मुख्य तथ्य
- हैकर्स फोन-आधारित मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) कोड चुरा सकते हैं, विशेषज्ञों का कहना है।
- अपराधियों को कोड प्राप्त करने की अनुमति देने के लिए फ़ोन कंपनियों को फ़ोन नंबर स्थानांतरित करने के लिए धोखा दिया गया है।
- सुरक्षा बढ़ाने का एक आसान, सस्ता तरीका है अपने फोन पर ऑथेंटिकेटर ऐप का इस्तेमाल करना।
हैकर्स से सुरक्षित रहने के लिए, एसएमएस और वॉयस कॉल के माध्यम से भेजे गए फोन-आधारित मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) कोड का उपयोग बंद करें, एक शीर्ष सुरक्षा विशेषज्ञ एक नए विश्लेषण में लिखता है।
फोन कोड हैकर्स द्वारा इंटरसेप्शन के लिए कमजोर हैं, माइक्रोसॉफ्ट में पहचान सुरक्षा के निदेशक एलेक्स वेइनर्ट ने हाल ही में एक ब्लॉग पोस्ट में लिखा है। पर्यवेक्षकों का कहना है कि टेक्स्ट-आधारित कोड कुछ नहीं से बेहतर हैं। लेकिन उपयोगकर्ताओं को फ़ोन-आधारित प्रमाणीकरण को ऐप्स और सुरक्षा कुंजियों से बदलना चाहिए।
"ये तंत्र सार्वजनिक रूप से स्विच किए गए टेलीफोन नेटवर्क (PSTN) पर आधारित हैं, और मेरा मानना है कि वे आज उपलब्ध MFA विधियों में से सबसे कम सुरक्षित हैं," उन्होंने लिखा।
"यह अंतर तभी और चौड़ा होगा जब एमएफए अपनाने से इन तरीकों को तोड़ने में हमलावरों की रुचि बढ़ेगी और उद्देश्य-निर्मित प्रमाणक उनकी सुरक्षा और उपयोगिता लाभ बढ़ाते हैं। पासवर्ड रहित मजबूत प्रमाणीकरण के लिए अपने कदम की योजना बनाएं- प्रमाणक ऐप तत्काल और विकसित विकल्प।"
एमएफए एक सुरक्षा पद्धति है जिसमें एक कंप्यूटर उपयोगकर्ता को एक प्रमाणीकरण तंत्र के लिए सफलतापूर्वक दो या अधिक साक्ष्य प्रस्तुत करने के बाद ही किसी वेबसाइट या एप्लिकेशन तक पहुंच प्रदान की जाती है। ये कोड अक्सर फ़ोन द्वारा भेजे जाते हैं।
हैकर्स आपके होने का नाटक करते हैं
ऐसे तरीके हैं जिनसे हैकर्स फोन कोड तक पहुंच सकते हैं, हालांकि, पर्यवेक्षकों का कहना है। कुछ उदाहरणों में, हैकर्स को कोड प्राप्त करने की अनुमति देने के लिए फ़ोन कंपनियों को फ़ोन नंबर स्थानांतरित करने के लिए छल किया गया है।
क्लाउड प्रदाता सिंटेक्स के सीआईएसओ मैथ्यू रोजर्स ने एक ईमेल साक्षात्कार में कहा,"टेलीफोन इतने असुरक्षित हैं कि अमेरिकी क्षेत्रीय फोन नंबर दिखाते समय उपयोगकर्ताओं को अक्सर तीसरी दुनिया के देशों से घोटाले की कॉल मिलती है।" "टेलीफोन भी सिम स्वैपिंग हमलों के अधीन हैं, जो आसानी से पाठ संदेश के माध्यम से एमएफए को बायपास कर सकते हैं।"
हाल ही में, बीबीसी के लोकप्रिय रेडियो होस्ट जेरेमी वाइन एक हमले का शिकार हुए थे, जिसके कारण उनके व्हाट्सएप अकाउंट में प्रवेश किया गया था।
"जिस हमले ने सफलतापूर्वक वाइन को बरगलाया, वह एक प्रतीत होता है कि अवांछित एसएमएस संदेश की प्राप्ति के साथ शुरू होता है जिसमें उनके खाते में दो-कारक प्रमाणीकरण कोड होता है," गोपनीयता समीक्षा साइट प्रोप्राइवेसी के डेटा गोपनीयता विशेषज्ञ रे वॉल्श ने कहा एक ईमेल साक्षात्कार।
"इसके बाद, पीड़ित को एक संपर्क से एक सीधा संदेश प्राप्त होता है जिसमें दावा किया जाता है कि उसने दुर्घटना से एक कोड भेजा है। अंत में, पीड़ित को हैकर को कोड अग्रेषित करने के लिए कहा जाता है, जो उन्हें पीड़ित के खाते तक तुरंत पहुंच प्रदान करता है। ।"
सॉफ्टवेयर भी एक समस्या हो सकती है। लेक्सिसनेक्सिस रिस्क सॉल्यूशंस के सरकारी समूह के समाधान सलाहकार जॉर्ज फ्रीमैन ने एक ईमेल साक्षात्कार में कहा, "डिवाइस की कमजोरियों के कारण, एमएफए को संभावित रूप से एक लीक ऐप या एक समझौता किए गए डिवाइस द्वारा छिपाया जा सकता है जिसके बारे में उपयोगकर्ता को जानकारी नहीं है।"
अभी तक अपना फोन न छोड़ें
हालांकि, टेक्स्ट-आधारित एमएफए कुछ नहीं से बेहतर है, विशेषज्ञों का कहना है। साइबर सुरक्षा कंपनी ट्रेंड माइक्रो में क्लाउड रिसर्च के उपाध्यक्ष मार्क नुनिखोवेन ने एक ईमेल साक्षात्कार में कहा, "एमएफए सबसे शक्तिशाली उपकरणों में से एक है जो उपयोगकर्ता को अपने खातों की सुरक्षा के लिए है।"
"जब भी संभव हो इसे सक्षम किया जाना चाहिए। यदि आपके पास विकल्प है, तो अपने स्मार्टफोन पर एक प्रमाणीकरण ऐप का उपयोग करें-लेकिन अंत में, सुनिश्चित करें कि एमएफए किसी भी रूप में सक्षम है।"
आईटी कंपनी एक्सपर्ट कंप्यूटर सॉल्यूशंस के सह-संस्थापक और सीईओ पीटर रॉबर्ट ने एक ईमेल साक्षात्कार में कहा, सुरक्षा बढ़ाने का एक सरल, कम लागत वाला तरीका है कि आप अपने फोन पर प्रमाणक ऐप का उपयोग करें।
“यदि आपके पास बजट है और सुरक्षा को महत्वपूर्ण मानते हैं, तो मैं आपको हार्डवेयर-आधारित एमएफए कुंजियों का मूल्यांकन करने के लिए प्रोत्साहित करूंगा,” उन्होंने कहा। निगरानी सेवा आपको यह बताने के लिए कि क्या आपके बारे में व्यक्तिगत जानकारी उपलब्ध है और डार्क वेब पर बिक्री के लिए है।"
अधिक मिशन असंभव-शैली दृष्टिकोण के लिए, वेबऑथन के साथ नया मानक FIDO2 बायोमेट्रिक प्रमाणीकरण का उपयोग करता है, फ्रीमैन कहते हैं। "उपयोगकर्ता एक वित्तीय साइट से जुड़ता है, उपयोगकर्ता नाम दर्ज करता है, वेबसाइट संपर्क [उपयोगकर्ता] के मोबाइल डिवाइस, [the] फोन पर एक सुरक्षित ऐप से संपर्क करती है, फिर उपयोगकर्ता को [उनके] चेहरे की आईडी या फिंगरप्रिंट के लिए संकेत देती है। सफल होने पर, यह प्रमाणित करता है वेब सत्र, "उन्होंने कहा।
इतने सारे संभावित खतरों के साथ, व्यक्तिगत जानकारी संग्रहीत करने वाली वेबसाइटों पर लॉग ऑन करने के लिए अधिक सुरक्षित तरीकों की तलाश शुरू करने का समय आ सकता है। हो सकता है कि हैकर्स आपके पासवर्ड को इंटरसेप्ट करने के इंतजार में वेब पर छिपे हों।
