मुखपृष्ठ » कैसे » टू-फैक्टर ऑथेंटिकेशन एसएमएस, ऑटिसेलेटर ऐप और विभिन्न के विभिन्न रूप

    टू-फैक्टर ऑथेंटिकेशन एसएमएस, ऑटिसेलेटर ऐप और विभिन्न के विभिन्न रूप

    कई ऑनलाइन सेवाएं दो-कारक प्रमाणीकरण प्रदान करती हैं, जो साइन इन करने के लिए केवल आपके पासवर्ड से अधिक सुरक्षा की आवश्यकता को बढ़ाता है। कई अलग-अलग प्रकार के अतिरिक्त प्रमाणीकरण तरीके हैं जिनका आप उपयोग कर सकते हैं।.

    विभिन्न सेवाएं अलग-अलग दो-कारक प्रमाणीकरण विधियों की पेशकश करती हैं, और कुछ मामलों में, आप कुछ अलग विकल्पों में से भी चुन सकते हैं। यहां बताया गया है कि वे कैसे काम करते हैं और कैसे अलग होते हैं.

    एसएमएस सत्यापन

    जब भी आप अपने खाते में लॉग इन करते हैं, तो कई सेवाएँ आपको एक एसएमएस संदेश प्राप्त करने के लिए साइन अप करने की अनुमति देती हैं। उस एसएमएस संदेश में एक लघु-समय-उपयोग कोड होगा जिसे आपको दर्ज करना होगा। इस प्रणाली के साथ, आपके सेल फोन को दूसरी प्रमाणीकरण विधि के रूप में उपयोग किया जाता है। यदि आपके पास आपका पासवर्ड है तो कोई भी आपके खाते में नहीं जा सकता है-उन्हें आपके पासवर्ड और आपके फ़ोन या उसके एसएमएस संदेशों तक पहुंचने की आवश्यकता है.

    यह सुविधाजनक है, क्योंकि आपको कुछ विशेष करने की आवश्यकता नहीं है, और अधिकांश लोगों के पास सेल फोन हैं। कुछ सेवाएँ फ़ोन नंबर भी डायल करेंगी और एक स्वचालित प्रणाली एक कोड बोलेंगी, जिससे आप लैंडलाइन फ़ोन नंबर के साथ इसका उपयोग कर सकते हैं, जो कुछ संदेश प्राप्त कर सकते हैं.

    हालांकि, एसएमएस सत्यापन के साथ बड़ी समस्याएं हैं। हमलावर आपके सुरक्षित कोड तक पहुंच प्राप्त करने के लिए सिम स्वैप हमलों का उपयोग कर सकते हैं या सेलुलर नेटवर्क की खामियों के लिए उन्हें रोक सकते हैं। यदि संभव हो तो हम एसएमएस संदेशों का उपयोग करने के खिलाफ सलाह देते हैं। हालांकि, एसएमएस संदेश अभी भी किसी भी दो-कारक प्रमाणीकरण का उपयोग नहीं करने की तुलना में बहुत अधिक सुरक्षित हैं!

    ऐप-जेनरेट किए गए कोड (जैसे Google प्रमाणक और ऑटि)

    आप अपने कोड को अपने फोन पर एक ऐप द्वारा जनरेट कर सकते हैं। सबसे व्यापक रूप से जाना जाने वाला ऐप Google प्रमाणक है, जो Google Android और iPhone के लिए प्रदान करता है। हालाँकि, हम Authy पसंद करते हैं, जो Google प्रमाणक-और सब कुछ करता है। नाम के बावजूद, ये ऐप एक खुले मानक का उपयोग करते हैं। उदाहरण के लिए, Google प्रमाणक ऐप में Microsoft खाते और कई अन्य प्रकार के खाते जोड़ना संभव है.

    एप्लिकेशन इंस्टॉल करें, नया खाता सेट करते समय कोड को स्कैन करें, और यह ऐप लगभग हर 30 सेकंड में नए कोड उत्पन्न करेगा। जब आप एक खाते में प्रवेश करते हैं तो आपको अपने फोन पर ऐप में प्रदर्शित वर्तमान कोड और अपना पासवर्ड दर्ज करना होगा.

    इसके लिए एक सेलुलर सिग्नल की आवश्यकता नहीं है, और "बीज" जो एप्लिकेशन को उन समय-सीमित कोड को उत्पन्न करने की अनुमति देता है, केवल आपके डिवाइस पर संग्रहीत है। इसका मतलब है कि यह बहुत अधिक सुरक्षित है, यहां तक ​​कि कोई भी जो आपके फोन नंबर तक पहुंच प्राप्त करता है या आपके पाठ संदेशों को स्वीकार करता है, आपके कोड को नहीं जान पाएंगे.

    कुछ सेवाओं-उदाहरण के लिए, बर्फ़ीला तूफ़ान का Battle.net प्रमाणक-भी अपने स्वयं के समर्पित कोड-उत्पादक ऐप्स हैं.

    भौतिक प्रमाणीकरण कुंजी

    भौतिक प्रमाणीकरण कुंजियाँ एक और विकल्प है जो अधिक लोकप्रिय होने लगी हैं। प्रौद्योगिकी और वित्तीय क्षेत्रों की बड़ी कंपनियां U2F के रूप में जाना जाने वाला एक मानक बना रही हैं, और आपके Google, ड्रॉपबॉक्स और GitHub खातों को सुरक्षित करने के लिए पहले से ही भौतिक U2F टोकन का उपयोग करना संभव है। यह सिर्फ एक छोटी सी USB कुंजी है जिसे आप अपने किचेन में रखते हैं। जब भी आप एक नए कंप्यूटर से अपने खाते में लॉग इन करना चाहते हैं, तो आपको USB कुंजी डालनी होगी और उस पर एक बटन दबाना होगा। यह कोई टाइपिंग कोड नहीं है। भविष्य में, इन उपकरणों को यूएसबी पोर्ट के बिना मोबाइल उपकरणों के साथ संचार के लिए एनएफसी और ब्लूटूथ के साथ काम करना चाहिए.

    यह सॉल्यूशन एसएमएस वेरिफिकेशन और वन-टाइम-कोड कोड से बेहतर काम करता है क्योंकि इसे इंटरसेप्ट और मैसेज नहीं किया जा सकता। यह उपयोग करने के लिए सरल और अधिक सुविधाजनक भी है। उदाहरण के लिए, फ़िशिंग साइट आपको एक नकली Google लॉगिन पृष्ठ दिखा सकती है और जब आप लॉग इन करने का प्रयास करते हैं तो अपना एक बार उपयोग करने वाला कोड कैप्चर कर सकते हैं। वे तब Google में लॉग इन करने के लिए उस कोड का उपयोग कर सकते थे। लेकिन, एक भौतिक प्रमाणीकरण कुंजी के साथ जो आपके ब्राउज़र के साथ कॉन्सर्ट में काम करती है, ब्राउज़र यह सुनिश्चित कर सकता है कि यह वास्तविक वेबसाइट के साथ संचार कर रहा है और कोड को हमलावर द्वारा कब्जा नहीं किया जा सकता है।.

    भविष्य में इनमें से बहुत कुछ देखने की उम्मीद है.

    ऐप-आधारित प्रमाणीकरण

    कुछ मोबाइल एप्लिकेशन ऐप का उपयोग करके दो-कारक प्रमाणीकरण प्रदान कर सकते हैं। उदाहरण के लिए, Google अब एक कोड-लेस टू-फैक्टर ऑथेंटिकेशन प्रदान करता है, जब तक आपके पास Google ऐप आपके फ़ोन पर इंस्टॉल होता है। जब भी आप किसी अन्य कंप्यूटर या डिवाइस से Google में लॉग इन करने का प्रयास करते हैं, तो आपको बस अपने फोन पर एक बटन टैप करना होगा, कोई कोड आवश्यक नहीं है। लॉग इन करने का प्रयास करने से पहले Google यह सुनिश्चित करने के लिए जाँच कर रहा है कि आपके फ़ोन तक आपकी पहुँच है.

    Apple का दो-चरणीय सत्यापन समान रूप से काम करता है, हालांकि यह ऐप का उपयोग नहीं करता है-यह स्वयं iOS ऑपरेटिंग सिस्टम का उपयोग करता है। जब भी आप एक नए डिवाइस से लॉग इन करने का प्रयास करते हैं, तो आप अपने iPhone या iPad की तरह एक पंजीकृत डिवाइस को भेजे गए एक बार का उपयोग कोड प्राप्त कर सकते हैं। ट्विटर के मोबाइल ऐप में एक समान सुविधा है जिसे लॉगिन सत्यापन भी कहा जाता है। और, Google और Microsoft ने इस सुविधा को Google और Microsoft प्रमाणक स्मार्टफ़ोन ऐप में जोड़ा है.

    ईमेल-आधारित प्रणाली

    अन्य सेवाएँ आपको प्रमाणित करने के लिए आपके ईमेल खाते पर भरोसा करती हैं। उदाहरण के लिए, यदि आप स्टीम गार्ड को सक्षम करते हैं, तो स्टीम आपको एक नए कंप्यूटर से लॉग इन करने पर हर बार आपके ईमेल पर भेजे गए एक-बार-उपयोग कोड दर्ज करने के लिए प्रेरित करेगा। कम से कम यह सुनिश्चित करता है कि एक हमलावर को आपके स्टीम अकाउंट पासवर्ड और उस खाते तक पहुंच प्राप्त करने के लिए आपके ईमेल खाते तक पहुंचने की आवश्यकता होगी.

    यह अन्य दो-चरणीय सत्यापन विधियों की तरह सुरक्षित नहीं है, क्योंकि किसी के लिए आपके ईमेल खाते तक पहुंच प्राप्त करना आसान हो सकता है, खासकर यदि आप उस पर दो-चरणीय सत्यापन का उपयोग नहीं कर रहे हैं! ईमेल-आधारित सत्यापन से बचें यदि आप कुछ मजबूत उपयोग कर सकते हैं। (शुक्र है, स्टीम अपने मोबाइल ऐप पर ऐप-आधारित प्रमाणीकरण प्रदान करता है।)

    द लास्ट रिजॉर्ट: रिकवरी कोड्स

    यदि आप दो-कारक प्रमाणीकरण विधि खो देते हैं तो रिकवरी कोड एक सुरक्षा जाल प्रदान करते हैं। जब आप दो-कारक प्रमाणीकरण सेट करते हैं, तो आपको आमतौर पर पुनर्प्राप्ति कोड प्रदान किए जाएंगे जो आपको लिखना चाहिए और कहीं सुरक्षित स्टोर करना चाहिए। यदि आप कभी भी अपना दो-चरणीय सत्यापन विधि खो देते हैं तो आपको उनकी आवश्यकता होगी.

    सुनिश्चित करें कि आपके पास अपने पुनर्प्राप्ति कोड की एक प्रति है यदि आप दो-चरणीय प्रमाणीकरण का उपयोग कर रहे हैं.


    आपको अपने प्रत्येक खाते के लिए यह कई विकल्प नहीं मिलेंगे। हालाँकि, कई सेवाएं कई टू-स्टेप सत्यापन विधियों की पेशकश करती हैं जिनसे आप चुन सकते हैं.

    कई द्वि-कारक प्रमाणीकरण विधियों का उपयोग करने का विकल्प भी है। उदाहरण के लिए, यदि आप कोड-जनरेटिंग ऐप और भौतिक सुरक्षा कुंजी दोनों सेट करते हैं, तो यदि आप कभी भी भौतिक कुंजी खो देते हैं, तो आप ऐप के माध्यम से अपने खाते तक पहुंच प्राप्त कर सकते हैं.