सुरक्षा विशेषज्ञ सलाह देते हैं दो-कारक प्रमाणीकरण का उपयोग करना जहाँ भी संभव हो अपने ऑनलाइन खातों को सुरक्षित करने के लिए। जब आप साइन इन करने का प्रयास करते हैं, तो कई सेवाएँ एसएमएस सत्यापन के लिए डिफ़ॉल्ट होती हैं, जब आप अपने फ़ोन पर पाठ संदेश के माध्यम से कोड भेजते हैं।
पहली चीजें पहली: एसएमएस अभी भी दो-कारक प्रमाणीकरण से बेहतर नहीं है!
सम्बंधित: दो-कारक प्रमाणीकरण क्या है, और मुझे इसकी आवश्यकता क्यों है?
जब हम यहां एसएमएस के खिलाफ मामला दर्ज करने जा रहे हैं, तो यह महत्वपूर्ण है कि हम पहले एक बात स्पष्ट करें: एसएमएस का उपयोग करना दो-कारक प्रमाणीकरण का उपयोग न करने से बेहतर है।
जब आप दो-कारक प्रमाणीकरण का उपयोग नहीं करते हैं, तो किसी को केवल आपके खाते में साइन इन करने के लिए आपके पासवर्ड की आवश्यकता होती है। जब आप एसएमएस के साथ दो-कारक प्रमाणीकरण का उपयोग करते हैं, तो किसी को आपके खाते तक पहुंच प्राप्त करने के लिए अपना पासवर्ड प्राप्त करने और अपने पाठ संदेशों तक पहुंच प्राप्त करने की आवश्यकता होगी। एसएमएस कुछ भी नहीं की तुलना में बहुत अधिक सुरक्षित है।
यदि एसएमएस आपका एकमात्र विकल्प है, तो कृपया एसएमएस का उपयोग करें। हालाँकि, यदि आप सीखना चाहते हैं कि सुरक्षा विशेषज्ञ एसएमएस से बचने की सलाह क्यों देते हैं और हम इसके बजाय क्या सलाह देते हैं, तो पढ़ें।
सिम स्वैप हमलावरों को आपका फोन नंबर चोरी करने की अनुमति देते हैं
यहां बताया गया है कि एसएमएस सत्यापन कैसे काम करता है: जब आप साइन इन करने का प्रयास करते हैं, तो सेवा आपके द्वारा पहले प्रदान किए गए मोबाइल फोन नंबर पर एक पाठ संदेश भेजती है। आप उस कोड को अपने फ़ोन पर प्राप्त करते हैं और साइन इन करने के लिए इसे दर्ज करते हैं। यह कोड केवल एक ही उपयोग के लिए अच्छा है।
यह यथोचित सुरक्षित लगता है। आखिरकार, आपके पास केवल आपका फ़ोन नंबर है और किसी को कोड देखने के लिए आपका फ़ोन होना चाहिए? दुर्भाग्यवश नहीं।
यदि कोई आपका फोन नंबर जानता है और आपकी सामाजिक सुरक्षा नंबर के अंतिम चार अंकों की तरह व्यक्तिगत जानकारी तक पहुँच प्राप्त कर सकता है-दुर्भाग्य से, यह कई निगमों और सरकारी एजेंसियों के लिए धन्यवाद खोजना आसान है, जिन्होंने ग्राहक डेटा लीक किया है - वे आपके फोन से संपर्क कर सकते हैं कंपनी और अपना फ़ोन नंबर एक नए फ़ोन पर ले जाएँ। यह एक "के रूप में जाना जाता है सिम स्वैप “, और जब आप एक नया उपकरण खरीदते हैं और आप अपना फ़ोन नंबर उस पर ले जाते हैं, तो वही प्रक्रिया होती है। वह व्यक्ति कहता है कि वे आप हैं, व्यक्तिगत डेटा प्रदान करता है, और आपकी सेल फ़ोन कंपनी आपके फ़ोन नंबर के साथ अपना फ़ोन सेट करती है। वे आपके फ़ोन नंबर पर आपके फ़ोन नंबर पर भेजे गए एसएमएस संदेश कोड प्राप्त करेंगे।
हमने ऐसा होने की रिपोर्ट देखी है उक में , जहां हमलावरों ने पीड़ित के फोन नंबर को चुरा लिया और इसका इस्तेमाल पीड़ित के बैंक खाते तक पहुंचने में किया। न्यूयॉर्क राज्य में भी है आगाह इस घोटाले के बारे में।
इसके मूल में, यह एक है सामाजिक इंजीनियरिंग पर हमला जो आपके सेल फोन कंपनी को धोखा देने पर निर्भर करता है। लेकिन आपकी सेल फ़ोन कंपनी किसी को पहली बार में आपके सुरक्षा कोड तक पहुँच प्रदान करने में सक्षम नहीं होनी चाहिए!
एसएमएस संदेश कई तरीकों से इंटरसेप्ट किए जा सकते हैं
एसएमएस संदेशों पर भी झपकी लेना संभव है। दमनकारी देशों में राजनीतिक असंतुष्ट और पत्रकार सावधान रहना चाहते हैं, क्योंकि सरकार एसएमएस संदेशों को हाईजैक कर सकती है क्योंकि वे फोन नेटवर्क के माध्यम से भेजे गए हैं। इसमें पहले ही हो चुका है ईरान , जहां ईरानी हैकरों ने कथित तौर पर उन संदेशों तक पहुंच प्रदान करने वाले एसएमएस संदेशों को रोककर कई टेलीग्राम मैसेंजर खातों से छेड़छाड़ की।
हमलावरों ने दुर्व्यवहार भी किया है SS7 में समस्याएं रोमिंग के लिए उपयोग की जाने वाली कनेक्शन प्रणाली, नेटवर्क पर एसएमएस संदेशों को इंटरसेप्ट करने के लिए और उन्हें कहीं और रूट करने के लिए। कई अन्य तरीकों से संदेशों को इंटरसेप्ट किया जा सकता है, जिसमें नकली सेल फोन टॉवर का उपयोग शामिल है। एसएमएस संदेश सुरक्षा के लिए डिज़ाइन नहीं किए गए हैं, और इसके लिए उपयोग नहीं किया जाना चाहिए।
दूसरे शब्दों में, व्यक्तिगत जानकारी के एक बिट के साथ एक परिष्कृत हमलावर आपके फोन नंबर को आपके ऑनलाइन खातों तक पहुंच प्राप्त करने के लिए अपहरण कर सकता है और फिर उन खातों का उपयोग करके आपके बैंक खातों को हटाने का प्रयास कर सकता है, उदाहरण के लिए। यही कारण है कि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान है अब सिफारिश नहीं है दो-कारक प्रमाणीकरण के लिए एसएमएस संदेशों का उपयोग।
वैकल्पिक: अपने डिवाइस पर कोड जनरेट करें
सम्बंधित: दो-कारक प्रमाणीकरण के लिए ऑटि को कैसे सेट करें (और उपकरणों के बीच अपने कोड को सिंक करें)
एक दो-कारक प्रमाणीकरण योजना जो एसएमएस पर निर्भर नहीं है, बेहतर है, क्योंकि सेल फोन कंपनी आपके कोड को किसी और को देने में सक्षम नहीं होगी। इसके लिए सबसे लोकप्रिय विकल्प एक ऐप है जैसे Google प्रमाणक । हालाँकि, हम ऑटि की सलाह देते हैं , क्योंकि यह सब कुछ Google प्रमाणक करता है और बहुत कुछ करता है।
इस तरह के ऐप आपके डिवाइस पर कोड जनरेट करते हैं। यहां तक कि अगर एक हमलावर ने आपके सेल फोन कंपनी को आपके फोन नंबर को अपने फोन पर स्थानांतरित करने के लिए धोखा दिया, तो वे आपके सुरक्षा कोड प्राप्त करने में सक्षम नहीं होंगे। उन कोड को जेनरेट करने के लिए आवश्यक डेटा आपके फोन पर सुरक्षित रूप से रहेगा।
सम्बंधित: Google का नया कोड-कम टू-फैक्टर प्रमाणीकरण कैसे सेट करें
आपको या तो कोड का उपयोग नहीं करना पड़ेगा। Twitter, Google और Microsoft जैसी सेवाएँ परीक्षण कर रही हैं ऐप-आधारित दो कारक प्रमाणीकरण जो आपको अपने फ़ोन पर उनके ऐप में साइन-इन अधिकृत करके किसी अन्य डिवाइस पर साइन इन करने की अनुमति देता है।
भौतिक हार्डवेयर टोकन भी हैं जिनका आप उपयोग कर सकते हैं। Google और ड्रॉपबॉक्स जैसी बड़ी कंपनियों ने पहले ही लागू कर दिया है U2F नाम के हार्डवेयर आधारित दो-कारक प्रमाणीकरण टोकन के लिए एक नया मानक । ये सभी आपके सेल फोन कंपनी और पुराने टेलीफोन नेटवर्क पर निर्भर होने से अधिक सुरक्षित हैं।
यदि संभव हो, तो दो-कारक प्रमाणीकरण के लिए एसएमएस से बचें। यह कुछ नहीं से बेहतर है और सुविधाजनक लगता है, लेकिन यह आमतौर पर कम से कम सुरक्षित दो-कारक प्रमाणीकरण योजना है जिसे आप चुन सकते हैं।
दुर्भाग्य से, कुछ सेवाएं आपको एसएमएस का उपयोग करने के लिए मजबूर करती हैं। यदि आप इस बारे में चिंतित हैं, तो आप Google Voice फ़ोन नंबर बना सकते हैं और इसे उन सेवाओं को दे सकते हैं, जिन्हें SMS प्रमाणीकरण की आवश्यकता होती है। आप तब अपने Google खाते में साइन इन कर सकते हैं - जिसे आप अधिक सुरक्षित दो-कारक प्रमाणीकरण पद्धति से सुरक्षित कर सकते हैं - और Google Voice वेबसाइट या ऐप में सुरक्षित संदेश देखें। Google वॉइस से अपने वास्तविक सेल फ़ोन नंबर पर केवल संदेशों को अग्रेषित न करें।
