লাস্টপাস নেটওয়ার্ক সুরক্ষার সাথে আপোস করা হয়েছে এমন সংবাদ অবশ্যই একটি গুরুতর বিষয়। যে সংস্থার লঙ্ঘন করা হচ্ছে তা হ'ল এমন একটি যা একটি পাসওয়ার্ড-পরিচালন পরিষেবা সরবরাহ করে যা একটি খাঁজ - বা দশ দ্বারা গুরুতরতা উপস্থাপন করে। তাহলে আমি কেন, যে কেউ আইটি সুরক্ষা সম্পর্কে লেখার বিষয়ে ক্যারিয়ার গড়ে তুলেছেন, এটি সম্পর্কে আমার চুল টানছেন না? ঠিক যে, আমার কাছে টগবগ করার কেউ নেই, লাস্টপাস লঙ্ঘন আমাদের মধ্যে কারও পক্ষে এটি ততটা বড় বিষয় নয় যতটা তা অন্যদের জন্য।
আমরা কোনও প্রমাণ পাইনি যে এনক্রিপ্ট করা ব্যবহারকারী ভল্ট ডেটা নেওয়া হয়েছিল বা লাস্টপাসের ব্যবহারকারী অ্যাকাউন্টগুলি অ্যাক্সেস করা হয়নি, লাস্টপাসের একজন মুখপাত্র আমাদের জানিয়েছেন। তাহলে সমস্ত কলহ সম্পর্কে কী, আপনি জিজ্ঞাসা করতে পারেন - ঝুঁকিটি কোথায়? আমি এটি দেখতে যেমন এটি দ্বিগুণ। প্রথমত, যেহেতু ইমেল ঠিকানা এবং সম্পর্কিত পাসওয়ার্ড অনুস্মারকগুলি আপস করা হয়েছে, তাই আমি জাল মাস্টার-পাসওয়ার্ড-রিসেট বার্তাগুলির আকারে টার্গেটযুক্ত ফিশিংয়ের প্রচেষ্টা দেখতে আশা করব। আমি ভাবতে চাই যে আমি তাদের জন্য পড়ব না।
আমার ফোনটি ক্লোন করা আছে কিনা তা কীভাবে পরীক্ষা করবেন
দ্বিতীয় ঝুঁকির হিসাবে, দুর্বল মাস্টার পাসওয়ার্ডগুলি বর্তমানে ব্রুট-ফোর্স ক্র্যাকিং প্রচেষ্টার সাফল্য, প্রতি ব্যবহারকারী লবণের সার্ভারের সৌজন্যে এবং প্রমাণীকরণের হ্যাশগুলি অ্যাক্সেস করা হবে। এ জাতীয় ক্র্যাকিংয়ের প্রচেষ্টা যতটা যায় ততক্ষণ যে লাস্টপাস সেই সমস্ত প্রমাণীকরণের হ্যাশগুলিকে একটি এলোমেলো লবণের সাহায্যে শক্তিশালী করে এবং ভাল পরিমাপের জন্য সার্ভার-সাইড PBKDF2-SHA256 এর অতিরিক্ত 100,000 রাউন্ডে ফেলে দেয় এগুলি ভাঙ্গা আরও শক্ত করে তোলে। তবে, যদি মাস্টার পাসওয়ার্ডটি দুর্বল থাকে তবে এটি এখনও প্রাণঘাতী আক্রমণগুলির জন্য উন্মুক্ত থাকবে; এটি ক্র্যাক করতে আরও কিছুটা সময় লাগবে।
সুতরাং লাস্টপাস বেশিরভাগ ব্যবহারকারীর উপর মাস্টার পাসওয়ার্ড পরিবর্তন করতে বাধ্য করছে এবং যারা নতুন ডিভাইস বা আইপি ঠিকানা থেকে লগ ইন করেছে তাদের কাছ থেকে ইমেল যাচাইকরণের জন্য জিজ্ঞাসা করছে। তবে আমি এখন আমার মাস্টার পাসওয়ার্ডটি পরিবর্তন করব না এবং এখনই ৪৪২ দিনের জন্য আমার (একবার দেখে নেওয়া যাক) কারণ এটি এলোমেলো, জটিল, এটি ২৫ টি অক্ষরের বেশি, এটি অন্য কোথাও ব্যবহার করা হয়নি, এবং আমি এটা হৃদয় দিয়ে মনে করতে পারেন। তদতিরিক্ত, এটি নিম্নলিখিত দুটি যাদু শব্দের দ্বারা ব্যাক আপ হয়েছে: মাল্টিফ্যাক্টর প্রমাণীকরণ।
বুম! আমি যতটা উদ্বিগ্ন, লাস্টপাস নেটওয়ার্কের পরিধিতে প্রবেশের সমস্ত প্রচেষ্টা কিছুই করার জন্য নয় কারণ আমি মাল্টিফ্যাক্টর প্রমাণীকরণের সাহায্যে শক্তিশালী মাস্টার পাসওয়ার্ড ব্যবহার করি। এমনকি যদি আমার মাস্টার পাসওয়ার্ডটি কোনওভাবে আপস করা হয়ে থাকে তবে আক্রমণকারীটিকে আমার পাসওয়ার্ড ভল্টটি ডিক্রিপ্ট করার জন্য আমার ইউবিকি (একটি শারীরিক টোকেন) অ্যাক্সেস করতে হবে। এই উন্নত সেটিংসটি ব্যবহারের জন্য নিখরচায় এবং কিছু সময়ের জন্য ব্যবহারকারীদের কাছে উপলভ্য ছিল - এছাড়াও, আপনাকে কোনও ইউবিকি কিনতে হবে না; আপনি চাইলে ফ্রি-টু-ডাউনলোড অ্যাপ্লিকেশন ব্যবহার করতে পারেন যেমন গুগল অথেনটিকেটর। আপনি যে কোনও সাইট বা পরিষেবা যেখানে অফার করেছেন সেখানে কেন দ্বি-গুণক প্রমাণীকরণ (2FA) ব্যবহার করবেন না? গুরুতরভাবে না?
উন্নত সেটিংসের কথা বলছি, আমি ব্যবহার করছি এমন আরও একটি রয়েছে যা আমাকে লাস্টপাসের সাথে যুক্তিসঙ্গতভাবে নিরাপদ বলে আমার ডেটাতে আস্থার আরও একটি স্তর সরবরাহ করে এবং এটি একটি ভৌগলিক-অ্যাক্সেস লকডাউন। আপনি দেশ বিধিনিষেধ সেট করতে পারেন যা আপনার পাসওয়ার্ড ভল্ট অ্যাক্সেস করা যায় সেখান থেকে সিদ্ধান্ত নিতে আপনাকে সক্ষম করে। আমি বিদেশে ভ্রমণ না করা পর্যন্ত আমি এই যুক্তরাজ্যে লক করে রেখেছি, সেক্ষেত্রে আমি যাওয়ার আগে আমি সেই নির্দিষ্ট অবস্থানটি সক্ষম করে থাকি। ওহ, এবং আমি টর নেটওয়ার্কগুলি থেকে লগইনগুলিকে অনুমতি দিই না। প্যারানয়েড, মই? না, রাজ্যে এই কীগুলিতে অ্যাক্সেস সীমাবদ্ধ করা সম্পর্কে কেবল বুদ্ধিমান। যেমন আপনারও হওয়া উচিত।
লাস্টপাস সমঝোতা সম্পর্কে আমাকে যে বিষয়টি সবচেয়ে বেশি উদ্বেগ দেয় তা হ'ল বিস্ময়করভাবে নয়, আপসটি নিজেই হয় তবে এটির প্রতিক্রিয়াও; এবং বিশেষত মিডিয়া - পেশাদার এবং সামাজিক উভয়ই। লাস্টপাসকে লাথি মেরে গ্রহণ করার মতো আনন্দের অন্তর্নিহিত অনুভূতি রয়েছে বলে মনে হচ্ছে এবং প্রচুর পরিমাণে আপনাকে তাই টাইপ রিপোর্টিং বলেছে। তবে আপনি আমাদের ঠিক কী বলেছেন? ঠিক এখানে কি ঘটেছে? আমরা যতদূর দেখতে পাচ্ছি কোনও এনক্রিপ্ট করা পাসওয়ার্ড ডেটা আপস করা হয়নি এবং লাস্টপাস ইভেন্টটি প্রকাশে এবং ব্যবহারকারীর আস্থাকে আরও সুরক্ষিত করার জন্য পদক্ষেপের ক্ষেত্রে বেশ স্বচ্ছ হয়েছে।
মিডিয়া নায়েসাররা আমাদের কী করবে? কলম এবং কাগজে ফিরে যান, বা আরও প্রযুক্তিগত এনক্রিপ্ট এটি নিজেই সমাধান হতে পারে? আমি উভয়কেই প্রস্তাবিত দেখেছি এবং গড় জোয়ের ঝুঁকি হ্রাস করতে পারি না, বাস্তবে একেবারে বিপরীত। অন্য কোনও পাসওয়ার্ড-পরিচালনা সরবরাহকারীর কাছে যেতে পারেন? আবার, কীভাবে সাহায্য করবে যখন আপনি জানেন না যে তারা কীভাবে প্রতিক্রিয়া জানাবে - যখন না - যদি তাদের লঙ্ঘন হয়? অন্তত আপনি জানেন যে লাস্টপাস বলটিতে রয়েছে যখন এটি লঙ্ঘনের প্রতিক্রিয়া আসে।
আমার জন্য, একটি পাসওয়ার্ড ম্যানেজার বেশিরভাগ লোকের জন্য সবচেয়ে সুরক্ষিত বিকল্প হিসাবে রয়ে গেছে এবং আপনি যদি আমার নেতৃত্ব অনুসরণ করেন এবং মাল্টিফ্যাক্টর প্রমাণীকরণ এবং কিছু লগইন লকডাউন বিকল্পগুলির সাথে একটি শক্তিশালী মাস্টার পাসওয়ার্ড একত্রিত করেন, তবে আপনি আপস করার ঝুঁকি যতটা সম্ভব মানবিকভাবে সম্ভব হ্রাস করুন।
এবং এটি, প্রিয় পাঠক, এজন্য আমাকে আমার মাস্টার পাসওয়ার্ড পরিবর্তন করার দরকার নেই; বা এই বিষয়ে আমার পাসওয়ার্ড পরিচালক।