खाताहरूमा जोखिम! SMS मा आधारित दुई कारक प्रमाणीकरण समाप्त भयो - यो असुरक्षित छ!

यो दुई-कारक प्रमाणीकरण सामान्यतया तपाईको गुगल खाताहरू सुरक्षित गर्नका लागि सबैभन्दा सुरक्षित खेलको रूपमा देखिन्छ, जसमा तपाईले (प्रयोगकर्ता) कोड प्रविष्ट गर्नु पर्छ जुन तपाईले फोनमा एसएमएस मार्फत प्राप्त गर्नुभयो तपाईले २ एफए-संरक्षित खातामा लग इन गर्नु अघि। यसले कसैलाई पनि तपाईंको खातामा अनधिकृत पहुँच प्राप्त गर्नबाट रोक्छ, यदि तिनीहरूले तपाईंको खाता समात्यो भने पनि पासवर्ड। र यो डबल-स्तरित प्रमाणीकरण प्रक्रिया धेरै अनलाइन सेवाहरू द्वारा समर्थित छ, ठूलो बैंकहरू सहित, गुगल, फेसबुक, र सरकार।

खाताहरू ह्याक गर्नका लागि ह्याकर्सलाई उनीहरूको पासवर्ड र मोबाइल फोन दुबै चाहिन्छ भन्ने कुरा सुनिश्चित गर्नका लागि यो परिचय प्रस्तुत गरिएको हो। आजकल यो एक मानक अभ्यास भएको छ किनकि यसको थप लाभहरू छन्। तर अब यो प्रयोगकर्ताहरूको लागि उपलब्ध हुने छैन।

SMS आधारित दुई-कारक प्रमाणीकरण समाप्त भयो:

सुरक्षाको यो अतिरिक्त तह घोषणा गरिएको छ र धेरै चाँडै यो विगतको कुरा हुनेछ।  US राष्ट्रिय मानक र टेक्नोलोजी को संस्थान (NIS) यसको डिजिटल प्रमाणीकरण दिशानिर्देशको नयाँ ड्राफ्ट जारी गरेको छ कि सुरक्षा चिन्ताको कारण भविष्यमा एसएमएस आधारित दुई-कारक प्रमाणीकरण प्रतिबन्धित हुनु पर्छ।

यस मस्यौदाका अनुसार,

"यदि ब्यान्ड प्रमाणिकरण बाहिर एक सार्वजनिक मोबाइल टेलिफोन नेटवर्कमा एक एसएमएस सन्देश को उपयोग गरी बनाउनु पर्छ, प्रमाणिकरण SHALL प्रयोग गरीन्छ कि पूर्व-रेजिष्टर गरिएको टेलिफोन नम्बर एक मोबाइल नेटवर्क संग सम्बन्धित छ न कि VoIP (वा अन्य संग) सफ्टवेयर-आधारित) सेवा। यसले त्यसपछि पूर्व-दर्ता गरिएको टेलिफोन नम्बरमा एसएमएस सन्देश पठाउँदछ। प्रि-रेजिष्टर्ड टेलिफोन नम्बर परिवर्तन गर्नु परिवर्तनको समयमा दुई-कारक प्रमाणीकरण बिना सम्भव हुँदैन। OOB [ब्यान्ड प्रमाणीकरण बाहिर] SMS प्रयोग गरेर निषेध गरिएको छ, र अब यो मार्गदर्शनको भविष्यमा रिलिजमा अनुमति दिइने छैन। "

एसएमएस कसरी दुई कारक प्रमाणीकरण असुरक्षित छ?

• NIST (मानक र टेक्नोलोजीको राष्ट्रिय संस्थान) ले निम्न कारणहरूले गर्दा असुरक्षित प्रक्रियाको रूपमा SMS- आधारित दुई-कारक प्रमाणीकरण भन्छ:
• वेबसाइट अपरेटरसँग प्रमाणित गर्ने कुनै तरिका छैन कि 2 एफए कोड प्राप्त गर्ने व्यक्ति सही प्राप्तकर्ता हो वा होईन। त्यसो भए, तपाईको खाता जोखिमको अधीनमा पर्दछ जब कसैले तपाइँको मोबाइल चोर्छ।
• त्यहाँ अपहरणको लागि धेरै अवसर छ यदि व्यक्तिले a प्रयोग गर्दछ भ्वाइस-ओभर-इन्टरनेट-प्रोटोकल (VoIP) सेवा यो एक पारम्परिक नेटवर्क को सट्टा एक ब्रॉडब्यान्ड इन्टरनेट जडान मार्फत फोन कल सेवा प्रदान गर्दछ।
• वीओआइपी सेवाको साथ, ह्याकरहरूले अझै तपाईंको खातामा एसएमएस-आधारित दुई-عنصر प्रमाणीकरण सुरक्षित गरिएको पहुँच प्राप्त गर्न सक्दछन्।
• केही उपकरणहरूले लक स्क्रीनमा पनि २ एफए कोड प्रदर्शन गर्दछ।
• ह्याकरहरूले तपाईंको OTP प्राप्त गर्न सक्दछन् कोड समावेश भएको एसएमएसलाई तिनीहरूको आफ्नै उपकरणमा। साथै, ती रिसेट कोड प्राप्त गरेर तपाईंको फेसबुक वा जीमेल खाताहरू रिसेट गर्न सक्दछन्। यो किनभने एसएस in (सिग्नलिंग सिस्टम नम्बर)) मा डिजाईन त्रुटिहरू छन्।

बायोमेट्रिक 2 एफए प्रतिस्थापन गर्न गइरहेको छ:

NIS सुझाव प्रयोग गर्न सुझाव दिन्छ Biometrics (फिंगरप्रिन्ट स्क्यानर) किनकि यो २ एफए भन्दा बढी सुरक्षित छ। यस सम्बन्धमा, DAG ड्राफ्ट पढ्छ,

"त्यसकारण, निम्नलिखित आवश्यकताहरू र दिशानिर्देशनहरूको साथ, प्रमाणीकरणको लागि बायोमेट्रिक्सको समर्थन समर्थित छ: बायोमेट्रिक्स अर्को प्रमाणीकरण कारक (केही तपाईंलाई थाहा छ वा केहि तपाइँसँग छ) को साथ प्रयोग गर्न सकिन्छ।"

बायोमेट्रिकलाई अलग राख्दै, धेरै प्रविधि कम्पनीहरूले जस्तै फेसबुक र गुगल इन-अनुप्रयोग कोड जनरेटर वैकल्पिक समाधानको रूपमा २ एएफए को लागी यस अनुप्रयोग कोड जेनरेटर एसएमएस वा नेटवर्क वाहक मा निर्भर छैन।

हालसालै, गुगलले यसको दुई-कारक प्रमाणीकरण पनि धेरै सजिलो र छिटो गरीएको छ नयाँ नयाँ विधि प्रयोग गरेर गुगल प्रम्प्ट। यो एक साधारण पुश सूचना प्रयोग गर्दछ जहाँ तपाईं एकल ट्याप द्वारा लगइन अनुरोधहरू अनुमोदन गर्न आवश्यक छ। यी सबै कारणहरूले सामूहिक रूपमा एसएमएस-आधारित दुई-कारक प्रमाणीकरणको अन्तका लागि काउन्टर गर्दछ। त्यसोभए, प्रयोगकर्ताहरू उनीहरूको खाताहरूको साथ बढी सावधान हुनुपर्छ।

पढनै पर्नी: कसरी ह्याकर्सले गुगलको दुई-कारक प्रमाणीकरण बाईपास गर्न