“ज़ाफोड बस यही आदमी है, तुम्हें पता है?”
- डगलस एडम्स द्वारा हाफ्रुंट, हिचहाइकर गाइड टू द गैलेक्सी। किताब, फिल्म नहीं। निश्चित रूप से फिल्म नहीं।
कुछ लोग (??) वास्तव में साइबर सुरक्षा, एंड-टू-एंड एन्क्रिप्शन में हैं, और जब उन्होंने पहली बार सीखा कि एनिग्मा कैसे काम करता है, तो पूरी तरह से गीक आउट हो गए। इन लोगों की कम-से-हंसने योग्य व्यक्तिगत साइबर सुरक्षा मुद्रा बनाने में एक सहज रुचि होने की संभावना है।
अधिकांश लोग, दुर्भाग्य से, साइबर सुरक्षा को वैकल्पिक मानते हैं। ज़्यादातर लोग इस तरह की बातें कहते हैं:
“कोई भी मुझे लक्षित नहीं कर रहा है।”
“वैसे भी मेरे पास छिपाने के लिए कुछ नहीं है।”
“मैं यह सब सीखने में बहुत व्यस्त हूँ। कोई मुझे केवल उन सर्वोत्तम प्रथाओं का एक सरल सारांश क्यों नहीं दे सकता जिन्हें मैं लगभग सात मिनट में छोड़ सकता हूँ?"
उन लोगों के लिए, मैं कहता हूं, हैलो, काल्पनिक निराकार पाठक! यहां सर्वोत्तम प्रथाओं का एक सरल सारांश दिया गया है जिसे आप लगभग सात मिनट में छोड़ सकते हैं।
रुको मुझे परवाह क्यों है
आपको यह समझने में मुश्किल हो सकती है कि साइबर सुरक्षा क्यों मायने रखती है जब आप सिर्फ एक औसत व्यक्ति होते हैं। ज़रूर, आप नहीं चाहते कि आपके डिवाइस हैक हो जाएं या आपका निजी डेटा चोरी हो जाए, लेकिन ऐसा नहीं है कि आप के बाद कोई आ रहा है , विशेष रूप से, है ना?
हे एलेक्स, मैं $400 के लिए "सही" लूंगा। यह संभावना नहीं है कि कोई आपके विशेष . को चुराने का प्रयास कर रहा हो सामान, हालांकि मुझे यह स्वीकार करना होगा कि आपका फारसी गलीचा वास्तव में कमरे को एक साथ बांध देगा। इसके बजाय, यह साइबर सुरक्षा को समझने में मदद कर सकता है यदि आप इसे कम लटकने वाले फल के संदर्भ में सोचते हैं।
तुम्हारे पास कुछ फल है, मेरे पास कुछ फल है। जो नीचे से ब्लॉक में 1.21 गीगावाट फ्लक्स-संधारित्र-संचालित फल-स्नैचिंग रोबोट है। जो नहीं जानता कि हम में से कोई भी मौजूद है, लेकिन उसका रोबोट (बहुत जल्दी) घर-घर जाता है, पूरे ब्लॉक में, फल की तलाश में। अगर मेरे सामने का दरवाजा बंद है और तुम्हारा खुला खड़ा है, तो जो का रोबोट किसका फल छीनने वाला है?
अगर यह उबाऊ लगता है, पुराना, नियमित सुरक्षा, तुम सही हो! साइबर सुरक्षा किसी ऐसे जादुई मंत्र को खोजने के बारे में नहीं है जो आपके फल को अधिकतम रूप से सुरक्षित बनाता है। यह आपके फल को आपके बगल के फल की तुलना में अधिक सुरक्षित बनाने के बारे में है। आप कुछ सोच-समझकर आदतों को अपनाकर ऐसा करते हैं, ठीक उसी तरह जैसे आपने फल-स्नैचिंग रोबोट से बचाव के लिए अपने सामने के दरवाजे को बंद करना सीखा था।
आए दिन सुरक्षा में चूक और घटनाएं होती रहती हैं। उनमें से ज्यादातर इसलिए होते हैं क्योंकि एक स्वचालित स्कैनर ने एक विस्तृत जाल डाला और एक व्यक्ति या कंपनी को ढीली सुरक्षा के साथ मिला, जिसका एक हैकर शोषण कर सकता था। वह आदमी मत बनो।
प्रतीक्षा करें कि सुरक्षा मुद्रा क्या है
यहां बताया गया है कि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान सुरक्षा मुद्रा को कैसे परिभाषित करता है:
एक उद्यम के नेटवर्क, सूचना और सिस्टम की सुरक्षा स्थिति सूचना आश्वासन संसाधनों (जैसे, लोग, हार्डवेयर, सॉफ्टवेयर, नीतियां) और उद्यम की रक्षा का प्रबंधन करने के लिए क्षमताओं और क्षमताओं के आधार पर उद्यम की सुरक्षा के रूप में प्रतिक्रिया करने के लिए स्थिति बदल जाती है। (एनआईएसटी स्पेशल पब्लिकेशन 800-30, बी-11)
ऊपर महत्वपूर्ण बात यह है, “उद्यम की रक्षा को प्रबंधित करने की क्षमताएं।” व्यक्तिगत सुरक्षा के संदर्भ में, आप उद्यम हैं। बधाई हो। क्या आप साहसपूर्वक वहां जा सकते हैं जहां पहले कोई आदमी नहीं गया है।
इससे पहले कि आप अजीब नई दुनिया देखें (यह है इंटरनेट, आखिरकार), अपने बचाव को प्रबंधित करने के लिए आप कुछ कदम उठा सकते हैं। शब्द "क्षमताओं" उपयुक्त है, क्योंकि कुछ चीजें होने से आपको साइबर सुरक्षा महाशक्तियां मिलेंगी। यहां वे तीन चरण दिए गए हैं जिन्हें मैं सबसे महत्वपूर्ण और लाभकारी मानता हूं:
- बहु-कारक प्रमाणीकरण का उपयोग करें
- वीपीएन का उपयोग करें
- स्वस्थ संदेह विकसित करें
हाथ में इन तीन चाबियों के साथ, आपकी साइबर सुरक्षा मुद्रा रोबोट लंच से युद्ध खेलों तक जाती है--जहां एक हमलावर के लिए जीत की चाल खेलना नहीं है।
1. बहुकारक प्रमाणीकरण का उपयोग करें
पासवर्ड मर चुके हैं। कम्प्यूटेशनल रूप से, वे एक हल की गई समस्या हैं, और पासवर्ड क्रैक करना केवल समय की बात है। दुर्भाग्य से, कई लोग अभी भी कई खातों के लिए एक ही समझौता किए गए पासवर्ड का उपयोग करके प्रक्रिया को तेज करने में मदद करते हैं, खुद को अकल्पनीय लाभ के लिए जोखिम में डालते हैं। पास वाक्यांश लंबे और अधिक जटिल होते हैं, और इन्हें क्रैक करने में बहुत अधिक समय लगेगा। मैं उन्हें अत्यधिक अनुशंसा करता हूं; फिर भी, आपका पासवर्ड अंततः मायने नहीं रखता।
उत्तर, कम से कम अभी के लिए, बहुकारक प्रमाणीकरण (एमएफए) है। एमएफए तीन प्रकार के प्रमाणीकरण कारकों से बना है:
- कुछ ऐसा जो आप जानते हैं, जैसे पास वाक्यांश;
- आपके पास कुछ है, जैसे चिप पिन कार्ड या फ़ोन; और
- कुछ ऐसा जो आप हैं, जैसे आपका चेहरा या फ़िंगरप्रिंट।
इनमें से दो या अधिक कारक अकेले पासवर्ड से असीम रूप से बेहतर हैं, खासकर यदि आपका पासवर्ड इस सूची में है।
एकाधिक प्रमाणीकरण कारक अब खाता प्रदाताओं और सोशल मीडिया साइटों द्वारा व्यापक रूप से समर्थित हैं। यदि आपके पास विकल्प है, तो प्रमाणीकरण कोड प्राप्त करने के तरीके के रूप में पाठ संदेशों का उपयोग करने से बचें। एसएमएस प्रमाणीकरण आपको सिम स्वैप हमले के प्रति संवेदनशील बनाता है — कृपया आगे के प्रश्नों को जैक डोर्सी को निर्देशित करें। इसके बजाय, अपने डिवाइस पर कोड जेनरेट करने के लिए Google Authenticator जैसे प्रमाणिक ऐप का उपयोग करें। यह सुनिश्चित करता है कि उस विशेष उपकरण का उपयोग करने वाले अकेले आपके पास सही प्रमाणीकरण कोड होगा। 'कविता में कोई शक्ति आपको रोक नहीं सकती।
Google Authenticator ऐप उस विशिष्ट डिवाइस के साथ काम करता है जिस पर आपने इसे सेट किया है, इसलिए जब आपको कोई नया डिवाइस मिलता है तो आपको Google Authenticator को अपने नए फ़ोन पर ले जाना होगा। हार्डवेयर प्रमाणीकरण कुंजियाँ जैसे कि YubiKey डिवाइस स्विच करते समय कम परेशानी पेश कर सकती हैं, लेकिन अभी तक प्रमाणीकरण ऐप्स के रूप में व्यापक रूप से समर्थित नहीं हैं।
2. वीपीएन का उपयोग करें
एक वीपीएन का उपयोग करने और एक का उपयोग न करने के बीच का अंतर यह है कि कैसे डार्क नाइट राइज वास्तव में अच्छा था और बैटमैन बनाम सुपरमैन वास्तव में वास्तव में खराब था। वही मताधिकार, बिल्कुल अलग मानक।
मान लीजिए कि आप बहुत सारे मेल भेजते हैं, लेकिन कभी भी अपने पत्रों को लिफाफों में डालने या उन्हें आधे में मोड़ने की जहमत नहीं उठाते। जो कोई भी देखने की जहमत उठाता है, उसे पता होगा कि आप वास्तव में ड्रेड पाइरेट रॉबर्ट्स नहीं हैं। जब आप वर्चुअल प्राइवेट नेटवर्क का उपयोग करते हैं, खासकर यदि आप अक्सर सार्वजनिक वाईफाई से जुड़ते हैं, तो यह आपके पत्रों को क्रिप्टोग्राफिक रूप से सील किए गए लिफाफों में डालने और उन्हें एक विशेष अदृश्य कूरियर सेवा के माध्यम से भेजने जैसा है। कोई और नहीं बल्कि इच्छित प्राप्तकर्ता आपके पत्रों को पढ़ सकता है, और आप और कुरियर के अलावा कोई नहीं जानता कि पत्र किसको भेजे गए हैं।
वीपीएन दूसरों को आपके संचार पढ़ने से रोकते हैं, जैसे अवसरवादी हमलावर जो खुले वाईफाई को स्कैन करते हैं, और यहां तक कि आपका अपना इंटरनेट सेवा प्रदाता (आईएसपी) जो आपके उपयोग डेटा को विज्ञापन डॉलर के लिए बेच सकता है।
एक भरोसेमंद वीपीएन प्रदाता चुनने के लिए कुछ शोध की आवश्यकता होती है, और यह अपने आप में एक अलग लेख के लिए पर्याप्त सामग्री है। शुरुआती बिंदु के रूप में, लॉगिंग के खिलाफ दृढ़ नीतियों वाले प्रदाताओं की तलाश करें, और सेवा के लिए मासिक $ 5- $ 10 USD के बीच भुगतान करने की अपेक्षा करें। अस्पष्ट गोपनीयता नीतियों के साथ मुफ्त वीपीएन ऐप और सेवाओं से बचें; वे आम तौर पर आपको जितना जानते हैं उससे कहीं अधिक खर्च करेंगे।
3. स्वस्थ संदेह विकसित करें
अंततः, आपके साइबर सुरक्षा बचाव की सबसे कमजोर कड़ी आप हैं। इंटरनेट पर सभी एमएफए और वीपीएन आपकी रक्षा नहीं करेंगे यदि कोई घोटाला या मैलवेयर बॉट आपको सामने के द्वार खोलने में धोखा दे सकता है। हाँ, मुझे पता है कि यह एक बहुत अच्छा दिखने वाला लकड़ी का घोड़ा है। मुफ्त भी। क्या आपने इसे ऑर्डर किया था? नहीं? तब वह बाहर रह सकता है।
अपने आभासी दरवाजे पर दूसरी-अनुमान लगाने वाली चीजों की आदत विकसित करें। ईमेल, फोन और मैसेजिंग घोटाले परिष्कृत रोबोट-इकट्ठे शॉटगन विस्फोटों से लेकर सामाजिक इंजीनियरिंग हमलों तक विस्तृत रूप से संज्ञानात्मक पूर्वाग्रहों का बहुत प्रभावी ढंग से उपयोग करते हैं। यह मत समझो कि तुम उनके लिए बहुत चालाक हो; मनुष्य बहुत अनुमानित प्राणी हैं। आखिरकार, किसी को भी स्पेनिश जांच की उम्मीद नहीं है।
इसके बजाय, प्रश्न पूछें। उन संचारों की दोबारा जांच करें जो आपको लिंक पर क्लिक करने या किसी वेबसाइट पर जाने के लिए कहते हैं, भले ही वे आपके किसी परिचित या आपके द्वारा उपयोग की जाने वाली कंपनी से आए हों। यदि आप पिछली व्यक्तिगत बातचीत के आधार पर निश्चित नहीं हैं कि आपके मित्र या बैंक या माता ने यह ईमेल भेजा है, तो फ़ोन उठाएं और उन्हें कॉल करें। यहां तक कि अगर आपको लगता है कि आप निश्चित हैं, तो फोन उठाएं और जांचें। वैसे भी, आप अपनी माँ को पर्याप्त रूप से नहीं बुलाते हैं।
ओह, और यदि फोन पर मौजूद व्यक्ति आपके स्थानीय कर कार्यालय या आईआरएस या सीआरए से है और वे आपके खातों को फ्रीज करने वाले हैं क्योंकि गलत पहचान के एक मामले के परिणामस्वरूप आप पर एक ऋण का भुगतान नहीं करने के लिए आपराधिक आरोप लगाया गया है। मालिबू में 600 फुट की नौका, बस लटकाओ। आपको उस से बेहतर ज्ञान है। कर एजेंसियों के पास फ़ोन नहीं हैं।
आपका व्यक्तिगत साइबर सुरक्षा स्टार्टर पैक
एक मजबूत व्यक्तिगत साइबर सुरक्षा मुद्रा के लिए तीन द्वार खोलने के लिए अब आपके पास तीन चाबियां हैं। यदि उन चाबियों ने भी आपकी जिज्ञासा को खोल दिया है, तो नीचे जाने के लिए और भी बहुत कुछ है। मैं बाइनरी ब्लॉगर की महान सलाह के लिए फाइव पॉडकास्ट में सुरक्षा की अत्यधिक अनुशंसा करता हूं, जिसने इस पोस्ट को बहुत प्रेरित किया। निगरानी आत्मरक्षा ऑनलाइन संचार हासिल करने के लिए इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन की युक्तियां प्रदान करती है। ट्रॉय हंट के पास इंटरनेट सुरक्षा मूल बातें नामक एक YouTube श्रृंखला भी है जो इस बारे में अधिक गहराई से बताती है कि ऑनलाइन अपनी सुरक्षा कैसे करें।
अभी के लिए, मुझे आशा है कि आप अपनी नई साइबर सुरक्षा शक्तियों का उपयोग अच्छे के लिए करेंगे। आपने जो सीखा है, उस पर ध्यान दें। आप इसे बचा सकते हैं।