एक बार के एसएमएस कोड को व्यापक रूप से दो-कारक प्रमाणीकरण (2FA) में दूसरे चेकपॉइंट के रूप में उपयोग किया जाता है ताकि बैंकिंग ऐप से ईमेल खातों तक सब कुछ पर हस्ताक्षर किया जा सके। जैसा मैंने पहले लिखा हैहालांकि, एसएमएस कम से कम सुरक्षित 2 एफए तरीकों में से एक है, क्योंकि इसे अपेक्षाकृत आसानी से फिश किया जा सकता है।
यह पता चला है कि ये कोड अन्य पार्टियों के लिए भी हो सकते हैं, जो प्रेषक (सेवा पीढ़ी कोड) और प्राप्तकर्ता (आप) को घेरते हैं, इस जोखिम को बढ़ाते हैं कि आपके खातों को बुरे अभिनेताओं द्वारा समझौता किया जा सकता है। जैसा ब्लूमबर्ग Businessweek द्वारा रिपोर्ट की गईएक अस्पष्ट तृतीय-पक्ष टेलीकॉम सेवा में कम से कम एक मिलियन 2FA कोड तक पहुंच थी जो इसके नेटवर्क से गुजरती थी।
कैसे एक मिलियन से अधिक एसएमएस कोड से समझौता किया गया था
ब्लूमबर्ग और लाइटहाउस रिपोर्ट के नेतृत्व में एक जांच – एक उद्योग व्हिसलब्लोअर से प्राप्त आंकड़ों के आधार पर – इस बात पर आधारित कि 2FA कोड वाले मिलियन से अधिक और मिलियन टेक्स्ट संदेश स्विस कंपनी फ़िंक टेलीकॉम सेवा सेवाओं को जून 2023 में देखते थे। प्रमाणीकरण कोड उत्पन्न करते हैं और उपयोगकर्ता अपने खातों में लॉग इन करते हैं, फिंक ने संदेशों को संभाला और उनकी सामग्री तक पहुंच बनाई।
हालांकि यह एसएमएस में एक कमजोरी है – व्हिच अनएन्क्रिप्टेड है और इंटरपेप्ट के लिए आसान है -फिंक की घटना निगरानी उद्योग में कंपनी की भागीदारी और उपयोगकर्ता खातों की कथित घुसपैठ के कारण कण है।
रिपोर्टिंग के अनुसार, संदेश Google, मेटा, अमेज़ॅन, टिंडर, स्नैपचैट, बिनेंस, सिग्नल, व्हाट्सएप और कई यूरोपीय बैंकों जैसे प्रेषकों से आए और 100 से अधिक देशों में प्राप्तकर्ताओं के पास गए।
आमतौर पर सस्ती दरों पर पाठ संदेश भेजने के लिए बिचौलियों का उपयोग करें, जो कई वाहकों के साथ बड़े अनुबंधों और तथाकथित “वैश्विक शीर्षक” के स्वामित्व या पट्टे के लिए संभव हैं: नेटवर्क पते जो अलग-अलग काउंट्स में संचार को सुविधा प्रदान करते हैं। तीसरे पक्ष के साथ काम करते समय गोपनीयता और सुरक्षा मानकों को बनाए रखना इस तथ्य से और जटिल है कि फ़िंक (और इसके जैसे अन्य) अक्सर उपठेकेदार होते हैं जो मूल कंपनियों द्वारा सीधे काम नहीं किए जाते हैं।
नीचे पंक्ति: यदि आप एसएमएस को अपनी प्रमाणीकरण विधि के रूप में उपयोग करते हैं, तो आपको यह गारंटी नहीं है कि किसी और के पास आपके कोड तक पहुंच नहीं है या यह कहना है कि यह आपके निजी खातों को हैक करने के लिए इसका उपयोग नहीं करेगा।
आप दूर के साथ क्या सोचते हैं?
अधिक सुरक्षित 2FA विकल्प
Unifnunately, कई कंपनियां 2FA के लिए SMS पर रिल्ली जारी रखती हैं, लेकिन जहाँ भी संभव हो, आपको अन्य मल्टी-फैक्टर ऑथेंटिकेशन (MFA) विधियों का विकल्प चुनना चाहिए।
सबसे सुरक्षित विकल्प Byometrics या Passkys जैसे WebAuthn क्रेडेंशियल्स पर आधारित हैं, और आपके डिवाइस या भौतिक सुरक्षा कुंजी पर संग्रहीत हैं। ये विधियाँ और तीसरे पक्ष के माध्यम से अनएन्क्रिप्टेड पास नहीं हैं, और वे फ़िशिंग हमलों के लिए अत्यधिक प्रतिरोधी हैं। Google ऑथेंटिकेटर जैसे ऑथेंटिकेटर ऐप्स जो आपके डिवाइस पर कोड उत्पन्न करते हैं और हर 30 सेकंड में रिफ्रेश करते हैं, वे भी एसएमएस से अधिक मजबूत होते हैं।
सामान्य तौर पर, लॉग इन करने के लिए आवश्यक अधिक प्रमाणीकरण कारक, अधिक से अधिक सुरक्षा, हालांकि ये कारक स्वतंत्र होने चाहिए और एक ही डिवाइस पर सभी सुलभ नहीं होना चाहिए।
