टू-फैक्टर ऑथेंटिकेशन (2FA) वह ढाल नहीं है जैसा आप सोचते हैं
आपने टू-फैक्टर ऑथेंटिकेशन सक्षम कर लिया है। यह एक अच्छा कदम है।
अधिकांश सुरक्षा गाइड एक चीज़ भूल जाते हैं। पिछले तीन वर्षों में हुए सबसे बड़े अकाउंट चोरी के मामलों में आपका कोड क्रैक नहीं किया गया था। हमलावरों ने आपसे कोड खुद देने के तरीके खोज लिए या उस सुरक्षा चरण को ही बेकार बना दिया।
यहाँ वे तीन मुख्य तरीके दिए गए हैं जिनसे हमलावर आपके 2FA को बायपास करते हैं:
- MFA Fatigue हमलावर आपके चोरी किए गए यूजरनेम और पासवर्ड का उपयोग करके पुश नोटिफिकेशन (push notifications) ट्रिगर करते हैं। वे रातों-रात दर्जनों अनुरोध भेजते हैं। अधिकांश लोग केवल शोर बंद करने के लिए "Approve" पर टैप कर देते हैं। इससे हमलावर को एक वैध सेशन (session) मिल जाता है। 2022 में Uber इसका शिकार हुआ था।
- समाधान: नंबर मैचिंग (number matching) सक्षम करें। आपको अपनी स्क्रीन पर दिखाए गए कोड को अपने ऐप में टाइप करना होगा। यह बिना सोचे-समझे किए जाने वाले अप्रूवल को रोकता है।
- Adversary-in-the-Middle (AiTM) एक हमलावर एक फर्जी लॉगिन पेज सेटअप करता है। जब आप लॉगिन करते हैं, तो प्रॉक्सी आपके विवरण वास्तविक साइट को भेज देता है। वास्तविक साइट 2FA चैलेंज भेजती है। प्रॉक्सी उस चैलेंज को आप तक पहुँचाता है। आप अपना कोड दर्ज करते हैं। प्रॉक्सी आपके सेशन कुकी (session cookie) को चुरा लेता है। अब हमलावर का आपके अकाउंट पर नियंत्रण हो जाता है।
- समाधान: पासकी (passkeys) या हार्डवेयर सुरक्षा कुंजियों (hardware security keys) का उपयोग करें। ये वास्तविक वेबसाइट डोमेन से जुड़ी क्रिप्टोग्राफी का उपयोग करती हैं। प्रॉक्सी इन्हें धोखा नहीं दे सकता।
- SIM Swapping एक हमलावर आपके मोबाइल कैरियर को कॉल करता है। वे आपकी पहचान बताकर आपका नंबर अपने सिम कार्ड पर ट्रांसफर करवा लेते हैं। अब, हर SMS कोड उनके पास जाता है।
- समाधान: किसी भी महत्वपूर्ण चीज़ के लिए SMS का उपयोग करना बंद करें। Google Authenticator या Authy जैसे ऑथेंटिकेटर ऐप का उपयोग करें। ये आपके डिवाइस पर कोड जेनरेट करते हैं और इन्हें सिम स्वैपिंग के जरिए बीच में नहीं रोका जा सकता।
सुरक्षा विधियों की तुलना:
• SMS OTP: केवल क्रेडेंशियल स्टफिंग (credential stuffing) को रोकता है। • Authenticator App: क्रेडेंशियल स्टफिंग और सिम स्वैपिंग को रोकता है। • Standard Push: क्रेडेंशियल स्टफिंग और सिम स्वैपिंग को रोकता है। • Push with Number Matching: क्रेडेंशियल स्टफिंग, पुश बॉम्बिंग (push bombing) और सिम स्वैपिंग को रोकता है। • Hardware Key / Passkey: सब कुछ रोकता है।
फिशिंग-प्रतिरोधी (Phishing-resistant) MFA ही लक्ष्य है। हार्डवेयर कुंजियाँ और पासकी यह साबित करती हैं कि आप वास्तविक वेबसाइट पर हैं। यहाँ चोरी करने के लिए कोई कोड नहीं होता।
अपने अकाउंट सुरक्षित करने के लिए ये कदम उठाएं:
- इस सप्ताह: वित्तीय खातों से SMS 2FA हटा दें। ऑथेंटिकेटर ऐप पर स्विच करें।
- इस महीने: अपने पुश ऐप्स पर नंबर मैचिंग सक्षम करें।
- जब तैयार हों: अपने ईमेल और पासवर्ड मैनेजर के लिए एक हार्डवेयर कुंजी खरीदें।
2025 के खतरों के लिए 2019 की सुरक्षा का उपयोग न करें।
वास्तविक उल्लंघन (breach) के उदाहरणों के साथ पूरा विवरण: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass