माइक्रोसॉफ्ट ने चुपचाप एक सुरक्षा प्रथा को ठीक कर दिया, जिस पर साइबर सुरक्षा विशेषज्ञ महीनों से भौंहें चढ़ाए हुए थे। कंपनी का नवीनतम एज ब्राउज़र अपडेट अंततः रैम में संग्रहीत पासवर्ड को एन्क्रिप्ट करता है – एक उलटफेर जो माइक्रोसॉफ्ट द्वारा शुरू में एक जानबूझकर डिज़ाइन विकल्प के रूप में प्लेनटेक्स्ट मेमोरी में क्रेडेंशियल संग्रहीत करने का बचाव करने के बाद आता है। यह परिवर्तन लाखों एंटरप्राइज़ और उपभोक्ता उपयोगकर्ताओं को प्रभावित करता है जो एज के अंतर्निहित पासवर्ड मैनेजर पर भरोसा करते हैं, हालांकि सुरक्षा प्राप्त करने के लिए आपको मैन्युअल रूप से अपडेट करना होगा।
माइक्रोसॉफ्ट ने एक विवादास्पद सुरक्षा प्रथा पर अपना रुख पलट दिया है और अंततः पासवर्ड को एन्क्रिप्ट कर दिया है किनारा महीनों तक प्लेनटेक्स्ट स्टोरेज को जानबूझकर सुरक्षित रखने के बाद ब्राउज़र मेमोरी। यह बदलाव नवीनतम एज अपडेट में आया है, जो कंपनी द्वारा अपने कथित 600 मिलियन उपयोगकर्ताओं के लिए क्रेडेंशियल सुरक्षा को संभालने के तरीके में एक महत्वपूर्ण बदलाव को दर्शाता है।
यह मुद्दा पहली बार तब सामने आया जब सुरक्षा शोधकर्ताओं ने पाया कि एज ने ब्राउज़र की रैम के भीतर प्लेनटेक्स्ट में उपयोगकर्ता पासवर्ड संग्रहीत किया है – जिसका अर्थ है कि सिस्टम मेमोरी तक पहुंच वाला कोई भी व्यक्ति, चाहे मैलवेयर या भौतिक डिवाइस एक्सेस के माध्यम से, संभावित रूप से लॉगिन क्रेडेंशियल निकाल सकता है। जब सामना हुआ, माइक्रोसॉफ्ट शुरू में चिंताओं को खारिज कर दिया, यह कहते हुए कि व्यवहार डिज़ाइन के अनुसार काम कर रहा था और आधुनिक ब्राउज़र पासवर्ड प्रबंधन को कैसे संभालते हैं इसका हिस्सा है।
लेकिन वह बचाव जाहिर तौर पर सुरक्षा समुदाय की निरंतर जांच के दायरे में नहीं रहा। कंपनी ने अब मेमोरी में संग्रहीत पासवर्ड डेटा के लिए एन्क्रिप्शन लागू किया है, जो प्रतिस्पर्धी ब्राउज़रों द्वारा उपयोग किया जाने वाला एक मानक अभ्यास है क्रोम और फ़ायरफ़ॉक्स. बदलाव से पता चलता है कि माइक्रोसॉफ्ट ने माना कि प्लेनटेक्स्ट दृष्टिकोण अनावश्यक जोखिम पैदा करता है, खासकर संवेदनशील कॉर्पोरेट क्रेडेंशियल्स को संभालने वाले एंटरप्राइज़ ग्राहकों के लिए।
समय उल्लेखनीय है. ब्राउज़र सुरक्षा एक महत्वपूर्ण युद्ध का मैदान बन गई है क्योंकि पासवर्ड मैनेजर तेजी से क्रेडेंशियल चोरी के खिलाफ प्राथमिक बचाव के रूप में काम कर रहे हैं। साइबर सुरक्षा फर्म के आंकड़ों के अनुसार, पिछले वर्ष साइबर हमलों में 38% तक संग्रहीत पासवर्ड को लक्षित करने के साथ, ब्राउज़रों को हर स्तर पर क्रेडेंशियल्स की रक्षा करने वाली गहन रक्षा रणनीतियों को लागू करने के लिए बढ़ते दबाव का सामना करना पड़ता है।
एज उपयोगकर्ताओं के लिए, परिवर्तन का मतलब है कि पासवर्ड अब ब्राउज़िंग सत्र के दौरान सक्रिय मेमोरी में अस्थायी रूप से रखे जाने पर भी एन्क्रिप्शन प्राप्त करते हैं। यह मायने रखता है क्योंकि परिष्कृत मैलवेयर क्रेडेंशियल प्राप्त करने के लिए रैम सामग्री को डंप कर सकता है – एक ऐसी तकनीक जो अधिक सामान्य हो गई है क्योंकि अन्य आक्रमण वैक्टर का शोषण करना कठिन हो जाता है। मेमोरी में पासवर्ड डेटा को एन्क्रिप्ट करके, माइक्रोसॉफ्ट मैलवेयर-आधारित हमलों और भौतिक सुरक्षा खतरों दोनों के खिलाफ सुरक्षा की एक और परत जोड़ता है।
शिकार? अपडेट तुरंत सभी उपयोगकर्ताओं के लिए स्वचालित रूप से नहीं पहुंचेगा। माइक्रोसॉफ्ट आमतौर पर एज अपडेट को धीरे-धीरे जारी किया जाता है, और कुछ उपयोगकर्ताओं को बढ़ी हुई सुरक्षा प्राप्त करने के लिए ब्राउज़र के सेटिंग्स मेनू के माध्यम से अपडेट को मैन्युअल रूप से ट्रिगर करने की आवश्यकता हो सकती है। एज परिनियोजन का प्रबंधन करने वाले एंटरप्राइज आईटी प्रशासकों को संगठन-व्यापी कवरेज सुनिश्चित करने के लिए अपने प्रबंधन टूल के माध्यम से अपडेट को आगे बढ़ाने की आवश्यकता होगी।
यह उलटफेर प्रारंभिक प्रतिरोध के बाद सुरक्षा प्रथाओं को समायोजित करने वाले Microsoft के व्यापक पैटर्न में फिट बैठता है। कंपनी को विंडोज़ पासवर्ड हैंडलिंग, बिटलॉकर एन्क्रिप्शन डिफॉल्ट्स और क्लाउड सुरक्षा कॉन्फ़िगरेशन पर इसी तरह की आलोचना का सामना करना पड़ा है – अक्सर सुरक्षा शोधकर्ताओं और एंटरप्राइज़ ग्राहकों द्वारा सुरक्षा पर सुविधा को प्राथमिकता देने वाली प्रथाओं पर जोर देने के बाद परिवर्तन लागू किया जाता है।
पासवर्ड एन्क्रिप्शन अपडेट भी तब आता है जब Microsoft एंटरप्राइज़ ग्राहकों को अपनी ओर धकेलता है प्रमाणक ऐप और पासवर्ड रहित प्रमाणीकरण विधियाँ। कंपनी पूरी तरह से पारंपरिक पासवर्ड से आगे बढ़ने, पासकी और बायोमेट्रिक प्रमाणीकरण को भविष्य के रूप में पेश करने के बारे में मुखर रही है। लेकिन अरबों पासवर्ड-आधारित खाते अभी भी उपयोग में हैं, संक्रमण अवधि में पारंपरिक क्रेडेंशियल भंडारण को सुरक्षित रखना आवश्यक है।
ब्राउज़र सुरक्षा विशेषज्ञ इस बदलाव को अतिदेय लेकिन स्वागत योग्य बता रहे हैं। प्लेनटेक्स्ट मेमोरी स्टोरेज एज के अन्यथा मजबूत सुरक्षा आर्किटेक्चर में एक अनावश्यक कमजोर बिंदु का प्रतिनिधित्व करता है, विशेष रूप से यह देखते हुए कि रैम-संग्रहीत पासवर्ड को एन्क्रिप्ट करने से आधुनिक प्रोसेसर के साथ न्यूनतम प्रदर्शन प्रभाव पड़ता है। अन्य प्रमुख ब्राउज़रों ने वर्षों पहले इसी तरह की सुरक्षा लागू की थी, जिससे सुरक्षा पेशेवरों के लिए माइक्रोसॉफ्ट की प्रारंभिक “डिज़ाइन द्वारा” सुरक्षा पहेली बन गई थी।
एज को अपने मानक ब्राउज़र के रूप में उपयोग करने वाले संगठनों के लिए – विंडोज-केंद्रित उद्यमों के लिए एक सामान्य विकल्प – अपडेट को प्राथमिकता के रूप में माना जाना चाहिए। जबकि प्लेनटेक्स्ट मेमोरी स्टोरेज के लिए एक हमलावर के पास पहले से ही सिस्टम एक्सेस के कुछ स्तर की आवश्यकता होती है, सफल प्रारंभिक समझौतों से होने वाले नुकसान को सीमित करने के लिए डिज़ाइन की गई गहन रक्षा रणनीतियों में उस अंतर को बंद करना मायने रखता है।
रैम में एज पासवर्ड को एन्क्रिप्ट करने का माइक्रोसॉफ्ट का निर्णय उस कंपनी से एक दुर्लभ सुरक्षा उलटफेर का प्रतिनिधित्व करता है जिसने शुरुआत में प्लेनटेक्स्ट दृष्टिकोण का बचाव किया था। जबकि परिवर्तन तकनीकी रूप से सीधा है – एन्क्रिप्शन को लागू करना जो प्रतिस्पर्धियों ने वर्षों से उपयोग किया है – यह संकेत देता है कि माइक्रोसॉफ्ट क्रेडेंशियल सुरक्षा के बारे में चिंतित सुरक्षा शोधकर्ताओं और एंटरप्राइज़ ग्राहकों को सुन रहा है। एज के अंतर्निहित पासवर्ड मैनेजर पर भरोसा करने वाले लाखों उपयोगकर्ताओं के लिए, अपडेट एक सुरक्षा अंतर को बंद कर देता है जो पहले स्थान पर मौजूद नहीं होना चाहिए था। लेकिन अपडेट के लिए कई उपयोगकर्ताओं के लिए मैन्युअल इंस्टॉलेशन की आवश्यकता होने के कारण, वास्तविक परीक्षा गोद लेने की दर होगी और क्या Microsoft अपने संपूर्ण उपयोगकर्ता आधार की सुरक्षा के लिए परिवर्तन को आक्रामक रूप से आगे बढ़ाता है या नहीं।
