एसएमएस-आधारित दो-कारक प्रमाणीकरण (2FA) कंप्यूटर सिस्टम में उपयोगकर्ता प्रमाणीकरण की सुरक्षा बढ़ाने के लिए व्यापक रूप से उपयोग की जाने वाली विधि है। इसमें एसएमएस के माध्यम से वन-टाइम पासवर्ड (ओटीपी) प्राप्त करने के लिए मोबाइल फोन का उपयोग शामिल है, जिसे प्रमाणीकरण प्रक्रिया को पूरा करने के लिए उपयोगकर्ता द्वारा दर्ज किया जाता है। जबकि एसएमएस-आधारित 2FA पारंपरिक उपयोगकर्ता नाम और पासवर्ड प्रमाणीकरण की तुलना में सुरक्षा की एक अतिरिक्त परत प्रदान करता है, यह अपनी सीमाओं के बिना नहीं है।
एसएमएस-आधारित 2एफए की मुख्य सीमाओं में से एक सिम स्वैपिंग हमलों के प्रति इसकी भेद्यता है। सिम स्वैपिंग हमले में, एक हमलावर मोबाइल नेटवर्क ऑपरेटर को पीड़ित के फोन नंबर को हमलावर के नियंत्रण वाले सिम कार्ड में स्थानांतरित करने के लिए मना लेता है। एक बार जब हमलावर के पास पीड़ित के फोन नंबर का नियंत्रण हो जाता है, तो वे ओटीपी वाले एसएमएस को रोक सकते हैं और 2FA को बायपास करने के लिए इसका उपयोग कर सकते हैं। इस हमले को सोशल इंजीनियरिंग तकनीकों के माध्यम से या मोबाइल नेटवर्क ऑपरेटर की सत्यापन प्रक्रियाओं में कमजोरियों का फायदा उठाकर सुगम बनाया जा सकता है।
एसएमएस-आधारित 2एफए की एक और सीमा एसएमएस संदेश को रोकने की क्षमता है। जबकि सेलुलर नेटवर्क आम तौर पर आवाज और डेटा संचार के लिए एन्क्रिप्शन प्रदान करते हैं, एसएमएस संदेश अक्सर सादे टेक्स्ट में प्रसारित होते हैं। इससे वे हमलावरों द्वारा अवरोधन के प्रति असुरक्षित हो जाते हैं जो मोबाइल नेटवर्क और प्राप्तकर्ता के डिवाइस के बीच संचार पर नजर रख सकते हैं। एक बार इंटरसेप्ट किए जाने के बाद, ओटीपी का उपयोग हमलावर द्वारा उपयोगकर्ता के खाते तक अनधिकृत पहुंच प्राप्त करने के लिए किया जा सकता है।
इसके अलावा, एसएमएस-आधारित 2एफए उपयोगकर्ता के मोबाइल डिवाइस की सुरक्षा पर निर्भर करता है। यदि डिवाइस खो जाता है या चोरी हो जाता है, तो डिवाइस रखने वाला हमलावर ओटीपी वाले एसएमएस संदेशों तक आसानी से पहुंच सकता है। इसके अतिरिक्त, डिवाइस पर इंस्टॉल किए गए मैलवेयर या दुर्भावनापूर्ण एप्लिकेशन 2FA प्रक्रिया की सुरक्षा से समझौता करते हुए एसएमएस संदेशों को रोक सकते हैं या उनमें हेरफेर कर सकते हैं।
एसएमएस-आधारित 2FA भी विफलता का एक संभावित एकल बिंदु प्रस्तुत करता है। यदि मोबाइल नेटवर्क में सेवा बंद हो जाती है या उपयोगकर्ता खराब सेलुलर कवरेज वाले क्षेत्र में है, तो ओटीपी की डिलीवरी में देरी हो सकती है या पूरी तरह से विफल भी हो सकती है। इसके परिणामस्वरूप उपयोगकर्ता अपने खातों तक पहुंचने में असमर्थ हो सकते हैं, जिससे निराशा हो सकती है और उत्पादकता में संभावित हानि हो सकती है।
इसके अलावा, एसएमएस-आधारित 2एफए फ़िशिंग हमलों के लिए अतिसंवेदनशील है। हमलावर नकली लॉगिन पेज या मोबाइल ऐप बना सकते हैं जो उपयोगकर्ताओं को अपना उपयोगकर्ता नाम, पासवर्ड और एसएमएस के माध्यम से प्राप्त ओटीपी दर्ज करने के लिए प्रेरित करते हैं। यदि उपयोगकर्ता इन फ़िशिंग प्रयासों का शिकार हो जाते हैं, तो उनकी साख और ओटीपी हमलावर द्वारा कब्जा कर लिया जा सकता है, जो फिर उनका उपयोग उपयोगकर्ता के खाते तक अनधिकृत पहुंच प्राप्त करने के लिए कर सकता है।
जबकि एसएमएस-आधारित 2FA पारंपरिक उपयोगकर्ता नाम और पासवर्ड प्रमाणीकरण की तुलना में सुरक्षा की एक अतिरिक्त परत प्रदान करता है, यह अपनी सीमाओं के बिना नहीं है। इनमें सिम स्वैपिंग हमलों के प्रति संवेदनशीलता, एसएमएस संदेशों का अवरोधन, उपयोगकर्ता के मोबाइल डिवाइस की सुरक्षा पर निर्भरता, विफलता का संभावित एकल बिंदु और फ़िशिंग हमलों की संवेदनशीलता शामिल है। संगठनों और उपयोगकर्ताओं को इन सीमाओं के बारे में पता होना चाहिए और एसएमएस-आधारित 2FA से जुड़े जोखिमों को कम करने के लिए वैकल्पिक प्रमाणीकरण विधियों, जैसे ऐप-आधारित प्रमाणीकरणकर्ता या हार्डवेयर टोकन पर विचार करना चाहिए।
संबंधित अन्य हालिया प्रश्न और उत्तर प्रमाणीकरण:
- उपयोगकर्ता प्रमाणीकरण में समझौता किए गए उपयोगकर्ता उपकरणों से जुड़े संभावित जोखिम क्या हैं?
- यूटीएफ तंत्र उपयोगकर्ता प्रमाणीकरण में मैन-इन-द-मिडिल हमलों को रोकने में कैसे मदद करता है?
- उपयोगकर्ता प्रमाणीकरण में चुनौती-प्रतिक्रिया प्रोटोकॉल का उद्देश्य क्या है?
- सार्वजनिक कुंजी क्रिप्टोग्राफी उपयोगकर्ता प्रमाणीकरण को कैसे बढ़ाती है?
- पासवर्ड के लिए कुछ वैकल्पिक प्रमाणीकरण विधियाँ क्या हैं और वे सुरक्षा कैसे बढ़ाती हैं?
- पासवर्ड से कैसे समझौता किया जा सकता है, और पासवर्ड-आधारित प्रमाणीकरण को मजबूत करने के लिए क्या उपाय किए जा सकते हैं?
- उपयोगकर्ता प्रमाणीकरण में सुरक्षा और सुविधा के बीच क्या अंतर है?
- उपयोगकर्ता प्रमाणीकरण में शामिल कुछ तकनीकी चुनौतियाँ क्या हैं?
- Yubikey और सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करके प्रमाणीकरण प्रोटोकॉल संदेशों की प्रामाणिकता को कैसे सत्यापित करता है?
- उपयोगकर्ता प्रमाणीकरण के लिए यूनिवर्सल 2nd फैक्टर (U2F) उपकरणों का उपयोग करने के क्या फायदे हैं?
प्रमाणीकरण में अधिक प्रश्न और उत्तर देखें