दो-कारक प्रमाणीकरण के कुछ हफ़्ते खराब थे। इतना ही नहीं एक प्रमुख डेवलपर, जस्टिन विलियम्स, पेपाल और एटी एंड टी के खिलाफ उसके खिलाफ एक फ़िशिंग हमले का बचाव करने के लिए मजबूर किया गया, लेकिन यह तेजी से स्पष्ट हो रहा है कि एसएमएस आधारित दो-कारखाने प्रमाणीकरण हैकिंग के लिए एक नया वेक्टर है।
परिणामस्वरूप, Google इस बारे में कुछ कर रहा है: चूंकि एसएमएस-आधारित दो-कारक प्रमाणीकरण फ़िशिंग के लिए अतिसंवेदनशील होते हैं हमले - कोई व्यक्ति संभावित रूप से एक पाठ संदेश या एक सिम कार्ड को क्लोन कर सकता है, जैसा कि विलियम्स के साथ हुआ है कंपनी लोग शीघ्र-आधारित सत्यापन पर स्विच करना चाहते हैं:
अगले सप्ताह से, 2-एसवी एसएमएस उपयोगकर्ता साइन इन करने पर Google संकेतों को आज़माने के लिए एक निमंत्रण देखेंगे। आमंत्रण उपयोगकर्ताओं को एसएमएस के बजाय प्रवाह में नए Google संकेतों का पूर्वावलोकन करने का एक तरीका देगा, और बाद में, यह सक्षम या ऑप्ट-आउट रखने का चयन करेगा।
कुल मिलाकर, ऐसा इसलिए किया जा रहा है क्योंकि एसएमएस पाठ संदेश सत्यापन और एक बार कोड हमलावरों द्वारा फ़िशिंग प्रयासों के लिए अतिसंवेदनशील होते हैं। एसएमएस के बजाय खाता प्रमाणीकरण पर भरोसा करके, प्रशासक यह सुनिश्चित कर सकते हैं कि उनका मोबाइल डिवाइस पर नीतियों को लागू किया जाएगा और प्रमाणीकरण एक एन्क्रिप्टेड के माध्यम से हो रहा है कनेक्शन।
मूल रूप से, प्रॉम्प्ट-आधारित सत्यापन सुरक्षित है, और इसे तब से इंटरसेप्ट नहीं किया जा सकता है क्योंकि यह Google Play Services के माध्यम से चलता है। केवल यह संभावित रूप से एक सुरक्षा मुद्दा हो सकता है अगर कोई ऐसे फोन को चुरा ले जो 2FA स्वीकार करने के लिए पंजीकृत है Google से संकेत मिलता है, लेकिन किसी भी वेब ब्राउज़र से डिवाइस को निष्क्रिय करना वास्तव में आसान है, जो दुर्भाग्यपूर्ण घटना होनी चाहिए पाए जाते हैं।
क्या आपने इस सप्ताह के एंड्रॉइड सेंट्रल पॉडकास्ट के बारे में सुना है?
हर हफ्ते, एंड्रॉइड सेंट्रल पॉडकास्ट आपको परिचित सह-मेजबान और विशेष मेहमानों के साथ नवीनतम तकनीक समाचार, विश्लेषण और गर्म लेता है।
- पॉकेट कास्ट में सदस्यता लें: ऑडियो
- Spotify में सदस्यता लें: ऑडियो
- ITunes में सदस्यता लें: ऑडियो
संपर्क में रहना
Android सेंट्रल से नवीनतम समाचार, सौदे और अधिक जानकारी प्राप्त करने के लिए अभी साइन अप करें!