टू-फैक्टर ऑथेंटिकेशन के लिए एसएमएस और 2FA एप्स का इस्तेमाल बंद करने का समय आ गया है

विज्ञापन

इन दिनों, ऐसा लगता है कि आपके द्वारा देखी गई हर वेबसाइट आपको प्रोत्साहित करने की कोशिश करती है दो-कारक प्रमाणीकरण का उपयोग करें (2FA)।

2FA का उपयोग करने के सबसे सामान्य तरीकों में से एक आपके मोबाइल डिवाइस से एक अद्वितीय कोड इनपुट करना है। आमतौर पर, आपको एक पाठ संदेश में कोड प्राप्त होता है या आप किसी को उत्पन्न करने के लिए तीसरे पक्ष के 2FA ऐप का उपयोग करते हैं।

दो विधियाँ उनकी सुविधा के कारण कोड का उपयोग करने के लिए दोनों लोकप्रिय तरीके हैं। हालांकि, सुरक्षा के दृष्टिकोण से दोनों विधियां भी कमजोर हैं। और क्योंकि आपका 2FA कोड केवल उतना ही सुरक्षित है जितना कि इसे वितरित करने के लिए उपयोग की जाने वाली तकनीक, कमजोरियां महत्वपूर्ण हैं।

तो, इसमें क्या गलत है अपने कोड का उपयोग करने के लिए एसएमएस और तृतीय-पक्ष एप्लिकेशन का उपयोग करना पासवर्ड रहित लॉगिन क्या हैं? क्या वे वास्तव में सुरक्षित हैं?पासवर्ड रहित लॉगिन आ रहे हैं। क्या वे सुरक्षित हैं? पासवर्ड रहित लॉगिन कैसे काम करता है? यहां आपको जानना आवश्यक है। अधिक पढ़ें ? और क्या एक समान रूप से सुविधाजनक विकल्प है जो अधिक सुरक्षित है? हम सब कुछ समझाने जा रहे हैं। अधिक जानने के लिए पढ़ते रहें।

कैसे दो-कारक प्रमाणीकरण कार्य करता है

आइए, इस बात पर चर्चा करें कि दो-कारक प्रमाणीकरण कैसे काम करता है। तकनीक के पीछे के मैकेनिक्स को समझने के बिना, इस लेख के बाकी हिस्सों में बहुत कुछ नहीं होगा।

व्यापक रूप में, 2FA आपके खाते में सुरक्षा की एक अतिरिक्त परत जोड़ता है 2FA के साथ अपने खातों को कैसे सुरक्षित करें: जीमेल, आउटलुक और अधिकक्या दो-कारक प्रमाणीकरण आपके ईमेल और सामाजिक नेटवर्क को सुरक्षित करने में मदद कर सकता है? यहां आपको ऑनलाइन सुरक्षित होने के लिए क्या जानना होगा। अधिक पढ़ें . बहु-कारक प्रमाणीकरण के रूप में भी जाना जाता है, लॉगिन क्रेडेंशियल में न केवल एक पासवर्ड होता है, बल्कि एक दूसरे जानकारी का भी हिस्सा होता है, जिसमें केवल खाते के वैध स्वामी की पहुंच होती है।

2FA विभिन्न रूपों में आता है दो-कारक प्रमाणीकरण प्रकार और विधियों के पेशेवरों और विपक्षदो-कारक प्रमाणीकरण विधियाँ समान नहीं बनाई गई हैं। कुछ demonstrably सुरक्षित और अधिक सुरक्षित हैं। यहां सबसे आम तरीकों पर एक नज़र है और जो आपकी व्यक्तिगत जरूरतों को पूरा करते हैं। अधिक पढ़ें . अपने सबसे बुनियादी स्तर पर, यह सुरक्षा सवालों के रूप में सरल कुछ हो सकता है (क्योंकि कोई और संभवतः नहीं कर सकता था अपनी मां के पहले नाम को जानें आप पासवर्ड सुरक्षा प्रश्नों का गलत जवाब क्यों दे रहे हैंआप ऑनलाइन खाता सुरक्षा प्रश्नों का उत्तर कैसे देते हैं? ईमानदार जवाब? दुर्भाग्य से, आपकी ईमानदारी आपके ऑनलाइन कवच में एक झंकार पैदा कर सकती है। आइए एक नजर डालते हैं कि सुरक्षा के सवालों का सुरक्षित जवाब कैसे दिया जाए। अधिक पढ़ें या आपका पसंदीदा पालतू)। अधिक जटिल अंत में, यह एक बायोमेट्रिक आईडी जैसे कि रेटिना स्कैन या फिंगरप्रिंट हो सकता है।

आपको एसएमएस सत्यापन से क्यों बचना चाहिए

एसएमएस 2FA कोड के उपयोग और उपयोग के लिए सबसे सुलभ तरीके के रूप में एक स्थिति प्राप्त करता है। यदि कोई साइट दो-कारक प्रमाणीकरण लॉगिन प्रदान करती है, तो यह निश्चित रूप से एक विकल्प के रूप में एसएमएस प्रदान करता है।

लेकिन एसएमएस 2FA का उपयोग करने का एक सुरक्षित तरीका नहीं है। इसकी दो प्रमुख कमजोरियां हैं।

सबसे पहले, प्रौद्योगिकी है सिम स्वैप हमलों के लिए अतिसंवेदनशील. किसी हैकर को सिम स्वैप करने में ज्यादा समय नहीं लगता है। यदि उनके पास एक अन्य व्यक्तिगत जानकारी है - जैसे आपकी सामाजिक सुरक्षा संख्या - वे आपके वाहक को कॉल कर सकते हैं और आपके नंबर को एक नए सिम कार्ड में स्थानांतरित कर सकते हैं।

दूसरे, हैकर्स कर सकते हैं अवरोधन एसएमएस संदेश. यह सब अब दिनांकित सिग्नलिंग सिस्टम नंबर 7 (SS7) फोन रूटिंग सिस्टम पर वापस आता है। कार्यप्रणाली को 1975 में वापस डिजाइन किया गया था, लेकिन अभी भी कॉल को जोड़ने और डिस्कनेक्ट करने के लिए विश्व स्तर पर लगभग उपयोग किया जाता है। यह नंबर अनुवाद, प्रीपेड बिलिंग और महत्वपूर्ण रूप से एसएमएस संदेशों को भी संभालता है।

अप्रत्याशित रूप से, 1975 की यह तकनीक सुरक्षा छेदों से भरी है। ऐसे सुरक्षा विशेषज्ञ ब्रूस श्नाइयर दोषों का वर्णन किया:

“अगर हमलावरों के पास SS7 पोर्टल तक पहुंच है, तो वे आपकी बातचीत को ऑनलाइन रिकॉर्डिंग डिवाइस पर अग्रेषित कर सकते हैं और कॉल को फिर से कर सकते हैं। इसका इच्छित गंतव्य […] इसका मतलब है कि एक अच्छी तरह से सुसज्जित अपराधी आपके सत्यापन संदेशों को पकड़ सकता है और आपके उपयोग करने से पहले भी देख सकता है उन्हें।"

बेशक, यह पता चलता है कि एक साइबर अपराधी है आपका फेसबुक हैक कर लिया अगर आपका फेसबुक अकाउंट हैक हो गया है तो कैसे पता करेंफ़ेसबुक को इतना अधिक डेटा देने के साथ, आपको अपने खाते को सुरक्षित रखने की आवश्यकता है। यहां जानिए कैसे पता लगाया जाए कि आपका फेसबुक हैक हो गया है। अधिक पढ़ें खाता आदर्श से बहुत दूर है। लेकिन जब आप 2FA के अन्य उपयोगों पर विचार करते हैं तो स्थिति कम होती है। एक साइबर अपराधी आपके ऑनलाइन बैंकिंग, या यहां तक ​​कि आपके द्वारा उपयोग किए गए कोड चुरा सकता है आरंभ और पूर्ण धन हस्तांतरण दोस्तों को पैसे भेजने के लिए 6 बेस्ट ऐप्सअगली बार आपको दोस्तों को पैसे भेजने की ज़रूरत है, मिनटों में किसी को भी पैसे भेजने के लिए इन शानदार मोबाइल ऐप को देखें। अधिक पढ़ें .

इसके अलावा, Schneier भी दावा करता है कि कोई भी $ 1,000 के लिए SS7 नेटवर्क तक पहुंच खरीद सकता है। एक बार उनके पास पहुंच होने के बाद, वे एक रूटिंग अनुरोध भेज सकते हैं। समस्या को पूरा करने के लिए, नेटवर्क अनुरोध के स्रोत को प्रमाणित नहीं कर सकता है।

याद रखें, एसएमएस के माध्यम से दो-कारक प्रमाणीकरण का उपयोग करना 2FA अक्षम छोड़ने से बेहतर है। और यह संभव नहीं है कि आप शिकार बन जाएंगे। हालाँकि, यदि आप थोड़ा चिंतित महसूस करना शुरू कर रहे हैं, तो आपको पढ़ना जारी रखने की आवश्यकता है। बहुत से लोग यह स्वीकार करते हैं कि एसएमएस असुरक्षित है और इसके बजाय तीसरे पक्ष के ऐप चालू करें।

लेकिन यह बहुत बेहतर नहीं हो सकता है।

आपको 2FA ऐप्स से क्यों बचना चाहिए

2FA कोड का उपयोग करने का दूसरा आम तरीका एक समर्पित स्मार्टफोन ऐप इंस्टॉल करना है। चुनने के लिए बहुत सारे हैं। Google प्रमाणक यकीनन सबसे पहचानने योग्य है, लेकिन यह जरूरी नहीं कि सबसे अच्छा हो। वहाँ बहुत सारे विकल्प हैं- ऑटि, ऑथेंटिकेटर प्लस और डुओ की जाँच करें।

लेकिन विशेषज्ञ 2FA ऐप कितने सुरक्षित हैं? उनकी सबसे बड़ी कमजोरी उनकी है एक गुप्त कुंजी पर निर्भरता.

एक सेकंड के लिए एक कदम पीछे हटने दें। यदि आप पहली बार कई ऐप के लिए साइन अप करते हैं, तो आपको जानकारी नहीं है, आपको एक गुप्त कुंजी दर्ज करने की आवश्यकता होगी। रहस्य आपके और ऐप के प्रदाता के बीच साझा किया जाता है।

जब आप किसी साइट पर पहुंचते हैं, तो ऐप जो कोड बनाता है वह आपकी कुंजी और वर्तमान समय के संयोजन पर आधारित होता है। उसी समय, सर्वर समान जानकारी का उपयोग करके एक कोड उत्पन्न कर रहा है। दी जाने वाली पहुंच के लिए दो कोडों का मिलान करना होगा। समझदार लगता है।

तो चाबियाँ कमजोर बिंदु क्यों हैं? ठीक है, अगर कोई साइबर अपराधी किसी कंपनी के पासवर्ड और रहस्यों के डेटाबेस तक पहुंच प्राप्त करता है, तो क्या होता है? हर खाता असुरक्षित होगा - हमलावर आ और जा सकता था अगर कोई आपका फेसबुक अकाउंट एक्सेस कर रहा है तो कैसे चेक करेंयदि कोई आपके ज्ञान के बिना आपके फेसबुक खाते तक पहुंच रखता है, तो यह दोनों भयावह और चिंताजनक है। यहां जानिए कि क्या आपका ब्रेकअप हुआ है। अधिक पढ़ें इच्छानुसार।

दूसरे, रहस्य या तो सादे पाठ में या क्यूआर कोड के रूप में प्रदर्शित किया जाता है; यह नहीं हो सकता हैशेड या नमक के साथ प्रयोग किया जाता है क्या यह सब MD5 हैश सामान वास्तव में मतलब है [प्रौद्योगिकी समझाया]यहां एमडी 5, हैशिंग और कंप्यूटर और क्रिप्टोग्राफी का एक छोटा सा अवलोकन है। अधिक पढ़ें . यह शायद कंपनी के सर्वर पर सादे पाठ में भी है।

गुप्त कुंजी टाइम-आधारित वन-टाइम पासवर्ड (टीओटीपी) में मूलभूत दोष है जो विशेषज्ञ एप्लिकेशन का उपयोग करते हैं। यह एक भौतिक U2F कुंजी क्यों हमेशा एक अधिक सुरक्षित विकल्प है।

2FA ऐप्स के लिए डिज़ाइन और सुरक्षा में दोष

बेशक, तीसरे पक्ष के ऐप के आवश्यक डेटाबेस को साइबर अपराधी द्वारा हैक करने की संभावना काफी कम है। लेकिन आपका ऐप इसके डिज़ाइन में बुनियादी सुरक्षा खामियों से भी पीड़ित हो सकता है।

लोकप्रिय पासवर्ड मैनेजर लास्टपास अपने LastPass सुरक्षा Supercharge करने के लिए 8 आसान तरीकेआप अपने कई ऑनलाइन पासवर्ड का प्रबंधन करने के लिए लास्टपास का उपयोग कर सकते हैं, लेकिन क्या आप इसे सही उपयोग कर रहे हैं? यहां आठ चरण हैं जो आप अपने लास्टपास खाते को और अधिक सुरक्षित बना सकते हैं। अधिक पढ़ें दिसंबर 2017 में शिकार हुई। ए मध्यम पर प्रोग्रामर के ब्लॉग पोस्ट पता चला 2FA गुप्त कुंजियाँ एक फिंगरप्रिंट, पासवर्ड या अन्य सुरक्षा उपायों के बिना एक्सेस की जा सकती हैं।

वर्कअराउंड भी जटिल नहीं था। लास्टपास ऑथेंटिकेटर ऐप की सेटिंग एक्टिविटी (com.lastpass.authenticator.activities) तक पहुंच कर। SettingsActivity), कोई भी ऐप के लिए सेटिंग चेक को बिना किसी चेक के दर्ज कर सकता है। वहां से, आप दबा सकते थे वापस एक बार सभी 2FA कोड एक्सेस करने के लिए।

लास्टपास ने अब दोष तय कर दिया है, लेकिन सवाल बने हुए हैं। प्रोग्रामर के अनुसार, उन्होंने लास्टपास को इस मुद्दे के बारे में सात महीने तक बताने की कोशिश की थी, लेकिन कंपनी ने कभी इसे तय नहीं किया। कितने अन्य तृतीय-पक्ष 2FA ऐप असुरक्षित हैं? और डेवलपर्स को कितनी अपरिचित कमजोरियां हैं, लेकिन देरी से पैचिंग के बारे में पता है? इसके सामने आते ही चिंताएं भी हैं फेसबुक पर अपने कोड जनरेटर तक पहुंच खोना फेसबुक में कैसे लॉग इन करें यदि आप कोड जनरेटर तक पहुंच खो चुके हैंफेसबुक के कोड जनरेटर तक पहुंच खो दी? यह लेख आपके फेसबुक अकाउंट में लॉग इन करने के लिए वैकल्पिक तरीकों को शामिल करता है। अधिक पढ़ें उदाहरण के लिए।

इसके बजाय क्या करें: U2F कीज़ का उपयोग करें

अपने कोड के लिए एसएमएस और 2FA पर निर्भर रहने के बजाय, आपको उपयोग करना चाहिए यूनिवर्सल 2 फैक्टर कुंजी क्या U2F कुंजी हैं और वे कहाँ समर्थित हैं?U2F कुंजियाँ आपके खातों को सुरक्षित और सुरक्षित रखने के सर्वोत्तम तरीकों में से एक हैं। लेकिन U2F कुंजी कहां समर्थित हैं? अधिक पढ़ें (U2F)। वे कोड बनाने और आपकी सेवाओं तक पहुंचने का सबसे सुरक्षित तरीका हैं।

व्यापक रूप से 2FA की दूसरी पीढ़ी का संस्करण माना जाता है, यह वर्तमान प्रोटोकॉल को सरल और मजबूत करता है। इसके अतिरिक्त, U2F कुंजी का उपयोग करना लगभग उतना ही सुविधाजनक है जितना कि एक एसएमएस संदेश या थर्ड-पार्टी ऐप खोलना।

U2F कुंजियाँ एक NFC या USB कनेक्शन का उपयोग करती हैं। जब आप पहली बार अपने डिवाइस को किसी खाते से कनेक्ट करते हैं, तो यह "नॉनस" नामक एक यादृच्छिक संख्या उत्पन्न करेगा। एक अद्वितीय कोड बनाने के लिए साइट के डोमेन नाम के साथ नॉन हैशेड है।

इसके बाद, आप इसे अपने डिवाइस से जोड़कर और इसे पहचानने के लिए सेवा की प्रतीक्षा करके अपनी U2F कुंजी को तैनात कर सकते हैं।

तो, नकारात्मक पक्ष क्या है? खैर, भले ही U2F एक खुला मानक है, फिर भी एक भौतिक U2F कुंजी खरीदने के लिए पैसे खर्च होते हैं। और शायद इससे अधिक, आप चोरी से जोखिम में हैं।

एक चुराया गया U2F कुंजी आपके खाते को स्वचालित रूप से असुरक्षित नहीं बनाता है; एक हैकर को अब भी आपका पासवर्ड जानना होगा। लेकिन एक सार्वजनिक क्षेत्र में, एक चोर ने पहले से ही आपको अपना पासवर्ड दर्ज करने के लिए दूर से अपना पासवर्ड दर्ज करते देखा होगा।

यू 2 एफ कीज काफी महंगी हो सकती हैं

निर्माताओं के बीच कीमतें काफी भिन्न होती हैं, लेकिन आप लगभग $ 15 और $ 50 के बीच भुगतान करने की उम्मीद कर सकते हैं।

आदर्श रूप से, आप एक मॉडल खरीदना चाहते हैं जो "FIDO प्रमाणित" हो। प्रमाणीकरण तकनीक के बीच अंतर को प्राप्त करने के लिए FIDO (फास्ट IDentity ऑनलाइन) एलायंस जिम्मेदार है। सदस्यों में Google और Microsoft से लेकर बैंक ऑफ़ अमेरिका और मास्टरकार्ड तक सभी शामिल हैं।

FIDO डिवाइस खरीदने से, आप सुनिश्चित कर सकते हैं कि आप U2F कुंजी उन सभी सेवाओं के साथ काम करेंगे जो आप हर दिन उपयोग करते हैं। यदि आप एक खरीदना चाहते हैं तो DIGIPASS SecureClick U2F कुंजी देखें।

असुरक्षित 2FA अब भी 2FA से बेहतर है

संक्षेप में, यूनिवर्सल 2 फैक्टर कुंजियां आसानी से उपयोग और सुरक्षा के बीच एक खुश माध्यम प्रदान करती हैं। एसएमएस सबसे कम सुरक्षित तरीका है, लेकिन यह सबसे सुविधाजनक भी है।

और याद रखें, कोई भी 2FA, 2FA से बेहतर है। हां, कुछ एप्लिकेशन में लॉग करने में आपको अतिरिक्त 10 सेकंड लग सकते हैं, लेकिन यह आपकी सुरक्षा का त्याग करने से बेहतर है।