दो-कारक प्रमाणीकरण प्रणाली मूर्खतापूर्ण नहीं है क्योंकि वे प्रतीत होते हैं। एक हमलावर को वास्तव में आपके भौतिक प्रमाणीकरण टोकन की आवश्यकता नहीं होती है, यदि वे आपकी फ़ोन कंपनी या सुरक्षित सेवा को स्वयं को उन्हें देने में धोखा दे सकते हैं।
अतिरिक्त प्रमाणीकरण हमेशा मददगार होता है। हालाँकि कुछ भी नहीं है कि हम चाहते हैं कि सही सुरक्षा प्रदान करता है, दो-कारक प्रमाणीकरण का उपयोग हमलावरों को और अधिक बाधाएं डालता है जो आपका सामान चाहते हैं।
आपकी फोन कंपनी एक कमजोर लिंक है
सम्बंधित: इन 16 वेब सेवाओं पर दो-चरणीय सत्यापन का उपयोग करके अपने आप को सुरक्षित करें
कई वेबसाइट्स पर टू-स्टेप ऑथेंटिकेशन सिस्टम जब कोई व्यक्ति लॉग इन करने का प्रयास करता है, तो एसएमएस के माध्यम से आपके फोन पर एक संदेश भेजकर काम करता है। भले ही आप कोड जनरेट करने के लिए अपने फोन पर एक समर्पित ऐप का उपयोग करते हों, लेकिन एक अच्छा मौका है कि आपकी पसंद की सेवा लोगों को एसएमएस कोड भेजकर लॉग इन करने की सुविधा देती है। अपने फोन के लिए। या, सेवा आपको पुनर्प्राप्ति फ़ोन नंबर के रूप में कॉन्फ़िगर किए गए फ़ोन नंबर तक पहुंच की पुष्टि करने के बाद आपके खाते से दो-कारक प्रमाणीकरण सुरक्षा को हटाने की अनुमति दे सकती है।
यह सब ठीक लगता है। आपके पास अपना सेल फ़ोन है, और इसमें एक फ़ोन नंबर है। इसके अंदर एक भौतिक सिम कार्ड है जो इसे आपके सेल फोन प्रदाता के साथ उस फोन नंबर पर रखता है। यह सब बहुत शारीरिक लगता है। लेकिन, दुख की बात है कि आपका फोन नंबर उतना सुरक्षित नहीं है जितना आप सोचते हैं।
यदि आपको अपना फ़ोन खोने के बाद या किसी नए फोन को पाने के लिए किसी मौजूदा फ़ोन नंबर को नए सिम कार्ड में ले जाना आवश्यक है, तो आपको पता होगा कि आप इसे पूरी तरह से फ़ोन पर क्या कर सकते हैं - या शायद ऑनलाइन भी। सभी हमलावरों को आपकी सेल फोन कंपनी के ग्राहक सेवा विभाग को कॉल करना होगा और आपको होने का नाटक करना होगा। उन्हें यह जानना होगा कि आपका फ़ोन नंबर क्या है और आपके बारे में कुछ व्यक्तिगत विवरणों को जानना चाहिए। ये विवरण के प्रकार हैं - उदाहरण के लिए, क्रेडिट कार्ड नंबर, एक एसएसएन के अंतिम चार अंक, और अन्य - जो नियमित रूप से बड़े डेटाबेस में लीक होते हैं और पहचान की चोरी के लिए उपयोग किए जाते हैं। हमलावर आपके फ़ोन नंबर को उनके फ़ोन पर ले जाने का प्रयास कर सकता है।
और भी आसान तरीके हैं। या, उदाहरण के लिए, वे फ़ोन कंपनी के अंत में कॉल अग्रेषण प्राप्त कर सकते हैं ताकि आने वाली वॉयस कॉल उनके फ़ोन पर अग्रेषित हो जाएँ और आप तक न पहुँचें।
बिल्ली, एक हमलावर को आपके पूर्ण फोन नंबर तक पहुंच की आवश्यकता नहीं हो सकती है। वे आपके वॉइस मेल तक पहुंच प्राप्त कर सकते हैं, 3 बजे वेबसाइटों में लॉग इन करने का प्रयास करें, और फिर अपने वॉइस मेलबॉक्स से सत्यापन कोड हड़प लें। आपकी फ़ोन कंपनी का वॉइस मेल सिस्टम कितना सुरक्षित है? आपका वॉइस मेल पिन कितना सुरक्षित है - क्या आपने एक भी सेट किया है? हर किसी के पास नहीं है! और, यदि आपके पास है, तो किसी हमलावर को आपकी फ़ोन कंपनी को कॉल करके अपना वॉयस मेल पिन रीसेट करने में कितना प्रयास करना होगा?
आपके फोन नंबर के साथ, यह सब खत्म हो गया है
सम्बंधित: टू-फैक्टर ऑथेंटिकेशन का उपयोग करते समय लॉक होने से कैसे बचें
आपका फोन नंबर कमजोर कड़ी बन जाता है, जिससे आपके हमलावर की अनुमति मिलती है अपने खाते से दो-चरणीय सत्यापन निकालें - या दो-चरणीय सत्यापन कोड प्राप्त करें - एसएमएस या वॉयस कॉल के माध्यम से। जब तक आप महसूस करते हैं कि कुछ गलत है, तब तक उन खातों तक पहुंच हो सकती है।
यह व्यावहारिक रूप से हर सेवा के लिए एक समस्या है। ऑनलाइन सेवाएं नहीं चाहतीं कि लोग अपने खातों तक पहुंच खो दें, इसलिए वे आम तौर पर आपको अपने फ़ोन नंबर के साथ दो-कारक प्रमाणीकरण को बायपास करने और निकालने की अनुमति देते हैं। यह मदद करता है अगर आपको अपना फ़ोन रीसेट करना है या नया प्राप्त करना है और आपने अपने दो-कारक प्रमाणीकरण कोड खो दिए हैं - लेकिन आपके पास अभी भी आपका फ़ोन नंबर है।
सैद्धांतिक रूप से, यहां बहुत अधिक सुरक्षा होनी चाहिए। वास्तव में, आप सेलुलर सेवा प्रदाताओं के ग्राहक सेवा के लोगों के साथ काम कर रहे हैं। इन प्रणालियों को अक्सर दक्षता के लिए स्थापित किया जाता है, और एक ग्राहक सेवा कर्मचारी एक ग्राहक के साथ सामना किए जाने वाले कुछ सुरक्षा उपायों की अनदेखी कर सकता है, जो नाराज, अधीर और पर्याप्त जानकारी की तरह लगता है। आपकी फोन कंपनी और उसका ग्राहक सेवा विभाग आपकी सुरक्षा में एक कमजोर कड़ी है।
अपने फ़ोन नंबर की सुरक्षा करना कठिन है। वास्तविक रूप से, सेलुलर फोन कंपनियों को यह कम जोखिम भरा बनाने के लिए अधिक सुरक्षा उपाय प्रदान करने चाहिए। वास्तव में, आप शायद अपने ग्राहक सेवा प्रक्रियाओं को ठीक करने के लिए बड़े निगमों की प्रतीक्षा करने के बजाय अपने दम पर कुछ करना चाहते हैं। कुछ सेवाएं आपको फ़ोन नंबरों के माध्यम से पुनर्प्राप्ति या रीसेट को अक्षम करने और इसके खिलाफ चेतावनी देने की अनुमति दे सकती हैं - लेकिन, यदि यह एक मिशन-महत्वपूर्ण प्रणाली है, तो आप रीसेट कोड जैसी अधिक सुरक्षित रीसेट प्रक्रियाओं का चयन करना चाहते हैं जो आप बैंक वॉल्ट में लॉक कर सकते हैं। आपको कभी भी उनकी जरूरत है।
अन्य रीसेट प्रक्रियाएं
सम्बंधित: सुरक्षा प्रश्न असुरक्षित हैं: अपने खातों की सुरक्षा कैसे करें
यह सिर्फ आपके फोन नंबर के बारे में नहीं है। कई सेवाएं आपको उस दो-कारक प्रमाणीकरण को अन्य तरीकों से हटाने की अनुमति देती हैं यदि आप दावा करते हैं कि आपने कोड खो दिया है और लॉग इन करने की आवश्यकता है। जब तक आप खाते के बारे में पर्याप्त व्यक्तिगत जानकारी जानते हैं, तब तक आप अंदर जाने में सक्षम हो सकते हैं।
इसे स्वयं आज़माएँ - उस सेवा पर जाएँ, जिसे आपने दो-कारक प्रमाणीकरण के साथ सुरक्षित किया है और यह दिखावा किया है कि आपने कोड खो दिया है। देखें कि इसमें आने के लिए क्या करना है। आपको व्यक्तिगत विवरण या उत्तर देना पड़ सकता है असुरक्षित "सुरक्षा प्रश्न" सबसे खराब स्थिति में। यह निर्भर करता है कि सेवा कैसे कॉन्फ़िगर की गई है। आप किसी अन्य ईमेल खाते के लिंक को ईमेल करके इसे रीसेट करने में सक्षम हो सकते हैं, उस स्थिति में ईमेल खाता एक कमजोर लिंक बन सकता है। एक आदर्श स्थिति में, आपको बस फ़ोन नंबर या पुनर्प्राप्ति कोड तक पहुँच की आवश्यकता हो सकती है - और, जैसा कि हमने देखा है, फ़ोन नंबर एक कमजोर लिंक है।
यहाँ कुछ और डरावना है: यह केवल दो-चरणीय सत्यापन को दरकिनार करने के बारे में नहीं है। एक हमलावर आपके पासवर्ड को पूरी तरह से बायपास करने के लिए इसी तरह की कोशिश कर सकता है। यह काम कर सकता है क्योंकि ऑनलाइन सेवाएं यह सुनिश्चित करना चाहती हैं कि लोग अपने खातों तक पहुंच प्राप्त कर सकें, भले ही वे अपने पासवर्ड खो दें।
उदाहरण के लिए, पर एक नज़र डालें Google खाता पुनर्प्राप्ति प्रणाली। यह आपके खाते को पुनर्प्राप्त करने के लिए एक अंतिम-खाई विकल्प है। यदि आप किसी भी पासवर्ड को नहीं जानने का दावा करते हैं, तो आपसे अंततः आपके खाते के बारे में जानकारी मांगी जाएगी, जैसे कि आपने इसे कब बनाया था और किसे आप अक्सर ईमेल करते हैं। एक हमलावर जो आपके बारे में पर्याप्त जानता है वह सैद्धांतिक रूप से पासवर्ड-रीसेट प्रक्रियाओं का उपयोग कर सकता है जैसे कि आपके खातों तक पहुंचने के लिए।
हमने कभी भी Google की खाता पुनर्प्राप्ति प्रक्रिया के दुरुपयोग के बारे में नहीं सुना है, लेकिन Google इस तरह के टूल के साथ एकमात्र कंपनी नहीं है। वे सभी पूरी तरह से मूर्ख नहीं हो सकते हैं, खासकर अगर कोई हमलावर आपके बारे में पर्याप्त जानता है।
जो भी समस्याएं हैं, दो-चरणीय सत्यापन के साथ एक खाता हमेशा दो-चरणीय सत्यापन के बिना उसी खाते की तुलना में अधिक सुरक्षित होगा। लेकिन दो-कारक प्रमाणीकरण कोई चांदी की गोली नहीं है, जैसा कि हमने देखा है पटरियों जो सबसे बड़ी कमजोर कड़ी का दुरुपयोग करती हैं : आपकी फोन कंपनी।
