कत्तिको सुरक्षित छ गुगल क्रोमको पासवर्ड म्यानेजर ?

काठमाडौं । बजारमा सन् १९९० को दशकदेखि नै पासवर्ड म्यानेजर उपलब्ध हुन थाले पनि मुख्य ब्राउजरले बिल्ट-इन फिचरको रूपमा पासवर्ड व्यवस्थापन थपेको भने सन् २००० को सुरुवाती चरणमा हो । त्यसयता असुरक्षित ब्राउजर स्टोरेजबाट निकालेर आफ्ना पासवर्ड राम्रोसँग संरक्षण गरिएका पासवर्ड म्यानेजरमा राख्ने सल्लाह दिने गरिएको छ ।

पासवर्ड म्यानेजरले तपाईंको पासवर्ड ब्राउजरबाट तान्न, ब्राउजरबाट डिलिट गर्न र अगाडिको समयमा पासवर्ड क्याप्चर गर्ने ब्राउजरको कार्यमा समेत रोक लगाउन सक्छन् । यो प्रक्रिया थाहा पाउँदा पक्कै पनि तपाईंलाई त्यति सुरक्षित लागेन होला ।

खुसीको कुरा के छ भने ब्राउजरहरूमा क्रमिक रूपमा सुधार हुँदै जाँदा तिनले बाह्य पक्षलाई प्रयोगकर्ताको पासवर्ड तलमाथि पार्न सक्ने बाटो बन्द गरिदिएका छन् । यदि तपाईं डेडिकेटेड पासवर्ड म्यानेजरमा जान चाहनु हुन्छ भने सम्भवतः तपाईं आफैंले ब्राउजरबाट पासवर्ड एक्सपोर्ट गर्ने तथा तिनलाई कुनै नयाँ प्लेटफर्ममा इम्पोर्ट गर्नुपर्ने हुन सक्छ ।

त्यसको अर्थ के अब ढुक्कसँग पासवर्ड ब्राउजरमै सेभ गर्न सकिने अवस्था बनिसकेको हो त ? यहाँनिर खासगरी तपाईंले गुगल पासवर्ड म्यानेजर प्रयोग गर्नु हुन्छ होला, जुन क्रोम ब्राउजरमै सहज रूपले प्रयोग गर्न सकिने गरी राखिएको छ । विज्ञहरूले भने स्पष्ट रूपमा यसरी गुगल क्रोममा पासवर्ड सेभ गर्ने कार्य सुरक्षित नहुने सल्लाह दिएका छन् ।

लिक हुन सक्छन्, डिकेटेड पासवर्ड म्यानेजर पनिः पासवर्ड व्यवस्थापनको सेवा दिने कम्पनीका लागि विश्वास नै सबथोक हो । गम्भीर किसिमका प्रतिस्पर्धी कम्पनीहरूले प्रयोगकर्ताको पासवर्ड इन्क्रिप्टेड गरी सुरक्षित पार्न 'जेरो-नलेज टेक्निक' प्रयोग गर्छन् र उक्त पासवर्ड व्यवस्थापन कम्पनी, सरकार, वा अन्य कसैले पनि प्रयोगकर्ताको मास्टर पासवर्ड थाहा पाउन वा प्रयोगकर्ताको डेटा डिक्रिप्ट गर्न नसक्ने हुन्छ ।

यति हुँदाहुँदै पनि कार्यान्वयनका क्रममा हुने त्रुटि वा कमजोरीले पासवर्ड सुरक्षामा खतराको सम्भावना रहिरहन्छ । गत अगस्टमा सुरु खुलासाको शृङ्खलामा ह्याकरले अज्ञात सङ्ख्यामा इन्क्रिप्टेड डेटा भल्ट चोरी गर्न लास्टपासका कर्मचारीको कम्प्युटरको एउटा कि कम्प्रोमाइज गरेको थाहा हुन आएको थियो ।

त्यसमा अझ नराम्रो दृष्टान्त त के छ भने लगइन डोमेन जस्ता केही महत्त्वपूर्ण डेटा इन्क्रिप्ट नभएको पाइएको थियो । यसले गर्दा लास्टपासमाथि विश्वास गर्न मुस्किल बनाइदिएको छ ।

किपास (KeyPass) प्रविधिमा पोख्त रहेका मानिसहरूको प्रमुख रोजाइको पासवर्ड म्यानेजर हो । यसमा कस्टमाइजेसनका लागि अनेकौं विकल्पहरू रहेका छन् । त्यही कस्टमाइजेसन एक किसिमको कमजोरी पनि हो ।

किनभने तपाईंको कम्प्युटरमा पहुँच बनाउन सक्ने कसैले (रिमोर्ट एक्सेस ट्रोजन अथवा तपाईंको अनुपस्थितिमा तपाईंको कम्प्युटर चलाउने व्यक्ति) तपाईंका सबै किपास पासवर्ड चोर्न सक्छ । नोटप्याड प्रयोग गरेर एउटा एक्सन तयार पार्नु र त्यसबाट पासवर्डलाई साधारण अक्षरमा एक्सपोर्ट गर्ने र यसरी निस्किने डेटालाई इन्टरनेटमा पठाउनु सामान्य हो ।

चाहेको एक्सेस प्राप्त गर्न कठिन भए पनि त्यसको दुरुपयोग भने सम्भव छ । अथवा भनौं सम्भव थियो । मास्टर पासवर्ड नराखेरै पासवर्डहरू एक्सपोर्ट गर्न सकिने विकल्प किपासले अपडेट २.५३.१ सँगै हटाइदिएको छ ।

गुगल पासवर्ड म्यानेजर कसरी सक्रिय पार्ने ?

यसका लागि क्रोम विन्डोको माथि दायाँतर्फ रहेको तीन थोप्ला भएको मेनुमा जानुहोस् र सेटिङमा क्लिक गर्नुहोस् ।

बायाँतर्फ खुल्ने मेनुको सुरुमा तपाईंले यु एन्ड गुगल (You and Google) देख्न सक्नु हुन्छ, सुरुमा त्यो आफैं छानिएको हुन सक्छ; यदि छैन भने पनि त्यसमा क्लिक गर्नुहोस् । अब देखिने डायलग बक्समा गएर तपाईंले सिङ्किङ अन वा अफ गर्न सक्नु हुन्छ ।

अब यु एन्ड गुगलभन्दा ठीक मुनी रहेको अटोफिलमा क्लिक गर्नुहोस् र पासवर्ड म्यानेजरमा जानुहोस् । यदि तपाईं गुगल पासवर्ड म्यानेजर प्रयोग गर्न चाहनु हुन्छ भने पासवर्डहरू सेभ र अटो साइन-इन गर्ने अफर अन गर्नुहोस् । तर सुरक्षाको दृष्टिकोणमा यो फिचर प्रयोग नगर्ने सल्लाह दिने गरिन्छ । तर कतिपयले भने सहजताका लागि आफ्नो सुरक्षा दाउमा लगाइरहेका हुन्छन् ।

ब्राउजर पासवर्ड म्यानेजर सहज भएपनि खतरनाक हुन सक्छन्

नोर्डपासका प्रमुख प्राविधिक अधिकृत (सीटीओ) थोमस स्मालाकीले ब्राउजरको पासवर्ड म्यानेजर प्रयोग गर्ने सवालमा चेतावनी दिंदै भनेका छन्, “ब्राउजर पासवर्ड म्यानेजरको संवेदनशीलतालाई लिएर साइबर सुरक्षा विज्ञहरूले नियमित चेतावनी दिंदा समेत इन्टरनेट प्रयोगकर्ता नियमित जसो 'तर यो सजिलो छ' भन्ने पासोमा फसिरहेका हुन्छन् ।”

किपरका सीटीओ तथा सह-संस्थापक क्रेइज ल्युरेले ब्राउजर पासवर्ड म्यानेजर सुरक्षित नरहेको सन्दर्भमा सहमत हुँदै त्यसका कारणलाई ब्लगपोस्टमा बुँदागत रूपमा उल्लेख गरेका छन् । डेडिकेटेड पासवर्ड म्यानेजरले तपाईंको मास्टर पासवर्डमा कहिल्यै पहुँच नराखिकन 'जेरो-नलेज इन्क्रिप्सन'मार्फत तपाईंको डेटा सुरक्षित राख्ने गर्छन् ।

“गुगलको पासवर्ड म्यानेजरमा जेरो-नलेज इन्क्रिप्सन प्रयोग गरिएको छैन,” ल्युरे उल्लेख गर्दै भन्छन्, “यसको निष्कर्ष भनेको तपाईंले सेभ गरेका सबैचिज गुगलले हेर्न सक्छ भन्ने हो । उनीहरूसँग पासवर्डको अन-डिभाइस इन्क्रिप्सन इनेबल गर्ने वैकल्पिक फिचर समेत छ । तर त्यो इनेबल गर्दा पनि डेटा डिक्रिप्ट गर्ने कि भने डिभाइसमै स्टोर भएको हुन्छ ।”

स्मालाकी पासवर्ड म्यानेजरको डेटा सुरक्षित पारे जत्तिको सुरक्षित ब्राउजरमा स्टोर हुने डेटा नहुने तर्क गर्छन् । “ह्याकरहरूले प्रयोगकर्तामाथि सोसल इन्जिनियरिङ विधि प्रयोग गरी ब्राउजरमा सेभ भएको डेटा सहजै खिच्नसक्ने नयाँ एक्स्टेनसन डाउनलोड गराउन सक्छन्,” उनी अगाडि भन्छन् ।

“यद्यपि क्लाउडमा पासवर्ड स्टोर गर्ने कार्य गलत होइन, तर कम्पनीले प्रयोगकर्ताको डेटा क्लाउडमा स्टोर गर्नु अघि इन्क्रिप्टेड राखेको कुरा भने सुनिश्चित गर्नुपर्ने हुन्छ । त्यसैले प्रयोगकर्ताले इन्ट-टु-इन्ड इन्क्रिप्सन ग्यारेन्टी गर्ने सेवा प्रदायक रोज्नुपर्ने हुन्छ ।”

बिटवार्डेनमा सीईओ रहेका मिचेल क्रान्डेल भन्छन्, “पासवर्ड म्यानेजर नै नहुनु भन्दा कुनैपनि पासवर्ड म्यानेजर हुनु राम्रो हो । तर ब्राउजरमा आधारित पासवर्ड म्यानेजरको सीमितता भनेको तिनीहरू पर्खाल लगाइएको बगैंचामा भित्र मात्रै काम गरिरहेका हुन्छन् । यदि तपाईंलाई अर्को ब्राउजर चलाउनु पर्‍यो भने अथवा त्यो ब्राउजर नपुग्ने वातावरणमा त्यसले काम गर्दैन ।”

“ब्राउजर पासवर्ड म्यानेजर सहज छन्, तर खतरनाक पनि,” नोर्डपासका प्रमुख प्राविधिक अधिकृत (सीटीओ) थोमस स्मलकिजले ब्राउजरको पासवर्ड म्यानेजर प्रयोग गर्ने सवालमा चेतावनी दिंदै भनेका छन्, “ब्राउजर पासवर्ड म्यानेजरको संवेदनशीलताालई लिएर साइबर सुरक्षा विज्ञहरूले नियमित चेतावनी दिंदा समेत इन्टरनेट प्रयोगकर्ता नियमित जसो 'तर यो सजिलो छ' भन्ने पासोमा फसिरहेका हुन्छन् ।”

किपरका सीटीओ तथा सह-संस्थापक क्रेइज ल्युरेले ब्राउजर पासवर्ड म्यानेजर सुरक्षित नरहेको सन्दर्भमा सहमत हुँदै त्यसका कारणलाई ब्लगपोस्टमा बुँदागत रूपमा उल्लेख गरेका छन् । डेडिकेटेड पासवर्ड म्यानेजरले तपाईंको मास्टर पासवर्डमा कहिल्यै पहुँच नराखिकन 'जेरो-नलेज इन्क्रिप्सन'मार्फत तपाईंको डेटा सुरक्षित राख्ने गर्छन् ।

"गुगलको पासवर्ड म्यानेजरमा जेरो-नलेज इन्क्रिप्सन प्रयोग गरिएको छैन," ल्युरे उल्लेख गर्दै भन्छन्, "यसको निष्कर्ष भनेको तपाईंले सेभ गरेका सबै चिज गुगलले हेर्न सक्छ भन्ने हो । उनीहरूसँग पासवर्डको अन-डिभाइस इन्क्रिप्सन इनेबल गर्ने वैकल्पिक फिचर समेत छ । तर त्यो इनेबल गर्दा पनि डेटा डिक्रिप्ट गर्ने कि भने डिभाइसमै स्टोर भएको हुन्छ ।”

स्मलस्की पासवर्ड म्यानेजरको डेटा सुरक्षित पारे जत्तिको सुरक्षित ब्राउजरमा स्टोर हुने डेटा नहुने तर्क गर्छन् । “ह्याकरहरूले प्रयोगकर्तामाथि सोसल इन्जिनियरिङ विधि प्रयोग गरी ब्राउजरमा सेभ भएको डेटा सहजै खिच्नसक्ने नयाँ एक्स्टेनसन डाउनलोड गराउन सक्छन्,” उनी अगाडि भन्छन् ।

“यद्यपि क्लाउडमा पासवर्ड स्टोर गर्ने कार्य गलत होइन, तर कम्पनीले प्रयोगकर्ताको डेटा क्लाउडमा स्टोर गर्नु अघि इन्क्रिप्टेड राखेको कुरा भने सुनिश्चित गर्नुपर्ने हुन्छ । त्यसैले प्रयोगकर्ताले इन्ट-टु-इन्ड इन्क्रिप्सन ग्यारेन्टी गर्ने सेवा प्रदायक रोज्नुपर्ने हुन्छ ।”

बिटवार्डेनमा सीईओ मिचेल क्रान्डेल भन्छन्, “पासवर्ड म्यानेजर नै नहुनु भन्दा कुनैपनि पासवर्ड म्यानेजर हुनु राम्रो हो । तर ब्राउजरमा आधारित पासवर्ड म्यानेजरको सीमितता भनेको तिनीहरू पर्खाल लगाइएको बगैंचामा भित्र मात्रै काम गरिरहेका हुन्छन् । यदि तपाईंलाई अर्को ब्राउजर चलाउनु पर्‍यो भने अथवा त्यो ब्राउजर नपुग्ने वातावरणमा त्यसले काम गर्दैन ।”

पछिल्लो अध्यावधिक: फागुन १७, २०८० २०:४३

टिप्पणीहरू