दो-कारक प्रमाणीकरण: यह क्या है, कैसे काम करता है और अधिक

कल्पना करें कि आपके मुख्य दरवाजे पर दो ताले हैं। एक आपकी चाबी (आपका पासवर्ड) है, और दूसरा एक लगातार बदलने वाला कोड है जो आपके फोन पर भेजा जाता है (आपका दूसरा कारक)। यही Two-Factor Authentication (2FA) का सार है, एक सुरक्षा प्रणाली जो आपके ऑनलाइन खातों तक अनधिकृत पहुँच के खिलाफ अतिरिक्त सुरक्षा की परत जोड़ती है।

OTP और 2FA: क्या वे एक ही हैं?

हालांकि अक्सर इन्हें समानार्थक रूप में उपयोग किया जाता है, OTP (वन-टाइम पासवर्ड) और 2FA में एक सूक्ष्म अंतर है:

• OTP: एक OTP एक एकल, अद्वितीय कोड होता है जो एक लॉगिन प्रयास के लिए उपयोग किया जाता है। इसे SMS, ईमेल के माध्यम से भेजा जा सकता है, या किसी ऐप द्वारा उत्पन्न किया जा सकता है। इसे अपने क्रेडिट कार्ड चिप पर मिलने वाले डिस्पोजेबल कोड के रूप में सोचें।
• 2FA: 2FA एक व्यापक प्रणाली है जो प्रमाणीकरण के लिए दो कारकों पर निर्भर करती है: कुछ ऐसा जो आप जानते हैं (पासवर्ड) और कुछ ऐसा जो आपके पास है (फोन, सुरक्षा कुंजी) या कुछ ऐसा जो आप हैं (फिंगरप्रिंट, चेहरे की पहचान)। OTP 2FA प्राप्त करने के लिए उपयोग की जाने वाली एक विधि है, लेकिन यह एकमात्र विधि नहीं है।

तो, Google Authenticator 2FA से बेहतर नहीं है। Google Authenticator एक ऐप है जो 2FA के लिए OTP कोड उत्पन्न करने के लिए TOTP (टाइम-बेस्ड वन-टाइम पासवर्ड) विधि का उपयोग करता है। TOTP कोड पारंपरिक SMS-प्रेषित OTP की तुलना में अधिक सुरक्षित माने जाते हैं क्योंकि वे नियमित अंतराल पर बदलते हैं (आमतौर पर हर 30 सेकंड) और सेलुलर नेटवर्क पर निर्भर नहीं करते।

2FA के क्षेत्र में सबसे मजबूत दावेदार

जब "सबसे मजबूत" 2FA विधि की बात आती है, तो यह स्थिति पर निर्भर करता है। यहाँ हम जो जानते हैं::

Authenticator ऐप्स: 

• TOTP (टाइम-बेस्ड वन-टाइम पासवर्ड): यह अधिकांश ऑथेंटिकेटर ऐप्स जैसे Google Authenticator या Microsoft Authenticator को चलाने वाला इंजन है। यह निम्न का संयोजन उपयोग करता है:
  • सीक्रेट की: एक अद्वितीय, साझा सीक्रेट की जो ऐप और उस ऑनलाइन सेवा के बीच होती है जिसमें आप लॉगिन कर रहे हैं। यह की आमतौर पर प्रारंभिक सेटअप के दौरान उत्पन्न होती है।
  • समय समन्वय: ऐप और सर्वर दोनों एक ही समय संदर्भ (आमतौर पर UTC - समन्वित वैश्विक समय) पर निर्भर करते हैं।
• कोड निर्माण: ऐप एक विशिष्ट एल्गोरिदम (जैसे HMAC-SHA1) का उपयोग करता है जो सीक्रेट की को वर्तमान समय के साथ मिलाकर एक अद्वितीय कोड उत्पन्न करता है जो लगभग हर 30 सेकंड में बदलता रहता है। इससे यह सुनिश्चित होता है कि यदि कोई कोड को इंटरसेप्ट भी कर ले, तो वह थोड़े समय के भीतर बेकार हो जाएगा।
• सत्यापन प्रक्रिया: जब आप लॉगिन के दौरान उत्पन्न कोड दर्ज करते हैं, तो सर्वर उसी सीक्रेट की और वर्तमान समय का उपयोग करके समान गणना करता है। यदि कोड मेल खाते हैं, तो पहुँच दी जाती है।

सिक्योरिटी कीज़: 

• पब्लिक की क्रिप्टोग्राफी: YubiKeys जैसी सुरक्षा कुंजियाँ पब्लिक की क्रिप्टोग्राफी पर निर्भर करती हैं। इस प्रणाली में दो गणितीय रूप से जुड़े हुए की होते हैं: एक सार्वजनिक की और एक निजी की।
  • सार्वजनिक की (सर्वर पर): यह की सार्वजनिक रूप से उपलब्ध होती है और सर्वर द्वारा चुनौतियों को एन्क्रिप्ट करने के लिए उपयोग की जाती है।
  • निजी की (कुंजी में): यह की सुरक्षा कुंजी के भीतर सुरक्षित रूप से संग्रहीत होती है और कभी भी डिवाइस से बाहर नहीं जाती। इसका उपयोग चुनौती को डिक्रिप्ट करने और डिजिटल हस्ताक्षर बनाने के लिए किया जाता है।
• चुनौती-प्रतिक्रिया: लॉगिन के दौरान, सर्वर सुरक्षा कुंजी को एक चुनौती भेजता है। कुंजी अपनी निजी की का उपयोग करके चुनौती को डिक्रिप्ट करती है और डिजिटल हस्ताक्षर बनाती है।
• सत्यापन: हस्ताक्षरित प्रतिक्रिया सर्वर को वापस भेजी जाती है। सर्वर सार्वजनिक की (जो सुरक्षा कुंजी में निजी की का समकक्ष है) का उपयोग करके हस्ताक्षर को सत्यापित करता है, जिससे लॉगिन प्रयास की वैधता सुनिश्चित होती है।

बायोमेट्रिक्स: 

• आपके शरीर की रूपरेखा पढ़ना: फिंगरप्रिंट स्कैनर और चेहरे की पहचान प्रणाली उन्नत सेंसरों पर निर्भर करती हैं जो अद्वितीय शारीरिक विशेषताओं को कैप्चर करती हैं।
• टेम्पलेट निर्माण: यह कैप्चर किया गया डेटा फिर एक गणितीय प्रतिनिधित्व में परिवर्तित किया जाता है जिसे टेम्पलेट कहा जाता है, जो आपके डिवाइस पर सुरक्षित रूप से संग्रहीत किया जाता है।
• मिलान करना: लॉगिन के दौरान, सेंसर आपके फिंगरप्रिंट या चेहरे की एक नई छवि कैप्चर करता है। इस नए डेटा को टेम्पलेट में परिवर्तित किया जाता है और संग्रहीत टेम्पलेट से तुलना की जाती है।
• पहुंच प्रदान या अस्वीकृत: यदि टेम्पलेट एक निश्चित सीमा के भीतर मेल खाते हैं, तो पहुँच प्रदान की जाती है। यदि मेल नहीं खाते, तो अस्वीकृति होती है।

आदर्श तरीका एक परतदार (लेयर्ड) दृष्टिकोण है। खाते की संवेदनशीलता के आधार पर विधियों के संयोजन का उपयोग करने पर विचार करें। उदाहरण के लिए, एक उच्च सुरक्षा वाला वित्तीय खाता दोनों TOTP ऐप और सुरक्षा कुंजी से सुरक्षित हो सकता है, जबकि एक सोशल मीडिया खाता केवल TOTP ऐप से ही सुरक्षित हो सकता है।

यदि उल्लंघन हो जाए तो क्या करें

यदि आपको संदेह है कि कोई उल्लंघन हुआ है, तो तुरंत कार्रवाई करें:

1. अपने पासवर्ड बदलें: सभी प्रभावित खातों पर मजबूत, अद्वितीय पासवर्ड बनाएं और 2FA सक्षम करें (यदि पहले से सक्रिय नहीं है)।
2. अपने फोन को सुरक्षित करें: Protectstar जैसे विश्वसनीय Antivirus AI सॉफ़्टवेयर के साथ स्कैन चलाएं ताकि किसी भी मैलवेयर का पता लगाया जा सके और उसे हटाया जा सके जो छिपा हो सकता है। Protectstar की उन्नत AI नई और अनदेखी खतरों को भी पहचान सकती है, जो अतिरिक्त सुरक्षा प्रदान करती है।
3. उल्लंघन की रिपोर्ट करें: संबंधित प्लेटफार्मों को सूचित करें और आवश्यक होने पर पुलिस रिपोर्ट दर्ज करने पर विचार करें।

सक्रिय रहकर और 2FA, बहु-स्तरीय प्रमाणीकरण विधियों, और उन्नत एंटीवायरस सॉफ़्टवेयर जैसे मजबूत सुरक्षा समाधानों का उपयोग करके, आप साइबर हमलों का शिकार बनने के जोखिम को काफी हद तक कम कर सकते हैं। याद रखें, सुरक्षा एक सतत प्रक्रिया है, इसलिए सतर्क रहें और अपनी सुरक्षा को अपडेट रखें।