close

ह्याकरहरूबाट बच्ने तरिका टुएफए र एमएफए, कसरी गर्ने प्रयोग ?

टेकपाना टेकपाना

कात्तिक २७, २०८२ १४:२६

ह्याकरहरूबाट बच्ने तरिका टुएफए र एमएफए, कसरी गर्ने प्रयोग ?

काठमाडौँ । आजको डिजिटल युगमा केवल एक पासवर्डको भरमा अनलाइन अकाउन्ट सुरक्षित राख्नु लगभग असम्भव भइसकेको छ । साइबर खतराहरू बढ्दो क्रममा छन् र कमजोर वा चोरी भएका पासवर्डले डेटा चोरीका घटनाहरू निम्त्याउँछन् । ८१ प्रतिशत डेटा चोरी यही कारणले हुने बताइन्छ ।

यस्तो अवस्थामा अनधिकृत पहुँच रोक्नका लागि टु-फ्याक्टर अथेन्टिकेसन-टुएफए (2FA) र मल्टी-फ्याक्टर अथेन्टिकेसन-एमएफए (MFA) सुरक्षाको अपरिहार्य आधार बनेका छन् । यी सुरक्षा विधिले तपाईँको युजरनेम र पासवर्डभन्दा पर गएर सुरक्षालाई मजबुत बनाउँछन् । मल्टी-फ्याक्टर अथेन्टिकेसन अपनाउँदा तपाईँको अकाउन्ट ह्याक हुने सम्भावना ९९ प्रतिशतले कम हुन्छ ।

टुएफए र एमएफएबिचको भिन्नता

टु-फ्याक्टर अथेन्टिकेसन र मल्टी-फ्याक्टर अथेन्टिकेसन दुवैको उद्देश्य अनधिकृत पहुँच रोक्नु हो । तर तिनीहरूबिच आवश्यक अथेन्टिकेसन फ्याक्टरको सङ्ख्या फरक हुन्छ ।

अथेन्टिकेसन फ्याक्टरहरू मुख्यतः तीन प्रकारका हुन्छन् । जुन व्यक्तिको पहिचान पुष्टि गर्न प्रयोग गरिन्छ । तपाईँलाई थाहा भएको कुरा (जस्तै: पासवर्ड वा पिन), तपाईँसँग भएको कुरा (जस्तै: मोबाइल फोन, हार्डवेयर कि (Hardware key) वा सेक्युरिटी टोकन), तपाईँ जो हुनुहुन्छ त्यो (जस्तै: फिंगरप्रिन्ट (औँठाछाप), अनुहार वा रेटिना स्क्यान (बायोमेट्रिक डेटा) फ्याक्टरको रूपमा रहेका हुन्छन् । कहिले काहिँ प्रयोगकर्ताको भौगोलिक स्थान अर्थात् लोकेसनलाई चौथो फ्याक्टरको रूपमा पनि हेरिन्छ ।

विशेषता

टु-फ्याक्टर अथेन्टिकेसन (2FA)

मल्टी-फ्याक्टर अथेन्टिकेसन (MFA)

आवश्यक फ्याक्टर

यसमा ठ्याक्कै दुई फ्याक्टर हुन्छन् ।

दुई वा सोभन्दा बढी फ्याक्टर चाहिन्छ ।

सुरक्षाको स्तर

यो सुरक्षाको आधारभूत तर प्रभावकारी तह हो ।

यसले धेरै बलियो सुरक्षा ढाँचा प्रदान गर्दछ । किनभने यसले टु-फ्याक्टर अथेन्टिकेसनमा प्रयोग हुने दुईभन्दा बढी तहहरू समावेश गर्न सक्छ ।

कस्टमाइज

सामान्यतया कार्यान्वयनको सोझो प्रक्रिया, कम कस्टमाइज गर्न मिल्ने ।

जोखिम र नियमका आधारमा बायोमेट्रिक स्क्यान वा हार्डवेयर टोकन जस्ता अतिरिक्त तहहरू थपेर कस्टमाइज गर्न मिल्छ ।

सबैभन्दा बलियो विधिः हार्डवेयर सेक्युरिटी कि र पासकी 

सुरक्षा विशेषज्ञहरू मल्टी-फ्याक्टर अथेन्टिकेसनको सबैभन्दा बलियो रूपमा फिशिङ-प्रतिरोधी विधिलाई मान्छन् ।

हार्डवेयर सेक्युरिटी कि एक पोर्टेबल भौतिक यन्त्र हो (जस्तै YubiKey) । यसलाई यूएसबी पोर्टमा जोडिन्छ वा एनएफसी मार्फत ट्याप गरिन्छ ।
यसले एसिमेट्रिक कि क्रिप्टोग्राफी (asymmetric key cryptography) प्रयोग गर्दछ । जसले गर्दा ह्याकरहरूले तपाईँको पासवर्ड वा कोड चोरे पनि यसलाई फिशिङ गर्न सक्दैनन् । गुगल, फेसबुक, माइक्रोसफ्ट र ड्रपबक्स जस्ता सेवाहरूमा यसलाई राख्न सकिन्छ । गुगलले आफ्ना ५० हजार कर्मचारीका लागि पनि युबीकि प्रयोग गरेको छ ।

यसका लागि यदि तपाईँले एउटा कि हराउनुभयो भने अकाउन्टको पहुँच गुमाउनबाट जोगिन सधैँ दुई वटा कि सेट अप गर्नुपर्ने हुन्छ  ।

अर्को बलियो विधि भनेको पासकिज (Passkeys) हो । यसले पासवर्डहरूलाई हटाएर क्रिप्टोग्राफिक किहरू प्रयोग गर्दछ । जुन डिभाइससँग जोडिएका हुन्छन् । धेरै कम्पनीहरूले यसलाई सपोर्ट गर्न थालेका छन् । जसले भविष्यमा पासवर्ड र मल्टी-फ्याक्टर अथेन्टिकेसन कोड दुवैको आवश्यकतालाई कम गर्ने अपेक्षा गरिएको छ ।

सबैभन्दा लोकप्रिय विधि: अथेन्टिकेसन एप

गुगल अथेन्टिकेटर, अथी, माइक्रोसफ्ट अथेन्टिकेटर जस्ता अथेन्टिकेटर एपहरू अनलाइन सुरक्षाका लागि सबैभन्दा भरपर्दो र लोकप्रिय विकल्प हुन् ।

यी एपहरूले समयमा आधारित वन-टाइम पासवर्ड (टीओटीपी) कोडहरू सिर्जन गर्छन् । जुन सामान्यतया हरेक ३० सेकेन्डमा परिवर्तन हुन्छन् । यस्तो कोड तपाईँको डिभाइसमा लोकल रूपमा उत्पन्न हुन्छ र यसलाई इन्टरनेटको आवश्यकता पनि पर्दैन ।

तपाईँले आफ्नो अकाउन्ट सेटअप गर्दा वेबसाइटले दिएको क्यूआर कोडलाई एपले स्क्यान गरेर यसलाई सजिलै सक्रिय गर्न सक्नु हुन्छ । कोडको छोटो म्याद (३० सेकेन्ड) र इन्टरनेट बिना काम गर्ने क्षमताका कारण यो ह्याकरहरूले चोरी गर्न गाह्रो हुन्छ।

अथी, गुगल अथेन्टिकेटर र टु स्टेबल (आईओएसका लागि) जस्ता एपहरूले क्लाउड सिंक (Cloud Sync) सुविधा पनि प्रदान गर्छन् । जसले तपाईँको फोन हराएमा कोडहरू रिकभर गर्न मद्दत गर्छ ।

सुविधाजनक विधि: पुश नोटिफिकेसन

डुओ मोबाइल र माइक्रोसफ्ट, अथेन्टिकेटर तथा फेसबुक जस्ता केही एपहरूले लगइन अनुरोधलाई तपाईँको फोनमा पुश नोटिफिकेसनको रूपमा पठाउँछन् । तपाईँले कोड टाइप गर्नुको सट्टा Approve वा Deny मा ट्याप गरेर लगइन पुष्टि गर्न सक्नुहुन्छ । यो धेरै सुविधाजनक छ ।

सबैभन्दा कमजोर विधि: एसएमएस र ईमेल कोड

एसएमएस वा टेक्स्ट मेसेजमा पठाइने कोडहरू टु-फ्याक्टर अथेन्टिकेसनको सबैभन्दा धेरै मात्रामा प्रयोग हुने विधि हो । तर यो सबैभन्दा कम सुरक्षित मानिन्छ । किन भने ह्याकरहरूले सोसल इन्जिनियरिङ प्रयोग गरेरमोबाइल सेवा प्रदायकलाई झुक्याएर तपाईँको फोन नम्बर आफ्नो डिभाइसमा ट्रान्सफर गर्न सक्छन् । त्यसपछि टु-फ्याक्टर अथेन्टिकेटर कोड सिधा उनीहरूकहाँ पुग्छ ।

यस बाहेक एसएमएस मेसेजहरू इन्क्रिप्टेड हुँदैनन् र नेटवर्क प्रोटोकल (SS7) कमजोर हुन सक्छन् । जसले गर्दा ह्याकरहरूले इन्टरसेप्सन गरेर मेसेज पढ्न वा बदल्न सक्छन् । 

यदि कुनै सेवाले अथेन्टिकेटर एपको विकल्प दिँदैन भने मात्र एसएमएस प्रयोग गर्नुहोस्; अन्यथा बलियो विकल्प छान्नुहोस् ।

सुरक्षाका मुख्य चुनौती र बच्ने उपाय

टु-फ्याक्टर अथेन्टिकेसन र मल्टी-फ्याक्टर अथेन्टिकेसनले सुरक्षा बढाए पनि तिनीहरू जोखिममुक्त छैनन् । ह्याकरहरूले प्रायः मानवीय कमजोरी वा कार्यान्वयनको त्रुटिमाथि हमला गर्छन् ।

ह्याकरहरूले तपाईँको पासवर्ड पत्ता लगाएपछि उनीहरूले तपाईँलाई पटक पटक लगइन अनुरोधहरू पठाउँछन् । जसलाई पुश-बम्बिङ पनि भनिन्छ । प्रयोगकर्ता हैरान भएर वा गल्तीले Approve बटन थिच्न सक्छ, जसले ह्याकरलाई पहुँच दिन्छ ।

यसरी अनपेक्षित रूपमा वा अत्यधिक सङ्ख्यामा आएका कुनै पनि नोटिफिकेसनसँग अन्तरक्रिया नगर्नु नै राम्रो हुन्छ ।

त्यस्तै ह्याकरहरूले नक्कली वेबसाइट वा ईमेल मार्फत तपाईँलाई झुक्याएर पासवर्ड र लगइन कोड दुवै तत्कालकै समयमा चोरी गर्न सक्छन् । जसलाई एमएफए फटिग आक्रमण (MFA Fatigue Attack) भनिन्छ । 

यस्तो अवस्थामा सधैँ यूआरएल एड्रेस ध्यान दिएर जाँच गर्नुहोस् । यदि तपाईँको अकाउन्टमा टुएफए छ भने पनि फिशिङका सामान्य लक्षणहरूप्रति सचेत रहनुहोस् ।

यस बाहेक लगइन गरेपछि वेबसाइटले तपाईँको कम्प्युटरमा एउटा सेसन कुकी सेभ गर्छ । जसले तपाईँलाई लग इन गरिरहन अनुमति दिन्छ । यदि ह्याकरले यो कुकी चोरी गरेमा टुएफए बाइपास गरेर सिधै तपाईँको अकाउन्टमा पहुँच गर्न सक्छ । यस्तो ह्याकिङलाई सेसन हाइज्याकिङ (Session Hijacking) भन्ने गरिन्छ । 

यस खाले जोखिमबाट बच्न संवेदनशील जानकारी स्टोर गर्ने वेबसाइटबाट काम सकिएपछि सधैँ म्यानुअल रूपमा लग आउट गर्नुहोस् ।

बायोमेट्रिक (जस्तै फिंगरप्रिन्ट वा अनुहार) पहिचान प्रमाणीकरण गर्ने स्थायी विधि हो । यद्यपि, प्रणालीहरूले तपाईँको डिजिटल टेम्प्लेट तुलना गर्छन् । यस्तोमा हाई-रिजोलुसन फोटो वा थ्रिडी मास्क प्रयोग गरेर सेन्सरहरूलाई झुक्याउन सकिन्छ । त्यसैले बायोमेट्रिक्स प्रयोग गर्दा पनि तपाईँको डिभाइसमा बलियो पासवर्ड सेट गर्नु जरुरी हुन्छ । 

अकाउन्ट गुम्नबाट जोगिने उपाय

टुएफएले सुरक्षा बढाए पनि यदि तपाईँले आफ्नो फोन वा अथेन्टिकेटर एपको पहुँच गुमाउनुभयो भने तपाईँ आफ्नो अकाउन्टबाट स्थायी रूपमा बाहिरिन सक्नुहुन्छ ।

धेरै सेवाहरूले टुएफए सेटअप गर्दा एक पटक प्रयोग गर्न मिल्ने रिकभरी कोडहरूको सूची दिन्छन् । यी कोडहरूलाई प्रिन्ट गरेर सुरक्षित स्थानमा (जस्तै फायरप्रूफ सेफ) राख्नुहोस् वा इन्क्रिप्टेड स्प्रेडशिटमा सेभ गर्नुहोस् । यो तपाईँको अन्तिम विकल्प हो ।

वर्षमा एक वा दुई पटक आफ्नो रिकभरी रणनीति ठिकसँग काम गर्छ कि गर्दैन भनेर ड्राई रन (dry run) गर्नुहोस् । सबै अकाउन्टका लागि एउटै टुएफए विधि (जस्तै एसएमएस) मा निर्भर नहुनुहोस् । यदि एउटा विधिमा समस्या आयो भने, अर्कोले काम गर्न सक्छ ।

त्यसैले टुएफए र एमएफएलाई केवल एक पटक सेट गर्ने र बिर्सने सुरक्षा उपायको रूपमा होइन किर निरन्तर डिजिटल स्वास्थ्य दिनचर्या (digital hygiene routine) को रूपमा लिनु आवश्यक छ ।

 

पछिल्लो अध्यावधिक: कात्तिक २७, २०८२ १४:२६

टिप्पणीहरू
सम्बन्धित समाचार
नेपाली बजारमा ‘ओमोडा ई५ प्रो’ सार्वजनिक, पहिलो ५० ग्राहकलाई ४९.९९ लाखमै उपलब्ध हुने

नेपाली बजारमा ‘ओमोडा ई५ प्रो’ सार्वजनिक, पहिलो ५० ग्राहकलाई ४९.९९ लाखमै उपलब्ध हुने

मेटाले ल्यायो एआई 'बिजनेस एजेन्ट', ग्राहक व्यवस्थापनदेखि उत्पादन बिक्रीसम्म सहयोग गर्ने

मेटाले ल्यायो एआई 'बिजनेस एजेन्ट', ग्राहक व्यवस्थापनदेखि उत्पादन बिक्रीसम्म सहयोग गर्ने

सेन्सेइको टिभी किन्दा क्यासब्याकदेखि एसीसम्म जित्ने अवसर

सेन्सेइको टिभी किन्दा क्यासब्याकदेखि एसीसम्म जित्ने अवसर

एआईले बनाएकाे सुईबिनै दिन सकिने ‘युनिभर्सल’ खोपकाे सफल परीक्षण, भविष्यका महामारी पनि रोक्ने दाबी

एआईले बनाएकाे सुईबिनै दिन सकिने ‘युनिभर्सल’ खोपकाे सफल परीक्षण, भविष्यका महामारी पनि रोक्ने दाबी

ट्रेन्डिङ समाचार
पछिल्ला अपडेट