लेकिन दो-कारक प्रमाणीकरण कोई बड़ी उपलब्धि नहीं है जो हैकर्स को उनके ट्रैक में रोकने में सक्षम हो। यह आपके बचाव के लिए एक उपयोगी उपाय है, लेकिन अंततः, यह हमारे द्वारा ऑनलाइन सामना किए जाने वाले सबसे बड़े खतरों के कामकाजी ज्ञान का कोई विकल्प नहीं है।
अनुशंसित वीडियो
जहां भी अवसर मिले, दो-कारक प्रमाणीकरण सक्रिय करें - लेकिन यदि आप यह नहीं समझते हैं कि यह किससे बचाव कर सकता है और क्या नहीं, तो इसकी सुरक्षा पर भरोसा करने की गलती न करें। जैसा कि 2016 में साबित हुआ, डेटा को सुरक्षित रखना जटिल है, और अति आत्मविश्वास आपको हमला करने के लिए खुला छोड़ सकता है।
संबंधित
- नई रिपोर्ट से पता चलता है कि पासवर्ड कठिन हैं और लोग आलसी हैं
- ट्विटर को अब टू-फैक्टर ऑथेंटिकेशन के लिए फोन नंबर की जरूरत नहीं है
- पासवर्ड-मुक्त लॉगिन के लिए Google अपनी स्वयं की 'टाइटन' USB सुरक्षा कुंजी प्रदान करता है
क्या आप वही हैं जो आप कहते हैं कि आप हैं?
इसके मूल में, दो-कारक प्रमाणीकरण क्रेडेंशियल्स की जाँच के बारे में है। यह दो अलग-अलग प्रकार के साक्ष्यों को सत्यापित करके यह सुनिश्चित करने का एक तरीका है कि कोई व्यक्ति वही है जिसके होने का वे दावा करते हैं। इस प्रकार की व्यवस्था वर्षों से चली आ रही है।
यदि आप कंप्यूटर सुरक्षा की बुनियादी बातें नहीं समझते हैं, तो आपको इंटरनेट पर बैंकिंग करने की अनुमति नहीं दी जानी चाहिए।
चिप-एंड-पिन क्रेडिट कार्ड भुगतान शायद सबसे सर्वव्यापी उदाहरण हैं; वे इस बात पर भरोसा करते हैं कि उपयोगकर्ता के पास एक भौतिक कार्ड है और उसे अपने पिन की जानकारी है। जबकि एक चोर संभवतः एक कार्ड चुरा सकता है और जानें पिन, दोनों को मैनेज करना आसान नहीं
एक समय था, बहुत समय पहले नहीं, जब वित्तीय लेनदेन ही एकमात्र कारण था जिसके लिए लोगों को नियमित आधार पर अपनी पहचान प्रमाणित करनी पड़ती थी। आज, जो कोई भी इंटरनेट का उपयोग करता है उसके पास कई प्रकार के खाते हैं जिन तक वह नहीं चाहेगा कि किसी और की पहुंच हो, कई कारणों से।
वित्तीय उद्योग दो-कारक प्रमाणीकरण को बहुत आसानी से लागू करने में कामयाब रहा, क्योंकि वितरित करने के लिए आवश्यक एकमात्र हार्डवेयर एक बैंक कार्ड था। रोजमर्रा की वेबसाइटों के लिए एक समान प्रणाली वितरित करना लगभग असंभव है, इसलिए अन्य माध्यमों से दो-कारक सक्षम किया गया है। और उन तरीकों की अपनी खामियां हैं।
प्रयोगकर्ता का अनुभव
2005 में पोस्ट की गई एक टिप्पणी में लिखा है, "मैं वास्तव में इस बात से परेशान हूं कि जीवन में सभी सुविधाजनक चीजें अचानक उपयोग के लिए बहुत बोझिल हो गई हैं।" Slashdot करने ऑनलाइन बैंकिंग के संबंध में दो-कारक प्रमाणीकरण के आसन्न उदय के बारे में लेख। "मुझे सच में, अपने साथ ले जाने के लिए एक कठिन टोकन रखने से बहुत नफरत होगी।"
"राजनेताओं को पता नहीं है कि वास्तविक दुनिया पर इसका क्या प्रभाव पड़ता है," उपयोगकर्ताओं को अतिरिक्त हार्डवेयर खरीदने के लिए मजबूर होने के खतरे पर अफसोस जताते हुए एक दूसरे ने सहमति व्यक्त की। एक अन्य टिप्पणीकार ने कहा, "यदि आप कंप्यूटर सुरक्षा की मूल बातें नहीं समझते हैं, तो आपको इंटरनेट पर बैंकिंग करने की अनुमति नहीं दी जानी चाहिए।"
आज, इस तरह की शिकायतें निश्चित रूप से मूर्खतापूर्ण लगती हैं, लेकिन 2005 में उपयोगकर्ताओं को किसी प्रकार के दो-कारक टोकन ले जाने की लागत और परेशानी के बारे में अधिक ध्यान दिया जाता था। जब बैंकिंग से कम महत्वपूर्ण चीज़ सुरक्षित हो तो उपयोगकर्ता की प्रतिक्रिया और भी अधिक नकारात्मक साबित हो सकती है। 2012 में, कंपनी के बाद गेम डेवलपर ब्लिज़र्ड एंटरटेनमेंट के खिलाफ एक क्लास एक्शन मुकदमा दायर किया गया था की एक रिपोर्ट के अनुसार, उपयोगकर्ताओं के Battle.net खातों की सुरक्षा के लिए डिज़ाइन किया गया एक प्रमाणक परिधीय पेश किया गया बीबीसी.
लास्ट पास
इस प्रकार के दो-कारक प्रमाणीकरण को लागू करने के प्रयास 1980 के दशक से ही चल रहे थे, जब सिक्योरिटी डायनेमिक्स टेक्नोलॉजीज किसी व्यक्ति की सकारात्मक पहचान के लिए "विधि और उपकरण" का पेटेंट कराया। 2000 के दशक तक, बुनियादी ढांचे और विनिर्माण क्षमता थी वित्तीय संस्थानों से लेकर वीडियो गेम प्रकाशकों तक के संगठनों के लिए दो-कारक के अपने स्वयं के साधनों को लागू करना प्रमाणीकरण.
दुर्भाग्य से, उपयोगकर्ताओं ने सहयोग न करने का निर्णय लिया। क्या प्रमाणीकरण का दूसरा कारक एक एलसीडी स्क्रीन जितना सरल था जो एक अद्वितीय कोड प्रदान करता था, या फिंगरप्रिंट स्कैनर जितना जटिल था, इसका विचार भौतिक हार्डवेयर का एक और टुकड़ा रखना - और संभावित रूप से प्रत्येक अलग-अलग सेवा के लिए एक जिसके लिए एक अद्वितीय लॉग-इन की आवश्यकता होती है - लोगों के लिए अरुचिकर था जनता.
ऐसे वैकल्पिक इतिहास की कल्पना करना संभव है जहां इस समस्या के कारण दो-कारक कभी सामने नहीं आए। सौभाग्य से हमारे लिए, Apple ने iPhone पेश किया, और Google ने पेश किया एंड्रॉयड. स्मार्टफ़ोन ने दुनिया भर के अरबों लोगों के हाथों में दो-कारक प्रमाणीकरण में सक्षम डिवाइस दिया है, जिससे 2005 में उपयोगकर्ताओं द्वारा की गई सुविधा संबंधी समस्या का समाधान हो गया है।
स्मार्टफ़ोन सुविधाजनक हैं, लेकिन उनके अपने जोखिम भी हैं
स्मार्टफ़ोन की सर्वव्यापी प्रकृति ने साइटों और सेवाओं को दो-कारक प्रमाणीकरण प्रक्रिया से परेशानी को दूर करने की अनुमति दी है। इस महीने की शुरुआत में डिजिटल ट्रेंड्स से बात करते हुए सुरक्षा विशेषज्ञ और हार्वर्ड के साथी ब्रूस श्नीयर ने कहा, "जो आपके सेलफोन का उपयोग करते हैं, उनका उपयोग करना बहुत आसान होता है, बहुत कम प्रभाव पड़ता है।" “क्योंकि यह कुछ ऐसा है जो आपके पास पहले से ही है। यह कोई नई चीज़ नहीं है जिसे आपको अपने साथ लेकर घूमना पड़े।”
एक ऐसे वैकल्पिक इतिहास की कल्पना करना संभव है जहां दो-कारक कभी पकड़ में नहीं आए।
कुछ परिदृश्यों में, यह दृष्टिकोण निश्चित लाभ प्रदान कर सकता है। उदाहरण के लिए, यदि आप किसी नए कंप्यूटर से किसी सेवा में लॉग इन कर रहे हैं, तो आपसे किसी विश्वसनीय डिवाइस पर भेजे गए कोड के साथ-साथ आपके मानक पासवर्ड को इनपुट करने के लिए कहा जा सकता है। यह दो-कारक प्रमाणीकरण का उपयोग करने का एक अच्छा उदाहरण है; हो सकता है कि किसी और ने आपका पासवर्ड चुरा लिया हो और उनके सिस्टम से संबंधित खाते में लॉग इन करने का प्रयास किया हो - लेकिन जब तक उन्होंने आपका फोन पहले ही चुरा नहीं लिया है, वे पहुंच प्राप्त नहीं कर पाएंगे।
हालाँकि, ऐसे खतरे हैं जिन्हें इस प्रकार की सुरक्षा आसानी से नहीं संभाल सकती। 2005 में, श्नीयर ने लिखा था कि "दो-कारक प्रमाणीकरण हमारा रक्षक नहीं है" ब्लॉग भेजा इसकी कमजोरियों पर गौर करना।
उन्होंने आगे बताया कि कैसे एक मध्य-मध्य हमला उपयोगकर्ता को यह सोचने पर मजबूर कर सकता है कि वे हैं एक वैध वेबसाइट पर, और उन्हें नकली लॉग-इन के लिए प्रमाणीकरण के दोनों रूपों की पेशकश करने के लिए मनाएं स्क्रीन। उन्होंने यह भी नोट किया कि ट्रोजन का उपयोग वैध लॉग-इन को बंद करने के लिए किया जा सकता है जो प्रमाणीकरण के दो रूपों का उपयोग करके किया गया था। एक ही डिवाइस पर सुरक्षा को केंद्रीकृत करने की समस्या भी है; अधिकांश लोग एकाधिक वेबसाइटों के लिए स्मार्टफोन-सक्षम टू-फैक्टर का उपयोग करते हैं। यदि वह फोन चोरी हो जाता है और उसके साथ छेड़छाड़ की जाती है, तो वे सभी साइटें खतरे में हैं।
ज्ञान शक्ति है
"जब आप अपने खाते में लॉग इन कर रहे हैं, तो दो-कारक बढ़िया है," श्नीयर ने कहा। “मेरा विश्वविद्यालय, हार्वर्ड, इसका उपयोग करता है, मेरी कंपनी इसका उपयोग करती है। बहुत से लोगों ने इसे अपनाया है और यह बहुत उपयोगी है। लेकिन तब मैं जिस बारे में लिख रहा था, समस्या यह थी कि इसे रामबाण के रूप में देखा गया था, यह सब कुछ हल कर देगा। बेशक, हम जानते हैं कि ऐसा नहीं है।"
वित्तीय लाभ हमेशा दुर्भावनापूर्ण हैकर्स को अन्य लोगों के खातों तक पहुंचने के लिए नई तकनीक विकसित करने के लिए प्रेरित करता है। जब तक किसी और की साख रखने का लाभ है, हम हैकिंग को लगातार विकसित होते देखेंगे।
"बहुत सारे अलग-अलग खतरे हैं, और बहुत सारे अलग-अलग सुरक्षा तंत्र हैं," श्नीयर ने समझाया। "सिर्फ एक खतरा नहीं है, सिर्फ एक तंत्र नहीं है, कई खतरे और कई तंत्र हैं।"
सबसे अच्छा बचाव नए और बेहतर जवाबी उपायों की निरंतर धारा है। यदि हम अपने खातों को सुरक्षित रखने के लिए उपयोग की जाने वाली विधियों को बदलना और अद्यतन करना जारी रखते हैं, तो हम बिना अनुमति के पहुंच प्राप्त करने का प्रयास करने वाले किसी भी व्यक्ति के लिए चीजों को कठिन बना देते हैं।
दुर्भाग्य से, हमलावरों के पास पहल है। दो-कारक प्रमाणीकरण को जनता द्वारा स्वीकार किए जाने में वर्षों लग गए। जैसे-जैसे सुरक्षा के नए रूप उपलब्ध होते हैं, उपयोगकर्ताओं के रूप में हमें उनका लाभ उठाने के लिए प्रतिबद्ध होना पड़ता है। और यह हमें लगभग 2005 में स्लैशडॉट मंचों पर वापस ले आता है। हम सभी एक बार फिर सुरक्षा की चिंता करने के बजाय सुविधा की शिकायत करने वाले उपयोगकर्ता बन गए हैं।
बड़े पैमाने पर हैक करना कितना आम हो गया है, इसे नज़रअंदाज करना मुश्किल है और इस बात का कोई संकेत नहीं है कि अपराध का यह रूप ख़त्म होने वाला है। ऐसा कोई बचाव नहीं है जो किसी भी प्रकार के हमले को रोकने में 100 प्रतिशत सक्षम हो; अपराधी हमेशा छोटी से छोटी कमजोरी का भी फायदा उठाने का रास्ता खोज लेंगे। हालाँकि यह आसान नहीं है, ऑनलाइन सुरक्षित रहने का सबसे अच्छा तरीका खतरों के प्रति जागरूक रहना है, और उन खतरों से बचाव के लिए क्या किया जा सकता है, इसके बारे में जागरूक होना है।
ऑनलाइन सुरक्षा बीमा के लिए भुगतान करने या दंत चिकित्सक के पास जाने जैसा है। यह तब तक उतना महत्वपूर्ण नहीं लगता, जब तक यह न हो। विभिन्न साइटों और सेवाओं द्वारा प्रदान की जाने वाली सुरक्षा के तरीकों को अपनाना ही पर्याप्त नहीं है। यह जानना कि ये सुरक्षा हमें किस तरह के हमलों से बचाती है - और किस तरह से नहीं - अपनी सुरक्षा की जिम्मेदारी लेने का एकमात्र तरीका है।
संपादकों की सिफ़ारिशें
- ट्विटर के एसएमएस टू-फैक्टर प्रमाणीकरण में समस्या आ रही है। यहां तरीकों को बदलने का तरीका बताया गया है
- यही कारण है कि लोग कह रहे हैं कि दो-कारक प्रमाणीकरण सही नहीं है
- हैकर्स ने जीमेल टू-फैक्टर ऑथेंटिकेशन को बायपास करने का एक तरीका ढूंढ लिया है
