پاس ورڈ ہماری ڈیجیٹل زندگیوں کی چابیاں ہیں۔ ذرا سوچیں، آپ کتنی بار ویب سائٹس اور دیگر سسٹمز میں لاگ ان کرتے ہیں۔ لیکن بالکل فزیکل چابیوں کی طرح یہ بھی گم ہو سکتی ہیں، نقل ہو سکتی ہیں یا چوری کی جا سکتی ہیں۔
گذشتہ چند برسوں میں کئی متبادل تجویز کیے گئے ہیں، جن میں پاس کیز (passkeys) بھی شامل ہیں۔
یہ استعمال میں آسان ہونے اور وسیع پیمانے پر اپنائے جانے کے امکانات کے لحاظ سے ایک بڑی پیش رفت سمجھی جا رہی ہیں۔
لیکن دراصل یہ ہیں کیا، اور یہ پاس ورڈز سے کیسے مختلف ہیں؟
پاس ورڈز کمزور ہیں
سادہ الفاظ میں، پاس ورڈ ایک خفیہ لفظ یا فقرہ ہوتا ہے جسے آپ کمپیوٹر سسٹمز یا آن لائن پلیٹ فارمز پر اپنی شناخت ثابت کرنے کے لیے استعمال کرتے ہیں۔
اگر آپ کا کسی ویب سائٹ پر اکاؤنٹ ہے یا کسی سروس پرووائیڈر کے ساتھ رکنیت ہے تو ممکن ہے کہ آپ کے پاس کئی پاس ورڈز ہوں۔
پاس ورڈز بذاتِ خود برے نہیں، اصل مسئلہ ان کے استعمال اور نفاذ کے طریقے میں ہے، جس کی وجہ سے وہ کمزور بن جاتے ہیں۔
مثال کے طور پر کمزور پاس ورڈز کے استعمال کی عادت عام ہے۔ رواں سال کی ایک CyberNews رپورٹ کے مطابق 19 ارب لیک ہونے والے پاس ورڈز میں سے 94 فیصد دوبارہ استعمال کیے گئے تھے۔
رپورٹ میں یہ بھی بتایا گیا کہ پاس ورڈز میں عام مماثلتیں پائی گئیں، جیسے کہ عددی تسلسل (123456)، لوگوں کے نام، شہروں کے نام، مشہور برانڈز اور گالیاں۔
جب ڈیٹا لیک ہوتا ہے تو چوری شدہ پاس ورڈز تیزی سے پھیل جاتے ہیں۔ اس کے نتیجے میں اکاؤنٹس ہیک ہو جاتے ہیں، شناخت کی چوری ہوتی ہے اور فشنگ (phishing) حملے کیے جاتے ہیں۔
ایک تجربے میں دیکھا گیا کہ ہیکرز ایک گھنٹے کے اندر لیک شدہ معلومات سے لاگ ان کی کوشش کر رہے تھے۔
پاس ورڈز فشنگ حملوں کے بھی شکار ہوتے ہیں، جس میں دھوکے باز آپ کو کسی جعلی لاگ ان صفحے پر اپنا پاس ورڈ (یا دیگر معلومات) درج کرنے پر مجبور کرتے ہیں۔
فشنگ ای میلز کی تعداد اور ان کے اثرات دونوں بڑھتے جا رہے ہیں۔ ایک رپورٹ کے مطابق دنیا بھر میں روزانہ تین ارب سے زیادہ فشنگ ای میلز بھیجی جاتی ہیں۔
ایک اچھا پاس ورڈ منفرد ہوتا ہے (یعنی دوبارہ استعمال نہ کیا گیا ہو اور پیچیدہ ہوتا ہے (جیسے حروف، نمبرز اور علامات کا مجموعہ، مثلاً “e8bh!kXVhccACAP$48yb”)۔
یہ کئی الفاظ کو ملا کر بھی بنایا جا سکتا ہے تاکہ اسے یاد رکھنا آسان ہو۔
یہ یاد رکھنا مشکل ہو سکتا ہے، لیکن اگر آپ پاس ورڈ کے الفاظ سے کوئی کہانی بنا لیں تو یہ مددگار ہو سکتا ہے۔
مثال کے طور پر اگر آپ کا پاس ورڈ ‘CrocApplePurseBike’ ہے، تو آپ اسے یوں یاد رکھ سکتے ہیں کہ مگرمچھ نے اپنا ایپل پرس میں رکھا اور سائیکل پر سوار ہو گیا۔
پاس کیز کیا ہیں اور یہ کیسے کام کرتی ہیں؟
پاس کیز تقریباً چار سال پہلے متعارف ہونا شروع ہوئیں۔ یہ ایک ریاضیاتی عمل پبلک کی کرپٹوگرافی (public-key cryptography) استعمال کرتی ہیں، جو ایک منفرد معلوماتی سیٹ بناتا ہے جسے دو حصوں یا ’کیز‘ میں تقسیم کیا جاتا ہے۔
ایک ’کی‘ عوامی (public Key) ہوتی ہے جو ویب سائٹس کے ساتھ شیئر کی جا سکتی ہے، دوسری نجی (private key) ہوتی ہے جو آپ کی ڈیوائس میں محفوظ رہتی ہے۔
جب آپ کسی اکاؤنٹ میں سائن ان کرتے ہیں تو ویب سائٹ آپ کی ڈیوائس کو ایک بے ترتیب چیلنج (جیسے ایک نمبر) بھیجتی ہے، اور آپ کی ڈیوائس نجی کلید کے ذریعے اس لاگ ان درخواست کو ’منظور‘ کرتی ہے۔
اس منظوری کے عمل کو ’سائننگ‘ کہا جاتا ہے، جو اس چیلنج پر ریاضیاتی فارمولا لاگو کرتا ہے۔
آپ کی ڈیوائس یہ خود بخود نہیں کرے گی، عام طور پر آپ کو اجازت دینا ہوتی ہے۔ زیادہ تر موبائل آلات پر اس کے لیے چہرے یا فنگر پرنٹ کی تصدیق کی ضرورت ہوتی ہے تاکہ اجازت دی جا سکے۔
آخر میں، ویب سائٹ اپنی موجودہ پبلک کی کے ذریعے اس دستخط کی تصدیق کرتی ہے۔ اگر تصدیق درست ہو تو آپ کا لاگ ان کامیاب ہو جاتا ہے۔
ڈیزائن کے لحاظ سے زیادہ مضبوط
پاس کیز ڈیزائن کے لحاظ سے پاس ورڈز سے کہیں زیادہ مضبوط ہیں۔
اگر پبلک کی چوری بھی ہو جائے تو کوئی مسئلہ نہیں کیونکہ اسے اکیلے استعمال نہیں کیا جا سکتا۔
آپ کی نجی کلید آپ کی ڈیوائس کی سکیورٹی کے اندر محفوظ ہوتی ہے اور زیادہ تر صورتوں میں اسے چہرے یا بائیو میٹرک کی تصدیق کے ذریعے لاک ان کیا جاتا ہے پن پر انحصار کرنا بہتر نہیں سمجھا جاتا۔
پاس کی ہر سروس کے لیے منفرد ہوتی ہے۔ اگر کسی ایک سائٹ کی کی چوری ہو بھی جائے، تو اسے کسی دوسری سائٹ پر استعمال نہیں کیا جا سکتا۔
ایک اور فائدہ یہ ہے کہ پاس کیز فشنگ کے خلاف مزاحمت رکھتی ہیں۔ صارف کے نقطہ نظر سے دیکھا جائے تو یہاں کوئی پاس ورڈ نہیں جو فشنگ ای میل کے جواب میں درج کیا جائے۔
لاگ ان کی درخواست صرف اسی ڈیوائس سے آ سکتی ہے جو رجسٹرڈ ہو اور یہ صارف کی منظوری کے بغیر ممکن نہیں۔
پاس کیز پاس ورڈز کے مقابلے میں زیادہ آسان بھی ہیں۔ آپ کو یہ یاد رکھنے کی ضرورت نہیں کہ آپ نے رجسٹریشن کے وقت کون سا پاس ورڈ رکھا تھا۔
پاس کیز پہلے سے ہی آپ کی ڈیوائس سے منسلک ہوتی ہیں اور صرف چہرے یا انگلی کی تصدیق سے لاگ ان ممکن ہو جاتا ہے۔
تاہم پاس کیز کے ساتھ کچھ مسائل بھی ہیں۔ اگرچہ کئی براؤزرز، آپریٹنگ سسٹمز اور ویب سائٹس نے پاس کیز کو اپنانا شروع کر دیا ہے، لیکن یہ ابھی ہر جگہ دستیاب نہیں۔
مزید پڑھ
اس سیکشن میں متعلقہ حوالہ پوائنٹس شامل ہیں (Related Nodes field)
ابتدائی مراحل میں مختلف کمپنیوں (جیسے مائیکروسافٹ اور ایپل) کی ڈیوائس کے درمیان مطابقت کے مسائل بھی پیش آئے۔
جیسے جیسے صارفین نئی ڈیوائسز استعمال کریں گے اور مینوفیکچررز انضمام (integration) کو بہتر بنائیں گے، یہ مسائل ختم ہو جائیں گے۔
تو پھر فاتح کون؟
سکیورٹی کے نقطہ نظر سے پاس کیز واضح طور پر فاتح ہیں۔ یہ زیادہ مضبوط تحفظ فراہم کرتی ہیں، فشنگ سے محفوظ ہیں اور استعمال میں آسان ہیں۔
لیکن جب تک پاس کیز ہر جگہ دستیاب نہیں ہوتیں، پاس ورڈز ایک معاون کردار ادا کرتے رہیں گے۔
کسی ویب سائٹ پر پاس کیز کو نافذ کرنا متعلقہ کمپنی کے لیے ایک محنت طلب عمل ہے۔
چونکہ لاکھوں ویب سائٹس صارفین سے اکاؤنٹ بنانے کا تقاضا کرتی ہیں، اس لیے انہیں مکمل طور پر پاس کیز پر منتقل کرنے کا عمل کئی دہائیاں لے سکتا ہے۔
بہت سی ویب سائٹس اس وقت تک ایسا نہیں کریں گی جب تک کوئی مجبوری یا دباؤ انہیں مجبور نہ کرے۔
فی الحال، یہ نہایت ضروری ہے کہ ہم پاس ورڈز کے درست استعمال پر توجہ مرکوز رکھیں، یعنی مضبوط اور منفرد پاس ورڈز بنائیں اور جہاں ممکن ہو ملٹی فیکٹر تصدیق (Multi-Factor Authentication) کو فعال کریں۔
اگر آپ اس مضمون کو پڑھنے کے بعد کچھ نہیں کرتے تو کم از کم وہ تمام پاس ورڈز ضرور تبدیل کریں جو آپ نے دوبارہ استعمال کیے ہیں۔
© The Independent
