दो-फैक्टर प्रमाणीकरण के विभिन्न रूप: एसएमएस, ऑथेटेटर ऐप्स, और अधिक

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2023-12-17 11:00

कई ऑनलाइन सेवाएं दो-कारक प्रमाणीकरण प्रदान करती हैं, जो साइन इन करने के लिए केवल आपके पासवर्ड से अधिक की आवश्यकता के द्वारा सुरक्षा को बढ़ाती है। कई अलग-अलग प्रकार के अतिरिक्त प्रमाणीकरण विधियां जिनका आप उपयोग कर सकते हैं।

विभिन्न सेवाएं विभिन्न दो-कारक प्रमाणीकरण विधियों की पेशकश करती हैं, और कुछ मामलों में, आप कुछ अलग-अलग विकल्पों में से भी चुन सकते हैं। यहां बताया गया है कि वे कैसे काम करते हैं और वे कैसे भिन्न होते हैं।

एसएमएस सत्यापन

जब भी आप अपने खाते में लॉग इन करते हैं तो कई सेवाएं आपको एक एसएमएस संदेश प्राप्त करने के लिए साइन अप करने की अनुमति देती हैं। उस एसएमएस संदेश में एक छोटा-बार-उपयोग कोड होगा जिसमें आपको प्रवेश करना होगा। इस प्रणाली के साथ, आपका सेल फोन दूसरी प्रमाणीकरण विधि के रूप में उपयोग किया जाता है। अगर आपके पास पासवर्ड है तो कोई भी आपके खाते में नहीं जा सकता है-उन्हें आपके पासवर्ड और अपने फोन या उसके एसएमएस संदेशों तक पहुंच की आवश्यकता है।

यह सुविधाजनक है, क्योंकि आपको कुछ विशेष करने की आवश्यकता नहीं है, और अधिकांश लोगों के पास सेल फ़ोन हैं। कुछ सेवाएं एक फोन नंबर भी डायल करेंगी और एक स्वचालित सिस्टम एक कोड बोलता है, जिससे आप इसे लैंडलाइन फोन नंबर के साथ उपयोग कर सकते हैं जो टेक्स्ट संदेश प्राप्त नहीं कर सकता है।

हालांकि, एसएमएस सत्यापन के साथ बड़ी समस्याएं हैं। हमलावर आपके सुरक्षित कोड तक पहुंच प्राप्त करने के लिए सिम स्वैप हमलों का उपयोग कर सकते हैं या सेलुलर नेटवर्क में त्रुटियों के कारण उन्हें रोक सकते हैं। यदि संभव हो तो हम एसएमएस संदेशों का उपयोग करने की सलाह देते हैं। हालांकि, एसएमएस संदेश अभी भी दो-कारक प्रमाणीकरण का उपयोग न करने से कहीं अधिक सुरक्षित हैं!

ऐप-जेनरेटेड कोड (Google प्रमाणक और लेखक की तरह)

आप अपने फोन पर एक ऐप द्वारा उत्पन्न कोड भी प्राप्त कर सकते हैं। यह सबसे व्यापक रूप से ज्ञात ऐप है जो Google प्रमाणक है, जो Google एंड्रॉइड और आईफोन के लिए ऑफ़र करता है। हालांकि, हम ऑथी पसंद करते हैं, जो Google प्रमाणक सबकुछ करता है-और भी बहुत कुछ करता है। नाम के बावजूद, ये ऐप्स खुले मानक का उपयोग करते हैं। उदाहरण के लिए, Google प्रमाणक एप में माइक्रोसॉफ्ट अकाउंट्स और कई अन्य प्रकार के खातों को जोड़ना संभव है।

ऐप इंस्टॉल करें, नया खाता सेट करते समय कोड स्कैन करें, और वह ऐप लगभग हर 30 सेकंड में नए कोड जेनरेट करेगा। जब आप किसी खाते में लॉग इन करते हैं तो आपको अपने फोन पर ऐप में प्रदर्शित वर्तमान कोड और साथ ही अपना पासवर्ड दर्ज करना होगा।

इसके लिए सेलुलर सिग्नल की आवश्यकता नहीं होती है, और "बीज" जो ऐप को उन समय-सीमित कोड उत्पन्न करने की अनुमति देता है केवल आपके डिवाइस पर संग्रहीत किया जाता है। इसका मतलब है कि यह अधिक सुरक्षित है, यहां तक कि कोई भी व्यक्ति जो आपके फोन नंबर तक पहुंच प्राप्त करता है या आपके टेक्स्ट संदेशों को रोकता है, वह आपके कोड नहीं जानता है।

कुछ सेवाएं- उदाहरण के लिए, बर्फ़ीला तूफ़ान के Battle.net प्रमाणीकरणकर्ता के पास भी अपना स्वयं का समर्पित कोड-जनरेटिंग ऐप्स है।

शारीरिक प्रमाणीकरण कुंजी

यह समाधान एसएमएस सत्यापन और एक बार उपयोग कोड से बेहतर काम करता है क्योंकि इसे अवरुद्ध और गड़बड़ नहीं किया जा सकता है। यह उपयोग करने के लिए भी आसान और अधिक सुविधाजनक है। उदाहरण के लिए, एक फ़िशिंग साइट आपको एक नकली Google लॉगिन पृष्ठ दिखा सकती है और लॉग इन करने का प्रयास करते समय अपना एक-बार-उपयोग कोड कैप्चर कर सकती है। फिर वे उस कोड का उपयोग Google में लॉग इन करने के लिए कर सकते हैं। लेकिन, एक भौतिक प्रमाणीकरण कुंजी के साथ जो आपके ब्राउज़र के साथ संगीत कार्यक्रम में काम करता है, ब्राउज़र यह सुनिश्चित कर सकता है कि यह वास्तविक वेबसाइट के साथ संचार कर रहा है और कोड को हमलावर द्वारा पकड़ा नहीं जा सकता है।

भविष्य में इनमें से बहुत कुछ देखने की उम्मीद है।

ऐप-आधारित प्रमाणीकरण

कुछ मोबाइल ऐप्स ऐप का उपयोग करके दो-कारक प्रमाणीकरण प्रदान कर सकते हैं। उदाहरण के लिए, Google अब आपके कोड पर Google ऐप इंस्टॉल होने तक कोड-कम दो-कारक प्रमाणीकरण प्रदान करता है। जब भी आप किसी अन्य कंप्यूटर या डिवाइस से Google में लॉग इन करने का प्रयास करते हैं, तो आपको बस अपने फोन पर एक बटन टैप करने की आवश्यकता होती है, कोई कोड आवश्यक नहीं है। Google यह सुनिश्चित करने के लिए जांच कर रहा है कि लॉग इन करने का प्रयास करने से पहले आपके पास अपने फोन तक पहुंच है।

ऐप्पल का दो-चरणीय सत्यापन समान रूप से काम करता है, हालांकि यह ऐप का उपयोग नहीं करता है-यह आईओएस ऑपरेटिंग सिस्टम का उपयोग करता है। जब भी आप किसी नए डिवाइस से लॉग इन करने का प्रयास करते हैं, तो आप अपने आईफोन या आईपैड जैसे किसी पंजीकृत डिवाइस पर भेजे गए एक बार-उपयोग कोड प्राप्त कर सकते हैं। ट्विटर के मोबाइल ऐप में एक समान सुविधा है जिसे लॉगिन सत्यापन भी कहा जाता है। और, Google और माइक्रोसॉफ्ट ने इस सुविधा को Google और माइक्रोसॉफ्ट प्रमाणीकरण स्मार्टफोन ऐप्स में जोड़ा है।

ईमेल-आधारित सिस्टम

अन्य सेवाएं आपको प्रमाणित करने के लिए आपके ईमेल खाते पर भरोसा करती हैं। उदाहरण के लिए, यदि आप स्टीम गार्ड को सक्षम करते हैं, तो स्टीम आपको हर बार जब आप किसी नए कंप्यूटर से लॉग इन करते हैं तो आपके ईमेल पर भेजे गए एक बार-उपयोग कोड दर्ज करने के लिए संकेत देगा। यह कम से कम सुनिश्चित करता है कि हमलावर को उस खाते तक पहुंच प्राप्त करने के लिए आपके स्टीम खाता पासवर्ड और आपके ईमेल खाते तक पहुंच की आवश्यकता होगी।

यह अन्य द्वि-चरणीय सत्यापन विधियों के रूप में सुरक्षित नहीं है, क्योंकि किसी के लिए आपके ईमेल खाते तक पहुंच प्राप्त करना आसान हो सकता है, खासकर यदि आप इस पर दो-चरणीय सत्यापन का उपयोग नहीं कर रहे हैं! यदि आप कुछ मजबूत उपयोग कर सकते हैं तो ईमेल-आधारित सत्यापन से बचें। (शुक्र है, स्टीम अपने मोबाइल ऐप पर ऐप-आधारित प्रमाणीकरण प्रदान करता है।)

अंतिम रिज़ॉर्ट: रिकवरी कोड

यदि आप दो-कारक प्रमाणीकरण विधि खो देते हैं तो रिकवरी कोड सुरक्षा नेट प्रदान करते हैं। जब आप दो-कारक प्रमाणीकरण सेट अप करते हैं, तो आपको आमतौर पर वसूली कोड प्रदान किए जाएंगे जिन्हें आपको लिखना चाहिए और कहीं सुरक्षित स्टोर करना चाहिए। यदि आप कभी भी अपनी द्वि-चरणीय सत्यापन विधि खो देते हैं तो आपको उनकी आवश्यकता होगी।

सुनिश्चित करें कि यदि आप दो-चरणीय प्रमाणीकरण का उपयोग कर रहे हैं तो आपके पास कहीं भी अपने पुनर्प्राप्ति कोड की एक प्रति है।

आपको अपने प्रत्येक खाते के लिए यह कई विकल्प नहीं मिलेगा। हालांकि, कई सेवाएं कई द्वि-चरणीय सत्यापन विधियों की पेशकश करती हैं जिन्हें आप चुन सकते हैं।

कई दो-कारक प्रमाणीकरण विधियों का उपयोग करने का विकल्प भी है। उदाहरण के लिए, यदि आप कोड-जनरेटिंग ऐप और भौतिक सुरक्षा कुंजी दोनों सेट अप करते हैं, तो यदि आप कभी भी भौतिक कुंजी खो देते हैं तो आप ऐप के माध्यम से अपने खाते तक पहुंच प्राप्त कर सकते हैं।