16 बिलियन पासवर्ड लीक: वास्तव में क्या हुआ?

जून 2025 में, साइबरन्यूज के साइबरसिटी शोधकर्ताओं ने अब तक के सबसे महत्वपूर्ण क्रेडेंशियल लीक में से एक को उजागर किया: लगभग 30 बड़े पैमाने पर डेटा सेटों में संकलित 16 बिलियन से अधिक लॉगिन विवरण स्वतंत्र रूप से ऑनलाइन प्रसारित हो रहे थे।

एक एकल भयावह उल्लंघन के बजाय, यह वर्षों के infostealer के मूल्य का संचय था मैलवेयर चुपचाप उपकरणों को संक्रमित करता हैपासवर्ड और कुकीज़ से लेकर सक्रिय सत्र टोकन और वेब लॉगिन इतिहास तक सब कुछ स्क्रैप करना।

इसके अलावा, एक दशक पहले से पुराने डेटा डंप के विपरीत, इनमें से कई क्रेडेंशियल्स आज भी काम करते हैं।

Google, Apple, Facebook, Telegram और Github जैसे प्लेटफ़ॉर्म सभी को कई सरकारी प्रणालियों के साथ फंसाया जाता है। कुछ व्यक्तिगत डेटा सेट में 3.5 बिलियन रिकॉर्ड होते हैं।

एक समय के लिए, इस जानकारी का अधिकांश हिस्सा सार्वजनिक रूप से उजागर सर्वर पर बैठा, किसी के साथ एक ब्राउज़र के साथ डाउनलोड करने योग्य, नहीं हैकिंग विशेषज्ञता आवश्यक।

यह बात करने लायक है।

क्या आप जानते हैं? 2024 में, Infostealer Malware 2.1 बिलियन चोरी की साख के पीछे था, जो उस वर्ष ऐसे उपकरणों द्वारा चुराए गए सभी क्रेडेंशियल्स के लगभग दो-तिहाई हिस्से को बना रहा था।

क्यों 16 बिलियन पासवर्ड लीक पारंपरिक लॉगिन सिस्टम की सीमाओं को उजागर करता है

यह उल्लंघन पारंपरिक पहचान प्रणालियों की मूलभूत कमजोरियों पर प्रकाश डालता है जो आज भी उपयोग किए जाते हैं।

ज्यादातर लोग पासवर्ड का पुन: उपयोग करते हैं। इसका मतलब है कि जब एक खाते से समझौता किया जाता है, तो आपके ईमेल से लेकर आपके बैंक लॉगिन तक सब कुछ उजागर किया जा सकता है। यह कैसे है साख -भराव काम करता है: एक लीक पासवर्ड आपके पूरे डिजिटल जीवन को अनलॉक कर सकता है।

और खतरा पासवर्ड से परे है। इनमें से कई फ़ाइलों में सत्र टोकन शामिल हैं, अनिवार्य रूप से डिजिटल कुंजी पहले से ही प्रमाणित खातों के लिए।

साथ मैलवेयर-ए-ए-सर्विस टूल अब व्यापक रूप से उपलब्ध है, हमलावरों को आपको सीधे लक्षित करने की आवश्यकता नहीं है। वे सिर्फ डेटा खरीदते हैं और अधिग्रहण को स्वचालित करते हैं।

परिणाम पहचान की चोरी, वित्तीय धोखाधड़ी और स्थायी गोपनीयता जोखिमों के लिए एक आदर्श तूफान है, एक वेक-अप कॉल जो दिखाता है 2fa और पासवर्ड प्रबंधक अकेले पर्याप्त नहीं हैं।

इसलिए ध्यान कुछ और अधिक मूलभूत की ओर स्थानांतरित हो रहा है: डेटा उल्लंघनों के बाद डिजिटल पहचान। विशेष रूप से, ब्लॉकचेन-आधारित पहचान समाधानों के लिए जो पासवर्ड पर भरोसा नहीं करते हैं।

पासवर्ड रहित प्रमाणीकरण ब्लॉकचेन की आवश्यकता

इस पैमाने की एक घटना के बाद, एक ही सिफारिशें पुनर्जीवित:

• हर सेवा के लिए मजबूत, अद्वितीय पासवर्ड का उपयोग करें।
• गोद लें पासवर्ड मैनेजर 1Password या बिटवर्डन की तरह।
• जहां भी संभव हो, दो-कारक प्रमाणीकरण (2FA) सक्षम करें।
• फिंगरप्रिंट या चेहरे की मान्यता जैसे बायोमेट्रिक्स का उपयोग करते हुए, पासकी पर स्विच करें।
• टूल के माध्यम से डार्क वेब एक्सपोज़र के लिए मॉनिटर करें जो आपके ईमेल से बंधे फ्लैग ने क्रेडेंशियल्स को लीक कर दिया है।

मददगार रहते हुए, यह सलाह वर्षों में नहीं बदली है। ये एक प्रणाली के लिए पैचवर्क डिफेंस हैं जो कभी भी ध्यान में लचीलापन के साथ नहीं बनाया गया था। उपयोगकर्ता अभी भी छोड़ रहे हैं फ़िशिंग के लिए कमजोरमैलवेयर और खराब तरीके से सुरक्षित ऐप्स।

जैसे -जैसे डेटा उल्लंघन पैमाने और परिष्कार में बढ़ते हैं, अधिक विशेषज्ञों को बुला रहे हैं वेब 3 पहचान प्रबंधन एक दीर्घकालिक फिक्स के रूप में।

पासवर्ड की आवश्यकता को समाप्त करके, ब्लॉकचेन पर पासवर्ड रहित प्रमाणीकरण हमें प्रतिक्रियाशील रक्षा से सक्रिय बुनियादी ढांचे-स्तरीय सुरक्षा में स्थानांतरित कर सकता है।

दूसरे शब्दों में, यदि सिस्टम टूट गया है, तो इसे प्रतिस्थापित क्यों नहीं किया जाता है?

क्या आप जानते हैं? पहला कंप्यूटर पासवर्ड सिस्टम 1960 के दशक के मध्य में MIT के संगत समय-साझाकरण प्रणाली से वापस आता है। फिर भी, शुरुआती शोधकर्ताओं ने पासवर्ड चोरी के बारे में चेतावनी दी, सुरक्षा चिंताओं को साबित करना सिर्फ आधुनिक संकट नहीं है।

क्या ब्लॉकचेन डिजिटल पहचान ठीक हो सकती है?

अब अरबों पासवर्ड के साथ, अधिक जरूरी सवाल यह नहीं है कि आप उनकी रक्षा कैसे करते हैं, बल्कि, आप अभी भी पासवर्ड पर निर्भर क्यों हैं? डेवलपर्स, संस्थानों और गोपनीयता अधिवक्ताओं की बढ़ती संख्या का मानना ​​है कि ब्लॉकचेन डिजिटल पहचान एक लंबे समय से अधिक विकल्प प्रदान कर सकती है।

ब्लॉकचेन के साथ डिजिटल आईडी वास्तव में हल करता है

इसके मूल में, ए विकेंद्रीकृत पहचान प्रणाली वर्तमान मॉडल को फ़्लिप करता है। अपनी डिजिटल पहचान को केंद्रीकृत डेटाबेस में सौंपने के बजाय-ऐसे लक्ष्य जो ब्रीच कर सकते हैं और ब्रीच कर सकते हैं-यह उपयोगकर्ताओं को ब्लॉकचेन पर स्व-संप्रभु पहचान के माध्यम से पूर्ण स्वामित्व देता है।

यहाँ क्या बदलता है:

• विफलता का कोई केंद्रीय बिंदु नहीं: पारंपरिक लॉगिन सिस्टम केंद्रीकृत वाल्टों में लाखों क्रेडेंशियल्स रखते हैं। एक सर्वर हैक, और हमलावरों को हर चीज तक पहुंच मिलती है। इसके विपरीत, ब्लॉकचैन पहचान समाधान विकेन्द्रीकृत पहचानकर्ताओं (डीआईडी) का उपयोग करते हैं, अद्वितीय, निजी कुंजियाँ संग्रहीत onchain जो केवल उपयोगकर्ता के लिए संबंधित हैं। समझौता करने के लिए कोई केंद्रीय तिजोरी नहीं है।
• न्यूनतम डेटा एक्सपोज़र: सत्यापन योग्य क्रेडेंशियल्स का उपयोग करते हुए, उपयोगकर्ता विशिष्ट विवरणों की पुष्टि कर सकते हैं, जैसे कि उनकी उम्र या डिग्री, एक पूर्ण आईडी को सौंपने के बिना। शून्य-ज्ञान के प्रमाण और भी अधिक उन्नत हैं, जिससे आप किसी भी अंतर्निहित दस्तावेजों का खुलासा किए बिना पात्रता (जैसे, “मैं 18 से अधिक हूं”) साबित कर सकता है।
• छेड़छाड़-प्रतिरोधी और श्रव्य: एक बार जब आपके डिजिटल आइडेंटिटी वॉलेट में क्रेडेंशियल्स जारी किए जाते हैं, तो वे क्रिप्टोग्राफिक रूप से हस्ताक्षरित और समय-स्टैम्प किए जाते हैं। यह बिना पता लगाने के, उन्हें बैकडेट या बदलना लगभग असंभव बनाता है।

यह प्रणाली, सामूहिक रूप से के रूप में जाना जाता है स्व-संप्रभु पहचान (एसएसआई)आज के दृष्टिकोण की नींव को पूरी तरह से बदल देता है।

कौन पहले से ही ब्लॉकचेन पहचान समाधान का परीक्षण कर रहा है?

हालांकि यह फ्यूचरिस्टिक लग सकता है, वेब 3 आइडेंटिटी मैनेजमेंट पहले से ही जमीन हासिल कर रहा है।

यूरोपीय संघ EIDAS 2.0 को लागू कर रहा है और यूरोपीय ब्लॉकचेन सर्विसेज इन्फ्रास्ट्रक्चर (EBSI) में सदस्य राज्यों में छेड़छाड़-प्रूफ डिजिटल डिप्लोमा, प्रमाणपत्र और क्रेडेंशियल्स जारी करने के लिए इन्फ्रास्ट्रक्चर (EBSI)।

आगे, जर्मनी और दक्षिण कोरिया ब्लॉकचेन-आधारित डिजिटल आईडी सिस्टम पायलट कर रहे हैं जो अंततः भौतिक पहचान दस्तावेजों के लिए राष्ट्रव्यापी प्रतिस्थापन के रूप में काम कर सकते हैं।

इसके अलावा, डॉक लैब्स, पॉलीगॉन आईडी और ट्रस्टक्लाउड जैसे स्टार्टअप ऐसे प्लेटफ़ॉर्म का निर्माण कर रहे हैं, जहां व्यक्ति अपनी क्रेडेंशियल्स बना सकते हैं, प्रबंधित कर सकते हैं और चुनिंदा रूप से साझा कर सकते हैं, चाहे वह सरकारी पोर्टल तक पहुंचने, बैंक खाता खोलने या ऑनलाइन शैक्षिक योग्यता साबित करने के लिए।

पहचान के लिए ब्लॉकचेन सुरक्षा क्या है?

वादे के बावजूद, ब्लॉकचेन पहचान अभी तक मुख्यधारा को अपनाने के लिए तैयार नहीं है, और बाधाएं बुनियादी ढांचे और कानून के बारे में उतनी ही हैं जितनी कि वे प्रौद्योगिकी के बारे में हैं।

• UX गैप: अब, ब्लॉकचेन के साथ अपने डिजिटल आईडी तक पहुंच को पुनर्प्राप्त करना उतना आसान नहीं है जितना “पासवर्ड भूल गए।” यदि आप अपना डिवाइस खो देते हैं, तो आपके क्रेडेंशियल्स इसके साथ जा सकते हैं। मल्टीपार्टी जैसे प्रायोगिक तरीके वसूली मौजूद है, लेकिन वे व्यापक रूप से लागू नहीं किए गए हैं।
• नियामक घर्षण: गोपनीयता कानून जीडीपीआर व्यक्तिगत डेटा को हटाने की क्षमता की आवश्यकता होती है, लेकिन ब्लॉकचेन डिजाइन द्वारा अपरिवर्तनीय होते हैं। डेवलपर्स गोपनीयता-संरक्षण परतों और ऑफचेन स्टोरेज पर काम कर रहे हैं, लेकिन ये उपकरण अधिकांश कानूनी ढांचे की तुलना में तेजी से विकसित हो रहे हैं।
• मंच एकीकरण की कमी: जबकि तकनीक आगे बढ़ रही है, इंटरनेट ने पकड़ा नहीं है। अधिकांश प्लेटफ़ॉर्म अभी भी ईमेल-पासवर्ड लॉगिन पर भरोसा करते हैं। जब तक वेबसाइट, ऐप्स और सरकारें डीआईडी ​​को अपनाती हैं और पहचान के लिए ब्लॉकचेन सुरक्षाउपयोगकर्ता पुराने और नई प्रणालियों की बाजीगरी कर रहे हैं।
• नेटवर्क प्रभाव समस्या: पैमाने पर काम करने के लिए एक विकेन्द्रीकृत पहचान प्रणाली के लिए, इसे जारीकर्ताओं (जैसे सरकारों या विश्वविद्यालयों), वेरिफायर (बैंक, नियोक्ता) और वॉलेट प्रदाताओं से भागीदारी की आवश्यकता है। पारिस्थितिकी तंत्र-व्यापी खरीद-इन के बिना, इन पहचानों का बहुत व्यावहारिक उपयोग नहीं है।

Web3 पहचान प्रबंधन को प्राप्त करने में क्या लगेगा?

संक्षेप में, बहुत कुछ, लेकिन कुछ भी नहीं है जो आने वाले वर्षों में पहुंच से बाहर है।

उदाहरण के लिए, प्लेटफार्मों को इंटरऑपरेबिलिटी मानकों की आवश्यकता होती है जो डिजिटल क्रेडेंशियल्स को विभिन्न प्लेटफार्मों और न्यायालयों में मूल रूप से कार्य करने की अनुमति देते हैं।

फिर, महत्वपूर्ण रूप से, उपयोगकर्ता ऑनबोर्डिंग को घर्षण रहित होना चाहिए (ब्लॉकचेन आईडी की स्थापना को ईमेल खाता बनाने की तुलना में अधिक जटिल महसूस नहीं करना चाहिए)।

कानूनी स्पष्टता के लिए एक दबाव की आवश्यकता भी है, ताकि वोटिंग, लाइसेंसिंग और रोजगार जैसी आधिकारिक प्रक्रियाओं में विकेंद्रीकृत पहचान का उपयोग किया जा सके।

और अंत में, वास्तविक दुनिया के पायलट आवश्यक हैं, परीक्षण के वातावरण से परे पूर्ण पैमाने पर कार्यान्वयन के लिए आगे बढ़ते हैं जो कार्रवाई में ब्लॉकचेन पहचान प्रणालियों को प्रदर्शित करते हैं।

ऑनलाइन प्रमाणीकरण का भविष्य अब पासवर्ड पर भरोसा नहीं कर सकता है। फिर भी, उस दृष्टि को वास्तविकता में बदलने के लिए डेवलपर्स, नियामकों और वैश्विक प्लेटफार्मों पर समन्वित कार्रवाई की आवश्यकता होगी, जिसमें उपयोगकर्ताओं को अपनी डिजिटल पहचान पर पूर्ण नियंत्रण देने के लिए एक साझा प्रतिबद्धता के साथ।