जब दो-कारक प्रमाणीकरण पहली बार पेश किया गया था, तो इसने डिवाइस सुरक्षा में क्रांति ला दी और पहचान की चोरी को और अधिक कठिन बनाने में मदद की - लॉगिन में मामूली असुविधा की मामूली कीमत पर।
अंतर्वस्तु
- दो-कारक प्रमाणीकरण वास्तव में क्या है?
- यह काफी सुरक्षित लगता है. समस्या क्या है?
- क्या मुझे दो-कारक प्रमाणीकरण का उपयोग जारी रखना चाहिए?
- दो-कारक प्रमाणीकरण को कैसे बेहतर बनाया जा सकता है?
लेकिन यह सही नहीं है, न ही इसने हमारी सभी हैकिंग और डेटा चोरी की समस्याओं का समाधान किया है। कुछ हालिया समाचारों ने इस बात के लिए अधिक संदर्भ प्रदान किया है कि कैसे हैकर्स दो-कारक प्रमाणीकरण को दरकिनार कर रहे हैं और इसमें हमारा कुछ भरोसा कम कर रहे हैं।
दो-कारक प्रमाणीकरण वास्तव में क्या है?
दो-कारक प्रमाणीकरण उपकरणों और सेवाओं के लिए लॉगिन प्रक्रिया में सुरक्षा की एक अतिरिक्त परत जोड़ता है। पहले, लॉगिन में प्रमाणीकरण के लिए एक ही कारक होता था - आम तौर पर, एक पासवर्ड, या फिंगरप्रिंट स्कैन या फेस आईडी जैसा बायोमेट्रिक लॉगिन, कभी-कभी सुरक्षा प्रश्नों के साथ। इसने कुछ सुरक्षा प्रदान की, लेकिन यह एकदम सही नहीं था, खासकर कमजोर पासवर्ड या ऑटोफिल्ड पासवर्ड के साथ (या यदि लॉगिन डेटाबेस हैक हो गया है और वह जानकारी डार्क वेब पर दिखाई देने लगती है)।
संबंधित
- यही कारण है कि लोग एंट्री-लेवल एम2 प्रो मैकबुक प्रो से बचने के लिए कह रहे हैं
- ट्विटर के एसएमएस टू-फैक्टर प्रमाणीकरण में समस्या आ रही है। यहां तरीकों को बदलने का तरीका बताया गया है
- नई रिपोर्ट से पता चलता है कि पासवर्ड कठिन हैं और लोग आलसी हैं
दो-कारक प्रमाणीकरण एक दूसरे कारक को जोड़कर इन समस्याओं का समाधान करता है, एक और चीज जो व्यक्ति को यह गारंटी देने के लिए करनी होती है कि यह वास्तव में वे ही हैं और उनके पास पहुंच का अधिकार है। आमतौर पर, इसका मतलब है कि किसी अन्य चैनल के माध्यम से एक कोड भेजा जाना, जैसे सेवा से एक टेक्स्ट संदेश या ईमेल प्राप्त करना, जिसे आपको इनपुट करना होगा।
कुछ समय-संवेदनशील कोड (टीओटीपी, टाइम-आधारित वन टाइम पासवर्ड) का उपयोग करते हैं, और कुछ विशिष्ट डिवाइस (एचओटीपी, एचएमएसी-आधारित वन टाइम पासवर्ड) से जुड़े अद्वितीय कोड का उपयोग करते हैं। कुछ व्यावसायिक संस्करण अतिरिक्त भौतिक कुंजियों का भी उपयोग कर सकते हैं जिनकी आपके पास आवश्यकता होती है।
अनुशंसित वीडियो
सुरक्षा सुविधा इतनी आम हो गई है कि आप शायद इस तरह के संदेश देखने के आदी हो गए हैं, "हमने आपको दर्ज करने के लिए एक सुरक्षित कोड के साथ एक ईमेल भेजा है, कृपया जांचें" यदि आपको यह प्राप्त नहीं हुआ है तो आपका स्पैम फ़िल्टर।" यह नए उपकरणों के लिए सबसे आम है, और हालांकि इसमें थोड़ा समय लगता है, यह एक-कारक की तुलना में सुरक्षा में भारी उछाल है तरीके. लेकिन कुछ खामियां हैं.
यह काफी सुरक्षित लगता है. समस्या क्या है?
हाल ही में साइबर सुरक्षा कंपनी सोफोस की एक रिपोर्ट सामने आई जिसमें एक आश्चर्यजनक नए तरीके का विवरण दिया गया है हैकर्स दो-कारक प्रमाणीकरण को छोड़ रहे हैं: कुकीज़। बुरे अभिनेता "कुकी चोरी" कर रहे हैं, जो उन्हें वस्तुतः किसी भी प्रकार के ब्राउज़र, वेब सेवा, ईमेल खाते या यहां तक कि फ़ाइल तक पहुंच प्रदान करता है।
इन साइबर अपराधियों को ये कुकीज़ कैसे मिलती हैं? खैर, सोफोस नोट करता है कि इमोटेट बॉटनेट मैलवेयर का एक ऐसा कुकी-चोरी करने वाला टुकड़ा है जो Google Chrome ब्राउज़र में डेटा को लक्षित करता है। लोग चोरी की गई कुकीज़ को भूमिगत बाज़ारों के माध्यम से भी खरीद सकते हैं, जो हाल के ईए मामले में प्रसिद्ध हुआ था जहां लॉगिन विवरण जेनेसिस नामक बाज़ार पर समाप्त हो गए थे। नतीजा यह हुआ कि 780 गीगाबाइट डेटा चोरी हो गया जिसका इस्तेमाल कंपनी से जबरन वसूली करने के लिए किया गया।
हालांकि यह एक हाई-प्रोफाइल मामला है, अंतर्निहित विधि वहां मौजूद है, और यह दर्शाता है कि दो-कारक प्रमाणीकरण एक चांदी की गोली से बहुत दूर है। केवल कुकी चोरी के अलावा, कई अन्य मुद्दे भी हैं जिनकी पहचान पिछले कुछ वर्षों में की गई है:
- अगर किसी हैकर के पास है किसी सेवा के लिए आपका उपयोगकर्ता नाम या पासवर्ड प्राप्त कर लिया, उनके पास आपके ईमेल (खासकर यदि आप एक ही पासवर्ड का उपयोग करते हैं) या फ़ोन नंबर तक पहुंच हो सकती है। यह एसएमएस/टेक्स्ट-आधारित दो-कारक प्रमाणीकरण के लिए विशेष रूप से समस्याग्रस्त है, क्योंकि फोन नंबर ढूंढना आसान है और इसका उपयोग आपके फोन को कॉपी करने (अन्य युक्तियों के बीच) और टेक्स्ट कोड प्राप्त करने के लिए किया जा सकता है। इसमें अधिक काम लगता है, लेकिन एक दृढ़ निश्चयी हैकर के पास अभी भी आगे बढ़ने का स्पष्ट रास्ता है।
- दो-कारक प्रमाणीकरण के लिए अलग-अलग ऐप्स, जैसे Google Auth या Duo, कहीं अधिक सुरक्षित हैं, लेकिन अपनाने की दर बहुत कम है। लोग केवल एक सेवा के लिए सुरक्षा उद्देश्यों के लिए कोई अन्य ऐप डाउनलोड नहीं करना चाहते हैं, और संगठनों को केवल "ईमेल या टेक्स्ट?" पूछना बहुत आसान लगता है। ग्राहकों को डाउनलोड करने की आवश्यकता के बजाय तृतीय-पक्ष ऐप. दूसरे शब्दों में, सर्वोत्तम प्रकार के दो-कारक प्रमाणीकरण का वास्तव में उपयोग नहीं किया जा रहा है।
- कभी-कभी पासवर्ड रीसेट करना बहुत आसान होता है। पहचान चोर ग्राहक सेवा को कॉल करने या नए पासवर्ड का अनुरोध करने के अन्य तरीके खोजने के लिए किसी खाते के बारे में पर्याप्त जानकारी एकत्र कर सकते हैं। यह अक्सर शामिल किसी भी दो-कारक प्रमाणीकरण को दरकिनार कर देता है और, जब यह काम करता है, तो यह चोरों को खाते तक सीधे पहुंच की अनुमति देता है।
- दो-कारक प्रमाणीकरण के कमजोर रूप राष्ट्र-राज्यों के खिलाफ बहुत कम सुरक्षा प्रदान करते हैं। सरकारों के पास ऐसे उपकरण हैं जो आसानी से दो-कारक प्रमाणीकरण का मुकाबला कर सकते हैं, जिसमें एसएमएस संदेशों की निगरानी करना, वायरलेस कैरियर को मजबूर करना, या अन्य तरीकों से प्रमाणीकरण कोड को रोकना शामिल है। यह उन लोगों के लिए अच्छी खबर नहीं है जो अधिक अधिनायकवादी शासन से अपने डेटा को निजी रखने के तरीके चाहते हैं।
- कई डेटा चोरी योजनाएं मनुष्यों को मूर्ख बनाने पर ध्यान केंद्रित करके पूरी तरह से दो-कारक प्रमाणीकरण को दरकिनार कर देती हैं। बस देखो सभी फ़िशिंग प्रयास जो बैंकों से होने का दिखावा करते हैं, सरकारी एजेंसियां, इंटरनेट प्रदाता आदि, महत्वपूर्ण खाता जानकारी मांग रहे हैं। ये फ़िशिंग संदेश बहुत वास्तविक लग सकते हैं, और इनमें कुछ ऐसा शामिल हो सकता है, "हमें आपकी ज़रूरत है।" हमारी ओर से प्रमाणीकरण कोड ताकि हम यह भी पुष्टि कर सकें कि आप खाताधारक हैं," या अन्य तरकीबें कोड प्राप्त करें.
क्या मुझे दो-कारक प्रमाणीकरण का उपयोग जारी रखना चाहिए?
बिल्कुल। वास्तव में, आपको अपनी सेवाओं और उपकरणों की जांच करनी चाहिए और जहां यह उपलब्ध है, वहां दो-कारक प्रमाणीकरण सक्षम करना चाहिए। यह साधारण उपयोगकर्ता नाम और पासवर्ड की तुलना में पहचान की चोरी जैसी समस्याओं के खिलाफ काफी बेहतर सुरक्षा प्रदान करता है।
यहां तक कि एसएमएस-आधारित दो-कारक प्रमाणीकरण भी किसी भी प्रमाणीकरण से कहीं बेहतर है। दरअसल, राष्ट्रीय मानक और प्रौद्योगिकी संस्थान ने एक बार दो-कारक प्रमाणीकरण में एसएमएस का उपयोग न करने की सिफारिश की थी, लेकिन फिर अगले साल इसे वापस ले लिया गया क्योंकि, खामियों के बावजूद, यह अभी भी रखने लायक था।
जब संभव हो, एक प्रमाणीकरण विधि चुनें जो टेक्स्ट संदेशों से जुड़ी न हो, और आपके पास बेहतर सुरक्षा होगी। इसके अलावा, अपने पासवर्ड भी मजबूत रखें उन्हें उत्पन्न करने के लिए पासवर्ड मैनेजर का उपयोग करें यदि आप कर सकते हैं तो लॉगिन के लिए।
दो-कारक प्रमाणीकरण को कैसे बेहतर बनाया जा सकता है?
एसएमएस-आधारित प्रमाणीकरण से दूर जाना वर्तमान की बड़ी परियोजना है। यह संभव है कि दो-कारक प्रमाणीकरण मुट्ठी भर में परिवर्तित हो जाएगा डुओ जैसे तृतीय-पक्ष ऐप्स, जो प्रक्रिया से जुड़ी कई कमजोरियों को दूर करता है। और अधिक उच्च जोखिम वाले क्षेत्र एमएफए, या बहु-कारक प्रमाणीकरण में चले जाएंगे, जो फिंगरप्रिंट या अतिरिक्त सुरक्षा प्रश्नों जैसी तीसरी आवश्यकता जोड़ता है।
लेकिन दो-कारक प्रमाणीकरण के साथ समस्याओं को दूर करने का सबसे अच्छा तरीका एक भौतिक, हार्डवेयर-आधारित पहलू पेश करना है। कंपनियों और सरकारी एजेंसियों को पहले से ही कुछ निश्चित पहुंच स्तरों के लिए इसकी आवश्यकता शुरू हो रही है। निकट भविष्य में, इस बात की पूरी संभावना है कि हम सभी के वॉलेट में अनुकूलित प्रमाणीकरण कार्ड होंगे, जो सेवाओं में लॉग इन करते समय हमारे उपकरणों पर स्वाइप करने के लिए तैयार होंगे। अब यह अजीब लग सकता है, लेकिन इसके साथ साइबर सुरक्षा हमलों में भारी वृद्धि, यह सबसे शानदार समाधान साबित हो सकता है।
संपादकों की सिफ़ारिशें
- Nvidia RTX 4060 Ti 2023 के लिए पर्याप्त क्यों नहीं है?
- हैकर रैंक विस्फोट - यहां बताया गया है कि आप अपनी सुरक्षा कैसे कर सकते हैं
- Google Chrome गुप्त मोड वैसा क्यों नहीं है जैसा वह होने का दावा करता है
- यही कारण है कि लोग कह रहे हैं कि एनवीडिया आरटीएक्स 4090 इंतजार करने लायक नहीं है
- यही कारण है कि लोग M2 के बजाय M1 मैकबुक एयर खरीदने के लिए कह रहे हैं
अपनी जीवनशैली को उन्नत करेंडिजिटल ट्रेंड्स पाठकों को सभी नवीनतम समाचारों, मजेदार उत्पाद समीक्षाओं, व्यावहारिक संपादकीय और एक तरह की अनूठी झलक के साथ तकनीक की तेज़ गति वाली दुनिया पर नज़र रखने में मदद करता है।
