एसएमएस लॉगिन प्रमाणीकरण बहुत जोखिम भरा है, इसका विकल्प क्या है?

याहू के अनुसार, एसएमएस के माध्यम से भेजे जाने वाले एक-बारगी प्रमाणीकरण कोड (ओटीपी) का उपयोग अभी भी दो-कारक प्रमाणीकरण प्रक्रिया में सुरक्षा की दूसरी परत के रूप में व्यापक रूप से किया जाता है, जिससे उपयोगकर्ताओं को बैंकिंग, ईमेल या सामाजिक नेटवर्किंग अनुप्रयोगों में लॉग इन करने में मदद मिलती है।

हालांकि, याहू ने चेतावनी दी है कि एसएमएस सबसे कमजोर सुरक्षा तरीकों में से एक है क्योंकि यह फिशिंग हमलों के प्रति बहुत संवेदनशील है।

ब्लूमबर्ग बिज़नेसवीक और लाइटहाउस रिपोर्ट्स की हालिया जाँच से एक बड़ा ख़तरा सामने आया है: इन ओटीपी कोड तक तीसरे पक्ष की पहुँच हो सकती है। ख़ास तौर पर, कम जानी-मानी स्विस टेलीकॉम कंपनी फ़िंक टेलीकॉम सर्विसेज़ के पास जून 2023 में दो-कारक प्रमाणीकरण कोड वाले 10 लाख से ज़्यादा संदेशों तक पहुँच थी।

प्रमाणीकरण कोड बनाने वाली कंपनियों और अंतिम उपयोगकर्ताओं के बीच मध्यस्थ के रूप में, फ़िंक टेलीकॉम सर्विसेज़ को संदेशों की सामग्री को संसाधित करने और देखने का अधिकार है। चिंताजनक बात यह है कि इस कंपनी पर उपयोगकर्ता निगरानी गतिविधियों में शामिल होने और व्यक्तिगत खातों में हस्तक्षेप करने का संदेह है।

Vì sao xác thực hai yếu tố qua SMS không còn an toàn? - Ảnh 1. — एसएमएस को सबसे कमजोर सुरक्षा तरीकों में से एक माना जाता है क्योंकि इसे तीसरे पक्ष द्वारा एक्सेस किया जा सकता है।

लीक हुए ओटीपी कोड गूगल, मेटा, अमेज़न, टिंडर, स्नैपचैट, बाइनेंस, सिग्नल, व्हाट्सएप जैसी कई बड़ी कंपनियों और यूरोप के कई बैंकों से आए थे। ये संदेश 100 से ज़्यादा देशों के यूज़र्स को भेजे गए थे।

याहू के अनुसार, एसएमएस टू-फैक्टर ऑथेंटिकेशन के सुरक्षित न होने का मुख्य कारण यह है कि कंपनियाँ अक्सर कम लागत पर एसएमएस संदेश भेजने के लिए बिचौलियों को नियुक्त करती हैं, कई वाहकों के साथ बड़े अनुबंधों और "ग्लोबल टाइटल्स" (देशों के बीच संपर्क के लिए इस्तेमाल किए जाने वाले नेटवर्क एड्रेस) की एक प्रणाली के माध्यम से। इस प्रणाली की कमज़ोरी यह है कि नियुक्त करने वाली कंपनियाँ फ़िंक टेलीकॉम सर्विसेज़ जैसी इकाइयों के साथ सीधे काम नहीं करतीं, बल्कि कई उप-ठेकेदारों के माध्यम से काम करती हैं, जिससे डेटा सुरक्षा सुनिश्चित करना और भी जटिल हो जाता है।

विस्चेन कंपनी लिमिटेड के संस्थापक श्री फाम मान्ह कुओंग ने बताया कि एसएमएस संदेशों के माध्यम से दो-कारक प्रमाणीकरण विधि अब सुरक्षित नहीं रह गई है, क्योंकि साइबर हमलावर तेजी से परिष्कृत हो रहे हैं, और आसानी से सुरक्षा प्रणाली की कमजोरियों का फायदा उठाकर पहुंच बना रहे हैं।

फ़िशिंग हमलों के सबसे आम रूपों में से एक वह है, जिसमें विश्वसनीय प्रतीत होने वाले संदेशों, ईमेल या वेबसाइटों का उपयोग उपयोगकर्ताओं से उपयोगकर्ता नाम, पासवर्ड या ओटीपी कोड जैसी संवेदनशील जानकारी प्राप्त करने के लिए किया जाता है।

इतना ही नहीं, सिम स्वैपिंग भी एक गंभीर खतरा है। धोखेबाज़ पीड़ित का फ़ोन नंबर चुरा सकते हैं, जिससे उन्हें एसएमएस के ज़रिए प्रमाणीकरण कोड मिल सकते हैं।

इसके अलावा, कई उपयोगकर्ताओं को अभी भी अज्ञात स्रोत के सॉफ़्टवेयर स्थापित करने की आदत है, विशेष रूप से एंड्रॉइड डिवाइसों पर, जिसके कारण स्पाइवेयर या कीलॉगर्स होते हैं जो गुप्त रूप से कीबोर्ड टाइपिंग को रिकॉर्ड कर सकते हैं, जिससे एक्सेस जानकारी चोरी हो सकती है।

हालांकि एसएमएस प्रमाणीकरण को अभी भी सुरक्षा की एक निश्चित परत माना जाता है, लेकिन गूगल प्रमाणक जैसे आधुनिक तरीकों की तुलना में - एक ऐसा अनुप्रयोग जो हर 30 सेकंड में बदलने वाले यादृच्छिक प्रमाणीकरण कोड उत्पन्न करता है और मोबाइल नेटवर्क से स्वतंत्र होता है - एसएमएस अपनी कमजोरियों को तेजी से दिखा रहा है।

स्रोत: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm