𝗧𝘄𝗼-𝗙𝗮𝗰𝘁𝗼𝗿 𝗔𝘂𝘁𝗵 𝗜𝘀𝗻'𝘁 𝗧𝗵𝗲 𝗦𝗵𝗶𝗲𝗹𝗱 𝗬𝗼𝘂 𝗧𝗵𝗶𝗻𝗸 𝗜𝘁 𝗜𝘀

तुम्ही टू-फॅक्टर ऑथेंटिकेशन (two-factor authentication) सुरू केले आहे. हे एक चांगले पाऊल आहे.

बहुतेक सुरक्षा मार्गदर्शिका एक गोष्ट विसरतात. गेल्या तीन वर्षांतील सर्वात मोठ्या खाते चोरीच्या घटनांमध्ये तुमचा कोड क्रॅक केला गेला नाही. हल्लेखोरांनी तो कोड तुमच्याकडून काढून घेण्याचे किंवा ही प्रक्रिया निरुपयोगी बनवण्याचे मार्ग शोधले आहेत.

हल्लेखोर तुमचा 2FA बायपास करण्याचे तीन मुख्य मार्ग खालीलप्रमाणे आहेत:

  1. MFA Fatigue हल्लेखोर तुमचे चोरलेले युजरनेम आणि पासवर्ड वापरून पुश नोटिफिकेशन्स (push notifications) पाठवतात. ते रात्रभर डझनभर विनंत्या पाठवतात. अनेकदा केवळ तो आवाज थांबवण्यासाठी लोक "Approve" वर क्लिक करतात. यामुळे हल्लेखोराला वैध सेशन (valid session) मिळते. २०२२ मध्ये Uber या प्रकाराचा बळी ठरले होते.
  • उपाय: नंबर मॅचिंग (number matching) सुरू करा. तुम्हाला तुमच्या स्क्रीनवर दिसणारा कोड तुमच्या ॲपमध्ये टाईप करावा लागेल. यामुळे अंधधुंदपणे होणारी मंजुरी थांबते.
  1. Adversary-in-the-Middle (AiTM) हल्लेखोर एक बनावट लॉगिन पेज तयार करतो. जेव्हा तुम्ही लॉगिन करता, तेव्हा तो प्रॉक्सी (proxy) तुमचे तपशील खऱ्या साइटला पाठवतो. खरी साइट 2FA चॅलेंज पाठवते. प्रॉक्सी ते चॅलेंज तुमच्यापर्यंत पोहोचवतो. तुम्ही तुमचा कोड टाकता आणि प्रॉक्सी तुमचा सेशन कुकी (session cookie) चोरतो. आता तुमचे खाते हल्लेखोराच्या ताब्यात असते.
  • उपाय: पासकी (passkeys) किंवा हार्डवेअर सिक्युरिटी की (hardware security keys) वापरा. या खऱ्या वेबसाइट डोमेनशी जोडलेल्या क्रिप्टोग्राफीचा वापर करतात. प्रॉक्सी त्यांना फसवू शकत नाही.
  1. SIM Swapping हल्लेखोर तुमच्या मोबाईल कॅरियरला फोन करतो. ते तुमचे रूप धारण करून तुमचा नंबर त्यांच्या सिम कार्डवर ट्रान्सफर करतात. आता, प्रत्येक SMS कोड त्यांच्याकडे जातो.
  • उपाय: महत्त्वाच्या गोष्टींसाठी SMS वापरणे थांबवा. Google Authenticator किंवा Authy सारखी ऑथेंटिकेटर ॲप्स (authenticator apps) वापरा. ही ॲप्स तुमच्या डिव्हाइसवर कोड तयार करतात आणि सिम स्वॅपिंगद्वारे ते चोरले जाऊ शकत नाहीत.

सुरक्षा पद्धतींची तुलना:

• SMS OTP: फक्त credential stuffing रोखते. • Authenticator App: credential stuffing आणि SIM swaps रोखते. • Standard Push: credential stuffing आणि SIM swaps रोखते. • Push with Number Matching: credential stuffing, push bombing आणि SIM swaps रोखते. • Hardware Key / Passkey: सर्व प्रकारच्या हल्ल्यांपासून संरक्षण देते.

फिशिंग-प्रतिरोधक (Phishing-resistant) MFA हे आपले ध्येय असावे. हार्डवेअर की आणि पासकी तुम्ही खऱ्या वेबसाइटवर आहात हे सिद्ध करतात. तिथे चोरण्यासाठी कोणताही कोड नसतो.

तुमचे खाते सुरक्षित करण्यासाठी ही पावले उचला:

  • या आठवड्यात: आर्थिक खात्यांमधून SMS 2FA काढून टाका. ऑथेंटिकेटर ॲपवर स्विच करा.
  • या महिन्यात: तुमच्या पुश ॲप्सवर नंबर मॅचिंग सुरू करा.
  • तयार असाल तेव्हा: तुमच्या ईमेल आणि पासवर्ड मॅनेजरसाठी हार्डवेअर की खरेदी करा.

२०२५ च्या धोक्यांसाठी २०१९ ची सुरक्षा वापरू नका.

खऱ्या डेटा ब्रीच उदाहरणांसह सविस्तर माहिती: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass