आपको दो-कारक प्रमाणीकरण के लिए एसएमएस का उपयोग क्यों नहीं करना चाहिए (और इसके बजाय क्या उपयोग करना है)
सुरक्षा विशेषज्ञ आपके ऑनलाइन खातों को जहां भी संभव हो, सुरक्षित करने के लिए दो-कारक प्रमाणीकरण का उपयोग करने की सलाह देते हैं। जब आप साइन इन करने का प्रयास करते हैं, तो कई सेवाएँ एसएमएस सत्यापन के लिए डिफ़ॉल्ट हो जाती हैं, जब आप साइन इन करने का प्रयास करते हैं, तो आपके फ़ोन पर टेक्स्ट संदेश के माध्यम से कोड भेजते हैं।.
पहली चीजें पहली: एसएमएस अभी भी दो-कारक प्रमाणीकरण के बिना बेहतर है!
जब हम यहां एसएमएस के खिलाफ मामला करने जा रहे हैं, तो यह महत्वपूर्ण है कि हम पहले एक बात स्पष्ट करें: एसएमएस का उपयोग दो-कारक प्रमाणीकरण का उपयोग न करने से बेहतर है.
जब आप दो-कारक प्रमाणीकरण का उपयोग नहीं करते हैं, तो किसी को केवल आपके खाते में साइन इन करने के लिए आपके पासवर्ड की आवश्यकता होती है। जब आप एसएमएस के साथ दो-कारक प्रमाणीकरण का उपयोग करते हैं, तो किसी को आपके खाते तक पहुंच प्राप्त करने के लिए अपना पासवर्ड प्राप्त करने और अपने पाठ संदेशों तक पहुंच प्राप्त करने की आवश्यकता होगी। एसएमएस कुछ भी नहीं की तुलना में बहुत अधिक सुरक्षित है.
यदि एसएमएस आपका एकमात्र विकल्प है, तो कृपया एसएमएस का उपयोग करें। हालाँकि, यदि आप सीखना चाहते हैं कि सुरक्षा विशेषज्ञ एसएमएस से बचने की सलाह क्यों देते हैं और हम इसके बजाय क्या सलाह देते हैं, तो पढ़ें.
सिम स्वैप हमलावरों को आपका फोन नंबर चोरी करने की अनुमति देते हैं
यहां बताया गया है कि एसएमएस सत्यापन कैसे काम करता है: जब आप साइन इन करने का प्रयास करते हैं, तो सेवा आपके द्वारा पहले प्रदान किए गए मोबाइल फोन नंबर पर एक पाठ संदेश भेजती है। आप उस कोड को अपने फोन पर प्राप्त करते हैं और साइन इन करने के लिए इसे दर्ज करते हैं। यह कोड केवल एक ही उपयोग के लिए अच्छा है.
यह काफी सुरक्षित लगता है। आखिरकार, आपके पास केवल आपका फोन नंबर है और किसी को कोड-राइट देखने के लिए आपके पास अपना फोन होना चाहिए? दुर्भाग्यवश नहीं.
यदि कोई आपका फोन नंबर जानता है और आपकी सामाजिक सुरक्षा नंबर के अंतिम चार अंकों की तरह व्यक्तिगत जानकारी तक पहुंच प्राप्त कर सकता है-दुर्भाग्य से, यह कई निगमों और सरकारी एजेंसियों के लिए धन्यवाद खोजना आसान है जो ग्राहक डेटा लीक कर चुके हैं-वे आपके फोन से संपर्क कर सकते हैं कंपनी और अपने फोन नंबर को एक नए फोन पर ले जाएं। यह एक "सिम स्वैप" के रूप में जाना जाता है, और जब आप एक नया उपकरण खरीदते हैं और उसी पर अपना फ़ोन नंबर ले जाते हैं, तो यही प्रक्रिया होती है। व्यक्ति कहता है कि वे आप हैं, व्यक्तिगत डेटा प्रदान करता है, और आपकी सेल फ़ोन कंपनी आपके फ़ोन नंबर के साथ अपना फ़ोन सेट करती है। उन्हें आपके फ़ोन नंबर पर भेजे गए एसएमएस संदेश कोड उनके फ़ोन पर मिल जाएंगे.
हमने ब्रिटेन में ऐसा होने की रिपोर्ट देखी है, जहां हमलावरों ने पीड़ित के फोन नंबर को चुरा लिया था और इसका इस्तेमाल पीड़ित के बैंक खाते तक पहुंचने में किया था। न्यूयॉर्क राज्य ने भी इस घोटाले के बारे में चेतावनी दी है.
इसके मूल में, यह एक सामाजिक इंजीनियरिंग हमला है जो आपकी सेल फोन कंपनी को धोखा देने पर निर्भर करता है। लेकिन आपकी सेल फ़ोन कंपनी किसी को पहली बार में आपके सुरक्षा कोड तक पहुँच प्रदान करने में सक्षम नहीं होनी चाहिए!
एसएमएस संदेश कई तरीकों से इंटरसेप्ट किए जा सकते हैं
एसएमएस संदेशों पर भी थपकी देना संभव है। दमनकारी देशों में राजनीतिक असंतुष्ट और पत्रकार सावधान रहना चाहते हैं, क्योंकि सरकार एसएमएस संदेशों को हाईजैक कर सकती है क्योंकि वे फोन नेटवर्क के माध्यम से भेजे जाते हैं। यह ईरान में पहले ही हो चुका है, जहाँ ईरानी हैकरों ने कथित तौर पर उन एसएमएस संदेशों को इंटरसेप्ट करके कई टेलीग्राम मैसेंजर खातों से छेड़छाड़ की थी जो उन खातों तक पहुँच प्रदान करते थे।.
हमलावरों ने एसएस 7 में समस्याओं का दुरुपयोग किया है, रोमिंग के लिए उपयोग की जाने वाली कनेक्शन प्रणाली, नेटवर्क पर एसएमएस संदेशों को इंटरसेप्ट करने और उन्हें कहीं और रूट करने के लिए। कई अन्य तरीकों से संदेशों को इंटरसेप्ट किया जा सकता है, जिसमें नकली सेल फोन टॉवर का उपयोग शामिल है। एसएमएस संदेश सुरक्षा के लिए डिज़ाइन नहीं किए गए थे, और इसका उपयोग नहीं किया जाना चाहिए.
दूसरे शब्दों में, थोड़ी जानकारी के साथ एक परिष्कृत हमलावर आपके फोन नंबर को आपके ऑनलाइन खातों तक पहुंच प्राप्त करने के लिए अपहरण कर सकता है और फिर उन खातों का उपयोग करके आपके बैंक खातों को हटाने का प्रयास कर सकता है, उदाहरण के लिए। यही कारण है कि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान अब दो-कारक प्रमाणीकरण के लिए एसएमएस संदेशों के उपयोग की सिफारिश नहीं कर रहा है.
वैकल्पिक: अपने डिवाइस पर कोड जनरेट करें
एक दो-कारक प्रमाणीकरण योजना जो एसएमएस पर भरोसा नहीं करती है, बेहतर है, क्योंकि सेल फोन कंपनी किसी और को आपके कोड तक पहुंच देने में सक्षम नहीं होगी। इसके लिए सबसे लोकप्रिय विकल्प Google प्रमाणक जैसा एक ऐप है। हालाँकि, हम Authy की सलाह देते हैं, क्योंकि यह सब कुछ Google प्रमाणक करता है और बहुत कुछ करता है.
इस तरह के ऐप आपके डिवाइस पर कोड जनरेट करते हैं। यहां तक कि अगर एक हमलावर ने आपके सेल फोन कंपनी को अपने फोन नंबर को अपने फोन पर स्थानांतरित करने में धोखा दिया, तो वे आपके सुरक्षा कोड प्राप्त करने में सक्षम नहीं होंगे। उन कोड को जेनरेट करने के लिए आवश्यक डेटा आपके फोन पर सुरक्षित रूप से रहेगा.
आपको कोड का उपयोग करने की आवश्यकता नहीं है। ट्विटर, Google और Microsoft जैसी सेवाएँ ऐप-आधारित दो कारक प्रमाणीकरण का परीक्षण कर रही हैं जो आपको अपने फ़ोन में साइन-इन को अधिकृत करके किसी अन्य डिवाइस पर साइन इन करने की अनुमति देता है.
भौतिक हार्डवेयर टोकन भी हैं जिनका आप उपयोग कर सकते हैं। Google और ड्रॉपबॉक्स जैसी बड़ी कंपनियों ने पहले से ही U2F नाम के हार्डवेयर आधारित दो-कारक प्रमाणीकरण टोकन के लिए एक नया मानक लागू किया है। ये सभी आपके सेल फोन कंपनी और पुराने टेलीफोन नेटवर्क पर निर्भर होने से अधिक सुरक्षित हैं.
यदि संभव हो, तो दो-कारक प्रमाणीकरण के लिए एसएमएस से बचें। यह कुछ नहीं से बेहतर है और सुविधाजनक लगता है, लेकिन यह आमतौर पर कम से कम सुरक्षित दो-कारक प्रमाणीकरण योजना है जिसे आप चुन सकते हैं.
दुर्भाग्य से, कुछ सेवाएं आपको एसएमएस का उपयोग करने के लिए मजबूर करती हैं। यदि आप इस बारे में चिंतित हैं, तो आप Google Voice फ़ोन नंबर बना सकते हैं और इसे उन सेवाओं को दे सकते हैं, जिन्हें SMS प्रमाणीकरण की आवश्यकता होती है। आप तब अपने Google खाते में साइन इन कर सकते हैं-जिसे आप अधिक सुरक्षित दो-कारक प्रमाणीकरण विधि से सुरक्षित कर सकते हैं-और Google Voice वेबसाइट या ऐप में सुरक्षित संदेश देख सकते हैं। Google वॉइस से अपने वास्तविक सेल फ़ोन नंबर पर संदेशों को अग्रेषित न करें.