क्या स्मार्टफ़ोन बेहतर ऑनलाइन सुरक्षा की कुंजी हैं?

हर दिन करोड़ों लोग पासवर्ड का उपयोग करते हैं - वे हमारे डिवाइस, ईमेल, सोशल नेटवर्किंग और यहां तक ​​कि बैंक खातों को भी अनलॉक करते हैं। हालाँकि, पासवर्ड एक हैं तेजी से कमजोर खुद को सुरक्षित रखने का तरीका: बमुश्किल एक सप्ताह ऐसा गुजरता है जब किसी बड़ी सुरक्षा चूक की खबर न आती हो। इस सप्ताह, यह है सिस्को - अधिकांश हार्डवेयर का निर्माता जो अनिवार्य रूप से इंटरनेट को शक्ति प्रदान करता है।

फिलहाल, लगभग हर कोई पासवर्ड से आगे बढ़ने की सोच रहा है बहुकारक प्रमाणीकरण: जो कुछ आप जानते हैं उसके अतिरिक्त "आपके पास कुछ है" या "आप कुछ हैं" की आवश्यकता है। बायोमेट्रिक प्रौद्योगिकियाँ जो आँखें, उंगलियों के निशान, चेहरे और/या आवाज़ को मापती हैं अधिक व्यावहारिक हो रहा हूँ, लेकिन कुछ लोगों के लिए अक्सर विफल हो जाते हैं, और करोड़ों उपयोगकर्ताओं तक लाना कठिन होता है।

क्या हम स्पष्ट को नज़रअंदाज नहीं कर रहे हैं? क्या मल्टीफैक्टर सुरक्षा का समाधान पहले से ही हमारी जेब में नहीं है?

ऑनलाइन बैंकिंग

मानो या न मानो, अमेरिकी जब भी ऑनलाइन बैंकिंग करते हैं तो वर्षों से बहु-कारक प्रमाणीकरण का उपयोग कर रहे हैं - या, कम से कम, इसके कमज़ोर संस्करण। 2001 में, संघीय वित्तीय संस्थान परीक्षा परिषद (एफएफआईईसी) ने अमेरिकी ऑनलाइन बैंकिंग सेवाओं को 2006 तक वास्तविक मल्टीफैक्टर प्रमाणीकरण शुरू करने की आवश्यकता बताई।

यह 2013 है और हम अभी भी पासवर्ड के साथ ऑनलाइन बैंकिंग में लॉग इन कर रहे हैं। क्या हुआ?

"मूल रूप से, बैंकों ने पैरवी की," रिच मोगल, सीईओ और विश्लेषक ने कहा सिक्यूरोसिस. “बॉयोमीट्रिक्स और सुरक्षा टोकन अलगाव में ठीक काम कर सकते हैं, लेकिन उन्हें सिर्फ बैंकिंग तक भी स्केल करना बहुत कठिन है। उपभोक्ता इस तरह की कई चीजों से निपटना नहीं चाहते हैं। अधिकांश लोग फ़ोन पर पासकोड भी नहीं डालते हैं।”

इसलिए, बैंकों ने पीछे धकेल दिया। 2005 तक, FFIEC अद्यतन दिशानिर्देश जारी किये इसने बैंकों को पासवर्ड और "डिवाइस पहचान" द्वारा प्रमाणित करने की अनुमति दी - मूल रूप से, उपयोगकर्ताओं के सिस्टम की प्रोफाइलिंग। यदि कोई ग्राहक किसी ज्ञात डिवाइस से साइन इन करता है, तो उसे बस एक पासवर्ड की आवश्यकता होती है; अन्यथा, ग्राहक को अधिक उलझनों से गुजरना पड़ता है - आमतौर पर चुनौतीपूर्ण प्रश्न। विचार यह है कि प्रोफाइलिंग डिवाइस कुछ उपयोगकर्ताओं को सत्यापित करने के बराबर है पास होना (एक कंप्यूटर, स्मार्टफोन, या टैबलेट) पासवर्ड के साथ जानना.

बैंक उपकरणों की पहचान करने में अधिक परिष्कृत हो गए हैं, और अभी भी नए संघीय दिशानिर्देश बैंकों को आसानी से कॉपी की गई ब्राउज़र कुकी से अधिक का उपयोग करने की आवश्यकता होती है। लेकिन व्यवस्था अब भी कमजोर है. सब कुछ एक ही चैनल पर होता है, इसलिए यदि कोई बुरा अभिनेता किसी उपयोगकर्ता के कनेक्शन में प्रवेश कर सकता है (शायद चोरी, हैक या मैलवेयर द्वारा), तो सब कुछ खत्म हो गया है। इसके अलावा, किसी के साथ भी नए उपकरण का उपयोग करने वाले ग्राहक की तरह व्यवहार किया जाता है - और इसी तरह न्यूयॉर्क टाइम्स स्तंभकार डेविड पोग प्रमाणित कर सकते हैं, सच्चाई से उत्तर दिए गए सुरक्षा प्रश्न कभी-कभी अल्प सुरक्षा प्रदान करते हैं।

हालाँकि, ऑनलाइन बैंकिंग में मल्टीफैक्टर सुरक्षा का सीमित रूप है बड़ा उपभोक्ताओं के लिए उल्टा। अधिकांश उपयोगकर्ताओं के लिए अधिकांश समय, डिवाइस प्रोफ़ाइलिंग अदृश्य होती है और पासवर्ड की तरह ही काम करती है - जिसे लगभग हर कोई समझता है।

गूगल प्रमाणक

डिजिटल टोकन, सुरक्षा कार्ड और अन्य उपकरणों का उपयोग दशकों से मल्टीफैक्टर प्रमाणीकरण में किया जाता रहा है। हालाँकि, बायोमेट्रिक्स की तरह, अब तक लाखों आम लोगों के लिए कुछ भी कारगर साबित नहीं हुआ है। कोई व्यापक मानक भी नहीं हैं, इसलिए लोगों को अपनी पसंदीदा सेवाओं तक पहुंचने के लिए एक दर्जन अलग-अलग फ़ॉब्स, टोकन, यूएसबी स्टिक और कार्ड की आवश्यकता हो सकती है। कोई भी ऐसा करने वाला नहीं है.

तो हमारी जेब में मौजूद फोन का क्या? लगभग एक साल पहले शोधकर्ताओं ने पाया लगभग 90 प्रतिशत अमेरिकी वयस्कों के पास मोबाइल फोन हैं - लगभग आधे के पास स्मार्टफोन थे। संख्याएँ अब और अधिक होनी चाहिए: निश्चित रूप से उनका उपयोग बहुकारक प्रमाणीकरण के लिए किया जाएगा?

इसके पीछे यही विचार है Google का दो-चरणीय सत्यापन, जो Google सेवाओं में लॉग इन करते समय एसएमएस या ध्वनि द्वारा फ़ोन पर एक बार का पिन कोड भेजता है। उपयोगकर्ता लॉग इन करने के लिए अपना पासवर्ड और कोड दोनों दर्ज करते हैं। बेशक, फोन खो सकते हैं या चोरी हो सकते हैं, और यदि बैटरी खत्म हो जाती है या कोई मोबाइल सेवा उपलब्ध नहीं है, तो उपयोगकर्ता लॉक हो जाते हैं। लेकिन यह सेवा फीचर फोन के साथ भी काम करती है, और अकेले पासवर्ड की तुलना में निश्चित रूप से अधिक सुरक्षित है - भले ही कम सुविधाजनक हो।

Google का दो-चरणीय सत्यापन और अधिक दिलचस्प हो गया है गूगल प्रमाणक, Android, iOS और BlackBerry के लिए उपलब्ध है। Google प्रमाणक समय-आधारित वन-टाइम पासवर्ड (TOTP) का उपयोग करता है, जो एक मानक है ओपन ऑथेंटिकेशन के लिए पहल. मूल रूप से, ऐप में एक एन्क्रिप्टेड रहस्य होता है और हर 30 सेकंड में एक नया छह अंकों का कोड उत्पन्न होता है। उपयोगकर्ता यह साबित करने के लिए अपने पासवर्ड के साथ उस कोड को दर्ज करते हैं कि उनके पास सही डिवाइस है। जब तक फ़ोन की घड़ी सही है, Google प्रमाणक फ़ोन सेवा के बिना काम करता है; और क्या, इसके 30-सेकंड कोड के साथ काम करते हैं अन्य सेवाएँ जो TOTP का समर्थन करती हैं: अभी, इसमें शामिल हैं ड्रॉपबॉक्स, लास्ट पास, और अमेज़न वेब सेवाएँ. इसी तरह, TOTP का समर्थन करने वाले अन्य ऐप्स Google के साथ काम कर सकते हैं।

लेकिन मुद्दे हैं. उपयोगकर्ता सत्यापन कोड को पासवर्ड के समान चैनल पर सबमिट करते हैं, इसलिए वे ऑनलाइन बैंकिंग के समान अवरोधन परिदृश्यों के प्रति संवेदनशील होते हैं। चूँकि TOTP ऐप्स में एक रहस्य होता है, यदि ऐप या रहस्य क्रैक हो जाता है तो कोई भी (दुनिया में कहीं भी) वैध कोड उत्पन्न कर सकता है। और कोई भी सिस्टम पूर्ण नहीं होता: पिछले महीने Google ने एक समस्या का समाधान किया था जो संभव हो सकती थी कुल खाता अधिग्रहण ऐप-विशिष्ट पासवर्ड के माध्यम से। मज़ा।

यहाँ से काँहा जायेंगे?

Google दो-चरणीय सत्यापन जैसी प्रणालियों के साथ सबसे बड़ी समस्या बस यह है कि वे बहुत कष्टकारी हैं। क्या आप अपने फ़ोन और कोड के साथ खिलवाड़ करना चाहते हैं? हर बार क्या आप किसी सेवा में लॉग इन हैं? क्या आपके माता-पिता, दादा-दादी, दोस्त या बच्चे? अधिकांश लोग ऐसा नहीं करते। यहां तक ​​​​कि टेक्नोफाइल जो कूल फैक्टर (और सुरक्षा) को पसंद करते हैं, उन्हें केवल कुछ हफ्तों में ही यह प्रक्रिया अजीब लगने लगती है।

संख्याएँ बताती हैं कि दर्द वास्तविक है। जनवरी में, Google ने आपूर्ति की वायर्ड का रॉबर्ट मैकमिलन ने दो-चरण अपनाने का एक ग्राफ़ बनाया, एक स्पाइक सहित मैट होनान के साथ "महाकाव्य हैकिंगलेख पिछले अगस्त में. ध्यान दें कि किस अक्ष पर कोई लेबल नहीं है? Google प्रतिनिधियों ने यह कहने से इनकार कर दिया कि कितने लोग इसके दो-कारक प्रमाणीकरण का उपयोग करते हैं, लेकिन Google सुरक्षा वीपी एरिक ग्रोस ने मैकमिलन को बताया कि होनान के लेख के बाद एक चौथाई मिलियन उपयोगकर्ताओं ने नामांकन किया है। उस मीट्रिक के अनुसार, मेरा अनुमान है कि अब तक लगभग 20 मिलियन लोगों ने साइन अप किया है - बमुश्किल 500+ मिलियन लोगों में सेंध Google दावा Google+ खाते हैं. यह आंकड़ा एक Google कर्मचारी को सही लग रहा था जो अपना नाम नहीं बताना चाहता था: उसने अनुमान लगाया कि "सक्रिय" Google+ उपयोगकर्ताओं में से दस प्रतिशत से भी कम ने साइन अप किया था। “और उनमें से सभी इससे चिपके नहीं रहते,” उसने कहा।

"जब आपके पास बेलगाम दर्शक हों, तो आप बुनियादी बातों से परे किसी भी तरह का व्यवहार नहीं कर सकते - खासकर यदि आपने उस दर्शक को ऐसा करने का कोई कारण नहीं दिया है चाहना वह व्यवहार,'' मोबाइल प्रमाणीकरण कंपनी के सीईओ क्रिश्चियन हेस्लर ने कहा LiveEnsure. "ऐसा कोई तरीका नहीं है जिससे आप एक अरब लोगों को कुछ ऐसा करने के लिए प्रशिक्षित कर सकें जो वे नहीं करना चाहते।"

LiveEnsure अपने मोबाइल डिवाइस (या यहां तक ​​कि ईमेल के माध्यम से) का उपयोग करके आउट-ऑफ-बैंड की पुष्टि करने वाले उपयोगकर्ताओं पर निर्भर करता है। केवल एक उपयोगकर्ता नाम दर्ज करें (या ट्विटर या फेसबुक जैसी एकल साइन-इन सेवा का उपयोग करें), और LiveEnsure प्रमाणित करने के लिए उपयोगकर्ता के व्यापक संदर्भ का लाभ उठाता है: किसी पासवर्ड की आवश्यकता नहीं है। अभी, LiveEnsure "लाइन-ऑफ़-विज़न" का उपयोग करता है - उपयोगकर्ता अपने लॉगिन की पुष्टि करने के लिए अपने फ़ोन का उपयोग करके स्क्रीन पर एक QR कोड स्कैन करते हैं - लेकिन अन्य सत्यापन विधियां जल्द ही आ रही हैं। LiveEnsure सत्यापन के लिए एक अलग कनेक्शन का उपयोग करके अवरोधन को दूर करता है, लेकिन ब्राउज़र, डिवाइस या यहां तक ​​कि इसकी सेवा में साझा रहस्यों पर भी भरोसा नहीं करता है। यदि सिस्टम क्रैक हो गया है, तो LiveEnsure का कहना है कि हमलावर के लिए अलग-अलग टुकड़ों का कोई मूल्य नहीं है।

हेस्लर ने कहा, "हमारे डेटाबेस में जो कुछ है उसे क्रिसमस उपहार के रूप में सीडी पर भेजा जा सकता है, और यह बेकार होगा।" "कोई भी रहस्य तार-तार नहीं होता, एकमात्र लेन-देन केवल हाँ या ना में होता है।"

LiveEnsure का दृष्टिकोण पिन दर्ज करने से आसान है, लेकिन फिर भी उपयोगकर्ताओं को लॉग इन करने के लिए मोबाइल उपकरणों और ऐप्स के साथ खिलवाड़ करना पड़ता है। दूसरों का लक्ष्य प्रक्रिया को अधिक पारदर्शी बनाना है।

टूफ़र उपयोगकर्ताओं को पारदर्शी रूप से प्रमाणित करने के एक तरीके के रूप में जीपीएस या वाई-फाई के माध्यम से अपने स्थान के बारे में मोबाइल उपकरणों की जागरूकता का लाभ उठा रहा है - कम से कम, पूर्व-अनुमोदित स्थानों से।

संस्थापक और सीटीओ इवान ग्रिम ने कहा, "टूफर प्रमाणीकरण निर्णय को अदृश्य बनाने के लिए अधिक संदर्भ ला रहा है।" "यदि कोई उपयोगकर्ता आम तौर पर घर पर ऑनलाइन बैंकिंग कर रहा है, तो उपयोगकर्ता निर्णय को अदृश्य बनाने के लिए इसे स्वचालित कर सकता है।"

स्वचालन की आवश्यकता नहीं है: यदि उपयोगकर्ता चाहें तो हर बार अपने मोबाइल डिवाइस पर पुष्टि कर सकते हैं। लेकिन यदि उपयोगकर्ता टूफर को बताते हैं कि क्या सामान्य है, तो उन्हें केवल अपना फोन अपनी जेब में रखना होगा और प्रमाणीकरण पारदर्शी रूप से होता है। उपयोगकर्ता बस एक पासवर्ड दर्ज करते हैं और बाकी सब कुछ अदृश्य होता है। यदि डिवाइस किसी अज्ञात स्थान पर है, तो उपयोगकर्ताओं को अपने फोन पर पुष्टि करनी होगी - और यदि नहीं है कनेक्टिविटी के लिए, टूफ़र Google जैसी ही तकनीक का उपयोग करके समय-आधारित पिन पर वापस आ जाता है प्रमाणक.

ग्रिम ने कहा, "टूफर उपयोगकर्ता अनुभव को मौलिक रूप से बदलने की कोशिश नहीं करता है।" "अन्य बहुकारक समाधानों के साथ समस्या यह नहीं थी कि उन्होंने सुरक्षा नहीं जोड़ी थी, बल्कि यह थी कि उन्होंने उपयोगकर्ता अनुभव को बदल दिया था, और इसलिए उन्हें अपनाने में बाधाएँ थीं।"

आपको खेल में बने रहना होगा

पासवर्ड ख़त्म नहीं हो रहे हैं, लेकिन उन्हें स्थान, वन-टाइम पिन, लाइन-ऑफ़-विज़न और लाइन-ऑफ़-साउंड समाधान, बायोमेट्रिक्स, या यहां तक ​​कि आस-पास के ब्लूटूथ और वाई-फाई उपकरणों के बारे में जानकारी द्वारा संवर्धित किया जाएगा। स्मार्टफ़ोन और मोबाइल डिवाइस प्रमाणीकरण के लिए अधिक संदर्भ जोड़ने का सबसे संभावित तरीका प्रतीत होते हैं।

निःसंदेह, यदि आप खेलना चाहते हैं तो आपको खेल में बने रहना होगा। हर किसी के पास स्मार्टफोन नहीं है, और नई प्रमाणीकरण तकनीक नवीनतम तकनीक के बिना उपयोगकर्ताओं को बाहर कर सकती है, जिससे बाकी दुनिया हैक और पहचान की चोरी के प्रति अधिक संवेदनशील हो जाएगी। डिजिटल सुरक्षा आसानी से कुछ ऐसी चीज़ बन सकती है जो अमीरों को वंचितों से अलग करती है।

और, अब तक, यह नहीं बताया गया है कि कौन से समाधान जीतेंगे। टूफ़र और लाइवएनश्योर कई खिलाड़ियों में से केवल दो हैं, और वे सभी चिकन-अंडे की समस्या का सामना करते हैं: उपयोगकर्ताओं और सेवाओं दोनों द्वारा अपनाए बिना, वे किसी की मदद नहीं करते हैं। टूफ़र ने हाल ही में स्टार्टअप फ़ंडिंग में $2 मिलियन प्राप्त किए; LiveEnsure कुछ बड़े नामों से बात कर रहा है और उम्मीद है कि जल्द ही स्टील्थ मोड से बाहर आ जाएगा। लेकिन यह कहना जल्दबाजी होगी कि कोई कहां पहुंचेगा।

इस बीच, यदि आप जिस सेवा पर भरोसा करते हैं वह किसी भी प्रकार के मल्टीफैक्टर प्रमाणीकरण की पेशकश करती है - चाहे एसएमएस के माध्यम से, स्मार्टफोन ऐप या यहां तक ​​कि फोन कॉल के माध्यम से - इस पर गंभीरता से विचार करें। यह लगभग निश्चित रूप से अकेले पासवर्ड की तुलना में बेहतर सुरक्षा है... भले ही यह लगभग निश्चित रूप से कष्टदायी हो।

छवि के माध्यम से Shutterstock / एडम रैडोसावलजेविक

[FFIEC और LiveEnsure पर विवरण स्पष्ट करने और उत्पादन त्रुटि को ठीक करने के लिए 24 मार्च 2013 को अपडेट किया गया।]

संपादकों की सिफ़ारिशें

• अपने iPhone या Android स्मार्टफ़ोन पर डाउनलोड की गई फ़ाइलें कैसे खोजें
• आपको ऑनलाइन सुरक्षित रखने के लिए आपके Google One प्लान को अभी-अभी 2 बड़े सुरक्षा अपडेट मिले हैं
• 2023 में आपका स्मार्टफ़ोन एक पेशेवर कैमरे की जगह कैसे ले सकता है?
• Google का Pixel 6 एक अच्छा स्मार्टफोन है, लेकिन क्या यह खरीदारों को समझाने के लिए पर्याप्त होगा?
• Google लीड का कहना है कि वह Apple के नए iPhone सुरक्षा कार्यक्रम से 'निराश' है