एसएमएस लॉगिन प्रमाणीकरण बहुत जोखिम भरा है, विकल्प क्या है?

याहू के अनुसार, एसएमएस के माध्यम से भेजे जाने वाले एक-बारगी प्रमाणीकरण कोड (ओटीपी) का उपयोग अभी भी दो-कारक प्रमाणीकरण प्रक्रिया में सुरक्षा की दूसरी परत के रूप में व्यापक रूप से किया जाता है, जिससे उपयोगकर्ताओं को बैंकिंग, ईमेल या सामाजिक नेटवर्किंग अनुप्रयोगों में लॉग इन करने में मदद मिलती है।

हालांकि, याहू ने चेतावनी दी है कि एसएमएस सबसे कमजोर सुरक्षा तरीकों में से एक है क्योंकि यह फिशिंग हमलों के प्रति बहुत संवेदनशील है।

ब्लूमबर्ग बिज़नेसवीक और लाइटहाउस रिपोर्ट्स की हालिया जाँच से एक बड़ा ख़तरा सामने आया है: इन ओटीपी तक तीसरे पक्ष की पहुँच हो सकती है। ख़ास तौर पर, कम-ज्ञात स्विस दूरसंचार कंपनी फ़िंक टेलीकॉम सर्विसेज़ के पास जून 2023 में दो-कारक प्रमाणीकरण कोड वाले 10 लाख से ज़्यादा संदेशों तक पहुँच थी।

प्रमाणीकरण कोड बनाने वाली कंपनियों और अंतिम उपयोगकर्ताओं के बीच मध्यस्थ के रूप में, फ़िंक टेलीकॉम सर्विसेज़ को संदेशों की सामग्री को संसाधित करने और देखने का अधिकार है। चिंताजनक बात यह है कि इस कंपनी पर उपयोगकर्ता निगरानी में शामिल होने और व्यक्तिगत खातों में हस्तक्षेप करने का संदेह है।

Vì sao xác thực hai yếu tố qua SMS không còn an toàn? - Ảnh 1. — एसएमएस को सबसे कमजोर सुरक्षा तरीकों में से एक माना जाता है क्योंकि इसे तीसरे पक्ष द्वारा एक्सेस किया जा सकता है।

लीक हुए ओटीपी गूगल, मेटा, अमेज़न, टिंडर, स्नैपचैट, बाइनेंस, सिग्नल, व्हाट्सएप और कई यूरोपीय बैंकों जैसी बड़ी कंपनियों से आए थे। ये संदेश 100 से ज़्यादा देशों के यूज़र्स को भेजे गए थे।

याहू के अनुसार, एसएमएस टू-फैक्टर ऑथेंटिकेशन के सुरक्षित न होने का मुख्य कारण यह है कि कंपनियाँ अक्सर कई वाहकों के साथ बड़े अनुबंधों और "ग्लोबल टाइटल्स" (देशों के बीच संपर्क के लिए इस्तेमाल किए जाने वाले नेटवर्क एड्रेस) की एक प्रणाली के ज़रिए, कम लागत पर एसएमएस भेजने का काम आउटसोर्स करती हैं। इस प्रणाली की कमज़ोरी यह है कि इन्हें नियुक्त करने वाली कंपनियाँ फ़िंक टेलीकॉम सर्विसेज़ जैसी संस्थाओं के साथ सीधे काम नहीं करतीं, बल्कि कई उप-ठेकेदारों के ज़रिए काम करती हैं, जिससे डेटा सुरक्षा सुनिश्चित करना और भी जटिल हो जाता है।

विस्चेन कंपनी लिमिटेड के संस्थापक श्री फाम मान्ह कुओंग ने बताया कि एसएमएस संदेशों के माध्यम से दो-कारक प्रमाणीकरण विधि अब सुरक्षित नहीं रह गई है, क्योंकि साइबर हमलावर तेजी से परिष्कृत हो रहे हैं, और आसानी से सुरक्षा प्रणाली की कमजोरियों का फायदा उठाकर पहुंच बना रहे हैं।

फ़िशिंग हमलों के सबसे आम रूपों में से एक वह है, जिसमें किसी प्रतिष्ठित संदेश, ईमेल या वेबसाइट का उपयोग उपयोगकर्ताओं से उपयोगकर्ता नाम, पासवर्ड या ओटीपी कोड जैसी संवेदनशील जानकारी प्राप्त करने के लिए किया जाता है।

इतना ही नहीं, सिम स्वैपिंग भी एक गंभीर खतरा है। धोखेबाज़ पीड़ित का फ़ोन नंबर चुरा सकते हैं, जिससे उन्हें एसएमएस के ज़रिए प्रमाणीकरण कोड मिलते हैं।

इसके अलावा, कई उपयोगकर्ताओं को अभी भी अज्ञात स्रोत के सॉफ़्टवेयर स्थापित करने की आदत है, विशेष रूप से एंड्रॉइड डिवाइसों पर, जिसके कारण स्पाइवेयर या कीलॉगर्स होते हैं जो गुप्त रूप से कीबोर्ड टाइपिंग को रिकॉर्ड कर सकते हैं, जिससे एक्सेस जानकारी चोरी हो सकती है।

हालांकि एसएमएस प्रमाणीकरण को अभी भी सुरक्षा की एक निश्चित परत माना जाता है, लेकिन गूगल प्रमाणक जैसे आधुनिक तरीकों की तुलना में - एक ऐसा अनुप्रयोग जो हर 30 सेकंड में बदलने वाले यादृच्छिक प्रमाणीकरण कोड उत्पन्न करता है और मोबाइल नेटवर्क से स्वतंत्र होता है - एसएमएस अपनी कमजोरियों को तेजी से दिखा रहा है।

स्रोत: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm