जिस नियम को आप तोड़ते हैं और जिस नियम को आप निभा ही नहीं सकते — इन दोनों में ज़मीन-आसमान का फ़र्क़ है। “हर साइट पर अलग पासवर्ड” दूसरी क़िस्म का नियम है।
जो पूरा पाठ हमें घोंटकर पिलाया गया था — एक बड़ा अक्षर, एक अंक, एक चिह्न, और हर तीन महीने में पासवर्ड बदलने की मजबूरी — उसका बड़ा हिस्सा NIST ने SP 800-63B में ख़ुद ही उठाकर बाहर फेंक दिया। लंबाई, टेढ़ेपन से ज़्यादा अहम हो गई। ज़बरदस्ती की रोटेशन ख़त्म, बशर्ते सेंध का कोई संकेत न हो। चिह्न ठूँसने की शर्त की जगह कहीं ज़्यादा समझदार चीज़ आ गई: पासवर्ड को पहले से लीक हो चुकी सूचियों से मिलाकर देखना।
बचा सिर्फ़ एक नियम। न दोहराने वाला। और यही वह नियम है जिसे हमने सबसे कम गंभीरता से लिया, क्योंकि उसे निभाने के लिए एक ऐसी चीज़ चाहिए थी जिसका ज़िक्र दफ़्तर की दीवार पर चिपके किसी पोस्टर में नहीं था।
आपकी याददाश्त यह कर ही नहीं सकती
गिनिए कि आपके कितने अकाउंट हैं। वे नहीं जो आप इस्तेमाल करते हैं — वे जो आपके हैं। बैंक, ईमेल, दूसरा ईमेल, वह ऑनलाइन दुकान जहाँ से 2019 में जूते ख़रीदे थे, वह फ़ोरम, एयरलाइन, पार्किंग वाली ऐप, सोसाइटी के मेंटेनेंस का पोर्टल, और वह सरकारी वेबसाइट जिसने पाँच मिनट के एक काम के लिए पूरा रजिस्ट्रेशन करवा दिया।
अब कल्पना कीजिए कि हर एक के लिए एक लंबी, बेतरतीब और अलग स्ट्रिंग याद रखनी है। बात यह नहीं कि यह मुश्किल है। बात यह है कि इंसानी दिमाग़ के लिए यह लक्ष्य ही नहीं है, और सालों तक इसका उल्टा दावा करते रहना सूचना सुरक्षा की छोटी-मोटी क्रूरताओं में से एक रहा है।
तो हमने वही किया जो किया जा सकता था: एक अच्छा पासवर्ड और उसके तमाम रूप।
बैंक के लिए Jalebi2019! और फ़ोरम के लिए Jalebi2019?। या फिर सीधे-सीधे हर जगह
वही एक पासवर्ड, मन ही मन इस तारांकन के साथ कि “चलो, बैंक वाला तो अलग है”।
समस्या यहीं है, क्योंकि असली हमला आपका पासवर्ड बूझने का नहीं होता। वह उसी पासवर्ड को आज़माने का होता है जो कहीं और से पहले ही चुराया जा चुका है। वह 2019 वाला फ़ोरम लीक होता है — 2019 वाले फ़ोरम लीक होते ही हैं — कोई ईमेल और पासवर्ड की वह सूची उठाता है और उसे ऑटोमेटेड तरीक़े से हर उस सेवा पर ठोक देता है जो उसके ज़हन में आती है। कुछ तोड़ने की ज़रूरत ही नहीं। चाबी आप पहले ही दे चुके हैं; वह बस दरवाज़े आज़मा रहा है। इसी को credential stuffing कहते हैं, और यह ठीक इसलिए चलता है क्योंकि जो इकलौता नियम मायने रखता था, उसे कोई निभा ही नहीं सकता था।
मैनेजर सुविधा नहीं है
यहीं पर पासवर्ड मैनेजर को अक्सर एक ऐशो-आराम की तरह बेचा जाता है: कितना आरामदेह है, अपने आप भर देता है, टाइप ही नहीं करना पड़ता। सच है, और सबसे कम अहम बात यही है।
मैनेजर आपकी मेहनत नहीं बचाता: वह उस नियम को मुमकिन बनाता है जो उसके बिना पहुँच से बाहर है। यह फ़र्क़ आपसे सौ किलोमीटर दौड़ने को कहने और आपको साइकिल थमा देने के बीच का है। आँकड़ा वही रहता है; बदलता यह है कि आप उसे कर पाएँगे या नहीं।
एक बार मैनेजर सामने हो, तो SP 800-63B की बाक़ी हर बात अपने आप हल हो जाती है। जटिल से पहले लंबे? मैनेजर जितनी लंबाई कहिए उतनी बना देगा, क्योंकि टाइप तो आपको करना ही नहीं। हर साइट पर अलग? परिभाषा से ही मामूली बात। ज़बरदस्ती रोटेशन नहीं? बढ़िया: आप सिर्फ़ वही बदलते हैं जो लीक हुआ है, और कई मैनेजर ऐसा होने पर आपको ख़बर भी कर देते हैं। याद तो अब सिर्फ़ मास्टर पासवर्ड रखना है, और वही इस लायक़ है कि उसे ध्यान से बनाया जाए — चार-पाँच बेतरतीब शब्द जनरेटर में और फिर चेकर में देख लीजिए कि वह कितना टिकता है।
ईमानदार आपत्ति
“सारे अंडे एक ही टोकरी में।” यह बात मैं हज़ार बार सुन चुका हूँ और यह बेवक़ूफ़ी नहीं है। अगर कोई आपके मैनेजर में घुस गया, तो वह हर जगह घुस गया। यह विफलता का एक अकेला बिंदु है, और जो आपसे कहे कि नहीं है, वह आपको कुछ बेच रहा है।
जवाब भी उतना ही ईमानदार होना चाहिए: हाँ, टोकरी एक ही है, लेकिन विकल्प यह नहीं है कि अंडे कई टोकरियों में बँट जाएँ। विकल्प यह है कि वे फ़र्श पर बिखरे पड़े रहें। मैनेजर के बिना आपके पास अस्सी अलग-अलग पासवर्ड नहीं होते; आपके पास अस्सी साइटों पर एक ही पासवर्ड होता है — यानी वही एक टोकरी, बस बिना ढक्कन के, बिना एन्क्रिप्शन के, और अस्सी पराए सर्वरों पर उसकी नक़ल पड़ी हुई, जिनकी सुरक्षा के बारे में आपको कुछ भी पता नहीं।
असली ख़तरे के मॉडल पर ग़ौर कीजिए। किसी गंभीर मैनेजर की एन्क्रिप्टेड तिजोरी तोड़ने के लिए या तो उत्पाद में कोई भारी ख़ामी चाहिए, या आपका मास्टर पासवर्ड। किसी ऑनलाइन दुकान पर इस्तेमाल किया आपका पासवर्ड आपके ईमेल पर आज़मा देने के लिए कुछ भी नहीं चाहिए: बस एक स्क्रिप्ट और एक सूची। आप उस हमले की तुलना, जिसके लिए बहुत कुछ चाहिए, उस हमले से कर रहे हैं जो अभी इसी वक़्त, लगातार, ऑटो-पायलट पर चल रहा है।
जो एहतियात वाक़ई वाजिब है, वह यह: एक लंबा और अनोखा मास्टर पासवर्ड, मैनेजर में दूसरा फ़ैक्टर चालू, और यह होश कि अब आपका नाज़ुक बिंदु मास्टर पासवर्ड ही है। उसके साथ वैसा ही सलूक कीजिए।
कौन सा, और क्यों कोई एक जवाब नहीं है
अब एक ऐसी बात, जो एफ़िलिएट लिंक रखने वाली साइट के लिए असहज है: सबसे अच्छा मैनेजर वही है जिसे आप सचमुच इस्तेमाल करेंगे, और अच्छे मैनेजर एक से ज़्यादा हैं।
Bitwarden मुक्त सॉफ़्टवेयर है, इसका मुफ़्त प्लान लगभग हर किसी की ज़रूरत पूरी कर देता है, और मन हो तो आप इसे अपने सर्वर पर ख़ुद भी चला सकते हैं। इसका कोड ऑडिट किया जा सकता है — यह मार्केटिंग नहीं है: इसका मतलब है कि आपको किसी की बात पर भरोसा नहीं करना पड़ता।
KeePass — और इसके तमाम वंशज — सब कुछ एक लोकल फ़ाइल में रखते हैं। न क्लाउड, न अकाउंट, न कोई प्रोवाइडर। अगर आपकी चिंता यह है कि “मेरे पासवर्ड किसी और के सर्वर पर नहीं होने चाहिए”, तो वह चिंता अक्षरशः हल हो गई। बदले में, अपने डिवाइसों के बीच सिंक करना आपकी अपनी ज़िम्मेदारी है।
1Password पैसे वाला है और यहाँ से हम इसी को लिंक करते हैं — एफ़िलिएट है, रिकॉर्ड पर रहे। यह जो चीज़ अच्छी करता है, वही आम तौर पर तय करती है कि कोई मैनेजर घर में टिकेगा या नहीं: कि ग़ैर-तकनीकी लोग उसे समझ लें, अपने साथी के साथ साझा कर लें, और हफ़्ते भर में छोड़ न दें। पैसे वाला होने से यह Bitwarden से ज़्यादा सुरक्षित नहीं हो जाता। यह बहुत लोगों के लिए बस वह मैनेजर है जिसे छोड़ना मुश्किल है।
और आपके ब्राउज़र का अपना मैनेजर। मुफ़्त, पहले से इंस्टॉल, और सेव करने की पेशकश तो वह करता ही रहता है। नियंत्रण, पोर्टेबिलिटी और साझा करने के मामले में वह ऊपर वालों से नीचे है, और आपको एक इकोसिस्टम से बाँध देता है। कोई बात नहीं: ब्राउज़र वाला इस्तेमाल करना, कोई भी इस्तेमाल न करने से बेहिसाब बेहतर है, क्योंकि वह बड़ी समस्या हल कर देता है। जो आपसे इसका उल्टा कहे, वह असली ख़तरे से पहले शुद्धता को रख रहा है।
वह वाक्य जो सब समेट देता है
सालों तक हमें बताया गया कि हर पासवर्ड कैसा होना चाहिए, और लगभग कभी नहीं बताया गया कि वे सब याद कैसे रहेंगे। वही क़दम छूटा हुआ था, और उसके बिना जो इकलौता नियम बचा, वह नियम था ही नहीं: वह एक उलाहना था।
एक चुन लीजिए। इनमें से कोई भी। कौन सा बेहतर है, यह बहस मैनेजर होने और न होने के बीच की दूरी के सामने मामूली है।
स्रोत: NIST SP 800-63B, “Digital Identity Guidelines: Authentication and Lifecycle Management” (जटिलता से ऊपर लंबाई, सेंध के संकेत के बिना ज़बरदस्ती रोटेशन नहीं, लीक हो चुके पासवर्डों की सूचियों से मिलान) · Bitwarden, KeePass और 1Password द्वारा प्रकाशित दस्तावेज़ीकरण और सुरक्षा मॉडल।