काठमाडौँ । हालैको एक अनुसन्धानले एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसन (2FA) कोडहरू सुरक्षित नभएको देखाएको छ । ब्लुमबर्ग र लाइटहाउस रिपोर्ट नामक खोज पत्रकारिता समाचार संस्थाले एक लाखभन्दा बढी यस्ता कोडहरू विवादास्पद स्विस कम्पनी फिन्क टेलिकम सर्भिसमार्फत गएको खुलासा गरेपछि यो विषय चर्चामा आएको हो ।
प्रयोगकर्ताहरूको पहिचान पुष्टि गर्न र स्क्यामरहरूबाट खाताहरू जोगाउन टु-फ्याक्टर अथेन्टिकेसन कोड डिजाइन गरिएको भए पनि, यी कोडहरूको ह्यान्डलिङमा पारदर्शिताको अभावले सुरक्षामा गम्भीर प्रश्न खडा गरेको छ । हामी सबैले सायद आफ्नो खातामा लगइन गर्ने प्रयास गर्दा टेक्स्ट मेसेजमार्फत पठाइएका प्रमाणीकरण कोडहरू प्राप्त गरिरहेका हुन्छौँ । तपाईँलाई यस्ता मेसेजहरू अकाउन्ट भएका कम्पनी वा वेबसाइटले सिधै ह्यान्डल गर्छन् भन्ने लाग्न सक्छ, तर ब्लुमबर्ग र लाइटहाउसको विश्लेषणअनुसार यो कुरा सधैँ सही नहुन पनि सक्छ ।
उनीहरूले मोबाइल सेवा क्षेत्रका एक विसलब्लोरबाट कम्तीमा १० लाख डेटा प्याकेट प्राप्त गरेका थिए, जसमा व्यक्तिगत प्रयोगकर्ताहरूले प्राप्त गरेका एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसन कोडहरू समावेश थिए । यी मेसेजहरू फिन्क टेलिकम सर्भिस नामक विवादास्पद स्विस कम्पनीमार्फत गएका थिए । ब्लुमबर्गले फिन्कलाई विवादास्पद भन्नुको कारण पनि छ । “कम्पनी र यसका संस्थापकले मोबाइल फोनको निगरानी र प्रयोगकर्ताको लोकेसन ट्य्राक गर्न सरकारी जासूसी एजेन्सी र सर्भिलेन्स इन्डस्ट्रीका ठेकेदारहरूसँग काम गरेका छन्,” ब्लुमबर्गको रिपोर्टमा भनिएको छ । साथै, साइबरसुरक्षा अनुसन्धानकर्ता र खोज पत्रकारहरूले निजी अनलाइन अकाउन्टहरूमा घुसपैठका धेरै घटनामा फिन्कको संलग्नता रहेको आरोप लगाउँदै रिपोर्टहरू प्रकाशित गरेका छन् ।
गुगल, मेटा, अमेजनजस्ता प्रमुख प्रविधि कम्पनी, विभिन्न युरोपेली बैङ्कहरू, टिन्डर र स्न्यापशटजस्ता एपहरू, साथै बाइनन्स क्रिप्टोकरेन्सी एक्स्चेन्ज र सिग्नल, ह्वाट्सएपजस्ता इन्क्रिप्टेड च्याट एपका कोडहरू समेत फिन्क टेलिकम सर्भिसमार्फत प्रवाहित भएका थिए । कम्पनीहरूले विवादास्पद प्रदायकलाई किन आफ्नो टु-फ्याक्टर अथेन्टिकेसन कोडहरू सुम्पिरहेका छन् भन्ने प्रश्न उठेको छ । यसको मुख्य कारण सुविधा र पैसा हो ।
बाह्य ठेकेदारहरूले कम्पनीहरू आफैँले भन्दा सस्तो र सजिलो तरिकाले यी टेक्स्ट मेसेजहरू ह्यान्डल गर्न सक्छन्, विशेष गरी जब विश्वभरका ग्राहकहरूसँग व्यवहार गर्नुपर्छ, जुन प्रक्रिया जटिल र महँगो हुन सक्छ । फिन्क टेलिकमजस्ता प्रदायकहरूको ‘ग्लोबल टाइटल’ मार्फत विभिन्न देशका क्यारियरहरूसँग सञ्चार गर्न सक्षम हुन्छन्, जसले गर्दा यो कम्पनी कुनै पनि ग्राहकको देशमा आधारित रहेको जस्तो देखिन्छ ।
लाइटहाउसको विश्लेषणअनुसार, फिन्कले नामिबिया, चेचन्या, यूके र आफ्नो देश स्विट्जरल्याण्डमा ग्लोबल टाइटलहरू प्रयोग गरेको पाइएको थियो । यस्ता मेसेजहरू आउटसोर्स गर्ने अभ्यास सुविधाजनक भए पनि, यसमा जोखिमहरू छन् । गत अप्रिलमा यूकेको दूरसञ्चार नियामक संस्था अफकमले मोबाइल फोन प्रयोगकर्ताहरूका लागि खतरा रहेको जनाउँदै यूके क्यारियरहरूका लागि ग्लोबल टाइटल लिजिङमा प्रतिबन्ध लगाएको थियो ।
ब्लुमबर्गसँगको कुराकानीमा फिन्क टेलिकमका सीईओ एन्ड्रियास फिन्कले भनेका छन्, “हाम्रो कम्पनीले पूर्वाधार र प्राविधिक सेवाहरू प्रदान गर्छ, जसमा सिग्नलिङ र राउटिङ क्षमताहरू समावेश छन् । हामी हाम्रा ग्राहकहरू वा तिनीहरूका डाउनस्ट्रिम साझेदारहरूद्वारा प्रसारित ट्राफिकको विश्लेषण वा हस्तक्षेप गर्दैनौँ ।” फिन्कले जेडडीनेटसँग थप एउटा विज्ञप्ति शेयर गर्दै भनेका छन्, “फिन्क टेलिकम सर्भिस जीएमबीएचले सधैँ अधिकारीहरूसँग पारदर्शी र सहयोगात्मक रूपमा काम गरेको छ। कानुनी राय र प्राविधिक दस्ताबेजहरूले कम्पनीको राउटिङ सेवा मापदण्डमा आधारित, अन्तर्राष्ट्रिय रूपमा नियमन गरिनुका साथै स्विस दूरसञ्चार कानून, निर्यात नियन्त्रण कानुन, वा प्रतिबन्ध कानुन अन्तर्गत स्वीकृति आवश्यक नपर्ने देखिएको छ । अधिकारीहरूलाई पनि कम्पनीले आफ्ना सेवाहरूको कुनै पनि दुरुपयोग नभएको जानकारी दिइएको थियो ।”
यता, आउटसोर्सिङ गर्ने कम्पनीहरूमध्ये गुगल, मेटा, सिग्नल र बाइनान्सले ब्लुमबर्गलाई आफूहरूले फिन्क टेलिकमसँग सिधै काम नगरेको बताएका छन् । गुगलले अकाउन्ट अथेन्टिकेट गर्नका लागि एसएमएसको प्रयोगबाट टाढिँदै गएको जनाएको छ भने सिग्नलले एसएमएस कमजोरीहरूबाट बच्ने उपायहरू दिइएको बताएको छ । मेटाका प्रवक्ताले ब्लुमबर्गलाई आफ्ना साझेदारहरूलाई फिन्क टेलिकमसँग संलग्न नहुन सचेत गराएको बताएका छन् ।
यो डेटा जोखिममा थियो वा थिएन भन्ने प्रश्न एकातर्फ छ, तर एसएमएसको सुरक्षा चुनौती भने यथावत् छ । एसएमएसमा उचित इन्क्रिप्सनको अभावका कारण यस्ता अथेन्टिकेसन कोड वा अन्य निजी जानकारी आदानप्रदानका सुरक्षित माध्यम कहिल्यै थिएनन् । यस कारण, सबै कम्पनीहरूले यसको प्रयोग बन्द गरेर अझ बलियो विधिहरू अपनाउनुपर्ने सुझाव दिइएको छ । यो भन्न जति सजिलो छ, गर्न त्यति सजिलो नभए पनि, यस जालबाट बच्न केही कदमहरू भने चाल्न सकिन्छ ।
एसएमएसका विकल्प
अनलाइन अकाउन्टका लागि टु-फ्याक्टर अथेन्टिकेसन सेटिङ गर्दा एसएमएसको विकल्प नछान्नुहोस् । यसको सट्टा, भौतिक सेक्युरिटी कि वा अझ सजिलो रूपमा माइक्रोसफ्ट अथेन्टिकेटर वा गुगल अथेन्टिकेटर जस्ता एपहरू प्रयोग गर्नुहोस् । यस्ता एपहरूमा देखिने कोडलाई तपाईँले लगइनका क्रममा वेबसाइट वा एपमा राख्नुपर्ने हुन्छ । यी कोडहरू हरेक ३० सेकेन्डमा परिवर्तन भइरहन्छन् र तपाईँको डिभाइसमै उत्पन्न हुने भएकाले, यो विधि एसएमएसभन्दा धेरै बलियो र चोरी रोक्न सक्षम हुन्छ ।
अनलाइन अकाउन्टहरू सुरक्षित गर्ने अर्को तरिका भनेको पासकी (Passkeys) को प्रयोग हो । यसको फाइदा भनेको पासकीले पासवर्ड र टु-फ्याक्टर अथेन्टिकेसन कोडहरूको आवश्यकतालाई पनि हटाउँछ अथवा कम्तीमा कम गर्छ । यद्यपि, यसको सपोर्ट हाल सीमित मात्रामा मात्रै उपलब्ध छ । तर, यदि कुनै कम्पनी वा वेबसाइटले पासकीको विकल्प दिइरहेका छन् भने, यो तपाईँले आफ्नो अकाउन्ट प्रमाणीकरणका लागि सरल र सुरक्षित तरिको रूपमा यसलाई प्रयोग गर्न सक्नु हुन्छ ।
पछिल्लो अध्यावधिक: असार ५, २०८२ १३:३४
सामाग्री श्रोत :
टेक पाना
