5 तरीके टू-फैक्टर ऑथेंटिकेशन, उनके फायदे और नुकसान

2024 लेखक: Malcolm Clapton | [email protected]. अंतिम बार संशोधित: 2023-12-17 03:57

अधिक से अधिक लोग वेब पर अपने डेटा को विश्वसनीय रूप से सुरक्षित रखने के लिए दो-कारक प्रमाणीकरण का उपयोग करने के बारे में सोच रहे हैं। कई प्रौद्योगिकी की जटिलता और समझ से बाहर हैं, जो आश्चर्य की बात नहीं है, क्योंकि इसके कार्यान्वयन के लिए कई विकल्प हैं। हम उन सभी के बारे में जानेंगे, प्रत्येक के फायदे और नुकसान को छांटेंगे।

दो-कारक प्रमाणीकरण न केवल पारंपरिक "लॉगिन-पासवर्ड" लिंक के उपयोग पर आधारित है, बल्कि सुरक्षा का एक अतिरिक्त स्तर भी है - तथाकथित दूसरा कारक, जिसके कब्जे की पुष्टि एक तक पहुंच प्राप्त करने के लिए की जानी चाहिए। खाता या अन्य डेटा।

दो-कारक प्रमाणीकरण का सबसे सरल उदाहरण जिसका हम में से प्रत्येक लगातार सामना करता है, वह है एटीएम से नकदी निकालना। धन प्राप्त करने के लिए, आपको एक कार्ड चाहिए जो केवल आपके पास हो और एक पिन जो केवल आप ही जानते हों। आपका कार्ड प्राप्त करने के बाद, एक हमलावर पिन-कोड जाने बिना नकद नहीं निकाल पाएगा, और उसी तरह वह इसे जानकर धन प्राप्त नहीं कर पाएगा, लेकिन कार्ड नहीं होगा।

दो-कारक प्रमाणीकरण के समान सिद्धांत का उपयोग आपके सोशल मीडिया खातों, मेल और अन्य सेवाओं तक पहुँचने के लिए किया जाता है। पहला कारक लॉगिन और पासवर्ड का संयोजन है, और निम्नलिखित 5 चीजें दूसरे के रूप में कार्य कर सकती हैं।

एसएमएस कोड

एसएमएस कोड का उपयोग करके सत्यापन बहुत सरल है। आप, हमेशा की तरह, अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करें, जिसके बाद आपके फ़ोन नंबर पर एक कोड के साथ एक एसएमएस आता है जिसे आपके खाते में प्रवेश करने के लिए दर्ज किया जाना चाहिए। यह सब है। अगले लॉगिन पर, एक और एसएमएस कोड भेजा जाता है, जो केवल वर्तमान सत्र के लिए मान्य है।

लाभ

• प्रत्येक प्रविष्टि पर नए कोड का सृजन। यदि हमलावर आपके उपयोगकर्ता नाम और पासवर्ड को इंटरसेप्ट करते हैं, तो वे कोड के बिना कुछ भी नहीं कर पाएंगे।
• एक फोन नंबर के लिए बाध्यकारी। आपके फोन के बिना लॉगिन संभव नहीं है।

नुकसान

• यदि कोई सेलुलर सिग्नल नहीं है, तो आप लॉग इन नहीं कर पाएंगे।
• ऑपरेटर या संचार सैलून के कर्मचारियों की सेवा के माध्यम से संख्या बदलने की सैद्धांतिक संभावना है।
• यदि आप लॉग इन करते हैं और एक ही डिवाइस (उदाहरण के लिए, एक स्मार्टफोन) पर कोड प्राप्त करते हैं, तो सुरक्षा दो-कारक नहीं रह जाती है।

प्रमाणक अनुप्रयोग

यह विकल्प कई मायनों में पिछले एक के समान है, केवल अंतर के साथ, एसएमएस के माध्यम से कोड प्राप्त करने के बजाय, वे एक विशेष एप्लिकेशन (,) का उपयोग करके डिवाइस पर उत्पन्न होते हैं। सेटअप के दौरान, आपको एक प्राथमिक कुंजी (अक्सर क्यूआर कोड के रूप में) प्राप्त होती है, जिसके आधार पर क्रिप्टोग्राफ़िक एल्गोरिदम का उपयोग करके 30 से 60 सेकंड की वैधता अवधि के साथ वन-टाइम पासवर्ड जेनरेट किए जाते हैं। यहां तक कि अगर हम मानते हैं कि हमलावर 10, 100 या 1,000 पासवर्ड को इंटरसेप्ट करने में सक्षम होंगे, तो यह अनुमान लगाना असंभव है कि उनकी मदद से अगला पासवर्ड क्या होगा।

लाभ

• प्रमाणक को सेलुलर सिग्नल की आवश्यकता नहीं है; प्रारंभिक सेटअप के दौरान एक इंटरनेट कनेक्शन पर्याप्त है।
• एक प्रमाणक में एकाधिक खातों के लिए समर्थन।

नुकसान

• यदि हमलावर आपके डिवाइस पर या सर्वर को हैक करके प्राथमिक कुंजी तक पहुंच प्राप्त करते हैं, तो वे भविष्य के पासवर्ड उत्पन्न कर सकते हैं।
• यदि आप उसी डिवाइस पर एक प्रमाणक का उपयोग करते हैं जिससे आप लॉग इन कर रहे हैं, तो आप दो-कारक खो देते हैं।

मोबाइल एप्लिकेशन का उपयोग करके लॉगिन सत्यापन

इस प्रकार के प्रमाणीकरण को पिछले सभी का एक हॉजपॉज कहा जा सकता है। इस मामले में, कोड या वन-टाइम पासवर्ड मांगने के बजाय, आपको अपने मोबाइल डिवाइस से सर्विस एप्लिकेशन इंस्टॉल करके लॉगिन की पुष्टि करनी होगी। डिवाइस पर एक निजी कुंजी संग्रहीत की जाती है, जिसे हर बार लॉग इन करने पर सत्यापित किया जाता है। यह ट्विटर, स्नैपचैट और विभिन्न ऑनलाइन गेम के लिए काम करता है।उदाहरण के लिए, जब आप वेब संस्करण में अपने ट्विटर खाते में लॉग इन करते हैं, तो आप अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करते हैं, फिर आपके स्मार्टफोन पर लॉगिन अनुरोध के साथ एक अधिसूचना आती है, यह पुष्टि करने के बाद कि आपका फ़ीड ब्राउज़र में खुलता है।

लाभ

• लॉग इन करते समय आपको कुछ भी दर्ज करने की आवश्यकता नहीं है।
• सेलुलर स्वतंत्रता।
• एक आवेदन में एकाधिक खातों के लिए समर्थन।

नुकसान

• यदि हमलावर निजी कुंजी को रोकते हैं, तो वे आपका प्रतिरूपण कर सकते हैं।
• एक ही लॉगिन डिवाइस का उपयोग करते समय दो-कारक प्रमाणीकरण का अर्थ खो जाता है।

हार्डवेयर टोकन

भौतिक (या हार्डवेयर) टोकन सबसे सुरक्षित दो-कारक प्रमाणीकरण विधि हैं। अलग-अलग उपकरणों के रूप में, हार्डवेयर टोकन, ऊपर सूचीबद्ध सभी विधियों के विपरीत, किसी भी परिस्थिति में अपने दो-कारक घटक को नहीं खोएंगे। अक्सर उन्हें अपने स्वयं के प्रोसेसर के साथ यूएसबी डोंगल के रूप में प्रस्तुत किया जाता है जो क्रिप्टोग्राफिक कुंजी उत्पन्न करता है जो कंप्यूटर से कनेक्ट होने पर स्वचालित रूप से दर्ज किया जाता है। कुंजी का चुनाव विशिष्ट सेवा पर निर्भर करता है। उदाहरण के लिए, Google FIDO U2F टोकन का उपयोग करता है, जिसकी कीमत शिपिंग को छोड़कर $6 से शुरू होती है।

लाभ

• कोई एसएमएस या ऐप नहीं।
• मोबाइल डिवाइस की कोई आवश्यकता नहीं है।
• यह पूरी तरह से स्वतंत्र डिवाइस है।

नुकसान

• अलग से खरीदना होगा।
• सभी सेवाओं में समर्थित नहीं है।
• एकाधिक खातों का उपयोग करते समय, आपको टोकन का एक पूरा गुच्छा रखना होगा।

बैकअप कुंजियाँ

वास्तव में, यह एक अलग तरीका नहीं है, बल्कि एक स्मार्टफोन के खो जाने या चोरी होने की स्थिति में एक बैकअप विकल्प है, जो वन-टाइम पासवर्ड या पुष्टि कोड प्राप्त करता है। जब आप प्रत्येक सेवा में दो-कारक प्रमाणीकरण सेट करते हैं, तो आपको आपातकालीन उपयोग के लिए कई बैकअप कुंजियाँ दी जाती हैं। उनकी मदद से, आप अपने खाते में लॉग इन कर सकते हैं, कॉन्फ़िगर किए गए उपकरणों को खोल सकते हैं और नए जोड़ सकते हैं। इन कुंजियों को सुरक्षित स्थान पर रखें, न कि अपने स्मार्टफ़ोन पर स्क्रीनशॉट के रूप में या अपने कंप्यूटर पर टेक्स्ट फ़ाइल के रूप में।

जैसा कि आप देख सकते हैं, दो-कारक प्रमाणीकरण का उपयोग करने में कुछ बारीकियां हैं, लेकिन वे पहली नज़र में ही जटिल लगते हैं। सुरक्षा और सुविधा का आदर्श संतुलन क्या होना चाहिए, यह हर कोई अपने लिए तय करता है। लेकिन किसी भी मामले में, जब भुगतान डेटा या व्यक्तिगत जानकारी की सुरक्षा की बात आती है, तो सभी परेशानियां उचित से अधिक होती हैं, जो कि आंखों को चुभने के लिए नहीं है।

जहां आप दो-कारक प्रमाणीकरण सक्षम कर सकते हैं और सक्षम करना चाहिए, साथ ही साथ कौन सी सेवाएं इसका समर्थन करती हैं, आप पढ़ सकते हैं।