SMS-आधारित टू-फ्याक्टर प्रमाणीकरण (2FA) कम्प्युटर प्रणालीहरूमा प्रयोगकर्ता प्रमाणीकरणको सुरक्षा बढाउन व्यापक रूपमा प्रयोग गरिने विधि हो। यसमा एसएमएस मार्फत एक पटकको पासवर्ड (ओटीपी) प्राप्त गर्न मोबाइल फोनको प्रयोग समावेश छ, जुन प्रयोगकर्ताले प्रमाणीकरण प्रक्रिया पूरा गर्न प्रविष्टि गर्दछ। जबकि SMS-आधारित 2FA ले परम्परागत प्रयोगकर्ता नाम र पासवर्ड प्रमाणीकरणको तुलनामा सुरक्षाको अतिरिक्त तह प्रदान गर्दछ, यो यसको सीमितता बिना छैन।
SMS-आधारित 2FA को मुख्य सीमाहरू मध्ये एक सिम स्वैपिङ आक्रमणहरूको लागि यसको जोखिम हो। सिम स्वैपिङ आक्रमणमा, आक्रमणकारीले मोबाइल नेटवर्क अपरेटरलाई आक्रमणकारीको नियन्त्रणमा रहेको सिम कार्डमा पीडितको फोन नम्बर स्थानान्तरण गर्न मनाउँछ। एक पटक आक्रमणकारीले पीडितको फोन नम्बर नियन्त्रण गरेपछि, तिनीहरूले OTP समावेश SMS अवरोध गर्न सक्छन् र 2FA लाई बाइपास गर्न प्रयोग गर्न सक्छन्। यो आक्रमण सामाजिक ईन्जिनियरिङ् प्रविधिहरू मार्फत वा मोबाइल नेटवर्क अपरेटरको प्रमाणीकरण प्रक्रियाहरूमा कमजोरीहरूको शोषण गरेर सहजीकरण गर्न सकिन्छ।
SMS-आधारित 2FA को अर्को सीमा SMS सन्देशको अवरोधको लागि सम्भाव्यता हो। सेलुलर सञ्जालहरूले सामान्यतया भ्वाइस र डाटा संचारको लागि इन्क्रिप्शन प्रदान गर्दा, एसएमएस सन्देशहरू प्राय: सादा पाठमा पठाइन्छ। यसले मोबाइल नेटवर्क र प्रापकको यन्त्र बीचको सञ्चारलाई छिर्न सक्ने आक्रमणकारीहरूद्वारा अवरोध गर्नको लागि तिनीहरूलाई कमजोर बनाउँछ। एक पटक अवरोध गरेपछि, OTP आक्रमणकर्ताले प्रयोगकर्ताको खातामा अनधिकृत पहुँच प्राप्त गर्न प्रयोग गर्न सक्छ।
यसबाहेक, एसएमएस-आधारित 2FA प्रयोगकर्ताको मोबाइल उपकरणको सुरक्षामा निर्भर गर्दछ। यदि यन्त्र हराएको वा चोरी भयो भने, यन्त्रको कब्जामा रहेको आक्रमणकारीले OTP समावेश भएका SMS सन्देशहरू सजिलै पहुँच गर्न सक्छ। थप रूपमा, यन्त्रमा स्थापित मालवेयर वा मालिसियस अनुप्रयोगहरूले 2FA प्रक्रियाको सुरक्षामा सम्झौता गर्दै SMS सन्देशहरूलाई रोक्न वा हेरफेर गर्न सक्छ।
SMS-आधारित 2FA ले असफलताको सम्भावित एकल बिन्दु पनि परिचय गराउँछ। यदि मोबाइल नेटवर्कले सेवा आउटेज अनुभव गर्दछ वा यदि प्रयोगकर्ता कमजोर सेलुलर कभरेज भएको क्षेत्रमा छ भने, OTP को डेलिभरी ढिलो हुन सक्छ वा पूर्ण रूपमा असफल हुन सक्छ। यसले प्रयोगकर्ताहरूलाई उनीहरूको खाताहरू पहुँच गर्न असक्षम हुन सक्छ, जसले निराशा र उत्पादकताको सम्भावित हानि निम्त्याउन सक्छ।
यसबाहेक, SMS-आधारित 2FA फिसिङ आक्रमणहरूको लागि अतिसंवेदनशील छ। आक्रमणकारीहरूले विश्वासयोग्य नक्कली लगइन पृष्ठहरू वा मोबाइल एपहरू सिर्जना गर्न सक्छन् जसले प्रयोगकर्ताहरूलाई उनीहरूको प्रयोगकर्ता नाम, पासवर्ड, र एसएमएस मार्फत प्राप्त OTP प्रविष्ट गर्न प्रेरित गर्दछ। यदि प्रयोगकर्ताहरू यी फिसिङ प्रयासहरूको सिकार भएमा, तिनीहरूको प्रमाण र OTP आक्रमणकारीद्वारा कब्जा गर्न सकिन्छ, जसले तिनीहरूलाई प्रयोगकर्ताको खातामा अनाधिकृत पहुँच प्राप्त गर्न प्रयोग गर्न सक्छ।
जबकि SMS-आधारित 2FA ले परम्परागत प्रयोगकर्ता नाम र पासवर्ड प्रमाणीकरणको तुलनामा सुरक्षाको अतिरिक्त तह प्रदान गर्दछ, यो यसको सीमितता बिना छैन। यसमा सिम स्वापिङ आक्रमणहरू, SMS सन्देशहरूको अवरोध, प्रयोगकर्ताको मोबाइल उपकरणको सुरक्षामा निर्भरता, विफलताको सम्भावित एकल बिन्दु, र फिसिङ आक्रमणहरूको संवेदनशीलता समावेश छ। संगठनहरू र प्रयोगकर्ताहरूले यी सीमितताहरू बारे सचेत हुनुपर्छ र SMS-आधारित 2FA सँग सम्बन्धित जोखिमहरू कम गर्न वैकल्पिक प्रमाणीकरण विधिहरू, जस्तै एप-आधारित प्रमाणीकरणकर्ताहरू वा हार्डवेयर टोकनहरू विचार गर्नुपर्दछ।
अन्य भर्खरका प्रश्न र उत्तरहरू सम्बन्धमा प्रमाणीकरण:
- प्रयोगकर्ता प्रमाणीकरणमा सम्झौता गरिएका प्रयोगकर्ता उपकरणहरूसँग सम्भावित जोखिमहरू के हुन्?
- UTF संयन्त्रले कसरी प्रयोगकर्ता प्रमाणीकरणमा म्यान-इन-द-मिडल आक्रमणहरू रोक्न मद्दत गर्छ?
- प्रयोगकर्ता प्रमाणीकरणमा चुनौती-प्रतिक्रिया प्रोटोकलको उद्देश्य के हो?
- कसरी सार्वजनिक कुञ्जी क्रिप्टोग्राफीले प्रयोगकर्ता प्रमाणीकरणलाई बढाउँछ?
- पासवर्डहरूको लागि केही वैकल्पिक प्रमाणीकरण विधिहरू के हुन्, र तिनीहरूले कसरी सुरक्षा बढाउँछन्?
- पासवर्डहरू कसरी सम्झौता गर्न सकिन्छ, र पासवर्ड-आधारित प्रमाणीकरणलाई बलियो बनाउन के उपायहरू लिन सकिन्छ?
- प्रयोगकर्ता प्रमाणीकरणमा सुरक्षा र सुविधा बीचको ट्रेड-अफ के हो?
- प्रयोगकर्ता प्रमाणीकरणमा केही प्राविधिक चुनौतीहरू के के छन्?
- Yubikey र सार्वजनिक कुञ्जी क्रिप्टोग्राफी प्रयोग गरेर प्रमाणीकरण प्रोटोकलले सन्देशहरूको प्रामाणिकता कसरी प्रमाणित गर्छ?
- प्रयोगकर्ता प्रमाणीकरणका लागि युनिभर्सल दोस्रो फ्याक्टर (U2F) उपकरणहरू प्रयोग गर्ने फाइदाहरू के हुन्?
प्रमाणीकरणमा थप प्रश्न र उत्तरहरू हेर्नुहोस्