एसएमएस दो-कारक प्रामाणिक बिल्कुल सही नहीं है, लेकिन आपको फिर भी इसका उपयोग करना चाहिए

सही सुरक्षा की तलाश में, पूर्ण अच्छे का दुश्मन है। लोग एसएमएस आधारित आलोचना कर रहे हैं दो तरीकों से प्रमाणीकरण के मद्देनजर रेडिट हैक , लेकिन एसएमएस-आधारित दो कारक का उपयोग करना अभी भी दो-कारक प्रमाणीकरण का उपयोग नहीं करने की तुलना में बहुत बेहतर है।

90% से अधिक Gmail उपयोगकर्ता दो-कारक प्रमाणीकरण का उपयोग नहीं कर रहे हैं

एसएमएस सत्यापन के बारे में बात करने वाले सुरक्षा पेशेवर बहुत अच्छे नहीं हैं। 90% से अधिक जीमेल उपयोगकर्ता किसी भी दो-कारक प्रमाणीकरण का उपयोग नहीं कर रहे हैं, एक के अनुसार प्रस्तुतीकरण Google इंजीनियर ग्रेज़गोरज़ मिल्का ने USENIX Enigma 2018 में दिया। अधिकांश लोग जो खुद को ऑनलाइन सुरक्षित रखने के लिए सबसे अधिक काम कर सकते हैं, वह है अपने महत्वपूर्ण खातों के लिए किसी भी प्रकार के दो-कारक प्रमाणीकरण को सक्षम करना।

इसके बारे में इस तरह से सोचें। कहें कि आप अपने घर की सुरक्षा के लिए अपने सामने के दरवाजे पर ताला लगाना चाहते हैं। सुरक्षा पेशेवर इस बारे में तर्क दे रहे हैं कि उपलब्ध लॉक का सबसे अच्छा प्रकार सस्ता ताले से बेहतर है। ज़रूर, समझ में आता है। लेकिन अगर वह अधिक महंगा लॉक आपके लिए उपलब्ध नहीं है, तो क्या आपके पास लॉक नहीं होने की तुलना में एक सस्ता लॉक अभी भी बेहतर है?

हां, ऐप-आधारित दो कारक प्रमाणीकरण एसएमएस-आधारित प्रमाणीकरण से बेहतर है। लेकिन, यदि एसएमएस सभी सेवा प्रदान करता है, तो यह अभी भी इसका उपयोग नहीं करने से बेहतर है।

एसएमएस-आधारित दो कारक में कुछ कमजोरियां हैं, लेकिन वह बिंदु गायब है। एक हमलावर को आपके एसएमएस सत्यापन को दरकिनार करके समय बिताना होगा। और अधिकांश लक्ष्य संभवतः उस प्रयास के लायक नहीं हैं।

आपको दो-कारक प्रमाणीकरण की आवश्यकता क्यों है

टू-फैक्टर ऑथेंटिकेशन को नाम दिया गया है, क्योंकि इसके लिए आपको अपने खाते में आने के लिए दो चीजों की आवश्यकता होती है: कुछ जो आप जानते हैं (आपका पासवर्ड) और कुछ आपके पास (आपके मोबाइल डिवाइस या एक भौतिक टोकन से अतिरिक्त सुरक्षा कोड)।

जब आप एसएमएस-आधारित दो कारक प्रमाणीकरण सक्षम करते हैं, तो सेवा जब भी आप एक नए डिवाइस से साइन इन करते हैं, तो आपके मोबाइल फ़ोन नंबर पर एक बार-बार कोड वाला एक टेक्स्ट संदेश भेजा जाएगा। इसलिए, भले ही किसी के पास आपका उपयोगकर्ता नाम और पासवर्ड उस खाते के लिए हो, वे आपके टेक्स्ट संदेशों तक पहुंच के बिना आपके खाते में साइन इन नहीं कर पाएंगे।

अन्य भी हैं दो-कारक विधियों के प्रकार , समेत आपके फ़ोन पर ऐप्स जो अस्थायी सुरक्षा कोड और उत्पन्न करते हैं भौतिक सुरक्षा कुंजी आपको अपने कंप्यूटर में प्लग इन करना है।

किसी भी प्रकार के दो-कारक प्रमाणीकरण आपके ईमेल, सोशल मीडिया और बैंक खातों जैसे महत्वपूर्ण खातों के लिए भारी मात्रा में सुरक्षा प्रदान करते हैं। यदि आप पासवर्ड का फिर से उपयोग करते हैं तो यह विशेष रूप से सच है। कई लोग एक वेबसाइट के पासवर्ड डेटाबेस के लीक होने पर कई वेबसाइटों पर पासवर्ड का उपयोग करते हैं और, उस पासवर्ड का उपयोग उनके ईमेल खातों में प्रवेश करने के लिए किया जा सकता है । टू-फैक्टर ऑथेंटिकेशन इसके अधिकार को अपने ट्रैक में रोक देगा।

इसका मतलब यह नहीं है कि आपको पासवर्ड का फिर से उपयोग करना चाहिए। आपको पासवर्ड का पुन: उपयोग नहीं करना चाहिए। तुम्हे करना चाहिए एक अच्छे पासवर्ड मैनेजर का उपयोग करें मजबूत, अद्वितीय पासवर्ड का ट्रैक रखने के लिए।

लोग एसएमएस प्रमाणीकरण को बुरा क्यों कहते हैं?

एसएमएस आधारित दो-कारक प्रमाणीकरण को आदर्श नहीं माना जाता है क्योंकि कोई आपका फ़ोन नंबर चुरा सकता है या आपके पाठ संदेशों को रोक सकता है। उदाहरण के लिए:

• एक हमलावर आपको प्रतिरूपण कर सकता है और आपके फ़ोन नंबर को नए फ़ोन में स्थानांतरित कर सकता है फोन नंबर पोर्टिंग घोटाला । यह सबसे संभावित हमला है।
• एक हमलावर आपके लिए इच्छित एसएमएस संदेशों को रोक सकता है। उदाहरण के लिए, वे आपके निकट एक सेल टॉवर को खराब कर सकते हैं, या एक सरकार सेलुलर नेटवर्क तक अपनी पहुंच का उपयोग आगे के संदेशों के लिए कर सकती है।

यही कारण है कि विशेषज्ञ एक और दो-कारक विधि का उपयोग करने की सलाह देते हैं, एक वह जो राष्ट्र राज्यों द्वारा आसानी से दुरुपयोग नहीं किया जा सकता है और यह आपके योग्य नहीं है यदि आपका सेलुलर वाहक आपके फोन नंबर को किसी और को देता है। यदि आप अपने फ़ोन पर किसी ऐप या भौतिक सुरक्षा कुंजी से अपना कोड प्राप्त करते हैं, तो आपका दो-कारक फ़ोन नेटवर्क के साथ समस्याओं के प्रति संवेदनशील नहीं है। हमलावर को आपके अनलॉक किए गए फोन या उस भौतिक सुरक्षा कुंजी की आवश्यकता होगी जिसे आपको साइन इन करना है।

निश्चित रूप से, एक आदर्श दुनिया में, एसएमएस आदर्श समाधान नहीं है। हमने समझाया है सुरक्षा विशेषज्ञ एसएमएस आधारित दो-चरणीय प्रमाणीकरण की तरह क्यों नहीं हैं । लेकिन, जब हमने उस मामले को सामने रखा, तब भी हमने एक बात स्पष्ट करने की कोशिश की: एसएमएस-आधारित टू-फैक्टर ऑथेंटिकेशन बहुत कुछ नहीं से बहुत बेहतर है।

सम्बंधित: आपको दो-कारक प्रमाणीकरण के लिए एसएमएस का उपयोग क्यों नहीं करना चाहिए (और इसके बजाय क्या उपयोग करना है)

कुछ लोगों को एसएमएस से अधिक सुरक्षा की आवश्यकता होती है

औसत व्यक्ति अभी के लिए एसएमएस-आधारित प्रमाणीकरण के साथ ठीक है। एसएमएस-आधारित प्रमाणीकरण हमलावरों को आपके खाते में जाने के लिए बहुत अधिक परेशानी से गुजरता है, और संभवत: जब आप अन्य आसान और जूसीयर लक्ष्य वहां से निकाल रहे हों, तो आप उनकी परेशानी के लायक नहीं हैं। ज्यादातर लोग एसएमएस प्रमाणीकरण का उपयोग भी नहीं करते हैं, और यदि सभी ने किया तो वेब एक अधिक सुरक्षित स्थान होगा।

परिष्कृत हमलावरों द्वारा लक्षित किए जाने वाले लोगों को एसएमएस-आधारित प्रमाणीकरण से बचना चाहिए। उदाहरण के लिए, यदि आप एक राजनेता, पत्रकार, प्रसिद्ध व्यक्ति या व्यावसायिक नेता हैं, तो आपको निशाना बनाया जा सकता है। यदि आप संवेदनशील कॉरपोरेट डेटा तक पहुँच प्राप्त करने वाले व्यक्ति हैं, तो एक सिस्टम एडमिनिस्ट्रेटर जो कि सेंसिटिव सिस्टम के लिए गहरी पहुँच वाला है, या बैंक में बहुत अधिक धन रखने वाला व्यक्ति है, एसएमएस बहुत जोखिम भरा हो सकता है।

लेकिन, यदि आप एक जीमेल या फेसबुक अकाउंट के साथ औसत व्यक्ति हैं और किसी के पास आपके खातों तक पहुंचने में समय बिताने का कोई कारण नहीं है, तो एसएमएस प्रमाणीकरण ठीक है और आपको बिल्कुल भी उपयोग करने के बजाय इसे पूरी तरह से सक्षम करना चाहिए।

आप केवल सबसे कमजोर लिंक के रूप में सुरक्षित हैं

यहाँ एक और दुर्भाग्यपूर्ण सत्य है जो हर किसी को भाता है: यदि आप किसी खाते के लिए एसएमएस आधारित दो-कारक प्रमाणीकरण से बचते हैं, तो एसएमएस संभवतः एक फालबैक विधि के रूप में उपलब्ध है। उदाहरण के लिए, यदि आप अपने Google खाते में साइन इन करने के लिए किसी एप्लिकेशन के साथ कोड उत्पन्न करते हैं, तो भी आप कर सकते हैं अपना खाता पुनः प्राप्त करें अपने फ़ोन नंबर का उपयोग करना। यदि आप कभी भी यह आपको बचाने के लिए है अपने दो-कारक फोन तक पहुंच खोना या टोकन।

दूसरे शब्दों में, कई-शायद यहां तक ​​कि अधिकांश सेवाएं भी आपको अपने फोन नंबर के साथ अपने खाते में जाने देती हैं, भले ही आप अधिकांश समय ऐप-जनरेट किए गए कोड या भौतिक सुरक्षा कुंजी का उपयोग करते हों। आप केवल सिस्टम की सबसे कमजोर कड़ी के रूप में सुरक्षित हैं। यदि आप अपना सामान्य तरीका नहीं रखते हैं, तो उन अन्य तरीकों की जाँच करने का प्रयास करें जिन्हें आप साइन इन कर सकते हैं।

ऐसा क्यों है, वास्तव में Google खाते को बंद करने के लिए, आपको केवल एसएमएस-आधारित दो-चरणीय प्रमाणीकरण से बचने की आवश्यकता नहीं है। आपको भी नामांकन करना होगा Google का उन्नत सुरक्षा कार्यक्रम , जो Google "पत्रकारों, कार्यकर्ताओं, व्यापार नेताओं और राजनीतिक अभियान टीमों" के लिए विज्ञापित करता है। इस मुफ्त कार्यक्रम के लिए आपको साइन इन करने के लिए एक भौतिक सुरक्षा कुंजी का उपयोग करने की आवश्यकता होती है, लेकिन यह आपके खाते को पुनर्प्राप्त करने के लिए बहुत अधिक जानकारी भी मांगती है।

कृपया एसएमएस का उपयोग करें यदि आप अभी 2FA का उपयोग नहीं कर रहे हैं

हम आपको सुरक्षा के झूठे अर्थ में नहीं फंसाना चाहते हैं: यदि आप किसी को विदेशी सरकारों, कॉर्पोरेट जासूसों या संगठित अपराधियों द्वारा निशाना बनाए जाने की संभावना रखते हैं, तो आपको बिल्कुल एसएमएस आधारित दो-कारक प्रमाणीकरण से बचना चाहिए और अपने फोन को बंद कर देना चाहिए। अधिक सुरक्षित कुछ के साथ खाते।

लेकिन, यदि आप औसत व्यक्ति हैं, जिन्होंने अभी तक दो-कारक प्रमाणीकरण सक्षम नहीं किया है, तो इसे अस्वीकार नहीं किया जाएगा: एसएमएस-आधारित दो कारक आपको दो-कारक की तुलना में बहुत अधिक सुरक्षित बना देंगे। यह सुरक्षा के लिए एक महत्वपूर्ण आधार रेखा है।

जब तक वे कुछ बेहतर उपयोग नहीं कर रहे हैं, तब तक सभी को एसएमएस सत्यापन का उपयोग करना चाहिए।

छवि क्रेडिट: bluestok /शटरस्टॉक.कॉम.