ऑनलाइन पासवर्ड वापरणे थांबवा, GCHQ म्हणते: नवीन पासकी हॅकर्सकडून ‘संपूर्ण क्लासेसचे हल्ले काढून टाकतात’

यूकेच्या सायबर एजन्सीने चेतावणी दिली आहे की लोकांनी ऑनलाइन पासवर्ड वापरणे थांबवावे कारण नवीन पासकी हॅकर्सकडून ‘संपूर्ण हल्ल्यांचे वर्ग काढून टाकतात’.

नॅशनल सायबर सिक्युरिटी सेंटर (NCSC) ने म्हटले आहे की ते ‘दशकांच्या सरावाची दुरुस्ती करत आहे’ आणि हॅकर्सच्या धोक्यामुळे लोकांना संरक्षणासाठी पासवर्डवर उत्तर देऊ नका असा सल्ला दिला आहे.

NCSC मधील तज्ञ म्हणतात की बहुतेक फिशिंग प्रयत्न गुन्हेगारांनी एखाद्या व्यक्तीच्या लॉगिनशी तडजोड करून किंवा चोरी करण्यापासून सुरू केल्यामुळे हा सल्ला येतो.

NCSC – एक शाखा GCHQ – आता लोकांना पासकीजचा अवलंब करण्यास प्रोत्साहित करत आहे, एक साइन-इन पद्धत जी पासवर्ड-मुक्त आहे, अधिक सुरक्षित मानली जाते कारण ते असू शकत नाहीत सर्व्हरमधून चोरी केली.

अधिकाऱ्यांनी पासकींची तुलना ‘डिजिटल स्टॅम्प’शी केली आहे – ती उपकरणावर तयार आणि संग्रहित केली जाते आणि वापरकर्त्यांसाठी सुरक्षित आणि अधिक सरळ मानली जाते.

याचा अर्थ बऱ्याच वापरकर्त्यांसाठी बायोमेट्रिक डेटा वापरणे – जसे फिंगरप्रिंट्स किंवा फेशियल रेकग्निशन – किंवा त्यांच्या फोनचा पिन त्यांची पासकी तयार करण्यासाठी आणि प्रमाणीकृत करण्यासाठी.

ही पद्धत तुमच्या फोन, कॉम्प्युटर किंवा टॅबलेटवर सुरक्षित डिजिटल की मिळवण्यास अनुमती देते. तज्ञ म्हणतात याचा अर्थ असा आहे की पासकी वापरणाऱ्या वेबसाइटचा भंग झाला असला तरीही हॅकर्स फक्त ‘पब्लिक’ की ऍक्सेस करू शकतात, जे स्वतःहून निरुपयोगी आहेत.

आयटी तज्ञांचा अंदाज आहे की पासकी वापरकर्त्यांनी प्रत्येक वेळी साइन इन केल्यावर एक मिनिट वाचवेल.

नॅशनल सायबर सिक्युरिटी सेंटर (NCSC) ने चेतावणी दिली आहे की लोकांनी ऑनलाइन पासवर्ड वापरणे थांबवावे कारण नवीन पासकी हॅकर्सकडून ‘संपूर्ण क्लासेसचे हल्ले काढून टाकतात’ (चित्र: रिचर्ड हॉर्न, NCSC चे CEO)

जेव्हा वापरकर्ता प्रथम डिव्हाइसमध्ये लॉग इन करतो, तेव्हा सिस्टम विशिष्ट उपकरणांना डिजिटल की पाठवते.

हे वापरकर्त्याला भविष्यातील प्रसंगी पासवर्ड, मजकूर संदेश किंवा इतर कोडची आवश्यकता न ठेवता सुरक्षितपणे लॉग इन करण्यास अनुमती देते.

की डिव्हाइसवर संग्रहित राहते आणि ती सहजपणे रोखली किंवा चोरली जाऊ शकत नाही – तृतीय पक्ष इतर डिव्हाइस वापरून खात्यांमध्ये प्रवेश करू शकत नाहीत.

NHS सारख्या सरकारच्या अनेक डिजिटल सेवांमध्ये पासकी आधीच लागू करण्यात आल्या आहेत.

रूग्णांचा आरोग्य डेटा सुरक्षित करण्याव्यतिरिक्त, पासकीजने खर्चात लक्षणीय बचत केली आहे असे मानले जाते कारण ते मजकूर संदेशाद्वारे पाठवलेले वेळ-संवेदनशील कोड प्राप्त करण्यासारख्या बहु-घटक प्रमाणीकरणाची आवश्यकता काढून टाकतात.

मार्क्स आणि स्पेन्सर, को-ऑप आणि हॅरॉड्सवर 2025 च्या सायबर हल्ल्यांच्या पार्श्वभूमीवर बोलताना डॉ रिचर्ड हॉर्न म्हणाले की ब्रिटनला ‘विविध आणि नाट्यमय’ धोका आहे.

डॉ हॉर्न म्हणाले: ‘आम्ही गेल्या वर्षी सप्टेंबरपासून (मार्च अखेरपर्यंत) 200 हून अधिक घटनांचे व्यवस्थापन केले आहे. आणि त्यामध्ये वर्षभरापूर्वीच्या समान कालावधीपेक्षा दुप्पट राष्ट्रीयदृष्ट्या महत्त्वपूर्ण घटनांचा समावेश आहे.’

पासकीचा वापर तेव्हापासून Google, Microsoft, PayPal आणि eBay सारख्या प्रमुख ऑनलाइन सेवांनी स्वीकारला आहे. Google कडील डेटा सूचित करतो की त्यांचे अर्ध्याहून अधिक यूके वापरकर्ते एकाकडे नोंदणीकृत आहेत.

NCSC आता लोकांना पासकीजचा अवलंब करण्यास प्रोत्साहित करत आहे, एक साइन-इन पद्धत जी पासवर्ड-मुक्त आहे, जी अधिक सुरक्षित मानली जाते कारण ती सर्व्हरवरून चोरली जाऊ शकत नाही (चित्र: सरकारी कम्युनिकेशन्स मुख्यालय)

मार्क्स आणि स्पेन्सर, को-ऑप आणि हॅरॉड्सवरील हल्ल्यांच्या पार्श्वभूमीवर बोलताना डॉ हॉर्न (चित्रात) म्हणाले की ब्रिटनला ‘विविध आणि नाट्यमय’ धोका आहे.

NCSC मधील राष्ट्रीय लवचिकतेचे संचालक जोनाथन एलिसन म्हणाले की, पासकीज एक ‘वापरकर्ता-अनुकूल पर्याय प्रदान करतात जे मजबूत एकूण लवचिकता प्रदान करतात’.

ते म्हणाले: ‘यूकेच्या सायबर संरक्षणास मोठ्या प्रमाणावर गती देण्याचे आमचे ध्येय असल्याने, दैनंदिन डिजिटल सेवांची सुरक्षा सुधारण्यासाठी आणि आधुनिक आणि भविष्यातील सायबर धोक्यांसाठी तयार राहण्यासाठी पासकीजकडे जाणे हे आपण सर्वजण करू शकतो.’

एनसीएससीने सांगितले की गेल्या वर्षी त्यांच्या अंमलबजावणीबाबत आरक्षणामुळे पासकी दत्तक घेण्याचे समर्थन करणे थांबवले.

तथापि, एजन्सीने असे म्हटले आहे की टेक उद्योगातील प्रगतीचा अर्थ असा आहे की पासकीज अधिक सुरक्षित आणि वापरकर्ता-अनुकूल मानल्या गेल्या आहेत आणि ग्राहकांसाठी डीफॉल्ट पर्याय म्हणून त्यांची अंमलबजावणी करण्यासाठी व्यवसायांना प्रोत्साहित केले आहे.

गुरुवारी, NCSC चा एक तांत्रिक अहवाल द्वि-चरण पडताळणी प्रक्रियेच्या संयोजनात शक्य तितक्या मजबूत पासवर्डपेक्षा पासकीज किती सुरक्षित आहेत, हे स्पष्ट करेल.

आणि ऑनलाइन सेवा पासकीजला सपोर्ट करत नसल्याच्या प्रसंगात, NCSC अधिक मजबूत पासवर्ड तयार करण्यासाठी पासवर्ड मॅनेजर वापरण्याचा सल्ला देते आणि द्वि-चरण सत्यापन वापरत राहा.

सायबर सिक्युरिटी कंपनी सेंटिनेल वनचे ख्रिस हॉस्किंग म्हणाले की, पासकीज ‘संपूर्ण क्लास ऑफ ॲटॅक’ काढून टाकतात.

तो म्हणाला: ‘वास्तविकता ही आहे की आम्ही सर्वजण आमच्या कामात आणि वैयक्तिक जीवनात डझनभर लॉग इन करतो आणि तुमच्या सर्व कर्मचाऱ्यांनी प्रत्येकासाठी मजबूत, अद्वितीय पासवर्ड तयार आणि व्यवस्थापित करण्याची अपेक्षा करणे हे वास्तववादी नाही.

पासकीचा वापर Google, Microsoft, PayPal आणि eBay सारख्या प्रमुख ऑनलाइन सेवांनी स्वीकारला आहे

‘अपरिहार्यपणे लोक त्यांचा पुन्हा वापर करतात किंवा वर्षानुवर्षे तेच ठेवतात.

‘म्हणूनच बरेच मोठे उल्लंघन त्याच प्रकारे सुरू होते – प्रमाणीकृत वापरकर्त्यांसह लोकप्रिय सेवेचा भंग होतो, ते पासवर्ड आणि ईमेल डार्क वेबवर डेटा डंपमध्ये उतरतात, ज्यामुळे एक डोमिनो इफेक्ट सुरू होतो ज्यामुळे एकाधिक साइट्स आणि सिस्टमशी तडजोड होते.

‘पासकीज हल्ल्यांचे संपूर्ण वर्ग काढून टाकतात, कारण चोरी करण्यासाठी किंवा पुन्हा वापरण्यासाठी कोणताही पासवर्ड नाही.’