आप जैसे पाठक MUO का समर्थन करने में मदद करते हैं। जब आप हमारी साइट पर लिंक का उपयोग करके खरीदारी करते हैं, तो हम संबद्ध कमीशन अर्जित कर सकते हैं। और पढ़ें।

मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) को लागू करना आपके ऑनलाइन खातों की सुरक्षा को मजबूत करने की एक उत्कृष्ट रणनीति है, लेकिन परिष्कृत फ़िशिंग हमले एमएफए को बायपास कर सकते हैं। इसलिए आधुनिक फ़िशिंग अभियानों से लड़ने के लिए एक मज़बूत फ़िशिंग-प्रतिरोधी MFA विधि अपनाने पर विचार करें।

फ़िशिंग हमलों के लिए पारंपरिक एमएफए कैसे अतिसंवेदनशील है? फ़िशिंग-प्रतिरोधी MFA समाधान क्या है, और यह फ़िशिंग हमलों को कैसे रोक सकता है?

बहु-कारक प्रमाणीकरण क्या है?

जैसा कि शब्द बताता है, बहु-कारक प्रमाणीकरण के लिए आवश्यक है कि आप अपने खातों तक पहुँचने के लिए दो या अधिक सत्यापन कारक प्रस्तुत करें।

जब आप लॉग इन करने का प्रयास कर रहे हों तो प्रमाणीकरण प्रक्रिया में एक कारक आपकी पहचान सत्यापित करने का माध्यम है।

सबसे आम कारक हैं:

  • कुछ आप जानते हैं: एक पासवर्ड या एक पिन जो आपको याद है
  • आपके पास कुछ है: एक सुरक्षित यूएसबी कुंजी या आपके पास एक स्मार्टफोन
  • कुछ तुम हो: आपकी चेहरे की पहचान या फिंगरप्रिंट
instagram viewer

बहु-कारक प्रमाणीकरण आपके खातों में सुरक्षा की अतिरिक्त परतें जोड़ता है। यह आपके लॉकर में दूसरा या तीसरा ताला जोड़ने जैसा है।

एक विशिष्ट बहु-कारक प्रमाणीकरण प्रक्रिया में, आप पहले अपना पासवर्ड या पिन दर्ज करेंगे। उसके बाद, आप अपने स्मार्टफ़ोन पर दूसरा कारक प्राप्त कर सकते हैं। यह दूसरा कारक एक प्रमाणक ऐप पर एक एसएमएस या अधिसूचना हो सकता है। आपकी एमएफए सेटिंग्स के आधार पर, आपको बायोमेट्रिक्स के माध्यम से अपनी पहचान सत्यापित करने की आवश्यकता हो सकती है।

वहाँ हैं बहु-कारक प्रमाणीकरण का उपयोग करने के कई कारण, लेकिन क्या फ़िशिंग का पूरी तरह से विरोध कर सकते हैं?

दुर्भाग्य से, जवाब नहीं है।"

बहु-कारक प्रमाणीकरण के लिए साइबर खतरे

हालांकि एमएफए विधियां एकल-कारक प्रमाणीकरण विधियों की तुलना में अधिक सुरक्षित हैं, लेकिन खतरे के कारक विभिन्न तकनीकों का उपयोग करके उनका फायदा उठा सकते हैं।

यहां बताया गया है कि कैसे हैकर्स एमएफए को बायपास कर सकते हैं।

ब्रूट-फोर्स अटैक

यदि हैकर्स के पास आपका लॉगिन क्रेडेंशियल है और आपने दूसरे कारक के रूप में उपयोग करने के लिए 4 अंकों का पिन सेट किया है, वे मल्टी-फैक्टर को बायपास करने के लिए सुरक्षा पिन का अनुमान लगाने के लिए क्रूर बल के हमले कर सकते हैं प्रमाणीकरण।

सिम हैकिंग

इन दिनों, खतरे वाले अभिनेता सिम स्वैपिंग, सिम क्लोनिंग और सिम जैकिंग जैसी तकनीकों का उपयोग करते हैं अपना सिम कार्ड हैक करें. और एक बार जब उनका आपके सिम पर नियंत्रण हो जाता है, तो वे आपके एमएफए तंत्र से समझौता करते हुए एसएमएस-आधारित दूसरे कारक को आसानी से रोक सकते हैं।

एमएफए थकान हमलों

एक में एमएफए थकान हमला, एक हैकर आप पर तब तक पुश नोटिफिकेशन की बौछार करता रहता है जब तक आप हार नहीं मान लेते। एक बार जब आप साइन-इन अनुरोध को स्वीकार कर लेते हैं, तो हैकर आपके खाते तक पहुंच सकता है।

मध्य हमलों में विरोधी

हैकर्स लॉगिन क्रेडेंशियल और दूसरे कारक टोकन दोनों को इंटरसेप्ट करने के लिए एविलगिनक्स जैसे एआईटीएम फ्रेमवर्क का उपयोग कर सकते हैं। फिर वे आपके खाते में लॉग इन कर सकते हैं और कोई भी बुरा काम कर सकते हैं जो उन्हें भाता है।

पास-द-कुकी हमले

एक बार जब आप बहु-कारक प्रमाणीकरण प्रक्रिया पूरी कर लेते हैं, तो एक ब्राउज़र कुकी बनाई जाती है और आपके सत्र के लिए रखी जाती है। हैकर्स इस कुकी को निकाल सकते हैं और एक अलग सिस्टम पर दूसरे ब्राउज़र में सत्र शुरू करने के लिए इसका इस्तेमाल कर सकते हैं।

फ़िशिंग

फ़िशिंग, सबसे अधिक में से एक सामान्य सामाजिक इंजीनियरिंग रणनीति, अक्सर दूसरे कारक तक पहुँचने के लिए नियोजित किया जाता है जब खतरे वाले अभिनेता के पास पहले से ही आपका उपयोगकर्ता नाम और पासवर्ड होता है।

उदाहरण के लिए, आप सॉफ़्टवेयर-एज़-ए-सर्विस (सास) विक्रेता का उपयोग करते हैं, और आपके लॉगिन क्रेडेंशियल्स से समझौता किया जाता है। सत्यापन के लिए दूसरे कारक का अनुरोध करने के लिए एक हैकर आपको अपने सास विक्रेता के रूप में कॉल (या ईमेल) करेगा। सत्यापन कोड साझा करने के बाद, हैकर आपके खाते तक पहुंच सकता है। और वे आपके और आपके विक्रेता को प्रभावित करने वाले डेटा को चुरा या एन्क्रिप्ट कर सकते हैं।

इन दिनों, हैकर्स काम करते हैं उन्नत फ़िशिंग तकनीक. इसलिए फिशिंग हमलों से सावधान रहें।

फ़िशिंग-प्रतिरोधी MFA क्या है?

फ़िशिंग-प्रतिरोधी MFA फ़िशिंग हमलों, क्रेडेंशियल स्टफिंग हमलों, मैन-इन-द-मिडल हमलों और अन्य सहित सभी प्रकार की सामाजिक इंजीनियरिंग के लिए अतिसंवेदनशील नहीं है।

चूँकि मानव सामाजिक इंजीनियरिंग हमलों के केंद्र में हैं, फ़िशिंग-प्रतिरोधी MFA मानव तत्व को प्रमाणीकरण प्रक्रिया से हटा देता है।

एक फ़िशिंग-प्रतिरोधी MFA तंत्र माने जाने के लिए, प्रमाणीकरणकर्ता को क्रिप्टोग्राफ़िक रूप से डोमेन के लिए बाध्य होना चाहिए। और इसे हैकर द्वारा बनाए गए नकली डोमेन को पहचानना चाहिए।

फ़िशिंग-प्रतिरोधी MFA तकनीक निम्न प्रकार से काम करती है।

मजबूत बंधन बनाएँ

अपने प्रमाणीकरणकर्ता को पंजीकृत करने के अलावा, आप एक क्रिप्टोग्राफ़िक पंजीकरण पूरा करेंगे, पहचान प्रमाण सहित, आपके प्रमाणीकरणकर्ता और पहचान के बीच एक मजबूत बंधन बनाने के लिए प्रदाता (आईडीपी)। यह आपके प्रमाणीकरणकर्ता को नकली वेबसाइटों की पहचान करने में सक्षम करेगा।

असममित क्रिप्टोग्राफी का प्रयोग करें

असममित क्रिप्टोग्राफी (सार्वजनिक-कुंजी क्रिप्टोग्राफी) पर आधारित दो पक्षों का एक ठोस बंधन पासवर्ड जैसे साझा रहस्यों की आवश्यकता को समाप्त करता है।

सत्र शुरू करने के लिए, दोनों कुंजियों (सार्वजनिक कुंजी और निजी कुंजी) की आवश्यकता होगी। हैकर्स लॉग इन करने के लिए प्रमाणित नहीं कर सकते क्योंकि निजी चाबियां हार्डवेयर सुरक्षा कुंजियों में सुरक्षित रूप से संग्रहीत की जाएंगी।

केवल मान्य प्रमाणीकरण अनुरोधों का जवाब दें

फ़िशिंग-प्रतिरोधी MFA केवल मान्य अनुरोधों का जवाब देता है। वैध अनुरोधों का प्रतिरूपण करने वाले सभी प्रयासों को विफल कर दिया जाएगा।

आशय सत्यापित करें

फ़िशिंग-प्रतिरोधी एमएफए प्रमाणीकरण को उपयोगकर्ता को साइन-इन अनुरोध को प्रमाणित करने के लिए उपयोगकर्ता की सक्रिय भागीदारी को इंगित करने वाली कार्रवाई करने के लिए संकेत देकर उपयोगकर्ता के इरादे को सत्यापित करना चाहिए।

आपको फ़िशिंग-प्रतिरोधी MFA क्यों लागू करना चाहिए

फ़िशिंग-प्रतिरोधी MFA अपनाने से अनेक लाभ मिलते हैं। यह मानवीय तत्व को समीकरण से हटा देता है। चूंकि सिस्टम स्वचालित रूप से एक नकली वेबसाइट या एक अनधिकृत प्रमाणीकरण अनुरोध का पता लगा सकता है, यह सभी प्रकार के फ़िशिंग हमलों को रोक सकता है जो उपयोगकर्ताओं को लॉगिन क्रेडेंशियल देने के लिए बरगलाने के उद्देश्य से होते हैं। नतीजतन, फ़िशिंग-प्रतिरोधी एमएफए आपकी कंपनी में डेटा उल्लंघनों को रोक सकता है।

क्या अधिक है, एक अच्छा फ़िशिंग-प्रतिरोधी MFA, नवीनतम FIDO2 प्रमाणीकरण विधि की तरह, उपयोगकर्ता अनुभव को बेहतर बनाता है। ऐसा इसलिए है क्योंकि आप अपने खातों तक पहुंचने के लिए बायोमेट्रिक्स या आसानी से लागू होने वाली सुरक्षा कुंजियों का उपयोग कर सकते हैं।

अंतिम लेकिन कम नहीं, फ़िशिंग-प्रतिरोधी एमएफए आपके खातों और उपकरणों की सुरक्षा को बढ़ाता है, जिससे सुधार होता है साइबर सुरक्षा चारागाह आपकी संगति में।

यूएस ऑफिस ऑफ मैनेजमेंट एंड बजट (ओएमबी) ने जारी किया संघीय शून्य विश्वास रणनीति दस्तावेज़, जिसके लिए संघीय एजेंसियों को 2024 के अंत तक केवल फ़िशिंग-प्रतिरोधी MFA का उपयोग करने की आवश्यकता है।

तो आप समझ सकते हैं कि फ़िशिंग-प्रतिरोधी MFA साइबर सुरक्षा के लिए महत्वपूर्ण है।

फ़िशिंग-प्रतिरोधी MFA कैसे लागू करें

के अनुसार सुरक्षित पहचान रिपोर्ट की स्थिति Okta की Auth0 टीम द्वारा तैयार किया गया, MFA बायपास हमले बढ़ रहे हैं।

चूंकि फ़िशिंग पहचान-आधारित हमलों में अग्रणी आक्रमण वेक्टर है, फ़िशिंग-प्रतिरोधी बहु-कारक प्रमाणीकरण लागू करने से आपको अपने खातों को सुरक्षित करने में मदद मिल सकती है।

FIDO2/WebAuthn प्रमाणीकरण एक व्यापक रूप से उपयोग की जाने वाली फ़िशिंग-प्रतिरोधी प्रमाणीकरण विधि है। यह आपको मोबाइल और डेस्कटॉप वातावरण में प्रमाणित करने के लिए सामान्य उपकरणों का उपयोग करने की अनुमति देता है।

FIDO2 प्रमाणीकरण प्रत्येक वेबसाइट के लिए अद्वितीय क्रिप्टोग्राफ़िक लॉगिन क्रेडेंशियल्स के माध्यम से मजबूत सुरक्षा प्रदान करता है। और लॉगिन क्रेडेंशियल आपके डिवाइस को कभी नहीं छोड़ते हैं।

क्या अधिक है, आप क्रिप्टोग्राफ़िक लॉगिन क्रेडेंशियल्स को अनवरोधित करने के लिए फ़िंगरप्रिंट रीडर जैसी अपने डिवाइस की अंतर्निहित सुविधाओं का उपयोग कर सकते हैं।

तुम कर सकते हो FIDO2 उत्पादों की जाँच करें फ़िशिंग-प्रतिरोधी MFA लागू करने के लिए सही उत्पाद का चयन करना।

फ़िशिंग-प्रतिरोधी MFA को लागू करने का दूसरा तरीका सार्वजनिक कुंजी अवसंरचना (PKI) आधारित समाधानों का उपयोग करना है। PIV स्मार्ट कार्ड, क्रेडिट कार्ड और ई-पासपोर्ट इस PKI-आधारित तकनीक का उपयोग करते हैं।

फ़िशिंग-प्रतिरोधी MFA भविष्य है

फ़िशिंग हमले बढ़ रहे हैं, और केवल पारंपरिक बहु-कारक प्रमाणीकरण विधियों को लागू करना परिष्कृत फ़िशिंग अभियानों से सुरक्षा प्रदान नहीं करता है। इसलिए हैकर्स को आपके खातों पर कब्जा करने से रोकने के लिए फ़िशिंग-प्रतिरोधी MFA लागू करें।