दो-कारक प्रमाणीकरण विधियों की निश्चित रैंकिंग

Google खाता सुरक्षा पृष्ठ स्रोत: जो मारिंग / एंड्रॉइड सेंट्रल

आपको उपयोग करना चाहिए दो तरीकों से प्रमाणीकरण हर खाते पर जो आपको विकल्प देता है। अपने खाते को सुरक्षित रखने का कोई बेहतर तरीका नहीं है और चाहे आप कोई भी हों, आपको अपने सभी खातों को यथासंभव सुरक्षित रखना चाहिए। इससे कोई फर्क नहीं पड़ता कि आप किस फ़ोन का उपयोग करते हैं — 2FA सस्ते Android फ़ोन के साथ काम करता है, सबसे अच्छा एंड्रॉइड फोन, या एक iPhone। यह सब आपने पहले सुना होगा।

हालांकि सभी दो-कारक विधियों को समान नहीं बनाया गया है। हर दूसरे उपयोगकर्ता-सामना वाले सुरक्षा उपाय की तरह आपको सुरक्षा के लिए कुछ सुविधा का व्यापार करना होगा और 2FA के सबसे सुरक्षित तरीके भी कम से कम सुविधाजनक हैं। इसके विपरीत, सबसे सुविधाजनक तरीके भी कम से कम सुरक्षित हैं।

वीपीएन डील: $16 के लिए लाइफटाइम लाइसेंस, $1 और अधिक पर मासिक प्लान

हम उन विभिन्न तरीकों पर एक नज़र डालने जा रहे हैं जिनसे आप दो-कारक प्रमाणीकरण का उपयोग कर सकते हैं और प्रत्येक के पेशेवरों और विपक्षों पर चर्चा कर सकते हैं।

हर कीमत पर बचें, हालांकि यह अभी भी कुछ नहीं से बेहतर है

4. एसएमएस-आधारित दो-कारक प्रमाणीकरण

अमेज़न टू स्टेप वेरिफिकेशन स्क्रीन स्रोत: जेरेमी जॉनसन / एंड्रॉइड सेंट्रल

instagram viewer

दो-कारक कोड वाला टेक्स्ट संदेश प्राप्त करना ऑनलाइन खाते को सुरक्षित करने का सबसे लोकप्रिय तरीका है। दुर्भाग्य से, यह सबसे खराब तरीका भी है।

एसएमएस-आधारित 2FA आसान और सुविधाजनक है। यह भी बहुत सुरक्षित नहीं है।

जब आप किसी खाते के लिए साइन अप करते हैं या यदि आप वापस जाते हैं और बाद में 2FA सक्षम करते हैं, तो आप अपना फ़ोन नंबर देते हैं, और नंबर सत्यापित होने के बाद इसका उपयोग आपको किसी भी समय एक कोड भेजने के लिए किया जाता है जब आपको यह प्रमाणित करने की आवश्यकता होती है कि आप वास्तव में हैं आप। यह बहुत आसान और सुपर सुविधाजनक है जिसका अर्थ है कि बहुत से लोग इसका उपयोग करते हैं और बहुत सारी कंपनियां इसे एक खाते को सुरक्षित करने के एकमात्र साधन के रूप में पेश करती हैं।

उपयोग में आसानी और सुविधा बहुत अच्छी चीजें हैं, लेकिन एसएमएस के बारे में और कुछ भी अच्छा नहीं है। एसएमएस को कभी भी संचार के सुरक्षित साधन के रूप में डिजाइन नहीं किया गया था और चूंकि यह एक उद्योग मानक है, यहां तक कि सिग्नल जैसा ऐप भी कर देता है एन्क्रिप्टेड और सुरक्षित संदेश सेवा अभी भी सादे पाठ के रूप में एसएमएस संदेश भेजता है। मालवेयरबाइट्स के एक वरिष्ठ मैलवेयर खुफिया विश्लेषक नाथन कोलियर, इस तरह एसएमएस का वर्णन करता है:

एसएमएस पाठ संदेश, जो सादे पाठ में सर्वर पर भेजे और संग्रहीत किए जाते हैं, पारगमन के दौरान इंटरसेप्ट किए जा सकते हैं। इसके अलावा, एसएमएस संदेशों को गलत नंबर पर भेजा जाना संभव है। और जब संदेश सही संख्या में पहुंचते हैं, तो प्राप्तकर्ता की ओर से कोई सूचना नहीं होती है कि संदेश पढ़ा गया था या प्राप्त भी हुआ था।

एक बड़ी समस्या यह है कि वाहक कर सकते हैं (और किया गया है) किसी और के फ़ोन नंबर का उपयोग करके नए सिम कार्ड को अधिकृत करने के लिए छल किया गया। अगर कोई न कोई क्या सच में अपने क्रेडिट कार्ड का उपयोग करके अपने बैंक खाते तक पहुंच प्राप्त करना चाहते हैं या अमेज़ॅन से सामान का एक गुच्छा ऑर्डर करना चाहते हैं, उन्हें बस इतना करना है आपके कैरियर में कोई है कि वे आप हैं, आपने अपना फ़ोन खो दिया है, और आपको अपने नंबर को एक नए सिम कार्ड में स्थानांतरित करने की आवश्यकता है जो कि वे होते हैं धारण.

आपको शायद इसका इस्तेमाल करना चाहिए

3. प्रमाणक ऐप्स

गूगल प्रमाणक स्रोत: एंड्रॉइड सेंट्रल

Google प्रमाणक या ऑटि जैसे प्रमाणीकरण ऐप एसएमएस-आधारित 2FA पर एक बड़ा सुधार प्रदान करते हैं। वे क्या कहते हैं का उपयोग करके काम करते हैं टाइम-बेस्ड वन टाइम पासवर्ड (टीओटीपी) जिसे आपके फोन पर एक जटिल एल्गोरिथम का उपयोग करके उत्पन्न किया जा सकता है के बग़ैर किसी भी प्रकार का नेटवर्क कनेक्शन। कोड सही है यह सुनिश्चित करने के लिए एक वेबसाइट या सेवा समान एल्गोरिदम का उपयोग करती है।

2FA के लिए SMS से ऑथेंटिकेटर ऐप्स बेहतर हैं, लेकिन वे फुलप्रूफ नहीं हैं।

चूंकि वे ऑफ़लाइन काम करते हैं टीओटीपी शैली 2FA उन्हीं समस्याओं के अधीन नहीं है जो एसएमएस का उपयोग करते हैं, लेकिन यह अपने स्वयं के दोषों के सेट के बिना नहीं है। सुरक्षा शोधकर्ताओं ने दिखाया है कि यह है जब आप किसी वेबसाइट पर TOTP दर्ज करते हैं, तो आपके द्वारा भेजे जा रहे डेटा को इंटरसेप्ट और हेरफेर करना संभव है, लेकिन यह आसान नहीं है।

असली समस्या फ़िशिंग से आती है। ऐसी फ़िशिंग वेबसाइट बनाना संभव है जो बिल्कुल वास्तविक चीज़ की तरह दिखती और काम करती है और यहाँ तक कि साथ-साथ चलती भी है आपके द्वारा प्रदान किए जाने वाले क्रेडेंशियल, जैसे आपका पासवर्ड और एक प्रमाणक ऐप द्वारा उत्पन्न TOTP ताकि आप वास्तविक में लॉग इन कर सकें सेवा। यह एक ही समय में खुद को भी लॉग इन करता है और इस तरह कार्य कर सकता है जैसे कि आप उस सेवा के बिना थे जिसका उपयोग आप अंतर जानने के लिए कर रहे हैं। आखिरकार, सही क्रेडेंशियल्स की आपूर्ति की गई।

एक और नुकसान यह है कि यदि आप अपना फोन खो देते हैं तो आपको आवश्यक कोड प्राप्त करना आसान नहीं हो सकता है। कुछ प्रमाणक ऐप्स जैसे ऑटि सभी उपकरणों पर काम करें और चीजों को सेट करने के लिए एक केंद्रीय पासवर्ड का उपयोग करें ताकि आप बैक अप ले सकें और संख्या में चल सकें समय और अधिकांश कंपनियां बैकअप कोड का एक सेट प्रदान करेंगी जिसे आप ऐसे समय के लिए रख सकते हैं जब सब कुछ ठीक हो जाए दक्षिण. चूंकि वह डेटा इंटरनेट पर भी भेजा जा रहा है, यह टीओटीपी का उपयोग करने की प्रभावशीलता को कमजोर करता है लेकिन उपयोगकर्ताओं को अधिक सुविधा प्रदान करता है।

सुरक्षित और सुविधाजनक, लेकिन आम नहीं

2. पुश-आधारित 2FA

पुश-आधारित 2FA स्रोत: गूगल

कुछ सेवाएं, विशेष रूप से Apple और Google, कर सकते हैं अपने फोन पर एक संकेत भेजें एक लॉगिन प्रयास के दौरान। यह संकेत आपको बताता है कि कोई आपके खाते में लॉग इन करने का प्रयास कर रहा है, एक अनुमानित स्थान भी दे सकता है, और आपसे अनुरोध को स्वीकार या अस्वीकार करने के लिए कहता है। यदि यह आप हैं, तो आप एक बटन टैप करते हैं और यह बस काम करता है।

2FA के लिए एक अधिसूचना सुपर आसान और सुपर सुविधाजनक है। हालांकि अपना फोन न खोएं।

पुश-आधारित 2FA SMS 2FA और TOTP प्रमाणीकरण में कुछ तरीकों से सुधार करता है। यह और भी सुविधाजनक है क्योंकि यह सब आपके फोन पर एक मानक अधिसूचना के माध्यम से काम करता है - आपको केवल पढ़ने और टैप करने की आवश्यकता है। यह फ़िशिंग के लिए भी बहुत अधिक प्रतिरोधी है और अब तक खुद को बहुत "हैक" प्रतिरोधी दिखाया गया है। हालांकि कभी नहीं कहना।

पुश-आधारित 2FA एसएमएस और टीओटीपी के कुछ नुकसानों को भी बढ़ाता है: आपको वास्तविक डेटा के माध्यम से ऑनलाइन रहना होगा कनेक्शन (आवाज और पाठ सेल योजनाएं काम नहीं करेंगी) और संदेश प्राप्त करने के लिए आपके पास सही उपकरण होना चाहिए। यह भी बहुत मानकीकृत नहीं है, इसलिए आप अपने अन्य खातों को प्रमाणित करने के लिए अपने Google पिक्सेल पर लॉगिन प्रॉम्प्ट का उपयोग करने की अपेक्षा कर सकते हैं।

इन दो बहुत ही वास्तविक कमियों में से, पुश-आधारित 2FA को सुरक्षित और सुविधाजनक दिखाया गया है। यह भी शामिल होने जा रहा है आपके Google खाते के लिए 2FA लागू करने की Google की भविष्य की योजना आगे जा रहा है।

विजेता! लेकिन परेशान भी!

1. हार्डवेयर आधारित 2FA

USB कुंजी के साथ 2FA स्रोत: जैरी हिल्डेनब्रांड / एंड्रॉइड सेंट्रल

एक प्रमाणक उपकरण जैसे हार्डवेयर के एक अलग टुकड़े का उपयोग करना या एक U2F सुरक्षा कुंजी किसी भी ऑनलाइन खाते को सुरक्षित करने का सबसे अच्छा तरीका है। यह सबसे कम सुविधाजनक और सबसे कम लोकप्रिय भी है।

आप इसे हार्डवेयर का उपयोग करके सेट करते हैं और जब भी आप किसी नए डिवाइस से लॉग इन करना चाहते हैं या खाता व्यवस्थापक द्वारा निर्धारित समय के बाद आपको वापस आने के लिए उसी डिवाइस का उत्पादन करने की आवश्यकता होती है। यह उस डिवाइस द्वारा काम करता है जो एक हस्ताक्षरित चुनौती कोड को सर्वर पर वापस भेजता है जो साइट, आपके खाते और डिवाइस के लिए विशिष्ट है। अभी तक U2F फिश-प्रूफ और हैक-प्रूफ रहा है। फिर कभी, कभी मत कहो।

U2F कुंजी का उपयोग करना दो-कारक प्रमाणीकरण करने का सबसे कम सुविधाजनक लेकिन सबसे सुरक्षित तरीका है। यह शायद आपके लिए नहीं है क्योंकि यह एक पिटा है।

आप आमतौर पर एक ही खाते पर एक से अधिक उपकरण सेट कर सकते हैं ताकि यदि आप अपनी सुरक्षा खो देते हैं तो आप पहुंच नहीं खोएंगे कुंजी, लेकिन इसका अभी भी मतलब है कि हर बार जब आप किसी वेबसाइट में लॉग इन करना चाहते हैं तो आपके पास वह कुंजी होनी चाहिए या सेवा। मैं अपने Google खातों को सुरक्षित करने के लिए U2F कुंजी का उपयोग करता हूं, और काम के लिए अपने Google एंटरप्राइज़ खाते में वापस आने के लिए हर 12 घंटे में मुझे कुंजी प्रदान करने की आवश्यकता होती है। इसका मतलब है कि मेरे पास मेरे डेस्क की दराज में एक चाबी है, मेरे चाबी का गुच्छा पर एक चाबी है, और एक लिफाफे में एक चाबी है जो एक मित्र आपात स्थिति के मामले में मेरे लिए रखता है।

U2f कुंजी प्रॉम्प्ट स्रोत: जैरी हिल्डेनब्रांड

आमतौर पर, यदि आप किसी कुंजी का उपयोग कर रहे हैं, तो आप 2FA की बैकअप विधि भी सेट कर सकते हैं, और Google आपको ऐसा करने के लिए बाध्य करता है। यह सुविधा के लिए बहुत अच्छा है लेकिन यह आपके खाते की सुरक्षा से भी समझौता करता है क्योंकि कम सुरक्षित तरीके अभी भी आपके लिए - या किसी और के लिए - वापस आने के लिए व्यवहार्य तरीके हैं।

सुरक्षा कुंजी जैसे हार्डवेयर टोकन का उपयोग करने में एक और कमी लागत है। एसएमएस, या एक प्रमाणक ऐप या पुश-आधारित 2FA का उपयोग करना निःशुल्क है। a का उपयोग करने के लिए सुरक्षा कुंजी आपको एक खरीदना होगा और वे प्रत्येक $20 से $100 तक के हो सकते हैं। क्योंकि आपके पास वास्तव में कम से कम एक बैकअप कुंजी होनी चाहिए यदि आप इस मार्ग पर जा रहे हैं तो यह जोड़ सकता है। अंत में, अपने फ़ोन के साथ सुरक्षा कुंजी का उपयोग करना मुश्किल हो सकता है। आपको USB, NFC और यहां तक कि ब्लूटूथ के माध्यम से काम करने वाली कुंजियाँ मिलेंगी लेकिन फ़ोन के साथ कुंजी का उपयोग करते समय 100% विश्वसनीय कोई भी तरीका 100% विश्वसनीय नहीं होता है।

कौन सा सबसे अच्छा है?

Google खाते पर दो-कारक प्रमाणीकरण सेट करना स्रोत: जो मारिंग / एंड्रॉइड सेंट्रल

उनमें से सभी और उनमें से कोई भी नहीं।

किसी खाते पर किसी भी प्रकार का 2FA किसी से भी बेहतर नहीं है, और यहां तक कि SMS-आधारित 2FA का अर्थ है कि यदि आप किसी पासवर्ड पर भरोसा करते हैं तो आप उससे अधिक सुरक्षित हैं। अगर आपमें धैर्य है तो एक प्रोग्राम जैसे Google का उन्नत सुरक्षा कार्यक्रम अपना ऑनलाइन जीवन बना सकते हैं बहुत सुरक्षित और लगभग चिंता मुक्त। लेकिन आपको सुरक्षा के खिलाफ सुविधा को तौलना होगा।

व्यक्तिगत रूप से, मैं एसएमएस-आधारित 2FA की कामना करता हूं बस चला जाएगा क्योंकि मैं भी इसे हैक कर सकता हूं। इसका मतलब है कि आप भी कर सकते हैं, अगर आप एक करने को तैयार हैं थोड़ा सा पढ़ना और कुछ कॉपी-पेस्टिंग। इससे भी बदतर, इसका मतलब यह है कि कोई भी इसे हैक कर सकता है और वहां ऐसे लोग हैं जो किसी भी पहले से न सोचा शिकार पर कोशिश करने के लिए समय और ऊर्जा ले सकते हैं।

अंत में, आपको यह महसूस करने की आवश्यकता है कि आप एक राजनेता या फिल्म स्टार नहीं होने के बावजूद ऑनलाइन हैकर्स के लिए एक लक्ष्य हैं। इसका मतलब है कि आपको वास्तव में अपने ऑनलाइन खातों की सुरक्षा के लिए अतिरिक्त कदम उठाने की जरूरत है और उम्मीद है कि आप जानते होंगे इस बारे में थोड़ा और जानें कि कैसे दो-कारक प्रमाणीकरण के विभिन्न तरीके आपको सही बनाने में मदद कर सकते हैं फैसले को।

क्या आपने इस सप्ताह का Android Central Podcast सुना है?

हर हफ्ते, Android Central Podcast आपके लिए परिचित सह-मेजबानों और विशेष मेहमानों के साथ नवीनतम तकनीकी समाचार, विश्लेषण और हॉट टेक लाता है।

पॉकेट कास्ट में सदस्यता लें: ऑडियो
Spotify में सदस्यता लें: ऑडियो
आईट्यून्स में सदस्यता लें: ऑडियो

हम अपने लिंक का उपयोग करके खरीदारी के लिए कमीशन कमा सकते हैं। और अधिक जानें.

फिशिंग लाइफ के साथ अपने हुक को थपथपाएं, एक लाइन छोड़ें, और कुछ सर्द वाइब्स में रील करें

सप्ताह का Android गेम

मछली पकड़ने के बारे में एक सरल खेल, मत्स्य पालन जीवन आपको दुनिया के कई संकटों से थोड़ी राहत देता है। उस कास्टिंग आर्म को स्ट्रेच करें और इस शांतचित्त खेल में कुछ गंभीर आराम करने के लिए तैयार हो जाएं।

9 अविश्वसनीय Google I/O घोषणाएं जो आप शायद चूक गए हों

क्या आप इस सप्ताह पहन चुके हैं?

Google I/O ने Google की सेवाओं के लगभग हर साइलो में नई सुविधाओं और बेहतर क्षमताओं की एक ज्वार की लहर लाई। हालांकि इस साल बड़े बदलाव आसान थे, लेकिन अगर आप ध्यान नहीं दे रहे थे तो कई छोटे बदलाव और जोड़ रडार के नीचे फिसल सकते थे। ये Google I/O घोषणाएं छोटी जीत हैं जो लाखों उपयोगकर्ताओं के लिए बड़ा प्रभाव डाल सकती हैं।

गतिशीलता का भविष्य जीतने के लिए Android Automotive Google का गुप्त हथियार है

दांव लगाना

Google I/O कंपनी के विभिन्न उत्पादों और सेवाओं के बारे में नए विवरणों से भरा हुआ था, लेकिन सबसे दिलचस्प बात यह थी कि ऑटोमोटिव क्षेत्र का अपनी भविष्य की योजनाओं के लिए कितना महत्व है। अगली कार जो आप चलाते हैं उसमें Google की छाप हो सकती है यदि ट्रिकल एक बड़ा चलन बन जाता है।

ये वे स्क्रीन प्रोटेक्टर हैं जिन्हें आप अपने Galaxy S20 FE के लिए प्राप्त करना चाहेंगे

दरारें चली जायेंगी

यदि आपके पास सैमसंग गैलेक्सी S20 FE है और अगले कुछ वर्षों के लिए इस डिवाइस पर लटकने की योजना है, तो आप यह सुनिश्चित करना चाहेंगे कि यह हर कोण से सुरक्षित हो। गैलेक्सी S20 FE के लिए ये सबसे अच्छे स्क्रीन प्रोटेक्टर हैं जो आपको आज मिल सकते हैं।

लेख