दो-कारक प्रमाणीकरण विधियों की तुलना: आपके लिए सबसे अच्छा कौन सा है?

[ware_item id=33][/ware_item]

एक आदमी अपने दो-कारक प्रमाणीकरण गैजेट चीज़ में एक कोड टाइप करता है।


दो-कारक प्रमाणीकरण से हैकर्स के लिए अपने खातों को ब्रूट-फोर्स द्वारा तोड़ना असंभव हो जाता है और यहां तक ​​कि हैकर्स द्वारा आपका पासवर्ड प्राप्त करने पर भी आपकी सुरक्षा करता है। यह आपके खाते को लॉक करने में भी मदद कर सकता है यदि आपके क्रेडेंशियल्स को अतीत में फ़िश किया गया है.

संक्षेप में, दो-कारक प्रमाणीकरण (2FA) महत्वपूर्ण है.

लेकिन आपको कौन से दो-कारक प्रमाणीकरण मॉडल का चयन करना चाहिए? लगभग सभी सेवाएं आपके फोन पर दिए गए टेक्स्ट संदेश के माध्यम से वन-टाइम-पासवर्ड प्रदान करती हैं। कई लोग आपके मोबाइल डिवाइस पर उत्पन्न एक-बार पासवर्ड भी प्रदान करते हैं (Google प्रमाणक, ऑटि या फेसबुक का उपयोग करके).

कुछ सेवाएं आपको हार्डवेयर डिवाइस कनेक्ट करने का विकल्प प्रदान करेंगी, और विकल्पों के बीच ट्रेड-ऑफ हैं। यह ब्लॉग बताता है कि ये विकल्प क्या हैं, आपको किस बारे में सावधान रहना है और आपके लिए क्या सबसे अच्छा है.

दो-कारक प्रमाणीकरण बेहतर क्यों है?

यदि कोई फटा या चोरी हुआ पासवर्ड नोटिस करना असंभव नहीं है, तो यह कठिन है। एक चुराया हुआ या फटा हुआ पासवर्ड किसी हमलावर को आपके खाते तक किसी भी समय, बिना किसी सूचना के, या आपको पूरी तरह से लॉक करने की अनुमति देता है.

इसी तरह, लॉग इन करने के लिए पूरी तरह से डिवाइस पर निर्भर होना आपको हैकिंग की चपेट में ले सकता है, अगर यह चोरी हो गया हो। यद्यपि आप अधिक जल्दी महसूस करेंगे कि आप समझौता कर चुके हैं.

आपके द्वारा जानी जाने वाली चीज़ों और आपके पास मौजूद चीज़ों को मिलाकर, यदि आपका पासवर्ड क्रैक हो गया है या आपका डिवाइस चोरी हो गया है, तो यह बहुत कम हानिकारक है। यदि आप अपना उपकरण खो देते हैं, तो चोर या खोजक बिना पासवर्ड के आपके खातों तक पहुँच पाने में असमर्थ है। और यदि आपका पासवर्ड क्रैक किया गया है, तो कोई भी आपके खाते को डिवाइस के बिना एक्सेस नहीं कर सकता है.

2FA सर्वोत्तम विधियाँ

दो-कारक प्रमाणीकरण चुनते समय विचार करने के लिए कारक

पहचान के प्रमाणीकरण का सिद्धांत आमतौर पर तीन कारकों को परिभाषित करता है:

  • कुछ तुम जानते हो
  • आपके पास कुछ है
  • कुछ तुम हो

आमतौर पर, इंटरनेट पर उपयोगकर्ताओं को उनके द्वारा पहचानी जाने वाली किसी चीज़ के माध्यम से पहचाना जाता है। यह आमतौर पर एक पासवर्ड है, लेकिन एक सुरक्षा प्रश्न भी हो सकता है.

"कुछ आप जानते हैं" के साथ जोखिम यह है कि आप भूल सकते हैं, या केवल एक ही व्यक्ति नहीं है जो जानता है, उदा। क्योंकि आपने स्वेच्छा से या अनैच्छिक रूप से ज्ञान साझा किया है। तृतीय-पक्ष के लिए यह संभव हो सकता है कि वह इस ज्ञान को अन्य माध्यमों से हासिल कर सके, शायद सोशल मीडिया पर आम सुरक्षा सवालों के जवाब पाने के लिए "आपका पसंदीदा पालतू जानवर क्या है?" या "आप किस गली में बड़े हुए थे?"

एक दूसरा कारक "आपके पास कुछ है", जो सुरक्षा कुंजी या सिम कार्ड हो सकता है। यदि आप अपना पासवर्ड भूल जाते हैं तो अक्सर यह दूसरा कारक बैकअप रीसेट के रूप में लागू होता है.

तीसरा कारक "आप कुछ हैं।" यह आपके फिंगरप्रिंट या चेहरे और आवाज की पहचान हो सकती है और शायद ही कभी इसे सामुदायिक सुविधाओं के बाहर उपयोग किया जाता है.

केवल जब इन कारकों में से दो, या कई कारक, आवश्यक हैं एक ही समय में प्रमाणीकरण के लिए हम दो-कारक या बहु-कारक प्रमाणीकरण की बात करते हैं.

दो-कारक प्रमाणीकरण के सामान्य तरीके

1. पाठ संदेश

सुरक्षा-गोपनीयता पहुँच -1

आपके पास क्या है: एक सिम कार्ड
दो-कारक प्रमाणीकरण का सबसे आम रूप मोबाइल फोन है। लगभग हर किसी के पास एक मोबाइल फोन है और इसे हर समय अपने पास रखता है, जिससे यह प्रदाताओं और उपयोगकर्ताओं के लिए एक लोकप्रिय और सुविधाजनक विकल्प बन जाता है.

जब आप इसे खो देते हैं तो क्या होता है: यदि आप मासिक योजना पर हैं तो आप अपनी पुरानी सिम को लॉक कर सकते हैं और अपने प्रदाता से एक नया प्राप्त कर सकते हैं। यदि पाठ संदेश के माध्यम से नहीं मिल सकता है, तो यात्रा करते समय आपके खाते तक पहुंचने का जोखिम है.

सुरक्षा जोखिम: कुछ प्रदाता आपकी ओर से नया सिम कार्ड प्राप्त करने के लिए किसी अन्य व्यक्ति के लिए बहुत ही तुच्छ बनाते हैं, या इससे भी बदतर, आपके सिम कार्ड को क्लोन करते हैं। कई प्रदाता अनिवार्य रूप से आपकी सुरक्षा को दरकिनार करते हुए एक हमलावर को टेक्स्ट मैसेज को दूसरे नंबर पर डायवर्ट करना भी संभव बनाते हैं.

राष्ट्र राज्य आपके द्वारा भेजे गए पाठ संदेशों को पढ़ या डायवर्ट कर सकते हैं, जिससे आपकी सुरक्षा को बायपास करना संभव हो जाता है। इसके अतिरिक्त, अगर आप गलत सेवा में पाठ संदेश दर्ज करते हैं, तो मध्य-मध्य हमलों का खतरा है.

गोपनीयता के जोखिम: अनुबंध आवश्यक रूप से आपके नाम को हर उस सेवा से जोड़ते हैं जिसके लिए आपने अपने फ़ोन का उपयोग साइन अप करने के लिए किया था। हालांकि, प्रीपेड फोन कॉन्ट्रैक्ट खोए हुए सिम कार्ड की जगह नहीं लेगा। किसी भी तरह से, आपकी मोबाइल फ़ोन कंपनी यह ट्रैक कर सकती है कि आप कहाँ हैं और आपको किससे कोड प्राप्त हैं.

2. ऑथेंटिकेटर ऐप

सुरक्षा-गोपनीयता पहुँच -2

आपके पास क्या है: आपका फोन इंस्टॉल किए गए ऐप के साथ.
जब आप एक प्रामाणिक ऐप (जैसे Google प्रमाणक या ऑटि) का उपयोग करते हैं, तो आपके द्वारा 2FA स्थापित करने वाली सेवा आपके साथ एक गुप्त कोड का संचार करेगी, जो आमतौर पर एक क्यूआर कोड के रूप में होता है। प्रामाणिक कोड के साथ इस कोड को स्कैन करें और तब से आपके ऐप पर हर कुछ सेकंड में यादृच्छिक कोड उत्पन्न होंगे। सेवा में लॉग इन करने पर आपको हर बार इस कोड की आवश्यकता होगी.

जब आप इसे खो देते हैं तो क्या होता है: कुछ सेवाएं आपके लिए इस कोड का बैकअप लेना सुविधाजनक बनाती हैं, इसलिए यदि आप गलती से अपने फोन को खो देते हैं या तोड़ देते हैं, तो आप गलती से इसे फिर से सेट कर सकते हैं। अन्य सेवाएँ आपको अद्वितीय बैकअप कोड सहेजने के लिए प्रोत्साहित करती हैं जिनका उपयोग आप उस घटना में कर सकते हैं जिसका उपयोग आप अपने प्रमाणक ऐप से करते हैं.

बेशक, यह सवाल उठाता है कि बैकअप कोड्स को कहां सहेजना है। अक्सर कागज का एक टुकड़ा सबसे अच्छा विकल्प होता है, लेकिन इसे स्टोर करने के लिए एक सुरक्षित जगह कहां है?

नोट: जब तक आपके फोन में पावर है, ऐप आपके लिए कोड जनरेट करेगा। कोड जनरेट करते समय आपके फोन में इंटरनेट होना आवश्यक नहीं है.

सुरक्षा जोखिम: यदि कोई व्यक्ति QR कोड को गुप्त करने या किसी अन्य माध्यम से गुप्त कुंजी को बाधित करने में सक्षम है, तो वे अपने प्रमाणक ऐप में समान कोड उत्पन्न कर सकते हैं। टेक्स्ट संदेशों की तरह, यदि आप अपना पासकोड गलत वेबसाइट में दर्ज करते हैं, तो मध्य-मध्य हमलों का जोखिम है.

गोपनीयता के जोखिम: यदि आपके प्रमाणक ऐप को आपको अपने ईमेल पते के साथ साइन अप करने की आवश्यकता है, तो यह हमलावर लिंक खातों को एक साथ जोड़ने में मदद कर सकता है। सामान्य तौर पर, एक प्रामाणिक ऐप में कुछ गोपनीयता जोखिम होते हैं.

3. हार्डवेयर कुंजी

सुरक्षा-गोपनीयता पहुँच -3

आपके पास क्या है: FIDO U2F मानक के साथ संगत एक हार्डवेयर कुंजी.
यह कुंजी, जो अक्सर एक छोटी यूएसबी स्टिक की तरह दिखती है, में एक छोटी चिप होती है जो सुरक्षित रूप से एक निजी कुंजी को संग्रहीत करती है.

एक बार जब आप प्लग इन करते हैं और डिवाइस को एक सेवा के साथ पंजीकृत करते हैं, तो सार्वजनिक कुंजी संदेशों को इस तरह से हस्ताक्षरित करेगी कि सेवा उन्हें सत्यापित करने में सक्षम है। पाठ संदेश या प्रमाणक एप्लिकेशन के विपरीत, मानव-में-मध्य हमलों का कोई जोखिम नहीं है क्योंकि सेवा को प्रमाणित करने के लिए भौतिक हार्डवेयर कुंजी आवश्यक है.

टेक्स्ट मैसेज या ऑथेंटिकेशन ऐप के विपरीत, हार्डवेयर कीज़ फ्री नहीं हैं। लेकिन जैसा कि प्रमुख एफआईडीओ यू 2 एफ मानक एक खुला मानक है, विभिन्न निर्माताओं के बीच बहुत प्रतिस्पर्धा है। उत्पाद यूएस $ 5 और यूएस $ 120 के बीच बंडल किए गए हार्डवेयर बिटकॉइन वॉलेट के साथ हो सकते हैं.

जब आप इसे खो देते हैं तो क्या होता है: यदि आप इसे वहन कर सकते हैं, तो एक दूसरी हार्डवेयर कुंजी एक अच्छा विचार है। अन्यथा, प्रमाणक ऐप्स के समान, आप बैकअप कोड डाउनलोड कर सकते हैं जो आपको अपने खाते में वापस पहुंचने की अनुमति देगा.

सुरक्षा जोखिम: हार्डवेयर कुंजियाँ सुरक्षा पर इतनी अधिक निर्भर करती हैं कि यदि ठीक से लागू किया गया तो फ़िशिंग हमलों को पूरी तरह से समाप्त कर सकती हैं। अभी के लिए, हार्डवेयर कुंजी पंजीकरण की पेशकश करने वाली अधिकांश सेवाओं के लिए फ़ाइल पर एक प्रामाणिक ऐप या फोन नंबर की आवश्यकता होती है। यह कमजोर लिंक हैं जो संभवतः आपके सुरक्षा खतरे भी बन जाएंगे.

गोपनीयता के जोखिम: उपकरण को निश्चित रूप से नकद या बिटकॉइन से खरीदें। सामान्य तौर पर, एक हार्डवेयर कुंजी कोई गोपनीयता जोखिम नहीं है क्योंकि यह हर खाते के लिए एक नई कुंजी जोड़ी बनाएगा.

हार्डवेयर कीज़ 2FA के लिए बेस्ट हैं, लेकिन हर कोई उन्हें स्वीकार नहीं करेगा

हार्डवेयर कुंजियाँ सुरक्षा के दृष्टिकोण से जीतती हैं, वे एक मरते हुए या रेंज फोन से निजी और अप्रभावित होती हैं। हालाँकि, अभी तक केवल कुछ सेवाएं (Google, ड्रॉपबॉक्स, फेसबुक, जीथब और कुछ अन्य) मानक का समर्थन करती हैं.

जब तक आप अपने फोन प्रदाता पर भरोसा नहीं करते (और कुछ प्रदाता भरोसेमंद हैं), एक प्रमाणिक ऐप सबसे अच्छा विकल्प है.

दो-कारक प्रमाणीकरण विधियों की तुलना: आपके लिए सबसे अच्छा कौन सा है?
admin Author
Sorry! The Author has not filled his profile.