पिछले कुछ वर्षों में “दूसरा कारक” एक मार्केटिंग शब्द बन गया है। औपचारिक रूप से यह मौजूद होता है, लेकिन व्यवहार में अक्सर वास्तविक सुरक्षा प्रदान नहीं करता।
यदि आपका खाता अभी भी एस एम एस संदेशों या मैसेंजर अनुप्रयोगों से भेजे गए कोड द्वारा सुरक्षित है, तो यह मान लेना चाहिए कि वास्तव में आपके पास कोई दूसरा कारक नहीं है।
आइए इसके कारणों को समझते हैं।
एस एम एस को अब सुरक्षा क्यों नहीं माना जाता
एस एम एस कोई सुरक्षा तंत्र नहीं है। यह दूरसंचार युग की विरासत है। इसे कभी भी सुरक्षित चैनल के रूप में डिज़ाइन नहीं किया गया था।
मुख्य समस्याएँ:
1. सिम कार्ड का दुरुपयोग कोई दुर्लभ घटना नहीं है
सामाजिक अभियांत्रिकी के माध्यम से सिम कार्ड को दोबारा जारी करना एक सामान्य प्रक्रिया है। पहचान पत्र, “ऑपरेटर की गलती” या आंतरिक पहुँच अक्सर पर्याप्त होती है।
परिणाम: फोन नंबर हमलावर के पास चला जाता है, और उसके साथ ही सभी कोड भी।
2. एस एस सेवन और दूरसंचार अवसंरचना
सिग्नलिंग नेटवर्क कई दशक पहले बनाए गए थे। फोन तक भौतिक पहुँच के बिना भी एस एम एस संदेशों को इंटरसेप्ट करना संभव है।
3. ऑपरेटर एकल विफलता बिंदु है
रोमिंग समस्याएँ, अवरोध या तकनीकी खराबियाँ — और आप अपने खातों में प्रवेश नहीं कर पाते।
4. कोई एन्क्रिप्शन नहीं
एस एम एस संदेश खुले पाठ के रूप में संग्रहीत और प्रेषित किए जाते हैं। वे कहाँ, कितने समय तक और किसके द्वारा संसाधित होते हैं — इस पर आपका कोई नियंत्रण नहीं होता।
निष्कर्ष: एस एम एस सुविधा का कारक है, सुरक्षा का नहीं।
एस एम एस के स्थान पर मैसेंजर — और भी खराब
एस एम एस को मैसेंजर अनुप्रयोगों से “बेहतर” बनाने का प्रयास एक झूठे उन्नयन का क्लासिक उदाहरण है।
छह अंकों का कोड प्राप्त करने के लिए आपसे अपेक्षा की जाती है कि आप:
- एक भारी अनुप्रयोग स्थापित करें,
- फोन नंबर को जोड़ें,
- मेटाडाटा साझा करें,
- इंटरनेट कनेक्शन पर निर्भर रहें,
- बंद स्रोत कोड पर भरोसा करें।
यह हमले की सतह को बढ़ाता है, कम नहीं करता।
सुरक्षा के दृष्टिकोण से यह निरर्थक है।
गोपनीयता के दृष्टिकोण से यह हानिकारक है।
टी ओ टी पी मूल रूप से क्या बदलता है
टी ओ टी पी कोई उत्पाद या ब्रांड नहीं है। यह एक खुला मानक है।
मुख्य विचार:
👉 कोड बाहर से नहीं आता — उसे स्थानीय रूप से गणना किया जाता है।
व्यवहार में इसका अर्थ:
- कोई ट्रांसमिशन चैनल नहीं → इंटरसेप्ट करने के लिए कुछ भी नहीं
- ऑफलाइन कार्यक्षमता → ऑपरेटरों और सेवाओं पर निर्भरता नहीं
- कोई फोन नंबर नहीं → पहचान से कम जुड़ाव
- पूर्वानुमेय खतरा मॉडल → क्रिप्टोग्राफी, न कि “क्लाउड”
सर्वर और आपका उपकरण केवल समान गणनाएँ करते हैं, यह जानते हुए:
- साझा रहस्य;
- वर्तमान समय।
वे एक-दूसरे से संवाद नहीं करते। यही इसकी ताकत है।
महत्वपूर्ण बातें जिन पर लगभग कोई बात नहीं करता
1. सुरक्षा कोड नहीं, बल्कि रहस्य प्रदान करता है
छह अंक केवल एक दृश्य रूप हैं।
यदि गुप्त कुंजी लीक हो जाती है, तो टी ओ टी पी व्यावहारिक रूप से समाप्त हो जाता है।
इसलिए:
- क्यू आर कोड का अर्थ कुंजी है,
- स्क्रीनशॉट का अर्थ संभावित समझौता है,
- क्लाउड में संग्रहण का अर्थ जोखिम है।
यदि रहस्य लीक हो जाए, तो बिना किसी देरी के दो-कारक प्रमाणीकरण रीसेट करें।
2. टी ओ टी पी प्रॉक्सी आधारित फ़िशिंग से नहीं बचाता
यह इस श्रेणी के तंत्र की एक मौलिक सीमा है।
यदि:
- आप कोड किसी नकली वेबसाइट पर दर्ज करते हैं,
- हमलावर तुरंत उसी को वास्तविक वेबसाइट पर उपयोग करता है,
तो टी ओ टी पी कुछ भी नहीं कर सकता।
इसलिए:
- लॉगिन केवल बुकमार्क या पासवर्ड प्रबंधक के माध्यम से करें;
- डोमेन नाम की कड़ी जाँच करें;
- कोई भी “तत्काल संदेश” कोड दर्ज करने का कारण नहीं है।
3. बैकअप विकल्प नहीं, बल्कि अनिवार्यता हैं
बैकअप कोड के बिना फोन खोना खाते को खोने के बराबर है।
नियम सरल है:
- बैकअप कोड लिखकर रखें;
- उन्हें ऑफलाइन या पासवर्ड प्रबंधक में सुरक्षित रखें;
- “बाद में” पर निर्भर न रहें।
दो हज़ार पच्चीस में क्या उपयोग करना चाहिए
न्यूनतम समझदारी भरा विकल्प
- एंड्रॉइड के लिए एजिस: मुक्त स्रोत सॉफ़्टवेयर, स्थानीय रूप से एन्क्रिप्टेड बैकअप
- आई ओ एस प्रणाली या पासवर्ड प्रबंधकों में अंतर्निर्मित टी ओ टी पी — स्वीकार्य समाधान
सावधानी के साथ उपयोग करें
- क्लाउड समन्वयन के साथ गूगल ऑथेंटिकेटर
(खाते का समझौता सभी कारकों की हानि का कारण बनता है)
टी ओ टी पी से बेहतर
- वेबऑथन, पासकीज़ और फिडो टू
फ़िशिंग के विरुद्ध प्रतिरोध डिज़ाइन में ही निहित है।
टी ओ टी पी आधार है। पासकीज़ अगला चरण हैं।
सारांश
- सुरक्षा कारक के रूप में एस एम एस समाप्त हो चुका है
- मैसेंजर अनुप्रयोग सुरक्षा के नाम पर विपणन हैं
- टी ओ टी पी न्यूनतम स्वीकार्य स्तर है, कोई “उन्नत विकल्प” नहीं
- मुख्य जोखिम एल्गोरिद्म में नहीं, बल्कि उपयोगकर्ता की अनुशासनहीनता में हैं
- भविष्य फ़िशिंग-प्रतिरोधी प्रमाणीकरण का है
यदि दो हज़ार पच्चीस में कोई सेवा टी ओ टी पी या वेबऑथन प्रदान नहीं करती, तो यह एक चेतावनी संकेत है, न कि “उत्पाद की विशेषता”।
परिशिष्ट.
यदि आप यह बात परिवार के सदस्यों या गैर-तकनीकी उपयोगकर्ताओं को समझा रहे हैं, तो सुनिश्चित करें कि वे:
- रहस्य या बैकअप कोड लिखकर रखें,
- फोन को एकमात्र विफलता बिंदु के रूप में उपयोग करना बंद करें।
अन्यथा इसका अंत सहायता सेवाओं, प्रशासनिक प्रक्रियाओं और पहुँच की हानि के साथ होगा।
