Password :तुम्हीही जाणून घ्या 'पासवर्ड' ठरविण्याच्या भन्नाट आयडिया
किती वेळा बदलायचा हा पासवर्ड? काय ताप आहे? कोणता पासवर्ड ठेऊ? लक्षात कसा ठेऊ? लिहून ठेऊ की नको? सेव्ह केला तर तो सेफ असेल का? त्यापेक्षा नकोच ना ती ऑनलाईनची कटकट .. पण तसं म्हणून तरी कसं चालेल? सगळं जग त्यावरच चाललं आहे..
प्रा. डॉ. प्रमोद दामले
पासवर्ड वरचेवर बदलावा; तो असा असू नये; तो तसा असावा हे सगळं ठीक आहे. पण मग तो रचावा तरी कसा? खरंतर अगदी सोपं आहे.
अलिबाबा आणि चाळीस चोरांच्या गोष्टीतला ‘तिळा उघड’ हा परवलीचा शब्द गुप्त न राहिल्यामुळे खजिना कसा लुटला गेला हे सर्वज्ञात आहे. तसाच, किंबहुना अधिकच धोकादायक प्रकार पासवर्डच्या बाबतीत संभवतो.
इंटरनेटवर वावरताना अनेक ठिकाणी पासवर्ड लागतोच, शिवाय बँकेशी संबंधित पिन, ओटीपी अशा अनेक रूपातही तो आहे. पासवर्ड भलत्याच माणसाच्या हातात पडला तर काय होऊ शकतं, हे मागच्या लेखात (केदारनाथ ते के.वाय.सी. -सकाळ साप्ताहिक, प्रसिद्धीः ७ ऑक्टोबर) आपण ओझरतं बघितलं. या भागात आणखी काही घटना पाहूया. त्यातून पासवर्डशी संबंधित खबरदारी का आणि कशी घ्यायची हे उलगडत जाईल.
पासवर्डची चोरी होते तरी कशी?
‘पासवर्ड बदलताना दर वेळी नवीन पासवर्ड कुठला घ्यायचा हा प्रश्न सुटला. मी आता सरळ डिक्शनरीतले एकेक शब्द वापरतो पासवर्ड म्हणून.’ शशांक उत्साहानं मला सांगत होता. वरवर पाहता सुटसुटीत वाटणारी ही युक्ती (?) खरं तर अगदीच कुचकामी म्हणायला हवी, कारण हॅकरसुद्धा शब्दकोश वापरून पासवर्ड चोरतात.
शब्दकोशातला एकेक शब्द पासवर्ड म्हणून चालवून बघण्यासाठी – पासवर्ड ‘फोडण्यासाठी’– तयार केलेलं वेगवान सॉफ्टवेअर त्यांच्या हाताशी असतं.
त्यामुळं जरी शब्दकोशातला कोणताही शब्द पासवर्ड म्हणून वापरला असेल तरी हॅकर तो चुटकीसरशी हुडकून काढतात. त्यात पुन्हा इंग्रजीखेरीज अन्य अनेक भाषांचेही असे शब्दकोश उपलब्ध आहेत, तेही इंग्रजी भाषा जी रोमन लिपी वापरते, त्या लिपीत.
त्यामुळे ‘namaskaar’ सारखा मराठी शब्द किंवा ‘vanakkam’ सारखा तमिळ शब्द पासवर्ड म्हणून वापरणंही शहाणपणाचं नव्हे. तात्पर्य: आपला पासवर्ड जगातल्या कोणत्याही शब्दकोशात आढळणार नाही असा असावा.
डिक्शनरी अॅटॅक हे एक तंत्र झालं. अशा अनेक युक्त्या हॅकरकडे असतात. येनकेन प्रकारेण पासवर्ड चोरले जाऊ शकतात आणि त्याचे परिणामही वेगवेगळे असू शकतात; ऑनलाइन बँकिंग पासवर्डची चोरी करून पैसे लुबाडले जातात. इंटरनेटवर पासवर्डची गुप्तता राहिली नाही तर आपल्या नेटवर्कचा गैरवापर होऊ शकतो. ईमेलचा पासवर्ड फुटला तर ईमेलद्वारे होणारे आपले सर्व व्यवहार षट्कर्णी होऊ शकतात.
हे टाळण्याचे अनेक उपाय आहेत. त्यातला एक म्हणजे आपला पासवर्ड वरचेवर बदलत राहणे. पासवर्ड जेवढा नवीन असेल तेवढा चोरीचा धोका कमी आणि तो जेवढा जुना, शिळा होईल तेवढा तो धोका अधिक.
वीसेक वर्षांपूर्वीची गोष्ट. पी.एचडी.साठी सायबर सिक्युरिटी या विषयावर संशोधन करताना मी काही मुलाखती घेत होतो. एका उच्चपदस्थ बँक-अधिकाऱ्याला मुलाखतीदरम्यान मी विचारलं, की तुम्ही एटीएमचा पिन कसा ठरवता; ती चार आकडी संख्या लक्षात कशी ठेवता? यावर त्यांचं मासलेवाईक उत्तर होतं, ‘अहो, सोपी युक्ती आहे.
माझ्या गाडीचा नंबरच पिन म्हणून ठेवलाय. लक्षात ठेवायला मलाही सोपं आणि शोफरलाही सोपं! कार्ड त्याच्याच जवळ देऊन ठेवलेलं असतं. किती पैसे काढून आणायचे ते त्याला सांगितलं की झालं.’ म्हणजे त्यांचा तो पिन त्यांच्या ड्रायव्हरला तर माहीत आहेच, शिवाय आजूबाजूच्या इतरांनाही तर्क लढवून अंदाज बांधणं सहज शक्य आहे!
पासवर्ड लक्षात ठेवायला सोपा असावा म्हणून अशा वैयक्तिक आवडीनिवडीच्या गोष्टी वापरण्याकडे सर्वसाधारण कल आढळतो. उदा. आपल्या गाडीचा नंबर, फोन नंबर, आवडता रंग, हिरो /हिरॉइनची नावं, प्रिय व्यक्तींच्या जन्मतारखा वगैरे. ते अर्थातच योग्य नव्हे. आपल्या परिचितांना तर्क लढवून त्या पासवर्डचा अंदाज बांधणं सहज शक्य आहे.
आजूबाजूची बरीचशी माणसं सरळमार्गी असली तरी प्रत्येकजण तर सज्जन नव्हे! बर्याच अफरातफरींमध्ये आतल्या गोटातला माहीतगार माणूस सहभागी असतो, हे अनेक सर्वेक्षणातून वारंवार पुढं आलंय. तेव्हा आंधळेपणानं विश्वास न टाकलेलाच बरा.
रवी आणि रश्मी यांचा मुलगा राहुल चौथीत आहे. आपल्या या हूड मुलाला वळण लावण्यासाठी दोघांचे प्रामाणिक प्रयत्न चालू असतात. त्यातला एक आहे इंटरनेटच्या वापरावर घातलेली वेळेची मर्यादा. इंटरनेटचा पासवर्ड ते राहुलला देत नाहीत, तर स्वतः इंटरनेट सुरू करून मग त्याला तासभर गेम खेळायला देतात.
काही दिवसांपूर्वी नेटवर्कचा दिवसभराचा कोटा संपलेला पाहून चकित झालेला रवी मला विचारत होता, की त्याचा इंटरनेटचा पासवर्ड राहुलला कसा काय माहीत झाला असेल? रवीला हे नवीन असलं तरी इतरांकडून मी हे अनेकदा ऐकलंय. आई-बाबा पासवर्ड टाइप करत असताना त्यांच्या पाठीमागे उभं राहून राहुलसारखी चौकस मुलं बारकाईनं तो पासवर्ड हेरतात.
पासवर्ड मोठा असला तरी आज पहिली २-३ अक्षरं, उद्या पुढची २-३ असं करता करता आठवडाभरात पासवर्ड फुटतो. मग काय, पालक बाहेर गेल्यावर मुलांना रान मोकळं! एटीएममधून पैसे काढताना आपल्या पाठीमागे कुणी उभं असेल तर पिनची गुप्तता अशीच वार्यावर जाऊ शकते. ते टाळायचं असेल तर टाइप करताना हाताच्या पंजांचा आडोसा करावा हे उत्तम!
पोलिस अधिकार्यांसाठी मी २००४ सालापर्यंत प्रशिक्षण कार्यक्रम करत असे. त्यात अनेक मुद्द्यांपैकी एक असायचा ‘की-लॉगर’ नावाच्या छोट्याशा उपकरणाचा. कीबोर्ड थेट संगणकाला जोडण्याऐवजी तो ‘की-लॉगर’च्या माध्यमातून जोडता येतो, तोही अवघ्या काही सेकंदांत. तसं जोडल्यावर संगणकावरचं काम सुरळीत चालू राहतं, पण कीबोर्डवर टाइप केलेला प्रत्येक अंक वा अक्षर ‘की-लॉगर’वर रेकॉर्ड होत राहतो.
त्या प्रशिक्षणात मी हे सांगितल्यानंतर पुढच्या दोन महिन्यातच त्यावेळच्या सायबर सेलच्या साहाय्यक आयुक्तांनी मला बोलावून, आवर्जून सांगितलेला हा किस्सा बघा. बँकेतून ऑनलाइन पद्धतीनं पैसे चोरल्याच्या आरोपावरून एका संशयिताला अटक झाली होती.
तपासात त्यानं जे सांगितलं ते चक्रावून टाकणारं होतं. हजारो रुपये मोजून त्या संशयितानं ‘की-लॉगर’ विकत घेतलं, इंटरनेट सर्फिंगच्या निमित्तानं एका सायबर कॅफेत जाऊन तिथं ते बसवलं आणि तसंच सोडून दिलं.
दुसर्या दिवशी परत त्याच सायबर कॅफेत जाऊन त्याच संगणकावर नाममात्र काही काम केल्यासारखं करून, येताना ते ‘की-लॉगर’ काढून आणलं. मग घरी बसून निवांतपणे संगणकाच्या मदतीनं त्यावरच्या सर्व रेकॉर्डचं विश्लेषण केलं. सर्च-पॅटर्न म्हणून एकेका बँकेचं नाव देऊन शोध घेतल्यावर त्या बँकेच्या नावापाठोपाठ दिसणारे आकडे म्हणजे कस्टमर आयडी आणि त्यानंतर येणारी अक्षरं म्हणजे पासवर्ड हे त्यानं ताडलं.
आदल्या दिवशी ज्या लोकांनी त्या सायबर कॅफेतल्या त्या संगणकावर बसून ऑनलाइन बँकेचे व्यवहार केले होते त्यांचा कस्टमर आयडी व पासवर्ड त्याच्या हाती पडला. मग त्या खात्यातले पैसे लुबाडणं काय अवघड होतं? (ऑनलाइन बँकिंग सुरू झालं, त्यावेळी सुरुवातीची काही वर्षं त्यासाठी ओटीपी वा सिक्रेट क्वेश्चन-आन्सर असं काहीही लागत नसे.)
सायबर कॅफेसारख्या अनोळखी ठिकाणी ऑनलाइन बँकेचे व्यवहार का करू नयेत, हे तर यातून लक्षात येतंच, शिवाय पासवर्ड वरचेवर का बदलावा, हेही समजतं. पाल्यांवर नजर ठेवणारे पालक आणि कर्मचाऱ्यांवर नजर ठेवणारे वरिष्ठ यांच्या सोयीसाठी चांगल्या हेतूनं तयार करण्यात आलेल्या ह्या ‘की-लॉगर’ चा गैरवापर गुन्हेगारांनी अनेकदा केलेला आढळून येतो.
पासवर्ड रचना कशी करावी?
पासवर्ड वरचेवर बदलावा; तो असा असू नये; तो तसा असावा हे सगळं ठीक आहे. पण मग तो रचावा तरी कसा? अगदी सोपं आहे. आपल्या आवडीचं एखादं गाणं, कविता किंवा आपल्या नित्यपठणातील एखादं स्तोत्र असं काहीतरी घेऊया. ते कोणत्याही भाषेतलं चालेल; सगळं तोंडपाठ पाहिजे असंही नाही. केवळ पहिली ओळ पुरेशी आहे.
त्यातल्या शब्दांची आद्याक्षरं जोडत गेलं की झाला पासवर्ड तयार. उदाहरणार्थ मना सज्जना भक्ति पंथेची जावे, तरी श्रीहरी पाविजे तो स्वभावे पासून ‘msbpjtspts’ हा पासवर्ड होऊ शकतो, तसंच I wandered lonely as a cloud, That floats on high over vales and hills या डॅफोडील्स कवितेतल्या ओळी घेऊन ‘iwlaactfohovah’ हा पासवर्ड, तर मेरे मनकी गंगा और तेरी मनकी जमुनापासून ‘mmgatmj’ असे पासवर्ड सहज तयार करता येतात.
अशी अगणित गाणी आपल्या मनात घर करून आहेत. त्यामुळे असा पासवर्ड सहज लक्षात राहतो आणि तर्क लढवून किंवा शब्दकोश वापरून कुणी पासवर्ड चोरेल हे जवळजवळ अशक्यप्राय!
पासवर्ड मजबुतीसाठी बऱ्याचदा त्यात इंग्रजीतली कॅपिटल अक्षरं (उदा. A, Q, Y) आणि छोट्या लिपीतील अक्षरं (उदा. b, z, d) अशी दोन्ही वापरावीत असा संकेत आहे. याआधी पाहिलेल्या पासवर्डमधली ‘श्रीहरी’, ‘गंगा’, ‘जमुना’ अशा नावांची आद्याक्षरं आपण कॅपिटलमध्ये घेऊ शकतो.
मग आपला मना सज्जना ...पासून केलेला ‘msbpjtspts’ हा पासवर्ड आता ‘msbpjtSpts’ असा करता येईल, तर मेरे मनकी गंगा ...पासून केलेला पासवर्ड आता ‘mmGatmJ’ असा करता येईल. पासवर्ड मजबुतीसाठी दुसरा संकेत असं सुचवतो की त्यात केवळ अक्षरं न घेता काही आकडे घ्यावेत.
त्यासाठी पासवर्डमधली काही अक्षरं बदलून त्याऐवजी तसेच दिसणारे अंक घेता येतील, उदा. B हे अक्षर इंग्रजी आठसारखं दिसतं म्हणून ‘msbpjtSpts’ हा पासवर्ड आता ‘ms8pjtSpts’ होईल. India शब्दातील I हे अक्षर उद््गारवाचक चिन्हासारखं दिसतं, Orange मधील O हे अक्षर शून्यासारखं दिसतं तर Sugar मधील S हे अक्षर इंग्रजी पाचसारखं दिसतं याचाही विचार करता येईल. त्याखेरीज पासवर्डचं पहिलं अक्षर कॅपिटल म्हणूनही घेता येईल.
पासवर्ड मजबुतीसाठी तिसरा संकेत असा, की तो वरचेवर, साधारणपणे दर एक-दोन महिन्यानं बदलत राहावा. आता हे करताना त्यातली निम्मी-अर्धी अक्षरं तरी वेगळी असावीत असाही नियम असू शकतो.
मग त्यासाठी तुम्ही त्या त्या महिन्याची नावं त्यात घालू शकता, उदा. जानेवारी-फेब्रुवारीतला ‘ms8pjtSptsJanurayFebruary’ हा पासवर्ड पुढच्या दोन महिन्यांसाठी ‘ms8pjtSptsMarchApril’ असा बदलता येईल. सुरुवातीला क्लिष्ट वाटणारी ही गोष्ट बघता बघता सहजपणे अंगवळणी पडून जाईल हे मी स्वानुभवावरून सांगतो.
पासवर्ड मजबुतीसाठीच आणखी एक काळजी घ्यायची ती म्हणजे वेगवेगळ्या कामासाठी वेगवेगळे पासवर्ड वापरणं. ईमेलसाठी एक पासवर्ड, बँकेसाठी दुसरा पासवर्ड, ऑफिसच्या कामात अजून तिसराच हे थोडसं अवघड वाटेल. पण ही खबरदारी अशासाठी की चुकून एक पासवर्ड हॅकरनी किंवा आजूबाजूच्या कुणी हेरला तरी आपली ईमेल, बँक-खातं, ऑफिसमधलं काम हे सारं एका फटक्यात चोराच्या हाती लागू नये.
इथे तुम्ही प्रत्येक कामाचं एकेक अक्षर त्या पासवर्डमध्ये घालण्याची साधी सोपी युक्ती करू शकता. उदा. तुमचा पासवर्ड मेरे मन की गंगा ...पासून केलेला असेल, तर आता सगळीकडे ‘mmGatmJ’ असा एकच न ठेवता, ईमेल साठी त्यात E घालून तो ‘EmmGatmJ’, बँकेसाठी त्यात B घालून तो ‘BmmGatmJ’, तर ऑफिसमध्ये O घालून तो ‘OmmGatmJ’ असा जुळवता येईल. त्यातही हे नवीन अक्षर सुरुवातीला घ्यायचं, का शेवटी घ्यायचं, का मध्येच कुठल्या एखाद्या क्रमांकावर घ्यायचं हे तुम्हीच ठरवू शकता.
ह्या साध्या युक्तीनं ईमेल, बँक-खातं, ऑफिसमधलं काम, ऑनलाइन खरेदी, बिलं भरणे अशा अगणित व्यवहारांचे वेगवेगळे पासवर्ड विनासायास लक्षात ठेवता येतात.
पासवर्डला पुरेशी लांबी, रुंदी आणि खोलीदेखील असावी. पुरेशी लांबी म्हणजे पासवर्डमध्ये किमान दहा ते बारा अंक/अक्षरं असावीत. ‘dxqp’, ‘sjwtk’, ‘ltwbsm’ हे पासवर्ड पुरेसे लांब नाहीत, त्यामुळे अल्पशा खटपटीनं ते सहज हुडकले जाऊ शकतात.
रुंदी म्हणजे त्यात अंक, अक्षरं, स्पेशल कॅरॅक्टर (उदाहरणार्थ #, *, {, ^) असं वैविध्य पाहिजे. ‘aaaaaaaaaa’, ‘2022-2023’, ‘qwertyuiop’ हे पासवर्ड लांब आहेत पण रुंद नाहीत. खोलीचा मथितार्थ असा की पासवर्ड सहजपणे आपल्या लक्षात राहावा, मात्र इतरांना ओळखता येऊ नये. त्या दृष्टीनं ‘Pramod_Damle-123’, ‘October_2023’, हे पासवर्ड लांब आहेत, रुंदही आहेत, पण त्यांची खोली अगदी नगण्य म्हणावी लागेल.
इथवर पाहिलेल्या मुद्द्यांची झटपट उजळणी हवीय? ‘शशिशेखर’ ह्या एका शब्दात ह्या महत्त्वाचे बरेचसे मुद्दे येतात. त्यातलं एकेक अक्षर म्हणजे एकेक ठळक मुद्दा ! ‘श’ – शब्दकोश वापरून पासवर्ड फोडण्याची हॅकरची क्लृप्ती आपण पाहिली.
‘शि’ – शिळा पासवर्ड आणि त्यानं उद्भवणारी जोखीम, ‘शे’ – शेजारी, सहकारी किंवा आजूबाजूची माणसं आपल्या आवडी-निवडीवरून आपल्या पासवर्डचा अंदाज बांधू शकतात हा धोका, ‘ख’ – म्हणजे आकाश अथवा अवकाश, ज्याची त्रिमिती स्मरण करून देईल की पासवर्डला पुरेशी लांबी, रुंदी आणि खोलीदेखील असावी आणि अखेर ‘र’ – रचना: एखाद्या गाण्याची आद्याक्षरं घेऊन, स्वतःला लक्षात ठेवायला सोपा पण इतरांना भेदायला अवघड असा पासवर्ड कसा रचावा याची युक्ती.
जाता जाता
हा लेख तुम्ही उत्कंठेनं वाचताय खरं, पण ते करताना तुमचा ‘लॉग इन’ केलेला लॅपटॉप किंवा ‘अनलॉक्ड’ स्थितीतला स्मार्टफोन तुमच्या नजरेआड तर नाही ना? तसं झालं तर भक्कम पासवर्ड असूनही सगळंच मुसळ केरात!
मित्रांनो, ही फक्त सुरुवात आहे. पुढे जाऊ तसं अजून बरंच काही आहे. पासवर्ड बंद पाकिटात जतन करण्यासारख्या जुन्या युक्त्यांपासून ते ‘पासवर्ड मॅनेजर’ प्रकारचं सॉफ्टवेअर (उदा. डॅशलेन, वनपास, कीपास) वापरण्यासारख्या आधुनिक उपायांपर्यंत आणि ओटीपीसारखा एकदाच वापरायचा पासवर्ड ते थेट पासवर्डऐवजी बोटांचे ठसे किंवा आवाजाचे नमुने घेणारं बायोमेट्रिक तंत्रज्ञान, अशा अनेक गोष्टी आहेतच. त्या सार्यांची उपयुक्तता, खाच-खळगे, गुण-अवगुण याविषयी पुन्हा केव्हा तरी.
शशिशेखर हा, मंत्र सोपा पहा, तो अक्षरश:, कामी येई
‘श’ शब्दकोशाचा, ‘शि’ शिळ्यापाक्याचा, ‘शे’ हा शेजार्यांचा, ध्यानी घेई
‘ख’ ची न्यारी गोडी, आकाशाशी जोडी, लांबी-खोली-जाडी, त्रिमितीची
‘र’ रचू पासवर्ड, होऊ या कल्चर्ड, हॅकर बॅकवर्ड, ठरवू आता
सारे गानलुब्ध, गाण्याचे घ्या शब्द, गीते उपलब्ध, शेकड्याने
गाण्याचा एखादा, घेउनी मुखडा, शब्द शब्द सोडा, वेगळाला
त्या सार्या शब्दांची, आद्याक्षरे घेई, जुळून तो येई, पासवर्ड
भाकरी जळाली, घोडाही अडला, पासवर्ड नडला, बदला-विना
(लेखातील सर्व नावे बदलली आहेत.)
______________________________
ब्रेक घ्या, डोकं चालवा, कोडे सोडवा!
Read latest Marathi news, Watch Live Streaming on Esakal and Maharashtra News. Breaking news from India, Pune, Mumbai. Get the Politics, Entertainment, Sports, Lifestyle, Jobs, and Education updates. And Live taja batmya on Esakal Mobile App. Download the Esakal Marathi news Channel app for Android and IOS.