کرپٹو سیکیورٹی: پاس ورڈز اور تصدیق

یہ لائیو اسٹریم کرپٹو کرنسی رکھنے والوں کے لیے سیکیورٹی کی ضروری مشقوں کا احاطہ کرتی ہے، جس میں پاس ورڈ مینجمنٹ کے بنیادی اصولوں سے لے کر ملٹی فیکٹر تصدیق تک شامل ہیں۔ اینڈریاس اینٹونوپولوس سیکیورٹی اور استعمال میں آسانی کے درمیان توازن قائم کرنے کے اصولوں پر بات کرتے ہیں، وضاحت کرتے ہیں کہ پاس ورڈ مینیجرز کیوں ضروری ہیں، XKCD پاس فریز کا تصور متعارف کراتے ہیں، اور ٹو فیکٹر تصدیق کے طریقوں کی درجہ بندی کی تفصیل بتاتے ہیں۔

یہ ٹرانسکرپٹ aantonop کی جانب سے شائع کردہ اصل ویڈیو ٹرانسکرپٹ (opens in a new tab) کی ایک قابل رسائی کاپی ہے۔ اسے پڑھنے میں آسانی کے لیے معمولی طور پر ایڈٹ کیا گیا ہے۔

سیکیورٹی کے بنیادی اصول اور خطرے کا توازن (3:05)

(بیپ کی آواز) - سب کو سلام اور اس ہفتے کے لائیو اسٹریم میں خوش آمدید۔ یہ بونس لائیو اسٹریم پاس ورڈز، پاس ورڈ مینیجرز، تصدیق، ملٹی فیکٹر تصدیق، اور آپ کے اکاؤنٹس کی سیکیورٹی سے متعلق تمام چیزوں کے موضوع پر ہے۔ اب ہمارے پاس قطار میں پہلے سے ہی بہت سے سوالات موجود ہیں، لیکن میں ضروری نہیں کہ اس اسٹریم میں بنیادی طور پر سوالات پر ہی انحصار کروں، کیونکہ میں کچھ مشکل موضوعات کی وضاحت کرنا چاہتا ہوں۔ اور یہ زیادہ مناسب ہو سکتا ہے کہ میں کسی موضوع پر معمول سے تھوڑی زیادہ دیر تک بات کروں، یا شاید تھوڑی کم دیر تک، اور ان موضوعات کے ذریعے اپنا راستہ خود بناؤں۔ یہ تھوڑے پیچیدہ ہیں۔ سیکیورٹی ایک پیچیدہ موضوع ہے۔ لہذا صرف ایک بہترین سوال تلاش کرنے کی کوشش کرنے کے بجائے، ہو سکتا ہے میں ایسا نہ کروں۔ دوسری طرف، ہمارے پاس شروعات کرنے کے لیے کچھ بہترین سوالات موجود ہیں۔ تو سب سے پہلے، شامل ہونے کے لیے آپ سب کا شکریہ۔ یہ ہمیشہ کی طرح ایک خوشی کی بات ہے

کہ میں اپنی ہفتے کی صبح آپ کے ساتھ بٹ کوائن اور اوپن بلاک چینز سے متعلق نئے اور دلچسپ موضوعات پر کام کرتے ہوئے گزاروں۔ اب، پاس ورڈز اور ملٹی فیکٹر تصدیق کا بٹ کوائن اور اوپن بلاک چینز سے کیا تعلق ہے؟ خیر، آپ جانتے ہیں، اپنی کرپٹو کرنسیوں کی سیکیورٹی کو برقرار رکھنے کے لیے، آپ کو اپنے تمام اکاؤنٹس کی سیکیورٹی کو برقرار رکھنا ہوگا۔ کرپٹو کرنسیوں کے بارے میں ایک بہت ہی دلچسپ بات یہ ہے کہ بہت سے لوگوں کے لیے، یہ پہلا موقع ہے جب انہیں اپنی آن لائن شناخت اور آن لائن ڈیوائسز کی سیکیورٹی کے بارے میں احتیاط سے سوچنا پڑا ہے۔ کیونکہ اب وہاں پیسہ موجود ہے اور یہ اسے ایک بہت زیادہ پرکشش ہدف بناتا ہے۔ ماضی میں لوگ اپنی سیکیورٹی کی حفاظت کے لیے زیادہ متحرک نہیں رہے ہیں کیونکہ جب آپ اپنی رازداری کھو دیتے ہیں، جب آپ کی معلومات ہیک ہو جاتی ہیں، تو آپ کو فوری طور پر اس کا احساس نہیں ہوتا۔ اور اس کے بہت سے برے نتائج ہوتے ہیں، لیکن وہ نتائج براہ راست

نظر نہیں آتے اور فوری طور پر محسوس نہیں ہوتے۔ اگر کوئی آکر آپ کی ڈیجیٹل ڈیوائسز سے چند سو ڈالر یا چند ہزار ڈالر یا اس سے بھی بدتر، دسیوں ہزار ڈالر چرا لیتا ہے، تو آپ اسے محسوس کرتے ہیں، اور آپ اسے فوری طور پر محسوس کرتے ہیں۔ اور آپ اسے ٹھوس طور پر، یا خاص طور پر کہا جائے تو غیر محسوس طور پر جوڑ سکتے ہیں۔ آپ اسے غیر محسوس طور پر، لیکن بہت، بہت نمایاں طور پر اپنی سیکیورٹی سے جوڑ سکتے ہیں۔ تو یہ ان چیزوں میں سے ایک ہے جو بدقسمتی سے ایک ایسا سبق ہے جو واقعی صرف ایک تکلیف دہ تجربے کے ذریعے ہی سیکھا جاتا ہے۔ اور اس لیے میں نئے آنے والوں کو یہ بتانے میں بہت وقت صرف کر سکتا ہوں کہ اپنے اکاؤنٹس کو کیسے اور کیوں محفوظ بنایا جائے۔ جب تک کہ وہ اپنی کسی ڈیوائس پر کرپٹو کرنسی ہاٹ والیٹ انسٹال نہ کر لیں، اور پھر اس ہاٹ والیٹ میں موجود رقم کھو نہ دیں۔ یہ سمجھنا، یا میں جس بارے میں بات کر رہا ہوں اس سے متحرک ہونا بہت مشکل ہے۔ اب، اس پوری گفتگو میں سمجھنے کے لیے جو دوسری چیز واقعی اہم ہے وہ یہ ہے کہ سیکیورٹی

ایک توازن ہے۔ یہ سب توازن کے بارے میں ہے۔ یہ رسک مینجمنٹ (خطرے کا انتظام) ہے۔ 100% سیکیورٹی جیسی کوئی چیز نہیں ہے۔ کامل سیکیورٹی جیسی کوئی چیز نہیں ہے۔ اور آپ تمام خطرات سے محفوظ نہیں رہ سکتے۔ آپ کو یہ جاننا ہوگا کہ آپ کو کن خطرات کا سامنا ہے۔ آپ کو یہ معلوم کرنا ہوگا کہ آپ حقیقت میں ان میں سے کتنے خطرات سے بچ سکتے ہیں اور آپ ان خطرات سے بچنے کے لیے کتنی کوشش کرنے جا رہے ہیں، اس بات پر منحصر ہے کہ آپ اصل میں کس چیز کی حفاظت کر رہے ہیں۔ آپ کو یہ بھی معلوم کرنا ہوگا کہ جب آپ جو حل بنا رہے ہیں، جو سسٹمز آپ استعمال کر رہے ہیں وہ اتنے پیچیدہ ہو جاتے ہیں، کہ وہ بذات خود ایک سیکیورٹی رسک بن جاتے ہیں۔ اور ہم اکثر نئے آنے والوں کو دیکھتے ہیں، خاص طور پر کرپٹو کرنسیوں کی جگہ میں، ایسے حل بناتے ہیں جو بہت زیادہ پیچیدہ ہوتے ہیں۔ اور پھر ہم سیکیورٹی اور لچک کے توازن کے غلط رخ پر جا پہنچتے ہیں۔ جہاں آپ کی کرپٹو کرنسی کو محفوظ بنانے کا طریقہ کار اتنا پیچیدہ ہوتا ہے کہ درحقیقت، آپ آخر کار

اسے کھو دیتے ہیں کیونکہ آپ کوئی ایسی چیز استعمال کر رہے ہیں جو غیر معیاری ہے، کیونکہ آپ پاس ورڈ بھول جاتے ہیں، کیونکہ کوئی نہیں جانتا کہ آپ نے بالکل کیا کیا اور آپ ان کی مدد کے لیے دستیاب نہیں ہیں۔ لہذا سیکیورٹی سو فیصد حاصل نہیں کی جا سکتی اور یہ سب توازن کے بارے میں ہے۔ اور سادگی اکثر سیکیورٹی کا ایک اہم عنصر ہوتی ہے۔ سیکیورٹی کے سادہ حل جنہیں آپ اپنی تکنیکی مہارتوں کے دائرے میں لاگو کر سکتے ہیں، اور آپ انہیں مستقل طور پر لاگو کر سکتے ہیں۔ اور اگر آپ کو مسائل درپیش ہوں تو آپ ان سے بحال ہو سکتے ہیں، وہ ان پیچیدہ سیکیورٹی حلوں سے بہتر ہیں جو آپ کو اپنی مہارت کی سطح سے تجاوز کرنے پر مجبور کرتے ہیں، آپ کو نامعلوم علاقے میں ڈال دیتے ہیں اور اس بات کا امکان بڑھا دیتے ہیں کہ آپ غلطی کریں گے۔ یہ اکثر ایک ایسی چیز ہے جس کے بارے میں آپ سنتے ہیں، اس پر بہت سی بری تجاویز دی جاتی ہیں۔ لوگ آپ کو ایک ایسی سیکیورٹی اسکیم نافذ کرنے کا مشورہ دیں گے جو بظاہر بہت، بہت پیچیدہ لگتی ہے۔ اور چونکہ یہ اتنی پیچیدہ ہے، اس لیے یہ محفوظ محسوس ہوتی ہے۔ ایسا لگتا ہے کہ وہاں ایک

سیکیورٹی کو سادہ رکھنا (8:40)

بہت کچھ ہو رہا ہے، اس لیے یہ بہت پیچیدہ اور سنجیدہ ہونا چاہیے۔ اور بہت سے معاملات میں، آپ اپنی تکنیکی صلاحیت سے تجاوز کر جائیں گے اور درحقیقت پیسے کھو دیں گے، چوری کی وجہ سے نہیں، بلکہ اس غلطی کی وجہ سے جو آپ کرتے ہیں کیونکہ آپ اپنی مہارت کی سطح سے باہر کام کر رہے ہیں۔ تو آئیے اسے سادہ رکھیں۔ آئیے اسے معیارات پر مبنی رکھیں۔ آئیے بہترین طریقوں، عام ٹولز کا استعمال کریں اور انہیں مستقل طور پر استعمال کریں۔ تاکہ ہم بہت محفوظ رہ سکیں۔ ہم سیدھے، ہم سیدھے پہلے سوال کی طرف جائیں گے۔ اب تک اسٹریم پر 220 لوگ موجود ہیں۔ ویڈیو اور آڈیو پر مجھے فیڈ بیک دینے کا شکریہ۔ یہ جاننا ہمیشہ اچھا ہوتا ہے۔ بس آپ کی معلومات کے لیے، آج اس مقام پر بجلی کی تھوڑی سی بندش ہوئی ہے، اور اگر ہماری بجلی چلی جاتی ہے، تو آپ کو معلوم ہو جائے گا کیونکہ اسٹریم رک جائے گی۔ اور انٹرنیٹ راؤٹر اور وائی فائی کو کم از کم پانچ منٹ لگتے ہیں تاکہ وہ

ریبوٹ ہو سکیں۔ میں شاید واپس آ سکوں، یہاں تک کہ اگر یہ صرف ایک سیکنڈ کی بجلی کی بندش ہو، مجھے واپس آنے سے پہلے پانچ منٹ انتظار کرنا پڑے گا۔ اگر میں واپس نہیں آ سکا، تو ہم آپ کو چیٹ میں بتا دیں گے۔ تو براہ کرم صبر کریں اور مجھے امید ہے کہ ہم منقطع نہیں ہوں گے۔ لیکن آپ جانتے ہیں کہ یہ ان خطرات میں سے ایک ہے جن کا ہمیں آج انتظام کرنا ہے۔ آئیے آج کے اپنے پہلے سوال کی طرف چلتے ہیں۔ پہلا سوال گمنام (anonymous) کی طرف سے آیا ہے اور اپنا سوال پوچھنے کے لیے گمنام لفظ کا انتخاب کرنا سیکیورٹی کا پہلا اور اچھا طریقہ ہے۔ اگر میں ڈسلیکسیا (dyslexia) کا شکار ہوں اور لمبے پاس ورڈز یاد رکھنے میں اچھا نہیں ہوں تو بہت سے منفرد، مضبوط پاس ورڈز کو منظم کرنے کا بہترین طریقہ کیا ہے؟ یہ ایک زبردست سوال ہے۔ یہ ایک زبردست سوال ہے کیونکہ یہ ایک وسیع تر مسئلے کی بات کرتا ہے، جو کہ چیزوں کو یاد رکھنے کی دشواری ہے۔ اور ہم سب سوچتے ہیں کہ ہم اس سے بہتر یاد رکھ سکتے ہیں جتنا

ہم درحقیقت کر سکتے ہیں۔ اور ہم میں سے کچھ کو یادداشت یا پڑھنے یا لکھنے یا کسی دوسری مہارت میں دشواری ہوتی ہے جو پاس ورڈز کو یاد رکھنے میں ہماری مدد کرتی ہے۔ اور شاید وہ جانتے ہیں کہ وہ بہت اچھی طرح یاد نہیں رکھ سکتے۔ تو گمنام یہ سوال ایک ایسے شخص کے نقطہ نظر سے پوچھتا ہے جو ڈسلیکسیا کا شکار ہے، لیکن، یہ سب پر یکساں طور پر لاگو ہوتا ہے۔ ہر وہ شخص جس کی انسانی یادداشت غلطی کا شکار ہو سکتی ہے۔ انسان طویل عرصے تک یاد رکھنے میں واقعی بہت برے ہیں، خاص طور پر وہ چیزیں جو یادگار نہیں ہیں کیونکہ وہ تصاویر، تجربات، یا جذبات سے منسلک نہیں ہیں۔ ان چیزوں کو یاد رکھنا جن کا ہماری زندگی سے کوئی تعلق نہیں ہے تقریباً ناممکن ہے کیونکہ ہمارا دماغ غیر متعلقہ معلومات کو ہٹانے میں بہت اچھا ہے۔ اگر آپ کے پاس کوئی جذبہ، کوئی تجربہ، کوئی تصویر اس چیز سے منسلک نہیں ہے جسے آپ یاد رکھنے کی کوشش کر رہے ہیں، تو دماغ کہے گا، یہ اب میرے کیشنگ الگورتھم (caching algorithm) سے متعلق نہیں ہے اور اسے چھوڑ دے گا۔ اور بہت سے

لوگ پاس ورڈز بالکل اسی وجہ سے بھول جاتے ہیں۔ تو میں دراصل اس سوال کا زیادہ وسیع پیمانے پر جواب دینے اور لوگوں کو پاس ورڈز کے بنیادی اصولوں کی بنیاد فراہم کرنے میں مدد کے لیے یہاں کچھ وسائل استعمال کرنے جا رہا ہوں۔ تو اس کے لیے، میں کچھ بصری امداد (visual aids) استعمال کروں گا۔ میں عام طور پر بصری امداد استعمال نہیں کرتا، لیکن مجھے لگتا ہے کہ وہ اس خاص معاملے میں مفید ہوں گی۔ دیکھتے ہیں یہ کیسا رہتا ہے۔ ٹھیک ہے، تو پہلی چیز جس کے بارے میں ہم بات کرنے جا رہے ہیں، وہ پاس ورڈ مینجمنٹ سسٹمز ہیں۔ دہائیوں سے، ہم صارفین کو طویل، بے ترتیب الفانیومرک (alphanumeric) پاس ورڈز بنانے کی تربیت دے رہے ہیں جن میں حروف کی ایک وسیع رینج شامل ہو۔ یہ وہ پاس ورڈز ہیں جو انسان یاد نہیں رکھ سکتے۔ یہ وہ پاس ورڈز ہیں جو دراصل برے رویے کی حوصلہ افزائی کرتے ہیں۔ وہ ایسے رویے کی حوصلہ افزائی کرتے ہیں جہاں آپ وہی چالاک پیٹرن استعمال کرتے ہیں، Satoshi Nakamoto جس میں O کی جگہ صفر لگا دیا جاتا ہے اور دوسرے لفظ کا پہلا حرف بڑا کر دیا جاتا ہے اور T کی جگہ

سات لگا دیا جاتا ہے اور آخر میں ہیش پاؤنڈ لگا دیا جاتا ہے۔ اور اب آپ کے پاس نمبرز، چھوٹے حروف، بڑے حروف اور لیٹرز آ گئے ہیں۔ لیکن اگر آپ کو اسے ایک سے زیادہ سائٹس پر استعمال کرنا ہے، تو آپ ایک چھوٹی سی تبدیلی کرتے ہیں۔ پھر آپ کو شاید آخر میں ایک نمبر شامل کرنا پڑے۔ اور پھر آپ اس واقعی مشکل یادداشت کے مسئلے کا شکار ہو جاتے ہیں، جو یہ ہے کہ سائٹس آپ کو تغیر (variation) پیدا کرنے پر مجبور کر رہی ہیں، لیکن تغیر آپ کے لیے درحقیقت یاد رکھنا ناممکن بنا دیتا ہے، خاص طور پر اس پیچیدگی کے پاس ورڈ کے ساتھ۔ اور اس طرح آپ بہت سی سائٹس پر اپنا پاس ورڈ دوبارہ استعمال کرنے لگتے ہیں۔ تقریباً ہر کوئی یہی کرتا ہے۔ اور یہ سیکیورٹی کے لیے بہت، بہت برا ہے۔ اب، اس مسئلے کو حل کرنے کا طریقہ سمجھنے کے لیے بہترین وسائل میں سے ایک دراصل ایک کارٹون ہے۔ تو میں جو کرنے جا رہا ہوں وہ آپ کو دو مشورے دینا ہے۔ پہلا یہ ہے کہ اپنے پاس ورڈز خود بنانے کی کوشش نہ کریں،

پاس ورڈ مینیجرز (13:50)

پاس ورڈ مینیجر استعمال کریں۔ پاس ورڈ مینیجر ایک ایسا سافٹ ویئر ہے جو آپ کے لیے بے ترتیب پاس ورڈز بناتا ہے اور انہیں آپ کے لیے یاد رکھتا ہے۔ یہ سسٹمز دو مسائل حل کرتے ہیں، انسانی یادداشت غلطی کر سکتی ہے اور انسانی بے ترتیبی اس سے بھی بدتر ہے۔ ہم بے ترتیبی پیدا کرنے میں بہت برے ہیں۔ ہم یاد رکھنے میں بہت برے ہیں اور بے ترتیب چیزوں کو یاد رکھنے میں تو دوگنا برے ہیں۔ لہذا آپ زیادہ نظم و ضبط، زیادہ ذہین، یا زیادہ محتاط ہو کر اس مسئلے کو حل نہیں کر سکتے۔ آپ اپنی اسکرین پر پوسٹ-اٹس (post-its) چپکا کر اور وہ سب کچھ کر کے اسے حل نہیں کر سکتے جو آپ یہاں دیکھتے ہیں، ٹھیک ہے؟ جو آپ دفاتر میں ہر وقت دیکھتے ہیں۔ پاس ورڈ لکھنا کوئی برا خیال نہیں ہے۔ بشرطیکہ وہ جگہ جہاں آپ اسے لکھ رہے ہیں واقعی محفوظ ہو۔ لہذا پاس ورڈ مینیجر کی سب سے بنیادی شکل ایک چھوٹی سی کتاب، یعنی پاس ورڈ بک ہے۔ اور، آپ جانتے ہیں، جتنا میں یہ کہوں گا کہ یہ بہت جدید نہیں ہے، یہ

تکنیکی لحاظ سے بہت زیادہ ترقی یافتہ نہیں ہے، اور یہ بے ترتیب پاس ورڈ بنانے کا مسئلہ حل نہیں کرتی۔ سچ کہوں تو یہ وہی حل ہے جو میرے والدین استعمال کرتے ہیں۔ کیونکہ اگر وہ اسے لکھ لیتے ہیں، تو وہ اپنے پاس ورڈز میں زیادہ تنوع رکھ سکتے ہیں۔ اور اگر وہ اس چھوٹی سی کتابچے کو کسی محفوظ جگہ پر رکھتے ہیں، جیسے مثال کے طور پر، گھر میں، کسی مقفل دراز میں یا اس جیسی کسی جگہ پر، تو یہ کافی پائیدار طریقہ کار ہے۔ اب، آپ میں سے زیادہ تر لوگ شاید میرے والدین سے زیادہ تکنیکی طور پر سمجھدار ہیں۔ تو آئیے آپ کے لیے ایک بہتر حل کے بارے میں بات کرتے ہیں۔ لہذا ایک بہتر حل یہ ہے کہ آپ کے لیے یہ کام کرنے کے لیے ایک سافٹ ویئر ڈاؤن لوڈ کیا جائے۔ پاس ورڈ مینیجرز کی ایک پوری رینج موجود ہے۔ اور اچھی خبر یہ ہے کہ بنیادی فعالیت کے لیے، یہ مفت ہیں۔ آپ LastPass، 1Password، Bitwarden، اور دیگر کئی اقسام جیسے KeePass وغیرہ جیسی پروڈکٹس استعمال کر سکتے ہیں۔ اب، ان میں

بہت سی مختلف خصوصیات ہوں گی اور آپ کو یہ معلوم کرنا ہوگا کہ آپ کو دراصل کن خصوصیات کی ضرورت ہے۔ میرا مشورہ یہ ہے کہ اس بات کا تعین کرنے سے شروعات کریں کہ آپ کو اسے کس قسم کی ڈیوائسز پر استعمال کرنے کی ضرورت ہے، کیونکہ پاس ورڈ مینیجر استعمال کرنے کا ایک بڑا فائدہ دراصل یہ ہے کہ آپ اپنے تمام پاس ورڈز کو اپنی تمام ڈیوائسز پر ہم آہنگ رکھ سکتے ہیں۔ لہذا اگر آپ Windows، Android اور iOS استعمال کرتے ہیں، تو یہ شاید آسان ہے۔ تمام پاس ورڈ مینیجرز ان تمام پلیٹ فارمز کو سپورٹ کریں گے اور آپ کا کام چل جائے گا۔ آپ یہ بھی چاہیں گے کہ یہ ان براؤزرز پر بھی سپورٹ فراہم کرے جو آپ استعمال کرتے ہیں۔ جیسے Chrome، Firefox، Edge، Opera، Brave، یا جو کچھ بھی آپ ایکسٹینشن کے طور پر استعمال کر رہے ہیں، تاکہ آپ ویب فارمز میں خود بخود پاس ورڈز بھر سکیں اور جمع کروا سکیں۔ میرا خیال ہے کہ آپ سب نے دیکھا کہ میرے ویڈیو کیمرے کا کارڈ ابھی فل ہو گیا ہے۔ بالکل لائیو اسٹریم کے دوران، یہ

کافی مددگار تھا۔ جی ہاں میرا SD کارڈ ابھی فل ہو گیا ہے، اس لیے اب میں کیمرے پر ریکارڈنگ نہیں کر رہا ہوں۔ اوہ۔ خیر، کوئی بات نہیں۔ آئیے جاری رکھتے ہیں۔ لہذا پاس ورڈ مینیجر کا انتخاب کرنے کے طریقوں میں سے ایک یہ معلوم کرنا ہے کہ آپ کو کن ڈیوائسز کو سپورٹ کرنے کی ضرورت ہے۔ اور اگر آپ کے پاس کچھ عجیب و غریب ڈیوائسز ہیں تو یہ قدرے مشکل ہو جاتا ہے۔ مثال کے طور پر، میں ڈیسک ٹاپ پر Linux استعمال کرتا ہوں۔ میں کافی عرصے سے ڈیسک ٹاپ پر Linux استعمال کر رہا ہوں۔ اور، آپ جانتے ہیں، مجھے لگتا ہے کہ یہ سال دراصل ڈیسک ٹاپ پر Linux کا سال ہے۔ لوگو، ایسا ہونے والا ہے۔ نہیں، ایسا نہیں ہے۔ لیکن بہرحال، میں اسے استعمال کرتا ہوں، یہ میرے لیے کام کرتا ہے، لیکن اسے وسیع پیمانے پر سپورٹ حاصل نہیں ہے۔ لہذا تمام پاس ورڈ مینیجرز Linux ڈیسک ٹاپس پر کام نہیں کرتے یا اچھی طرح کام نہیں کرتے۔ خوش قسمتی سے، زیادہ تر پاس ورڈ مینیجرز براؤزر میں براؤزر ایکسٹینشن کے طور پر کام کرتے ہیں، جو انہیں زیادہ تر کراس پلیٹ فارم بناتا ہے۔ لہذا میرے لیے، ایک

مختلف آلات پر پاس ورڈ مینیجر کا انتخاب کرنا (18:22)

پاس ورڈ مینیجر کو Android، Windows، Linux، Chrome، Firefox اور iOS وغیرہ پر کام کرنے کی ضرورت ہوتی ہے۔ تاکہ میں اسے اپنے تمام آلات پر انسٹال کر سکوں اور اس طرح اپنے تمام آلات پر اپنے تمام پاس ورڈز تک رسائی حاصل کر سکوں۔ ٹھیک ہے۔ تو گمنام کی طرف سے پوچھے گئے سوال کا جواب دینے کے لیے، اگر میں ڈسلیکسیا کا شکار ہوں اور لمبے پاس ورڈز یاد رکھنے میں اچھا نہیں ہوں تو بہت سے منفرد، مضبوط پاس ورڈز کو منظم کرنے کا بہترین طریقہ کیا ہے؟ بہترین طریقہ ایک پاس ورڈ مینیجر کا استعمال ہے، جو آپ کے لیے بے ترتیبی سے منفرد، مضبوط پاس ورڈز تیار کرتا ہے۔ اور، ایک بار جب آپ پاس ورڈ مینیجر منتخب کر لیتے ہیں، تو آپ ایک پاس ورڈ سیٹ کرتے ہیں اور وہ ایک پاس ورڈ آپ کے پاس ورڈ مینیجر کا پاس ورڈ ہوتا ہے۔ میں یہ بھی مشورہ دوں گا کہ آپ ٹو فیکٹر تصدیقی طریقہ کار استعمال کریں تاکہ کوئی بھی شخص صرف اس ایک پاس ورڈ کا استعمال کرتے ہوئے لاگ ان کر کے آپ کی پاس ورڈ فائل ڈاؤن لوڈ نہ کر سکے۔ آپ کو تصدیق کے دوسرے عنصر کی ضرورت ہے۔ ہم بات کریں گے

آج اس ویڈیو کے دوسرے حصے میں اس بارے میں۔ ہمارے پاس سامعین کی طرف سے ایک فالو اپ سوال بھی ہے، جو یہ ہے کہ میں اس سافٹ ویئر پر کیسے بھروسہ کروں؟ ٹھیک ہے، اس کا آسان جواب یہ ہے کہ آپ ایسے سافٹ ویئر کی تلاش میں ہیں جو یا تو وسیع پیمانے پر استعمال ہوتا ہو، سیکیورٹی پیشہ ور افراد کے ذریعے اس کا جائزہ لیا گیا ہو اور آڈٹ کیا گیا ہو، یا اوپن سورس ہو یا یہ سب خصوصیات رکھتا ہو۔ اور مجھے لگتا ہے کہ جن کا میں نے پہلے ذکر کیا ہے وہ سب ان تقاضوں کو پورا کرتے ہیں۔ اب اس بات کی طرف واپس آتے ہیں جس کا میں نے پہلے ذکر کیا تھا، جو یہ ہے کہ، یاد رکھیں جب میں نے کہا تھا کہ سیکیورٹی سو فیصد نہیں ہوتی اور سیکیورٹی خطرے کو متوازن کرنے اور کم کرنے کا معاملہ ہے۔ تو اب ان دو خطرات کو سامنے رکھتے ہیں۔ پہلا خطرہ، کیا میں پاس ورڈ مینیجر پر بھروسہ کر سکتا ہوں؟ اور کیا ہوگا اگر میں جو پاس ورڈ مینیجر ڈاؤن لوڈ کرتا ہوں وہ ہیک ہو جائے یا ہیک ہونے کے قابل ہو، یا اس میں کوئی ایسا بگ ہو جسے لاکھوں دوسرے صارفین اور سیکیورٹی پیشہ ور افراد نے محسوس نہ کیا ہو جو

اس کا جائزہ لے رہے ہیں؟ دوسرا خطرہ، کیا میں اپنے دماغ پر بھروسہ کر سکتا ہوں؟ ٹھیک ہے، اگر آپ اسے اس طرح دیکھیں، تو یہ واضح ہو جاتا ہے کہ یہاں مسئلہ یہ ہے کہ کوئی بھی پاس ورڈ مینیجر نہ ہونے سے بہتر ہے۔ یہ اسی قسم کا رسک مینجمنٹ ہے جو ہم کرپٹو کرنسی میں ہارڈویئر والیٹ بمقابلہ سافٹ ویئر والیٹ کے بارے میں بات کرتے وقت کرتے ہیں۔ کیا میں ہارڈویئر والیٹ بنانے والے پر بھروسہ کر سکتا ہوں؟ ٹھیک ہے، کچھ حد تک، سو فیصد نہیں۔ وہاں کچھ خطرات ہیں۔ ان خطرات کا موازنہ ہارڈویئر والیٹ نہ ہونے سے کیسے کیا جا سکتا ہے؟ اور پھر، جواب یہ ہے کہ کوئی بھی ہارڈویئر والیٹ نہ ہونے سے بہتر ہے۔ تو وہ کون سے خطرات ہیں جنہیں آپ واقعی سنبھال سکتے ہیں؟ جب آپ یہ پاس ورڈ مینیجر حاصل کرتے ہیں تو یہ ضروری ہے کہ آپ یقینی بنائیں کہ آپ کے پاس درست سافٹ ویئر ہے۔ کہ آپ اسے کسی بھی غیر متعلقہ ویب سائٹ سے، Groupon کوپن کے ساتھ، کسی ایسی چیز کے لیے ڈاؤن لوڈ نہ کریں جو ویسے بھی مفت تھی، اور

پھر اپنے سسٹم پر ٹروجن (Trojan) لے آئیں۔ لیکن اصل بات کی طرف واپس آتے ہوئے، کوئی بھی پاس ورڈ مینیجر نہ ہونے سے بہتر ہے۔ اور اس لیے آپ کو منفرد پاس ورڈز بنانے کی کوشش نہیں کرنی چاہیے۔ اگر کوئی ویب سائٹ آپ سے آٹھ یا اس سے زیادہ حروف پر مشتمل الفانیومرک پاس ورڈ مانگتی ہے، تو آپ وہی کریں جو میں کرتا ہوں۔ آپ اس چھوٹے سے بٹن پر کلک کریں جس پر محفوظ پاس ورڈ بنائیں لکھا ہوتا ہے۔ آپ لمبائی کو 31 حروف، 75 حروف، 213 حروف پر سیٹ کریں۔ مجھے ویب سائٹس کے ساتھ کھیلنا پسند ہے تاکہ یہ دیکھ سکوں کہ میں اسے کتنا لمبا کر سکتا ہوں اس سے پہلے کہ وہ یہ چلانا شروع کر دیں کہ یہ بہت لمبا ہے۔ پاس ورڈ مینیجرز اور سسٹمز کے مجھ پر چلانے کے ان تمام سالوں کے بعد، کہ یہ کافی لمبا نہیں ہے۔ یہ کافی پیچیدہ نہیں ہے۔ میں دیکھنا چاہتا ہوں کہ ویب سائٹس یہ چلانا شروع کر دیں کہ یہ بہت لمبا ہے۔ یہ بہت پیچیدہ ہے۔ ارے بھائی، آپ کیا کر رہے ہیں؟ میرا ڈیٹا بیس اسے فٹ نہیں کر سکتا۔ تو ایک مضبوط بے ترتیب پاس ورڈ بنائیں۔ اب، کیا میں یہ پاس ورڈ یاد رکھ سکتا ہوں؟

بالکل نہیں۔ میرے پاس ورڈ مینیجرز میں 800 پاس ورڈز ہیں، وہ سب 20 حروف سے زیادہ ہیں، علامتوں، بڑے حروف، چھوٹے حروف اور نمبروں کے ساتھ مکمل طور پر بے ترتیب الفانیومرک ہیں۔ میرے لیے ان میں سے ایک کو بھی یاد رکھنا ناممکن ہے، تمام 800 تو دور کی بات ہے، لیکن مجھے اپنا ماسٹر پاس ورڈ یاد ہے۔ ٹھیک ہے، دیکھتے ہیں کہ ہمارے پاس اور کون سے سوالات ہیں۔ اور اپنے اگلے سوال کی طرف چلتے ہیں، جو مجھے اس اگلے موضوع کے بارے میں بات کرنے کا موقع دے گا جس پر میں بات کرنا چاہتا ہوں۔ گمنام پوچھتا ہے، کیا پاس ورڈز یا پاس فریزز کے لیے کوئی کم از کم قابل عمل سیکیورٹی معیارات ہیں جب میں ایک مضبوط پاس ورڈ جنریٹر استعمال کر رہا ہوں تو یہ بہت سی چیزوں کے لیے کام نہیں کرتا۔ ہاں۔ ویب سائٹس کی پاس ورڈز کے لیے مضحکہ خیز توقعات ہوتی ہیں، اور اکثر وہ بری توقعات ہوتی ہیں۔ وہ مثال کے طور پر، متضاد معلومات کی حوصلہ افزائی کرتی ہیں۔ میں آپ کو ایک مثال دیتا ہوں۔ اسے آٹھ حروف سے زیادہ ہونا چاہیے، علامتوں اور نمبروں کے ساتھ الفانیومرک، لیکن ہم نے فارم میں پیسٹ کرنے کو غیر فعال کر دیا ہے۔ کیا

پاس ورڈ کی خراب پالیسیاں (24:02)

آپ کیا کر رہے ہیں؟ آپ کیا کر رہے ہیں؟ آپ مجھ سے ایک پیچیدہ پاس ورڈ منتخب کرنے کا کیوں کہہ رہے ہیں جب کہ ظاہر ہے میں جنریٹر استعمال کرنے والا ہوں اور پھر مجھے اسے پیسٹ کرنے کی اجازت نہیں دے رہے ہیں۔ یا مجھے اسے فارم کے تصدیقی حصے میں پیسٹ کرنے کی اجازت نہیں دے رہے؟ کیا آپ پاگل ہیں؟ آپ کیا کر رہے ہیں؟ ایسا کرنا بند کریں۔ یا وہ دوسرے پاس ورڈ جو کہتے ہیں کہ آٹھ سے 12 حروف ہونے چاہئیں۔ واقعی؟ آپ چاہتے ہیں کہ میں اسے پیچیدہ بناؤں، لیکن بہت زیادہ پیچیدہ نہیں۔ تو میں 13 حروف کا پاس ورڈ رکھ سکتا ہوں جس کا کوئی مطلب نہیں بنتا۔ یا علامتوں کے عجیب و غریب مجموعے۔ اوہ ہاں، ہم علامتیں استعمال کر سکتے ہیں، لیکن صرف پاؤنڈ، فجائیہ اور ستارے (asterisks)۔ سنگل کوٹ اور ایٹ سائن (@) ہم قبول نہیں کرتے کیونکہ اس سے ہمارا ریجیکس (regex) کنفیوز ہو جائے گا۔ یہ سب واقعی، بہت ہی خراب پاس ورڈ پالیسیاں ہیں۔ یا ہر ماہ اپنی پاس ورڈ پالیسیاں تبدیل کریں، لیکن پچھلے مہینے استعمال ہونے والے کسی بھی پاس ورڈ کو دوبارہ استعمال نہ کریں اور انہیں

اسی طرح عجیب حد تک پیچیدہ رکھیں۔ یہ سب عجیب و غریب پاس ورڈ پالیسیاں ہیں اور آپ کو ان میں سے بہت سی دیکھنے کو ملیں گی۔ لبِ لباب یہ ہے کہ آپ مختلف کمپنیوں کی مختلف ویب سائٹس سے یہ توقع نہیں کر سکتے، جن کی سیکیورٹی ٹیمیں، سیکیورٹی پالیسیاں اور سیکیورٹی کے حوالے سے آگاہی کی سطح مختلف ہوتی ہے، کہ وہ ایک ایسی اچھی پالیسی وضع کریں جو ان کے زیادہ تر صارفین کے لیے کارآمد ہو۔ یاد رکھیں، وہ ایسے صارفین کے ساتھ کام کرنے کی کوشش کر رہے ہیں جن میں وہ لوگ بھی شامل ہیں جو اپنے پاس ورڈ مینیجر سے 37 حروف پر مشتمل بے ترتیب (random) پاس ورڈ ڈالنے کی کوشش کر رہے ہیں اور وہ بھی جو ایک، دو، تین، چار، پانچ، چھ، سات، آٹھ لکھتے ہیں۔ جو بظاہر انٹرنیٹ پر سب سے عام پاس ورڈ ہے یا پاس ورڈ ایک، دو، تین، چار، جو میرے خیال میں انٹرنیٹ پر دوسرا سب سے عام پاس ورڈ ہے۔ لہذا ایک ایسی پالیسی تلاش کرنا جو ان تمام لوگوں کے لیے کارآمد ہو، سائٹس کے لیے ایسا کرنا بہت، بہت مشکل ہے۔ تو میں کیا کرتا ہوں

کہ میں بس کوشش کرتا رہتا ہوں۔ میں اپنی پسند کا ایک تصادفی طور پر تیار کردہ (randomly generated) پاس ورڈ ڈالتا ہوں، آپ جانتے ہیں، 37 حروف اور تمام علامتوں والا۔ اور پھر ویب سائٹ شکایت کرے گی اور کہے گی، مجھے واقعی ستارے (asterisks) پسند نہیں ہیں، آپ میرے ساتھ ایسا کیوں کر رہے ہیں؟ تو میں کچھ علامتیں بند کر دوں گا یا یہ کہے گی کہ یہ بہت لمبا ہے، تو میں اسے چھوٹا کر دوں گا۔ یا یہ کہے گی، دراصل مجھے کم از کم دو بڑے حروف (capitals) بھی درکار ہیں، لیکن یہ کسی نمبر سے شروع نہیں ہو سکتا۔ اور میں سوچتا ہوں، اُف، حد ہے۔ میں بس تب تک کوشش کرتا رہوں گا جب تک کہ مجھے کوئی ایسا پاس ورڈ نہ مل جائے جو کام کرے۔ لیکن مجھے جو بھی ملے، اس میں دو چیزوں کی ضمانت ہوگی۔ یہ لمبا اور پیچیدہ ہوگا اور یہ مکمل طور پر بے ترتیب (randomly generated) ہوگا اور اسے بنانے یا یاد رکھنے کے لیے انسانی دماغ پر انحصار نہیں کرے گا۔ اور میں جتنی ممکن ہو سکے اتنی پیچیدگی استعمال کر رہا ہوں۔ ٹھیک ہے، تو گمنام (anonymous)

ہمارے لیے اگلا سوال پوچھتا ہے، جو مجھے اس گفتگو کو جاری رکھنے کا موقع دیتا ہے۔ شاید ایک بیوقوفانہ سوال ہو، لیکن کیا پاس ورڈ مینیجر کلاؤڈ میں واقع نہیں ہوتا اور اس لیے ہیکرز کے لیے آسانی سے نشانہ بن سکتا ہے؟ بہت اچھا سوال ہے گمنام۔ یہاں بتایا گیا ہے کہ یہ ڈیوائسز کیسے کام کرتی ہیں۔ آپ کے پاس ورڈ ڈیٹا بیس کا بیک اپ کلاؤڈ پر محفوظ ہوتا ہے۔ تاہم، وہ بیک اپ خفیہ کاری شدہ ہوتا ہے اور یہ اینڈ ٹو اینڈ خفیہ کاری شدہ ہوتا ہے۔ جس کا مطلب ہے کہ یہ آپ کی مقامی مشین پر خفیہ کاری شدہ ہوتا ہے۔ یہ کلاؤڈ پر خفیہ کاری شدہ حالت میں بھیجا جاتا ہے، اور اسے دوبارہ صرف آپ کی مقامی مشین پر ہی رمز کشائی کیا جاتا ہے۔ اسے خفیہ کاری اور رمز کشائی کرنے کا طریقہ آپ کا ماسٹر پاس ورڈ استعمال کرنا ہے۔ اور وہ ماسٹر پاس ورڈ خود ایک اسٹریچر (stretcher) کہلانے والے عمل سے گزرتا ہے۔ اور اسٹریچر جو کرتا ہے وہ یہ ہے کہ یہ ایک پاس ورڈ اسٹریچنگ الگورتھم لیتا ہے اگر آپ چاہیں، دراصل یہ ایک ہیشنگ الگورتھم ہے۔ یہ کیا کرتا ہے کہ یہ ان الفاظ یا حروف کو لیتا ہے جو آپ اپنے ماسٹر کے طور پر ٹائپ کرتے ہیں

پاس ورڈ، اور پھر اسے ہیشنگ کے ہزاروں راؤنڈز سے گزارتا ہے۔ اب اس میں وقت لگتا ہے اور اس کا نتیجہ ایک ایسا پاس ورڈ ہوتا ہے جسے بروٹ فورس (brute force) نہیں کیا جا سکتا۔ کیونکہ فرض کریں کہ میں نے ایک پاس ورڈ ٹائپ کیا اور اسے ایک بار خفیہ کاری یا ہیش کیا اور پھر اسے سرور پر بھیج دیا۔ بہت خوب، یہ ایک مشکل، بلکہ کافی آسان حملے کا شکار ہو سکتا ہے، جسے رینبو ٹیبل (rainbow table) کہا جاتا ہے۔ اس کے بعد کیا ہوگا کہ حملہ آور وہ تمام سب سے عام پاس ورڈ لے گا جن کا آپ تصور کر سکتے ہیں، انہیں ہیش کرے گا اور ہیش کیے گئے پاس ورڈز کا ایک ڈیٹا بیس تیار کرے گا جسے اس حملے کے خلاف استعمال کیا جا سکتا ہے۔ اب، اگر دوسری طرف، یا میں بس بار بار مختلف پاس ورڈ آزما سکتا ہوں، جب تک کہ مجھے صحیح پاس ورڈ نہ مل جائے۔ ایک عام بروٹ فورس حملہ۔ لیکن اگر ہر پاس ورڈ کو 25,000 بار یا 50,000 بار، یا ایک لاکھ بار ہیش کیا جاتا ہے، تو ہر بار جب میں

پاس ورڈ ڈیٹا بیسز کی خفیہ کاری کیسے کی جاتی ہے (29:19)

میرے کمپیوٹر میں اسے ٹائپ کرنے میں دو سے تین سیکنڈ لگتے ہیں۔ جو میرے لیے کوئی بڑی بات نہیں ہے۔ پہلی بار جب میں اپنے براؤزر یا کمپیوٹر میں لاگ ان کرتا ہوں تاکہ اپنے پاس ورڈ مینیجرز کو شروع کر سکوں، تو دو سے تین سیکنڈ لگتے ہیں۔ لیکن اگر آپ کو ہر بار پاس ورڈ ٹائپ کرتے وقت دو سے تین سیکنڈ کا اضافہ کرنا پڑے، تو یہ اسے بروٹ فورس (brute force) کرنے کے طریقے کو مکمل طور پر خراب کر دیتا ہے۔ یہ پہلے سے شمار شدہ پاس ورڈ ہیشز کا ڈیٹا بیس بنانا بھی ناممکن بنا دیتا ہے، کیونکہ صرف چند ہزار ورژنز آزمانے میں بھی بہت زیادہ وقت لگے گا۔ اور اگر آپ کا ماسٹر پاس ورڈ کافی پیچیدہ ہے، تو اسے تیار کرنے میں صرف چند ہزار پاس ورڈ کے امتزاج سے کہیں زیادہ وقت لگتا ہے۔ لہذا پاس ورڈ ڈیٹا بیس کو عام طور پر ایک کافی سیدھے معیارات پر مبنی خفیہ کاری کے الگورتھم کے ساتھ انکرپٹ کیا جاتا ہے۔ AES256 شاید سب سے عام ہے جو اس کے لیے استعمال ہوتا ہے، لیکن یہ کچھ اس طرح کا

ہے۔ یہ ایک سمیٹرک خفیہ کاری کا الگورتھم ہے جو ڈیٹا کو انکرپٹ اور ڈکرپٹ کرنے کے لیے ایک ہی کلید، یعنی نجی کلید کا استعمال کرتا ہے۔ خفیہ کاری اور رمز کشائی کے لیے ایک ہی کلید استعمال ہوتی ہے، اسی لیے اسے سمیٹرک خفیہ کاری کا الگورتھم کہا جاتا ہے۔ اور وہ کلید آپ کے ماسٹر پاس فریز کو بار بار ہیشنگ کر کے تیار کی جاتی ہے۔ لہذا جب تک آپ صرف مقامی ڈیوائس پر اپنے ماسٹر پاس فریز کے ساتھ بات چیت کرتے ہیں، اور وہ ڈیوائس قابل اعتماد ہے، تو آپ کو اعلیٰ درجے کی حفاظت حاصل ہوتی ہے۔ ہاں، پاس ورڈ کا ڈیٹا بیس کلاؤڈ میں ہوتا ہے، لیکن یہ انکرپٹڈ ہوتا ہے اور کوئی بھی اسے اس وقت تک نہیں کھول سکتا جب تک کہ ان کے پاس آپ کا ماسٹر پاس فریز نہ ہو، جسے آپ کبھی بھی اپنی ڈیوائسز کے علاوہ کسی اور چیز پر ٹائپ نہیں کرتے۔ یقیناً، وہاں کچھ مسائل ہیں۔ کیونکہ اگر آپ کی مقامی ڈیوائس پر پاس ورڈ کی ورڈ لاگر موجود ہے، تو یہ آپ کو ماسٹر پاس فریز ٹائپ کرتے ہوئے پکڑ سکتا ہے۔ لیکن دلچسپ بات یہ ہے کہ یہ ہونے والا نہیں

کسی حملہ آور کے لیے کافی نہیں ہوگا اگر آپ کے پاس ٹو فیکٹر آتھنٹیکیشن (two-factor authentication) ہے اور اس کے حملہ آور کے لیے کافی نہ ہونے کی وجہ یہ ہے کہ وہ آپ کا ماسٹر پاس فریز تو حاصل کر سکتے ہیں، لیکن وہ دوسرے فیکٹر کی آتھنٹیکیشن کے بغیر کلاؤڈ سے انکرپٹڈ ڈیٹا بیس ڈاؤن لوڈ نہیں کر سکتے، جو امید ہے کہ آپ کی مشین یا کسی اور چیز سے منسلک ہوگا۔ اور ان کے پاس وہ دوسرا فیکٹر نہیں ہوتا، ٹو فیکٹر آتھنٹیکیشن کے بارے میں مزید بات ایک سیکنڈ میں کرتے ہیں۔ ہم تہیں (layers) بنا رہے ہیں۔ مجھے نہیں معلوم کہ آپ دیکھ رہے ہیں کہ ہم یہاں کیا کر رہے ہیں، لیکن ہاں، ہم ان تمام مسائل میں سے ہر ایک کو دیکھ رہے ہیں جو پیش آ سکتے ہیں اور ہم سیکیورٹی کی تہیں شامل کر رہے ہیں۔ سیکیورٹی کوئی ایسی چیز نہیں ہے کہ، اور یہاں ایک چیز ہے جو سب کچھ روک دیتی ہے۔ سیکیورٹی حملہ آور کے راستے میں رکاوٹیں کھڑی کرنے کا نام ہے۔ اور ہاں، آپ اس رکاوٹ کو توڑ سکتے ہیں، لیکن اس کے بالکل پیچھے ایک اور رکاوٹ ہے۔ اور پھر اگر آپ اس رکاوٹ کو توڑتے ہیں تو اس کے بالکل پیچھے، ایک اور

رکاوٹ ہے۔ اور اگر میں رکاوٹوں کو کافی مضبوط بنا دوں، بلکہ سیکیورٹی کی بہت سی تہیں، تہیں اور تہیں بھی بنا دوں، اور میں یہ بھی یقینی بناؤں کہ آپ کو ایک تہہ کو توڑنے کے لیے جن مہارتوں کی ضرورت ہے وہ دوسری تہہ کو توڑنے کے لیے درکار مہارتوں سے مختلف ہوں۔ اور میں اس بات کو یقینی بناتا ہوں کہ آپ کو ایک تہہ کو توڑنے کے لیے جن ٹولز اور بجٹ کی ضرورت ہے وہ دوسری سے مختلف ہوں۔ پھر آپ کے ان تمام تہوں سے گزرنے کے امکانات، میرے نوٹس کیے بغیر، میرے اسے روکے بغیر اور کامیابی سے گزرنے کے، یا یہاں تک کہ بہت سے، بہت سے متاثرین کے خلاف بڑے پیمانے پر ایسا کرنے کے امکانات بہت، بہت، بہت کم ہو جاتے ہیں۔ اور یہی اصل مقصد ہے۔ ٹھیک ہے، میں یہاں جلدی سے کافی پیتا ہوں اور چیٹس پر آپ کے ساتھ تھوڑی بات کرتا ہوں جبکہ میں دوسرے سوالات تلاش کرتا ہوں جو، ہاں، دوسرے سوالات جو آپ پوچھنا چاہیں گے۔ مجھے ایک

چھوٹا سا پیج لگانے دیں، میرا خیال ہے کہ وہ تمام سرپرست جو میرے لیے اس قسم کا تعلیمی مواد تیار کرنا ممکن بناتے ہیں جبکہ میں اپنے نئے مگ سے کافی پیتا ہوں جس پر لکھا ہے 'حکمرانوں کے بغیر اصول' (rules without rulers)۔ حال ہی میں میری زیادہ مقبول ہونے والی گفتگو میں سے ایک۔ یہ ایک چھوٹے سے نارنجی بٹ کوائن کے ساتھ آتا ہے۔ اوہ میرے خدا ہمیں اشتہارات دینا بند کریں، ہم آپ کا سامان خرید لیں گے۔ بس اچھے مواد کے ساتھ جاری رکھیں۔ ایک سیکنڈ میں۔ اور ہم واپس آ گئے ہیں۔ ٹھیک ہے میں اسے وہاں ایک طرف رکھ سکتا ہوں۔ میں اسے موڑ دوں گا تاکہ یہ اچھا لگے۔ یہ لیجیے۔ ٹھیک ہے۔ تو میں سوالات دیکھ رہا تھا تاکہ کوئی ایسا سوال تلاش کر سکوں جو مجھے اس چھوٹی سی کہانی کو جاری رکھنے کی اجازت دے اور وہ بھی ممکنہ حد تک مختصر انداز میں۔ تو اب آئیے پاس فریزز کے بارے میں بات کرتے ہیں اور اس کے لیے، میں بروس سے کچھ مدد لینے جا رہا ہوں جو پوچھتا ہے، والیٹ کے پاس فریزز کے طور پر مضبوط پاس ورڈز استعمال کرنے کے بارے میں کیا خیال ہے۔

والیٹ پاس فریزز اور BIP-39 (35:02)

اور یہاں بروس جس کے بارے میں بات کر رہے ہیں وہ ایک اختیاری پاس فریز ہے جو ان لوگوں کے لیے دستیاب ہے جو BIP-39 نیمونک فریز استعمال کرتے ہیں۔ اسے ۲۵واں لفظ بھی کہا جاتا ہے کیونکہ نیمونک فریزز ۲۴ الفاظ پر مشتمل ہوتے ہیں۔ اور نظریاتی طور پر، اگر آپ ۲۵واں لفظ شامل کرتے ہیں، لیکن میں اس کی بجائے ۲۵واں لفظ شامل نہیں کروں گا، ہم اسے وہی کہیں گے جو یہ دراصل ہے، یعنی ایک اختیاری پاس فریز، اور یہ ایک سے زیادہ الفاظ پر مشتمل ہو سکتا ہے۔ تو یہ ایک والیٹ پاس فریز ہے۔ یہ ایک اضافی اختیاری پاس فریز ہے جسے آپ اپنے نیمونک فریز میں شامل کرتے ہیں تاکہ نیمونک فریز کا ایک دوسرا فیکٹر (second factor) بن جائے۔ تاکہ اگر کوئی آپ کے دفتر میں کاغذ کے ٹکڑے پر لکھے ہوئے ۲۴ الفاظ چرا لے، مثال کے طور پر، تو وہ فوری طور پر آپ کی رقم نہیں لے سکتا کیونکہ وہاں ایک والیٹ پاس فریز موجود ہے۔ اب، یاد کریں جب ہم ایک پاس ورڈ کے بارے میں بات کر رہے تھے، وہ ماسٹر پاس ورڈ جو

پاس ورڈ مینیجر میں استعمال ہوتا ہے۔ اور ہم نے کہا تھا کہ اسے بار بار ہیش کیا جاتا ہے اور یہ بروٹ فورسنگ کو روکتا ہے۔ بالکل یہی کام BIP-39 معیار میں اختیاری پاس فریز اور نیمونک فریز کے ساتھ کیا جاتا ہے۔ ایک پاس ورڈ اسٹریچنگ الگورتھم جسے PBKDF2 کہا جاتا ہے، اسے SHA-512 کے ۲۰۰۰ راؤنڈز لاگو کر کے SHA-512 کے ساتھ اسٹریچ کرنے کے لیے استعمال کیا جاتا ہے۔ اب یہ تھوڑا سا سمجھوتہ ہے، یہ BIP-39 معیار میں ایک سمجھوتہ ہے کیونکہ BIP-39 معیار، جو والیٹس کے لیے نیمونک فریز کا معیار ہے، اسے ہارڈویئر والیٹ ڈیوائسز پر چلنے کے قابل ہونا چاہیے، جو کہ اتنی بڑی چھوٹی USB ڈیوائسز ہوتی ہیں اور جن میں زیادہ پروسیسنگ پاور نہیں ہوتی۔ لہذا دراصل SHA-512 کے ۲۰۰۰ راؤنڈز چلانے میں چند سیکنڈ لگتے ہیں۔ دو، تین سیکنڈ۔ اب اس کا مطلب یہ ہے کہ، بدقسمتی سے یہ بہت اچھا تحفظ نہیں ہے، یہ مناسب ہے، لیکن اسے بروٹ

فورس کیا جا سکتا ہے اگر آپ کے پاس بہت زیادہ طاقتور کمپیوٹر ہو۔ لہذا اگر آپ مثال کے طور پر GPU استعمال کرتے ہیں، یا اس سے بھی بہتر، SHA-512 کے لیے ڈیزائن کیا گیا ASIC یا SHA-512 کے لیے FPGA ڈیوائس استعمال کرتے ہیں، تو آپ دراصل ایک سیکنڈ کے کچھ حصے میں ۲۰۰۰ راؤنڈز کر سکتے ہیں۔ اور اس لیے آپ ایک ہی سیڈ (seed) پر فی سیکنڈ سینکڑوں، شاید ہزاروں پاس ورڈز یا پاس فریزز آزما سکتے ہیں۔ جو آپ کو بجٹ میں مناسب ہارڈویئر کے ساتھ، ایک اختیاری پاس فریز والے BIP-39 نیمونک پر حملہ کرنے کی اجازت دے گا۔ لیکن پھر بھی، یہ معمولی بات نہیں ہے۔ لہذا ہم تہوں (layers) کے بارے میں بات کر رہے ہیں۔ تو آئیے پاس فریزز کے بارے میں بات کرتے ہیں۔ ہم پاس ورڈ کے بجائے پاس فریز کی اصطلاح استعمال کرتے ہیں تاکہ یہ ظاہر کیا جا سکے کہ یہ کوئی ایک لفظ نہیں ہے۔ یہ دراصل ایک فقرہ (phrase) ہے۔ بالکل اسی طرح جیسے نیمونک فریز ایک فقرہ ہوتا ہے۔ یہ الفاظ کا ایک سلسلہ ہے، جو خالی جگہوں (spaces) سے الگ ہوتے ہیں۔ اور یہ اسے یاد رکھنے کے ساتھ ساتھ

لکھنے اور پڑھنے میں بہت آسان بناتا ہے، یہاں تک کہ اگر یہ تھوڑا سا خراب بھی ہو جائے تب بھی اسے پڑھا جا سکتا ہے۔ معلوم ہوا ہے کہ انسان پیٹرن کی شناخت میں بہت، بہت اچھے ہوتے ہیں۔ لہذا اگر آپ اپنی لکھائی میں، چھوٹے حروف (lower case) میں الفاظ کا ایک سلسلہ لکھتے ہیں، تو آپ اسے پڑھ سکتے ہیں، یہاں تک کہ اگر لفظ کا دو تہائی حصہ مٹ بھی جائے، یا آپ کافی حد تک درست اندازہ لگا سکتے ہیں۔ اور اگر الفاظ آپ کے لیے کوئی معنی رکھتے ہیں، یا آپ ان الفاظ کے ساتھ کوئی ذہنی خاکہ بنا سکتے ہیں، تو آپ دراصل ایک فقرے کو تصادفی طور پر (randomly) بنائے گئے پاس ورڈ کی نسبت بہت بہتر یاد رکھ سکتے ہیں جو بڑے اور چھوٹے حروف اور نمبروں پر مشتمل ہو۔ لیکن اسے تھوڑا بہتر طور پر سمجھانے کے لیے، میں رینڈل منرو (Randall Monroe) سے کچھ مدد لینے جا رہا ہوں۔ اب آپ نے ماضی میں مجھے رینڈل منرو کے بارے میں بات کرتے ہوئے سنا ہوگا۔ رینڈل منرو ایک گرافک آرٹسٹ ہیں جو کارٹون بناتے ہیں جسے

XKCD کہا جاتا ہے۔ اور XKCD ایک گرافک کارٹون ہے جو مختلف تکنیکی تصورات کو دکھاتا ہے، اور اس کے ساتھ ساتھ مزاحیہ سماجی تنقید اور ہر قسم کے شاندار خیالات بھی پیش کرتا ہے۔ اس میں واقعی بہت زبردست خیالات کو بہت، بہت اچھے طریقے سے پیش کیا گیا ہے۔ اور آپ جانتے ہیں، یہ ان صورتحال میں سے ایک ہے جہاں ایک XKCD موجود ہے، آپ جس بھی تصور کو اچھی طرح سمجھانا چاہتے ہیں اس کے لیے تقریباً ایک XKCD ڈرائنگ موجود ہے۔ لہذا میں ایک ایسی ڈرائنگ استعمال کرنے جا رہا ہوں جس کے بارے میں آپ میں سے بہت سے لوگوں نے شاید پہلے سنا ہو، اور اسے 'کریکٹ ہارس بیٹری اسٹیپل' (correct horse battery staple) کے نام سے جانا جاتا ہے۔ اور اگر یہ آپ کو بے معنی (gibberish) لگ رہا ہے تو ایک سیکنڈ کے لیے رکیے۔ ٹھیک ہے تو آئیے یہاں اپنی اسکرین پر اس پر ایک نظر ڈالتے ہیں۔ تو اسے کہا جاتا ہے، اسے پاس ورڈز کہا جاتا ہے۔ ۲۰ سال کی کوششوں کے بعد، ہم نے کامیابی کے ساتھ ہر ایک کو ایسے پاس ورڈ استعمال کرنے کی تربیت دی ہے جو انسانوں کے لیے یاد رکھنا مشکل ہیں، لیکن کمپیوٹرز کے لیے اندازہ لگانا آسان ہے۔ اور اگر آپ یہاں اوپر دیکھیں

XKCD پاس فریز کا تصور (40:47)

اوپر بائیں کونے میں، یہ ایک عام پاس ورڈ ہے جو آپ سے کسی ویب سائٹ پر مانگا جاتا ہے۔ تو یہ، بڑے اور چھوٹے حروف، اعداد اور علامتیں کسی خاص ترتیب میں ہیں۔ جو آپ یہاں دیکھ رہے ہیں وہ ایک عام بات ہے جو صارفین انہیں بنانے اور یاد رکھنے کے لیے کرتے ہیں، وہ کسی لفظ کو بگاڑنے کی کوشش کرتے ہیں۔ تو یہ لفظ Troubadour ہے۔ ایک سفر کرنے والا موسیقار جو ہیروز کے کارناموں کے بارے میں گاتا ہے۔ میرا خیال ہے کہ Troubadour کا یہی مطلب ہے۔ ایک Troubadour اور تین۔ تو اس صورت میں آپ کو کچھ ایسا نظر آتا ہے جو بظاہر بے ترتیب لگتا ہے، لیکن حقیقت میں بے ترتیب نہیں ہوتا۔ اب اس خاص چیز کا کمپیوٹر کی بنیاد پر تجزیہ کیا جا سکتا ہے۔ ریاضیاتی نقطہ نظر سے، انفارمیشن تھیوری کے نقطہ نظر سے، یہ دیکھنے کے لیے کہ یہ چیز کتنی بے ترتیب ہے۔ یا اس قسم کی چیز میں کتنی بے ترتیبی شامل ہے۔ تو اس خاص صورت میں، ہمارے پاس تقریباً 28 bits اینٹروپی ہے۔ اس کا مطلب یہ ہے کہ یہ

پیچیدگی کی مقدار کو 28 بائنری ہندسوں کے بائنری نمبر، دو کی طاقت 28 سے ظاہر کیا جا سکتا ہے۔ جسے اگر آپ ایک سیکنڈ میں ایک ہزار اندازے لگانے کے قابل ہوں، تو اسے بروٹ فورس کرنے میں آپ کو تین دن لگیں گے۔ تو یہ بنیادی طور پر ایک ویب سروس یا اس جیسی کوئی چیز ہے جہاں آپ فی سیکنڈ متعدد اندازے لگانے کی کوشش کر رہے ہیں۔ اگر آپ کے پاس کوئی ڈیٹا بیس ہے جو آپ نے کسی ویب سائٹ سے چرایا ہے، تو یقیناً آپ ایک عام کمپیوٹر پر فی سیکنڈ ایک ہزار سے کہیں زیادہ اندازے لگا سکتے ہیں۔ لیکن بہرحال، کمپیوٹرز کے لیے اس کا اندازہ لگانا دراصل آسان ہے۔ اور کمپیوٹرز کے لیے اس کا اندازہ لگانا اس لیے آسان ہے کیونکہ 28 bits اینٹروپی کافی نہیں ہے، لیکن اگرچہ کمپیوٹرز کے لیے اس ترتیب میں بڑے اور چھوٹے حروف کے تمام ممکنہ مجموعوں کو آزما کر اندازہ لگانا اور بروٹ فورس کرنا آسان ہے، انسانوں کے لیے اسے یاد رکھنا دراصل بہت مشکل ہے۔ اور بالکل

نیچے Randal Monroe ہمیں ایک مختلف طریقہ دکھاتے ہیں، جو کہ خالی جگہوں سے الگ کیے گئے سادہ انگریزی الفاظ کا استعمال ہے۔ یہ ایک یادداشت میں مدد دینے والا (mnemonic) پاس فریز ہے، پاس ورڈ نہیں۔ اور اس صورت میں، صرف چار الفاظ کو بے ترتیب طور پر چننا، صرف چار۔ بے ترتیب طور پر چار الفاظ دراصل پیدا کرتے ہیں، اگر آپ فرض کریں کہ یہ ایک بڑی لغت سے ہے، شاید انگریزی زبان کی لغت، جس میں ایک لاکھ الفاظ شامل ہیں۔ تو آپ کو تقریباً 44 bits اینٹروپی ملتی ہے۔ 44 bits اینٹروپی آپ کو ایک ہزار اندازے فی سیکنڈ کی رفتار سے 550 سال دیتی ہے۔ اور 10,000 اندازے فی سیکنڈ کی رفتار سے 55 سال۔ ایک لاکھ اندازے فی سیکنڈ کی رفتار سے پانچ سال۔ اسے بروٹ فورس کرنا دراصل مشکل ہے اور یہ صرف چار الفاظ ہیں۔ لیکن سب سے اہم بات یہ ہے کہ انسانوں کے لیے اسے یاد رکھنا آسان ہے۔ یہی وجہ ہے کہ ہم bit 39 میں یادداشت کے فقرے (mnemonic phrases) استعمال کرتے ہیں۔ تو اگر آپ correct horse battery staple کے بارے میں سوچتے ہیں، تو آپ اسے بنا سکتے ہیں، حالانکہ یہ بے ترتیب

الفاظ ہیں، آپ یہ عجیب ذہنی خاکہ بنا سکتے ہیں جو آپ کو وابستگی کی بنیاد فراہم کرتا ہے۔ اور وابستگی ہی وہ طریقہ ہے جس سے انسانوں میں یادداشت کام کرتی ہے۔ تو آپ کے پاس یہ چھوٹی سی ڈرائنگ ہے جو یہاں بنائی جا رہی ہے۔ یہ ایک بیٹری اسٹیپل ہے، درست۔ تو یہ ایک گھوڑا ہے جو کہہ رہا ہے کہ یہ ایک بیٹری اسٹیپل ہے اور کوئی کہہ رہا ہے درست، یہ ایک بیٹری اسٹیپل ہے، ایک correct horse battery staple۔ اور اگر آپ کسی گیک کو صرف یہ چار الفاظ کہیں، تو وہ فوراً جان جائیں گے کہ آپ کس بارے میں بات کر رہے ہیں کیونکہ یہ فقرہ یاد رکھنا اتنا آسان ہے کہ انٹرنیٹ پر لاکھوں لوگوں نے اسے اس ایک کارٹون اور مثال سے کامیابی کے ساتھ یاد کر لیا ہے۔ تو ان زبردست چیزوں کے ساتھ، Xkcd.org وہ جگہ ہے جہاں آپ جا کر کارٹونز کا یہ سلسلہ دیکھ سکتے ہیں۔ شاندار کام۔ XKCD۔ لیکن مجھے لگتا ہے کہ اس سے آپ کو بات سمجھنے میں مدد ملتی ہے۔ تو یہ ایک پاس فریز ہے، اور یہ پیدا کرنے کا ایک بہت بہتر طریقہ ہے ایک

والیٹس اور خفیہ کاری کے لیے پاس فریزز کا استعمال (45:27)

آپ کے پاس ورڈ مینیجر کے لیے ماسٹر پاس ورڈ، اور ساتھ ہی آپ کے والیٹ کے لیے ایک اختیاری پاس فریز۔ لہذا آپ دراصل اس کے ساتھ اپنے والیٹس کے لیے ایک اختیاری پاس فریز بنا سکتے ہیں۔ اسے بروٹ فورس (brute force) کرنا واقعی مشکل ہے، یہاں تک کہ GPU یا FPG کے ساتھ بھی۔ یہاں تک کہ اگر آپ SHA-512 کے 2000 راؤنڈز بھی کر سکتے ہیں، پھر بھی کسی کو چار یا پانچ الفاظ جتنی چھوٹی چیز کو بروٹ فورس کرنے میں مہینوں نہیں تو سالوں لگ جائیں گے۔ اگر آپ چھ الفاظ استعمال کرتے ہیں، تو آپ کے پاس واقعی ایک بہت مضبوط طریقہ کار ہوگا۔ اب آپ صرف اسے استعمال نہیں کریں گے۔ تو فرض کریں کہ آپ کے پاس ایک BIP-39 یادداشت کا فقرہ (mnemonic phrase) ہے، اور آپ ایک اختیاری پاس فریز شامل کرنا چاہتے ہیں اور آپ کہتے ہیں، ٹھیک ہے، میں ڈکشنری سے تصادفی طور پر چار الفاظ چنوں گا۔ اور پھر وہ میرا اختیاری پاس فریز ہوگا، اور میں ان چار الفاظ کو زبانی یاد کر سکتا ہوں اور انہیں یاد رکھ سکتا ہوں۔ اور میں ان کا بیک اپ بھی

کسی دوسری جگہ پر لوں گا کیونکہ اگرچہ میں انہیں یاد رکھ سکتا ہوں، لیکن اگر مجھے کچھ ہو گیا تو کیا ہوگا۔ کیا میں چاہوں گا کہ میری وراثت غائب ہو جائے کیونکہ کسی کو وہ اختیاری پاس فریز نہیں مل سکا جو میں نے استعمال کیا تھا۔ نہیں، ظاہر ہے میں ایسا نہیں چاہتا۔ اس لیے مجھے پاس فریز کا بھی بیک اپ لینا ہوگا، میں یادداشت کے فقرے یعنی سیڈ (seed) کا بیک اپ لوں گا۔ اور میں اختیاری پاس فریز کا بھی بیک اپ لوں گا اور انہیں دو مختلف جگہوں پر رکھوں گا۔ میں یہ بھی یقینی بناؤں گا کہ اگر کوئی میرے سیڈ کو دیکھ لے، تو مجھے پتہ چل جائے کہ انہوں نے میرا سیڈ دیکھ لیا ہے تاکہ میں ایک طاقتور کمپیوٹر کا استعمال کرتے ہوئے پاس فریز کے تمام ممکنہ مجموعوں کو آزمانے سے پہلے اپنے پیسے منتقل کر سکوں۔ میں یہ کام بہت ہی سادہ (low tech) طریقے سے کرتا ہوں۔ یہ ایک پلاسٹک کا بیگ ہے، ایک چھیڑ چھاڑ سے محفوظ (tamper-evident) پلاسٹک کا بیگ۔ آپ انہیں خرید سکتے ہیں ایک

سو کے پیک میں ہر جگہ آن لائن ریٹیلرز سے۔ یہ بنگو گیمز اور چرچز وغیرہ کے لیے نقد عطیات کے لیے استعمال ہوتے ہیں۔ یہ ملازمین کو چوری سے روکنے کے لیے استعمال ہوتے ہیں۔ اور یہ غیر شفاف ہوتے ہیں، اور ایک بار جب آپ انہیں سیل کر دیتے ہیں، تو انہیں واضح کیے بغیر کھولنے کا واحد طریقہ انہیں پھاڑنا یا کاٹنا ہے، جس سے آپ ایک نشان چھوڑ دیں گے۔ آپ نشان چھوڑے بغیر انہیں فریز، گرم، یا کھول کر دوبارہ سیل نہیں کر سکتے۔ لہذا اگر آپ اپنا یادداشت کا فقرہ اور اپنا اختیاری پاس فریز اس طرح کے چھیڑ چھاڑ سے محفوظ بیگ میں رکھتے ہیں، اور کوئی اسے دیکھتا ہے، تو آپ کو معلوم ہو جائے گا کہ انہوں نے اسے دیکھا ہے۔ لہذا اگر آپ ہر چند ماہ بعد اپنی اسٹوریج کی جگہوں کا معائنہ کرتے ہیں، تو آپ کے پاس سیکیورٹی کی ایک اچھی بنیاد ہے۔ ٹھیک ہے، میں اب بات ختم کرنے والا ہوں۔ ہم تقریباً مزید 45 منٹ تک بات کریں گے، کیونکہ مجھے ابھی بھی بہت کچھ بات کرنی ہے، ٹو فیکٹر

آتھنٹیکیشن کے بارے میں۔ لیکن میں چاہتا تھا کہ آپ سمجھیں کہ ہم پاس فریز کے اس تصور کو کیسے استعمال کرتے ہیں۔ لہذا، اگلے حصے میں، میں اس بارے میں بات کروں گا کہ محفوظ طریقے سے پاس فریز کیسے بنایا جائے۔ آئیے ایک ایموجی طوفان (emoji storm) کی طرف چلتے ہیں اور براہ کرم میں یوٹیوب کے تمام کمیونٹی ممبران سے گزارش کرتا ہوں کہ وہ ایک ایموجی طوفان برپا کر کے سب کو میرے چینل کے کسٹم ایموجیز کی ناقابل یقین تخلیقی اور تاثراتی طاقت کا مظاہرہ کریں۔ ٹھیک ہے، اور میں واپس آ گیا ہوں۔ تو آپ ایک پاس فریز بنانا چاہتے ہیں۔ اور آپ جانتے ہیں کہ یہ پاس فریز شاید سب سے بہتر ہے اگر یہ اس شکل میں ہو جسے ہم XKCD پاس فریز کے نام سے جانتے ہیں، جیسے correct horse battery staple۔ انگریزی الفاظ کا ایک سلسلہ جو تصادفی طور پر چنے گئے ہوں، جن کے ساتھ آپ ایک ذہنی تعلق، ایک تصویر بنا سکیں جو ان کے ساتھ جڑی ہو۔ آپ اس پاس فریز کو استعمال کرنے والے ہیں، شاید اپنے ماسٹر پاس ورڈ کے لیے، اپنے پاس ورڈ مینیجر کے لیے، جسے آپ کو ٹائپ کرنا ہوگا

پاس فریزز کو محفوظ طریقے سے بنانا (50:25)

دن میں کئی بار مختلف آلات پر۔ میں دیگر مقاصد کے لیے ملتے جلتے پاس فریزز استعمال کرتا ہوں، اور میں ایک ہی پاس فریز کو نہیں دہراتا۔ لیکن میں نے پایا ہے کہ پیچیدگی پیدا ہونے سے پہلے میں ان میں سے تین یا چار کو یاد رکھ سکتا ہوں۔ لہذا مجھے اپنے bit 39 والیٹ کے اختیاری پاس فریز کے لیے اس طرح کے ایک پاس فریز کی ضرورت ہوگی۔ مجھے اپنے لیپ ٹاپ پر ہارڈ ڈرائیو کی خفیہ کاری کے لیے بھی اس طرح کے ایک پاس فریز کی ضرورت ہوگی۔ میں ایک انکرپٹڈ ہارڈ ڈرائیو استعمال کرنے کو ترجیح دیتا ہوں۔ اور واقعی، میرے لیپ ٹاپ یا میرے کسی بھی آلے کو بوٹ کرنے سے پہلے، آپ کو ایک پاس فریز درج کرنے کی ضرورت ہوتی ہے۔ اور وہ پاس فریز بھی اسی شکل کا ہوتا ہے۔ یہ ایک یادداشت پر مبنی (نیومونک) پاس فریز ہے۔ یہ انگریزی الفاظ کے ایک سلسلے کا استعمال کرتا ہے، جنہیں خالی جگہوں (اسپیسز) سے الگ کیا جاتا ہے۔ مستقل مزاجی کے مقاصد کے لیے، میں ہمیشہ اپنے نیومونک پاس فریزز کو چھوٹے حروف (لوئر کیس) میں ٹائپ کرتا ہوں اور ان کے درمیان سادہ اسپیسز دیتا ہوں۔ لہذا چھوٹا لفظ، اسپیس، چھوٹا لفظ، اسپیس، چھوٹا لفظ اور پھر اینٹر۔ اور وہ ہو سکتے ہیں

لمبائی میں چار سے آٹھ الفاظ تک کے۔ آپ کو یہ فیصلہ کرنا ہوگا کہ آپ کو کس سطح کی سیکیورٹی کی ضرورت ہے، اور اس کا انحصار اس بات پر ہے کہ آپ اسے کہاں استعمال کر رہے ہیں۔ اس پاس فریز سے اخذ ہونے والی خفیہ کاری کی کلید بنانے میں ہیشنگ کے کتنے راؤنڈز استعمال ہوتے ہیں اور ان چیزوں کے لیے آپ کو کس سطح کے خطرے کا سامنا ہے۔ لیکن آپ کو کم از کم چار الفاظ استعمال کرنے چاہئیں اور زیادہ سے زیادہ آٹھ الفاظ ہونے چاہئیں، اس سے پہلے کہ آپ چیزیں بھولنا اور الجھن کا شکار ہونا شروع کر دیں۔ خاص طور پر ایسے پاس فریز کے لیے جسے آپ زیادہ کثرت سے استعمال نہیں کرتے۔ آپ جتنی کثرت سے کوئی پاس فریز استعمال کرتے ہیں، جتنی بار آپ اسے ٹائپ کرتے ہیں، آپ اسے اتنا ہی طویل بنا سکتے ہیں۔ کیونکہ تب آپ مشق کے ذریعے اسے یاد رکھنے پر مجبور ہو جائیں گے۔ لہذا میں اپنے پاس ورڈ مینیجر پر قدرے طویل پاس فریز استعمال کر سکتا ہوں کیونکہ میں اسے ہر روز ٹائپ کرتا ہوں۔ میں قدرے چھوٹا پاس فریز استعمال کروں گا،

مثال کے طور پر، والیٹ پر ایک اختیاری پاس فریز کے طور پر، اور اپنے آلات پر ایک اختیاری پاس فریز کے طور پر اس سے بھی قدرے چھوٹا پاس فریز، اپنی ہارڈ ڈرائیو کے انکرپٹڈ بوٹ کے لیے، کیونکہ وہ میں مہینے میں صرف ایک بار ٹائپ کرتا ہوں اور میرے لیے اسے بھول جانا آسان ہو سکتا ہے۔ تو ہم ان الفاظ کا انتخاب کیسے کریں؟ ایسا کرنے کے کئی طریقے ہیں، لیکن آپ چاہیں گے کہ ان میں بے ترتیبی ہو۔ آپ نہیں چاہیں گے کہ وہ کوئی گانا ہوں۔ کسی گانے کے بول، مجھے نہیں معلوم۔ میں ایک گانے کا نام لینے والا تھا، لیکن مجھے لگتا ہے کہ اس سے بہت زیادہ تنازعہ پیدا ہو جائے گا۔ اس لیے میں اسے بالکل ہی چھوڑ دوں گا۔ آپ نہیں چاہیں گے کہ یہ آپ کی فٹ بال ٹیم کا نعرہ ہو۔ آپ نہیں چاہیں گے کہ یہ آپ کی ریاست کا سلوگن ہو۔ آپ نہیں چاہیں گے کہ یہ Star Trek کا کوئی جملہ ہو۔ کیوں؟ کیونکہ وہ تمام جملے ان ڈکشنریوں میں موجود ہیں جو

ہیکرز نے جمع کر رکھی ہیں۔ کوئی بھی ایسی چیز جسے اگر آپ گوگل میں ایک جملے کے طور پر ٹائپ کریں اور اس کا نتیجہ سامنے آ جائے، جسے یقیناً آپ گوگل میں ٹائپ نہیں کریں گے کیونکہ اس سے سیکیورٹی ٹوٹ جاتی ہے، آپ کو کبھی استعمال نہیں کرنی چاہیے۔ آپ کو کبھی بھی ایسا جملہ استعمال نہیں کرنا چاہیے جو کبھی کہا گیا ہو، یا جس کے کسی کے ذریعہ کہے جانے کا امکان ہو۔ لہذا اس کے بجائے آپ بے ترتیب الفاظ کا انتخاب کریں اور پھر ایک ذہنی خاکہ یا تعلق بنانے کی کوشش کریں جو آپ کے لیے معنی خیز ہو۔ اور یہ بہت عجیب و غریب ہو سکتا ہے جب تک کہ یہ آپ کے لیے معنی خیز ہو اور آپ اس خاکے کو اپنے ذہن میں دہرا سکیں اور تھوڑی سی مشق کر سکیں۔ یہ ایسا کرنے کا ایک اچھا طریقہ ہے۔ تو آپ بے ترتیب الفاظ کا انتخاب کیسے کرتے ہیں؟ خیر، آپ کئی طریقوں سے ایسا کر سکتے ہیں۔ آپ مختلف صفحات پر ڈکشنری کھول سکتے ہیں اور دیکھے بغیر اپنی انگلی رکھ سکتے ہیں جو کہ زیادہ

اچھا نہیں ہے۔ امکان ہے کہ آپ اپنا زیادہ تر وقت ڈکشنری کے درمیانی ایک تہائی صفحات اور صفحے کے درمیانی ایک تہائی حصے پر اپنی انگلی رکھنے میں صرف کریں گے۔ لیکن یہ دراصل کافی حد تک بہتر ہے کیونکہ ڈکشنری میں بہت سارے الفاظ ہوتے ہیں۔ ایک اچھی، بڑی، موٹی ڈکشنری۔ لہذا آپ کو کافی حد تک بے ترتیبی مل جائے گی۔ تو یہ ایک آسان طریقہ ہے جو آپ بغیر کسی اضافی کوشش کے گھر پر ہی کر سکتے ہیں۔ اگر آپ تھوڑا اور آگے جانا چاہتے ہیں، تو آپ ایک تکنیک استعمال کر سکتے ہیں جسے ڈائس ویئر (diceware) کہا جاتا ہے۔ D-I-C-E-W-A-R-E۔ اور ڈائس ویئر ایک ایسا طریقہ کار ہے جہاں آپ کے پاس الفاظ کی ایک فہرست ہوتی ہے جسے آپ ڈاؤن لوڈ کر سکتے ہیں۔ آپ ڈائس ویئر اشاریہ کی فہرست ڈاؤن لوڈ کر سکتے ہیں، جو ویب سائٹ آپ کو ملے گی وہ ہے... آپ اسے گوگل پر کافی آسانی سے تلاش کر سکتے ہیں۔ جو سب سے پہلے سامنے آتی ہے، جو کہ diceware.D-M-U-T-H dmuth.org ہے، وہی درست ہے۔ اور اگر آپ اس ویب سائٹ کا استعمال کرتے ہیں، تو آپ فہرست ڈاؤن لوڈ کر سکتے ہیں۔ اب کیا ہے

ڈائس ویئر کا طریقہ (55:27)

اس فہرست کے بارے میں دلچسپ بات یہ ہے کہ اس کا اشاریہ ایسے نمبروں سے بنایا گیا ہے جن کے ہندسے ایک اور چھ کے درمیان ہوتے ہیں، جو آپ کو پھر ڈائس (پانسہ)، سادہ ڈائس، عام ڈائس استعمال کرنے کی اجازت دیتا ہے۔ آپ پانچ بار پانسہ پھینکتے ہیں اور ایک پانچ ہندسوں کا نمبر بناتے ہیں جہاں تمام ہندسے ایک اور چھ کے درمیان ہوتے ہیں، اور پھر آپ وہ لفظ تلاش کرتے ہیں، جو ڈائس ویئر کی فہرست میں اس اشاریہ سے مطابقت رکھتا ہے، اور آپ اسے لکھ لیتے ہیں اور آپ کو بے ترتیبی مل جاتی ہے۔ آپ کو ایسی بے ترتیبی مل جاتی ہے جسے سادہ پانسے کے ساتھ استعمال کرنے کے لیے ڈیزائن کیا گیا ہے، جو کہ آسان ہے۔ اگر آپ کے پاس کچھ پانسے پڑے ہیں، تو آپ یہ آسانی سے کر سکتے ہیں۔ یہ غیر ڈیجیٹل ہے، آپ فہرست کو اپنے کمپیوٹر پر ڈاؤن لوڈ کرتے ہیں، اور آپ بس اس فہرست سے بے ترتیب الفاظ کا انتخاب کرتے ہیں۔ ایک بار پھر، یہ ان بے ترتیب پاس فریزز میں سے ایک بنانے کا ایک بہترین طریقہ ہے۔ اور یقیناً، آپ اپنے کمپیوٹر پر کوئی پروگرام بھی استعمال کر سکتے ہیں۔ مسئلہ یقیناً یہ ہے

کہ اگر آپ کے کمپیوٹر پر پہلے سے ہی کوئی ٹروجن مالویئر یا کی بورڈ لاگر موجود ہے، تو یہ کچھ دشواری پیدا کر سکتا ہے۔ میں ایک پروگرام استعمال کرتا ہوں جسے XKCD pass کہا جاتا ہے، جو دراصل XKCD سے مطابقت رکھنے والے پاس فریزز بناتا ہے۔ میں ان کا ایک پورا مجموعہ تیار کرتا ہوں۔ اور پھر میں اس بہت، بہت لمبی فہرست میں سے تصادفی طور پر ایک کا انتخاب کرتا ہوں۔ اور میں اپنے کمپیوٹر پر کوئی ایسا اشارہ نہیں چھوڑتا کہ میں نے کون سا منتخب کیا ہے۔ میں بس ایک بہت لمبی فہرست کے لیے اسکرول کرتا رہتا ہوں۔ اس طرح اسے کیپچر کرنا بہت مشکل ہو جاتا ہے۔ ایک بار پھر، یہ تہوں کے بارے میں ہے۔ یہ کامل نہیں ہے۔ اس پورے عمل میں بہت سی دشواریاں اور خامیاں ہیں۔ ٹھیک ہے۔ تو اب ہم نے پاس ورڈ کی سیکیورٹی کے بارے میں بات کی ہے، اور ہم نے کئی موضوعات کو ایک ساتھ ملایا ہے۔ ہم نے پاس ورڈز کی پیچیدگی کے بارے میں بات کی ہے۔ ہم نے سیکیورٹی کی تہوں کے بارے میں بات کی ہے۔ ہم نے انسانی یادداشت اور انسانی بے ترتیبی کی کمزوریوں کے بارے میں بات کی ہے۔ ہم نے اس بارے میں بات کی ہے کہ کیوں

سافٹ ویئر کا استعمال نہ کرنے سے سافٹ ویئر کا استعمال بہتر ہے، حالانکہ آپ سافٹ ویئر پر سو فیصد بھروسہ نہیں کر سکتے۔ ہم نے اس بارے میں بات کی کہ اپنا ماسٹر پاس فریز کیسے بنایا جائے اور آپ کو کس قسم کا ماسٹر پاس فریز استعمال کرنا چاہیے، جسے آپ پھر اپنے پاس ورڈ مینیجر سے اپنے سیشن پاس ورڈز، یا سائٹ کے پاس ورڈز بنانے کے لیے استعمال کر سکتے ہیں جو پیچیدہ الفانیومرک اور بے ترتیب ہوتے ہیں جنہیں یاد رکھنا ناممکن ہوتا ہے اور آپ کا پاس ورڈ مینیجر انہیں یاد رکھتا ہے۔ تو اگلا موضوع ٹو فیکٹر اتھینٹیکیشن ہے۔ اب، ٹو فیکٹر اتھینٹیکیشن کیا ہے؟ ٹو فیکٹر اتھینٹیکیشن وہ ہے جب آپ خود کو مستند کرنے کے لیے دو مختلف طریقے استعمال کرتے ہیں۔ تو اتھینٹیکیشن کا بنیادی مطلب یہ ثابت کرنا ہے کہ آپ وہی ہیں جو آپ ہونے کا دعویٰ کرتے ہیں۔ اور ٹو فیکٹر اتھینٹیکیشن کا مطلب ہے کہ یہ ثابت کرنے کے لیے دو الگ الگ میکانزم استعمال کیے جائیں کہ آپ وہی ہیں جو آپ ہونے کا دعویٰ کرتے ہیں۔ اور کمپیوٹر سیکیورٹی میں، ہم ملٹی فیکٹر اتھینٹیکیشنز اور اتھینٹیکیشن کے عوامل کو تین چیزوں میں سے ایک کے طور پر بیان کرتے ہیں۔ وہ تین ممکنہ عوامل جو آپ

کے پاس ہو سکتے ہیں وہ کچھ ایسا ہے جو آپ جانتے ہیں، ایک پاس ورڈ اس کی ایک مثال ہے جو آپ جانتے ہیں۔ آپ اسے یاد کرتے ہیں اس لیے، آپ اسے جانتے ہیں۔ علم پر مبنی اتھینٹیکیشن بھی اس 'کچھ جو آپ جانتے ہیں' والے عامل کی ایک شکل ہے جیسے آپ کہاں پیدا ہوئے تھے؟ آپ کے پہلے کیک مکسر کا برانڈ کیا تھا؟ اسکول میں آپ نے سب سے پہلے کسے چوما تھا؟ جو کچھ بھی ہو۔ اب، ظاہر ہے کہ کچھ ایسا جو آپ جانتے ہیں، ایک عامل ہے، اور یہ ایک اچھا عامل ہے۔ صرف اس صورت میں جب ایک، آپ اسے یاد رکھ سکیں اور کوئی دوسرا اس کا آسانی سے اندازہ نہ لگا سکے۔ اور یہیں پر وہ تمام پیچیدگی آتی ہے جس کے بارے میں ہم نے پاس ورڈز کے حوالے سے بات کی تھی۔ اتھینٹیکیشن کی ایک دوسری شکل۔ اتھینٹیکیشن کا ایک عامل وہ ہے جو آپ ہیں۔ اور 'جو آپ ہیں' سے عام طور پر مراد بائیو میٹرک ہے، آپ کے جسمانی وجود کے بارے میں ایک ناقابلِ تبدیلی پیمائش جسے جعلی نہیں بنایا جا سکتا۔ تو ایک فنگر پرنٹ، ایک آئرس اسکین، آپ کی آواز جب آپ

وہ جملہ دہراتے ہیں جو آپ کو دہرانا ہوتا ہے۔ آپ کی چال، آپ کا قد، چہرے کی شناخت کے لیے آپ کا چہرہ، یہ تمام چیزیں بائیو میٹرک عوامل ہیں۔ تو کچھ ایسا جو آپ ہیں۔ بائیو میٹرک عوامل کے فوائد اور نقصانات ہیں۔ انہیں کسی دوسرے عامل کے علاوہ بھی استعمال کیا جا سکتا ہے۔ یقیناً، بائیو میٹرک کا بڑا نقصان یہ ہے کہ اگر اسے کاپی کر لیا جائے یا اگر یہ کھو جائے، تو اسے تبدیل نہیں کیا جا سکتا۔ تو اگر، مثال کے طور پر، میرے فنگر پرنٹس لیک ہو جائیں، اور ہر کسی کو میرے فنگر پرنٹس تک رسائی حاصل ہو جائے اور وہ انہیں لیٹیکس کے ساتھ دوبارہ بنا سکیں جیسا کہ آپ نے ان تمام جاسوسی فلموں میں دیکھا ہے، تو میں اپنے فنگر پرنٹس تبدیل نہیں کر سکتا۔ اور اس لیے یہ بائیو میٹرک اب میرے لیے کارآمد نہیں رہا۔ اور ہم نے دیکھا ہے کہ بائیو میٹرکس کو لاگو کرنا کافی مشکل ہے، لیکن یہ دوسرے عامل کے طور پر بہت مفید ہیں، کبھی بھی بنیادی کے طور پر نہیں۔ میں کبھی بھی بائیو میٹرک کو خود کو مستند کرنے کے واحد طریقے کے طور پر استعمال نہیں کروں گا، مثال کے طور پر اپنے

بائیو میٹرک تصدیق (1:00:44)

فون۔ کیونکہ جیسا کہ آپ نے دیکھا ہے اور ہر آٹھ سال کا بچہ جانتا ہے، اگر آپ امی کا آئی فون ان کی انگلی کے پاس لے جائیں، جب وہ صوفے پر سو رہی ہوں، تو آپ ایمیزون پر جا کر چیزیں خرید سکتے ہیں۔ آپ خود اپنے ذاتی سانتا بن سکتے ہیں۔ بس شرط یہ ہے کہ آپ کو امی کے انگوٹھے تک رسائی مل جائے یا چہرے کی شناخت کرنے والے آلے کو ابو کے چہرے کے سامنے رکھ کر ان کے چہرے تک رسائی حاصل کر لیں۔ جبکہ ابو باربی کیو پارٹی میں اتنے کام کے بعد خراٹے لے رہے ہوں۔ بائیو میٹرک اکیلے کافی نہیں ہے، لیکن یہ ایک بہت اچھا دوسرا عنصر بنتا ہے۔ آخری عنصر وہ چیز ہے جو آپ کے پاس ہے، اور جس کے آپ مالک ہیں۔ اور یہ بائیو میٹرک عنصر عام طور پر ایک اضافی ڈیوائس میں شامل ہوتا ہے۔ یہ ایک ایسی ڈیوائس ہے جو ایک سیکیورٹی عنصر ہے جسے آپ اپنے پاس رکھتے ہیں۔ ایک کلید تصدیق کا وہ عنصر ہے جس کے آپ مالک ہوتے ہیں۔ ایک ڈیجیٹل کلید، ایک نجی کلید، یہاں تک کہ ایک جسمانی

کلید جو آپ کا دروازہ کھولنے کے لیے ہوتی ہے۔ اور آج کل تیزی سے ہمارے پاس ایسے دوسرے عناصر موجود ہیں جو آپ کی ملکیت پر مبنی ہیں اور انہیں USB ڈیوائسز کی شکل دی گئی ہے۔ درحقیقت، میرے پاس ایک ایسی ڈیوائس ہے جو مستقل طور پر میرے لیپ ٹاپ میں لگی رہتی ہے۔ آپ میں سے بہت سوں نے شاید مجھے پہلے بھی ان کے بارے میں بات کرتے سنا ہوگا۔ یہ ایک YubiKey ہے، اور یہ YubiKey اتنی چھوٹی ڈیوائس ہے کہ جب میں اسے اپنے لیپ ٹاپ کے USB پورٹ میں لگاتا ہوں، تو صرف ایک چھوٹی سی دھاتی ٹیب باہر نکلی ہوتی ہے، جو ٹچ حساس ہوتی ہے۔ جب میں اسے استعمال کرنے کی کوشش کرتا ہوں، تو یہ مجھ سے ٹچ کرنے کا تقاضا کرتی ہے۔ اور جب میں ٹچ کرتا ہوں، تو میں اسے فعال کر دیتا ہوں اور یہ میرے کمپیوٹر سے ایک کوڈ بھیجتی ہے۔ اب آپ میرے کمپیوٹر کے سائیڈ پر تصدیق کے لیے ٹیپ کیے بغیر میرے کمپیوٹر اور میری استعمال کردہ بہت سی دوسری سروسز میں لاگ ان نہیں ہو سکتے۔ اب، اگر آپ میرا ڈیٹا بیس یا میرا ماسٹر پاس فریز چرا لیتے ہیں، یا

آپ میرے پاس ورڈ کا اندازہ لگا لیتے ہیں، تب بھی آپ ان ڈیوائسز کی رمز کشائی یا انہیں کھول نہیں سکتے، یا میرے مختلف اکاؤنٹس تک رسائی حاصل نہیں کر سکتے کیونکہ آپ کے پاس یہ چیز نہیں ہے۔ یہ چیز میرے پاس ہے۔ اور یقیناً یہ سیکیورٹی کا ایک اضافی عنصر ہے۔ بظاہر یہ اکیلے کافی نہیں ہے کیونکہ اگر کوئی میرا لیپ ٹاپ چرانے میں کامیاب ہو گیا، تو اب ان کے پاس یہ چیز ہے، لیکن خوش قسمتی سے ان کے پاس میرا پاس ورڈ نہیں ہے، جو کہ دوسرا عنصر ہے۔ لہذا عام طور پر، جب ہم ملٹی فیکٹر تصدیق کے بارے میں بات کر رہے ہوتے ہیں، تو ہم یہ تسلیم کر رہے ہوتے ہیں کہ تصدیق کا کوئی ایک عنصر اکیلے کافی نہیں ہے۔ تمام تصدیقی عناصر کے ناکامی کے طریقے ہوتے ہیں۔ لیکن اگر آپ ملٹی فیکٹر تصدیق استعمال کرتے ہیں اور آپ کے تصدیقی عناصر مختلف ہیں، تو ایک تصدیقی عنصر کی ناکامی کی صورت میں دوسرا عنصر آپ کے تحفظ کے لیے موجود رہتا ہے۔ اس طرح آپ کے پاس سیکیورٹی کی تہیں ہوتی ہیں۔ آپ جانتے ہیں کہ ہر جاسوسی فلم میں، جب وہ بنیادی طور پر کسی

برے آدمی کی انگلی کاٹ دیتے ہیں اور اسے فنگر پرنٹ ریڈر کے پاس لے جاتے ہیں اور اسے دروازہ کھولنے کے لیے استعمال کرتے ہیں، تو حقیقت میں کوئی دروازہ اس طرح کام نہیں کرتا۔ ان سب کو خاص طور پر ایک پن کوڈ کا تقاضا بھی ہوتا ہے تاکہ اگر آپ پن کوڈ چرا لیں، تو آپ کے پاس انگلی نہ ہو۔ اور اگر آپ انگلی چرا لیں اور اسے کاٹ دیں، تو آپ کو پن کوڈ معلوم نہیں ہوتا۔ اس کے لیے دونوں کی ضرورت ہوتی ہے۔ ایسی ڈیوائس کا کوئی بھی مینوفیکچرر اسے ایسا نہیں بنائے گا کہ آپ اسے صرف ایک چیز سے کھول سکیں۔ اور درحقیقت، جب لوگ اپنے فون کو صرف بائیو میٹرک سے کھولنے کے لیے سیٹ کرتے ہیں، تو یہ انتہائی خطرناک ہوتا ہے، اور آپ کو یہ یقینی بنانے کی ضرورت ہے کہ آپ کے پاس ایک اضافی طریقہ کار موجود ہو۔ چیٹ میں ایک زبردست فالو اپ سوال ہے، کیا ہوگا اگر میں اپنی YubiKey، اپنی سیکیورٹی کلید کھو دوں؟ خیر، میرے پاس دراصل کئی ہیں۔ میرے پاس تین ہیں۔ اور میں نے ایک کو آف سائٹ مقام پر اپنے حتمی بیک اپ کے طور پر محفوظ کر رکھا ہے۔

میرے پاس ایک دوسری بھی ہے جسے میں اپنے لیپ ٹاپ میں لگا کر نہیں رکھتا بلکہ اپنے ساتھ لے جاتا ہوں۔ یہ اکثر ایسی چیز ہوتی ہے جسے آپ سیکیورٹی کے لوگوں کو اپنی گردن میں ڈوری کے ساتھ پہنے ہوئے، یا کی چین کے طور پر جڑے ہوئے دیکھیں گے۔ یہ ڈیوائسز کافی مضبوط ہوتی ہیں اور انہیں اکثر کی چین کے ساتھ منسلک کرنے کے لیے ڈیزائن کیا جاتا ہے۔ لہذا آپ انہیں اپنی چابیوں کے ساتھ لے جا سکتے ہیں، جو کہ سمجھ میں آتا ہے۔ اسی طرح کے سیکیورٹی ماڈل کے تحت یہ تقریباً ناقابلِ تسخیر ہوتی ہیں۔ آپ ان پر سے ٹرک گزار سکتے ہیں اور پھر بھی یہ کام کرتی ہیں۔ لہذا میں نے ان تینوں سیکیورٹی کلیدوں کو رجسٹر کر رکھا ہے، تاکہ کوئی بھی ایک کام کر سکے اور مجھے رسائی کھونے سے پہلے ان تینوں کو کھونا پڑے گا۔ لیکن یہ تینوں ایسی جگہوں پر ہیں جہاں تک پہنچنا مشکل ہے۔ اور یہاں جس اہم خطرے، جس بنیادی تھریٹ سے میں نمٹنے کی کوشش کر رہا ہوں وہ ریموٹ کمپرومائز ہے۔ ہاں اگر آپ میرے گھر، دفتر میں گھس جائیں

سیکیورٹی کلیدیں اور YubiKeys (1:05:51)

یا نامعلوم مقام نمبر پانچ، اور آپ وہ بری خادمہ ہیں جو میرے ہوٹل کے کمرے یا کسی بھی جگہ گھس آتی ہیں، تو آپ کو یہ ڈیوائسز مل سکتی ہیں، لیکن پھر شاید آپ کے پاس میرا پاس ورڈ نہ ہو۔ اگر آپ میرے سسٹمز کو ہیک کر لیتے ہیں اور میرا پاس ورڈ حاصل کر لیتے ہیں، تو آپ کے پاس ڈیوائس نہیں ہوگی۔ اگر آپ میری کسی ڈیوائس میں لاگ ان کرنے کے لیے پاس ورڈ استعمال کرنے کی کوشش کرتے ہیں، تو میں آپ کو رسائی دینے کے لیے کمپیوٹر کی سائیڈ پر ٹیپ نہیں کروں گا۔ اور سچ کہوں تو، آپ جانتے ہیں کہ جب میں اپنا کمپیوٹر اکیلا چھوڑتا ہوں، تو میں YubiKey نکال کر اپنے ساتھ لے جاتا ہوں۔ تو ایک بار پھر، یہ تہوں (layers) کے بارے میں ہے۔ لہذا ٹو فیکٹر تصدیق کا مطلب ہے کسی بھی سروس یا ڈیوائس پر اپنی تصدیق کے لیے کم از کم دو عوامل کا استعمال کرنا۔ اور یہ وہ چیزیں ہیں جو آپ جانتے ہیں، جو آپ کے پاس ہیں اور جو آپ خود ہیں۔ ان تینوں میں سے کسی ایک کو بھی دوسرے عامل کے طور پر استعمال کیا جا سکتا ہے۔ اور یقیناً آپ کر سکتے ہیں

تھری فیکٹر تصدیق کا استعمال، اگر آپ چاہیں، حالانکہ یہ قدرے غیر معمولی ہے، اس مقام پر یہ بوجھل اور پیچیدہ ہو جاتا ہے۔ بحال کرنا مشکل، اور باہر لاک ہو جانا آسان ہوتا ہے۔ لہذا دو عام طور پر جادوئی عدد ہے، اور اسی لیے ہم اسے 2FA (ٹو فیکٹر تصدیق) کہتے ہیں۔ دوسرے لوگ اسے ملٹیپل فیکٹر تصدیق یا ملٹی فیکٹر تصدیق کے لیے MFA کہتے ہیں۔ یہ بالکل ایک ہی چیز ہے۔ ایک اور معیار ہے، جو سیکیورٹی کلیدوں کے یونیورسل فارمیٹ کا معیار ہے جیسے کہ چھوٹی YubiKey جو میں نے آپ کو دکھائی تھی، جو انڈسٹری میں استعمال ہوتی ہے۔ اب یہ ایک معیاراتی ادارے کی طرف سے بنایا گیا ہے جسے Fido Alliance کہا جاتا ہے، اور اسے U2F، یونیورسل ٹو فیکٹر کہا جاتا ہے۔ اگر آپ میرے کوڈ کی سلائیڈ پر غور کریں تو وہاں learn U2F یونیورسل ٹو فیکٹر لکھا ہے۔ U، نمبر دو، حرف F، U2F۔ یہ محض ایک ہارڈویئر پر مبنی ملٹی فیکٹر ڈیوائس کا معیار ہے جسے پلگ ان، منسلک یا

Bluetooth یا NFC کے ذریعے اس ڈیوائس پر منتقل کیا جا سکتا ہے جس پر آپ تصدیق کرنے کی کوشش کر رہے ہیں۔ ٹھیک ہے، تو آئیے ایک سوال کی طرف چلتے ہیں۔ وہ والا نہیں۔ یہ کہاں ہے؟ شاید اب؟ ٹھیک ہے، ایک سیکنڈ۔ ایسا لگتا ہے کہ سوال ہائی لائٹ نہیں ہو رہا ہے۔ یقین نہیں کہ کیوں۔ براہ کرم مجھے ایک سیکنڈ دیں۔ میں اسے ٹھیک کر دوں گا۔ مجھے اپنا براؤزر ریفریش کرنے کی ضرورت ہے۔ امید ہے کہ یہ مجھ سے کوئی پیچیدہ پاس ورڈ نہیں مانگے گا۔ ٹھیک ہے ایسا لگتا ہے کہ کسی قسم کا... اوہ رکیں، ایک سیکنڈ انتظار کریں۔ میرے Slido کے ساتھ کچھ گڑبڑ ہو گئی ہے، اس لیے میں دراصل ہائی لائٹ کیے گئے سوالات نہیں دیکھ پا رہا ہوں۔ مجھے نہیں معلوم کہ ایسا کیوں ہو رہا ہے۔ ایسا پہلے کبھی نہیں دیکھا۔ اوہ، ایک پول ہے۔ بظاہر ایک فعال پول ہے جو اب مجھے سوالات دیکھنے میں رکاوٹ بن رہا ہے۔ مجھے نہیں معلوم کیوں۔ معاف کیجئے گا۔ اوہ، یہ رہا۔ یہ خود ہی ٹھیک ہو گیا۔ تکنیکی مشکلات کے لیے معذرت دوستو۔ ایک ٹیکسٹ

پیغام کمزور ٹو فیکٹر تصدیق کیوں ہے، کیا یہ کچھ نہ ہونے سے بہتر ہے؟ تو بہت سے بینک SMS استعمال کرتے ہیں جیسا کہ کسی اور نے نشاندہی کی، وہ SMS ٹیکسٹ پیغامات کو ٹو فیکٹر تصدیق کے طور پر استعمال کرتے ہیں۔ تو ایک ٹیکسٹ پیغام کمزور ٹو فیکٹر تصدیق کیوں ہے؟ ٹھیک ہے۔ تو ٹیکسٹ پیغام کس قسم کا عامل ہے؟ آئیے دیکھتے ہیں کہ کیا ہم اس کا پتہ لگا سکتے ہیں۔ کیا یہ کوئی ایسی چیز ہے جو آپ جانتے ہیں؟ نہیں، آپ اس وقت نہیں جانتے۔ ایسا لگتا ہے کہ کسی قسم کا پول چلایا جا رہا ہے جو خلل ڈال رہا ہے۔ معذرت۔ Slido کسی وجہ سے ایک پول کے ساتھ شروع ہوا۔ یہ عجیب ہے۔ ٹھیک ہے۔ کیا ٹیکسٹ پیغام ایک اچھا ٹو فیکٹر ہے؟ یہ کس قسم کا عامل ہے؟ کیا یہ کوئی ایسی چیز ہے، جو آپ جانتے ہیں؟ نہیں، کیونکہ آپ اسے نہیں جانتے، جب یہ آپ کو ایک ٹیکسٹ پیغام کے طور پر بھیجا جاتا ہے، تو آپ اسے نہیں جانتے، آپ کو اس کے بارے میں تب پتہ چلتا ہے۔ تو یہ کوئی ایسی چیز نہیں ہے جسے آپ جانتے ہوں۔ کیا یہ

ایس ایم ایس (SMS) کمزور ٹو فیکٹر آتھنٹیکیشن کیوں ہے (1:11:00)

کیا یہ وہ چیز ہے جو آپ ہیں؟ نہیں، یہ وہ چیز نہیں ہے جو آپ ہیں۔ کیا یہ وہ چیز ہے جس کے آپ مالک ہیں؟ کسی حد تک۔ آپ سوچ سکتے ہیں، ٹھیک ہے، یہ وہ چیز ہے جس کا میں مالک ہوں، میں اس فون کا مالک ہوں جس پر ٹیکسٹ پیغام موصول ہو رہا ہے۔ لیکن ٹیکسٹ پیغام کسی فون پر نہیں بھیجا جا رہا، یہ ایک فون نمبر پر بھیجا جا رہا ہے۔ کیا آپ اس فون نمبر کے مالک ہیں؟ اور اس کا جواب دراصل یہ ہے کہ فون نمبر سم (SIM) ہے، یا یوں کہہ لیں کہ وہ اکاؤنٹ ہے جس سے آپ کے فون کا سم کارڈ منسلک ہے، اور اس اکاؤنٹ کا مالک کون ہے؟ اور اس کا جواب Vodafone یا Verizon یا AT&T یا T-Mobile یا کوئی اور ہے۔ لہذا ٹیکسٹ پیغام کی ٹو فیکٹر آتھنٹیکیشن کے ساتھ مسئلہ یہ ہے کہ آپ فون نمبر کے مالک نہیں ہیں۔ فون کمپنی اس کی مالک ہے۔ اور فون کمپنی کی سیکیورٹی انتہائی ناقص ہے۔ بس یہی بات ہے، یہ واقعی اتنا ہی سادہ ہے۔ لہذا آپ کو بس اتنا کرنا ہے کہ کسٹمر سروس کو کال کریں، فون کمپنی سے رابطہ کریں،

پس منظر میں روتے ہوئے بچے کی آواز چلائیں، یہ ظاہر کریں کہ آپ کسی پریشان نینی (babysitter) سے بات کر رہے ہیں جبکہ بچہ چیخ رہا ہے۔ اور پس منظر میں آپ کا شوہر یا آپ کی بیوی آپ پر چلا رہی ہے۔ اور آپ شدید ذہنی دباؤ کا شکار ہیں اور آپ کا دن بہت برا گزر رہا ہے۔ اور کسٹمر سروس کے انتہائی مددگار اور ہمدرد لوگ تمام سیکیورٹی چیکس کو نظر انداز کر دیں گے کیونکہ آپ نہیں جانتے کہ آپ کے شریک حیات نے اکاؤنٹ پر کیا پاس ورڈ سیٹ کیا ہے، اور یہ واقعی ایک ہنگامی صورتحال ہے اور آپ کو واقعی رابطہ کرنے کی ضرورت ہے۔ اور وہ خوشی خوشی اس نمبر کو آپ کے نئے فون پر پورٹ کر دیں گے جسے ابھی فعال کرنے کی ضرورت ہے، کیونکہ یہ ایک ایمرجنسی ہے۔ اب، اگر یہ ایک نظریاتی حملہ لگتا ہے، تو دراصل Def Con اور Black Hats اور دیگر ہیکر کانفرنسوں میں اس کا ایک شاندار مظاہرہ کیا جاتا ہے، جہاں وہ یہ نام نہاد سوشل انجینئرنگ حملے کرتے ہیں۔ اور

ان میں سے ایک بہترین ویڈیو وہ ہے جہاں ایک انتہائی ماہر سوشل انجینئرنگ ہیکر نے ایک صحافی کو دکھایا کہ وہ کتنی جلدی فون کمپنی کو کال کر کے، پس منظر میں چیختے ہوئے بچے کی ریکارڈنگ چلا کر اور اس ہنگامی صورتحال میں ان کی مدد کی التجا کر کے ان کے فون نمبر پر قبضہ کر سکتے ہیں۔ اور لفظی طور پر 10 منٹ سے بھی کم وقت کے بعد، انہوں نے فون نمبر پر قبضہ کر لیا تھا، پھر اس کا استعمال کرتے ہوئے ان کا ای میل اکاؤنٹ ری سیٹ کیا، اور پھر اس کا استعمال کرتے ہوئے ان کے دیگر تمام اکاؤنٹس کو ری سیٹ کیا اور بنیادی طور پر 15 منٹ سے بھی کم وقت میں ان کی پوری ڈیجیٹل شناخت کو خطرے میں ڈال دیا۔ تو یہی وجہ ہے کہ ٹیکسٹ پیغامات ٹو فیکٹر آتھنٹیکیشن کی ایک کمزور شکل ہیں۔ اور یہ واقعی اہم ہے کہ اگر آپ اس سے بچ سکتے ہیں تو آپ اسے استعمال نہ کریں۔ لیکن ایک گمنام سوال کے جواب میں، کیا یہ کچھ نہ ہونے سے بہتر ہے؟ یہ کچھ نہ ہونے سے بہتر ہے۔ یہ کچھ نہ ہونے سے بہتر ہے اگر

آپ اسے ان اکاؤنٹس پر استعمال کرنے سے گریز کر سکیں جہاں آپ بہتر انتخاب کر سکتے ہیں۔ لہذا کوئی بھی اکاؤنٹ جہاں آپ ٹیکسٹ پیغامات کے علاوہ کچھ اور استعمال کر سکتے ہیں، اسے استعمال کریں۔ دوسری بات یہ ہے کہ اس بارے میں بہت احتیاط سے سوچیں کہ آپ کا فون فراہم کنندہ کون ہے۔ لہذا بہت سے سیکیورٹی پیشہ ور افراد ایسے فون فراہم کنندگان کا استعمال کرتے ہیں جن کے پاس انسانی کسٹمر سروس نہیں ہوتی جسے سوشل انجینئر کیا جا سکے اور جہاں اکاؤنٹس خود مضبوط ٹو فیکٹر آتھنٹیکیشن کے ذریعے محفوظ ہوتے ہیں۔ مثال کے طور پر، گوگل کا پروجیکٹ فائی (Project Fi, F-I)، جو کہ ایک ورچوئل نیٹ ورک آپریٹر ہے، اس میں ایسے انسان نہیں ہیں جن سے آپ بات کر سکیں۔ اور آپ اس فون اکاؤنٹ کو ایک گوگل اکاؤنٹ کے ذریعے مربوط، رسائی اور کنفیگر کرتے ہیں جسے آپ مضبوط ٹو فیکٹر آتھنٹیکیشن جیسے کہ یونیورسل ٹو فیکٹر ٹوکن کے ساتھ محفوظ کر سکتے ہیں۔ اس کا مطلب ہے کہ آپ کا نمبر پورٹ نہیں کیا جا سکتا، جس کا مطلب ہے کہ پھر آپ اس نمبر کو ٹیکسٹ پیغام پر مبنی سیکیورٹی کے لیے زیادہ محفوظ طریقے سے استعمال کر سکتے ہیں

ٹو فیکٹر آتھنٹیکیشن آپ کے بینک کی طرح ہے جس کی سیکیورٹی انتہائی ناقص ہے۔ لہذا سیکیورٹی کے لحاظ سے سب سے ناقص کمپنیوں کے حوالے سے، بینک، فون کمپنیاں، اور پھر اصل سروس فراہم کنندگان جن کے پاس معقول سیکیورٹی ٹیمیں ہوتی ہیں۔ تو یہ سب تہوں (layers) کے بارے میں ہے۔ اگر آپ کے پاس ٹیکسٹ پیغام کو اپنی سیکنڈ فیکٹر آتھنٹیکیشن کے طور پر استعمال کرنے کے علاوہ کوئی آپشن نہیں ہے، تو میں آپ کو بتاؤں گا کہ کچھ ایسی سروسز ہیں جو میں استعمال کرتا ہوں جہاں میرے پاس ٹیکسٹ پیغام استعمال کرنے کے علاوہ کوئی آپشن نہیں ہے۔ تو اس بات کو یقینی بنائیں کہ وہ ٹیکسٹ پیغام ایک ایسے اکاؤنٹ میں جائے جو اچھی طرح سے محفوظ ہو۔ یہاں تک کہ اپنے فون کیریئر کے ساتھ بھی، آپ اپنے اکاؤنٹ پر ایک پن (PIN) لگا سکتے ہیں۔ آپ نمبر پورٹ کرنے کی صلاحیت کو بند کر سکتے ہیں۔ آپ اس اکاؤنٹ کو مضبوط بنانے کے لیے ہر قسم کے کام کر سکتے ہیں۔ لیکن اگر آپ اس سے بھی بہتر کر سکتے ہیں تو اپنے نمبر کو کسی ورچوئل نیٹ ورک آپریٹر یا سروس فراہم کنندہ پر منتقل کریں جس کے پاس ایسے انسان نہ ہوں جو

اپنا فون نمبر محفوظ بنانا (1:16:25)

سوشل انجینئرنگ کے ذریعے آپ کا نمبر پورٹ کیا جا سکتا ہے۔ اور اس میں ان عوامل پر مضبوط تصدیق ہونی چاہیے جو آپ کے فون نمبر کو کنٹرول کرتے ہیں۔ اور اگر آپ اس سے بچ سکتے ہیں۔ خاص طور پر اس سے بچیں اگر یہ آپ کے ایکسچینج سے منسلک ہونے کے لیے دوسرا عنصر (second factor) ہے، جہاں آپ لاکھوں ڈالر مالیت کی کرپٹو کرنسی محفوظ کرتے ہیں۔ اور یقیناً، میں یہاں ایک کافی بدنام کرپٹو کرنسی پنڈت کی طرف اشارہ کر رہا ہوں، جس نے درحقیقت لاکھوں ڈالر کی کرپٹو کرنسی ایک ایکسچینج والیٹ پر، ایک ہاٹ والیٹ پر محفوظ کی تھی جو کہ کسٹوڈیئل تھا، یعنی آپ کے کوائنز نہیں تھے، اور اس کے ساتھ AT&T کی جانب سے ہوسٹ کردہ SMS ٹو فیکٹر آتھنٹیکیشن منسلک تھی۔ اور وہ فی الحال AT&T پر کچھ، مجھے نہیں معلوم، 50 ملین، 100 ملین ڈالر، یا اس جیسے کسی مضحکہ خیز نقصان کے لیے مقدمہ کر رہا ہے۔ سچ کہوں تو، یہ اس قسم کا قانونی مقدمہ ہے جہاں ایک ماہر گواہ کے طور پر، میں کٹہرے میں کھڑا ہو کر مدعی کے منہ پر 30 منٹ تک ہنستا۔

جب انہوں نے کہا کہ یہ کسی اور کی غلطی تھی کہ انہوں نے لاکھوں ڈالر ایک ایسے ایکسچینج پر رکھے جس کی پشت پناہی AT&T کے ٹیکسٹ میسج ٹو فیکٹر آتھنٹیکیشن سے کی گئی تھی۔ مجھے اس کے لیے زیادہ ہمدردی نہیں ہوگی۔ ٹھیک ہے۔ تو آئیے اس ٹو فیکٹر آتھنٹیکیشن کے بارے میں بات کرتے ہیں جو دراصل کام کرتی ہے۔ میں نے سیکیورٹی کلید کے بارے میں بات کی ہے، جو کہ ہارڈویئر کا ایک ٹکڑا ہے، لیکن ایک اور طریقہ کار بھی ہے جو بہت عام ہے، جسے آپ سب نے پہلے استعمال کیا ہوگا، جس میں آپ کے پاس چھ ہندسوں کا نمبر ہوتا ہے۔ نیرج نے مددگار ثابت ہوتے ہوئے مجھ سے خاص طور پر اسی موضوع پر ایک سوال پوچھا۔ ہیلو اینڈریاس، گوگل یا مائیکروسافٹ آتھنٹیکیٹر کیسے کام کرتا ہے؟ کیا کوئی لامركزی نظام ہے جو ان کی جگہ لے سکے؟ نیرج، یہ لامركزی نظام ہی ہیں۔ اگرچہ ایپ ایک مرکزی ادارے کے ذریعہ بنائی گئی ہے، لیکن ایپ دراصل کافی سادہ ہے۔ اور اس کے نتیجے میں، یہ دراصل لامركزی ہے۔ ان آتھنٹیکیٹرز پر محفوظ کیے گئے راز صرف آپ کی مقامی ڈیوائس پر محفوظ ہوتے ہیں۔

یقیناً، اس میں کچھ تغیرات ہیں۔ ان میں سے کچھ ایپلی کیشنز، مثال کے طور پر، آفی (Offi) آپ کو ان رازوں کا بیک اپ لینے اور انہیں دوسری ڈیوائس پر پورٹ کرنے کی اجازت دیتی ہیں جو آپ کی ٹو فیکٹر آتھنٹیکیشن کی بنیاد ہیں۔ جو انہیں آسان، لیکن خطرناک بناتا ہے۔ اگر آپ نے آفی یا بیک اپ کو سپورٹ کرنے والے دیگر سسٹمز میں متعدد ڈیوائسز کی سپورٹ آن کر رکھی ہے، تو آپ کو اسے بند رکھنا چاہیے اور اسے صرف تب آن کرنا چاہیے، جب آپ کسی دوسرے فون یا ڈیوائس پر پورٹ کر رہے ہوں، مثال کے طور پر، جب آپ اپنا اسمارٹ فون اپ گریڈ کرتے ہیں اور آپ کو ان تمام اکاؤنٹس کو نئی ڈیوائس پر منتقل کرنے کی ضرورت ہوتی ہے۔ گوگل آتھنٹیکیٹر نے دراصل اپنے تازہ ترین ورژن میں بیک اپ اور پورٹنگ متعارف کرائی ہے۔ مجھے نہیں معلوم کہ یہ کیسے کام کرتا ہے، لیکن اگر یہ اس طرح کام کرتا ہے، تو یقینی بنائیں کہ آپ نے اسے بائی ڈیفالٹ بند رکھا ہے۔ تاکہ صرف وہی مقامی ڈیوائس ان سیکیورٹی کوڈز کا استعمال کر سکے۔

بصورت دیگر یہ واقعی ٹو فیکٹر نہیں ہے، ٹھیک ہے؟ یہ کوئی ایسی چیز نہیں ہے جس کے آپ مالک ہوں۔ یہ ایک بیک اپ پاس ورڈ ہے۔ یہ ایسی چیز ہے، جو آپ جانتے ہیں، اور اسے آسانی سے چرایا جا سکتا ہے، یا یہ آپ کے فون نمبر سے منسلک ہے۔ اس صورت میں ہم واپس اسی ٹیکسٹ میسج سیکیورٹی پر آ جاتے ہیں جس کی ہم پہلے بات کر رہے تھے۔ کوئی آپ کی سم پورٹ کرتا ہے، وہ آپ کے نمبر پر قبضہ کر لیتا ہے۔ وہ اسمارٹ فون پر آتھنٹیکیٹر سافٹ ویئر انسٹال کرتے ہیں۔ پھر وہ بیک اپ ڈاؤن لوڈ کرتے ہیں اور اسے اس ڈیوائس پر پورٹ کرتے ہیں۔ اور ان کے پاس آپ کی تمام ٹو فیکٹر آتھنٹیکیشنز آ جاتی ہیں جو دراصل ٹو فیکٹر آتھنٹیکیشن نہیں تھیں۔ تو یہ ناکامی کی صورت ہے، لیکن آئیے سب سے پہلے اس بارے میں بات کرتے ہیں کہ یہ چیز کیسے کام کرتی ہے۔

تو گوگل یا مائیکروسافٹ آتھنٹیکیٹر کیسے کام کرتا ہے؟ سب سے پہلے، آئیے اس چیز کو ایک نام دیتے ہیں۔ یہ ایک طریقہ کار ہے جسے ون ٹائم پاس ورڈ یا OTP کہا جاتا ہے۔ ون ٹائم پاس ورڈز دہائیوں پرانے ہیں اور انہیں استعمال کیا جاتا رہا ہے، خیر، مجھے اپنی اصلاح کرنے دیں۔ پورٹیبل ڈیوائسز پر ڈیجیٹل ون ٹائم پاس ورڈز، دہائیوں پرانے ہیں۔ ون ٹائم پاس ورڈز بذات خود دراصل ہزاروں سال پرانے ہیں۔ یہاں عمومی تصور یہ ہے کہ اگر آپ بے ترتیب نمبروں کی ایک ترتیب بناتے ہیں اور مواصلات کرنے والے دونوں فریقین کے پاس اس ترتیب کی ایک کاپی ہوتی ہے، یا وہ اس ترتیب کو بنا سکتے ہیں اور کوئی دوسرا نہیں بنا سکتا۔ تو پھر چرانے یا اندازہ لگانے کے لیے کچھ نہیں بچتا۔ ون ٹائم پیڈز خفیہ کاری کا ایک ناقابل تسخیر طریقہ ہیں جب تک کہ آپ ان رازوں کو بنا سکیں اور انہیں چوری ہونے سے بچا سکیں۔ اور ون ٹائم پاس ورڈز جو عددی ہوتے ہیں، چھ ہندسوں کے کوڈز کو چرانا بہت، بہت مشکل ہوتا ہے۔ جب تک کہ آپ ان بنیادی رازوں کو خفیہ رکھ سکیں، جو انہیں بناتے ہیں۔

اب گوگل اور مائیکروسافٹ آتھنٹیکیٹر ون ٹائم پاس ورڈز کی ایک خاص ذیلی قسم ہیں جنہیں ٹائم بیسڈ ون ٹائم پاس ورڈز کہا جاتا ہے۔ اور اگر آپ کوئی ایسی ایپلی کیشن تلاش کرنا چاہتے ہیں جو ٹائم بیسڈ ون ٹائم پاس ورڈ کے معیار کو سپورٹ کرتی ہو، تو آپ یہ مخفف استعمال کرتے ہیں

وقت پر مبنی ون ٹائم پاس ورڈز (1:21:56)

T-O-T-P۔ تو OTP ون ٹائم پاس ورڈ، T-OTP وقت پر مبنی ون ٹائم پاس ورڈ ہے۔ اور وقت پر مبنی ہونے کا سیدھا سا مطلب یہ ہے کہ کوڈ موجودہ وقت سے منسلک ہوتا ہے اور ہر 30 سیکنڈ میں تبدیل ہوتا ہے۔ لہذا یہ چیزیں ایک خفیہ راز (secret) اور ایک گھڑی کا استعمال کرتی ہیں، جسے موجودہ وقت کے ساتھ کم و بیش درست طریقے سے ہم آہنگ ہونا چاہیے، تاکہ اس مخصوص وقت کے لیے مخصوص کوڈ تیار کیا جا سکے جب آپ اسے استعمال کرنا چاہتے ہیں۔ اور چونکہ یہ 30 سیکنڈ کا ٹائم ونڈو ہے، اس لیے آپ تھوڑا سا آگے پیچھے ہو سکتے ہیں اور آپ کے پاس اسے اپنی اسکرین پر دیکھنے اور ویب سائٹ میں درج کرنے کے لیے کچھ وقت ہوتا ہے۔ اب چونکہ جس ویب سائٹ یا ڈیوائس سے آپ جڑ رہے ہیں اس کے پاس بھی وہی راز ہوتا ہے اور گھڑی کم و بیش ہم آہنگ ہوتی ہے۔ تو یہ اندازہ لگا سکتا ہے کہ آپ کو کون سا کوڈ درج کرنا ہے۔ یہ عام طور پر ایک پہلے اور ایک بعد والے کوڈ کو دیکھتا ہے تاکہ اگر آپ تھوڑا سا آگے پیچھے ہوں تو اسے معلوم ہو سکے،

جیسے 30 سیکنڈ سے تھوڑا اوپر۔ یہ انہیں قبول کر لے گا۔ اور پھر آپ اپنی اسکرین پر موجودہ کوڈ دیکھتے ہیں، اور آپ کو ایک چھوٹا سا کاؤنٹ ڈاؤن نظر آئے گا۔ اور 30 سیکنڈ کے بعد، یہ تبدیل ہو جاتا ہے اور آپ کے پاس ایک نیا چھ ہندسوں کا نمبر آ جاتا ہے۔ تو اس کے کام کرنے کا طریقہ ایک نجی کلید کا استعمال ہے۔ اور اس نجی کلید سے، یہ ایک ڈیریویشن فنکشن (derivation function) استعمال کرتا ہے، جو مختلف قسم کی چیزیں ہو سکتی ہیں۔ مجھے نہیں معلوم کہ T-OTP کے لیے معیاری استعمال کیا ہے۔ میں فرض کر رہا ہوں کہ یہ وقت کے ساتھ کسی قسم کا ہیش میکانزم ہے۔ اور اس ڈیریویشن فنکشن کے ساتھ، یہ ہر 30 سیکنڈ میں نئے عددی کوڈ تیار کرتا ہے۔ اور آپ ترتیب سے، معاف کیجیے گا، رازوں اور موجودہ وقت سے، موجودہ وقت کے لیے درست کوڈ کا حساب لگا سکتے ہیں۔ راز خود اس کیو آر کوڈ (QR code) میں ہوتا ہے جو وہ سروس پہلی بار دکھاتی ہے جسے آپ استعمال کرنے کی کوشش کر رہے ہیں۔ تو جب آپ ان میں سے کسی ایک

ڈیوائس کو استعمال کرنے جاتے ہیں، اور وہ سب ہم آہنگ ہیں، تو چاہے آپ گوگل اتھنٹیکیٹر (Google Authenticator) استعمال کریں یا مائیکروسافٹ اتھنٹیکیٹر (Microsoft Authenticator) یا آٹھی (Authy) یا ڈوؤ (Duo) یا کوئی اور، اور زیادہ تر پاس ورڈ مینیجرز میں بھی ان میں سے ایک T-OTP سروس بلٹ ان ہوتی ہے۔ آپ کو بس اس ویب سائٹ یا سروس سے ایک کیو آر کوڈ اسکین کرنا ہوتا ہے جس میں آپ سیکنڈ فیکٹر اتھنٹیکیشن شامل کرنے کی کوشش کر رہے ہیں۔ اور اس کیو آر کوڈ میں ایک راز ہوتا ہے۔ وہ راز ایک الفانیومیرک (alphanumeric) تصادفی طور پر تیار کردہ اسٹرنگ ہے جو آپ کے اکاؤنٹ سے منسلک ہوتی ہے۔ اور ویب سائٹ اسے آپ کے لیے تصادفی طور پر تیار کرتی ہے۔ یہ ایک کیو آر کوڈ کے طور پر پیش ہوتا ہے۔ آپ اسے اپنے گوگل اتھنٹیکیٹر ڈیوائس سے اسکین کرتے ہیں، آپ کا گوگل اتھنٹیکیٹر ڈیوائس اسے راز کے طور پر ریکارڈ کرتا ہے، اور پھر موجودہ وقت کے لیے کوڈ تیار کرنا شروع کر دیتا ہے۔ پھر آپ ان کوڈز میں سے ایک کو ویب سائٹ میں درج کرتے ہیں۔ یہ ٹریک کر کے تصدیق کر سکتا ہے کہ آپ نے اسے درست طریقے سے حاصل کیا ہے اور کہتا ہے، ہاں، یہی وہ کوڈ تھا جس کی مجھے توقع تھی

اس 30 سیکنڈ کی ونڈو میں۔ اور اب آپ نے ٹو فیکٹر اتھنٹیکیشن قائم کر لی ہے۔ یقیناً ان کے ساتھ مشکل بیک اپ کی ہے۔ اور آپ کئی طریقوں سے بیک اپ لے سکتے ہیں۔ بیک اپ لینے کا ایک طریقہ، جو دراصل ایمانداری سے بیک اپ لینے کا سب سے محفوظ طریقہ ہو سکتا ہے، وہ ایک فزیکل پرنٹ آؤٹ ہے۔ تو جب آپ کی اسکرین پر وہ کیو آر کوڈ ہو تو پرنٹ دبائیں۔ میں فزیکل پرنٹ آؤٹ اس لیے کہتا ہوں، کیونکہ آپ کا رجحان کچھ اور کرنے کی طرف ہو سکتا ہے، جو کہ اس کی تصویر لینا ہے۔ اور یقیناً، اس کی تصویر لینے کے لیے، آپ اپنا اسمارٹ فون استعمال کرنے والے ہیں۔ مسئلہ یہ ہے کہ وہ تصویر کلاؤڈ میں محفوظ ہونے والی ہے۔ جس مقام پر یہ اب صرف گوگل اتھنٹیکیٹر میں، T-OTP اتھنٹیکیٹر میں ڈیوائس پر نہیں رہتی۔ اور اس مقام پر، یہ اب ایک محفوظ سیکنڈ فیکٹر نہیں ہے۔ کلاؤڈ میں

اپنے ٹو فیکٹر اتھنٹیکیشن رازوں کا بیک اپ بنانا ایک برا خیال ہے۔ دراصل اس بیک اپ سہولت کا استعمال کرنا بہتر ہے جو ٹو فیکٹر سافٹ ویئر میں ہو سکتی ہے، جو کم از کم آپ کی پسند کے پاس ورڈ کے ساتھ خفیہ کردہ (encrypted) ہوتی ہے۔ آپ وہ پاس ورڈ اپنے پاس ورڈ مینیجر میں کہاں رکھتے ہیں؟ اگر آپ دیکھ سکیں تو ہم یہاں دائروں میں گھوم رہے ہیں، اور بعض اوقات یہ الجھن کا باعث بن سکتا ہے۔ لہذا اگر آپ بیک اپ بنانا چاہتے ہیں تو کیو آر کوڈ پرنٹ کریں یا زیادہ تر سروسز کے ساتھ ایسا نہ کریں، اگر آپ اپنا ٹو فیکٹر اتھنٹیکیشن ٹوکن یا ایپ کھو دیتے ہیں، تو آپ ان سے اسے ری سیٹ کرنے کے لیے کہہ سکتے ہیں۔ اور وہ آپ کو کڑی آزمائشوں سے گزاریں گے، آئی ڈیز پکڑ کر اور سیلفیز لے کر اور ای میلز اور فون کالز اور اس جیسی دیگر چیزوں جیسے متعدد دیگر میکانزم کے ذریعے تصدیق کر کے۔ ان میں سے بہت سی سروسز آپ کو بیک اپ کوڈز کی ایک سیریز بھی دیں گی، جو پہلے سے شمار کیے گئے عددی کوڈز ہوتے ہیں جنہیں آپ متحرک طور پر تیار ہونے والے کوڈز کے بجائے درج کر سکتے ہیں

ٹو فیکٹر آتھنٹیکیشن کی درجہ بندی (1:26:44)

ایسے تیار کیے گئے ہیں جو جامد (static) ہوتے ہیں۔ اور یہ اس صورت کے لیے ہیں جب آپ اپنی آتھنٹیکیشن ڈیوائس کھو دیں۔ اور آپ انہیں کہاں محفوظ کرتے ہیں؟ آپ انہیں اپنے پاس ورڈ مینیجر میں محفوظ کرتے ہیں۔ لہذا ٹائم بیسڈ ون ٹائم پاس ورڈ ایپلیکیشن کے ساتھ ٹو فیکٹر آتھنٹیکیشن ایک مضبوط، موثر، اور استعمال میں آسان طریقہ کار ہے جسے آپ آج ہی اپنے تمام اکاؤنٹس میں شامل کر سکتے ہیں۔ اب آئیے سیکیورٹی کی درجہ بندی پر نظر ڈالتے ہیں۔ یونیورسل ٹو فیکٹر سیکیورٹی کلید، جو کہ بہت ہی مضبوط خفیہ کاری پر مبنی ہے۔ اگر آپ ان میں سے کئی کو رجسٹر کرتے ہیں اور انہیں محفوظ مقامات پر رکھتے ہیں، تو ان سے سمجھوتہ کرنا بہت مشکل ہے۔ بیک اپ لینا بہت آسان ہے، یہ ایک طبعی چیز ہے۔ آپ ایک اور طبعی چیز کو پاس رکھ کر اس کا بیک اپ لیتے ہیں۔ اس کی نقل بنانا ناممکن ہے اور آپ کے نوٹس کیے بغیر اسے چرانا ناممکن ہے۔ دوسرے درجے میں ٹائم بیسڈ ون ٹائم پاس ورڈز آتے ہیں جنہیں آپ QR کوڈ اسکین کر کے استعمال کرتے ہیں اور نیرج کی زیر بحث ایپلیکیشن جیسی کوئی ایپ استعمال کرتے ہیں۔ وہ آپ کو چھ ہندسوں کا

کوڈ ہر 30 سیکنڈ میں دیتے ہیں۔ ایک بار پھر، یہ آپ کے فون کو، یعنی وہ چیز جو آپ کی ملکیت ہے، دوسرا فیکٹر بناتا ہے، اور ان کا بیک اپ لینا قدرے مشکل ہے۔ اور اگر آپ کا فون چوری ہو جاتا ہے، تو ان تک رسائی حاصل کرنا آسان ہو سکتا ہے۔ میں ٹو فیکٹر آتھنٹیکیشن ایپ پر ہی فنگر پرنٹ لگانا پسند کرتا ہوں تاکہ آپ فنگر پرنٹس کا استعمال کیے بغیر عددی کوڈز نہ دیکھ سکیں۔ اب، یہ بنیادی طور پر دوسرے فیکٹر کے اوپر ایک تیسرا فیکٹر ہے، جو مجھے اس صورت میں تحفظ فراہم کرتا ہے جب کوئی میرا فون چرا لے اور وہ اس وقت کھلا ہو اور وہ میری ٹو فیکٹر ایپ میں داخل ہو سکتے ہوں، لیکن وہ ایسا نہیں کر سکتے۔ اور آخر میں، سب سے نچلا درجہ ٹیکسٹ میسج ٹو فیکٹر آتھنٹیکیشن ہے، جو یقیناً اس وقت تک محفوظ نہیں ہے جب تک کہ آپ کے پاس کوئی اور آپشن نہ ہو، اس صورت میں یہ کچھ نہ ہونے سے بہتر ہے۔ تو یہ ٹو فیکٹر آتھنٹیکیشن کے درجات ہیں۔ آئیے دیکھتے ہیں کہ ہمارے پاس اور کون سے سوالات ہیں جبکہ

میں یہاں ایک مختصر وقفہ لیتا ہوں۔ اور میں اپنے سرپرستوں کی ایک ویڈیو چلانے جا رہا ہوں، جو آپ کو بتاتی ہے کہ آپ کو آن لائن میرے کام کی حمایت کیوں کرنی چاہیے۔ تو آج ہم جو کر رہے ہیں، اور جو میں ہمیشہ کرنے کی کوشش کرتا ہوں وہ یہ ہے کہ آپ کو بٹ کوائن اور اوپن بلاک چینز کے بارے میں اعلیٰ معیار کا تعلیمی مواد اس طرح فراہم کروں جو اسپانسرز کے بغیر، توثیق کے بغیر، مشتہرین کو فروخت کیے بغیر یا کارپوریٹ مفادات کا پابند ہوئے بغیر غیر جانبدار ہو۔ آپ کے علاوہ کوئی بھی اس کے لیے ادائیگی نہیں کر رہا ہے۔ اور اس لیے اگر آپ کو یہ تعلیم پسند ہے، اگر آپ نے اس تعلیم سے فائدہ اٹھایا ہے، یا یہاں تک کہ اگر آپ محض واپس دینا چاہتے ہیں اور دوسروں کی مدد کرنا چاہتے ہیں، یہ تعلیم حاصل کریں اور میری اور میری ٹیم کی اس کام کو جاری رکھنے اور اسے بہتر اور وسیع تر انداز میں کرنے میں مدد کریں، تو براہ کرم یوٹیوب ممبرشپ یا اس سے بھی بہتر ماہانہ پیٹرن سبسکرپشن کے ساتھ میری حمایت کرنے پر غور کریں۔ اور میرے سرپرستوں کے الفاظ میں، اس کی وجہ یہ ہے۔

• میں اینڈریاس کا سرپرست ہوں کیونکہ میں نے آن لائن اس کی ویڈیوز دیکھیں اور اسی طرح میں نے بٹ کوائن کے بارے میں سیکھا۔ تو اس طرح میرا بٹ کوائن سے تعارف ہوا۔ - میں آج رات اینڈریاس کے زیر اہتمام ایک سماجی تقریب میں باہر ہوں، جو اس کے ادا شدہ سرپرستوں کی حمایت کا حصہ ہے۔ ڈاون ٹاؤن لندن میں بس کچھ مشروبات پیے، تو یہ واقعی ایک تفریحی شام رہی ہے۔ بہت سے ہم خیال لوگوں سے ملنے کا موقع ملا۔ - ہمیں اینڈریاس کے کام کی حمایت کرنی چاہیے۔ وہ نئے لوگوں کو بٹ کوائن اور بٹ کوائن کی تعلیم میں لانے کے لیے بہت کچھ کر رہا ہے۔ - وہ ایک بہترین استاد ہے۔ وہ بہت پیچیدہ موضوعات کو سمجھنے میں آسان طریقے سے بیان کر سکتا ہے۔ وہ بہت ایماندار اور بہت درست ہے۔ وہ تیار اور فکری طور پر ایماندار ہو سکتے ہیں۔ مجھے لگتا ہے کہ یہ اس کی بہترین خصوصیت ہے۔ - وہ ایک واقعی پیچیدہ موضوع جو کہ بٹ کوائن اور اس کے ارد گرد کی انڈسٹری ہے، میں اتنی وضاحت لاتا ہے۔ - اس نے

میرے لیے بہت، بہت اچھی تحریک دی ہے اور ہر بٹ کوائن جو میں اسے دے رہا ہوں، وہ ہمیں بٹ کوائن کو سمجھنے میں مدد کرنے کے لیے بہت اچھی طرح استعمال ہوگا۔ اور مجھے لگتا ہے کہ یہ کسی موڑ پر دنیا کو بہتر بنائے گا۔ - ایک سرپرست ہونے کے ناطے مجھے اینڈریاس سے ملنے کا موقع ملتا ہے اور اسی لیے مجھے سرپرست ہونا پسند ہے اور میں سرپرست رہنا جاری رکھوں گا۔ - مجھے لگتا ہے کہ یہ بس ایک اچھی چیز ہے۔ اگر آپ نئی چیزیں سیکھنے میں دلچسپی رکھتے ہیں اور بٹ کوائن کمیونٹی کی حمایت بھی کرنا چاہتے ہیں، تو آپ کو ایک سرپرست بننا چاہیے۔ - ایک سرپرست ہونا آپ کو خاص محسوس کراتا ہے۔ آپ اس کے لائیو Q&A سیشنز میں شرکت کر سکتے ہیں۔ آپ اس سے ہیپی آورز میں مل سکتے ہیں۔ یہ واقعی بہت اچھا ہے، مکمل طور پر قابل قدر ہے۔ میں سرپرست بننے پر بہت، بہت پرجوش ہوں۔ - میں چاہوں گا کہ وہ مستقبل میں اشتہارات سے پاک اپنا زبردست اور قیمتی مواد تیار کرنے کے قابل ہو اور بس

سوال و جواب: فون نمبرز کی منتقلی اور ایپ کی سیکیورٹی (1:31:37)

اپنے سرپرستوں کی مدد سے۔ اور اسی لیے میں پیٹرون (patron) پر ان کی حمایت کر رہا ہوں۔ (ہلکی موسیقی) - ٹھیک ہے، اس سے پہلے کہ ہم اگلے سوال کی طرف بڑھیں، چیٹ میں کچھ زبردست فالو اپس آئے ہیں۔ جو میرے پروڈیوسر نے مددگار ثابت ہوتے ہوئے میرے لیے پوسٹ کیے ہیں۔ تو سب سے پہلے ہمارے پاس لوسیا (Lucia) کی طرف سے ایک فالو اپ ہے، کیا کسی بھی فون نمبر کو غیر انسانی کسٹمر سروس پر منتقل (port) کیا جا سکتا ہے؟ یہ اس ملک پر منحصر ہے جہاں آپ رجسٹرڈ ہیں۔ ٹیلی کام فراہم کنندگان کے درمیان پورٹیبلٹی کے حوالے سے مختلف ممالک کے مختلف قوانین ہیں۔ لیکن سچ کہوں تو، زیادہ تر یورپی ممالک اور یقینی طور پر شمالی امریکہ، میں جانتا ہوں کہ ریاستہائے متحدہ اور کینیڈا میں ایسا ہی ہے، کیریئرز کو پورٹنگ کی درخواستوں کا احترام کرنے کا پابند کرتے ہیں۔ اور اس کا مطلب یہ ہے کہ درست طریقہ کار کے ساتھ، آپ اپنا نمبر منتقل کر سکتے ہیں اور اسے کھوئے بغیر کسی نئے کیریئر پر جا سکتے ہیں۔ اور پھر آپ ایک ایسے کیریئر پر جا سکتے ہیں جو کہ، بغیر کسٹمر

سروس، بغیر انسانوں والا کیریئر ہو۔ Google fi وہ ہے جس کے بارے میں میں نے وہاں سب سے زیادہ سنا ہے۔ ان میں سے بہت سے ہو سکتے ہیں، دیگر جو نمبر پورٹنگ حملوں کے خلاف اسی طرح محفوظ ہیں۔ میں اس کا حامی ہوں، حالانکہ واضح وجوہات کی بنا پر اس میں رازداری کے کچھ خطرات ہیں۔ دوسرا سوال بین (Ben) کی طرف سے ہے اور بین کہتا ہے کہ یہ کیسے معلوم کیا جائے کہ آپ کی ایپ خفیہ کلید لیک نہیں کر رہی ہے۔ بین، آپ یہ نہیں جان سکتے کہ آپ کی ایپ خفیہ کلید لیک نہیں کر رہی ہے۔ آپ صرف ان ایپس کے ساتھ جا سکتے ہیں جو بہت سے لوگوں کے ذریعہ سیکیورٹی ماحول میں استعمال ہوتی ہیں، جن کا آڈٹ اور جائزہ لیا گیا ہو، شاید اوپن سورس ہوں جن کے کوڈ کا آڈٹ کیا گیا ہو، جو قابل اعتماد کمپنیوں کے ذریعہ بنائی گئی ہوں۔ جو سیکیورٹی کو سنجیدگی سے لیتی ہیں، جن کا چیزوں کو نہ توڑنے کا ایک طویل ٹریک ریکارڈ ہے۔ اس کے لیے کاؤنٹر پارٹی پر اعتماد کی ضرورت ہوتی ہے۔ تاہم، میں نے جس بھی چیز کے بارے میں بات کی ہے اس میں کاؤنٹر پارٹی پر اعتماد کی ضرورت ہوتی ہے۔ تو پھر سوال یہ ہے کہ آپ کتنا اعتماد

کاؤنٹر پارٹی پر کر رہے ہیں اور یہ کاؤنٹر پارٹی کون ہے؟ اور اس کا متبادل کیا ہے؟ اور اگر متبادل کسی ایپ کا استعمال نہ کرنا اور یادداشت پر انحصار کرنے کی کوشش کرنا ہے، تو دراصل متبادل اس سے بھی بدتر ہے۔ اور یہ وہ محتاط توازن ہے جو آپ کو سیکیورٹی میں برقرار رکھنا ہوتا ہے۔ ہم تیزی سے دیکھ رہے ہیں کہ زیادہ سے زیادہ کمپنیاں لامركزی تصدیق، غیر مرکزی شناخت، لامركزی توثیق کے لیے مختلف میکانزم نافذ کرنے کی کوشش کر رہی ہیں، جو زیادہ محفوظ ہیں۔ مثال کے طور پر بٹ کوائن یا ایتھیریم پر ملٹی سگ اکثر ایسی خدمات کی بنیاد ہوتا ہے۔ لیکن فی الحال یہ خدمات نسبتاً ناپختہ ہیں، وسیع پیمانے پر تعینات نہیں ہیں اور ابھی تک اس قسم کے حل کے لیے موزوں نہیں ہیں۔ لہذا اس شعبے میں مستقبل کے لیے بہت پرامید ہوں۔ اس دوران، آپ کو جو سوال پوچھنا چاہیے، وہ یہ ہے کہ کیا بہتر ہے، ایک ایسی مرکزی سروس کا استعمال کرنا جس کا ٹریک ریکارڈ اچھا ہو یا کسی سروس کا بالکل استعمال نہ کرنا، اور اس پر انحصار کرنے کی کوشش کرنا

یادداشت؟ اور میں اس کا حتمی جواب دے سکتا ہوں کہ کسی قابل اعتماد یا ایسی کمپنی کا پاس ورڈ مینیجر استعمال کرنا جس کا ٹریک ریکارڈ اچھا ہو، پاس ورڈ مینیجر استعمال نہ کرنے اور غلطی کرنے والی یادداشت، غلطی کرنے والی بے ترتیبی اور DIY حل پر انحصار کرنے کی کوشش کرنے سے بہتر ہے جو آپ کی تکنیکی صلاحیت سے تجاوز کر سکتے ہیں۔ آئیے اگلے سوال کی طرف چلتے ہیں۔ یہ ٹرکسی (Trixie) کی طرف سے ہے، اینڈریاس (Andreas) چشمہ بہت پسند آیا۔ مجھے بھی۔ شکریہ ٹرکسی۔ ان کے ساتھ، میں دراصل پڑھ سکتا ہوں کہ میرے لیپ ٹاپ پر کیا ہے۔ میں دو قسم کی لائیو اسٹریم کرتا ہوں۔ کچھ تھوڑی زیادہ وقتی (ad hoc) ہوتی ہیں، زیادہ تر سوالات پر مبنی ہوتی ہیں۔ مجھے زیادہ پڑھنے کی ضرورت نہیں ہوتی کہ میرے لیپ ٹاپ پر کیا ہو رہا ہے۔ میرے پاس وہاں ایک اچھا اسٹوڈیو مانیٹر ہے، جو اتنی دور ہے کہ میں اسے اپنی کمزور ہوتی بینائی کے ساتھ پڑھ سکتا ہوں۔ اور کچھ آج کی طرح تھوڑی زیادہ پیچیدہ ہوتی ہیں۔ مجھے بہت کچھ کرنا پڑتا ہے

سوال و جواب: بینک SMS کو مضبوط تصدیق میں تبدیل کرنا (1:36:01)

پڑھنے کا۔ میرا لیپ ٹاپ میز پر ہے۔ اور اس لیے مجھے ان چیزوں کی ضرورت ہے۔ لیکن آپ کا شکریہ، ہم موضوع سے ہٹ گئے۔ اس سوال کے اصل مدعے کی طرف واپس آتے ہیں۔ میں اپنے ایڈیٹر کے لیے دوبارہ شروع کروں گا۔ ٹرکسی پوچھتی ہیں، کیا کوئی ایسا طریقہ ہے جس سے میں بینک کے ان بیوقوفانہ ٹیکسٹ پیغامات کو آفی (Authy) یا کسی ملتی جلتی چیز میں تبدیل کر سکوں؟ ایک وقت پر مبنی ون ٹائم پاس ورڈ سسٹم۔ آفی ان وقت پر مبنی T-OTP، ٹائم بیسڈ ون ٹائم پاس ورڈز میں سے ایک ہے۔ ٹرکسی نہیں، ایسا کوئی طریقہ نہیں ہے۔ جب تک کہ آپ کے بینک کے پاس کوئی ایسا طریقہ کار نہ ہو جو ٹیکسٹ پیغام کے علاوہ کسی اور چیز کو سپورٹ کرتا ہو، آپ وقت پر مبنی ون ٹائم پاس ورڈ استعمال نہیں کر سکتیں۔ اس صورت میں صحیح جواب یہ ہے کہ ٹیکسٹ میسجنگ کا استعمال کریں، لیکن اپنے فون فراہم کنندہ کو کسی ایسے میں تبدیل کریں جو مضبوط تصدیقی طریقہ کار کا تقاضا کرتا ہو، جیسے کہ وقت پر مبنی ون ٹائم پاس ورڈ، یا اس سے بھی بہتر، سیکیورٹی کلید کے ساتھ یونیورسل ٹو فیکٹر یا جہاں آپ ان اختیارات کو ترتیب دے سکیں۔ تاکہ آپ کا نمبر پورٹ نہ کیا جا سکے کیونکہ اس کے لیے ایک مضبوط تصدیق کی ضرورت ہوتی ہے۔ اور

اگر آپ کا نمبر پورٹ کیا جا سکتا ہے، تو آپ کا بینک ٹیکسٹ پیغام بہت، بہت زیادہ محفوظ ہے۔ تو یہ ٹرکسی کی طرف سے ایک زبردست سوال تھا۔ آئیے دیکھتے ہیں کہ ہمارے پاس یہاں اور کون سے سوالات ہیں۔ مجھے زیادہ اور سوالات نظر نہیں آ رہے، تو، اوہ، اور یہ لیجیے۔ اوہ، ماڈریٹرز اب تیزی سے، بہت تیزی سے سوالات نکال رہے ہیں اور انہیں میرے لیے قطار میں لگا رہے ہیں، تاکہ ہم کچھ اور سوالات تلاش کر سکیں۔ مجھے امید ہے کہ آپ آج کے سیشن سے لطف اندوز ہو رہے ہوں گے۔ تو آئیے اب تک جو کچھ ہم نے سیکھا ہے اس کا ایک مختصر جائزہ لیتے ہیں۔ سیکیورٹی کبھی بھی سو فیصد نہیں ہوتی، سیکیورٹی کا مطلب اپنی تکنیکی صلاحیت کے اندر رہتے ہوئے حقیقت پسندانہ خطرات کا انتظام کرنا ہے، جس کے لیے آپ کو سب سے آسان اور مستقل طور پر لاگو ہونے والا حل تلاش کرنا ہوتا ہے، جسے دیگر حلوں کے ساتھ تہہ در تہہ کیا جاتا ہے تاکہ ایک پرعزم حملہ آور کے خلاف رکاوٹوں کا ایک سلسلہ فراہم کیا جا سکے۔ اگر آپ سیکیورٹی کو صحیح طریقے سے انجام دیتے ہیں، تو آپ ان اقدامات کے ساتھ آرام دہ ہو جاتے ہیں۔ آپ انہیں مستقل طور پر لاگو کر سکتے ہیں، اور آپ

کے پاس اتنی تہیں ہوتی ہیں جو آپ کی مہارتوں اور آپ کے خطرے کے ماحول دونوں سے احتیاط کے ساتھ مطابقت رکھتی ہیں تاکہ اسے ایسا بنایا جا سکے کہ حملہ آور کے پاس آپ پر حملہ کرنے کے لیے نہ تو وقت ہو، نہ وسائل، نہ بجٹ، اور نہ ہی دلچسپی، انعام، ہو۔ اور اس کے بجائے وہ کسی ایسے شخص پر حملہ کرتے ہیں جو ایک آسان ہدف ہو، اور بنیادی طور پر یہی سیکیورٹی ہے۔ آپ اس میں کامل نہیں ہو سکتے۔ درحقیقت، آپ انسان ہیں۔ لہذا آپ، تعریف کے لحاظ سے، نامکمل ہوں گے۔ آپ کو اسے مستقل طور پر اور اپنی مہارت کی سطح کے اندر رہتے ہوئے انجام دینے کے قابل ہونا چاہیے، جس کا مطلب ہے کہ اسے کافی حد تک سادہ ہونا چاہیے۔ اسے کسی ایک ٹول، تکنیک، مشق یا عمل سے حل نہیں کیا جا سکتا، اس لیے آپ کو متعدد ٹولز، متعدد تکنیکوں، متعدد اعمال کا استعمال کرنا ہوگا، جنہیں ایک ساتھ تہہ در تہہ کیا گیا ہو، ترجیحی طور پر سیکیورٹی کے متنوع طریقہ کار جو حملہ آوروں سے مختلف مہارتوں کا تقاضا کرتے ہوں جو مختلف خطرات سے تحفظ فراہم کرتے ہوں تاکہ آپ انہیں تہہ در تہہ کر کے ایک جامع نظام تشکیل دے سکیں۔ اور یہ پھر بھی آپ کو

سو فیصد سیکیورٹی تک نہیں پہنچائے گا، لیکن، آپ جانتے ہیں، اگر آپ اسے مستقل طور پر کرتے ہیں، اور اگر آپ اسے جان بوجھ کر کرتے ہیں، اور اگر آپ اسے اپنی خطرے کی ضروریات اور اپنی مہارت کی سطح دونوں کے مطابق اچھی طرح سے ڈھالتے ہیں، تو آپ ان لوگوں کے ایلیٹ گروپ میں شامل ہو سکتے ہیں جو ایمانداری سے کہہ سکتے ہیں کہ، مجھے سالوں سے ہیک نہیں کیا گیا۔ یہ سب سے بہترین چیز ہے جو آپ کر سکتے ہیں، لیکن یہ عام طور پر کافی اچھا ہوتا ہے۔ اور یہ آپ کو بہت سے دوسرے لوگوں سے کہیں آگے لے جاتا ہے۔ ایک گمنام صارف پوچھتا ہے، کیا آپ پاس ورڈ مینیجرز کے بارے میں کسی ایسے شخص کے لیے کوئی خدشات یا تجاویز شیئر کر سکتے ہیں جس نے ابھی تک ان کا قریب سے موازنہ کرنے یا کسی کو آزمانے کا وقت نہیں نکالا۔ میں نے سالوں کے دوران بہت سے مختلف پاس ورڈ مینیجرز استعمال کیے ہیں، کچھ ایسے ہیں جو بہت، بہت عام طور پر استعمال ہوتے ہیں جو میرے پسندیدہ نہیں ہیں۔ جنہیں میں ہچکچاہٹ کے ساتھ وقتاً فوقتاً یا ہر وقت استعمال کرتا ہوں، اس کا انحصار اس ڈیوائس پر ہے جس پر میں ہوں۔ کچھ ایسے ہیں جو مقبولیت کھو چکے ہیں

یا پسندیدگی سے باہر ہو گئے ہیں۔ اور کچھ نئے ہیں جو اہمیت حاصل کر رہے ہیں۔ میں واقعی آپ کو یہ نہیں بتا سکتا کہ آپ کے لیے کیا صحیح ہوگا۔ میں آپ کو بتا سکتا ہوں کہ شاید دو سب سے زیادہ مقبول سسٹمز میں سے ایک کا نام لاسٹ پاس (LastPass) ہے اور دوسرے کا نام ون پاس ورڈ (1Password) ہے، ایک نمبر 1، جس کے بعد لفظ پاس ورڈ، سب ایک ہی لفظ میں۔ ون پاس ورڈ اور لاسٹ پاس شاید سب سے زیادہ مشہور ہیں۔ اس کے علاوہ مختلف صلاحیتوں اور امتیازی خصوصیات کے ساتھ کئی دوسرے سسٹمز بھی موجود ہیں۔ قدرے نئے سسٹمز میں سے ایک جسے میں دلچسپی سے دیکھ رہا ہوں وہ بٹ وارڈن (Bitwarden) ہے، کیونکہ یہ ایک اوپن سورس سسٹم ہے جو ملٹی پلیٹ فارم ہے اور اس کا ڈھانچہ کافی بہتر بنایا گیا ہے۔ لیکن آخر کار، جیسا کہ میں نے مثال کے طور پر ہارڈویئر والیٹس بنانے والوں کے لیے یہی مشورہ دیا ہے، میں آپ کو ہمارے پاس ورڈ مینیجرز کے لیے بھی یہی مشورہ دوں گا۔ فرض کریں کہ سرفہرست تین، چار کے درمیان فرق،

سوال و جواب: پاس ورڈ مینیجرز کا موازنہ (1:41:43)

اس فیلڈ میں پانچ کمپنیاں ہیں جہاں ان پروڈکٹس کے درمیان بہت معمولی فرق ہے۔ وہ سب کافی اچھے ہیں۔ وہ سب کافی محفوظ ہیں۔ وہ سب کافی حد تک یکساں ہیں۔ ٹاپ چار یا پانچ پاس ورڈ مینیجرز میں سے کسی ایک کو استعمال کرنے اور بالکل بھی پاس ورڈ مینیجر نہ ہونے، یا اپنی یادداشت پر بھروسہ کرنے یا اپنا حل خود بنانے کی کوشش کرنے کے درمیان بہت بڑا فرق ہے۔ لہذا سوال یہ نہیں ہے کہ مجھے ان میں سے کون سا استعمال کرنا چاہیے؟ بلکہ یہ ہے کہ کیا مجھے کوئی ایک استعمال کرنا چاہیے، اس کا جواب ہاں ہے، اور زیادہ وقت ضائع نہ کریں۔ اس بارے میں سوچنے کا ایک طریقہ یہ ہے کہ آپ کے خاندان کے دوسرے لوگ کیا استعمال کر رہے ہیں؟ تاکہ آپ آسانی سے ان کے ساتھ پاس ورڈ شیئر کر سکیں۔ ان میں سے زیادہ تر چیزیں بند ایکو سسٹم ہیں۔ لہذا اگر آپ کے خاندان میں ہر کسی کے پاس Bitwarden ہے، تو بہتر ہے کہ آپ بھی Bitwarden استعمال کریں۔ اگر آپ کی کمپنی یا آپ کا آجر کوئی ایک استعمال کر رہا ہے، تو آپ کے لیے شاید

اپنے ذاتی کاموں کے لیے بھی وہی استعمال کرنا بہتر ہوگا، بشرطیکہ آپ دو الگ الگ اکاؤنٹ رکھ سکیں، تاکہ آپ کو بہت زیادہ ایپلیکیشنز نہ چلانی پڑیں اور زیادہ پیچیدگی نہ ہو۔ ایک بار پھر، اسے سادہ رکھیں۔ آپ کو صرف یہ سوال پوچھنا چاہیے کہ میں کتنی جلدی ان میں سے کسی ایک کو چلا سکتا ہوں اور پھر اسے مناسب طریقے سے محفوظ کر سکتا ہوں، اور پھر جا کر تمام ویب سائٹس پر اپنے تمام پاس ورڈ تبدیل کر سکتا ہوں، جس کی شروعات سب سے اہم ویب سائٹس سے ہو۔ ایک گمنام صارف پوچھتا ہے کہ کیا Google Authenticator کا ابتدائی سیٹ اپ، اور ایک سمیٹرک کلید کا نفاذ، بٹ کوائن کے برعکس ہے، جو غیر متناسب خفیہ کاری استعمال کرتا ہے۔ ہاں، ایسا ہی ہے۔ اور مجھے نہیں معلوم کہ T-OTP معیار کیا ہے کیونکہ میں نے اسے کبھی نہیں دیکھا۔ ہو سکتا ہے کہ یہ سمیٹرک خفیہ کاری بھی نہ ہو۔ یہ پاس ورڈ اسٹریچنگ الگورتھم ہو سکتا ہے۔ درحقیقت، امکان ہے کہ یہ کسی قسم کی ترتیب ہے جو اس پر مبنی ہے

ہیشز کا استعمال کرتے ہوئے اخذ کرنا۔ لیکن مجھے نہیں معلوم، میں نے اس پر غور نہیں کیا۔ یہ غیر متناسب نہیں ہے، یہ میں آپ کو بتا سکتا ہوں۔ لہذا یہ نجی اور عوامی کلید کا نظام نہیں ہے۔ سمیٹرک خفیہ کاری کیا ہے؟ غیر متناسب خفیہ کاری کیا ہے؟ یہ ایک اور سوال ہے جو چیٹ میں سامنے آیا۔ غیر متناسب خفیہ کاری وہ ہوتی ہے جب ایک جوڑے میں دو کلیدیں ہوتی ہیں اور ہم انہیں نجی اور عوامی کلید کہتے ہیں اور جو کچھ ایک کے ذریعے انکرپٹ کیا جاتا ہے اسے صرف دوسری کے ذریعے ہی رمز کشائی کیا جا سکتا ہے اور اسی طرح اس کے برعکس بھی۔ لہذا اگر آپ اپنی نجی کلید کے ساتھ کسی چیز کو انکرپٹ کرتے ہیں، تو اسے صرف آپ کی نجی، آپ کی عوامی کلید کے ساتھ ہی رمز کشائی کیا جا سکتا ہے۔ اور اگر آپ کسی چیز کو عوامی کلید کے ساتھ انکرپٹ کرتے ہیں، تو صرف نجی کلید والا شخص ہی اس کی رمز کشائی کر سکتا ہے۔ اور ان تکنیکوں کا مجموعہ ڈیجیٹل دستخطوں کے لیے استعمال ہوتا ہے۔ اور یہ دو وصول کنندگان کے درمیان ڈیٹا کی خفیہ کاری اور رمز کشائی کے لیے استعمال ہوتا ہے۔ تاہم، اس کا مطلب یہ ہے کہ

کہ اگر آپ میرے لیے کسی چیز کی رمز کشائی کرنا چاہتے ہیں، تو آپ کو میری عوامی کلید کی ضرورت ہے۔ اگر آپ اسے میری عوامی کلید پر انکرپٹ کرتے ہیں، جو کہ عوامی ہے اور شیئر کرنا آسان ہے، تو صرف میں ہی اس کی رمز کشائی کر سکتا ہوں۔ اگر آپ اسے بہت سے لوگوں کے لیے انکرپٹ کرنا چاہتے ہیں، تو آپ کو ان سب کی عوامی کلیدوں کی ضرورت ہوگی اور آپ کو اسے ان سب کی عوامی کلیدوں پر الگ الگ انکرپٹ کرنا ہوگا۔ سمیٹرک خفیہ کاری وہ ہے جہاں آپ کے پاس ایک ہی کلید ہوتی ہے جو خفیہ کاری اور رمز کشائی دونوں کے لیے استعمال ہوتی ہے۔ اور درحقیقت، 1970s کی دہائی تک سمیٹرک خفیہ کاری ہی خفیہ کاری کا طریقہ کار تھا۔ غیر متناسب خفیہ کاری، میرا خیال ہے اگر میں غلط نہیں ہوں تو، 1970s کی دہائی تک ایجاد نہیں ہوئی تھی۔ تو یہ سمیٹرک اور غیر متناسب کے درمیان فرق ہے۔ مجھے دیکھنے دیں، میرا خیال ہے کہ میرے پاس یہاں ایک اور سوال ہے۔ کارلوس کی طرف سے ایک اور فالو اپ۔ ہم تصدیق کے لیے بٹ کوائن کے دستخط کب استعمال کریں گے؟ آپ آج بھی تصدیق کے لیے بٹ کوائن کے دستخط استعمال کر سکتے ہیں۔ مسئلہ یہ ہے کہ آپ کو

محتاط رہنا ہوگا کہ اسے کیسے ترتیب دیا جائے اور یہ سمجھنا ہوگا کہ آپ بالکل کیا ثابت کر رہے ہیں۔ ایک بٹ کوائن دستخط اور عام طور پر تصدیق کے لیے ڈیجیٹل دستخطوں کا استعمال بہت مخصوص اور بہت محدود چیزوں کو ثابت کرتا ہے۔ تو فرض کریں کہ آپ مجھے اپنی بٹ کوائن نجی کلید کے ساتھ ایک پیغام پر دستخط کرنے اور ایک دستخط تیار کرنے کے لیے کہتے ہیں، اور پھر اسے دنیا کے ساتھ شیئر کرنے کو کہتے ہیں۔ خیر، یہاں کچھ چیزیں ہیں جو میں ثابت کرتا ہوں۔ میں ثابت کرتا ہوں کہ جس وقت دستخط بنائے گئے تھے، میرے پاس نجی کلید موجود تھی۔ یقیناً، اس کا مطلب یہ نہیں ہے کہ میں نے وہ دستخط برسوں پہلے تیار نہیں کیے تھے۔ آپ نہیں جانتے کہ دستخط کب تیار کیے گئے ہیں۔ دوسری بات یہ ہے کہ اسے ایک قابل عمل اسکیم میں استعمال کرنے کے لیے، جو شخص دستخط مانگ رہا ہے اسے وہ کرنا ہوگا جسے چیلنج ریسپانس کہا جاتا ہے۔ میں صرف یہ نہیں کہہ سکتا کہ کسی چیز پر دستخط کریں، کیونکہ اگر مجھے مل جائے

سوال و جواب: تصدیق کے لیے بٹ کوائن کے دستخط (1:47:01)

پیغام منتخب کرنے کے لیے، میں بنیادی طور پر ایک ایسا پیغام منتخب کر سکتا ہوں جس پر کسی اور نے ماضی میں بہت پہلے دستخط کیے ہوں، ان کے کیے گئے دستخط پیش کروں اور آپ کو بتاؤں کہ یہ میں نے ابھی کیا ہے۔ اور آپ کے پاس یہ جاننے کا کوئی طریقہ نہیں ہے کہ یہ سچ ہے یا نہیں۔ لہذا اس کے بجائے اس منظر نامے میں، آپ کو چیلنج ریسپانس (challenge response) کی ضرورت ہوتی ہے۔ تو میں یہ کہوں گا کہ براہ کرم، CarlosM، ایک ایسے پیغام پر دستخط کریں جس میں لکھا ہو، میں CarlosM آج دسمبر کی جو بھی پانچ تاریخ ہے؟ مجھے تو یہ بھی نہیں معلوم، دسمبر کی جو بھی تاریخ ہے، پانچ، 2020، میں اپنی نجی کلید کے قبضے میں ہوں۔ اور میں اینڈریاس کی درخواست پر اس پیغام پر دستخط کر رہا ہوں۔ تو کیا آپ سمجھ رہے ہیں کہ میں یہاں کیا کہہ رہا ہوں؟ اس سے یہ ہوتا ہے کہ یہ اسے وقت کے ساتھ جوڑ دیتا ہے۔ آپ کو معلوم نہیں ہوگا کہ پیغام کیا ہے جب تک کہ میں آپ سے کسی مخصوص پیغام پر دستخط کرنے کو نہ کہوں۔ آپ اسے کسی مخصوص سرگرمی سے جوڑتے ہیں۔ میں نے آپ سے

اس میں اس وقت کے بارے میں معلومات شامل کرنے کو کہا ہے جب آپ نے اس پر دستخط کیے تھے اور دستخط کنندہ کی شناخت بھی۔ اس سے یہ بہت مشکل ہو جاتا ہے، لیکن پھر بھی، مجھے نہیں معلوم کہ کارلوس نے اس پر دستخط کیے ہیں یا نہیں۔ ہم نے اسی طرح کی گفتگو اس وقت کی تھی جب ہم نے امریکہ میں تجویز کردہ اور یورپی یونین میں پہلے سے نافذ العمل نئے سفری قوانین کے لیے یہ ثابت کرنے کے لیے والیٹس کے ساتھ دستخط کرنے کے بارے میں بات کی تھی کہ آپ ایک پتہ کے مالک ہیں۔ اور یقیناً، اگر کارلوس یہ ثابت کرنا چاہتا کہ وہ ایک پتہ کا مالک ہے اور میں اسے اس طرح کا کوئی پیغام دیتا، تو اسے بس اتنا کرنا تھا کہ وہ پیغام جمی کو دے، جمی سے اس پر یہ کہتے ہوئے دستخط کروائے کہ، یہ کارلوس ہے، اسے واپس کارلوس کو دے، کارلوس اسے مجھے دے، اور مجھے لگتا ہے کہ اس سے یہ ثابت ہوتا ہے کہ کارلوس کے پاس نجی کلید ہے جبکہ حقیقت میں وہ جمی کے پاس ہوتی ہے اور وہ مل کر کام کر رہے ہوتے ہیں۔ تو یہ پیچیدہ ہے۔ یہ

اتنا سادہ نہیں ہے جتنا پہلی نظر میں لگتا ہے۔ ٹھیک ہے، دیکھتے ہیں۔ میں شاید ایک اور سوال کا جواب دوں گا۔ اوہ، یہ ایک اچھا سوال ہے۔ مجھے واقعی یہ پسند آیا۔ یہ جیف کی طرف سے ایک سوال ہے۔ جیف ٹیزوس پوچھتے ہیں، ان پاس ورڈز کا کیا ہوگا جو آپ کو اپنے ٹی وی کے ریموٹ یا اسی طرح ایمیزون، نیٹ فلکس پر دستی طور پر درج کرنے پڑتے ہیں۔ یہ کتنا طویل اور مشکل ہونا چاہیے؟ جیف، میں نے اس مسئلے کا سامنا کیا ہے۔ اور میرے پاس اس کا جواب ہے، جو میں آپ کو بس ایک سیکنڈ میں دوں گا۔ اب، اس منظر نامے کا تصور کریں جس کے بارے میں جیف بات کر رہا ہے، آپ نے اپنے نیٹ فلکس اکاؤنٹ کے لیے علامتوں کے ساتھ ایک منفرد الفا نیومرک 32 حروف پر مشتمل کلید بنانے کے لیے اپنا پاس ورڈ مینیجر استعمال کیا ہے۔ اب آپ کو اسے سمارٹ روکو ٹی وی (Roku TV) کے کی بورڈ پر درج کرنا ہے، جہاں ہر حرف کو کی بورڈ پر درست حرف تک اپنے چھوٹے کرسر کو لے جا کر، انٹر دبا کر درج کرنا پڑتا ہے،

اور پھر واپس جا کر اور نیچے کیپس لاک (caps lock) پر جا کر اور کیپس لاک کو آن کر کے اور اوپر جا کر اور بڑے حرف پر جا کر اور پھر کیپس لاک کو آف کر کے اور پھر علامت پر جا کر اور عددی کی بورڈ پر سوئچ کر کے۔ اوہ خدایا، اس میں گھنٹوں لگ جائیں گے، گھنٹوں۔ اور اس لیے ہاں، ان صورتوں میں، میں وہی بات کہوں گا کہ جن صورتوں میں آپ کی سیکیورٹی اتنی اہم نہیں ہے، آپ کو کچھ ایسا کرنے کی ضرورت ہے جہاں آپ کو اکثر یہ کلید دوسرے لوگوں کے ساتھ شیئر کرنی پڑتی ہے۔ اس کی ایک اچھی مثال آپ کا وائی فائی پاس ورڈ ہوگا، ٹھیک ہے؟ تو ان صورتوں میں، میں جو کروں گا وہ یہ ہے کہ میں ایک سادہ عددی یا حروف تہجی پر مشتمل پاس ورڈ استعمال کروں گا۔ تمام حروف ایک ہی کلاس کے ہوں اور اسے تھوڑا طویل بنائیں۔ تو مجھے اس بات کی پرواہ نہیں ہے کہ اگر کوئی میرا نیٹ فلکس ہیک کر لے اور دیکھے کہ میں کوئینز گیمبٹ (Queen's Gambit) دیکھ رہا ہوں۔ یقیناً، میں کوئینز گیمبٹ دیکھ رہا ہوں۔ ہر کوئی

کوئینز گیمبٹ دیکھ رہا ہے۔ یہ کوئینز گیمبٹ کا ہفتہ ہے۔ اس سے مجھے واقعی کوئی فرق نہیں پڑتا، حالانکہ کچھ سیکیورٹی تحفظات ہیں، جیسے کہ یہ معلوم کرنے کے قابل ہونا کہ جب میں وہ دیکھ رہا ہوں تو میں کہاں ہوں۔ اس لیے مجھے اب بھی ایک پاس ورڈ کی ضرورت ہے۔ لیکن اسے اتنا طویل ہونے کی ضرورت نہیں ہے کیونکہ اس بات کا امکان کم ہے کہ کوئی اسے کریک کرنے کی کوشش کرے گا۔ اصل مسئلہ یہ ہے کہ کیا مجھے ایئر بی این بی (Airbnb) چھوڑتے وقت روکو ٹی وی کو ری سیٹ کرنا یاد رہا۔ آہ۔ یہ ایک اچھا سوال ہے۔ تو میں کیا کروں؟ میں عام طور پر ایک عددی پاس ورڈ یا حروف تہجی یا چھوٹے حروف والا پاس ورڈ چنتا ہوں اور میں اسے گروپس میں تقسیم کرتا ہوں۔ تو ایک کلاسک طریقہ جو میں اپناؤں گا وہ مائنس یا ہائفن کے نشانات سے الگ کیے گئے 12 نمبر ہیں۔ تو اس کا مطلب ہے کہ میں چار کے تین گروپس یا تین ہندسوں کے چار گروپس بناؤں گا۔ تو میرا پاس ورڈ کچھ اس طرح ہوگا نو تین سات ڈیش تین ایک دو ڈیش تین

سوال و جواب: ٹی وی ریموٹ اور کم سیکیورٹی والی ڈیوائسز کے لیے پاس ورڈز (1:52:10)

تین ایک ڈیش چار ایک پانچ۔ میں اس وقت صرف بے ترتیب نمبر چن رہا ہوں۔ ویسے یہ کوئی بہت اچھی بے ترتیبی نہیں ہے۔ میں اپنے پاس ورڈ مینیجر میں بے ترتیب نمبر جنریٹر (random number generator) استعمال کروں گا۔ میں اسے کہوں گا کہ مجھے صرف ہندسے دے اور اس کی لمبائی 12 رکھے۔ اور پھر میں اسے چار کے اچھے گروپس میں تقسیم کر کے درمیان میں ڈیش کے ساتھ لکھوں گا، کیونکہ میرے لیے اسے اسکرین سے پڑھنا اور کی بورڈ پر ٹائپ کرنا آسان ہوتا ہے۔ اور عام طور پر نمبر اور ڈیش ایک ہی کی بورڈ پر ہوتے ہیں اور وہ بہت کم فاصلے پر ہوتے ہیں، اس لیے میں انہیں جلدی سے ٹائپ کر سکتا ہوں یا اس سے بھی بہتر، بہت سے ریموٹ کنٹرولز آپ کو کی بورڈ کا عددی حصہ استعمال کرنے کی اجازت دیتے ہیں، جو کہ... پرانے دنوں میں، ہمارے ٹیلی ویژن پر چینلز ہوا کرتے تھے اور ان چینلز کو عددی چینل نمبر کے ذریعے منتخب کیا جاتا تھا۔ مجھے معلوم ہے کہ یہ حیران کن ٹیکنالوجی ہے۔

لہذا بہت سے ریموٹ پر نمبر کی پیڈ ہوتا ہے۔ تو یہ ایک بار پھر پاس فریز (passphrase) ٹائپ کرنا بہت آسان بنا دیتا ہے۔ شکریہ، جیف (Jeff)۔ یہ ایک زبردست سوال تھا۔ اور سیکیورٹی میں توازن رکھنے کے بارے میں ایک بہت ہی عملی سوال۔ کیا آپ واقعی، واقعی اس اکاؤنٹ کی حفاظت کے لیے اتنی زحمت اٹھانا چاہتے ہیں جو اتنا محفوظ نہیں ہے اور جہاں سب سے بڑا خطرہ یہ ہے کہ آپ Airbnb چھوڑتے وقت اس پاس ورڈ کو مٹانا یا ری سیٹ کرنا بھول جائیں اور اسے دوسرے لوگوں کے ڈھونڈنے کے لیے چھوڑ دیں، جس مقام پر، یہ تھوڑا مشکل ہو سکتا ہے۔ جیف کی طرف سے ایک ملتا جلتا سوال۔ اوہ۔ ارے نہیں، یہ جیف نہیں ہے۔ معذرت، ایک سیکنڈ۔ یہ لیجیے۔ کیا اس نے کام کیا؟ آج میری ایپس میں تھوڑی تاخیر (lag) ہے۔ مائیک (Mike) پوچھتے ہیں، صرف چار ہندسوں کا پن استعمال کرنا کتنا محفوظ ہے، جیسا کہ مثال کے طور پر تمام بینک کارڈز پر استعمال ہوتا ہے؟ مائیک، یہ منحصر ہے، یہ

اس بات پر منحصر ہے کہ آپ وہ پن کہاں ٹائپ کر سکتے ہیں۔ تو بینک کارڈز پر چار ہندسوں کا پن محفوظ ہونے کی وجہ یہ ہے کہ آپ اسے صرف ایک سیکیورٹی ڈیوائس میں ٹائپ کر سکتے ہیں، جیسے کہ پن پیڈ یا ATM مشین۔ یہ ڈیوائسز اس طرح ڈیزائن کی گئی ہیں کہ آپ کو ایک مخصوص تعداد سے زیادہ بار کوشش کرنے سے روک سکیں۔ اور اگر وہ زیرِ نگرانی ڈیوائسز ہیں، یعنی آپ گیس اسٹیشن پر ہیں، آپ سپر مارکیٹ کے چیک آؤٹ کاؤنٹر پر ہیں، جو بھی ہو وہاں ایک شخص کھڑا ہوتا ہے اور اگر آپ چند بار سے زیادہ ٹائپ کریں گے۔ تو وہ آپ کو ایسا کرتے ہوئے دیکھ سکتے ہیں اور اگر آپ 4,000 مختلف امتزاج (combinations) ٹائپ کرنے کی کوشش کریں گے تو وہ سیکیورٹی کو بلا لیں گے۔ اور جب یہ ایک غیر زیرِ نگرانی ڈیوائس ہو جہاں آپ بس بیٹھ کر گھنٹوں تک تمام ممکنہ امتزاج آزما سکتے ہیں، تو یہ دراصل لاک ہو جائے گی اور آپ کا کارڈ کھا جائے گی جیسا کہ آپ جانتے ہیں، ATM کے ساتھ ایسا ہوتا ہے۔ تو

اگر میں اسے چار بار غلط ٹائپ کرتا ہوں، یا چھ بار غلط، یا تین بار غلط، بینک کی پالیسی پر منحصر ہے، تو یہ میرے کارڈ کو نگل لے گی اور مجھے کوشش کرنے کا دوسرا موقع نہیں دے گی۔ لہذا یہ صرف پن نہیں ہے، یہ اس کا سیاق و سباق ہے کہ وہ پن کیسے استعمال ہوتا ہے۔ اسے کہاں درج کیا جاتا ہے، آپ کتنی بار کوشش کر سکتے ہیں اور اگر آپ ان تہہ دار سیکیورٹی میکانزمز (layered security mechanisms) میں ناکام ہو جاتے ہیں تو کیا ہوتا ہے۔ تو ہاں، چار ہندسوں کا پن ATM اور پن پیڈز جیسی کنٹرولڈ ایکسیس ڈیوائسز کے تناظر میں کافی محفوظ ہے، جہاں سیکیورٹی کی اضافی تہیں موجود ہوتی ہیں جیسے کہ اگر آپ غلط ٹائپ کرتے ہیں تو آپ کا کارڈ کھا جانا، یا آپ کو بہت زیادہ بار کوشش نہ کرنے دینا۔ مجھے لگتا ہے کہ یہ اچھا ہے۔ ہم نے بہت سے موضوعات کا احاطہ کیا ہے۔ ان تمام زبردست سوالات کے لیے آپ کا بہت بہت شکریہ۔ واقعی اچھے تبصرے چھوڑنے کے لیے آپ کا شکریہ۔ مجھے بتائیں کہ آپ کو اس کے بارے میں کیا پسند آیا

یہ مخصوص سیشن۔ یہ ہمارے کیے گئے دیگر سیشنز سے تھوڑا مختلف تھا۔ مجھے بتائیں کہ آپ بٹ کوائن اور اوپن بلاک چینز کے اس سفر میں اپنی مدد کے لیے مزید کیا سیکھنا چاہیں گے۔ اور یہ نہ بھولیں، ہمارے پاس اس طرح کے کئی سیشنز آنے والے ہیں۔ میں آپ کو دکھاتا ہوں کہ ہمارے آنے والے اگلے ایونٹس ہیں، عجیب و غریب تعطیلاتی گفتگو (Awkward Holiday Conversations)، عجیب و غریب تعطیلاتی گفتگو۔ یہ اگلا ایونٹ ہے جو آنے والا ہے۔ میں آپ کو درست جوابات اور دوسرے لوگوں کی مزاحیہ کہانیوں سے لیس کرنے جا رہا ہوں جو اس وقت پیٹرون (patreon) اور دیگر پلیٹ فارمز پر تبصروں میں اپنے خاندان کی عجیب و غریب تعطیلاتی گفتگو شیئر کر رہے ہیں۔ زیادہ تر بٹ کوائن اور اوپن بلاک چینز کے بارے میں، بعض اوقات ایسے موضوعات کے بارے میں جو اسے اس سے کہیں زیادہ عجیب بنا دیتے ہیں جنہیں ہم لائیو اسٹریم میں کور نہیں کریں گے۔ پھر ہمارے پاس دسمبر کا اوپن ٹاپک سوال و جواب (Q&A) ہے، جہاں آپ کوئی بھی سوال پوچھ سکتے ہیں اور میں اس کا جواب دینے کا انتخاب کر سکتا ہوں۔ اور

اختتامیہ (1:57:25)

پھر آخر کار ہمارے پاس ہمارا 2021 کا ایکسٹراوگنزا ایونٹ (Extravaganza Event) ہے۔ لہذا یہ جاننے کے لیے کہ یہ ایونٹس کب ہو رہے ہیں اور ان کے بارے میں سیکھنے کے لیے، براہ کرم میرے چینل کو سبسکرائب کریں۔ بیل آئیکن کو دبا کر نوٹیفیکیشنز آن کریں، اور اس طرح آپ ان نئے ایونٹس کے بارے میں جاننے والے پہلے فرد ہوں گے۔ آج میرے ساتھ شامل ہونے کا شکریہ، آج لائیو اسٹریم پر چینل پر ہمارے ساتھ 300 سے زیادہ لوگ تھے جو اس تقریباً دو گھنٹے کی پریزنٹیشن کے لیے ہمارے ساتھ شامل ہوئے، لیکن ہمارے پاس کور کرنے کے لیے بہت کچھ تھا۔ اب، جب میں یہ کر رہا تھا، آپ نے شاید غور کیا ہوگا کہ میرے پاس مختلف رنگوں میں شاندار رنگین کتابوں کا ایک ڈھیر ہے۔ اور خیر، آپ کو رنگوں سے لطف اندوز ہونے کے لیے ان کے پرنٹ ورژن کی ضرورت ہوگی، آپ دراصل ان کے مندرجات کو ای بک (ebook) کے طور پر پڑھ سکتے ہیں۔ اور آپ وہ ای بک میری شاپ antonov.com/shop پر حاصل کر سکتے ہیں۔ آپ اس جیسے مگ بھی حاصل کر سکتے ہیں۔ اور

ویسے، یہ واقعی شاندار مگ ہیں۔ یہ بڑے ہیں، یہ بھاری ہیں۔ یہ حرارت برقرار رکھتے ہیں۔ انہیں توڑنا بہت مشکل ہے۔ مجھے معلوم ہے میں نے کوشش کی ہے۔ میں نے انہیں کئی بار گرایا ہے اور ان میں بہت ساری کافی آ سکتی ہے، جس کی ہم سب کو ان عجیب و غریب تعطیلات کی گفتگو سے گزرنے کے لیے ضرورت ہوگی۔ لہذا، پیر تک، اگلے دو دنوں کے لیے، ہماری ہالیڈے سیل ہے، جو آپ کو ہر چیز پر 20% ڈسکاؤنٹ دیتی ہے۔ ایک اور چیز جو آپ خرید سکتے ہیں وہ 'اپنی کرپٹو کرنسی کا انتخاب کریں' (choose your cryptocurrency) ورکشاپ ہے۔ اور 20% ڈسکاؤنٹ اس پر بھی لاگو ہوتا ہے۔ ہالیڈے سیل 2020 شاپ پر دستیاب ہے، کوپن تلاش کرنے کے لیے شاپ کے فرنٹ پیج antonov.com/shop پر جائیں۔ اس ویڈیو کے لیے نیچے کمنٹس چھوڑنا نہ بھولیں۔ دیکھنے کے لیے آپ کا بہت بہت شکریہ۔ آپ کا ویک اینڈ شاندار گزرے۔ خدا حافظ سب کو۔