ते तुम्हाला अनेक अडथळ्यांमधून जायला लावतील, जसे की आयडी धरून ठेवणे आणि सेल्फी काढणे आणि ईमेल आणि फोन कॉल्स यांसारख्या इतर अनेक यंत्रणांद्वारे पुष्टी करणे. यापैकी अनेक सेवा तुम्हाला बॅकअप कोड्सची एक मालिका देखील देतील, जे पूर्व-गणित केलेले अंकीय कोड असतात जे तुम्ही डायनॅमिकली व्युत्पन्न केलेल्या कोड्सऐवजी प्रविष्ट करू शकता

टू-फॅक्टर ऑथेंटिकेशनची श्रेणी (1:26:44)

तयार केलेले जे स्टॅटिक आहेत. आणि जर तुम्ही तुमचे ऑथेंटिकेशन डिव्हाइस गमावले तर हे त्यासाठी आहेत. आणि तुम्ही हे कुठे साठवता? तुम्ही ते तुमच्या पासवर्ड मॅनेजरमध्ये साठवता. त्यामुळे टाइम-बेस्ड वन-टाइम पासवर्ड ॲप्लिकेशनसह टू-फॅक्टर ऑथेंटिकेशन ही एक मजबूत, प्रभावी आणि वापरण्यास सोपी यंत्रणा आहे जी तुम्ही आज तुमच्या सर्व खात्यांमध्ये जोडू शकता. आता सुरक्षेची श्रेणी पाहूया. युनिव्हर्सल टू-फॅक्टर सिक्युरिटी की, अतिशय मजबूत कूटलेखनावर आधारित आहे. जर तुम्ही त्यापैकी अनेक नोंदणीकृत केल्या आणि त्यांना सुरक्षित ठिकाणी ठेवले, तर त्यांच्याशी तडजोड करणे खूप कठीण आहे. बॅकअप घेणे खूप सोपे आहे, ती एक भौतिक वस्तू आहे. तुम्ही दुसरी भौतिक वस्तू जवळ ठेवून त्याचा बॅकअप घेता. त्याची कॉपी करणे अशक्य आहे आणि तुमच्या लक्षात आल्याशिवाय ते चोरणे अशक्य आहे. दुसऱ्या स्तरावर टाइम-बेस्ड वन-टाइम पासवर्ड आहेत जे तुम्ही QR कोड स्कॅन करून आणि नीरजने चर्चा केलेल्या ॲप्लिकेशनसारखे ॲप्लिकेशन वापरून वापरता. ते तुम्हाला सहा अंकी

कोड दर 30 सेकंदांनी देतात. पुन्हा, यामुळे तुमचा फोन, तुमच्या मालकीची गोष्ट दुसरा फॅक्टर बनते आणि यांचा बॅकअप घेणे थोडे कठीण असते. आणि जर तुमचा फोन चोरीला गेला, तर त्यांच्याशी तडजोड करणे सोपे होऊ शकते. मला टू-फॅक्टर ऑथेंटिकेशन ॲपवरच फिंगरप्रिंट ठेवायला आवडते जेणेकरून तुम्ही फिंगरप्रिंट्स वापरल्याशिवाय अंकीय कोड पाहू शकणार नाही. आता, हा मूलत: दुसऱ्या फॅक्टरच्या वरचा तिसरा फॅक्टर आहे, जो कोणी माझा फोन चोरल्यास आणि तो त्यावेळी उघडा असल्यास मला संरक्षित करतो आणि ते माझ्या टू-फॅक्टर ॲपमध्ये प्रवेश करू शकतील पण ते करू शकत नाहीत. आणि शेवटी, सर्वात खालचा स्तर म्हणजे टेक्स्ट मेसेज टू-फॅक्टर ऑथेंटिकेशन, जे अर्थातच सुरक्षित नाही जोपर्यंत तुमच्याकडे दुसरा कोणताही पर्याय नसेल, अशा परिस्थितीत काहीही नसण्यापेक्षा ते चांगले आहे. तर हे टू-फॅक्टर ऑथेंटिकेशनचे स्तर आहेत. चला पाहूया आपल्याकडे आणखी कोणते प्रश्न आहेत जेव्हा

मी येथे एक छोटी विश्रांती घेतो. आणि मी माझ्या आश्रयदात्यांचा एक व्हिडिओ प्ले करणार आहे, जो तुम्हाला सांगेल की तुम्ही माझ्या कामाला ऑनलाइन का सपोर्ट केला पाहिजे. तर आपण आज जे करत आहोत, आणि मी नेहमी जे करण्याचा प्रयत्न करत असतो ते म्हणजे तुम्हाला बिटकॉइन आणि ओपन ब्लॉकचेनबद्दल उच्च दर्जाचे शैक्षणिक साहित्य अशा प्रकारे देणे जे प्रायोजकांशिवाय, समर्थनांशिवाय, जाहिरातदारांना न विकता किंवा कॉर्पोरेट हितसंबंधांना बांधील न राहता तटस्थ असेल. तुमच्याशिवाय यासाठी कोणीही पैसे देत नाही. आणि म्हणून जर तुम्हाला हे शिक्षण आवडत असेल, जर तुम्हाला या शिक्षणाचा फायदा झाला असेल, किंवा तुम्हाला फक्त परतफेड करायची असेल आणि इतरांना मदत करायची असेल, हे शिक्षण मिळवायचे असेल आणि मला आणि माझ्या टीमला हे करत राहण्यास आणि ते अधिक चांगल्या प्रकारे आणि अधिक व्यापकपणे करण्यास मदत करायची असेल, तर कृपया YouTube मेंबरशिप किंवा त्याहूनही चांगले मासिक पॅट्रन सबस्क्रिप्शन घेऊन मला सपोर्ट करण्याचा विचार करा. आणि माझ्या आश्रयदात्यांच्या शब्दात, ते का ते येथे आहे.

• मी अँड्रियासचा आश्रयदाता आहे कारण मला त्याचे व्हिडिओ ऑनलाइन सापडले आणि अशा प्रकारे मी बिटकॉइनबद्दल शिकलो. तर अशा प्रकारे माझी बिटकॉइनशी ओळख झाली. - मी आज रात्री अँड्रियासने आयोजित केलेल्या एका सामाजिक कार्यक्रमात आलो आहे, त्याच्या सशुल्क आश्रयदात्यांच्या सपोर्टचा एक भाग म्हणून. डाउनटाउन लंडनमध्ये नुकतेच काही ड्रिंक्स घेतले, त्यामुळे ही खरोखरच एक मजेदार संध्याकाळ होती. अनेक समविचारी लोकांना भेटायला मिळाले. - अँड्रियास करत असलेल्या कामाला आपण सपोर्ट केला पाहिजे. तो नवीन लोकांना बिटकॉइनमध्ये आणि बिटकॉइनच्या शिक्षणामध्ये आणण्यासाठी खूप काही करत आहे. - तो एक उत्तम शिक्षक आहे. तो अतिशय गुंतागुंतीचे विषय समजायला सोप्या पद्धतीने समजावून सांगू शकतो. तो अतिशय प्रामाणिक आणि अतिशय अचूक आहे. ते तयार आणि बौद्धिकदृष्ट्या प्रामाणिक असू शकतात. मला वाटते की हे त्याचे सर्वोत्तम वैशिष्ट्य आहे. - तो बिटकॉइन आणि त्याभोवतीच्या उद्योगासारख्या खरोखरच गुंतागुंतीच्या विषयावर इतकी स्पष्टता आणतो. - हे

माझ्यासाठी खूप, खूप चांगली प्रेरणा आहे आणि मी त्याला देत असलेला प्रत्येक बिटकॉइन, तो आपल्याला बिटकॉइन समजून घेण्यास मदत करण्यासाठी खूप चांगल्या प्रकारे वापरला जाईल. आणि मला वाटते की यामुळे कधीतरी जग सुधारेल. - एक आश्रयदाता असल्याने मला अँड्रियासला भेटायला मिळते आणि म्हणूनच मला आश्रयदाता व्हायला आवडते आणि मी आश्रयदाता राहणे सुरूच ठेवणार आहे. - मला वाटते की ही फक्त एक चांगली गोष्ट आहे. जर तुम्हाला नवीन गोष्टी शिकण्यात स्वारस्य असेल आणि बिटकॉइन समुदायाला सपोर्ट करायचा असेल, तर तुम्ही आश्रयदाता व्हायला हवे. - आश्रयदाता असल्याने तुम्हाला विशेष वाटते. तुम्ही त्याच्या लाइव्ह प्रश्नोत्तरे (Q&A) सत्रांना उपस्थित राहू शकता. तुम्ही त्याला हॅपी अवर्समध्ये भेटू शकता. हे खरोखरच उत्तम आहे, पूर्णपणे मोलाचे आहे. मी आश्रयदाता होण्याबद्दल खूप, खूप उत्साही आहे. - मला आवडेल की त्याने भविष्यात जाहिरातींपासून मुक्त राहून त्याची उत्तम आणि मौल्यवान सामग्री तयार करावी आणि फक्त

प्रश्नोत्तरे: फोन नंबर पोर्ट करणे आणि ॲप सुरक्षा (1:31:37)

त्याच्या आश्रयदात्यांच्या मदतीने. आणि म्हणूनच मी त्याला पॅट्रॉनवर पाठिंबा देत आहे. (शांत संगीत) - ठीक आहे, आपण पुढच्या प्रश्नाकडे जाण्यापूर्वी, चॅटमध्ये काही उत्तम फॉलो-अप्स आले आहेत. जे माझ्या निर्मात्याने माझ्यासाठी उपयुक्तपणे पोस्ट केले आहेत. तर सर्वात आधी, लुसियाकडून एक फॉलो-अप आहे, कोणताही फोन नंबर नॉन-पर्सन (व्यक्ती नसलेल्या) ग्राहक सेवेवर पोर्ट केला जाऊ शकतो का? हे तुम्ही कोणत्या देशात नोंदणीकृत आहात यावर अवलंबून असते. टेलिकॉम प्रदात्यांमधील पोर्टेबिलिटीबद्दल वेगवेगळ्या देशांचे वेगवेगळे कायदे आहेत. पण खरे सांगायचे तर, बहुतेक युरोपीय देश आणि निश्चितपणे उत्तर अमेरिका, मला माहित आहे की युनायटेड स्टेट्स आणि कॅनडामध्ये अशी स्थिती आहे की कॅरियर्सनी पोर्टिंगच्या विनंत्या मान्य करणे बंधनकारक आहे. आणि याचा अर्थ असा की योग्य प्रक्रियेसह, तुम्ही तुमचा नंबर हलवू शकता आणि तो न गमावता नवीन कॅरियरकडे जाऊ शकता. आणि मग तुम्ही अशा कॅरियरकडे जाऊ शकता जो, ग्राहक नसलेला

सेवा, लोक नसलेला कॅरियर आहे. Google fi हा असा एक आहे ज्याबद्दल मी तिथे सर्वात जास्त ऐकले आहे. असे अनेक असू शकतात, इतर जे नंबर पोर्टिंग हल्ल्यांपासून तितकेच सुरक्षित आहेत. माझा त्याकडे कल आहे, जरी उघड कारणांमुळे त्यात काही गोपनीयता धोके आहेत. दुसरा प्रश्न बेनकडून आला आहे आणि बेन विचारतो की तुमचे ॲप गुप्त की लीक करत नाहीये हे कसे ओळखावे. बेन, तुमचे ॲप गुप्त की लीक करत नाहीये हे तुम्हाला कळू शकत नाही. तुम्ही फक्त अशा ॲप्सचा वापर करू शकता जे अनेक लोकांद्वारे वापरले जातात, सुरक्षा वातावरणात वापरले जातात, ज्यांचे परीक्षण आणि पुनरावलोकन केले गेले आहे, कदाचित ज्यांच्या स्त्रोत कोडचे परीक्षण केले गेले आहे, जे विश्वसनीय कंपन्यांनी तयार केले आहेत. जे सुरक्षेला गांभीर्याने घेतात, ज्यांचा गोष्टी न मोडण्याचा मोठा ट्रॅक रेकॉर्ड आहे. यासाठी प्रतिपक्षावर विश्वास असणे आवश्यक आहे. तथापि, मी ज्या जवळजवळ प्रत्येक गोष्टीबद्दल बोललो आहे त्यासाठी प्रतिपक्षावर विश्वास असणे आवश्यक आहे. तर मग प्रश्न असा आहे की तुम्ही किती विश्वास

प्रतिपक्षावर ठेवत आहात आणि हा प्रतिपक्ष कोण आहे? आणि याला पर्याय काय आहे? आणि जर पर्याय ॲप न वापरणे आणि स्मरणशक्तीवर अवलंबून राहण्याचा प्रयत्न करणे हा असेल, तर प्रत्यक्षात तो पर्याय अधिक वाईट आहे. आणि सुरक्षेमध्ये तुम्हाला हाच काळजीपूर्वक समतोल साधावा लागतो. अधिकाधिक कंपन्या विकेंद्रित प्रमाणीकरण, विकेंद्रित ओळख (did), विकेंद्रित पडताळणीसाठी विविध यंत्रणा लागू करण्याचा प्रयत्न करत असल्याचे आपण पाहत आहोत, जे अधिक सुरक्षित आहेत. उदाहरणार्थ बिटकॉइन किंवा इथेरियम वरील मल्टीसिग हा अनेकदा अशा सेवांचा आधार असतो. परंतु सध्या या सेवा तुलनेने अपरिपक्व आहेत, व्यापकपणे तैनात केलेल्या नाहीत आणि या प्रकारच्या उपायांसाठी अद्याप योग्य नाहीत. त्यामुळे त्या क्षेत्रात भविष्यासाठी खूप आशादायी आहे. यादरम्यान, तुम्ही स्वतःला हा प्रश्न विचारला पाहिजे की, चांगला ट्रॅक रेकॉर्ड असलेली केंद्रीकृत सेवा वापरणे चांगले आहे की कोणतीही सेवा न वापरता, यावर अवलंबून राहण्याचा प्रयत्न करणे चांगले आहे

स्मरणशक्तीवर? आणि मी याचे निश्चितपणे उत्तर देऊ शकतो की पासवर्ड मॅनेजर न वापरणे आणि चुका होऊ शकणाऱ्या स्मरणशक्तीवर, चुका होऊ शकणाऱ्या यादृच्छिकता आणि तुमच्या तांत्रिक क्षमतेच्या पलीकडे असू शकणाऱ्या DIY उपायांवर अवलंबून राहण्याचा प्रयत्न करण्यापेक्षा, एखाद्या विश्वसनीय किंवा चांगला ट्रॅक रेकॉर्ड असलेल्या कंपनीचा पासवर्ड मॅनेजर वापरणे चांगले आहे. चला पुढच्या प्रश्नाकडे वळूया. तो ट्रिक्सीकडून आला आहे, अँड्रियास चष्मा छान आहे. मलाही आवडला. धन्यवाद ट्रिक्सी. याच्या मदतीने, मी माझ्या लॅपटॉपवर काय आहे ते प्रत्यक्षात वाचू शकतो. मी दोन प्रकारचे लाईव्हस्ट्रीम करतो. काही थोडे अधिक तात्पुरते असतात, अधिक प्रश्नांवर आधारित असतात. माझ्या लॅपटॉपवर काय चालले आहे ते मला जास्त वाचण्याची गरज नसते. माझ्याकडे तिथे एक छान स्टुडिओ मॉनिटर आहे, जो इतका दूर आहे की मी माझ्या कमकुवत दृष्टीनेही तो वाचू शकतो. आणि आजच्या सारखे काही थोडे अधिक गुंतागुंतीचे असतात. मला खूप काही करावे लागते

प्रश्न आणि उत्तरे: बँक SMS ला अधिक मजबूत प्रमाणीकरणात रूपांतरित करणे (1:36:01)

वाचण्याचे. माझा लॅपटॉप टेबलवर आहे. आणि म्हणून मला या गोष्टींची आवश्यकता आहे. पण धन्यवाद, आपण विषयांतर करत आहोत. या प्रश्नाच्या मुख्य मुद्द्याकडे परत येऊया. मी आमच्या संपादकासाठी पुन्हा सुरुवात करेन. ट्रिक्सी विचारते, बँकेचे ते मूर्ख टेक्स्ट संदेश (text messages) ऑफी (offi) किंवा तत्सम कशात रूपांतरित करण्याचा काही मार्ग आहे का? एक वेळ-आधारित वन-टाइम पासवर्ड (time-based one-time password) प्रणाली. ऑफी (offi) हे त्या वेळ-आधारित T-OTP, वेळ-आधारित वन-टाइम पासवर्डपैकी एक आहे. ट्रिक्सी, नाही, असा कोणताही मार्ग नाही. जोपर्यंत तुमच्या बँकेकडे टेक्स्ट संदेशाव्यतिरिक्त इतर कशाला तरी सपोर्ट करणारी यंत्रणा नाही, तोपर्यंत तुम्ही वेळ-आधारित वन-टाइम पासवर्ड वापरू शकत नाही. या प्रकरणात योग्य उत्तर हे आहे की टेक्स्ट मेसेजिंग वापरा, परंतु तुमचा फोन प्रदाता (phone provider) अशा प्रदात्यामध्ये बदला ज्याला वेळ-आधारित वन-टाइम पासवर्डसारख्या मजबूत प्रमाणीकरण यंत्रणेची आवश्यकता आहे, किंवा त्याहूनही उत्तम म्हणजे सुरक्षा की (security key) सह युनिव्हर्सल टू फॅक्टर (universal two factor) किंवा जिथे तुम्ही ते पर्याय कॉन्फिगर करू शकता. जेणेकरून तुमचा नंबर पोर्ट केला जाऊ शकत नाही कारण त्यासाठी मजबूत प्रमाणीकरणाची आवश्यकता असते. आणि

आणि जर तुमचा नंबर पोर्ट केला जाऊ शकत असेल, तर तुमचा बँक टेक्स्ट संदेश खूप, खूप अधिक सुरक्षित असतो. तर ट्रिक्सीचा हा एक उत्तम प्रश्न होता. चला पाहूया आपल्याकडे येथे आणखी कोणते प्रश्न आहेत. मला इतर फारसे प्रश्न दिसत नाहीत, त्यामुळे, अरे, आणि हे पहा. अरे, नियंत्रक (moderators) आता वेगाने, वेगाने प्रश्न शोधत आहेत आणि ते माझ्यासाठी रांगेत लावत आहेत, जेणेकरून आपल्याला आणखी काही प्रश्न सापडतील. मला आशा आहे की तुम्ही आजच्या सत्राचा आनंद घेत आहात. तर आपण आतापर्यंत जे शिकलो आहोत त्याचा मी थोडक्यात आढावा घेतो. सुरक्षा कधीही 100 टक्के नसते, सुरक्षा म्हणजे तुमच्या तांत्रिक क्षमतेनुसार वास्तववादी धोक्यांचे व्यवस्थापन करणे, ज्यासाठी तुम्ही शोधू शकता असा सर्वात सोपा आणि सातत्याने लागू केलेला उपाय वापरणे, जो इतर उपायांसह स्तरित (layered) केलेला असतो जेणेकरून एका दृढनिश्चयी हल्लेखोराविरुद्ध अडथळ्यांची मालिका तयार करता येईल. जर तुम्ही सुरक्षा योग्य प्रकारे हाताळली, तर तुम्ही या उपायांसोबत सोयीस्कर होता. तुम्ही ते सातत्याने लागू करू शकता, आणि तुमच्याकडे

पुरेसे स्तर (layers) असतात जे तुमची कौशल्ये आणि तुमच्या धोक्याचे वातावरण या दोन्हींशी काळजीपूर्वक जुळतात, ज्यामुळे हल्लेखोराकडे तुमच्यावर हल्ला करण्यासाठी वेळ, संसाधने, बजेट, किंवा स्वारस्य, बक्षीस खरोखरच नसते. आणि त्याऐवजी ते अशा कोणावर तरी हल्ला करतात जे सोपे लक्ष्य (softer target) असते, आणि मुळात हीच सुरक्षा आहे. तुम्ही याबाबतीत परिपूर्ण असू शकत नाही. किंबहुना, तुम्ही माणूस आहात. त्यामुळे तुम्ही, व्याख्येनुसार, अपूर्णच असाल. तुम्हाला ते सातत्याने आणि तुमच्या कौशल्य पातळीनुसार अंमलात आणता आले पाहिजे, ज्याचा अर्थ ते पुरेसे सोपे असले पाहिजे. हे एकाच साधनाने, तंत्राने, सरावाने किंवा कृतीने सोडवले जाऊ शकत नाही, त्यामुळे तुम्हाला अनेक साधने, अनेक तंत्रे, अनेक कृती एकत्र स्तरित करून वापराव्या लागतील, शक्यतो सुरक्षेच्या विविध यंत्रणा ज्यांना हल्लेखोरांकडून वेगवेगळ्या कौशल्यांची आवश्यकता असते आणि जे वेगवेगळ्या धोक्यांपासून संरक्षण करतात जेणेकरून तुम्ही त्यांचे स्तर तयार करू शकता आणि एक व्यापक प्रणाली तयार करू शकता. आणि तरीही ते तुम्हाला

100 टक्के सुरक्षेपर्यंत पोहोचवणार नाही, पण, तुम्हाला माहीत आहे का, जर तुम्ही ते सातत्याने केले, आणि जर तुम्ही ते जाणीवपूर्वक केले, आणि जर तुम्ही ते तुमच्या धोक्याच्या गरजा आणि तुमच्या कौशल्याची पातळी या दोन्हींनुसार चांगल्या प्रकारे तयार केले, तर तुम्ही अशा लोकांच्या उच्चभ्रू गटात सामील होऊ शकता जे प्रामाणिकपणे सांगू शकतात की, मला अनेक वर्षांपासून हॅक केले गेले नाही. तुम्ही जास्तीत जास्त हेच करू शकता, पण ते सहसा खूप चांगले असते. आणि ते तुम्हाला इतर अनेक लोकांच्या खूप पुढे घेऊन जाते. निनावी (Anonymous) विचारतो, ज्याने अद्याप पासवर्ड मॅनेजर्सची जवळून तुलना केली नाही किंवा कोणताही वापरून पाहिला नाही अशा व्यक्तीसाठी तुम्ही पासवर्ड मॅनेजर्सबद्दल काही चिंता किंवा सूचना सामायिक करू शकता का? मी गेल्या काही वर्षांत अनेक वेगवेगळे पासवर्ड मॅनेजर्स वापरले आहेत, त्यापैकी काही खूप, खूप सामान्यपणे वापरले जातात जे माझे आवडते नाहीत. जे मी माझ्याकडील डिव्हाइसनुसार वेळोवेळी किंवा नेहमी अनिच्छेने वापरतो. असे काही आहेत जे

पसंतीस उतरले आहेत किंवा नापसंत झाले आहेत. आणि काही नवीन आहेत जे महत्त्व प्राप्त करत आहेत. तुमच्यासाठी काय योग्य असेल हे मी खरोखर सांगू शकत नाही. मी तुम्हाला सांगू शकतो की कदाचित सर्वात लोकप्रिय दोन प्रणाली आहेत, एक लास्ट पास (last pass) नावाची प्रणाली आणि दुसरी वन पासवर्ड (one password) नावाची प्रणाली, एक म्हणजे 1 हा अंक, त्यानंतर पासवर्ड हा शब्द, सर्व मिळून एकच शब्द. वन पासवर्ड आणि लास्ट पास हे कदाचित सर्वात प्रसिद्ध आहेत. त्यापलीकडे विविध क्षमता आणि वेगळेपण असलेल्या इतर अनेक प्रणाली उपलब्ध आहेत. मी ज्याकडे स्वारस्याने पाहत आहे त्यापैकी एक थोडी नवीन प्रणाली म्हणजे बिट वॉर्डन (bit warden), कारण ही एक ओपन सोर्स प्रणाली आहे जी मल्टी-प्लॅटफॉर्म आहे आणि तिची रचना खूप चांगली केली आहे. पण सरतेशेवटी, जसा मी हार्डवेअर वॉलेट उत्पादकांसाठी तोच सल्ला दिला आहे, उदाहरणार्थ, मी तुम्हाला आमच्या पासवर्ड मॅनेजर्ससाठीही तोच सल्ला देईन. समजा पहिल्या 3, 4 मधील फरक,

प्रश्नोत्तरे: पासवर्ड मॅनेजर्सची तुलना (1:41:43)

या क्षेत्रात पाच कंपन्या आहेत ज्यांच्या उत्पादनांमध्ये खूपच किरकोळ फरक आहेत. ते सर्व खूप चांगले आहेत. ते सर्व खूप सुरक्षित आहेत. ते सर्व खूप सुसंगत आहेत. पहिल्या चार किंवा पाच पासवर्ड मॅनेजर्सपैकी एक वापरणे आणि अजिबात पासवर्ड मॅनेजर नसणे, किंवा स्वतःच्या स्मरणशक्तीवर अवलंबून राहणे किंवा स्वतःचे सोल्यूशन बनवण्याचा प्रयत्न करणे यातील फरक खूप मोठा आहे. त्यामुळे प्रश्न हा नाही की, मी यापैकी कोणता वापरला पाहिजे? प्रश्न हा आहे की मी एखादा वापरला पाहिजे का, आणि त्याचे उत्तर होय असे आहे, आणि यात जास्त वेळ वाया घालवू नका. याचा विचार करण्याचा एक मार्ग म्हणजे तुमच्या कुटुंबातील इतर लोक काय वापरत आहेत? जेणेकरून तुम्ही त्यांच्यासोबत पासवर्ड सहज शेअर करू शकता. यातील बहुतांश गोष्टी क्लोज्ड इकोसिस्टम्स आहेत. त्यामुळे जर तुमच्या कुटुंबातील प्रत्येकाकडे bit warden असेल, तर तुम्हीही bit warden वापरणे चांगले. जर तुमची कंपनी किंवा तुमचा एम्प्लॉयर एखादा वापरत असेल, तर तुम्ही कदाचित

तुमच्या वैयक्तिक कामांसाठी तोच वापरणे अधिक चांगले राहील, जोपर्यंत तुम्ही दोन स्वतंत्र खाती ठेवू शकता, जेणेकरून तुम्हाला खूप जास्त ॲप्लिकेशन्स चालवावे लागणार नाहीत आणि गुंतागुंत वाढणार नाही. पुन्हा एकदा, हे सोपे ठेवा. तुम्ही स्वतःला विचारला पाहिजे असा एकमेव प्रश्न हा आहे की मी यापैकी एखादी गोष्ट किती लवकर सुरू करू शकतो आणि नंतर ती योग्यरित्या सुरक्षित करू शकतो, आणि त्यानंतर जाऊन सर्व वेबसाइट्सवरील सर्व पासवर्ड बदलू शकतो, ज्याची सुरुवात सर्वात महत्त्वाच्या वेबसाइट्सपासून होईल. एका अनामिक व्यक्तीने विचारले आहे की Google authenticator चे प्रारंभिक सेटअप आणि अंमलबजावणी ही सिमेट्रिक की ची आहे का, बिटकॉइनच्या विपरीत, जे असिमेट्रिक कूटलेखन वापरते. होय, ते तसे आहे. आणि मला T-OTP स्टँडर्ड काय आहे हे माहित नाही कारण मी ते कधीही पाहिलेले नाही. ते कदाचित सिमेट्रिक कूटलेखन नसूही शकते. तो कदाचित पासवर्ड स्ट्रेचिंग अल्गोरिदम असू शकतो. किंबहुना, अशी शक्यता आहे की तो एका प्रकारचा क्रम आहे जो यावर आधारित आहे

हॅशेस वापरून मिळवलेल्या डेरिव्हेशनवर. पण मला माहित नाही, मी त्यात लक्ष घातलेले नाही. ते असिमेट्रिक नाही, हे मी तुम्हाला सांगू शकतो. त्यामुळे ती खाजगी सार्वजनिक की सिस्टीम नाही. सिमेट्रिक कूटलेखन म्हणजे काय? असिमेट्रिक कूटलेखन म्हणजे काय? चॅटवर आलेला हा आणखी एक प्रश्न आहे. असिमेट्रिक कूटलेखन म्हणजे जेव्हा जोडीमध्ये दोन की असतात आणि आपण त्यांना खाजगी की आणि सार्वजनिक की म्हणतो आणि एकाने जे काही कूटबद्ध केले जाते त्याची कूटउकल केवळ दुसऱ्याद्वारे केली जाऊ शकते आणि याच्या उलटही. त्यामुळे जर तुम्ही तुमच्या खाजगी कीने काहीतरी कूटबद्ध केले, तर त्याची कूटउकल केवळ तुमच्या सार्वजनिक कीने केली जाऊ शकते. आणि जर तुम्ही सार्वजनिक कीने काहीतरी कूटबद्ध केले, तर केवळ खाजगी की असलेली व्यक्तीच त्याची कूटउकल करू शकते. आणि या तंत्रांचे कॉम्बिनेशन डिजिटल स्वाक्षऱ्यांसाठी वापरले जाते. आणि ते दोन प्राप्तकर्त्यांमधील डेटाच्या कूटलेखन आणि कूटउकलसाठी वापरले जाते. याचा अर्थ असा आहे की

जर तुम्हाला माझ्यासाठी एखाद्या गोष्टीची कूटउकल करायची असेल, तर तुम्हाला माझ्या सार्वजनिक कीची आवश्यकता आहे. जर तुम्ही ते माझ्या सार्वजनिक कीवर कूटबद्ध केले, जी सार्वजनिक आहे आणि शेअर करणे सोपे आहे, तर केवळ मीच त्याची कूटउकल करू शकतो. जर तुम्हाला ते अनेक लोकांसाठी कूटबद्ध करायचे असेल, तर तुम्हाला त्यांच्या सर्वांच्या सार्वजनिक कीची आवश्यकता आहे आणि तुम्हाला ते त्यांच्या सर्वांच्या सार्वजनिक कीवर स्वतंत्रपणे कूटबद्ध करावे लागेल. सिमेट्रिक कूटलेखन म्हणजे जिथे तुमच्याकडे एकच की असते जी कूटलेखन आणि कूटउकल दोन्ही करते. आणि किंबहुना, 1970 च्या दशकापर्यंत सिमेट्रिक कूटलेखन हीच कूटलेखन यंत्रणा होती. जर मी चुकत नसेन तर 1970 च्या दशकापर्यंत असिमेट्रिक कूटलेखनाचा शोध लागला नव्हता. तर सिमेट्रिक आणि असिमेट्रिक मधील हा फरक आहे. मला पाहू द्या, मला वाटते की माझ्याकडे येथे आणखी एक प्रश्न आहे. कार्लोसकडून आणखी एक फॉलो-अप. ऑथेंटिकेशनसाठी आपण बिटकॉइन स्वाक्षऱ्या कधी वापरू? तुम्ही आज ऑथेंटिकेशनसाठी बिटकॉइन स्वाक्षऱ्या वापरू शकता. प्रॉब्लेम असा आहे की तुम्हाला याची काळजी घ्यावी लागेल की

त्याचे स्ट्रक्चर कसे करायचे आणि तुम्ही नेमके काय सिद्ध करत आहात हे समजून घेणे. बिटकॉइन स्वाक्षरी आणि साधारणपणे ऑथेंटिकेशनसाठी डिजिटल स्वाक्षऱ्यांचा वापर हा अतिशय विशिष्ट आणि अतिशय मर्यादित गोष्टींचा संच सिद्ध करतो. तर समजा तुम्ही मला माझ्या बिटकॉइन खाजगी कीने एका संदेशावर स्वाक्षरी करण्यास आणि स्वाक्षरी तयार करण्यास सांगता, आणि नंतर ती जगासोबत शेअर करण्यास सांगता. बरं, येथे काही गोष्टी आहेत ज्या मी सिद्ध करतो. मी हे सिद्ध करतो की ज्या वेळी स्वाक्षरी तयार केली गेली, त्या वेळी माझ्याकडे खाजगी की होती. अर्थात, याचा अर्थ असा नाही की मी ती स्वाक्षरी अनेक वर्षांपूर्वी तयार केली नाही. स्वाक्षरी कधी तयार केली गेली हे तुम्हाला माहीत नसते. दुसरी गोष्ट अशी आहे की एका व्यवहार्य स्कीममध्ये त्याचा वापर करण्यासाठी, जो व्यक्ती स्वाक्षरी मागत आहे त्याला चॅलेंज रिस्पॉन्स नावाचे काहीतरी करावे लागते. मी फक्त असे म्हणू शकत नाही की कशावर तरी स्वाक्षरी करा, कारण जर मला मिळाले

प्रश्न आणि उत्तरे: प्रमाणीकरणासाठी बिटकॉइन स्वाक्षऱ्या (1:47:01)

संदेश निवडण्यासाठी, मी मुळात असा एखादा संदेश निवडू शकतो ज्यावर भूतकाळात खूप पूर्वी दुसऱ्या कोणीतरी स्वाक्षरी केली होती, त्यांनी लागू केलेली स्वाक्षरी सादर करू शकतो आणि तुम्हाला सांगू शकतो की मी नुकतेच ते केले आहे. आणि ते खरे आहे की नाही हे जाणून घेण्याचा तुमच्याकडे कोणताही मार्ग नाही. त्यामुळे त्या परिस्थितीमध्ये, तुम्हाला चॅलेंज रिस्पॉन्सची आवश्यकता असते. म्हणून मी असे म्हणेन की कृपया, CarlosM, अशा संदेशावर स्वाक्षरी करा ज्यामध्ये असे म्हटले आहे की, मी CarlosM डिसेंबरच्या आज 5 तारखेला? मला माहितही नाही, डिसेंबरच्या, जे काही असेल, 5 तारखेला, 2020 रोजी, माझ्याकडे माझी खाजगी की आहे. आणि मी Andreas च्या विनंतीवरून या संदेशावर स्वाक्षरी करत आहे. तर मी येथे काय म्हणत आहे ते तुम्हाला समजले का? यामुळे ते वेळेत निश्चित होते. जोपर्यंत मी तुम्हाला स्वाक्षरी करण्यासाठी एखादा विशिष्ट संदेश विचारत नाही तोपर्यंत तुम्हाला संदेश काय आहे हे कळणार नाही. तुम्ही ते एका विशिष्ट क्रियेशी जोडता. मी तुम्हाला विचारले आहे

की तुम्ही त्यावर स्वाक्षरी केल्याच्या वेळेबद्दलची माहिती आणि स्वाक्षरी करणाऱ्याची ओळख त्यात टाकावी. यामुळे ते खूप कठीण होते, परंतु तरीही, Carlos ने यावर स्वाक्षरी केली आहे की नाही हे मला माहित नाही. जेव्हा आपण US मध्ये प्रस्तावित असलेल्या आणि EU मध्ये आधीच लागू केलेल्या नवीन प्रवास नियमांसाठी तुमच्याकडे एखादा पत्ता आहे हे सिद्ध करण्यासाठी वॉलेट्ससह स्वाक्षरी करण्याबद्दल बोललो तेव्हा आपली अशीच चर्चा झाली होती. आणि अर्थातच, जर Carlos ला हे सिद्ध करायचे असेल की त्यांच्याकडे एक पत्ता आहे आणि मी त्यांना तसा संदेश दिला, तर त्यांना फक्त तो संदेश Jimmy ला द्यायचा होता, Jimmy कडून त्यावर स्वाक्षरी करून घ्यायची होती की, हा Carlos आहे, तो Carlos ला परत द्यायचा, Carlos तो मला देतो, आणि मला वाटते की यावरून हे सिद्ध होते की Carlos कडे खाजगी की आहे जेव्हा प्रत्यक्षात ती Jimmy कडे असते आणि ते एकत्र काम करत असतात. त्यामुळे हे गुंतागुंतीचे आहे. हे

पहिल्या दृष्टीक्षेपात दिसते तितके सोपे नाही. ठीक आहे, पाहूया. मी कदाचित आणखी एका प्रश्नाचे उत्तर देणार आहे. अरे, हा एक चांगला प्रश्न आहे. मला हा खरोखर आवडला. हा Jeff कडून आलेला प्रश्न आहे. Jeff Tezos विचारतो, तुम्हाला टीव्हीवर किंवा तत्सम Amazon, Netflix वर तुमच्या रिमोटने मॅन्युअली इनपुट कराव्या लागणाऱ्या पासवर्ड्सचे काय? ते किती लांब आणि कठीण असावेत? Jeff, मी यावर संघर्ष केला आहे. आणि माझ्याकडे याचे उत्तर आहे, जे मी तुम्हाला एका सेकंदात देईन. आता, Jeff ज्या परिस्थितीबद्दल बोलत आहे त्याची कल्पना करा, तुम्ही तुमच्या Netflix खात्यासाठी चिन्हांसह एक अद्वितीय अल्फान्यूमेरिक 32 वर्णांची की तयार करण्यासाठी तुमचा पासवर्ड मॅनेजर वापरला आहे. आता तुम्हाला ते स्मार्ट Roku TV च्या कीबोर्डवर प्रविष्ट करावे लागेल, जिथे प्रत्येक अक्षर तुमच्या लहान कर्सरला कीबोर्डवरील योग्य अक्षरावर हलवून, एंटर दाबून प्रविष्ट करावे लागेल,

आणि नंतर मागे जाऊन आणि कॅप्स लॉकवर खाली जाऊन आणि कॅप्स लॉक चालू करून आणि वर जाऊन आणि कॅपिटल अक्षरावर जाऊन आणि नंतर कॅप्स लॉक बंद करून आणि नंतर चिन्हावर जाऊन आणि अंकीय कीबोर्डवर स्विच करून. अरे देवा, याला तास लागतील, तास. आणि म्हणून होय, त्या प्रकरणांमध्ये, मी त्याच गोष्टी सांगेन जिथे तुमची सुरक्षा तितकी गंभीर नाही, तुम्हाला असे काहीतरी करावे लागेल जिथे तुम्हाला अनेकदा ही की इतर लोकांसोबत शेअर करावी लागते. याचे एक उत्तम उदाहरण तुमचा वायफाय पासवर्ड असेल, बरोबर? त्यामुळे अशा प्रकरणांमध्ये, मी काय करेन तर मी एक साधा अंकीय किंवा वर्णमाला पासवर्ड वापरेन. सर्व एकाच वर्गातील अक्षरे आणि तो थोडा लांब करेन. त्यामुळे कोणीतरी माझे Netflix हॅक केले आणि मी Queen's Gambit पाहत आहे हे त्यांच्या लक्षात आले तरी मला पर्वा नाही. अर्थातच, मी Queen's Gambit पाहत आहे. प्रत्येकजण

Queen's Gambit पाहत आहे. हा Queen's Gambit चा आठवडा आहे. मला त्याचा खरोखर काही फरक पडत नाही, जरी काही सुरक्षा विचार आहेत, जसे की मी ते पाहत असताना मी कुठे आहे हे शोधण्यात सक्षम असणे. त्यामुळे मला अजूनही पासवर्डची गरज आहे. पण तो इतका लांब असण्याची गरज नाही कारण कोणीतरी तो क्रॅक करण्याचा प्रयत्न करेल याची शक्यता कमी आहे. खरी समस्या ही आहे की मी Airbnb सोडताना Roku TV रीसेट करायला विसरलो नाही ना. अहा. हा एक चांगला प्रश्न आहे. तर मी काय करू? मी सहसा अंकीय पासवर्ड किंवा वर्णमाला किंवा लोअरकेस पासवर्ड निवडतो आणि मी त्याचे गटांमध्ये वर्गीकरण करतो. त्यामुळे मी एक क्लासिक गोष्ट करेन ती म्हणजे वजा किंवा हायफन चिन्हांनी विभक्त केलेले 12 अंक. याचा अर्थ असा की मी चारचे तीन गट किंवा तीन अंकांचे चार गट करेन. त्यामुळे माझा पासवर्ड नऊ तीन सात डॅश तीन एक दोन डॅश तीन असा काहीसा असेल

प्रश्न आणि उत्तरे: टीव्ही रिमोट आणि कमी-सुरक्षा असलेल्या उपकरणांसाठी पासवर्ड (1:52:10)

तीन एक डॅश चार एक पाच. मी या क्षणी फक्त यादृच्छिकपणे क्रमांक निवडत आहे. तसे, हे फार चांगले यादृच्छिक नाही. मी माझ्या पासवर्ड मॅनेजरमध्ये यादृच्छिक क्रमांक जनरेटर वापरेन. मी त्याला फक्त अंक देण्यासाठी आणि त्याची लांबी 12 ठेवण्यासाठी सांगेन. आणि मग मी ते चारच्या छान गटांमध्ये विभागून मध्ये डॅश देऊन लिहीन, कारण मला ते स्क्रीनवरून वाचणे आणि कीबोर्डवर टाईप करणे सोपे जाते. आणि सहसा क्रमांक आणि डॅश एकाच कीबोर्डवर असतात आणि ते अगदी कमी अंतरावर असतात, त्यामुळे मी ते पटकन करू शकतो किंवा त्याहूनही चांगले, अनेक रिमोट कंट्रोल्स तुम्हाला कीबोर्डचा अंकीय भाग वापरण्याची परवानगी देतात, जो यासाठी होता... जुन्या काळी, आपल्या टेलिव्हिजनवर चॅनेल्स असायचे आणि ते चॅनेल्स अंकीय चॅनेल क्रमांकाद्वारे निवडले जायचे. मला माहीत आहे की हे आश्चर्यकारक तंत्रज्ञान आहे.

त्यामुळे अनेक रिमोट्सवर नंबर कीपॅड असतो. त्यामुळे पासफ्रेज टाईप करणे अधिक सोपे होते. धन्यवाद, जेफ. हा एक उत्तम प्रश्न होता. आणि सुरक्षा संतुलित करण्याबद्दलचा एक अतिशय व्यावहारिक प्रश्न. तुम्हाला खरोखरच अशा खात्याचे संरक्षण करण्यासाठी एवढा त्रास घ्यायचा आहे का, जे तितके सुरक्षित नाही आणि जिथे मोठा धोका हा आहे की तुम्ही Airbnb सोडताना तो पासवर्ड पुसून टाकणे किंवा रीसेट करणे विसरता आणि तो इतर लोकांना शोधण्यासाठी तसाच ठेवता, ज्या क्षणी ते थोडे कठीण होऊ शकते. जेफकडून असाच एक प्रश्न. अरेरे. अरे नाही, तो जेफ नाही. क्षमस्व, एक सेकंद. चला सुरू करूया. ते काम करत आहे का? आज माझ्या ॲप्सवर थोडा लॅग आहे. फक्त चार अंकी पिन वापरणे किती सुरक्षित आहे, जसे की सर्व बँक कार्ड्सवर वापरले जाते, माईक विचारतो. माईक ते अवलंबून आहे, ते

तुम्ही तो पिन कुठे टाईप करू शकता यावर अवलंबून आहे. बँक कार्ड्सवर चार अंकी पिन सुरक्षित असण्याचे कारण हे आहे की, तुम्हाला तो फक्त पिन पॅड किंवा ATM मशीनसारख्या सुरक्षा उपकरणावरच टाईप करता येतो. ही उपकरणे तुम्हाला ठराविक संख्येपेक्षा जास्त वेळा प्रयत्न करण्यापासून रोखण्यासाठी डिझाइन केलेली असतात. आणि जर ती देखरेखीखालील उपकरणे असतील, म्हणजे तुम्ही गॅस स्टेशनवर आहात, सुपरमार्केटच्या चेकआउट काउंटरवर आहात, तिथे कोणीतरी व्यक्ती उभी असते आणि तुम्ही काही वेळापेक्षा जास्त वेळा टाईप केल्यास. तुम्ही तसे करत आहात हे ते पाहू शकतात आणि जर तुम्ही 4,000 वेगवेगळे कॉम्बिनेशन्स टाईप करण्याचा प्रयत्न केला, तर ते सुरक्षारक्षकांना बोलावतील. आणि जेव्हा ते देखरेखीविना असलेले उपकरण असते जिथे तुम्ही फक्त तिथे बसून तासनतास सर्व संभाव्य कॉम्बिनेशन्स वापरून पाहू शकता, तेव्हा ते खरोखरच लॉक होईल आणि तुमचे कार्ड गिळून टाकेल, जसे तुम्हाला ATM च्या बाबतीत माहीत आहे. त्यामुळे

जर मी तो चार वेळा चुकीचा टाईप केला, किंवा सहा वेळा चुकीचा, किंवा तीन वेळा चुकीचा टाईप केला, बँकेच्या धोरणावर अवलंबून, ते माझे कार्ड गिळून टाकेल आणि मला प्रयत्न करण्याची दुसरी संधी देणार नाही. त्यामुळे हा फक्त पिन नाही, तर तो पिन कसा वापरला जातो याचा संदर्भ आहे. तो कुठे टाकला जातो, तुम्ही किती वेळा प्रयत्न करू शकता आणि जर तुम्ही या स्तरित सुरक्षा यंत्रणांमध्ये अयशस्वी झालात तर काय होते. त्यामुळे होय, ATM आणि पिन पॅड्ससारख्या नियंत्रित प्रवेश उपकरणांच्या संदर्भात चार अंकी पिन पुरेसा सुरक्षित आहे, जिथे तुम्ही चुकीचे टाईप केल्यास तुमचे कार्ड गिळून टाकणे किंवा तुम्हाला खूप वेळा प्रयत्न करू न देणे यासारखे सुरक्षेचे अतिरिक्त स्तर असतात. मला वाटते ते चांगले आहे. आपण अनेक विषय कव्हर केले आहेत. या सर्व उत्तम प्रश्नांसाठी खूप खूप धन्यवाद. खरोखर चांगल्या टिप्पण्या दिल्याबद्दल धन्यवाद. तुम्हाला याबद्दल काय आवडले ते मला सांगा

या विशिष्ट सत्राबद्दल. आपण केलेल्या इतर सत्रांपेक्षा हे थोडे वेगळे होते. बिटकॉइन आणि खुल्या ब्लॉकचेन्सच्या या प्रवासात तुम्हाला मदत करण्यासाठी तुम्हाला आणखी काय शिकायला आवडेल ते मला सांगा. आणि विसरू नका, आमची अशी अनेक सत्रे येत आहेत. मी तुम्हाला आमचे आगामी इव्हेंट्स दाखवतो, ते आहेत, ऑकवर्ड हॉलिडे कन्व्हर्सेशन्स (Awkward Holiday Conversations), ऑकवर्ड हॉलिडे कन्व्हर्सेशन्स. हे पुढील सत्र येत आहे. मी तुम्हाला योग्य उत्तरे आणि इतर लोकांच्या मजेशीर कथांनी सज्ज करणार आहे जे सध्या पॅट्रिऑन आणि इतर प्लॅटफॉर्मवरील टिप्पण्यांमध्ये त्यांच्या कुटुंबातील सुट्टीतील अवघड संभाषणांबद्दल शेअर करत आहेत. बहुतांश बिटकॉइन आणि खुल्या ब्लॉकचेन्सबद्दल, काहीवेळा अशा विषयांविषयी जे त्याला अधिक अवघड बनवतात जे आपण लाईव्ह स्ट्रीममध्ये कव्हर करणार नाही. त्यानंतर आमचे डिसेंबरचे ओपन टॉपिक प्रश्न आणि उत्तरे (Q&A) सत्र आहे, जिथे तुम्ही कोणताही प्रश्न विचारू शकता आणि मी त्याचे उत्तर देणे निवडू शकतो. आणि

समारोप (1:57:25)

आणि शेवटी आपला 2021 चा एक्स्ट्राव्हॅगान्झा इव्हेंट आहे. त्यामुळे हे इव्हेंट्स कधी होत आहेत हे जाणून घेण्यासाठी आणि त्यांच्याबद्दल माहिती मिळवण्यासाठी, कृपया माझ्या चॅनेलला सबस्क्राईब करा. बेल आयकॉन दाबून नोटिफिकेशन्स चालू करा, जेणेकरून या नवीन इव्हेंट्सबद्दल तुम्हाला सर्वात आधी माहिती मिळेल. आज माझ्यासोबत जोडले गेल्याबद्दल धन्यवाद, आज आपल्या चॅनेलवरील लाईव्ह स्ट्रीममध्ये 300 हून अधिक लोक सहभागी झाले होते, जे या जवळपास दोन तासांच्या प्रेझेंटेशनसाठी आपल्यासोबत होते, कारण आपल्याला बऱ्याच गोष्टी कव्हर करायच्या होत्या. आता, मी हे करत असताना, तुमच्या कदाचित लक्षात आले असेल की माझ्याकडे वेगवेगळ्या रंगांच्या आकर्षक पुस्तकांचा एक ढीग आहे. आणि हो, या रंगांचा आनंद घेण्यासाठी तुम्हाला त्यांच्या छापील आवृत्तीची आवश्यकता असेल, पण तुम्ही त्यातील मजकूर ई-बुक म्हणून वाचू शकता. आणि ते ई-बुक तुम्हाला माझ्या antonov.com/shop या शॉपवर मिळेल. तुम्हाला यासारखे मग देखील मिळू शकतात. आणि

तसे पाहता, हे खरोखरच उत्तम मग आहेत. ते मोठे आहेत, ते जड आहेत. ते उष्णता टिकवून ठेवतात. ते तोडणे खूप कठीण आहे. मला माहीत आहे कारण मी प्रयत्न केला आहे. मी त्यांना अनेक वेळा खाली पाडले आहे आणि त्यात भरपूर कॉफी मावते, ज्याची आपल्या सर्वांना सुट्ट्यांमधील त्या अवघड संभाषणांमधून पार पडण्यासाठी गरज भासेल. त्यामुळे, सोमवारपर्यंत, पुढील दोन दिवसांसाठी, आपला हॉलिडे सेल सुरू आहे, ज्यामध्ये तुम्हाला सर्व वस्तूंवर 20% सूट मिळेल. तुम्ही खरेदी करू शकता अशा गोष्टींपैकी एक म्हणजे 'तुमची क्रिप्टोकरन्सी निवडा' वर्कशॉप. आणि त्यावरही 20% सूट लागू आहे. हा हॉलिडे 2020 सेल शॉपवर उपलब्ध आहे, कूपन शोधण्यासाठी शॉपच्या मुख्य पानावर antonov.com/shop येथे जा. या व्हिडिओच्या खाली कमेंट्स करायला विसरू नका. पाहिल्याबद्दल खूप खूप धन्यवाद. तुमचा वीकेंड छान जावो. बाय बाय सर्वांना.