پاس ورڈ کریک کرنے کی تکنیکوں کو سمجھنا جو ہیکرز آپ کے آن لائن اکاؤنٹس کو کھلے عام اڑا دینے کے لیے استعمال کرتے ہیں اس بات کو یقینی بنانے کا ایک بہترین طریقہ ہے کہ ایسا آپ کے ساتھ کبھی نہ ہو۔
آپ کو یقینی طور پر ہمیشہ اپنا پاس ورڈ تبدیل کرنے کی ضرورت ہوگی، اور بعض اوقات آپ کے خیال سے کہیں زیادہ فوری طور پر، لیکن چوری کے خلاف تخفیف کرنا آپ کے اکاؤنٹ کی حفاظت میں سرفہرست رہنے کا ایک بہترین طریقہ ہے۔ آپ ہمیشہ www.haveibeenpwned.com پر جا کر چیک کر سکتے ہیں کہ آیا آپ کو خطرہ ہے، لیکن صرف یہ سوچنا کہ آپ کا پاس ورڈ اتنا محفوظ ہے کہ اسے ہیک نہ کیا جائے، یہ ایک بری ذہنیت ہے۔
لہذا، آپ کو یہ سمجھنے میں مدد کرنے کے لیے کہ ہیکرز آپ کے پاس ورڈز کیسے حاصل کرتے ہیں - محفوظ یا دوسری صورت میں - ہم نے ہیکرز کے ذریعے استعمال کی جانے والی پاس ورڈ کریکنگ کی ٹاپ دس تکنیکوں کی ایک فہرست جمع کی ہے۔ درج ذیل طریقوں میں سے کچھ یقینی طور پر پرانے ہیں، لیکن اس کا مطلب یہ نہیں ہے کہ وہ اب بھی استعمال نہیں ہو رہے ہیں۔ غور سے پڑھیں اور جانیں کہ کس چیز سے بچنا ہے۔
ہیکرز کے ذریعے استعمال کی جانے والی ٹاپ ٹین پاس ورڈ کریکنگ تکنیک
1. ڈکشنری حملہ
لغت کا حملہ ایک سادہ فائل کا استعمال کرتا ہے جس میں ایسے الفاظ ہوتے ہیں جو ڈکشنری میں مل سکتے ہیں، اس لیے اس کا نام بالکل سیدھا ہے۔ دوسرے لفظوں میں، یہ حملہ بالکل وہی الفاظ استعمال کرتا ہے جو بہت سے لوگ اپنے پاس ورڈ کے طور پر استعمال کرتے ہیں۔
چالاکی سے الفاظ کو ایک ساتھ گروپ کرنا جیسے کہ "لیٹمین" یا "سپر ایڈمنسٹریٹرگائے" آپ کے پاس ورڈ کو اس طرح کریک ہونے سے نہیں روکے گا - ٹھیک ہے، چند اضافی سیکنڈوں سے زیادہ نہیں۔
2. بروٹ فورس حملہ
لغت کے حملے کی طرح، بروٹ فورس حملہ ہیکر کے لیے اضافی بونس کے ساتھ آتا ہے۔ صرف الفاظ استعمال کرنے کے بجائے، ایک بریوٹ فورس حملہ انہیں aaa1 سے zzz10 تک تمام ممکنہ الفا عددی امتزاج کے ذریعے کام کرکے غیر لغت والے الفاظ کا پتہ لگانے دیتا ہے۔
یہ جلدی نہیں ہے، بشرطیکہ آپ کا پاس ورڈ مٹھی بھر حروف سے زیادہ لمبا ہو، لیکن یہ آپ کے پاس ورڈ کو آخرکار کھول دے گا۔ اضافی کمپیوٹنگ ہارس پاور پھینک کر بروٹ فورس حملوں کو مختصر کیا جا سکتا ہے، دونوں پروسیسنگ پاور کے لحاظ سے - بشمول آپ کے ویڈیو کارڈ GPU کی طاقت کو استعمال کرنا - اور مشین نمبرز، جیسے تقسیم شدہ کمپیوٹنگ ماڈلز جیسے آن لائن بٹ کوائن مائنر استعمال کرنا۔
3. رینبو ٹیبل اٹیک
رینبو ٹیبلز اتنی رنگین نہیں ہیں جتنا کہ ان کے نام سے ظاہر ہو سکتا ہے لیکن، ایک ہیکر کے لیے، آپ کا پاس ورڈ اس کے آخر میں ہو سکتا ہے۔ سب سے آسان طریقے سے، آپ رینبو ٹیبل کو پہلے سے گنتی ہیشوں کی فہرست میں ابال سکتے ہیں - عددی قدر جو پاس ورڈ کو خفیہ کرتے وقت استعمال ہوتی ہے۔ اس ٹیبل میں کسی بھی دیے گئے ہیشنگ الگورتھم کے لیے تمام ممکنہ پاس ورڈ کے امتزاج کی ہیشز شامل ہیں۔ رینبو ٹیبلز پرکشش ہیں کیونکہ یہ پاس ورڈ ہیش کو کریک کرنے کے لیے درکار وقت کو صرف فہرست میں کچھ تلاش کرنے کے لیے کم کر دیتا ہے۔
تاہم، قوس قزح کی میزیں بہت بڑی، غیر معمولی چیزیں ہیں۔ انہیں چلانے کے لیے سنجیدہ کمپیوٹنگ پاور کی ضرورت ہوتی ہے اور اگر ایک ٹیبل بیکار ہو جاتا ہے اگر وہ جس ہیش کو تلاش کرنے کی کوشش کر رہا ہے وہ الگورتھم کو ہیش کرنے سے پہلے اس کے پاس ورڈ میں بے ترتیب حروف کے اضافے سے "نمک" کر دیا گیا ہے۔
نمکین قوس قزح کی میزیں موجود ہیں، لیکن یہ اتنی بڑی ہوں گی کہ عملی طور پر استعمال کرنا مشکل ہو گا۔ وہ ممکنہ طور پر صرف پہلے سے طے شدہ "رینڈم کریکٹر" سیٹ اور پاس ورڈ سٹرنگز کے ساتھ 12 حروف سے نیچے کام کریں گے کیونکہ ٹیبل کا سائز ریاستی سطح کے ہیکرز کے لیے بھی ممنوع ہوگا۔
4. فشنگ
ہیک کرنے کا ایک آسان طریقہ ہے، صارف سے اس کا پاس ورڈ پوچھیں۔ ایک فشنگ ای میل غیر مشتبہ قارئین کو ایک جعلی لاگ ان صفحہ کی طرف لے جاتی ہے جو ہیکر کسی بھی خدمت سے وابستہ ہے جس تک رسائی حاصل کرنا چاہتا ہے، عام طور پر صارف سے درخواست کرکے کہ وہ اپنی سیکیورٹی کے ساتھ کوئی خوفناک مسئلہ حل کرے۔ وہ صفحہ پھر ان کا پاس ورڈ سکیم کرتا ہے اور ہیکر اسے اپنے مقصد کے لیے استعمال کر سکتا ہے۔
پاس ورڈ کو کریک کرنے کی پریشانی کیوں اٹھائیں جب صارف بہرحال خوشی خوشی آپ کو دے گا؟
5. سوشل انجینئرنگ
سوشل انجینئرنگ پورے "صارف سے پوچھیں" کے تصور کو ان باکس سے باہر لے جاتی ہے کہ فشنگ حقیقی دنیا کے ساتھ اور اس میں قائم رہتی ہے۔
سوشل انجینئر کا پسندیدہ کام یہ ہے کہ کسی دفتر کو آئی ٹی سیکیورٹی ٹیک آدمی کے طور پر کال کریں اور صرف نیٹ ورک تک رسائی کا پاس ورڈ طلب کریں۔ آپ حیران رہ جائیں گے کہ یہ کتنی بار کام کرتا ہے۔ یہاں تک کہ کچھ کے پاس کاروبار میں جانے سے پہلے سوٹ اور نام کا بیج پہننے کے لیے ضروری گوناڈز ہوتے ہیں تاکہ استقبالیہ سے آمنے سامنے یہی سوال کریں۔
6. مالویئر
کیلاگر، یا اسکرین سکریپر، میلویئر کے ذریعے انسٹال کیا جا سکتا ہے جو لاگ ان کے عمل کے دوران آپ کے ٹائپ کردہ یا اسکرین شاٹس لینے والی ہر چیز کو ریکارڈ کرتا ہے، اور پھر اس فائل کی ایک کاپی ہیکر سینٹرل کو بھیج دیتا ہے۔
کچھ مالویئر ویب براؤزر کلائنٹ کے پاس ورڈ فائل کے وجود کو تلاش کریں گے اور اسے کاپی کریں گے، جب تک کہ مناسب طریقے سے انکرپٹ نہ ہو، صارف کی براؤزنگ ہسٹری سے آسانی سے قابل رسائی محفوظ کردہ پاس ورڈز پر مشتمل ہوگا۔
7. آف لائن کریکنگ
یہ تصور کرنا آسان ہے کہ پاس ورڈ اس وقت محفوظ ہوتے ہیں جب وہ نظام جن کی حفاظت کرتے ہیں وہ صارفین کو تین یا چار غلط اندازوں کے بعد لاک آؤٹ کر دیتے ہیں، خودکار اندازے لگانے والی ایپلیکیشنز کو بلاک کر دیتے ہیں۔ ٹھیک ہے، یہ سچ ہوگا اگر یہ حقیقت نہ ہوتی کہ زیادہ تر پاس ورڈ ہیکنگ آف لائن ہوتی ہے، پاس ورڈ فائل میں ہیش کے سیٹ کا استعمال کرتے ہوئے جو سمجھوتہ کرنے والے سسٹم سے 'حاصل' کی گئی ہے۔
اکثر زیر بحث ہدف سے کسی تھرڈ پارٹی پر ہیک کے ذریعے سمجھوتہ کیا جاتا ہے، جو پھر سسٹم سرورز اور ان تمام اہم صارف پاس ورڈ ہیش فائلوں تک رسائی فراہم کرتا ہے۔ اس کے بعد پاس ورڈ کریکر کو ٹارگٹ سسٹم یا انفرادی صارف کو خبردار کیے بغیر کوڈ کو آزمانے اور کریک کرنے میں اتنا وقت لگ سکتا ہے۔
8. کندھے سرفنگ
سوشل انجینئرنگ کی ایک اور شکل، کندھے پر سرفنگ، جیسا کہ اس کا مطلب ہے، کسی شخص کے کندھوں پر جھانکنا شامل ہے جب وہ اسناد، پاس ورڈ وغیرہ داخل کر رہے ہوں۔ اگرچہ یہ تصور بہت کم ٹیکنالوجی ہے، آپ حیران ہوں گے کہ کتنے پاس ورڈ اور حساس معلومات ہیں۔ اس طرح چوری ہو جاتی ہے، اس لیے چلتے پھرتے بینک اکاؤنٹس وغیرہ تک رسائی حاصل کرتے وقت اپنے اردگرد کے حالات سے باخبر رہیں۔
ہیکرز کا سب سے زیادہ پراعتماد پارسل کورئیر، ائیرکون سروس ٹیکنیشن، یا کسی اور چیز کی آڑ لے گا جو انہیں دفتر کی عمارت تک رسائی فراہم کرتا ہے۔ ایک بار جب وہ اندر آجاتے ہیں، تو سروس پرسنل "یونیفارم" بلا روک ٹوک گھومنے کے لیے ایک قسم کا مفت پاس فراہم کرتا ہے، اور عملے کے حقیقی اراکین کے ذریعے داخل کیے جانے والے پاس ورڈ کو نوٹ کرتا ہے۔ یہ ان تمام نوٹوں کو دیکھنے کا ایک بہترین موقع بھی فراہم کرتا ہے جو اس کے بعد کے LCD اسکرینوں کے سامنے چپکے ہوئے لاگ ان کے ساتھ ان پر لکھے ہوئے ہیں۔
9. مکڑی
سمجھدار ہیکرز نے محسوس کیا ہے کہ بہت سے کارپوریٹ پاس ورڈ ایسے الفاظ سے بنے ہوتے ہیں جو کاروبار سے ہی جڑے ہوتے ہیں۔ کارپوریٹ لٹریچر، ویب سائٹ سیلز میٹریل، اور یہاں تک کہ حریفوں اور درج کردہ صارفین کی ویب سائٹس کا مطالعہ کرنا ایک وحشیانہ طاقت کے حملے میں استعمال کرنے کے لیے اپنی مرضی کے مطابق الفاظ کی فہرست بنانے کے لیے گولہ بارود فراہم کر سکتا ہے۔
واقعی جاننے والے ہیکرز نے اس عمل کو خودکار بنا دیا ہے اور ایک اسپائیڈنگ ایپلی کیشن کو اجازت دے دی ہے، جیسا کہ سرکردہ سرچ انجنوں کے ذریعے مطلوبہ الفاظ کی شناخت کرنے، ان کے لیے فہرستیں جمع کرنے اور جمع کرنے کے لیے استعمال کیے گئے ویب کرالرز کی طرح۔
10. اندازہ لگائیں۔
پاس ورڈ کریکرز کا بہترین دوست، یقیناً، صارف کی پیشین گوئی ہے۔ جب تک کہ کام کے لیے وقف کردہ سافٹ ویئر کا استعمال کرتے ہوئے واقعی بے ترتیب پاس ورڈ نہ بنایا گیا ہو، صارف کے ذریعے تیار کردہ 'رینڈم' پاس ورڈ کے اس قسم کے ہونے کا امکان نہیں ہے۔
اس کے بجائے، ہماری پسند کی چیزوں کے ساتھ ہمارے دماغ کے جذباتی لگاؤ کی بدولت، امکانات یہ ہیں کہ وہ بے ترتیب پاس ورڈز ہماری دلچسپیوں، مشاغل، پالتو جانوروں، خاندان وغیرہ پر مبنی ہیں۔ درحقیقت، پاس ورڈ ان تمام چیزوں پر مبنی ہوتے ہیں جن کے بارے میں ہم سوشل نیٹ ورکس پر چیٹ کرنا چاہتے ہیں اور یہاں تک کہ اپنے پروفائلز میں بھی شامل ہیں۔ پاس ورڈ کریکرز کے اس معلومات کو دیکھنے اور صارفین کی سطح کے پاس ورڈ کو کریک کرنے کی کوشش کرتے وقت کچھ - اکثر درست - پڑھے لکھے اندازے لگانے کا بہت امکان ہوتا ہے، بغیر لغت کا سہارا لیے یا زبردست طاقت کے حملوں کا۔
دوسرے حملوں سے ہوشیار رہنا
اگر ہیکرز میں کسی چیز کی کمی ہے تو یہ تخلیقی صلاحیت نہیں ہے۔ مختلف قسم کی تکنیکوں کا استعمال کرتے ہوئے اور ہمیشہ بدلتے حفاظتی پروٹوکولز کو اپناتے ہوئے، یہ انٹرلوپرز کامیاب ہوتے رہتے ہیں۔
مثال کے طور پر، سوشل میڈیا پر کسی نے بھی تفریحی کوئز اور ٹیمپلیٹس دیکھے ہوں گے جو آپ سے آپ کی پہلی کار، آپ کے پسندیدہ کھانے، آپ کی 14 ویں سالگرہ پر نمبر ایک گانے کے بارے میں بات کرنے کو کہتے ہیں۔ اگرچہ یہ گیمز بے ضرر لگتے ہیں اور انہیں پوسٹ کرنے میں یقیناً مزہ آتا ہے، لیکن یہ درحقیقت سیکیورٹی کے سوالات اور اکاؤنٹ تک رسائی کے تصدیقی جوابات کے لیے ایک کھلا ٹیمپلیٹ ہیں۔
اکاؤنٹ ترتیب دیتے وقت، شاید ایسے جوابات استعمال کرنے کی کوشش کریں جو درحقیقت آپ سے متعلق نہ ہوں لیکن، جنہیں آپ آسانی سے یاد رکھ سکتے ہیں۔ "آپ کی پہلی گاڑی کونسی تھی؟" سچائی سے جواب دینے کے بجائے اپنی ڈریم کار لگائیں۔ بصورت دیگر، بس کوئی بھی سیکیورٹی جواب آن لائن پوسٹ نہ کریں۔
رسائی حاصل کرنے کا دوسرا طریقہ صرف اپنا پاس ورڈ دوبارہ ترتیب دینا ہے۔ آپ کے پاس ورڈ کو دوبارہ ترتیب دینے والے انٹرلوپر کے خلاف دفاع کی بہترین لائن ایک ای میل پتہ استعمال کرنا ہے جسے آپ اکثر چیک کرتے ہیں اور اپنی رابطہ کی معلومات کو اپ ڈیٹ کرتے رہتے ہیں۔ اگر دستیاب ہو تو ہمیشہ 2 فیکٹر کی توثیق کو فعال کریں۔ یہاں تک کہ اگر ہیکر آپ کا پاس ورڈ جان لے، تو وہ منفرد تصدیقی کوڈ کے بغیر اکاؤنٹ تک رسائی حاصل نہیں کر سکتا۔
اکثر پوچھے گئے سوالات
مجھے ہر سائٹ کے لیے مختلف پاس ورڈ کی ضرورت کیوں ہے؟
آپ شاید جانتے ہیں کہ آپ کو اپنا پاس ورڈ نہیں دینا چاہئے اور آپ کو کوئی ایسا مواد ڈاؤن لوڈ نہیں کرنا چاہئے جس سے آپ واقف نہیں ہیں، لیکن ان اکاؤنٹس کا کیا ہوگا جن میں آپ ہر روز سائن ان کرتے ہیں؟ فرض کریں کہ آپ اپنے بینک اکاؤنٹ کے لیے وہی پاس ورڈ استعمال کرتے ہیں جو آپ Grammarly جیسے صوابدیدی اکاؤنٹ کے لیے استعمال کرتے ہیں۔ اگر گرامرلی ہیک ہو جاتا ہے، تو صارف کے پاس آپ کا بینکنگ پاس ورڈ بھی ہوتا ہے (اور ممکنہ طور پر آپ کا ای میل آپ کے تمام مالی وسائل تک رسائی حاصل کرنا اور بھی آسان بنا دیتا ہے)۔
میں اپنے اکاؤنٹس کی حفاظت کے لیے کیا کر سکتا ہوں؟
کسی بھی اکاؤنٹس پر 2FA کا استعمال جو فیچر پیش کرتے ہیں، ہر اکاؤنٹ کے لیے منفرد پاس ورڈ استعمال کرتے ہوئے، اور حروف اور علامتوں کا مرکب استعمال کرنا ہیکرز کے خلاف دفاع کی بہترین لائن ہے۔ جیسا کہ پہلے بتایا گیا ہے، بہت سے مختلف طریقے ہیں جن سے ہیکرز آپ کے اکاؤنٹس تک رسائی حاصل کرتے ہیں، اس لیے آپ کو یہ یقینی بنانے کے لیے دیگر چیزیں درکار ہیں کہ آپ باقاعدگی سے کر رہے ہیں اپنے سافٹ ویئر اور ایپس کو اپ ٹو ڈیٹ رکھنا (سیکیورٹی پیچ کے لیے) اور کسی بھی ڈاؤن لوڈ سے گریز کریں جن سے آپ واقف نہیں ہیں۔
پاس ورڈ رکھنے کا سب سے محفوظ طریقہ کیا ہے؟
کئی انوکھے عجیب و غریب پاس ورڈز کو برقرار رکھنا ناقابل یقین حد تک مشکل ہوسکتا ہے۔ اگرچہ پاس ورڈ دوبارہ ترتیب دینے کے عمل سے گزرنا اس سے کہیں بہتر ہے کہ آپ کے اکاؤنٹس سے سمجھوتہ کیا جائے، لیکن یہ وقت طلب ہے۔ اپنے پاس ورڈز کو محفوظ رکھنے کے لیے آپ اپنے اکاؤنٹ کے تمام پاس ورڈز کو محفوظ کرنے کے لیے Last Pass یا KeePass جیسی سروس استعمال کر سکتے ہیں۔
آپ اپنے پاس ورڈز کو یاد رکھنے کے لیے آسان بنانے کے لیے ایک منفرد الگورتھم بھی استعمال کر سکتے ہیں۔ مثال کے طور پر، پے پال hwpp+c832 جیسا کچھ ہو سکتا ہے۔ بنیادی طور پر، یہ پاس ورڈ یو آر ایل (//www.paypal.com) میں ہر وقفے کا پہلا حرف ہے جس میں آپ کے گھر کے ہر فرد کے سال پیدائش میں آخری نمبر ہوتا ہے (صرف ایک مثال کے طور پر)۔ جب آپ اپنے اکاؤنٹ میں لاگ ان کرنے جاتے ہیں، تو URL دیکھیں جو آپ کو اس پاس ورڈ کے پہلے چند حروف دے گا۔
اپنے پاس ورڈ کو ہیک کرنے میں مزید مشکل بنانے کے لیے علامتیں شامل کریں لیکن انہیں منظم کریں تاکہ انہیں یاد رکھنا آسان ہو۔ مثال کے طور پر، "+" کی علامت تفریح سے متعلق کسی بھی اکاؤنٹس کے لیے ہو سکتی ہے جبکہ "!" مالی کھاتوں کے لیے استعمال کیا جا سکتا ہے۔