सबसे पहले चीजें: एसएमएस अभी भी दो-फैक्टर प्रमाणीकरण से बेहतर नहीं है!
हालांकि हम यहां एसएमएस के खिलाफ मामला पेश करने जा रहे हैं, लेकिन यह महत्वपूर्ण है कि हम पहले एक बात स्पष्ट करें: एसएमएस का उपयोग दो-कारक प्रमाणीकरण का उपयोग न करने से बेहतर है।
जब आप दो-कारक प्रमाणीकरण का उपयोग नहीं करते हैं, तो किसी को केवल आपके खाते में साइन इन करने के लिए अपने पासवर्ड की आवश्यकता होती है। जब आप एसएमएस के साथ दो-कारक प्रमाणीकरण का उपयोग करते हैं, तो किसी को आपके खाते में पहुंच प्राप्त करने के लिए अपना पासवर्ड प्राप्त करने और अपने टेक्स्ट संदेशों तक पहुंच प्राप्त करने की आवश्यकता होगी। एसएमएस कुछ भी ज्यादा सुरक्षित नहीं है।
अगर एसएमएस आपका एकमात्र विकल्प है, तो कृपया एसएमएस का उपयोग करें। हालांकि, अगर आप जानना चाहते हैं कि सुरक्षा विशेषज्ञ एसएमएस से बचने की सलाह क्यों देते हैं और इसके बजाय हम क्या अनुशंसा करते हैं, तो पढ़ें।
सिम स्वैप हमलावरों को आपके फोन नंबर चोरी करने की अनुमति देते हैं
यहां बताया गया है कि एसएमएस सत्यापन कैसे काम करता है: जब आप साइन इन करने का प्रयास करते हैं, तो सेवा उस मोबाइल फ़ोन नंबर पर एक टेक्स्ट संदेश भेजती है जिसे आपने पहले प्रदान किया था। आपको अपने फोन पर वह कोड मिलता है और साइन इन करने के लिए इसे दर्ज करें। वह कोड केवल एक ही उपयोग के लिए अच्छा है।
अगर कोई आपके फोन नंबर को जानता है और व्यक्तिगत जानकारी तक पहुंच प्राप्त कर सकता है जैसे कि आपके सोशल सिक्योरिटी नंबर के अंतिम चार अंक-दुर्भाग्यवश, कई निगमों और सरकारी एजेंसियों के लिए धन्यवाद मिलना आसान है जिन्होंने ग्राहक डेटा लीक किया है- वे आपके फोन से संपर्क कर सकते हैं कंपनी और अपने फोन नंबर को एक नए फोन पर ले जाएं। इसे "सिम स्वैप" के रूप में जाना जाता है, और यह वही प्रक्रिया है जब आप एक नया डिवाइस खरीदते हैं और अपना फोन नंबर ले जाते हैं। व्यक्ति कहता है कि वे आप हैं, व्यक्तिगत डेटा प्रदान करते हैं, और आपकी सेल फोन कंपनी आपके फोन नंबर के साथ अपना फोन सेट करती है। उन्हें आपके फोन नंबर पर आपके फोन नंबर पर भेजे गए एसएमएस संदेश कोड मिलेंगे।
हमने ब्रिटेन में इस घटना की रिपोर्ट देखी है, जहां हमलावरों ने पीड़ित के फोन नंबर चुरा लिया और पीड़ित के बैंक खाते तक पहुंच प्राप्त करने के लिए इसका इस्तेमाल किया। न्यूयॉर्क राज्य ने इस घोटाले के बारे में भी चेतावनी दी है।
इसके मूल में, यह एक सोशल इंजीनियरिंग हमला है जो आपकी सेल फोन कंपनी को धोखा देने पर निर्भर करता है। लेकिन आपकी सेल फोन कंपनी किसी को भी आपके सुरक्षा कोड तक पहुंच प्रदान करने में सक्षम नहीं होनी चाहिए!
एसएमएस संदेशों को कई तरीकों से अवरुद्ध किया जा सकता है
हमलावरों ने एसएस 7 में समस्याओं का भी दुरुपयोग किया है, रोमिंग के लिए इस्तेमाल की जाने वाली कनेक्शन प्रणाली, नेटवर्क पर एसएमएस संदेशों को अवरुद्ध करने और उन्हें कहीं और रूट करने के लिए। नकली सेल फोन टावरों के उपयोग के माध्यम से कई अन्य तरीकों से संदेशों को अवरुद्ध किया जा सकता है। एसएमएस संदेशों को सुरक्षा के लिए डिज़ाइन नहीं किया गया था, और इसका उपयोग नहीं किया जाना चाहिए।
दूसरे शब्दों में, कुछ व्यक्तिगत जानकारी के साथ एक परिष्कृत हमलावर आपके ऑनलाइन खातों तक पहुंच प्राप्त करने के लिए अपने फोन नंबर को हाइजैक कर सकता है और फिर उन खातों का उपयोग अपने बैंक खातों को निकालने का प्रयास करने के लिए कर सकता है, उदाहरण के लिए। यही कारण है कि नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड एंड टेक्नोलॉजी अब दो-कारक प्रमाणीकरण के लिए एसएमएस संदेशों के उपयोग की सिफारिश नहीं कर रहा है।
वैकल्पिक: आपके डिवाइस पर कोड जेनरेट करें
एक दो-कारक प्रमाणीकरण योजना जो एसएमएस पर भरोसा नहीं करती है वह बेहतर है, क्योंकि सेल फोन कंपनी किसी और को आपके कोड तक पहुंच नहीं दे पाएगी। इसके लिए सबसे लोकप्रिय विकल्प Google प्रमाणक की तरह एक ऐप है। हालांकि, हम ऑथी की सलाह देते हैं, क्योंकि यह सब कुछ Google प्रमाणक करता है और बहुत कुछ करता है।
इस तरह के ऐप्स आपके डिवाइस पर कोड उत्पन्न करते हैं। यहां तक कि अगर किसी हमलावर ने आपकी सेल फोन कंपनी को अपने फोन नंबर पर अपने फोन पर ले जाने के लिए धोखा दिया है, तो वे आपके सुरक्षा कोड प्राप्त नहीं कर पाएंगे। उन कोडों को उत्पन्न करने के लिए आवश्यक डेटा आपके फोन पर सुरक्षित रूप से रहेगा।
भौतिक हार्डवेयर टोकन भी आप उपयोग कर सकते हैं। Google और ड्रॉपबॉक्स जैसी बड़ी कंपनियों ने पहले ही यू 2 एफ नामक हार्डवेयर-आधारित दो-कारक प्रमाणीकरण टोकन के लिए एक नया मानक लागू कर दिया है। ये आपकी सेल फोन कंपनी और पुराने टेलीफोन नेटवर्क पर निर्भर होने से अधिक सुरक्षित हैं।
यदि संभव हो, तो दो-कारक प्रमाणीकरण के लिए एसएमएस से बचें। यह कुछ भी नहीं है और सुविधाजनक लगता है, लेकिन आमतौर पर यह कम से कम सुरक्षित दो-कारक प्रमाणीकरण योजना है जिसे आप चुन सकते हैं।
दुर्भाग्यवश, कुछ सेवाएं आपको एसएमएस का उपयोग करने के लिए मजबूर करती हैं। यदि आप इसके बारे में चिंतित हैं, तो आप Google Voice फ़ोन नंबर बना सकते हैं और उन्हें उन सेवाओं को दे सकते हैं जिनके लिए एसएमएस प्रमाणीकरण की आवश्यकता होती है। फिर आप अपने Google खाते में साइन इन कर सकते हैं - जिसे आप एक अधिक सुरक्षित दो-कारक प्रमाणीकरण विधि से सुरक्षित कर सकते हैं-और Google Voice वेबसाइट या ऐप में सुरक्षित संदेश देखें। बस Google Voice से संदेशों को अपने वास्तविक सेल फ़ोन नंबर पर अग्रेषित न करें।
