मल्टी-फैक्टर ऑथेंटिकेशन (MFA) नेटवर्क एक्सेस करने से पहले उपयोगकर्ताओं को एक से अधिक तरीकों से अपनी पहचान साबित करने की आवश्यकता के द्वारा साइबर सुरक्षा में बार उठाता है। हैकर्स फ़िशिंग या पहचान की चोरी के माध्यम से, सीखे हुए उपयोगकर्ता नाम और पासवर्ड प्रदान करने की एकल प्रमाणीकरण प्रक्रिया को बायपास कर सकते हैं। एक दूसरी सत्यापन विधि, उपयोगकर्ता की पुष्टि करने का एक आसान तरीका है, वास्तविक है।
हालाँकि मल्टी-फैक्टर ऑथेंटिकेशन एक्सेस के मामले में सुरक्षा को कड़ा करता है, लेकिन इसमें कुछ कमजोरियाँ हैं जिनका साइबर अपराधी भी फायदा उठा सकते हैं। तो, ये कमजोरियाँ क्या हैं और आप उन्हें कैसे रोक सकते हैं?
1. सिम स्वैप अटैक
एक सिम स्वैप हमले में, एक घुसपैठिया आपका प्रतिरूपण करता है और आपके नेटवर्क प्रदाताओं से आपके फोन नंबर को उनके कब्जे में एक अलग सिम पर स्थानांतरित करने के लिए कहता है। वे मूल नंबर खोने और नए में पोर्ट करने की इच्छा के बारे में एक झूठी कहानी बताते हैं।
जब आपका नेटवर्क प्रदाता पोर्ट आरंभ करता है, तो हमलावर को आपके सभी संदेश और सूचनाएं प्राप्त होने लगेंगी। वे आपके खाते में लॉग इन करने का प्रयास करेंगे और सिस्टम द्वारा उनके नंबर पर भेजे गए प्रमाणीकरण कोड को दर्ज करेंगे।
आप अपने नेटवर्क प्रदाता को अपने खाते पर एक पोर्ट ब्लॉक बनाने के लिए कहकर एक सिम स्वैप हमले को रोक सकते हैं ताकि कोई भी आपके नंबर के साथ ऐसा करने में सक्षम न हो, खासकर फोन पर। आप एसएमएस के अलावा एक और प्रमाणीकरण माध्यम भी जोड़ सकते हैं। एक डिवाइस-आधारित प्रमाणीकरण जहां सिस्टम एक विशिष्ट मोबाइल डिवाइस को कोड भेजता है जिसे आप अपने खाते से कनेक्ट करते हैं, पर्याप्त होगा।
2. चैनल अपहरण
चैनल हाइजैकिंग एक ऐसी प्रक्रिया है जहां एक हैकर आपके चैनल जैसे कि आपके सेल फोन, एप्लिकेशन, या ब्राउज़र को मैलवेयर से संक्रमित करके जबरदस्ती अपने कब्जे में ले लेता है। हमलावर इस्तेमाल कर सकता है एक मैन-इन-द-मिडिल (MitM) हैकिंग तकनीक आपके संचार पर ध्यान देने के लिए और उस चैनल पर आपके द्वारा प्रसारित सभी सूचनाओं को पुनः प्राप्त करने के लिए।
अगर आप अपना MFA प्रमाणीकरण सेट करें एक चैनल पर, एक बार एक खतरा अभिनेता इसे स्वीकार कर लेता है, वे चैनल को प्राप्त एमएफए कोड का उपयोग और उपयोग कर सकते हैं।
आप वर्चुअल का उपयोग करके चैनल अपहरण के साथ अपने एमएफए का शोषण करने वाले साइबर अपराधियों की संभावनाओं को सीमित कर सकते हैं निजी नेटवर्क (वीपीएन) आपके आईपी पते को अदृश्य बनाने के लिए, और आपके ब्राउज़िंग को अधिक सुरक्षित HTTPS तक सीमित करता है वेबसाइटों।
3. ओटीपी-आधारित हमले
वन-टाइम पासवर्ड (OTP) एक कोड है जो एक सिस्टम स्वचालित रूप से उत्पन्न करता है और एक उपयोगकर्ता को अपनी पहचान सत्यापित करने के लिए एक एप्लिकेशन में लॉग इन करने का प्रयास करता है। एक एंटी-हैकिंग उपाय, एक साइबर हमलावर जो ओटीपी प्रदान करने में असमर्थ है, उक्त नेटवर्क में लॉग इन नहीं कर सकता है।
एक साइबर खतरा अभिनेता ओटीपी वाले माध्यम को हाईजैक करने का सहारा लेता है ताकि वे इसे एक्सेस कर सकें। सेल डिवाइस आमतौर पर ओटीपी के प्राप्तकर्ता होते हैं। एमएफए में ओटीपी आधारित कमजोरियों को रोकने के लिए, मोबाइल थ्रेट डिफेंस (MTD) सिस्टम लागू करें कोड को उजागर करने वाले खतरे वाले वैक्टर की पहचान करने और उन्हें दूर करने के लिए।
4. रीयल-टाइम फ़िशिंग हमले
फ़िशिंग बिना सोचे-समझे पीड़ितों को अपने लॉगिन क्रेडेंशियल देने के लिए लुभाने की प्रक्रिया है। साइबर अपराधी प्रॉक्सी सर्वर के माध्यम से एमएफए को बायपास करने के लिए फिशिंग हमलों का इस्तेमाल करते हैं। वे मूल सर्वरों की प्रतिकृतियां हैं।
इन प्रॉक्सी सर्वरों के लिए उपयोगकर्ताओं को वैध सर्वरों पर प्राप्य एमएफए विधि के माध्यम से अपनी पहचान सत्यापित करने की आवश्यकता होती है। जैसे ही उपयोगकर्ता जानकारी प्रदान करता है, हमलावर इसे तुरंत वैध वेबसाइट पर उपयोग करता है, अर्थात जानकारी अभी भी मान्य है।
5. रिकवरी अटैक
रिकवरी अटैकर्स उस स्थिति को संदर्भित करते हैं जहां एक हैकर आपके लॉगिन क्रेडेंशियल्स को भूल जाने और एक्सेस प्राप्त करने के लिए उन्हें पुनर्प्राप्त करने का प्रयास करने का लाभ उठाता है। जब आप वैकल्पिक माध्यमों से पुनर्प्राप्ति प्रक्रिया से गुजरने के लिए एक कार्रवाई शुरू करते हैं, तो वे उस जानकारी तक पहुँचने के लिए उन साधनों से समझौता करते हैं।
पुनर्प्राप्ति प्रयासों को रोकने का एक प्रभावी तरीका अपने पासवर्ड संग्रहीत करने के लिए पासवर्ड प्रबंधकों का उपयोग करना है, ताकि आप उन्हें भूल न जाएं और पुनर्प्राप्ति विकल्पों का सहारा लें।
बढ़ी हुई सुरक्षा के लिए मल्टी-फैक्टर ऑथेंटिकेशन में विविधता लाएं
मल्टी-फैक्टर ऑथेंटिकेशन में कमजोरियों का खतरा हो सकता है, लेकिन यह अभी भी आपके खातों के एक्सेस पॉइंट को मजबूत करता है। यदि आपने एमएफए सक्षम किया है तो घुसपैठिए केवल आपके आवेदन पर मूल एकल उपयोगकर्ता नाम और पासवर्ड प्रमाणीकरण को दरकिनार कर प्रवेश नहीं कर सकते हैं।
अधिक सुरक्षित प्रणाली के लिए, विभिन्न उपकरणों और प्रणालियों पर प्रमाणीकरण की कई परतें लागू करें। यदि हमलावर किसी विशेष उपकरण का अपहरण कर लेते हैं, तो उन्हें पूर्ण MFA प्रमाणीकरण को बायपास करने के लिए अन्य उपकरणों को भी नियंत्रित करने की आवश्यकता होगी।
