जब आपके पासवर्ड और संवेदनशील डेटा को सुरक्षित करने की बात आती है, तो सभी दो-कारक प्रमाणीकरण (2FA) विधियाँ समान नहीं होतीं। कई सेवाएँ अभी भी एसएमएस आधारित 2FA प्रदान करती हैं, लेकिन सुरक्षा-सचेत प्लेटफ़ॉर्म जैसे Psono इसे पूरी तरह से मजबूत विकल्पों जैसे WebAuthn, YubiKey, और TOTP (टाइम-बेस्ड वन-टाइम पासवर्ड) के पक्ष में छोड़ देते हैं।
यह केवल एक प्राथमिकता नहीं है—बल्कि मजबूत सुरक्षा के लिए एक आवश्यकता है। एसएमएस-आधारित 2FA में महत्वपूर्ण कमजोरियाँ हैं, और वास्तविक दुनिया के हमलों ने यह साबित कर दिया है कि यह हैकरों के लिए एक आसान लक्ष्य है। इस ब्लॉग पोस्ट में, हम चर्चा करेंगे कि एसएमएस 2FA क्यों कमजोर है और वास्तविक दुनिया के हमले जो इसकी कमजोरियों को दर्शाते हैं पर प्रकाश डालेंगे।
🔒 एसएमएस-आधारित 2FA की कमजोरी
एसएमएस-आधारित प्रमाणीकरण कई हमले विधियों के प्रति संवेदनशील है, जिनमें शामिल हैं:
- सिम स्वैपिंग – हमलावर मोबाइल ऑपरेटरों को धोखा देकर पीड़ित की फोन नंबर एक नए सिम पर स्थानांतरित करवा देते हैं, और सभी एसएमएस कोड इंटरसेप्ट कर लेते हैं।
- SS7 हमले – वैश्विक सिग्नलिंग सिस्टम नंबर 7 (SS7) प्रोटोकॉल की कमजोरियों का शोषण करके एसएमएस संदेशों को दूरस्थ रूप से इंटरसेप्ट करना।
- फिशिंग और सोशल इंजीनियरिंग – नकली लॉगिन पृष्ठों के माध्यम से उपयोगकर्ताओं को एसएमएस-आधारित कोड देने के लिए धोखा देना।
इन खतरों के कारण एसएमएस-आधारित 2FA प्रमाणीकरण के सबसे कमजोर रूपों में से एक है।
🛡️ क्यों Psono मजबूत 2FA का उपयोग करता है
Psono सुरक्षा को प्राथमिकता देता है और केवल मजबूत 2FA विधियों का समर्थन करता है, जिनमें शामिल हैं:
- WebAuthn (FIDO2) – सार्वजनिक-कुंजी क्रिप्टोग्राफी और बायोमेट्रिक या हार्डवेयर सुरक्षा कुंजियाँ (जैसे, YubiKey) का उपयोग करता है।
- YubiKey और अन्य सुरक्षा कुंजियाँ – भौतिक टोकन जिन्हें प्रमाणीकरण के लिए सीधी पहुंच की आवश्यकता होती है।
- TOTP (गूगल ऑथेंटिकेटर, ऑथी, आदि) – एसएमएस के द्वारा प्रसारित होने के बजाय डिवाइस पर उत्पन्न होने वाले एक-बार उपयोग के पासवर्ड।
ये विधियाँ अधिक सुरक्षित होती हैं क्योंकि वे फिशिंग-प्रतिरोधी होती हैं, मोबाइल कैरियरों पर भरोसा नहीं करतीं, और दूरस्थ अधिग्रहण के जोखिम को समाप्त करती हैं।
📢 एसएमएस 2FA पर वास्तविक दुनिया के हमले
यह दिखाने के लिए कि Psono एसएमएस-आधारित प्रमाणीकरण को लागू करने से इनकार करता है, यहां कुछ वास्तविक दुनिया के हमले हैं जिन्होंने इसकी कमजोरियों का शोषण किया:
1. चीन का अमेरिकी दूरसंचार का लक्ष्य बनाना (SS7 शोषण और अधिक)
फरवरी 2024 में, FBI और CISA ने चीनी राज्य प्रायोजित हैकरों द्वारा वाणिज्यिक दूरसंचार नेटवर्क को लक्ष्य बनाने के बारे में एक संयुक्त चेतावनी जारी की। इन हमलों ने SS7 की कमजोरियों का शोषण किया—यह प्रोटोकॉल एसएमएस संदेशों को रूट करने के लिए उपयोग किया जाता है। हमलावर प्रमाणीकरण संदेशों को इंटरसेप्ट करने में सक्षम थे, जो दिखाता है कि कैसे एसएमएस 2FA को प्रणालीगत स्तर पर समझौता किया जा सकता है।
2. ट्विटर (X) के पूर्व सीईओ जैक डोर्सी का सिम स्वैप हमला (2019)
2019 में, ट्विटर के तत्कालीन सीईओ, जैक डोर्सी का खाता सिम स्वैप हमले के माध्यम से अपहरण कर लिया गया था। हैकरों ने उनके मोबाइल ऑपरेटर को उनकी फ़ोन संख्या को अपने सिम कार्ड पर स्थानांतरित करने के लिए मना लिया, जिससे वे 2FA एसएमएस कोड को इंटरसेप्ट कर उनके ट्विटर खाते पर नियंत्रण पा गए।
3. कॉइनबेस सिम स्वैप हमले (2021) – हजारों डॉलर की चोरी
2021 में, कॉइनबेस ने खुलासा किया कि 6,000 से अधिक ग्राहकों को निधियों का नुकसान हुआ किसी विशाल सिम स्वैप हमले के कारण। हैकरों ने पीड़ितों के पासवर्ड को इंटरसेप्ट एसएमएस कोड का उपयोग करके रीसेट कर उनके खातों पर पूर्ण नियंत्रण प्राप्त किया और क्रिप्टोकरेंसी चोरी की।
4. रेडिट का 2018 डेटा उल्लंघन – एसएमएस 2FA विफल
2018 में, रेडिट में एक डेटा उल्लंघन हुआ जहाँ हैकरों ने कर्मचारी खातों तक पहुँच प्राप्त कर ली, बावजूद इसके कि एसएमएस आधारित 2FA सक्षम था। हमलावरों ने एसएमएस कोडों को इंटरसेप्ट करके प्रमाणीकरण को बायपास किया, जिससे संवेदनशील उपयोगकर्ता डेटा उजागर हो गया।
🚀 2FA का भविष्य: एसएमएस से आगे बढ़ें
यदि आप अभी भी एसएमएस आधारित 2FA का उपयोग कर रहे हैं, तो वेबऑथएन, युबिकी, या टीओटीपी आधारित प्रमाणीकरण जैसी मजबूत वैकल्पिक विधियों पर स्विच करने का समय आ गया है। Psono की सुरक्षा प्रतिबद्धता का मतलब है कि वह कभी भी एसएमएस आधारित प्रमाणीकरण की पेशकश करके समझौता नहीं करता।
सुरक्षित रहना चाहते हैं? हार्डवेयर सुरक्षा कुंजियाँ, टीओटीपी ऐप्स, या बायोमेट्रिक प्रमाणीकरण का उपयोग करें—कभी भी अकेले एसएमएस आधारित प्रमाणीकरण पर भरोसा न करें।
अपने खातों को सही तरीके से सुरक्षित करें—एसएमएस 2FA को छोड़ें!
द्वितीय-कारक प्रमाणीकरण (2FA) के बारे में अक्सर पूछे जाने वाले प्रश्न
दो-कारक प्रमाणीकरण (2FA) क्या है और यह महत्वपूर्ण क्यों है?
दो-कारक प्रमाणीकरण (2FA) सुरक्षा की एक अतिरिक्त परत है जो खाता एक्सेस देने से पहले दो रूपों के प्रमाणीकरण की आवश्यकता होती है। केवल पासवर्ड का उपयोग करने के बजाय, आपको एक दूसरे कारक की भी आवश्यकता होती है, जैसे कि:
- एक ऑथेंटिकेटर ऐप (TOTP) से एक-बार कोड
- एक हार्डवेयर सुरक्षा कुंजी (जैसे, YubiKey, Titan Security Key)
- बायोमेट्रिक प्रमाणीकरण (फिंगरप्रिंट, चेहरा पहचान)
यह अनधिकृत एक्सेस के जोखिम को काफी कम कर देता है, भले ही कोई हमलावर आपका पासवर्ड प्राप्त कर ले।
सबसे मजबूत प्रकार के 2FA क्या हैं?
सबसे सुरक्षित दूसरे कारक वे हैं जो फ़िशिंग-प्रतिरोधी होते हैं और आसानी से इंटरसेप्ट नहीं किए जा सकते। इनमें शामिल हैं:
- ✅ FIDO2/WebAuthn सुरक्षा कुंजियाँ (जैसे, YubiKey, Titan Security Key)
- ✅ TOTP आधारित प्रमाणीकरण ऐप्स (गूगल ऑथेंटिकेटर, ऑथी, एजिस)
- ✅ पासकीज़ (बायोमेट्रिक या हार्डवेयर सुरक्षा कुंजी का उपयोग करके पासवर्ड रहित प्रमाणीकरण)
कमजोर विधियाँ (जिनसे बचना चाहिए):
- ❌ एसएमएस आधारित 2FA – सिम स्वैप हमलों और SS7 शोषण के प्रति संवेदनशील
- ❌ ईमेल आधारित 2FA – अगर आपका ईमेल हैक हो जाता है तो समझौता किया जा सकता है
एसएमएस आधारित 2FA को असुरक्षित क्यों माना जाता है?
एसएमएस आधारित 2FA कई हमले विधियों के प्रति संवेदनशील है, जैसे कि:
- सिम स्वैप हमले – हैकर्स आपके मोबाइल ऑपरेटर को आपके नंबर को उनके सिम में स्थानांतरित करने के लिए धोखा देते हैं, जिससे वे आपके 2FA कोड प्राप्त कर सकते हैं।
- SS7 शोषण – टेलीकॉम इंफ्रास्ट्रक्चर में कमजोरियों का शोषण करके हमलावर एसएमएस संदेशों को इंटरसेप्ट करते हैं।
- फिशिंग हमले – नकली वेबसाइटें उपयोगकर्ताओं को उनके एसएमएस कोड में प्रवेश करने के लिए धोखा देती हैं, जिससे हमलावर लॉग इन कर सकते हैं।
🔹 बेहतर विकल्प: एसएमएस 2FA की जगह हार्डवेयर सुरक्षा कुंजियों या TOTP ऐप्स का उपयोग करें।
यदि मैं अपना दूसरा कारक (जैसे, फोन, युबिकी) खो देता हूँ तो क्या होता है?
यदि आप अपने दूसरे कारक तक पहुँच खो देते हैं, तो आप अपना खाता पुनः प्राप्त कर सकते हैं:
- बैकअप कोडों का उपयोग करके – कई सेवाएँ 2FA सेटअप के समय एक बार उपयोग किए जाने वाले बैकअप कोड प्रदान करती हैं। उन्हें सुरक्षित रूप से संग्रहीत करें।
- बैकअप डिवाइस का उपयोग करके – कुछ ऑथेंटिकेटर ऐप्स कई डिवाइसों को TOTP कोड स्टोर करने की अनुमति देते हैं।
- समर्थन से संपर्क करके – कुछ सेवाएँ खाता पुनः प्राप्ति प्रदान करती हैं, लेकिन यह धीमी हो सकती है और पहचान प्रमाण की आवश्यकता होती है।
- दूसरी हार्डवेयर कुंजी का उपयोग करके – यदि आपकी सेवा इसका समर्थन करती है, तो कई सुरक्षा कुंजियाँ (प्राथमिक + बैकअप) पंजीकृत करें।
🔹 प्रो टिप: हमेशा कई प्रमाणीकरण विधियों को सेट करें अगर एक असफल होती है।
क्या हैकर्स 2FA को बायपास कर सकते हैं?
हालांकि 2FA सुरक्षा को काफी बढ़ाता है, कुछ विधियाँ बायपास की जा सकती हैं उन्नत हमलों के साथ:
🚨 सामान्य हमले विधियाँ:
- फिशिंग हमले – नकली लॉगिन पृष्ठ उपयोगकर्ताओं को उनके पासवर्ड और 2FA कोड दोनों में प्रवेश करने के लिए धोखा देते हैं।
- मैन-इन-द-मिडल (MitM) हमले – असुरक्षित नेटवर्क पर प्रमाणीकरण टोकन को इंटरसेप्ट करना।
- सिम स्वैपिंग – एसएमएस कोड एक हमलावर के फोन पर पुनर्निर्देशित करना।
✅ इसे रोकने के तरीके:
- फ़िशिंग-प्रतिरोधी प्रमाणीकरण का उपयोग करें (WebAuthn, पासकीज़, सुरक्षा कुंजियाँ)।
- डिवाइस-बाउंड प्रमाणीकरण सक्षम करें (ताकि टोकन को दूरस्थ रूप से पुन: उपयोग नहीं किया जा सके)।
- संदिग्ध लॉगिन पृष्ठों से सावधान रहें – साख को दर्ज करने से पहले हमेशा URL सत्यापित करें।
