How passwords are stored and protected ?

 

ஒருவரின் தனிப்பட்ட தரவுகளான email id, Mobile number, Address மற்றும் Location போன்றவற்றை கொடுத்து இணையத்தளத்தை அணுகும்போது தரவுகள் சேமிக்கப்பட்ட தரவுத்தளத்திலிருந்து வேண்டுமென்றே அல்லது நோக்கமின்றி தரவானது பொது இணையத்தில் வெளியிடுதல் மற்றும் உரிமையாளரின் அனுமதியின்றி தரவுகள் விற்கபடுதல் போன்ற செயல்கள் Data Breaches ஆகும்.  

 

 

Data breach எப்போதும் ஹாக்கரால் மட்டுமே ஏற்படுவதில்லை, இதற்கு வேறு சில காரணிகளும் உள்ளன. 

 

1. பாதுகாப்பு குறைவாக உள்ள நிறுவனத்தின் ஊழியர் சக பணியாளரின் கணினியை பயன்படுத்தி தற்செயலாக பாதுகாப்பு அற்ற இணையதளத்தை அணுகும்போது Data breach ஏற்படலாம். 

 

2. அந்த நிறுவனத்தில் வேலைச் செய்யும் ஊழியரே தரவுகளை வேண்டுமென்றே பொதுத்தளத்தில் வெளியீட்டு Data Breach-யில் ஈடுப்படலாம். 

 

3. தொலைந்த அல்லது திருடப்பட்ட மொபைல், லேப்டாப் மற்றும் ஹார்ட் டிரைவ் மூலம் அதிலுள்ள முக்கிய தரவுகள் கசியலாம். 

 

4. விமான நிலையங்கள், ரயில்வே நிலையங்கள்மற்றும் ஹோட்டல்ஸ் போன்ற மக்கள் அதிகம் கூடும் இடங்களில் உள்ள இலவச இணைய இணைப்பு மற்றும் சார்ஜிங் போர்ட் போன்றவற்றை பயன்படுத்துவதன் மூலம் Data Breaches ஏற்படுகிறது. 

 

5. பெரிய நெட்வொர்க் மற்றும் தனிநபரிடமிருந்து தகவல்களை சேகரிக்க ஹாக்கர்கள் Hacking மூலம் பணம் நோக்கத்திற்காகவோ அல்லது வேறு சில கரணங்களுக்காகவோ தரவுகள் திருடப்படலாம். 

 

6. ஒரு சில நிறுவனங்களே பணம் நோக்கத்திற்காக தரவுகளை விற்கலாம். 

 

2017 இல், 500 மில்லியனுக்கு மேற்ப்பட்ட கடவுச்சொல் Deep web-யில் வெளியானது. 

 

2021 இல், 336 மில்லியன் பயனர்களின் கடவுச்சொல் twitter பயன்பாட்டிலுள்ள பிழையால் Plain text-யில் சேமிக்கப்பட்டது. 

 

81 சதவீத நிறுவனங்கள் Data Breaches ஏற்ப்படக் காரணம், எளிய கடவுச்சொல் பயன்படுத்தியதால். 

 

அதிக எண்ணிக்கையிலான Facebook பயனர்களின் தொலைபேசி எண்கள் ஆன்லைனில் வெளியானது, அது ஒன்றும் முதல் முறை அல்ல. 2019 இல் கண்டறியப்பட்ட பாதிப்பு, அதன் சேவை விதிமுறைகளை மீறி Facebook சேவையகங்களிலிருந்து மில்லியன் கணக்கான மக்களின் தொலைபேசி எண்களை அகற்ற அனுமதித்தது. ஆகஸ்ட் 2019 இல் பாதிப்பு சரிசெய்யப்பட்டதாக பேஸ்புக் தெரிவித்துள்ளது. 

 

65 சதவீத நபர்கள் பெரும்பாலும் ஒரே கடவுச்சொல் பயன்படுத்துகின்றனர். அதுவும் எல்லாம் இணையதளம் மற்றும் இணைய ஊடகங்களில் பயன்படுத்துவதன் மூலம் எளிதில் தாக்குதலுக்கு உள்ளாகும். பெயர், மொபைல் நம்பர் மற்றும்  பிறந்ததேதி போன்றவை பொதுவாக பயனர்களால் எளிய கடவுச்சொல்லாக பயன்படுத்தப்படுகிறது. எடுத்துக்கட்டாக, 123456789, Password, abc123, Iloveyou, 11111111, Admin, Qwerty,Welcome. 

 

இவ்வாறு நடைபெறும் Data Breaches தடுக்க பெரும் நிறுவனங்கள் இணைய மற்றும் தரவு பாதுகாப்பில் அதிக நேரத்தையும் மற்றும் அதிக பணத்தையும் செலவிடுகின்றன. Microsoft நிறுவனம் ஒவ்வொரு ஆண்டும் கிளவுட் பாதுகாப்பில் சுமார் 1 பில்லிவன் முதலீடு செய்கிறது.  

 

2021 ஆம் ஆண்டில், Microsoft நிறுவனம் இணைய பாதுகாப்பிற்காக $20 பில்லியன் செலவழிக்க உறுதியளித்தது, மேலும் அடுத்த ஐந்து ஆண்டுகளில் Google $10 பில்லியன் செலவழிக்க உறுதியளித்தது.

 

 

 

தரவுத்தளத்தில் Plain text மூலம் சேமிக்கபடும் கடவுச்சொலில் எந்த ஒரு பாதுகாப்பு மாற்றத்தையும் ஏற்ப்படுத்தாமல் அப்படியே கடவுச்சொல்லை சேமித்து வைக்கும். அதில் கடவுச்சொல்லை மனிதர்களால் எளிதில் படிக்கமுடியும். பெரும்பாலான இணைய பயனர்கள் வலைத்தளங்களுக்கு ஒரே கடவுச்சொல்லைப் பயன்படுத்துகிறார்கள். உங்கள் கடவுச்சொல்லை Plain text-யில் சேமிக்கும் இணையதளம் ஹேக்கரால் அந்த இணையதளத்தில் உங்கள் கணக்கை அணுகுவது மட்டுமல்லாமல், அதே கடவுச்சொல்லைப் பயன்படுத்தும் உங்களின் அனைத்து சமூக ஊடகங்கள் மற்றும் மின்னஞ்சல்கள் போன்ற கணக்குகளின் அணுகலைப் பெற முடியும். 

 

சில புகழ்பெற்ற தளங்கள் உட்பட 30% இணையதளங்கள் கடவுச்சொற்களை Plain text-யில் சேமிக்க முனைகிறார்கள். இணையதளம் உங்கள் கடவுச்சொல்லை Plain text-யில் சேமித்து வைத்திருந்தால், நீங்கள் எவ்வளவு வலுவான கடவுச்சொல்லை தேர்வு செய்தாலும், நீங்கள் பாதுகாப்பாக இல்லை என்பது குறிப்பிடத்தக்கது. தரவுத்தளத்தில் கடவுச்சொற்களை Plain text முறையில் சேமிப்பதை பல இணையதளங்கள் பெரும்பாலும் பயன்படுத்துவதில்லை. 

 

 

 

நீங்கள் கொடுக்ககும் கடவுச்சொல் Encryption Algorithm கொண்டு அதற்கென ஒரு Key மூலம் Encrypt செய்து Cypher text ஆக மாற்றப்பட்டு தரவுத்தளத்தில் சேமிக்கப்படுகிறது. ஒரு வேளை, அந்த தரவுத்தளம் Data Breach உள்ளனால் ஹாக்கருக்கு உங்களுடைய கடவுச்சொல் Cypher text ஆக கிடைக்கும். இது க்=பாதுகாப்பானது என்றால்? அது இல்லை. Encryption செய்யப்பட்ட கடவுச்சொல்லை Decryption செய்ய முடியும். அதனால், ஹாக்கருக்கு கடவுச்சொல் எந்த Algorithm கொண்டு, எந்த Key மூலம் Encryption செய்யப்பட்டது தெரிந்தால் போதும் ஹாக்கரால் கடவுச்சொல்லை Plain text -ஆக மாற்றமுடியும். இதற்கு ஹாக்கர்ஸ் Brute Force Attacks மூலம் கடவுச்சொற்களை Decrypt செய்ய முடியும். 

 

 

 

Encrypt செய்யப்பட்ட தரவு எளிதில் Decrypt செய்ய முடிவதால் அதற்கு மாறாக Hash Algorithm பயன்படுத்தபடுகிறது. அதில் கொடுக்கபடும் தரவுகள் 64 வெவ்வேறு எழுத்துகள் கொண்ட Hash value கண்டுபிடிக்கப்பட்டு அது தரவுதளத்தில் சேமிக்கப்படுகிறது. இந்த செயல்முறை Non- reversible என்பதால் ஏற்கனவே தரவுத்தளத்திலுள்ள உங்கள் கடவுச்சொலூக்கான Hash value மற்றும் தற்போது நீங்கள் தரும் கடவுச்சொல்லுக்கு மீண்டும் Hash value கண்டுபிடிக்கப்பட்டு இரண்டையும் ஒரே மாதிரியாக இருந்தால் நீங்கள் உங்கள் கணக்கை அணுகலாம். இந்த இரண்டு Hash values ஒரே மாதிரி இல்லாத பட்சத்தில் கணக்கை தொடர முடியாது. 

 

ஹேக்கர்கள் Hash செய்யப்பட்ட கடவுச்சொற்களை சேமித்து வைத்திருப்பதை அறிந்தவுடன், அவர்கள் சொற்களின் அட்டவணையையும் அவற்றுடன் தொடர்புடைய hashகளையும் உருவாக்கினர். இந்த அட்டவணை Rainbow table என்று அழைக்கப்படுகிறது மற்றும் இது ஆன்லைனில் எளிதாகக் கிடைக்கிறது. தரவுத்தளத்திலிருந்து பெறப்பட்ட Hash-களை ஒப்பிடுவதன் மூலம் உண்மையான கடவுச்சொல்லை மாற்றியமைக்க இந்த அட்டவணையைப் பயன்படுத்தலாம். எனவே வார்த்தை பட்டியலில் உங்கள் கடவுச்சொல் கண்டுபிடிப்பதற்கான வாய்ப்பு அதிக இருப்பதால் வலுவான கடவுச்சொல்லை வைத்திருப்பது மிகவும் முக்கியம்.

கடவுச்சொல்லின் Hash வெறுமனே சேமிப்பது இனி உதவப் போவதில்லை. வேகமான GPU ஆனது ஒரு நொடியில் மில்லியன் கணக்கான hash-களை உருவாக்க முடியும். எனவே ஹேக்கர் பல்வேறு சாத்தியமான சேர்க்கைகளை Brute Forcing செய்வதன் மூலம் அதிக எண்ணிக்கையிலான Hash-களை எளிதாக உருவாக்க முடியும் மற்றும் உண்மையான கடவுச்சொல்லை பிரித்தெடுக்க தரவுத்தளத்தில் சேமிக்கப்பட்ட Hashகளுடன் ஒப்பிடலாம்.