काठमाडौँ । हालैका वर्षहरूमा अनलाइन सेवाहरूको सुरक्षाका लागि टु-फ्याक्टर अथेन्टिकेसन (2FA) वा मल्टी-फ्याक्टर अथेन्टिकेसन (MFA) को महत्त्व निकै बढेको छ । यसले तपाईँका अनलाइन अकाउन्टहरूलाई सुरक्षा दिन अतिरिक्त तहको रूपमा काम गर्छ र ह्याकरहरूलाई पहुँच पाउन अझ गाह्रो बनाउँछ ।
टु-फ्याक्टर अथेन्टिकेसन विधिहरूमध्ये एसएमएस कोडहरू प्रयोग गर्नु सबैभन्दा लोकप्रिय र सजिलो तरिका हो । यो विधि अपनाउँदा तपाईँले अकाउन्ट लगइनका क्रममा आफ्नो पासवर्ड राखेपछि एसएमएसमा एउटा कोड आउँछ र त्यो कोड हालेर लगइन गर्नु हुन्छ । तर, यो विधि सबैभन्दा सजिलो भए पनि यसमा गम्भीर सुरक्षा जोखिमहरू छन् । यदि तपाईँसँग टु फ्याक्टर अथेन्टिकेसन वा मल्टी-फ्याक्टर अथेन्टिकेसनका अन्य विकल्पहरू उपलब्ध छन् भने एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसन प्रयोग नगरेकै राम्रो हुन्छ ।
किन एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसन असुरक्षित मानिन्छ ?
एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसन कमजोर मानिनुमा विभिन्न कारणहरू छन् । जसमा सिम स्वापिङ (SIM Swapping) वा सिम हाइज्याकिङ (SIM Hijacking) एक हो । यो एक प्रकारको साइबर हमला हो, जहाँ ह्याकरहरूले तपाईँको मोबाइल सेवा प्रदायकलाई धोका दिएर तपाईँको फोन नम्बरलाई नयाँ सिम कार्डमा ट्रान्सफर गर्छन् । ह्याकरहरूले तपाईँको व्यक्तिगत जानकारी प्रयोग गरी मोबाइल सेवा प्रदायकका कर्मचारीलाई मनाएर वा झुक्याएर तपाईँको नम्बर आफ्नो सिममा सार्न सक्छन् । एक पटक नम्बर ट्रान्सफर भएपछि उनीहरूले तपाईँको टु-फ्याक्टर अथेन्टिकेसन कोडहरू प्राप्त गर्छन् र तपाईँको बैंक, ईमेल, सामाजिक सञ्जालस्ता महत्त्वपूर्ण अकाउन्टहरूमा पहुँच पाउन सक्छन् । नेपाल जस्तो देशमा त झन् मोबाइल सेवा प्रदायकको कार्यालयमा पुगेर तपाईँको नागरिकता वा पासपोर्टको फोटोकपी हात पार्ने व्यक्तिले तपाईँले प्रयोग गरिरहेको मोबाइल नम्बर हराएको बहाना बनाएर तपाईँकै नामबाट पुनः निकाल्न पनि सक्छन् । अर्थात् सोसल इन्जिनियरिङ विधि प्रयोग गरेर पनि ह्याकरहरूले तपाईँको मोबाइल सेवा प्रदायकलाई तपाईँ नै भएको बहाना गरेर वा कर्मचारीहरूलाई घुस दिएर पनि तपाईँको सिम नियन्त्रणमा लिन सक्छन्।
यस बाहेक एसएमएस आधारित टु-फ्याक्टर अथेन्टिकेसनको अर्को जोखिम भनेको यसमा इन्क्रिप्सनको अभाव हुनु हो । धेरैजसो एसएमएस मेसेजहरू प्लेन टेक्स्ट (सपाट अङ्क वा अक्षर) को फारामको स्वरूपमा पठाइन्छ । जसको अर्थ तिनीहरू इन्क्रिप्टेड हुँदैनन् । यदि ह्याकरहरूले सार्वजनिक वा कमजोर वाई-फाई नेटवर्कमा डेटा इन्टरसेप्ट गर्न सके भने, उनीहरूले सजिलै टु-फ्याक्टर अथेन्टिकेसन कोडहरू पढ्न सक्छन् ।
यस्तै ह्याकरहरूले फिशिङ ईमेल वा मेसेज पठाएर प्रयोगकर्ताको मोबाइल डिभाइसमा मालवेयर इन्स्टल गराउन सक्छन् । यस्तोमा मालवेयरले तपाईँको फोनबाट ओटीपी, युजरनेम र पासवर्ड चोरेर ह्याकरलाई पठाउन सक्छ ।
यदि तपाईँले आफ्नो फोनको लक स्क्रिनमा नोटिफिकेसन देखाउने सेटिङ इनेबल गर्नुभएको छ भने टु-फ्याक्टर अथेन्टिकेसन कोडहरू फोन अनलक नगरे पनि देखिन सक्छन् । जसले नजिककै व्यक्तिहरूले त्यस्तो कोड हेर्न सक्ने जोखिम समेत रहन्छ ।
यस्तै एसएमएस आधारित टु-फ्याक्टर अथेन्टिकेसनलाई स्क्रिप्ट प्रयोग गरेर इन्टरसेप्ट गर्न र अटोमेटेड आक्रमण गर्न सजिलो हुन्छ । यस बाहेक तपाईँले प्रयोग गरी रहनु भएको फोन नम्बर पहिले अरू कसैको हुन सक्छ । यदि त्यस व्यक्तिले पनि सोही नम्बरलाई अकाउन्ट अथेन्टिकेसनमा प्रयोग गरेको थियो भने तपाईँको नम्बरले अनधिकृत पहुँच दिन सक्छ ।
उसो भए के एसएमएस आधारित टु-फ्याक्टर अथेन्टिकेसन बेकार हो ?
होइन । कुनै पनि टु-फ्याक्टर अथेन्टिकेसन नहुनुभन्दा एसएमएसमा आधारित टु फ्याक्टर अथेन्टिकेसन हुनु धेरै राम्रो हो । यो सुरक्षाको एक अतिरिक्त घेरा हो । जसलाई प्रयोग गर्दा तपाईँको पासवर्ड पहिले नै ह्याकरलाई थाहा भए पनि एसएमएसमा आउने टु-प्याक्टर अथेन्टिकेसन कोड बिना उसले लगइन गर्न सक्दैन ।
एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसनका विकल्प
एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसनभन्दा धेरै सुरक्षित विकल्पहरू उपलब्ध छन् । जसमा सबैभन्दा प्रभावकारी र लोकप्रिय उपाय हो, अथेन्टिकेटर एप (Authenticator Apps) को प्रयोग । गुगल अथेन्टिकेटर, माइक्रोसफ्ट अथेन्टिकेटर, लास्टपास अथेन्टिकेटर, अथे जस्ता एपहरूले तपाईँको डिभाइसमै टु-फ्याक्टर अथेन्टिकेसन कोडहरू सिर्जना गर्छ । ‘टाइम-बेस्ड वन टाइम पासवर्ड’ (TOTP) को रूपमा रहने यस्ता कोडहरू हरेक ३० देखि ६० सेकेन्डमा परिवर्तन भइरहन्छन् । यस्ता कोडहरू निरन्तर रूपमा सिर्जना हुने भएकाले साइबर अपराधीहरूले तिनीहरूलाई इन्टरसेप्ट गर्न सक्दैनन् । केही पासवर्ड म्यानेजरहरूले पनि यो सुविधा दिने गर्छन्, जसले गर्दा लगइन डिटेल र टु-फ्याक्टर अथेन्टिकेसन कोडहरू एउटै भल्टमा राख्न सकिन्छ ।
ख्याल गर्नुपर्ने अन्य कुराहरू
यदि एसएमएसमा आधारित टु-फ्याक्टर अथेन्टिकेसन नै एक मात्र विकल्प हो भने, आफ्नो फोनमा पिन कोड वा बायोमेट्रिक्समार्फत सुरक्षित राख्नुहोस् । लक स्क्रिनमा नोटिफिकेसन देखिने अवस्था भए त्यसलाई सेटिङबाट मिलाउनु होस् । यस्तै फिशिङबाट बच्न अपरिचित स्रोतहरूबाट आउने लिङ्कहरूमा क्लिक नगर्नुहोस् र ईमेल तथा एसएमएसमार्फत आफ्ना व्यक्तिगत विवरणहरू नदिनुहोस् ।
अथेन्टिकेटर एप प्रयोग गर्दै हुनुहुन्छ भने ब्याकअप कोडहरू सुरक्षित स्थानमा राख्नुहोस् वा एपको क्लाउड ब्याकअप सुविधा (यदि उपलब्ध छ भने) प्रयोग गर्नुहोस् । हार्डवेयर की अर्को विकल्प पनि उपलब्ध छ। यो विधि प्रयोग गर्दा सधैँ ब्याकअप की सुरक्षित राख्नुहोस् ।
पछिल्लो अध्यावधिक: असार ३०, २०८२ ९:३३
सामाग्री श्रोत :
टेक पाना
