फ़ोन-आधारित प्रमाणीकरण असुरक्षित क्यों हो सकता है?

December 02, 2021
मेंसमाचार इंटरनेट सुरक्षा

चाबी छीन लेना

विशेषज्ञों का कहना है कि हैकर्स फोन आधारित मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) कोड चुरा सकते हैं।
अपराधियों को कोड प्राप्त करने की अनुमति देने के लिए फ़ोन कंपनियों को फ़ोन नंबर स्थानांतरित करने के लिए छल किया गया है।
सुरक्षा बढ़ाने का एक सरल, कम लागत वाला तरीका है अपने फ़ोन पर प्रमाणक ऐप का उपयोग करना।

स्मार्टफोन, वॉलेट और कार्ड रीडर के साथ कीबोर्ड पर हाथ ऊपर की ओर हैं। — फ़ोटोग्राफ़र, बसाक गुरबुज़ डर्मन / गेटी इमेजेज़

एक शीर्ष सुरक्षा विशेषज्ञ ने एक नए विश्लेषण में लिखा है कि हैकर्स से सुरक्षित रहने के लिए, एसएमएस और वॉयस कॉल के जरिए भेजे जाने वाले फोन-आधारित मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) कोड का इस्तेमाल बंद कर दें।

माइक्रोसॉफ्ट में आइडेंटिटी सिक्योरिटी के निदेशक एलेक्स वेनर्ट ने लिखा है कि फोन कोड हैकर्स द्वारा इंटरसेप्शन की चपेट में हैं हालिया ब्लॉग पोस्ट. पर्यवेक्षकों का कहना है कि टेक्स्ट-आधारित कोड कुछ नहीं से बेहतर हैं। लेकिन उपयोगकर्ताओं को फ़ोन-आधारित प्रमाणीकरण को ऐप्स और सुरक्षा कुंजियों से बदलना चाहिए।

"ये तंत्र सार्वजनिक रूप से स्विच किए गए टेलीफोन नेटवर्क (पीएसटीएन) पर आधारित हैं, और मेरा मानना है कि वे आज उपलब्ध एमएफए विधियों में से कम से कम सुरक्षित हैं," उन्होंने लिखा।

"यह अंतर केवल तभी चौड़ा होगा जब एमएफए अपनाने से इन तरीकों को तोड़ने में हमलावरों की रुचि बढ़ जाती है और उद्देश्य-निर्मित प्रमाणक उनकी सुरक्षा और उपयोगिता लाभ बढ़ाते हैं। पासवर्ड रहित सशक्त प्रमाणीकरण के लिए अभी अपने कदम की योजना बनाएं—प्रमाणक ऐप तत्काल और विकसित होने वाला विकल्प प्रदान करता है।"

एमएफए एक सुरक्षा पद्धति है जिसमें एक कंप्यूटर उपयोगकर्ता को एक प्रमाणीकरण तंत्र के लिए सफलतापूर्वक दो या दो से अधिक साक्ष्य प्रस्तुत करने के बाद ही किसी वेबसाइट या एप्लिकेशन तक पहुंच प्रदान की जाती है। ये कोड अक्सर फोन द्वारा भेजे जाते हैं।

हैकर्स आपके होने का नाटक करते हैं

हालांकि, पर्यवेक्षकों का कहना है कि हैकर्स फोन कोड तक पहुंच प्राप्त कर सकते हैं। कुछ उदाहरणों में, हैकर्स को कोड प्राप्त करने की अनुमति देने के लिए फ़ोन कंपनियों को फ़ोन नंबर स्थानांतरित करने के लिए धोखा दिया गया है।

"टेलीफोन इतने असुरक्षित होते हैं कि अमेरिकी क्षेत्रीय फोन नंबर दिखाते हुए उपयोगकर्ताओं को अक्सर तीसरी दुनिया के देशों से घोटाले की कॉल आती हैं," मैथ्यू रोजर्स, सीआईएसओ क्लाउड प्रदाता सिंटेक्स, एक ईमेल साक्षात्कार में कहा। "टेलीफोन भी सिम स्वैपिंग हमलों के अधीन हैं, जो आसानी से पाठ संदेश के माध्यम से एमएफए को बायपास कर सकते हैं।"

हाल ही में, लोकप्रिय बीबीसी रेडियो होस्ट जेरेमी वाइन एक हमले का शिकार हुआ था, जिसके कारण उनके व्हाट्सएप अकाउंट में प्रवेश किया गया था।

"हमला जिसने सफलतापूर्वक वाइन को बरगलाया, एक प्रतीत होता है कि अवांछित एसएमएस संदेश की प्राप्ति के साथ शुरू होता है जिसमें उनके खाते का दो-कारक प्रमाणीकरण कोड होता है," रे वॉल्श, डेटा गोपनीयता विशेषज्ञ गोपनीयता समीक्षा साइट ProPrivacy, एक ईमेल साक्षात्कार में कहा।

"उसके बाद, पीड़ित को एक संपर्क से एक सीधा संदेश प्राप्त होता है जिसमें दावा किया जाता है कि उन्हें दुर्घटना से एक कोड भेजा गया था। अंत में, पीड़ित को हैकर को कोड अग्रेषित करने के लिए कहा जाता है, जो उन्हें पीड़ित के खाते तक तुरंत पहुंच प्रदान करता है।"

सॉफ्टवेयर भी एक समस्या हो सकती है। "डिवाइस की कमजोरियों के कारण, एमएफए संभावित रूप से एक लीक ऐप या ए द्वारा छिपाया जा सकता है समझौता किए गए डिवाइस के बारे में उपयोगकर्ता को जानकारी नहीं है," जॉर्ज फ्रीमैन, सरकार में समाधान सलाहकार समूह का लेक्सिसनेक्सिस जोखिम समाधान, एक ईमेल साक्षात्कार में कहा।

अभी तक अपना फोन न दें

हालांकि, टेक्स्ट-आधारित एमएफए कुछ भी नहीं से बेहतर है, विशेषज्ञों का कहना है। क्लाउड रिसर्च के उपाध्यक्ष मार्क नुनिखोवेन ने कहा, "एमएफए सबसे शक्तिशाली उपकरणों में से एक है जिसे उपयोगकर्ता अपने खातों की सुरक्षा के लिए रखता है।" साइबर सुरक्षा कंपनी ट्रेंड माइक्रो, एक ईमेल साक्षात्कार में कहा।

"जब भी संभव हो इसे सक्षम किया जाना चाहिए। यदि आपके पास विकल्प है, तो अपने स्मार्टफोन पर प्रमाणीकरण ऐप का उपयोग करें- लेकिन अंत में, सुनिश्चित करें कि एमएफए किसी भी रूप में सक्षम है।"

सुरक्षा बढ़ाने का एक सरल, कम लागत वाला तरीका है अपने फोन पर प्रमाणक ऐप का उपयोग करना, पीटर रॉबर्ट, सह-संस्थापक और सीईओ आईटी कंपनी विशेषज्ञ कंप्यूटर समाधान, एक ईमेल साक्षात्कार में कहा।

"यदि आपके पास बजट है और सुरक्षा को महत्वपूर्ण मानते हैं, तो मैं आपको हार्डवेयर-आधारित एमएफए कुंजियों का मूल्यांकन करने के लिए प्रोत्साहित करूंगा," उन्होंने कहा। "उन व्यवसायों और व्यक्तियों के लिए जो सुरक्षा के बारे में चिंतित हैं, मैं एक डार्क वेब की भी सिफारिश करूंगा निगरानी सेवा आपको यह बताने के लिए कि क्या आपके बारे में व्यक्तिगत जानकारी उपलब्ध है और अंधेरे में बिक्री के लिए है वेब।"

फ़िंगरप्रिंट स्कैनर पर उंगली का पास से चित्र. — ईमानदारमाइक / गेट्टी छवियां

अधिक के लिए असंभव लक्ष्य-शैली दृष्टिकोण, नया मानक FIDO2 Webauthn. के साथ बायोमेट्रिक प्रमाणीकरण का उपयोग करता है, फ्रीमैन कहते हैं। "उपयोगकर्ता एक वित्तीय साइट से जुड़ता है, एक उपयोगकर्ता नाम दर्ज करता है, वेबसाइट संपर्क [उपयोगकर्ता] के मोबाइल डिवाइस, [the] फोन पर एक सुरक्षित ऐप है, फिर उपयोगकर्ता को [उनके] चेहरे की आईडी या फिंगरप्रिंट के लिए संकेत देता है। सफल होने पर, यह वेब सत्र को प्रमाणित करता है," उन्होंने कहा।

इतने सारे संभावित खतरों के साथ, व्यक्तिगत जानकारी संग्रहीत करने वाली वेबसाइटों पर लॉग ऑन करने के लिए अधिक सुरक्षित तरीकों की तलाश शुरू करने का समय आ सकता है। हो सकता है कि हैकर्स आपके पासवर्ड को इंटरसेप्ट करने के इंतजार में वेब पर दुबके हों।