दो-कारक प्रमाणीकरण (2FA) एक ऑनलाइन खाते में अनधिकृत पहुंच को रोकने के लिए सबसे प्रभावी तरीका है। अभी भी समझाने की जरूरत है? Microsoft के इन जबड़े छोड़ने वाले नंबरों पर एक नज़र डालें।
हार्ड नंबर
फरवरी 2020 में, Microsoft ने दिया एक प्रस्तुति पर RSA सम्मेलन "ब्रेकिंग पासवर्ड निर्भरताएँ: Microsoft में अंतिम मील में चुनौतियां।" यदि आप उपयोगकर्ता खातों को सुरक्षित करने में रुचि रखते हैं, तो पूरी प्रस्तुति आकर्षक थी। यहां तक कि अगर यह विचार आपके दिमाग को सुन्न करता है, तो प्रस्तुत आंकड़े और संख्या अद्भुत थे।
Microsoft 1 बिलियन से अधिक सक्रिय खातों को मासिक रूप से ट्रैक करता है, जो है दुनिया की आबादी का लगभग 1/8 हिस्सा । ये 30 बिलियन से अधिक मासिक लॉगिन इवेंट उत्पन्न करते हैं। एक कॉर्पोरेट O365 खाते में हर लॉगिन कई ऐप्स में कई लॉगिन प्रविष्टियाँ उत्पन्न कर सकता है, साथ ही अन्य ऐप्स के लिए अतिरिक्त ईवेंट जो कि साइन-ऑन के लिए O365 का उपयोग करता है।
यदि यह संख्या बड़ी लगती है, तो ध्यान रखें कि Microsoft हर दिन 300 मिलियन धोखाधड़ी साइन इन रोकता है । फिर, वह प्रति वर्ष या प्रति माह नहीं, बल्कि 300 मिलियन है हर दिन .
जनवरी 2020 में, 480,000 Microsoft खातों-सभी Microsoft खातों के 0.048 प्रतिशत-को छिड़काव हमलों द्वारा समझौता किया गया था। यह तब होता है जब एक हमलावर हजारों पासवर्डों की सूची के खिलाफ एक सामान्य पासवर्ड ("स्प्रिंग 2020!") चलाता है, इस उम्मीद में कि उनमें से कुछ ने उस सामान्य पासवर्ड का उपयोग किया होगा।
स्प्रे हमले का सिर्फ एक रूप हैं; सैकड़ों और हजारों अधिक क्रेडेंशियल स्टफिंग के कारण हुए। इन्हें खत्म करने के लिए, हमलावर डार्क वेब पर उपयोगकर्ता नाम और पासवर्ड खरीदता है और उन्हें अन्य प्रणालियों पर आज़माता है।
फिर, वहाँ है फ़िशिंग , जो तब होता है जब एक हमलावर आपको अपना पासवर्ड प्राप्त करने के लिए एक नकली वेबसाइट पर लॉग इन करने के लिए मना लेता है। ये तरीके हैं कैसे ऑनलाइन खातों को आम तौर पर "हैक" किया जाता है आम बोलचाल में।
जनवरी में सभी 1 मिलियन से अधिक Microsoft खातों का उल्लंघन किया गया था। यह प्रति दिन केवल 32,000 से अधिक समझौता किए गए खाते हैं, जो तब तक बुरा लगता है जब तक कि आपको प्रतिदिन रुके हुए 300 मिलियन धोखाधड़ी के लॉगिन प्रयास याद न हों।
लेकिन सबसे महत्वपूर्ण संख्या यह है कि सभी Microsoft खाते के 99.9 प्रतिशत हिस्से को रोक दिया गया होगा यदि खातों में दो-कारक प्रमाणीकरण सक्षम था।
सम्बंधित: यदि आप एक फ़िशिंग ईमेल प्राप्त करते हैं तो आपको क्या करना चाहिए?
दो-कारक प्रमाणीकरण क्या है?
एक त्वरित अनुस्मारक के रूप में, दो तरीकों से प्रमाणीकरण (2FA) को केवल उपयोगकर्ता नाम और पासवर्ड के बजाय अपने खाते को प्रमाणित करने के लिए एक अतिरिक्त विधि की आवश्यकता होती है। वह अतिरिक्त विधि अक्सर छह अंकों का कोड होता है एसएमएस द्वारा आपके फोन पर भेजा गया या एक एप्लिकेशन द्वारा उत्पन्न। फिर आप अपने खाते के लिए लॉगिन प्रक्रिया के भाग के रूप में छह अंकों का कोड टाइप करते हैं।
टू-फैक्टर ऑथेंटिकेशन मल्टीफॉर्मर ऑथेंटिकेशन (MFA) का एक प्रकार है। अन्य एमएफए विधियां हैं, साथ ही, भौतिक यूएसबी टोकन जिसमें आप अपने डिवाइस पर प्लग करते हैं, या आपके फिंगरप्रिंट या आंख के बायोमेट्रिक स्कैन शामिल हैं। हालाँकि, आपके फ़ोन पर भेजा गया एक कोड अब तक सबसे आम है।
हालाँकि, मल्टीफॉर्मर प्रमाणीकरण एक व्यापक शब्द है - एक बहुत ही सुरक्षित खाते के लिए दो के बजाय तीन कारकों की आवश्यकता हो सकती है, उदाहरण के लिए।
सम्बंधित: दो-कारक प्रमाणीकरण क्या है, और मुझे इसकी आवश्यकता क्यों है?
क्या 2FA ने सांसें रोक दी हैं?
स्प्रे हमलों और क्रेडेंशियल स्टफिंग में, हमलावरों के पास पहले से ही एक पासवर्ड होता है - उन्हें केवल उन खातों को खोजने की आवश्यकता होती है जो इसका उपयोग करते हैं। फ़िशिंग के साथ, हमलावरों के पास आपका पासवर्ड और आपका खाता नाम दोनों हैं, जो कि और भी बुरा है।
यदि जनवरी में बचे हुए Microsoft खातों को मल्टीपिलर प्रमाणीकरण सक्षम किया गया था, तो बस पासवर्ड होना पर्याप्त नहीं था। हैकर को उन खातों में लॉग इन करने से पहले एमएफए कोड प्राप्त करने के लिए अपने पीड़ितों के फोन तक पहुंच की आवश्यकता होगी। फोन के बिना, हमलावर उन खातों का उपयोग नहीं कर पाएगा, और वे भंग नहीं हुए होंगे।
यदि आपको लगता है कि आपके पासवर्ड का अनुमान लगाना असंभव है, और आप कभी भी फ़िशिंग हमले के लिए नहीं आते हैं, तो तथ्यों पर ध्यान दें। एलेक्स वेनर्ट के अनुसार, माइक्रोसॉफ्ट में एक प्रमुख वास्तुकार, आपका पासवर्ड वास्तव में इससे ज्यादा फर्क नहीं पड़ता जब यह आपके खाते को सुरक्षित करने की बात आती है।
यह सिर्फ Microsoft खातों पर लागू नहीं होता है, या तो हर ऑनलाइन खाता उतना ही असुरक्षित होता है अगर वह MFA का उपयोग नहीं करता है। Google के अनुसार, एमएफए 100 प्रतिशत बंद हो गया है स्वचालित बॉट हमलों (स्प्रे हमले, क्रेडेंशियल स्टफिंग और इसी तरह के स्वचालित तरीके)।
यदि आप Google के शोध चार्ट के नीचे बाईं ओर देखते हैं, तो स्वचालित बॉट, फ़िशिंग और लक्षित हमलों को रोकने के लिए "सुरक्षा कुंजी" विधि 100 प्रतिशत प्रभावी थी।
तो, "सुरक्षा कुंजी" विधि क्या है? यह एमएफए कोड उत्पन्न करने के लिए आपके फोन पर एक ऐप का उपयोग करता है।
जबकि "एसएमएस कोड" विधि भी बहुत प्रभावी थी- और यह एमएफए बिल्कुल नहीं होने से बिल्कुल बेहतर है -एक ऐप और भी बेहतर है। हम अनुशंसा करते हैं Authy , क्योंकि यह मुफ़्त, उपयोग में आसान और शक्तिशाली है।
सम्बंधित: एसएमएस दो-कारक प्रामाणिक बिल्कुल सही नहीं है, लेकिन आपको अभी भी इसका उपयोग करना चाहिए
अपने सभी खातों के लिए 2FA कैसे सक्षम करें
आप अधिकांश ऑनलाइन खातों के लिए 2FA या किसी अन्य प्रकार के MFA को सक्षम कर सकते हैं। आपको अलग-अलग खातों के लिए अलग-अलग स्थानों में सेटिंग मिल जाएगी। आमतौर पर, हालांकि, यह "खाता" या "सुरक्षा" के तहत खाते की सेटिंग मेनू में है।
सौभाग्य से, हमारे पास कुछ लोकप्रिय वेबसाइटों और ऐप्स के लिए MFA चालू करने के लिए कैसे कवर करने वाले गाइड हैं:
- वीरांगना
- एप्पल आईडी
- फेसबुक
- गूगल / जीमेल
- इंस्टाग्राम
- लिंक्डइन
- माइक्रोसॉफ्ट
- घोंसला
- Nintendo
- रेडिट
- अंगूठी
- ढीला
- भाप
- ट्विटर
MFA आपके ऑनलाइन खातों को सुरक्षित करने का सबसे प्रभावी तरीका है। यदि आपने अभी तक ऐसा नहीं किया है, तो इसे जल्द से जल्द चालू करने के लिए समय निकालें - विशेष रूप से महत्वपूर्ण खातों के लिए, जैसे ईमेल और बैंकिंग।
