काठमाडौं । बजारमा सन् १९९० को दशकदेखि नै पासवर्ड म्यानेजर उपलब्ध हुन थाले पनि मुख्य ब्राउजरले बिल्ट-इन फिचरको रूपमा पासवर्ड व्यवस्थापन थपेको भने सन् २००० को सुरुवाती चरणमा हो । त्यसयता असुरक्षित ब्राउजर स्टोरेजबाट निकालेर आफ्ना पासवर्ड राम्रोसँग संरक्षण गरिएका पासवर्ड म्यानेजरमा राख्ने सल्लाह दिने गरिएको छ ।
पासवर्ड म्यानेजरले तपाईंको पासवर्ड ब्राउजरबाट तान्न, ब्राउजरबाट डिलिट गर्न र अगाडिको समयमा पासवर्ड क्याप्चर गर्ने ब्राउजरको कार्यमा समेत रोक लगाउन सक्छन् । यो प्रक्रिया थाहा पाउँदा पक्कै पनि तपाईंलाई त्यति सुरक्षित लागेन होला ।
खुसीको कुरा के छ भने ब्राउजरहरूमा क्रमिक रूपमा सुधार हुँदै जाँदा तिनले बाह्य पक्षलाई प्रयोगकर्ताको पासवर्ड तलमाथि पार्न सक्ने बाटो बन्द गरिदिएका छन् । यदि तपाईं डेडिकेटेड पासवर्ड म्यानेजरमा जान चाहनु हुन्छ भने सम्भवतः तपाईं आफैंले ब्राउजरबाट पासवर्ड एक्सपोर्ट गर्ने तथा तिनलाई कुनै नयाँ प्लेटफर्ममा इम्पोर्ट गर्नुपर्ने हुन सक्छ ।
त्यसको अर्थ के अब ढुक्कसँग पासवर्ड ब्राउजरमै सेभ गर्न सकिने अवस्था बनिसकेको हो त ? यहाँनिर खासगरी तपाईंले गुगल पासवर्ड म्यानेजर प्रयोग गर्नु हुन्छ होला, जुन क्रोम ब्राउजरमै सहज रूपले प्रयोग गर्न सकिने गरी राखिएको छ । विज्ञहरूले भने स्पष्ट रूपमा यसरी गुगल क्रोममा पासवर्ड सेभ गर्ने कार्य सुरक्षित नहुने सल्लाह दिएका छन् ।
लिक हुन सक्छन्, डिकेटेड पासवर्ड म्यानेजर पनिः पासवर्ड व्यवस्थापनको सेवा दिने कम्पनीका लागि विश्वास नै सबथोक हो । गम्भीर किसिमका प्रतिस्पर्धी कम्पनीहरूले प्रयोगकर्ताको पासवर्ड इन्क्रिप्टेड गरी सुरक्षित पार्न 'जेरो-नलेज टेक्निक' प्रयोग गर्छन् र उक्त पासवर्ड व्यवस्थापन कम्पनी, सरकार, वा अन्य कसैले पनि प्रयोगकर्ताको मास्टर पासवर्ड थाहा पाउन वा प्रयोगकर्ताको डेटा डिक्रिप्ट गर्न नसक्ने हुन्छ ।
यति हुँदाहुँदै पनि कार्यान्वयनका क्रममा हुने त्रुटि वा कमजोरीले पासवर्ड सुरक्षामा खतराको सम्भावना रहिरहन्छ । गत अगस्टमा सुरु खुलासाको शृङ्खलामा ह्याकरले अज्ञात सङ्ख्यामा इन्क्रिप्टेड डेटा भल्ट चोरी गर्न लास्टपासका कर्मचारीको कम्प्युटरको एउटा कि कम्प्रोमाइज गरेको थाहा हुन आएको थियो ।
त्यसमा अझ नराम्रो दृष्टान्त त के छ भने लगइन डोमेन जस्ता केही महत्त्वपूर्ण डेटा इन्क्रिप्ट नभएको पाइएको थियो । यसले गर्दा लास्टपासमाथि विश्वास गर्न मुस्किल बनाइदिएको छ ।
किपास(KeyPass) प्रविधिमा पोख्त रहेका मानिसहरूको प्रमुख रोजाइको पासवर्ड म्यानेजर हो । यसमा कस्टमाइजेसनका लागि अनेकौं विकल्पहरू रहेका छन् । त्यही कस्टमाइजेसन एक किसिमको कमजोरी पनि हो ।
किनभने तपाईंको कम्प्युटरमा पहुँच बनाउन सक्ने कसैले (रिमोर्टएक्सेसट्रोजन अथवा तपाईंको अनुपस्थितिमा तपाईंको कम्प्युटर चलाउने व्यक्ति)तपाईंका सबै किपास पासवर्ड चोर्न सक्छ । नोटप्याड प्रयोग गरेर एउटा एक्सन तयार पार्नु र त्यसबाट पासवर्डलाई साधारण अक्षरमा एक्सपोर्ट गर्ने र यसरी निस्किने डेटालाई इन्टरनेटमा पठाउनु सामान्य हो ।
चाहेको एक्सेस प्राप्त गर्न कठिन भए पनि त्यसको दुरुपयोग भने सम्भव छ । अथवा भनौं सम्भव थियो । मास्टर पासवर्ड नराखेरै पासवर्डहरू एक्सपोर्ट गर्न सकिने विकल्प किपासले अपडेट २.५३.१ सँगै हटाइदिएको छ ।
गुगल पासवर्ड म्यानेजर कसरी सक्रिय पार्ने ?
यसका लागि क्रोम विन्डोको माथि दायाँतर्फ रहेको तीन थोप्ला भएको मेनुमा जानुहोस् र सेटिङमा क्लिक गर्नुहोस् ।
बायाँतर्फ खुल्ने मेनुको सुरुमा तपाईंले यु एन्ड गुगल (YouandGoogle) देख्न सक्नु हुन्छ, सुरुमा त्यो आफैं छानिएको हुन सक्छ; यदि छैन भने पनि त्यसमा क्लिक गर्नुहोस् । अब देखिने डायलग बक्समा गएर तपाईंले सिङ्किङ अन वा अफ गर्न सक्नु हुन्छ ।
अब यु एन्ड गुगलभन्दा ठीक मुनी रहेको अटोफिलमा क्लिक गर्नुहोस् र पासवर्ड म्यानेजरमा जानुहोस् । यदि तपाईं गुगल पासवर्ड म्यानेजर प्रयोग गर्न चाहनु हुन्छ भने पासवर्डहरू सेभ र अटो साइन-इन गर्ने अफर अन गर्नुहोस् । तर सुरक्षाको दृष्टिकोणमा यो फिचर प्रयोग नगर्ने सल्लाह दिने गरिन्छ । तर कतिपयले भने सहजताका लागि आफ्नो सुरक्षा दाउमा लगाइरहेका हुन्छन् ।
ब्राउजर पासवर्ड म्यानेजर सहज भएपनि खतरनाक हुन सक्छन्
नोर्डपासका प्रमुख प्राविधिक अधिकृत (सीटीओ) थोमस स्मालाकीले ब्राउजरको पासवर्ड म्यानेजर प्रयोग गर्ने सवालमा चेतावनी दिंदै भनेका छन्, “ब्राउजर पासवर्ड म्यानेजरको संवेदनशीलतालाई लिएर साइबर सुरक्षा विज्ञहरूले नियमित चेतावनी दिंदा समेत इन्टरनेट प्रयोगकर्ता नियमित जसो 'तर यो सजिलो छ' भन्ने पासोमा फसिरहेका हुन्छन् ।”
किपरकासीटीओ तथा सह-संस्थापकक्रेइजल्युरेले ब्राउजर पासवर्ड म्यानेजर सुरक्षित नरहेको सन्दर्भमा सहमत हुँदै त्यसका कारणलाई ब्लगपोस्टमा बुँदागत रूपमा उल्लेख गरेका छन् । डेडिकेटेड पासवर्ड म्यानेजरले तपाईंको मास्टर पासवर्डमा कहिल्यै पहुँच नराखिकन 'जेरो-नलेजइन्क्रिप्सन'मार्फत तपाईंको डेटा सुरक्षित राख्ने गर्छन् ।
“गुगलको पासवर्ड म्यानेजरमा जेरो-नलेजइन्क्रिप्सन प्रयोग गरिएको छैन,” ल्युरे उल्लेख गर्दै भन्छन्, “यसको निष्कर्ष भनेको तपाईंले सेभ गरेका सबैचिज गुगलले हेर्न सक्छ भन्ने हो । उनीहरूसँग पासवर्डको अन-डिभाइसइन्क्रिप्सन इनेबल गर्ने वैकल्पिक फिचर समेत छ । तर त्यो इनेबल गर्दा पनि डेटा डिक्रिप्ट गर्ने कि भने डिभाइसमै स्टोर भएको हुन्छ ।”
स्मालाकी पासवर्ड म्यानेजरको डेटा सुरक्षित पारे जत्तिको सुरक्षित ब्राउजरमा स्टोर हुने डेटा नहुने तर्क गर्छन् । “ह्याकरहरूले प्रयोगकर्तामाथि सोसल इन्जिनियरिङ विधि प्रयोग गरी ब्राउजरमा सेभ भएको डेटा सहजै खिच्नसक्ने नयाँ एक्स्टेनसन डाउनलोड गराउन सक्छन्,” उनी अगाडि भन्छन् ।
“यद्यपि क्लाउडमा पासवर्ड स्टोर गर्ने कार्य गलत होइन, तर कम्पनीले प्रयोगकर्ताको डेटा क्लाउडमा स्टोर गर्नु अघि इन्क्रिप्टेड राखेको कुरा भने सुनिश्चित गर्नुपर्ने हुन्छ । त्यसैले प्रयोगकर्ताले इन्ट-टु-इन्डइन्क्रिप्सन ग्यारेन्टी गर्ने सेवा प्रदायक रोज्नुपर्ने हुन्छ ।”
बिटवार्डेनमा सीईओ रहेका मिचेलक्रान्डेल भन्छन्, “पासवर्ड म्यानेजर नै नहुनु भन्दा कुनैपनि पासवर्ड म्यानेजर हुनु राम्रो हो । तर ब्राउजरमा आधारित पासवर्ड म्यानेजरको सीमितता भनेको तिनीहरू पर्खाल लगाइएको बगैंचामा भित्र मात्रै काम गरिरहेका हुन्छन् । यदि तपाईंलाई अर्को ब्राउजर चलाउनु पर्यो भने अथवा त्यो ब्राउजर नपुग्ने वातावरणमा त्यसले काम गर्दैन ।”
“ब्राउजर पासवर्ड म्यानेजर सहज छन्, तर खतरनाक पनि,” नोर्डपासका प्रमुख प्राविधिक अधिकृत (सीटीओ) थोमस स्मलकिजले ब्राउजरको पासवर्ड म्यानेजर प्रयोग गर्ने सवालमा चेतावनी दिंदै भनेका छन्, “ब्राउजर पासवर्ड म्यानेजरको संवेदनशीलताालई लिएर साइबर सुरक्षा विज्ञहरूले नियमित चेतावनी दिंदा समेत इन्टरनेट प्रयोगकर्ता नियमित जसो 'तर यो सजिलो छ' भन्ने पासोमा फसिरहेका हुन्छन् ।”
किपरकासीटीओ तथा सह-संस्थापकक्रेइजल्युरेले ब्राउजर पासवर्ड म्यानेजर सुरक्षित नरहेको सन्दर्भमा सहमत हुँदै त्यसका कारणलाई ब्लगपोस्टमा बुँदागत रूपमा उल्लेख गरेका छन् । डेडिकेटेड पासवर्ड म्यानेजरले तपाईंको मास्टर पासवर्डमा कहिल्यै पहुँच नराखिकन 'जेरो-नलेजइन्क्रिप्सन'मार्फत तपाईंको डेटा सुरक्षित राख्ने गर्छन् ।
"गुगलको पासवर्ड म्यानेजरमा जेरो-नलेजइन्क्रिप्सन प्रयोग गरिएको छैन," ल्युरे उल्लेख गर्दै भन्छन्, "यसको निष्कर्ष भनेको तपाईंले सेभ गरेका सबै चिज गुगलले हेर्न सक्छ भन्ने हो । उनीहरूसँग पासवर्डको अन-डिभाइसइन्क्रिप्सन इनेबल गर्ने वैकल्पिक फिचर समेत छ । तर त्यो इनेबल गर्दा पनि डेटा डिक्रिप्ट गर्ने कि भने डिभाइसमै स्टोर भएको हुन्छ ।”
स्मलस्की पासवर्ड म्यानेजरको डेटा सुरक्षित पारे जत्तिको सुरक्षित ब्राउजरमा स्टोर हुने डेटा नहुने तर्क गर्छन् । “ह्याकरहरूले प्रयोगकर्तामाथि सोसल इन्जिनियरिङ विधि प्रयोग गरी ब्राउजरमा सेभ भएको डेटा सहजै खिच्नसक्ने नयाँ एक्स्टेनसन डाउनलोड गराउन सक्छन्,” उनी अगाडि भन्छन् ।
“यद्यपि क्लाउडमा पासवर्ड स्टोर गर्ने कार्य गलत होइन, तर कम्पनीले प्रयोगकर्ताको डेटा क्लाउडमा स्टोर गर्नु अघि इन्क्रिप्टेड राखेको कुरा भने सुनिश्चित गर्नुपर्ने हुन्छ । त्यसैले प्रयोगकर्ताले इन्ट-टु-इन्डइन्क्रिप्सन ग्यारेन्टी गर्ने सेवा प्रदायक रोज्नुपर्ने हुन्छ ।”
बिटवार्डेनमा सीईओ मिचेलक्रान्डेल भन्छन्, “पासवर्ड म्यानेजर नै नहुनु भन्दा कुनैपनि पासवर्ड म्यानेजर हुनु राम्रो हो । तर ब्राउजरमा आधारित पासवर्ड म्यानेजरको सीमितता भनेको तिनीहरू पर्खाल लगाइएको बगैंचामा भित्र मात्रै काम गरिरहेका हुन्छन् । यदि तपाईंलाई अर्को ब्राउजर चलाउनु पर्यो भने अथवा त्यो ब्राउजर नपुग्ने वातावरणमा त्यसले काम गर्दैन ।”