बांग्लादेशी सरकारी वेबसाइटों के बीच पासवर्ड सुरक्षा कारकों का एक अध्ययन

1. परिचय

'डिजिटल बांग्लादेश' पहल के तहत सार्वजनिक सेवाओं के तेजी से डिजिटलीकरण के साथ, बांग्लादेश सरकार ने ऑनलाइन सेवाएं प्रदान करने के लिए कई वेबसाइटें लॉन्च की हैं। हालांकि, इन प्लेटफार्मों की सुरक्षा, विशेष रूप से पासवर्ड तंत्र, एक महत्वपूर्ण चिंता बनी हुई है। यह अध्ययन साइबर खतरों के खिलाफ उनकी तैयारी का मूल्यांकन करने के लिए 36 बांग्लादेशी सरकारी वेबसाइटों का छह पासवर्ड सुरक्षा ह्यूरिस्टिक्स के विरुद्ध विश्लेषण करता है।

2. विषय-सूची

• 1. परिचय
• 3. पृष्ठभूमि और संबंधित कार्य
• 4. कार्यप्रणाली
• 5. परिणाम और विश्लेषण
  • 5.1 पासवर्ड निर्माण दिशानिर्देश
  • 5.2 पासवर्ड पुनर्प्राप्ति तंत्र
  • 5.3 CAPTCHA उपयोग
  • 5.4 सुरक्षा प्रश्न
  • 5.5 HTTPS अपनाना
  • 5.6 पासवर्ड शक्ति मीटर
• 6. सांख्यिकीय अवलोकन
• 7. मुख्य अंतर्दृष्टियाँ
• 8. तकनीकी विवरण और गणितीय सूत्रीकरण
• 9. प्रयोगात्मक परिणाम और चार्ट विवरण
• 10. विश्लेषण ढांचा उदाहरण
• 11. मूल विश्लेषण
• 12. भविष्य के अनुप्रयोग और दिशाएँ
• 13. संदर्भ
• 14. विशेषज्ञ टिप्पणी

3. पृष्ठभूमि और संबंधित कार्य

ज्ञात कमजोरियों के बावजूद पासवर्ड सबसे व्यापक रूप से उपयोग किए जाने वाले प्रमाणीकरण तंत्र बने हुए हैं। पिछले अध्ययनों ने इस बात पर प्रकाश डाला है कि कमजोर पासवर्ड नीतियां और HTTPS एन्क्रिप्शन की कमी दुनिया भर के सरकारी पोर्टलों में आम समस्याएं हैं। यह अध्ययन अपनी तरह का पहला है जो विशेष रूप से बांग्लादेशी सरकारी वेबसाइटों पर केंद्रित है।

4. कार्यप्रणाली

हमने पंजीकरण और लॉगिन सेवाएं प्रदान करने वाली 36 बांग्लादेशी सरकारी वेबसाइटों का चयन किया। प्रत्येक वेबसाइट का मूल्यांकन छह ह्यूरिस्टिक्स के विरुद्ध किया गया: पासवर्ड निर्माण दिशानिर्देश, पासवर्ड पुनर्प्राप्ति तंत्र, CAPTCHA उपयोग, सुरक्षा प्रश्न, HTTPS अपनाना, और पासवर्ड शक्ति मीटर। डेटा मैन्युअल रूप से एकत्र किया गया और क्रॉस-सत्यापित किया गया।

5. परिणाम और विश्लेषण

5.1 पासवर्ड निर्माण दिशानिर्देश

36 वेबसाइटों में से केवल 12 (33.3%) ने स्पष्ट पासवर्ड निर्माण दिशानिर्देश प्रदान किए। शेष 24 वेबसाइटों (66.7%) ने कोई मार्गदर्शन नहीं दिया, जिससे कमजोर पासवर्ड विकल्प सामने आए।

5.2 पासवर्ड पुनर्प्राप्ति तंत्र

28 वेबसाइटों (77.8%) ने ईमेल के माध्यम से पासवर्ड पुनर्प्राप्ति की पेशकश की, जबकि 8 वेबसाइटों (22.2%) में कोई पुनर्प्राप्ति तंत्र नहीं था या मैन्युअल हस्तक्षेप पर निर्भर था।

5.3 CAPTCHA उपयोग

20 वेबसाइटों (55.6%) पर CAPTCHA लागू किया गया था। शेष 16 वेबसाइटों (44.4%) में कोई बॉट-डिटेक्शन तंत्र नहीं था, जिससे स्वचालित हमलों की संभावना बढ़ गई।

5.4 सुरक्षा प्रश्न

केवल 9 वेबसाइटों (25%) ने पासवर्ड पुनर्प्राप्ति के लिए सुरक्षा प्रश्नों का उपयोग किया। अधिकांश प्रश्न अनुमान लगाने योग्य थे (जैसे, 'आपके पालतू जानवर का नाम क्या है?'), जो न्यूनतम सुरक्षा प्रदान करते हैं।

5.5 HTTPS अपनाना

30 वेबसाइटों (83.3%) ने HTTPS का उपयोग किया, लेकिन 6 वेबसाइटें (16.7%) अभी भी HTTP पर संचालित होती हैं, जो क्रेडेंशियल्स को सादे पाठ में प्रसारित करती हैं।

5.6 पासवर्ड शक्ति मीटर

केवल 10 वेबसाइटों (27.8%) ने रीयल-टाइम पासवर्ड शक्ति मीटर प्रदान किया। इस तरह के फीडबैक की अनुपस्थिति कमजोर पासवर्ड चयन में योगदान करती है।

6. सांख्यिकीय अवलोकन

7. मुख्य अंतर्दृष्टियाँ

• अधिकांश वेबसाइटों में पासवर्ड निर्माण दिशानिर्देशों का अभाव है, जिससे कमजोर पासवर्ड बनते हैं।
• CAPTCHA अपनाना अपर्याप्त है, जो वेबसाइटों को ब्रूट-फोर्स और स्वचालित हमलों के लिए उजागर करता है।
• HTTPS अपनाना अपेक्षाकृत अधिक है लेकिन सार्वभौमिक नहीं है, जो डेटा अवरोधन के जोखिम पैदा करता है।
• पासवर्ड शक्ति मीटर का कम उपयोग किया जाता है, जिससे उपयोगकर्ताओं का मार्गदर्शन करने का अवसर खो जाता है।

8. तकनीकी विवरण और गणितीय सूत्रीकरण

पासवर्ड एन्ट्रॉपी $H$ की गणना $H = L \cdot \log_2(N)$ के रूप में की जाती है, जहाँ $L$ पासवर्ड की लंबाई है और $N$ संभावित वर्णों की संख्या है। 62 वर्णों (a-z, A-Z, 0-9) का उपयोग करने वाले 8 लंबाई के पासवर्ड के लिए, एन्ट्रॉपी $H = 8 \cdot \log_2(62) \approx 47.6$ बिट है। कम जोखिम वाली प्रणालियों के लिए न्यूनतम 30 बिट एन्ट्रॉपी की सिफारिश की जाती है, जबकि संवेदनशील डेटा के लिए 50+ बिट की सिफारिश की जाती है।

9. प्रयोगात्मक परिणाम और चार्ट विवरण

चार्ट 1: ह्यूरिस्टिक अपनाने की दर - एक बार चार्ट जो प्रत्येक ह्यूरिस्टिक को लागू करने वाली वेबसाइटों का प्रतिशत दर्शाता है। HTTPS अपनाना 83.3% पर सबसे आगे है, जबकि सुरक्षा प्रश्न 25% पर पीछे हैं। चार्ट सुरक्षा प्रथाओं में असमानता को स्पष्ट रूप से दर्शाता है।

चार्ट 2: पासवर्ड शक्ति वितरण - एक पाई चार्ट जो दर्शाता है कि 60% वेबसाइटें 8 वर्णों से कम वाले पासवर्ड स्वीकार करती हैं, 30% को 8-12 वर्णों की आवश्यकता होती है, और केवल 10% 12+ वर्णों को लागू करती हैं।

10. विश्लेषण ढांचा उदाहरण

केस स्टडी: वेबसाइट X (अनाम)

• पासवर्ड दिशानिर्देश: कोई प्रदान नहीं किए गए।
• पुनर्प्राप्ति: ईमेल-आधारित, कोई सुरक्षा प्रश्न नहीं।
• CAPTCHA: लागू नहीं किया गया।
• HTTPS: हाँ।
• शक्ति मीटर: नहीं।
• जोखिम स्तर: उच्च - ब्रूट-फोर्स और फ़िशिंग हमलों के लिए असुरक्षित।

11. मूल विश्लेषण

यह अध्ययन बांग्लादेश के ई-गवर्नमेंट सुरक्षा में नीति और व्यवहार के बीच एक चिंताजनक अंतर को उजागर करता है। जबकि सरकार ने सेवाओं को डिजिटलीकृत करने में प्रगति की है, बुनियादी पासवर्ड सुरक्षा उपायों—जैसे दिशानिर्देश, CAPTCHA, और शक्ति मीटर—की कमी साइबर जोखिमों के एक प्रणालीगत कम आकलन को इंगित करती है। 16.7% वेबसाइटों का अभी भी HTTP का उपयोग करना विशेष रूप से चिंताजनक है, क्योंकि यह मैन-इन-द-मिडल हमलों के माध्यम से उपयोगकर्ता क्रेडेंशियल्स को अवरोधन के लिए उजागर करता है। विश्व बैंक की 2021 की एक रिपोर्ट के अनुसार, विकासशील देश साइबर अपराध के कारण सालाना अपने सकल घरेलू उत्पाद का अनुमानित 0.5% खो देते हैं, एक आंकड़ा जो हस्तक्षेप के बिना बढ़ सकता है। निष्कर्ष पासवर्ड सुरक्षा के अर्थशास्त्र पर हर्ले और वैन ओरशॉट (2012) के व्यापक शोध के अनुरूप हैं, जो तर्क देता है कि उपयोगकर्ता व्यवहार सिस्टम डिज़ाइन से काफी प्रभावित होता है। शक्ति मीटर और दिशानिर्देशों की अनुपस्थिति प्रभावी रूप से सुरक्षा बोझ को उपयोगकर्ताओं पर स्थानांतरित कर देती है, जिनके पास अक्सर विशेषज्ञता का अभाव होता है। भारत और पाकिस्तान में समान अध्ययनों के साथ एक तुलनात्मक विश्लेषण से पता चलता है कि बांग्लादेश CAPTCHA अपनाने (55.6% बनाम भारत में 70%) में पीछे है लेकिन HTTPS उपयोग (83.3% बनाम पाकिस्तान में 65%) में आगे है। इससे पता चलता है कि बुनियादी ढांचे में निवेश हो रहा है, लेकिन उपयोगकर्ता-सामना करने वाली सुरक्षा सुविधाओं की उपेक्षा की जा रही है। सुधार के लिए, सरकार को न्यूनतम पासवर्ड मानकों को अनिवार्य करना चाहिए, सभी डोमेन पर HTTPS लागू करना चाहिए, और CAPTCHA को एक आधारभूत आवश्यकता के रूप में एकीकृत करना चाहिए। कार्यान्वयन की लागत उल्लंघन से संभावित नुकसान की तुलना में नगण्य है।

12. भविष्य के अनुप्रयोग और दिशाएँ

भविष्य के कार्य में बहु-कारक प्रमाणीकरण (MFA) अपनाने, पासवर्ड हैशिंग एल्गोरिदम, और सत्र प्रबंधन प्रथाओं को शामिल करने के लिए ह्यूरिस्टिक सेट का विस्तार करना चाहिए। समय के साथ परिवर्तनों को ट्रैक करने वाले अनुदैर्ध्य अध्ययन नीतिगत हस्तक्षेपों के प्रभाव को मापने में मदद करेंगे। इसके अतिरिक्त, बांग्लादेशी नागरिकों के बीच पासवर्ड व्यवहार पर उपयोगकर्ता-केंद्रित अध्ययन बेहतर डिज़ाइन दिशानिर्देशों को सूचित कर सकते हैं। बायोमेट्रिक प्रमाणीकरण और पासवर्ड रहित प्रणालियों (जैसे, WebAuthn) का एकीकरण उपयोगिता से समझौता किए बिना सुरक्षा बढ़ाने के लिए एक आशाजनक दिशा का प्रतिनिधित्व करता है।

13. संदर्भ

1. Herley, C., & van Oorschot, P. (2012). A research agenda acknowledging the persistence of passwords. IEEE Security & Privacy, 10(1), 28-36.
2. World Bank. (2021). Cybersecurity and Economic Development: A Global Perspective. Washington, DC.
3. Florencio, D., & Herley, C. (2007). A large-scale study of web password habits. Proceedings of the 16th International Conference on World Wide Web, 657-666.
4. Bonneau, J., et al. (2012). The quest to replace passwords: A framework for comparative evaluation of web authentication schemes. IEEE Symposium on Security and Privacy, 553-567.
5. Bangladesh Computer Council. (2020). National Cybersecurity Strategy 2020-2025. Dhaka.

14. विशेषज्ञ टिप्पणी