टू-फैक्टर ऑथेंटिकेशन हर जगह है। जिस क्षण से आप अपने जीमेल खाते में साइन इन करते हैं और पेपैल के माध्यम से अपने वित्तीय विवरण तक पहुंचने के लिए, 2FA आपको लॉग इन करने के अधिक सुरक्षित तरीके के रूप में बधाई देता है। आप इसे PS5 या Xbox Series X सेट करते समय भी पाएंगे। हेक , संभावना है, आप पहले से ही आज के अभ्यस्त हैं।
बहु-कारक प्रमाणीकरण के रूप में भी जाना जाता है, 2FA सुरक्षा की एक अतिरिक्त परत है - जिसका उपयोग लगभग हर ऑनलाइन प्लेटफ़ॉर्म द्वारा किया जाता है - जो कई निम्न-स्तरीय हैकर्स को उनके ट्रैक में रोकता है, आपकी सभी मूल्यवान निजी जानकारी को भंग होने से बचाता है।
- 2022-2023 में सबसे अच्छा फोन डील
- 2022-2023 में सर्वश्रेष्ठ स्मार्टफोन खोजें
काश, हैकिंग की रणनीति हमेशा के लिए विकसित हो रही है, और यह केवल एक चालाक साइबर अपराधी है जो कवच में एक छोटा सा छेद ढूंढता है और लूटता है जो कभी उनके दिल की सामग्री के लिए अभेद्य खाते थे। लेकिन किसी अनजान पीड़ित के खाते तक पहुंच प्राप्त करने के लिए आपको डिक्रिप्टिंग कोड के जानकार होने की आवश्यकता नहीं है।
वास्तव में, 2022-2023 वेरिज़ॉन डेटा ब्रीच इन्वेस्टिगेशन रिपोर्ट के अनुसार, 5,250 में से 61 प्रतिशत ने सुरक्षा उल्लंघनों की पुष्टि की, अमेरिकी नेटवर्क ऑपरेटर ने चोरी किए गए क्रेडेंशियल्स का विश्लेषण किया। बेशक, मल्टी-फैक्टर ऑथेंटिकेशन का उद्देश्य दुर्भावनापूर्ण अभिनेताओं को किसी खाते तक पहुंच प्राप्त करने से रोकना है, भले ही वे एक सुपर-सीक्रेट पासवर्ड खोज लें।
लेकिन जिस तरह स्कार ने मुफासा को अब तक के सबसे बड़े विश्वासघातों में से एक में अपने विनाश के लिए छोड़ दिया, सुरक्षा पद्धति भी साइबर आपराधिक गतिविधि का मूल कारण हो सकती है। असली देशद्रोही? आपका पुराना फोन नंबर।
यह बेहतर ढंग से समझने के लिए कि कैसे हमलावर आपके खिलाफ दो-कारक प्रमाणीकरण का आसानी से उपयोग कर सकते हैं, यह जानना सबसे अच्छा है कि ऑनलाइन सुरक्षा पद्धति क्या है और यह कैसे काम करती है। अगर यह मदद करता है, तो इस पूरे टुकड़े में अपने पुराने फोन नंबर को निशान के रूप में सोचें।
दो-कारक प्रमाणीकरण क्या है?
मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) एक डिजिटल प्रमाणीकरण विधि है जिसका उपयोग उपयोगकर्ता की पहचान की पुष्टि करने के लिए किया जाता है ताकि उन्हें कम से कम दो साक्ष्य के माध्यम से वेबसाइट या ऐप तक पहुंच की अनुमति मिल सके। दो-कारक प्रमाणीकरण, जिसे अधिक लोकप्रिय रूप से 2FA के रूप में जाना जाता है, सबसे अधिक उपयोग की जाने वाली विधि है।
2FA के काम करने के लिए, किसी खाते में लॉग इन करने के लिए उपयोगकर्ता के पास कम से कम दो महत्वपूर्ण क्रेडेंशियल्स होने चाहिए (मल्टी-फैक्टर के साथ आमतौर पर तीन से अधिक अलग-अलग विवरण शामिल होते हैं)। इसका मतलब यह है कि अगर किसी अनधिकृत उपयोगकर्ता को पासवर्ड मिल जाता है, तो भी उन्हें उस खाते से जुड़े ईमेल या फोन नंबर तक पहुंच की आवश्यकता होगी जहां एक अतिरिक्त स्तर की सुरक्षा के लिए एक विशेष कोड भेजा जाता है।
उदाहरण के लिए, किसी उपयोगकर्ता को अपने खाते तक पहुंचने के लिए एक उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होगी, लेकिन उपयोगकर्ता की पहचान की पुष्टि करने के लिए उसे एक अद्वितीय कोड या फिंगरप्रिंट पहचान जैसे प्रमाणीकरण के दूसरे रूप की भी आवश्यकता होती है। लेन-देन करने से पहले इस दूसरे कारक का भी उपयोग किया जा सकता है।
जैसा कि सॉफ्टवेयर कंपनी पिंग आइडेंटिटी द्वारा समझाया गया है, 2FA की आवश्यक साख तीन अलग-अलग श्रेणियों में विभाजित है: "आप क्या जानते हैं", "आपके पास क्या है", और "आप क्या हैं।" "आप क्या जानते हैं" या आपके ज्ञान के संदर्भ में, यह आपके पासवर्ड, पिन नंबर, या सुरक्षा प्रश्न के उत्तर के लिए आता है जैसे "आपकी मां का पहला नाम क्या है?" (ऐसा कुछ जो मुझे कभी याद नहीं आता)।
"आप क्या हैं" यकीनन सबसे सुरक्षित श्रेणी है, क्योंकि यह केवल आपके लिए अद्वितीय भौतिक विशेषता से आपकी पहचान की पुष्टि करता है। यह आमतौर पर स्मार्टफोन पर देखा जाता है, जैसे कि आईफोन या सैमसंग गैलेक्सी फोन, बायोमेट्रिक प्रमाणीकरण जैसे कि फिंगरप्रिंट या फेशियल स्कैन का उपयोग करके एक्सेस प्राप्त करने के लिए।
जहां तक "आपके पास क्या है" का संबंध है, इसका मतलब है कि आपके पास क्या है, जो स्मार्ट डिवाइस से लेकर स्मार्टकार्ड तक कुछ भी हो सकता है। आम तौर पर, इस पद्धति का अर्थ है एसएमएस के माध्यम से आपके फोन पर एक पॉप-अप सूचना प्राप्त करना, जिसे किसी खाते तक पहुंच प्राप्त करने से पहले पुष्टि करने की आवश्यकता होती है। व्यवसाय के लिए Google Gmail का उपयोग करने वाले किसी भी पेशेवर के लिए, आप इस श्रेणी में आ गए होंगे।
दुर्भाग्य से, वह अंतिम श्रेणी चिंता का कारण है, खासकर जब आप फोन नंबर रीसाइक्लिंग को मिश्रण में फेंक देते हैं।
फोन नंबर रीसाइक्लिंग
फ़ेडरल कम्युनिकेशंस कमीशन (FCC) के अनुसार, यू.एस. में 35 मिलियन से अधिक नंबर डिस्कनेक्ट हो जाते हैं और हर साल एक नए ग्राहक को उन्हें पुन: असाइन करके फिर से उपलब्ध हो जाते हैं। निश्चित रूप से, संख्याएं अनंत और सभी हैं, लेकिन मोबाइल नेटवर्क अपने ग्राहकों को केवल 10 या 11-अंकीय संयोजन प्रदान कर सकता है।
यूके का ऑफ़िस ऑफ़ कम्युनिकेशंस (ऑफकॉम), वह इकाई जो यूके नेटवर्क प्रदाताओं को मोबाइल नंबर प्रदान करती है, बताती है (द इवनिंग स्टैंडर्ड के माध्यम से) कि उसके पास पे-एज़-यू-गो के लिए एक सख्त "इसका उपयोग करें या इसे खो दें" नीति है। मोबाइल नंबर। वोडाफोन बिना किसी गतिविधि के सिर्फ 90 दिनों के बाद एक फोन नंबर को डिस्कनेक्ट और रीसायकल करता है, जबकि O2 ऐसा 12 महीने के बाद करता है।
यू.एस. में, वेरिज़ोन और टी-मोबाइल सहित नेटवर्क प्रदाता ग्राहकों को अपनी वेबसाइट या ऐप के माध्यम से ऑनलाइन नंबर परिवर्तन इंटरफेस पर दिखाए गए उपलब्ध नंबरों को बदलने और चुनने देते हैं। लाखों पुनर्नवीनीकरण फ़ोन नंबर उपलब्ध हैं, जिनमें से प्रत्येक दिन अधिक जमा हो रहा है।
पुनर्नवीनीकरण नंबर उन लोगों के लिए हानिकारक हो सकते हैं, जिनके पास मूल रूप से उनका स्वामित्व था, क्योंकि जीमेल और फेसबुक सहित कई प्लेटफॉर्म पासवर्ड रिकवरी के लिए आपके मोबाइल नंबर से जुड़े हुए हैं या, और यहां किकर, टू-फैक्टर ऑथेंटिकेशन है।
कैसे 2FA आपको जोखिम में डालता है
प्रिंसटन यूनिवर्सिटी के एक अध्ययन में पता चला कि कोई भी कितनी आसानी से एक पुनर्नवीनीकरण फोन नंबर प्राप्त कर सकता है और इसका उपयोग कई सामान्य साइबर हमलों के लिए कर सकता है, जिसमें खाता अधिग्रहण और यहां तक कि किसी खाते को बंधक बनाकर और पहुंच के बदले में फिरौती मांगने से इनकार करना शामिल है।
अध्ययन के अनुसार, एक हमलावर उपलब्ध नंबर ढूंढ सकता है और जांच सकता है कि उनमें से कोई पिछले मालिकों के ऑनलाइन खातों से जुड़ा है या नहीं। अपने ऑनलाइन प्रोफाइल को देखने और यह देखने के लिए कि क्या उनका पुराना नंबर जुड़ा हुआ है, हमलावर पुनर्नवीनीकरण नंबर (टी-मोबाइल पर सिर्फ $15) खरीद सकते हैं और खातों पर पासवर्ड रीसेट कर सकते हैं। 2FA का उपयोग करते हुए, वे एसएमएस के माध्यम से भेजे गए विशेष कोड को प्राप्त करेंगे और दर्ज करेंगे।
शोधकर्ताओं ने दो अमेरिकी मोबाइल वाहकों के माध्यम से प्राप्त 259 नंबरों का परीक्षण किया और पाया कि उनमें से 171 का आम तौर पर उपयोग की जाने वाली छह वेबसाइटों में से कम से कम एक पर एक लिंक खाता था: अमेज़ॅन, एओएल, फेसबुक, गूगल, पेपाल और याहू। इसे "रिवर्स लुकअप अटैक" कहा जाता है।
शोधकर्ताओं ने हमले की एक और भिन्नता पाई जिसने दुर्भावनापूर्ण अभिनेताओं को पासवर्ड रीसेट किए बिना खातों को हाईजैक करने की अनुमति दी। ऑनलाइन लोग खोज सेवा का उपयोग करना BeenVerified, एक हैकर एक पुनर्नवीनीकरण फोन नंबर का उपयोग करके एक ईमेल पते की खोज कर सकता है, फिर जांचें कि क्या ईमेल पते डेटा उल्लंघनों में शामिल थे, हैव आई बीन प्वॉड? का उपयोग करके। यदि उनके पास होता, तो हमलावर साइबर क्रिमिनल ब्लैक मार्केट में पासवर्ड खरीद सकता था और पासवर्ड रीसेट करने की आवश्यकता के बिना 2FA-सक्षम खाते में सेंध लगा सकता था।
मामले को और खराब करने के लिए हमलावर आपके अकाउंट को बंधक भी बना सकते हैं. एक बुरा चाल यह देखती है कि एक हैकर कई ऑनलाइन सेवाओं में साइन अप करने के लिए एक नंबर प्राप्त करता है जिसके लिए एक फ़ोन नंबर की आवश्यकता होती है। एक बार पूरा होने के बाद, वे सेवा बंद कर देते हैं ताकि नए ग्राहक द्वारा उपयोग शुरू करने के लिए नंबर को पुनर्नवीनीकरण किया जा सके। जब नया उपयोगकर्ता समान सेवाओं के लिए साइन अप करने का प्रयास करता है, तो हैकर को 2FA के माध्यम से सूचित किया जाएगा, और उन्हें सेवा का उपयोग करने के तरीके से वंचित कर दिया जाएगा। धमकी देने वाला अभिनेता तब पीड़ित से फिरौती देने के लिए कहेगा यदि वे इन ऑनलाइन सेवाओं का उपयोग करना चाहते हैं।
इस तरह से 2FA का उपयोग करना अत्याचारी है, लेकिन यह इसे होने से नहीं रोकता है। टी-मोबाइल ने दिसंबर में शोध की समीक्षा की, और अब ग्राहकों को बैंक खातों और सोशल मीडिया प्रोफाइल पर अपने नंबर परिवर्तन समर्थन पृष्ठ पर अपना संपर्क नंबर अपडेट करने की याद दिलाता है। लेकिन यह सब वाहक के पास करने की शक्ति है, जिसका अर्थ है कि जिन्हें सूचित नहीं किया जाएगा वे हमलों के लिए खुले होंगे।
2FA का उपयोग करने के वैकल्पिक तरीके
अगर कुछ भी, फ़ोन नंबर और 2FA बहुत अच्छी तरह से मेल नहीं खाते हैं। हालाँकि, अच्छी खबर यह है कि 2FA का उपयोग करने का विकल्प चुनने पर अब और विकल्प उपलब्ध हैं, जिनमें उपरोक्त बायोमेट्रिक विधियाँ या प्रमाणक ऐप शामिल हैं।
हालाँकि, ये विकल्प हमेशा उपलब्ध नहीं होते हैं, और कभी-कभी, ऑनलाइन सेवाएँ आपको केवल 2FA के लिए दो विकल्प प्रदान करती हैं: आपका फ़ोन नंबर या आपका ईमेल पता। यदि आप नहीं चाहते कि हैकर्स आपकी निजी जानकारी के माध्यम से अफवाह उड़ाएं, तो ईमेल प्रमाणीकरण का विकल्प चुनना सबसे अच्छा है। बेशक, ऐसे लोग हैं जो हमेशा अपने ईमेल का उपयोग नहीं करते हैं, और समय के साथ, अक्सर अपने पासवर्ड भूल जाते हैं। कोई पासवर्ड नहीं, इसका मतलब प्रमाणीकरण कोड प्राप्त करने का कोई तरीका नहीं है।
इसे हल करने के लिए, पासवर्ड मैनेजर ढूंढना सबसे अच्छा है। लास्टपास अपनी फ्री-टियर सेवा की बदौलत सालों से गो-टू हुआ करता था, लेकिन जाँच के लायक अन्य दावेदार भी हैं।
"लेकिन क्या होगा अगर मैं पहले से ही 2FA के लिए अपने फ़ोन नंबर का उपयोग कर रहा हूँ?" मैंने सुना है आप पूछते हैं। यदि आप अपना फ़ोन नंबर बदलने पर विचार कर रहे हैं, तो स्विच करने से पहले अपने फ़ोन नंबर को उन ऑनलाइन सेवाओं से अनलिंक करना सुनिश्चित करें जिनसे यह जुड़ा हुआ है। और, यदि आपने पहले ही स्विच कर लिया है, तो यह आपके समय के लायक है कि आप अपने खातों को अपडेट करने के लिए किसी भी निशान (फोन नंबर) से छुटकारा पाने के लिए इंतजार कर रहे हैं जब आप कम से कम इसकी उम्मीद करते हैं।
आउटलुक
दो-कारक प्रमाणीकरण हर जगह है, और यह यहाँ रहने के लिए है। वास्तव में, Google जल्द ही आपको साइन इन करते समय 2FA का उपयोग करने के लिए बाध्य करेगा, जिसमें तकनीकी दिग्गज "पासवर्ड के बिना सुरक्षित भविष्य" के लिए वाउचिंग करेंगे। यह एक भयानक विचार नहीं है, लेकिन कई लोगों के लिए अपने फोन नंबरों को पहचानने के तरीके के रूप में उपयोग करने की संभावना है। हमें यकीन है कि निम्न-स्तरीय हैकर्स उस की आवाज़ को पसंद करते हैं।
ऐसा होने से रोकने के लिए, एक बार 2FA सभी ऑनलाइन प्लेटफॉर्म पर कब्जा करना शुरू कर देता है, तो आपको बस इतना करना है कि इस लेख का शीर्षक पढ़ें और हमारी सलाह का पालन करें।