अतिरिक्त प्रमाणीकरण हमेशा सहायक होता है। यद्यपि कुछ भी सही सुरक्षा प्रदान नहीं करता है, हम सभी चाहते हैं, दो-कारक प्रमाणीकरण का उपयोग करके हमलावरों को और अधिक बाधाएं मिलती हैं जो आपकी सामग्री चाहते हैं।
आपकी फोन कंपनी एक कमजोर लिंक है
जब कोई लॉग इन करने का प्रयास करता है तो कई वेबसाइटों पर दो-चरणीय प्रमाणीकरण प्रणाली एसएमएस के माध्यम से आपके फोन पर एक संदेश भेजकर काम करती हैं। भले ही आप कोड बनाने के लिए अपने फोन पर एक समर्पित ऐप का उपयोग करते हैं, फिर भी आपकी पसंद की सेवा प्रदान करने का एक अच्छा मौका है लोगों को अपने फोन पर एक एसएमएस कोड भेजकर लॉग इन करने दें। या, सेवा आपको पुनर्प्राप्ति फ़ोन नंबर के रूप में कॉन्फ़िगर किए गए फ़ोन नंबर तक पहुंचने की पुष्टि करने के बाद आपके खाते से दो-कारक प्रमाणीकरण सुरक्षा को हटाने की अनुमति दे सकती है।
यह सब ठीक लगता है। आपके पास आपका सेल फोन है, और इसमें एक फोन नंबर है। इसमें एक भौतिक सिम कार्ड है जो आपके सेल फोन प्रदाता के साथ उस फोन नंबर से जुड़ा हुआ है। यह सब बहुत शारीरिक लगता है। लेकिन, दुख की बात है, आपका फोन नंबर उतना सुरक्षित नहीं है जितना आप सोचते हैं।
यदि आपको अपने फोन को खोने या बस एक नया प्राप्त करने के बाद किसी मौजूदा सिम कार्ड को किसी नए सिम कार्ड में स्थानांतरित करने की आवश्यकता है, तो आपको पता चलेगा कि आप इसे फोन पर पूरी तरह से क्या कर सकते हैं - या शायद ऑनलाइन भी। सभी हमलावरों को करना है कि आप अपने सेल फोन कंपनी के ग्राहक सेवा विभाग को कॉल करें और आपको होने का नाटक करें। उन्हें यह जानने की आवश्यकता होगी कि आपका फोन नंबर क्या है और आपके बारे में कुछ व्यक्तिगत विवरण जानें। ये विवरण हैं - उदाहरण के लिए, क्रेडिट कार्ड नंबर, एसएसएन के अंतिम चार अंक, और अन्य - जो नियमित रूप से बड़े डेटाबेस में रिसाव करते हैं और पहचान चोरी के लिए उपयोग किए जाते हैं। हमलावर आपके फोन नंबर को अपने फोन पर ले जाने का प्रयास कर सकता है।
यहां तक कि आसान तरीके भी हैं। या, उदाहरण के लिए, वे फोन कंपनी के अंत में कॉल अग्रेषण सेट अप कर सकते हैं ताकि आने वाली आवाज कॉल उनके फोन पर अग्रेषित की जा सकें और आपके पास न पहुंचें।
बिल्ली, एक हमलावर को आपके पूर्ण फोन नंबर तक पहुंच की आवश्यकता नहीं हो सकती है। वे आपके वॉयस मेल तक पहुंच प्राप्त कर सकते हैं, 3 एएम पर वेबसाइटों में लॉग इन करने का प्रयास कर सकते हैं और फिर अपने वॉयस मेलबॉक्स से सत्यापन कोड ले सकते हैं। आपकी फोन कंपनी की वॉयस मेल सिस्टम कितनी सुरक्षित है? आपका वॉइस मेल पिन कितना सुरक्षित है - क्या आपने एक सेट भी किया है? हर कोई नहीं है! और, यदि आपके पास है, तो हमलावर को आपकी फोन कंपनी को कॉल करके अपना वॉइस मेल पिन रीसेट करने में कितना प्रयास करना होगा?
आपके फोन नंबर के साथ, यह सब खत्म हो गया है
आपका फोन नंबर कमजोर लिंक बन जाता है, जिससे आपके हमलावर को आपके खाते से द्वि-चरणीय सत्यापन हटाने की अनुमति मिलती है - या दो-चरणीय सत्यापन कोड प्राप्त होते हैं - एसएमएस या वॉइस कॉल के माध्यम से। जब तक आप महसूस करते हैं कि कुछ गलत है, तो वे उन खातों तक पहुंच सकते हैं।
यह व्यावहारिक रूप से हर सेवा के लिए एक समस्या है। ऑनलाइन सेवाएं नहीं चाहते हैं कि लोग अपने खातों तक पहुंच खो दें, इसलिए वे आम तौर पर आपको अपने फोन नंबर के साथ दो-कारक प्रमाणीकरण को बाईपास और निकालने की अनुमति देते हैं। इससे मदद मिलती है कि आपको अपने फोन को रीसेट करना होगा या नया खाता प्राप्त करना होगा और आपने अपना दो-कारक प्रमाणीकरण कोड खो दिया है - लेकिन आपके पास अभी भी आपका फोन नंबर है।
सैद्धांतिक रूप से, यहां बहुत सारी सुरक्षा होनी चाहिए। हकीकत में, आप सेलुलर सेवा प्रदाताओं पर ग्राहक सेवा लोगों से निपट रहे हैं। इन प्रणालियों को अक्सर दक्षता के लिए स्थापित किया जाता है, और एक ग्राहक सेवा कर्मचारी किसी ऐसे ग्राहक के सामने आने वाले कुछ सुरक्षा उपायों को नजरअंदाज कर सकता है जो गुस्सा, अधीर, और पर्याप्त जानकारी की तरह दिखता है। आपकी फोन कंपनी और उसके ग्राहक सेवा विभाग आपकी सुरक्षा में एक कमजोर लिंक हैं।
अपने फोन नंबर की सुरक्षा करना मुश्किल है। वास्तव में, सेलुलर फोन कंपनियों को यह कम जोखिम भरा बनाने के लिए और अधिक सुरक्षा प्रदान करना चाहिए। हकीकत में, शायद आप बड़े निगमों को अपनी ग्राहक सेवा प्रक्रियाओं को ठीक करने की प्रतीक्षा करने के बजाय अपने आप कुछ करना चाहते हैं। कुछ सेवाएं आपको पुनर्प्राप्ति को अक्षम करने या फ़ोन नंबरों के माध्यम से रीसेट करने की अनुमति दे सकती हैं और इसके खिलाफ चेतावनी दे सकती हैं - लेकिन, यदि यह एक मिशन-महत्वपूर्ण प्रणाली है, तो आप रीसेट कोड जैसे अधिक सुरक्षित रीसेट प्रक्रियाएं चुन सकते हैं जिन्हें आप बैंक वॉल्ट में लॉक कर सकते हैं आपको कभी उनकी जरूरत है।
अन्य रीसेट प्रक्रियाएं
यह सिर्फ आपके फोन नंबर के बारे में नहीं है, या तो। कई सेवाएं आपको अन्य तरीकों से उस दो-कारक प्रमाणीकरण को हटाने की अनुमति देती हैं यदि आप दावा करते हैं कि आपने कोड खो दिया है और लॉग इन करने की आवश्यकता है। जब तक आप खाते के बारे में पर्याप्त व्यक्तिगत विवरण जानते हैं, तो आप इसमें शामिल हो सकते हैं।
इसे स्वयं आज़माएं - उस सेवा पर जाएं जिसे आपने दो-कारक प्रमाणीकरण के साथ सुरक्षित किया है और दिखाएं कि आपने कोड खो दिया है। देखें कि इसमें क्या शामिल है। आपको व्यक्तिगत विवरण प्रदान करना पड़ सकता है या सबसे खराब स्थिति परिदृश्य में असुरक्षित "सुरक्षा प्रश्न" का उत्तर देना पड़ सकता है। यह इस बात पर निर्भर करता है कि सेवा कैसे कॉन्फ़िगर की गई है। आप किसी अन्य ईमेल खाते के लिंक को ईमेल करके इसे रीसेट करने में सक्षम हो सकते हैं, इस मामले में ईमेल खाता एक कमजोर लिंक बन सकता है। एक आदर्श स्थिति में, आपको केवल एक फोन नंबर या पुनर्प्राप्ति कोड तक पहुंच की आवश्यकता हो सकती है - और जैसा कि हमने देखा है, फोन नंबर भाग एक कमजोर लिंक है।
यहां कुछ और डरावना है: यह केवल दो-चरणीय सत्यापन को छोड़ने के बारे में नहीं है।एक हमलावर पूरी तरह से अपना पासवर्ड बाईपास करने के लिए समान चाल का प्रयास कर सकता है। यह काम कर सकता है क्योंकि ऑनलाइन सेवाएं यह सुनिश्चित करना चाहती हैं कि लोग अपने खातों तक पहुंच प्राप्त कर सकें, भले ही वे अपना पासवर्ड खो दें।
उदाहरण के लिए, Google खाता रिकवरी सिस्टम पर एक नज़र डालें। यह आपके खाते को पुनर्प्राप्त करने के लिए एक अंतिम-खाई विकल्प है। यदि आप किसी भी पासवर्ड को नहीं जानते हैं, तो अंततः आपको अपने खाते के बारे में जानकारी के लिए कहा जाएगा जैसे कि आपने इसे बनाया था और आप अक्सर किससे ईमेल करते हैं। एक हमलावर जो आपके बारे में पर्याप्त जानता है सैद्धांतिक रूप से आपके खातों तक पहुंच प्राप्त करने के लिए सैद्धांतिक रूप से पासवर्ड-रीसेट प्रक्रियाओं का उपयोग कर सकता है।
हमने Google की खाता पुनर्प्राप्ति प्रक्रिया का दुरुपयोग नहीं किया है, लेकिन Google इस तरह के औजारों वाली एकमात्र कंपनी नहीं है। वे पूरी तरह से मूर्ख नहीं हो सकते हैं, खासकर अगर हमलावर आपके बारे में पर्याप्त जानता है।
जो भी समस्याएं हैं, दो-चरणीय सत्यापन सेट वाला खाता हमेशा दो-चरणीय सत्यापन के बिना एक ही खाते से अधिक सुरक्षित होगा। लेकिन दो-कारक प्रमाणीकरण कोई चांदी की बुलेट नहीं है, क्योंकि हमने उन हमलों के साथ देखा है जो सबसे कमजोर लिंक का दुरुपयोग करते हैं: आपकी फोन कंपनी।
![पोकेमॉन गो आपके Google खाते में पूर्ण पहुंच है। यहां इसे ठीक करने का तरीका बताया गया है [अपडेटेड]](https://i.technology-news-hub.com/images/blog/pokmon-go-has-full-access-to-your-google-account.-heres-how-to-fix-it-updated-2-j.webp "पोकेमॉन गो आपके Google खाते में पूर्ण पहुंच है। यहां इसे ठीक करने का तरीका बताया गया है [अपडेटेड]")
