सुरक्षा प्रश्न वह पासवर्ड है जो आपने चुना ही नहीं

प्रकाशित लेखक David Carrero

जब कोई फ़ॉर्म आपसे आपकी माँ का कुँवारा उपनाम पूछता है, तो वह आपसे कोई राज़ नहीं माँग रहा। वह आपसे एक सरकारी रिकॉर्ड में दर्ज ब्योरा माँग रहा है।

पूरी आलोचना बस इतनी ही है; बाक़ी सब ब्योरे हैं। सुरक्षा प्रश्न ऐसा पासवर्ड है जिसमें तीन ख़ामियाँ हैं और आम पासवर्ड में वे नहीं होतीं: आपने उसे चुना नहीं, जवाब का अंदाज़ा लग जाता है क्योंकि बहुत सारे लोग एक ही जवाब देते हैं, और वह अक्सर किसी ऐसी जगह लिखा होता है जो आपके क़ाबू में नहीं। बदले में उसे एक ज़बरदस्त रुतबा दे दिया जाता है: वह आपके पासवर्ड की जगह ले सकता है। यह आपके खाते का पिछला दरवाज़ा है, और सामने वाले से कहीं ज़्यादा कमज़ोर है।

यह किसी बिरादरी का अंदाज़ा नहीं है। यह वह है जो Google ने नापा।

वह अध्ययन जिसे फ़ॉर्म बनाने से पहले कोई नहीं पढ़ता

2015 में पाँच शोधकर्ताओं — Joseph Bonneau, Elie Bursztein, Ilan Caron, Rob Jackson और Mike Williamson — ने फ़्लोरेंस में हुए WWW सम्मेलन में एक काम पेश किया जिसका शीर्षक ही लगभग सब कुछ कह देता है: Secrets, Lies, and Account Recovery। यह तीस स्वयंसेवकों वाली कोई प्रयोगशाला नहीं थी: उन्होंने करोड़ों गुप्त जवाबों और खाता वापस पाने की लाखों असली कोशिशों का विश्लेषण किया।

नतीजे के दो हिस्से हैं। सुनाया लगभग हमेशा एक ही जाता है।

पहला हिस्सा: अंदाज़ा लग जाता है

पेपर का ख़तरा-मॉडल ताक-झाँक करता आपका कोई रिश्तेदार नहीं है: वह कोई है जो थोक में खातों पर हमला करता है और जिसे बस एक हिस्से पर सही निकलना है। इस चश्मे से देखिए तो आँकड़ों के मायने बदल जाते हैं।

एक ही कोशिश में हमलावर अंग्रेज़ीभाषी उपयोगकर्ताओं के “आपका पसंदीदा खाना?” के 19.7 % जवाब सही निकाल लेता। एक। और जवाब, अगर शक हो, तो वही होता है जो अभी आपके दिमाग़ में आया। दस कोशिशों में वह कोरियाई उपयोगकर्ताओं के “जन्म का शहर?” के 39 % जवाब पकड़ लेता। और एक ही कोशिश में स्पैनिशभाषी उपयोगकर्ताओं के 3.8 % जवाब सही निकल आते हैं उस सवाल के, जिसे Google उनके सामने “पिता का पहला उपनाम?” के रूप में परोसता था।

3.8 % कम लगता है — जब तक आपको याद न आए कि हमलावर आपके खाते पर हमला नहीं कर रहा: वह दस लाख खातों पर कर रहा है। और वह सूची बनाने के लिए Google होना ज़रूरी नहीं। लेखकों ने यह जाँचकर देखा: किसी crowdsourcing सेवा से ख़रीदे गए महज़ एक हज़ार जवाबों से उन्होंने ऐसी वितरण-सूचियाँ खड़ी कर दीं जो सौ कोशिशों तक असली सूची जितनी ही कारगर थीं — 75 % से 80 % तक। इस प्रयोग में उनके 100 डॉलर लगे और एक दिन से भी कम।

सबसे तगड़ी मार यह है कि जो सवाल अनोखे होने के लिए ही बनाए गए थे, वे भी नहीं बचते। frequent flyer नंबर तो परिभाषा से ही बेजोड़ होना चाहिए; असल में अंग्रेज़ीभाषी लोगों के बीच एक ही कोशिश 4.2 % पर सही बैठ जाती है। वजह लाजवाब है और हम उस पर लौटेंगे: लोग झूठ बोलते हैं, और झुंड में एक जैसा झूठ बोलते हैं।

दूसरा हिस्सा: भूल जाते हैं

यहाँ तर्क पूरी तरह ढह जाता है, क्योंकि सुरक्षा प्रश्न आज भी चल रहे हैं तो सिर्फ़ इस भरोसे पर कि वे भरोसेमंद हैं। मान्यता वाजिब लगती थी: अपने शहर का नाम याद रखना xK4$mz याद रखने से आसान होना चाहिए। नहीं है। अमेरिका के 40 % अंग्रेज़ीभाषी उपयोगकर्ता ज़रूरत के वक़्त अपना जवाब याद ही नहीं कर पाए। उन्होंने उसे हवा में नहीं भुलाया था: वे अपने खाते में घुसने की कोशिश कर रहे थे और घुस नहीं पाए।

और फिर आता है वह उल्टा रिश्ता, जिसे एक दशक पहले ही इस तकनीक को दफ़ना देना चाहिए था। सवाल जितना सुरक्षित, उतना ही कम याद रहता है। उसी आबादी में “आपके पिता का मध्य नाम?” — एक कमज़ोर सवाल — का सही जवाब 76 % लोगों ने दिया। “आपका पहला फ़ोन नंबर?”, जिसका अंदाज़ा लगाना कहीं मुश्किल है, गिरकर 55 % पर आ गया। और सिद्धांत में सबसे सुरक्षित उम्मीदवार तो डूब ही जाते हैं: “आपके लाइब्रेरी कार्ड का नंबर?” 22 %, “frequent flyer नंबर?” 9 %

वक़्त बाक़ी काम पूरा कर देता है। “आपका पसंदीदा खाना?” के लिए सही जवाब एक महीने बाद 74 %, तीन महीने बाद 53 % और साल भर बाद बमुश्किल 47 % रह जाते थे। और खाता वापस पाने की कोशिशें शुरुआत में सिमटी हुई नहीं होतीं: लेखकों ने पाया कि उपयोगकर्ता जल्दी खाता वापस पाने की कोशिश देर से करने की तुलना में ज़्यादा नहीं करते, यानी ज़्यादातर लोग सवाल तक तब पहुँचते हैं जब याद भाप बनकर उड़ चुकी होती है।

लेखकों के निष्कर्ष में तोड़-मरोड़ की ज़्यादा गुंजाइश नहीं: ऐसे गुप्त सवाल ढूँढ़ना लगभग नामुमकिन लगता है जो एक साथ सुरक्षित भी हों और याद रहने लायक़ भी

झूठ बोलना बचाता नहीं, बाहर बंद कर देता है

समझदारी भरी प्रतिक्रिया, जब आपको दिक़्क़त समझ आ जाती है, यही है कि झूठ बोलो: अगर आपका शहर पूछें तो लिख दो “टिम्बकटू” और आगे बढ़ो।

पेपर ने यह भी नापा, अमेरिकी आबादी पर एक सर्वे के ज़रिए। जिन लोगों ने माना कि वे झूठे जवाब देते हैं, उनमें से 37 % ने हमलावर का काम मुश्किल करने के लिए ऐसा किया, 15 % ने इसलिए कि जवाब याद रखना आसान हो जाए — इसे दो बार पढ़िए — और 31.9 % ने निजता की ख़ातिर, क्योंकि उनका मन नहीं था कि अपनी जीवनी किसी कंपनी को मुफ़्त में थमा दें।

दिक़्क़त यह है कि जवाब को सख़्त बनाना एक अंदाज़े लायक़ हरकत है। frequent flyer नंबरों का वह 4.2 % यही बता रहा है: बहुत सारे लोगों के झूठ आपस में उनकी सच्चाइयों से कहीं ज़्यादा मिलते-जुलते हैं। और क़ीमत दूसरे हिस्से में चुकानी पड़ती है। जिन अमेरिकी उपयोगकर्ताओं ने “आपका पहला फ़ोन नंबर?” में सात अंक वाला कुछ भरा — यानी एक भरोसे लायक़ जवाब — वे 55 % बार अपना जवाब याद रख पाए। जिन्होंने छह अक्षर भरे, यानी जिन्होंने कुछ भी गढ़ लिया, वे 18 % पर सही निकले।

बिना लिखे झूठ बोलना सुरक्षा की रणनीति नहीं है। यह चाबी फेंक देना है।

भारत में तो सवाल का कोई मतलब ही नहीं बनता

अपनी माँ के कुँवारे उपनाम पर लौटिए। हमारे यहाँ वह उपनाम आपके स्कूल के रजिस्टर से लेकर पासपोर्ट और बैंक के फ़ॉर्म तक हर जगह लिखवाया जाता है — अक्सर उसी संस्था के फ़ॉर्म में, जो बाद में उसे “गुप्त” जवाब मानकर पूछेगी।

यह कोई देसी अजूबा नहीं है। पेपर ख़ुद Griffith और Jakobsson के एक अध्ययन का हवाला देता है, जिसने जन्म और विवाह के सार्वजनिक रिकॉर्ड से टेक्सस के कम से कम 30 % निवासियों का यह उपनाम निकाल लिया; और Rabkin का, जिन्होंने पाया कि व्यवहार में इस्तेमाल हो रहे 16 % सवालों के जवाब सोशल मीडिया की सार्वजनिक प्रोफ़ाइलों में आम तौर पर लिखे मिलते थे।

जो ब्योरा किसी रजिस्टर में दर्ज हो और आपकी प्रोफ़ाइल पर छपा हो, वह साझा राज़ नहीं है। वह सार्वजनिक जानकारी है, जिसके आगे पासवर्ड का एक ख़ाना लगा दिया गया है।

उस फ़ॉर्म का क्या करें जो आपको मजबूर करता है

कभी-कभी बचने का रास्ता नहीं होता: बैंक तीन सवाल माँगता है और उसके बिना आगे बढ़ा ही नहीं जा सकता। ऐसे में उन्हें सवाल मानना छोड़िए और वही समझिए जो वे असल में हैं।

  • जवाब में अपनी ज़िंदगी नहीं, एक पासवर्ड लिखिए। “जन्म का शहर?” का जवाब जनरेटर से निकली कोई बेतरतीब लड़ी हो सकती है, या ऐसा कोई वाक्य जिसे आपने पहले चेकर से गुज़ार लिया हो। यही अकेला जवाब है जो किसी रजिस्टर में दर्ज नहीं है।
  • उसे मैनेजर में, उसी साइट की एंट्री में लिख लीजिए। यह वैकल्पिक नहीं है: याद रहने के 55 % और 18 % के बीच का फ़र्क़ ठीक यही है। झूठ तभी काम करता है जब आप उसे संभालकर रखें।
  • अगर सेवा आपको खाता वापस पाने का दूसरा तरीक़ा चुनने दे, तो वही चुनिए। Google के आँकड़ों में SMS 81 % बार सही निकला और ईमेल 75 % बार, जबकि गुप्त सवाल अमेरिकी अंग्रेज़ीभाषी उपयोगकर्ताओं में 61 % पर थे — और फ़्रांसीसियों में सिर्फ़ 44 % पर।

Google ने अपने ही आँकड़े सामने रखकर उसी हिसाब से क़दम उठाया: उसने गुप्त सवालों को आख़िरी सहारा बना दिया, और वह भी हमेशा दूसरे संकेतों के साथ। पेपर की सिफ़ारिश यही है कि इन्हें अकेले इस्तेमाल न किया जाए

ग्यारह साल बाद भी आपकी बीमा कंपनी आपसे आपके पहले पालतू का नाम पूछ रही है। उसे सोलह बेतरतीब अक्षरों में जवाब दीजिए। वह इसी लायक़ है।


स्रोत: J. Bonneau, E. Bursztein, I. Caron, R. Jackson और M. Williamson, “Secrets, Lies, and Account Recovery: Lessons from the Use of Personal Knowledge Questions at Google”, WWW 2015, फ़्लोरेंस · V. Griffith और M. Jakobsson, “Messin’ with Texas: Deriving Mother’s Maiden Names Using Public Records”, ACNS 2005, और A. Rabkin व्यवहार में सुरक्षा प्रश्नों पर, दोनों का हवाला पिछले काम में दिया गया है।

← ब्लॉग पर वापस