पासवर्ड स्प्रे अटैक की परिभाषा और अपना बचाव करना

अनधिकृत खातों तक पहुंच प्राप्त करने के लिए सबसे अधिक इस्तेमाल की जाने वाली दो विधियां हैं (ए) ब्रूट फोर्स अटैक(Brute Force Attack) , और (बी) पासवर्ड स्प्रे अटैक(Password Spray Attack) । हम पहले Brute Force Attacks के बारे में बता चुके हैं। यह लेख पासवर्ड स्प्रे अटैक(Password Spray Attack) पर केंद्रित है - यह क्या है और इस तरह के हमलों से खुद को कैसे बचाएं।

पासवर्ड स्प्रे अटैक परिभाषा

पासवर्ड स्प्रे अटैक (Password Spray Attack)ब्रूट फोर्स अटैक(Brute Force Attack) के बिल्कुल विपरीत है । ब्रूट फोर्स(Brute Force) के हमलों में , हैकर्स एक कमजोर आईडी चुनते हैं और एक के बाद एक पासवर्ड दर्ज करते हैं, इस उम्मीद में कि कोई पासवर्ड उन्हें अंदर आने दे सकता है। मूल रूप(Basically) से, ब्रूट फोर्स(Brute Force) कई पासवर्ड हैं जो सिर्फ एक आईडी पर लागू होते हैं।

पासवर्ड स्प्रे हमला

पासवर्ड स्प्रे(Password Spray) हमलों के लिए आ रहा है , एक पासवर्ड कई उपयोगकर्ता आईडी(IDs) पर लागू होता है ताकि कम से कम एक उपयोगकर्ता आईडी से समझौता किया जा सके। पासवर्ड स्प्रे(Password Spray) हमलों के लिए , हैकर्स सोशल इंजीनियरिंग(social engineering) या अन्य फ़िशिंग विधियों(phishing methods) का उपयोग करके कई उपयोगकर्ता आईडी(IDs) एकत्र करते हैं । अक्सर ऐसा होता है कि उनमें से कम से कम एक उपयोगकर्ता 12345678 या यहां तक ​​कि [ईमेल संरक्षित]([email protected]) जैसे साधारण पासवर्ड का उपयोग कर रहा है । पासवर्ड स्प्रे अटैक में इस भेद्यता (या (Password Spray Attacks)मजबूत पासवर्ड बनाने(create strong passwords) के तरीके के बारे में जानकारी की कमी ) का फायदा उठाया जाता है ।

पासवर्ड स्प्रे अटैक(Password Spray Attack) में , हैकर अपने द्वारा एकत्र की गई सभी उपयोगकर्ता आईडी(IDs) के लिए सावधानीपूर्वक निर्मित पासवर्ड लागू करेगा । यदि भाग्यशाली है, तो हैकर एक खाते तक पहुंच प्राप्त कर सकता है जहां से वह आगे कंप्यूटर नेटवर्क में प्रवेश कर सकता है।

पासवर्ड स्प्रे अटैक को इस प्रकार परिभाषित किया जा सकता है कि एक संगठन में एक से अधिक उपयोगकर्ता खातों में एक ही पासवर्ड लागू करने के लिए उन खातों में से एक में अनधिकृत पहुंच को सुरक्षित किया जा सकता है।(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)

जानवर बल हमला(Brute Force Attack) बनाम पासवर्ड स्प्रे हमला(Password Spray Attack)

Brute Force Attacks के साथ समस्या यह है कि विभिन्न पासवर्ड के साथ निश्चित संख्या में प्रयासों के बाद सिस्टम को लॉक किया जा सकता है। उदाहरण के लिए, यदि आप सर्वर को केवल तीन प्रयासों को स्वीकार करने के लिए सेट करते हैं अन्यथा उस सिस्टम को लॉक कर दें जहां लॉगिन हो रहा है, सिस्टम केवल तीन अमान्य पासवर्ड प्रविष्टियों के लिए लॉक हो जाएगा। कुछ संगठन तीन को अनुमति देते हैं जबकि अन्य दस अमान्य प्रयासों की अनुमति देते हैं। कई वेबसाइट इन दिनों लॉकिंग के इस तरीके का इस्तेमाल करती हैं। यह एहतियात Brute Force Attacks के साथ एक समस्या है क्योंकि सिस्टम लॉकडाउन प्रशासकों को हमले के बारे में सचेत करेगा।

इससे बचने के लिए, उपयोगकर्ता आईडी(IDs) एकत्र करने और उन पर संभावित पासवर्ड लागू करने का विचार बनाया गया था। पासवर्ड स्प्रे अटैक(Password Spray Attack) के साथ भी हैकर्स कुछ सावधानियां बरतते हैं। उदाहरण के लिए, यदि उन्होंने सभी उपयोगकर्ता खातों में पासवर्ड1 लागू करने का प्रयास किया, तो वे पहले दौर की समाप्ति के तुरंत बाद उन खातों में पासवर्ड2 लागू करना शुरू नहीं करेंगे। हैकिंग के प्रयासों के बीच वे कम से कम 30 मिनट की अवधि छोड़ देंगे।

पासवर्ड स्प्रे हमलों(Password Spray Attacks) से बचाव

Brute Force Attack और Password Spray दोनों हमलों को बीच में ही रोका जा सकता है बशर्ते कि संबंधित सुरक्षा नीतियां मौजूद हों। यदि 30 मिनट का अंतराल छोड़ दिया जाता है, तो इसके लिए प्रावधान किए जाने पर सिस्टम फिर से लॉक हो जाएगा। कुछ अन्य चीजें भी लागू की जा सकती हैं, जैसे दो उपयोगकर्ता खातों पर लॉगिन के बीच समय अंतर जोड़ना। यदि यह एक सेकंड का एक अंश है, तो दो उपयोगकर्ता खातों में लॉग इन करने के लिए समय बढ़ाएँ। ऐसी नीतियां उन व्यवस्थापकों को सचेत करने में मदद करती हैं जो सर्वर को बंद कर सकते हैं या उन्हें लॉक कर सकते हैं ताकि डेटाबेस पर कोई रीड-राइट ऑपरेशन न हो।

अपने संगठन को पासवर्ड स्प्रे हमलों(Password Spray Attacks) से बचाने के लिए पहली बात यह है कि अपने कर्मचारियों को सोशल इंजीनियरिंग हमलों के प्रकार, फ़िशिंग हमलों और पासवर्ड के महत्व के बारे में शिक्षित करना है। इस तरह कर्मचारी अपने खातों के लिए किसी भी पूर्वानुमेय पासवर्ड का उपयोग नहीं करेंगे। एक और तरीका है कि व्यवस्थापक उपयोगकर्ताओं को मजबूत पासवर्ड प्रदान करते हैं, उन्हें सतर्क रहने की आवश्यकता समझाते हैं ताकि वे पासवर्ड को नोट न करें और इसे अपने कंप्यूटर से चिपका दें।

कुछ तरीके हैं जो आपके संगठनात्मक सिस्टम में कमजोरियों की पहचान करने में मदद करते हैं। उदाहरण के लिए, यदि आप Office 365 Enterprise का उपयोग कर रहे हैं, तो आप यह जानने के लिए (Enterprise)अटैक सिम्युलेटर चला सकते हैं कि आपका कोई कर्मचारी कमजोर पासवर्ड का उपयोग कर रहा है या नहीं।

आगे पढ़िए(Read next) : डोमेन फ्रंटिंग(Domain Fronting) क्या है ?



Harpreet Varughese

About the author

मैं 10 से अधिक वर्षों के अनुभव के साथ एक सॉफ्टवेयर डेवलपर हूं। मैं मैक प्रोग्रामिंग में विशेषज्ञ हूं और विभिन्न मैक अनुप्रयोगों के लिए कोड की कई हजार लाइनें लिखी हैं, जिनमें शामिल हैं, लेकिन इन तक सीमित नहीं हैं: टेक्स्टएडिट, गैराजबैंड, आईमूवी और इंकस्केप। मुझे लिनक्स और विंडोज विकास का भी अनुभव है। एक डेवलपर के रूप में मेरे कौशल ने मुझे विभिन्न सॉफ़्टवेयर विकास प्लेटफ़ॉर्म के लिए उच्च-गुणवत्ता, व्यापक ट्यूटोरियल लिखने की अनुमति दी है - macOS से Linux तक - मेरे ट्यूटोरियल को उन लोगों के लिए सही विकल्प बनाता है जो उनके द्वारा उपयोग किए जा रहे टूल के बारे में अधिक जानना चाहते हैं।


Related posts