OTP کوڈ کے 'راز' کا انکشاف

بینکنگ لین دین سے لے کر سوشل نیٹ ورک اکاؤنٹس کی حفاظت تک OTP آج کی ڈیجیٹل زندگی میں ایک مانوس عنصر ہے۔ بہت کم لوگ جانتے ہیں کہ نمبروں کا یہ مختصر سلسلہ ایک پیچیدہ انکرپشن میکانزم کا استعمال کرتے ہوئے بنایا گیا ہے، جس میں ریئل ٹائم، خفیہ کلیدیں اور معیاری الگورتھم شامل ہیں۔

یہ سمجھنا کہ OTP کس طرح کام کرتا ہے صارفین کو ذہنی سکون فراہم کرتا ہے اور آج کل کے سب سے زیادہ مقبول حفاظتی طریقوں میں سے ایک کی واضح سمجھ دیتا ہے۔

OTP 'دیوار'

او ٹی پی کا مطلب ہے ون ٹائم پاس ورڈ، یعنی ایسا پاس ورڈ جسے صرف ایک بار استعمال کیا جا سکتا ہے۔ یہ کوڈ عام طور پر 6 ہندسوں کا ہوتا ہے، تصادفی طور پر تیار ہوتا ہے اور بینک ٹرانسفر، سوشل نیٹ ورک لاگ ان یا اکاؤنٹ کی تصدیق جیسے کاموں میں ظاہر ہوتا ہے۔

OTP کو جو چیز خاص بناتی ہے وہ اس کی انتہائی مختصر مدت کی مدت ہے، صرف 30 سے ​​60 سیکنڈ تک۔ اس وقت کے بعد، کوڈ کی میعاد ختم ہو جائے گی اور استعمال نہ ہونے کی صورت میں اسے دوبارہ بنانا ہوگا۔ اس سے برے لوگوں کے پرانے کوڈز کا فائدہ اٹھانے یا دوبارہ استعمال کرنے کے خطرے کو کم کرنے میں مدد ملتی ہے۔

ویتنام میں بہت سے بینک اب آن لائن لین دین کی تصدیق کے لیے OTP کا استعمال کرتے ہیں۔ صارفین کو ان کے فون پر بھیجا گیا ایک کوڈ موصول ہوگا اور انہیں مقررہ وقت کے اندر اسے صحیح طریقے سے درج کرنا ہوگا۔ اسی طرح، گوگل اور فیس بک جیسے پلیٹ فارم بھی اپنے اکاؤنٹس کی حفاظت کے لیے دو عنصری تصدیق میں OTP کا استعمال کرتے ہیں۔

اس کی سادہ اور مختصر شکل کے باوجود، OTP آج دستیاب سب سے مؤثر تحفظات میں سے ایک ہے۔ اس کوڈ کا اختصار بے ترتیب نہیں ہے، لیکن وقت اور انکرپشن کے منفرد اصولوں پر مبنی سخت کوڈ جنریشن سسٹم کے ذریعے کنٹرول کیا جاتا ہے۔

ایک کوڈ، ایک استعمال: یہ کہاں سے آیا؟

آج کل زیادہ تر OTP کوڈز TOTP میکانزم کا استعمال کرتے ہوئے بنائے جاتے ہیں، جس کا مطلب ٹائم بیسڈ ون ٹائم پاس ورڈ ہے۔ یہ ایک حقیقی وقت کا کوڈ ہے جو عام طور پر صرف 30 سیکنڈ تک رہتا ہے اور پھر اس کی جگہ ایک نیا کوڈ ہوتا ہے۔

TOTP کے علاوہ، ایک اور طریقہ کار ہے جسے HOTP کہتے ہیں، جو ٹائمر کے بجائے کاؤنٹر کا استعمال کرتا ہے۔ تاہم، HOTP کم مقبول ہے کیونکہ کوڈ ایک مقررہ وقت کے بعد خود بخود ختم نہیں ہوتا ہے۔

ہر OTP کوڈ بنانے کے لیے، سسٹم کو دو عوامل کی ضرورت ہوتی ہے: ایک مقررہ خفیہ کلید جو ہر اکاؤنٹ کو تفویض کی جاتی ہے اور سسٹم کی گھڑی کے مطابق موجودہ وقت۔ ہر 30 سیکنڈ میں، وقت کو مساوی حصوں میں تقسیم کیا جائے گا اور ایک نیا کوڈ بنانے کے لیے خفیہ کلید کے ساتھ ملایا جائے گا۔ اس کا شکریہ، اس بات سے کوئی فرق نہیں پڑتا ہے کہ آپ تصدیقی ایپلیکیشن کا استعمال کر رہے ہیں، جب تک ڈیوائس پر وقت سرور سے میل کھاتا ہے، OTP کوڈ درست رہے گا۔

ہر 30 سیکنڈ کی مدت کو "ٹائم ونڈو" سمجھا جاتا ہے۔ جب وقت اگلی ونڈو میں چلا جائے گا، ایک نیا کوڈ تیار کیا جائے گا۔ پرانا کوڈ، اگرچہ حذف نہیں ہوا، خود بخود غلط ہو جائے گا کیونکہ یہ موجودہ وقت سے میل نہیں کھاتا۔ یہ طریقہ کار ہر OTP کوڈ کو صرف صحیح وقت پر قابل استعمال بناتا ہے اور چند درجن سیکنڈ کے بعد دوبارہ استعمال نہیں کیا جا سکتا۔

  خفیہ کاری کے لیے HMAC SHA1 الگورتھم کا استعمال کرتے ہوئے کوڈ بنانے کا عمل بین الاقوامی معیار کے RFC 6238 کی پیروی کرتا ہے۔ اگرچہ یہ صرف 6 ہندسے پیدا کرتا ہے، لیکن یہ نظام اتنا پیچیدہ ہے کہ اندازہ لگانا تقریباً ناممکن ہے۔ ہر صارف کے پاس ایک نجی کلید ہوتی ہے، اور کوڈ بنانے کا وقت بھی مختلف ہوتا ہے، اس لیے ڈپلیکیٹ کوڈز کا امکان تقریباً صفر ہے۔

ایک دلچسپ بات یہ ہے کہ Google Authenticator یا Microsoft Authenticator جیسی ایپلی کیشنز انٹرنیٹ یا فون سگنل کی ضرورت کے بغیر OTP کوڈ تیار کر سکتی ہیں۔ ابتدائی خفیہ کلید دیے جانے کے بعد، ایپلیکیشن کو آزادانہ طور پر کام کرنے کے قابل ہونے کے لیے صرف صحیح وقت کو ہم آہنگ کرنے کی ضرورت ہے۔ یہ تصدیق کے عمل کے دوران سیکیورٹی کو یقینی بناتے ہوئے لچک کو بڑھانے میں مدد کرتا ہے۔

OTP کوڈز سے خطرات اور اپنے آپ کو کیسے بچایا جائے۔

OTP تحفظ کی ایک مؤثر پرت ہے لیکن بالکل محفوظ نہیں ہے۔ بہت سے حالیہ گھوٹالوں میں، برے لوگوں کو اعلی ٹیکنالوجی کے ساتھ حملہ کرنے کی ضرورت نہیں تھی، بلکہ صرف شکار کو OTP کوڈ فراہم کرنے کی ضرورت تھی۔

بینک ملازمین کی جعلی کالیں، جعلی لاگ ان لنکس یا جیتنے والے نوٹیفیکیشن سب کا مقصد میعاد کے اندر OTP کوڈ حاصل کرنا ہے۔

اگر صارف نے کسی نامعلوم ایپلیکیشن کو اجازت دی ہو تو کچھ مالویئر خاموشی سے OTPs والے پیغامات کو بھی پڑھ سکتے ہیں۔ یہی وجہ ہے کہ زیادہ سے زیادہ سروسز ٹیکسٹ میسجز کے ذریعے بھیجنے کے بجائے ان ایپلیکیشنز کو استعمال کرنے کی طرف جا رہی ہیں جو اپنے کوڈز تیار کرتی ہیں۔ اس طرح، کوڈز موبائل نیٹ ورک پر منحصر نہیں ہیں اور ان میں مداخلت کرنا زیادہ مشکل ہے۔

اپنے اکاؤنٹ کی حفاظت کے لیے، آپ کو اپنا OTP کبھی بھی کسی کے ساتھ شیئر نہیں کرنا چاہیے۔ اگر آپ کو کوئی غیر معمولی کال، ٹیکسٹ میسج، یا کوڈ مانگنے والا لنک موصول ہوتا ہے، تو رکیں اور اسے احتیاط سے چیک کریں۔ Google Authenticator یا Microsoft Authenticator جیسی ایپ کے ساتھ دو عنصر کی توثیق کا استعمال بھی سیکیورٹی بڑھانے کا ایک اہم طریقہ ہے۔