काठमाडौं । अहिलेको समयमा हाम्रो व्यवसायिकदेखि व्यक्तिगत जीवन अनलाइनकाे दुनियाँमा जोडिएकाे छ । इन्टरनेटको व्यापक प्रयोग बढेसँगै यसको सुरक्षा चुनौती पनि थपिएको छ ।
बलियो र युनिक पासवर्डको प्रयोग गर्दा गर्दै पनि ह्याकरहरूले त्यसलाई सजिलै विफल गरी अकाउन्टमा पहुँच प्राप्त गर्न सक्दछन् । यस्तोमा हुनसक्ने खतराबाट बच्न धेरै वेबसाइट र सुरक्षा विशेषज्ञले प्रयोगकर्ताका लागि टु-फ्याक्टर अथेन्टिकेशन अपनाउन सुझाउने गर्छन् ।
याे प्रणालीले जसकाे अकाउन्ट हाे, उसलाई मात्र पहुँच दिन्छ । जसकारण आफ्नो अकाउन्टमा भएका डेटाको सुरक्षा सुनिश्चितता बढ्दछ । टु-फ्याक्टर अथेन्टिकेशन आफैंले पनि धेरै कुरा बुझाउँछ ।
दुई वटा तह (लेयर) मा आधिकारिकता प्रमाणित गर्ने प्रक्रिया नै खासमा टु-फ्याक्टर अथेन्टिकेशन हो । आज हामी यसले कसरी काम गर्छ र कति प्रकारका सुरक्षा फिचर हामी प्राप्त गर्न सक्छौँ भन्ने विषयमा कुरा गर्दैछौं ।
टु-फ्याक्टर अथेन्टिकेशन (2FA) ले वेबसाइटको लगईन प्रक्रियामा थप प्रमाणीकरण चरण थप्छ । यो, अलग-अलग रहेका दुईवटा जानकारीलाई संयोजन गरी सुरक्षा सुनिश्चितता बढाउने प्रक्रिया हो ।
उदाहरणका लागि पासवर्ड र अस्थायी सुरक्षा कोडलाई लिन सकिन्छ । यसले तपाईंको अकाउन्टको पासवर्ड अर्को कोही व्यक्तिलाई थाहा भएको खण्डमा समेत लगईन गर्नबाट जोगाउँछ ।
अब अहिले अभ्यासमा भइरहेको टु-फ्याक्टर अथेन्टिकेशनको कुरा गर्नुपर्दा जिमेल अकाउन्टलाई हेर्न सकिन्छ । जिमेल अकाउन्टमा पासवर्ड लगाएर लगईन गरिसक्दा पनि तपाईंसँग दोस्रो कोड माग्दछ । तपाईंले म्यासेजबाट कोड प्राप्त गर्ने वा तपाईंको स्मार्टफोनमा रहेको एप मार्फत प्राप्त गर्ने विकल्प छान्न सक्नुहुन्छ ।
यस्तोमा तपाईंले प्राप्त गर्ने पछिल्लो अर्थात सेकेन्डरी कोड अट्याकरको पहुँचमा हुँदैन । यसकारण अकाउन्ट लगईन गर्ने कामलाई निरन्तरता दिन सक्दैनन् ।
सामान्यतया ‘टु-फ्याक्टर अथेन्टिकेशन’ कोडहरू केही सेकेन्डभित्रै परिवर्तन हुने हुँदा अनुमानको भरमा अथवा जबरजस्ती कोड स्टोर गर्न असम्भव हुन्छ । यसले पासवर्डमात्रै राखेर हुने सुरक्षा प्रत्याभूतिलाई दोब्बर मजबुत गरिदिन्छ ।
‘टु-फ्याक्टर अथेन्टिकेशन’ कति प्रकारका हुन्छन त ?
धेरै वेबसाइटले ‘टु-फ्याक्टर अथेन्टिकेशन’ सक्रिय गर्न एकभन्दा बढी उपाय सुझाएका हुन्छन् । अब केही छिटो र सहज उपायको बारेमा कुरा गरौँः
एसएमएसमा आधारित ‘टु-फ्याक्टर अथेन्टिकेशन’:
लगईन गर्ने क्रममा अकाउन्टमा रजिष्ट्रर भएको फोन नम्बरमा भेरिफिकेसन कोड (OTP) पठाइन्छ । यो धेरै प्रयोग हुने ‘टु-फ्याक्टर अथेन्टिकेशन’प्रक्रिया मध्येमा एक हो । विशेषगरी बैंकहरूले यो उपाय अपनाउने गर्दछन् ।
TOTP मा आधारित ‘टु-फ्याक्टर अथेन्टिकेशन’
TOTPs अर्थात निश्चित समयमा आधारित मात्र एकपटक प्रयोग गर्न मिल्ने पासवर्डको सहायतामा स्मार्टफोनमा भएको एप चलाउन सकिन्छ ।
म्यानुअल रूपमा नयाँ अकाउन्ट दर्ता गर्नका लागि भने सहजै QR कोड स्क्यान गर्न सकिन्छ । यसको फाइदा भनेको यसलाई इन्टरनेटको आवश्यकता पर्दैन । तपाईंले स्मार्टफोनमा सही समय सेट गरेको खण्डमा एपले स्वतः कोड जेनेरेट गर्दछ ।
‘प्रम्प्ट’ मा आधारित ‘टु-फ्याक्टर अथेन्टिकेशन’
यो गुगल र एप्पलले धेरैमात्रामा प्रयोग गर्ने गरेको ‘टु-फ्याक्टर अथेन्टिकेशन’को नयाँ र सरल विधि हो । यसअन्तर्गत सेवाले तपाईंको स्मार्टफोन, ट्याब्लेट वा स्मार्टवाचमा सुरक्षा सूचना पठाउँछ ।
अगाडि बढ्नको लागि तपाईले लगईन अनुरोधलाई स्वीकृत गर्नुपर्ने हुन्छ । यसलाई अघिल्लो विधिहरू भन्दा कम म्यानुअल इनपुट चाहिन्छ किनकि तपाईंले कोड लगाइरहनु पर्दैन ।
फिजिकल हार्डवेयरः
अनलाइन सुरक्षाको सम्बन्धमा गम्भीर व्यक्तिले ‘टु-फ्याक्टर अथेन्टिकेशन’ प्राप्त गर्न भौतिक हार्डवेयर उपकरण प्रयोग गर्ने गर्दछन् । यसका लागि सबैभन्दा प्रचलित डिभाइसका रुपमा युबिकीलाई लिइन्छ, तर गुगलको Titan Security Key जस्ता विकल्प पनि नभएका भने होइनन् ।
तिनीहरू धेरै रुपमा प्राप्त हुन्छ । तपाईंको key chain मा रहन्छ, उदाहरणका लागि, वा सानो डोंगल (इन्टरनेट सहितको एकप्रकारको पेनड्राइभ)को रूपमा जुन तपाईको कम्प्युटरमा स्थायी रूपमा प्लग रहन्छ । यसलाई दर्ता गरेपछि तपाइको अकाउन्टमा पहुँच प्राप्त गर्न उक्त उपकरणले हार्डवेयर “चाबी” को रूपमा काम गर्दछ ।
माथिका मध्ये सबै सुरक्षाका फिचरहरू भएकाले कुन बढी सुरक्षित छ भन्ने विषयमा सोचेर आफूलाई उपयुक्त लाग्ने फिचर छान्नु जरुरी छ । यसरी हेर्दा एसएमएसमा आधारित ‘टु-फ्याक्टर अथेन्टिकेशन’ खासै सुरक्षित देखिँदैन ।
गलत मनशाय भएको व्यक्तिले तपाईंको सिम कार्ड क्लोन गर्न र तपाईंको एसएमएस टाढैबाट हाइज्याक गर्न सक्दछन् । फिजिकल हार्डवेयरमा आधारित ‘टु-फ्याक्टर अथेन्टिकेशन’ भने साँच्चै नै सुरक्षित हुन्छ ।
TOTP ले सुविधा र सुरक्षाको उत्कृष्ट मिश्रण प्रदान गर्दछ । यसले Google Authenticator जस्ता धेरै TOTP एपहरूलाई काम गर्न सेलुलर वा इन्टरनेटको आवश्यकता पर्दैन भन्ने कुरामा पनि मद्दत गर्छ ।
यसले टाँढै रहेर सूचना हाइज्याक गर्न खोज्नेको प्रयासलाई विफल गरिदिन्छ । नेसनल इन्स्टिच्युट अफ स्ट्यान्डर्ड्स एन्ड टेक्नोलोजी (NIST) ले पनि 2016 देखि एसएमएस-आधारित 2FA प्रयोग नगर्न चेतावनी दिँदै आएको छ ।