OTP کوڈ کے 'راز' کا انکشاف

بینکنگ لین دین سے لے کر سوشل نیٹ ورک اکاؤنٹس کی حفاظت تک OTP آج کی ڈیجیٹل زندگی میں ایک مانوس عنصر ہے۔ بہت کم لوگ جانتے ہیں کہ نمبروں کا یہ مختصر سلسلہ ایک پیچیدہ انکرپشن میکانزم کا استعمال کرتے ہوئے بنایا گیا ہے، جس میں ریئل ٹائم، خفیہ کلیدیں اور معیاری الگورتھم شامل ہیں۔

یہ سمجھنا کہ OTP کس طرح کام کرتا ہے صارفین کو زیادہ ذہنی سکون اور آج کل کے سب سے مشہور حفاظتی طریقوں میں سے ایک کی واضح سمجھ دیتا ہے۔

OTP 'دیوار'

OTP کا مطلب ہے One Time Password، جس کا مطلب ہے ایک ایسا پاس ورڈ جو صرف ایک بار استعمال کیا جا سکتا ہے۔ یہ کوڈ عام طور پر 6 ہندسوں کا ہوتا ہے، تصادفی طور پر تیار ہوتا ہے اور بینک ٹرانسفر، سوشل نیٹ ورک لاگ ان یا اکاؤنٹ کی تصدیق جیسے کاموں میں ظاہر ہوتا ہے۔

OTP کو جو چیز خاص بناتی ہے وہ اس کی انتہائی مختصر مدت کی مدت ہے، صرف 30 سے ​​60 سیکنڈ۔ اس وقت کے بعد، کوڈ کی میعاد ختم ہو جائے گی اور استعمال نہ ہونے کی صورت میں اسے دوبارہ بنانا ہوگا۔ اس سے برے لوگوں کے پرانے کوڈز کا فائدہ اٹھانے یا دوبارہ استعمال کرنے کے خطرے کو کم کرنے میں مدد ملتی ہے۔

ویتنام میں بہت سے بینک اب آن لائن لین دین کی تصدیق کے لیے OTP کا استعمال کرتے ہیں۔ صارفین کو ان کے فون پر بھیجا گیا ایک کوڈ موصول ہوگا اور انہیں مقررہ وقت کے اندر اسے صحیح طریقے سے درج کرنا ہوگا۔ اسی طرح، گوگل اور فیس بک جیسے پلیٹ فارم بھی اکاؤنٹس کی حفاظت کے لیے دو عنصری تصدیق میں OTP کا استعمال کرتے ہیں۔

اس کی سادہ اور مختصر شکل کے باوجود، OTP آج دستیاب سب سے مؤثر تحفظات میں سے ایک ہے۔ اس کوڈ کا اختصار بے ترتیب نہیں ہے، لیکن وقت اور انکرپشن کے منفرد اصولوں پر مبنی سخت کوڈ جنریشن سسٹم کے ذریعے کنٹرول کیا جاتا ہے۔

ایک کوڈ، ایک استعمال: یہ کہاں سے آتا ہے؟

آج کل زیادہ تر OTP کوڈز TOTP میکانزم کا استعمال کرتے ہوئے بنائے جاتے ہیں، جس کا مطلب ٹائم بیسڈ ون ٹائم پاس ورڈ ہے۔ یہ ایک حقیقی وقت کا کوڈ ہے جو عام طور پر صرف 30 سیکنڈ تک رہتا ہے اور پھر اس کی جگہ ایک نیا کوڈ ہوتا ہے۔

TOTP کے علاوہ، ایک اور طریقہ کار ہے جسے HOTP کہتے ہیں، جو ٹائمر کے بجائے کاؤنٹر کا استعمال کرتا ہے۔ تاہم، HOTP کم مقبول ہے کیونکہ کوڈ ایک مقررہ وقت کے بعد خود بخود ختم نہیں ہوتا ہے۔

ہر OTP بنانے کے لیے، سسٹم کو دو عناصر کی ضرورت ہوتی ہے: ایک منفرد، مستقل خفیہ کلید جو ہر اکاؤنٹ کو تفویض کی جاتی ہے اور سسٹم کی گھڑی کے مطابق موجودہ وقت۔ ہر 30 سیکنڈ میں، وقت کو برابر حصوں میں تقسیم کیا جاتا ہے اور ایک نیا کوڈ بنانے کے لیے خفیہ کلید کے ساتھ ملایا جاتا ہے۔ اس طرح، اس بات سے کوئی فرق نہیں پڑتا ہے کہ آپ تصدیقی ایپ کا استعمال کر رہے ہیں، جب تک آپ کے آلے کا وقت سرور سے میل کھاتا ہے، OTP درست رہے گا۔

ہر 30 سیکنڈ سیگمنٹ کو "ٹائم ونڈو" سمجھا جاتا ہے۔ جب وقت اگلی ونڈو میں چلا جائے گا، ایک نیا کوڈ تیار کیا جائے گا۔ پرانا کوڈ، اگرچہ حذف نہیں ہوا، خود بخود غلط ہو جائے گا کیونکہ یہ موجودہ وقت سے میل نہیں کھاتا۔ یہ طریقہ کار ہر OTP کوڈ کو صرف صحیح وقت پر قابل استعمال بناتا ہے اور چند درجن سیکنڈ کے بعد دوبارہ استعمال نہیں کیا جا سکتا۔

  خفیہ کاری کے لیے HMAC SHA1 الگورتھم کا استعمال کرتے ہوئے کوڈ بنانے کا عمل بین الاقوامی معیار کے RFC 6238 کی پیروی کرتا ہے۔ اگرچہ یہ صرف 6 ہندسے پیدا کرتا ہے، لیکن یہ نظام اتنا پیچیدہ ہے کہ اندازہ لگانا تقریباً ناممکن ہے۔ ہر صارف کے پاس ایک منفرد کلید ہوتی ہے، اور کوڈ بنانے کا وقت بھی مختلف ہوتا ہے، اس لیے ڈپلیکیٹ کوڈز کا امکان تقریباً صفر ہے۔

ایک دلچسپ بات یہ ہے کہ Google Authenticator یا Microsoft Authenticator جیسی ایپلی کیشنز انٹرنیٹ یا فون سگنل کی ضرورت کے بغیر OTP کوڈ تیار کر سکتی ہیں۔ ابتدائی خفیہ کلید دیے جانے کے بعد، ایپلیکیشن کو آزادانہ طور پر کام کرنے کے قابل ہونے کے لیے صرف صحیح وقت کو ہم آہنگ کرنے کی ضرورت ہے۔ یہ تصدیق کے عمل کے دوران سیکیورٹی کو یقینی بناتے ہوئے لچک کو بڑھانے میں مدد کرتا ہے۔

OTP کوڈز سے خطرات اور اپنے آپ کو کیسے بچایا جائے۔

OTP تحفظ کی ایک مؤثر پرت ہے لیکن بالکل محفوظ نہیں ہے۔ بہت سے حالیہ گھوٹالوں میں، برے لوگوں کو اعلی ٹیکنالوجی کے ساتھ حملہ کرنے کی ضرورت نہیں تھی، بلکہ صرف شکار کو OTP کوڈ فراہم کرنے کی ضرورت تھی۔

بینک ملازمین کی جعلی کالیں، لاگ ان لنکس کے ساتھ جعلی پیغامات یا جیتنے والے نوٹیفیکیشن سب کا مقصد میعاد کے اندر OTP کوڈ حاصل کرنا ہے۔

اگر صارف نے کسی نامعلوم ایپلیکیشن کو اجازت دی ہو تو کچھ مالویئر خاموشی سے OTPs والے پیغامات کو بھی پڑھ سکتے ہیں۔ یہی وجہ ہے کہ زیادہ سے زیادہ سروسز ٹیکسٹ میسجز کے ذریعے بھیجنے کے بجائے اپنے کوڈز بنانے والی ایپس کا استعمال کر رہی ہیں۔ اس طرح، کوڈز موبائل نیٹ ورک پر منحصر نہیں ہیں اور ان کو روکنا مشکل ہے۔

اپنے اکاؤنٹ کی حفاظت کے لیے، آپ کو اپنا OTP کبھی بھی کسی کے ساتھ شیئر نہیں کرنا چاہیے۔ اگر آپ کو کوئی غیر معمولی کال، ٹیکسٹ میسج، یا کوڈ مانگنے والا لنک موصول ہوتا ہے، تو رکیں اور اسے احتیاط سے چیک کریں۔ Google Authenticator یا Microsoft Authenticator جیسی ایپ کے ساتھ دو عنصر کی توثیق کا استعمال بھی سیکیورٹی بڑھانے کا ایک اہم طریقہ ہے۔