বাড়ি Securitywatch সিকিউরিটি ওয়াচ: দ্বি-ফ্যাক্টর প্রমাণীকরণ কী আপনাকে সত্যই নিরাপদ করে?

সিকিউরিটি ওয়াচ: দ্বি-ফ্যাক্টর প্রমাণীকরণ কী আপনাকে সত্যই নিরাপদ করে?

সুচিপত্র:

ভিডিও: à´•àµ?à´Ÿàµ?à´Ÿà´¿à´ªàµ?പടàµ?ടാളം നാണകàµ?കേടായി നിർതàµ? (নভেম্বর 2024)

ভিডিও: à´•àµ?à´Ÿàµ?à´Ÿà´¿à´ªàµ?പടàµ?ടാളം നാണകàµ?കേടായി നിർതàµ? (নভেম্বর 2024)
Anonim

এই সপ্তাহে, আমি দ্বি-ফ্যাক্টর প্রমাণীকরণ (2 এফএ) সম্পর্কে অন্য প্রশ্নটি মোকাবেলার জন্য আমার তলাবিহীন মেলব্যাগে আবার খনন করছি। এটি এমন একটি বিষয় যা আমি আগে ছুঁয়েছি, তবে আমি এ সম্পর্কে যে প্রশ্নগুলি পেয়েছি সেগুলির পরিমাণ এবং স্বাতন্ত্র্যতা বিবেচনা করে, এটি স্পষ্টতই একটি ইস্যু যা অনেক লোকই ভাবছে। যেহেতু আমি 2 এফএ হিসাবে দেখি, সম্ভবত, অনলাইনে নিরাপদ থাকার জন্য নিয়মিত লোকেরা যে একক সেরা জিনিসটি করতে পারে, তাই আমি এ সম্পর্কে অবিরাম কথা বলার চেয়ে বেশি আনন্দিত।

আজকের প্রশ্নটি টেডের কাছ থেকে এসেছে, যারা 2 এফএ সিস্টেমগুলি আসলেই ভেঙে ফেলা হচ্ছে কিনা তা জানতে চেয়ে লিখেছিলেন। দয়া করে নোট করুন যে টেডের চিঠিটি সংক্ষিপ্ততার জন্য সম্পাদিত হয়েছে। টেড 2 টি এফএতে আমার আরও কিছু লেখার উল্লেখ করে তার বার্তাটি শুরু করে।

আপনি লিখেছেন "একবার আপনি নিজের সুরক্ষা কীটি নিবন্ধন করে নিলে, আপনার কী হারিয়ে গেলে বা অ্যাক্সেস করতে না পারলে এসএমএস পাসকোডগুলি ব্যাকআপ বিকল্প হবে।" যদি এটি সত্য হয় তবে এই ডিভাইসটি 2 এফএসএস এসএমএস কোডের চেয়ে আরও সুরক্ষিত কেন? যেমনটি আপনি লিখেছেন, "তবে ফোনগুলি চুরি করা যায় এবং সিম-জ্যাকিং আপাতদৃষ্টিতে আমাদের এখন চিন্তিত হওয়া উচিত" "
গুগলকে বলছেন যে তারা আপনি যে, সুরক্ষা কী হারিয়েছেন এবং আপনার চুরি হওয়া / জ্যাকড ফোনে একটি এসএমএস কোড প্রেরণ করা দরকার তা Google কে বলতে বাধা দেওয়ার কী আছে? যদি আমি এটি সঠিকভাবে বুঝতে পারি তবে এই ডিভাইসটি 2 এফএসএস এসএমএস পাঠ্যের চেয়ে বেশি সুরক্ষিত নয়। এটি অনেক বেশি সুবিধাজনক, এটি অবশ্যই নিশ্চিত, তবে কীভাবে এটি আরও সুরক্ষিত তা দেখতে আমি ব্যর্থ।
এই সমস্ত কিসের ফলাফলটি এই যে সুরক্ষা কীটি আপনার সুরক্ষা বাড়িয়ে তুলবে, তবে কেবল আপনি এটি ব্যবহারের সম্ভাবনা বেশি কারণ এটি 2 এফএএর চেয়ে সহজাত অধিক সুরক্ষিত নয়? আমি কী মিস করছি?

আপনি কিছু মিস করছেন না, টেড। প্রকৃতপক্ষে, আপনি অনলাইনে প্রমাণীকরণের আশেপাশে প্রচুর সুরক্ষা অন্তর্ভুক্ত একটি মৌলিক বিষয়টি গ্রহণে স্মার্ট হন: তাদের অ্যাকাউন্টগুলি পুনরুদ্ধার করা অসম্ভব করে না দিয়ে আপনি কীভাবে সুরক্ষিতভাবে যাচাই করবেন?

2 এফএ এর বুনিয়াদি

প্রথমে কিছু বেসিক কভার করা যাক। দ্বি-গুণক প্রমাণীকরণ বা 2 এফএ একটি সুরক্ষা ধারণা যেখানে আপনাকে সম্ভাব্য তিনজনের একটি তালিকা থেকে আপনাকে পরিচয় প্রমাণের দুটি প্রমাণ উপস্থাপন করতে হবে, যাকে ফ্যাক্টর বলা হয়।

  • আপনি জানেন এমন কিছু, যেমন একটি পাসওয়ার্ড।
  • আপনার কাছে কিছু রয়েছে যেমন একটি ফোন।
  • আপনি যেমন কিছু হন যেমন আপনার আঙুলের ছাপ।

ব্যবহারিক ভাষায়, 2FA এর প্রায়শই দ্বিতীয় কোনও জিনিস যা আপনি কোনও পাসওয়ার্ড প্রবেশ করানোর পরে কোনও সাইট বা পরিষেবাতে সাইন ইন করার জন্য করেন। পাসওয়ার্ডটি প্রথম ফ্যাক্টর এবং দ্বিতীয়টি হ'ল কোনও বিশেষ কোড সহ আপনার ফোনে একটি এসএমএস বার্তা পাঠানো হতে পারে, বা আইফোনে অ্যাপলের ফেসআইডি ব্যবহার করতে পারে। ধারণাটিটি হ'ল যে কোনও পাসওয়ার্ডটি অনুমান করা বা চুরি করা যেতে পারে, কোনও আক্রমণকারী আপনার পাসওয়ার্ড এবং আপনার দ্বিতীয় ফ্যাক্টর উভয়ই পেতে পারে এমন সম্ভাবনা কম।

তার চিঠিতে টেড বিশেষত হার্ডওয়্যার 2 এফএ কী সম্পর্কে জিজ্ঞাসা করছেন। ইউবিকোর ইউবিকি সিরিজ সম্ভবত সর্বাধিক পরিচিত বিকল্প, তবে এটি একমাত্র বিকল্প থেকে দূরে। গুগলের নিজস্ব টাইটান সিকিউরিটি কী রয়েছে এবং নাইট্রোকি একটি ওপেন-সোর্স কী অফার করে, যার নাম মাত্র দুটি।

ব্যবহারিক সমস্যা

কোনও সুরক্ষা ব্যবস্থা নিখুঁত নয় এবং 2 এফএও আলাদা নয়। গুগলের অ্যাকাউন্ট সুরক্ষা টিমের প্রোডাক্ট ম্যানেজমেন্টের নেতৃত্ব গুয়েমি কিম ঠিকই উল্লেখ করেছেন যে আমরা অ্যাকাউন্ট পুনরুদ্ধার এবং 2 এফএর জন্য নির্ভর করি এমন অনেকগুলি সিস্টেম ফিশিংয়ের জন্য সংবেদনশীল। এই স্থানে খারাপ লোকেরা আপনাকে ব্যক্তিগত তথ্য প্রবেশের জন্য প্রতারিত করতে ভুয়া সাইটগুলি ব্যবহার করে।

একজন চালাক আক্রমণকারী আপনার ফোনটিকে রিমোট অ্যাক্সেস ট্রোজান দ্বারা সংক্রামিতভাবে সংক্রামিত করতে পারে যা তাদের আপনার ডিভাইসে প্রেরিত এসএমএস যাচাইকরণ কোডগুলি দেখতে বা এমনকি বিরতি দেওয়ার অনুমতি দেয়। অথবা তারা আপনাকে গুগল প্রমাণীকরণকারীর মতো অ্যাপ্লিকেশন থেকে উত্পন্ন এককালীন কোড প্রবেশ করতে প্ররোচিত করার জন্য একটি বিশ্বাসযোগ্য ফিশিং পৃষ্ঠা তৈরি করতে পারে। এমনকি আমার কাগজের ব্যাকআপ কোডগুলির বিকল্পটিও কোনও ফিশিং সাইট দ্বারা বাধা দেওয়া যেতে পারে যা আমাকে একটি কোড প্রবেশ করায় বোকা বানিয়েছিল।

সর্বাধিক বহিরাগত আক্রমণগুলির মধ্যে একটি হ'ল সিম জ্যাকিং, যেখানে কোনও আক্রমণকারী আপনার সিম কার্ডটি ক্লোন করে বা আপনার ফোন সংস্থাকে আপনার সিম কার্ডটি নিবন্ধভুক্ত করার উদ্দেশ্যে চালিত করে, যাতে আপনার এসএমএস বার্তাগুলি আটকাতে পারে। এই দৃশ্যে, আক্রমণকারী খুব কার্যকরভাবে আপনার ছদ্মবেশ তৈরি করতে পারে, যেহেতু তারা আপনার ফোন নম্বরটিকে তাদের নিজস্ব হিসাবে ব্যবহার করতে পারে।

না-বহিরাগত আক্রমণটি হ'ল পুরানো ক্ষতি এবং চুরি। যদি আপনার ফোনে আপনার ফোন বা অ্যাপ্লিকেশনটি যদি আপনার প্রাথমিক প্রমাণীকরণকারী হয় এবং আপনি এটি হারাতে থাকেন তবে এটি মাথা ব্যথার কারণ হয়ে দাঁড়াবে। হার্ডওয়্যার কীগুলির ক্ষেত্রেও এটি একই। যদিও ইউবিকো ইউবিকির মতো হার্ডওয়্যার সুরক্ষা কীগুলি ভাঙ্গা শক্ত, তবে তারা খুব সহজেই হারাতে পারে।

ইউবিকো ইউবিকি সিরিজ 5 বিভিন্ন বিভিন্ন কনফিগারেশনে আসে।

অ্যাকাউন্ট পুনরুদ্ধারের সমস্যা

টেড তার চিঠিতে যা উল্লেখ করেছে তা হ'ল অনেকগুলি সংস্থার জন্য আপনাকে একটি হার্ডওয়্যার সুরক্ষা কী ছাড়াও দ্বিতীয় 2 এফএ পদ্ধতি সেট আপ করতে হবে। গুগলের উদাহরণস্বরূপ, আপনাকে এসএমএস ব্যবহার করা, সংস্থার প্রমাণীকরণকারী অ্যাপ্লিকেশন ইনস্টল করা বা আপনার অ্যাকাউন্ট যাচাই করা Google এর কাছ থেকে পুশ বিজ্ঞপ্তিগুলি পেতে আপনার ডিভাইসটিকে তালিকাভুক্ত করা প্রয়োজন requires আপনার ব্যবহৃত অন্য 2 এফএ বিকল্পের ব্যাকআপ হিসাবে আপনার এই তিনটি বিকল্পের মধ্যে কমপক্ষে একটির প্রয়োজন রয়েছে Google যেমন গুগলের টাইটান কীগুলি।

এমনকি যদি আপনি দ্বিতীয় সুরক্ষা কীটিকে ব্যাকআপ হিসাবে নথিভুক্ত করেন, তবুও আপনাকে এসএমএস, গুগল প্রমাণীকরণকারী, বা বিজ্ঞপ্তিগুলি সক্রিয় করতে হবে। উল্লেখযোগ্যভাবে, আপনি যদি গুগলের উন্নত সুরক্ষা প্রোগ্রামটি ব্যবহার করতে চান তবে একটি দ্বিতীয় কী নথিভুক্ত করা প্রয়োজন।

একইভাবে, টুইটারের জন্যও প্রয়োজন হয় আপনি একটি hardwareচ্ছিক হার্ডওয়্যার সুরক্ষা কী ছাড়াও এসএমএস কোড বা একটি প্রমাণীকরণকারী অ্যাপ্লিকেশন ব্যবহার করুন। দুর্ভাগ্যক্রমে, টুইটার আপনাকে একবারে একটি করে সুরক্ষা কী লিখতে দেয়।

টেড উল্লেখ করেছেন যে, এই বিকল্প পদ্ধতিগুলি নিজের দ্বারা সুরক্ষা কী ব্যবহার করার চেয়ে প্রযুক্তিগতভাবে কম সুরক্ষিত। আমি কেবল অনুমান করতে পারি যে কেন এই সিস্টেমগুলি এভাবে প্রয়োগ করা হয়েছিল, তবে আমি সন্দেহ করি যে তারা তাদের গ্রাহকরা সর্বদা তাদের অ্যাকাউন্টগুলিতে অ্যাক্সেস করতে পারে তা নিশ্চিত করতে চান। এসএমএস কোড এবং প্রমাণীকরণকারী অ্যাপ্লিকেশনগুলি সময়-পরীক্ষামূলক বিকল্প যা মানুষের পক্ষে বোঝা সহজ এবং অতিরিক্ত ডিভাইস কেনার প্রয়োজন হয় না। এসএমএস কোডগুলি ডিভাইস চুরির সমস্যাটিও সমাধান করে। আপনি যদি আপনার ফোনটি হারিয়ে ফেলেন বা এটি চুরি হয়ে যায়, আপনি এটিকে দূর থেকে লক করতে পারেন, এটির সিম কার্ডটি অননুমোদিত করতে পারেন এবং অনলাইনে ফিরে আসতে এসএমএস কোড পেতে পারে এমন একটি নতুন ফোন পেতে পারেন।

ব্যক্তিগতভাবে, আমি একাধিক বিকল্প উপলব্ধ থাকতে চাই কারণ আমি সুরক্ষার বিষয়ে উদ্বিগ্ন থাকাকালীন আমি নিজেও জানি এবং জানি যে আমি নিয়মিত জিনিসগুলি হারাতে বা ভাঙ্গা করি। আমি জানি যে লোকেরা 2 এফএ এর আগে কখনও ব্যবহার করেনি তারা যদি 2 এফএ ব্যবহার করে তবে তাদের নিজের অ্যাকাউন্ট থেকে লকড খুঁজে পাওয়া নিয়ে খুব উদ্বিগ্ন।

2 এফএ আসলে খুব ভাল

যে কোনও সুরক্ষা ব্যবস্থার ত্রুটিগুলি বোঝা সর্বদা গুরুত্বপূর্ণ, তবে এটি সিস্টেমটিকে অকার্যকর করে না। যদিও 2 এফএর দুর্বলতা রয়েছে, এটি অত্যন্ত সফল হয়েছে।

আবার, আমাদের কেবল গুগলে সন্ধান করতে হবে। সংস্থাটির অভ্যন্তরীণভাবে হার্ডওয়্যার 2 এফএ কীগুলি ব্যবহারের প্রয়োজন ছিল এবং ফলাফলগুলি তাদের পক্ষে কথা বলে। গুগল কর্মীদের সফল অ্যাকাউন্ট নেওয়া কার্যকরভাবে অদৃশ্য হয়ে গেছে। এটি বিশেষত বিবেচনা করে গুরুত্বপূর্ণ যে গুগল কর্মীরা, প্রযুক্তি শিল্পের মধ্যে তাদের অবস্থান এবং (অনুমিত) সম্পদ, লক্ষ্যবস্তু আক্রমণগুলির জন্য প্রধান attacks আক্রমণকারীরা আক্রমণে নির্দিষ্ট ব্যক্তিদের টার্গেট করতে দুর্দান্ত প্রচেষ্টা ব্যয় করে। এটি বিরল এবং আক্রমণকারীটির যথেষ্ট তহবিল এবং ধৈর্য থাকলে সাধারণত সফল হয়।

গুগল টাইটান সুরক্ষা কী বান্ডলে ইউএসবি-এ এবং ব্লুটুথ কীগুলি অন্তর্ভুক্ত রয়েছে।

এখানে সাবধানতাটি হ'ল গুগলের জন্য নির্দিষ্ট ধরণের 2 এফএ: হার্ডওয়্যার সুরক্ষা কীগুলি দরকার। এগুলি অন্যান্য 2 এফএ স্কিমগুলির তুলনায় ফিশ করা বা অন্যথায় বাধা দেওয়া খুব কঠিন বলে সুবিধা রয়েছে। কেউ কেউ অসম্ভব বলতে পারে তবে আমি টাইটানিকের কী হয়েছে তা দেখেছি এবং আরও ভাল করে জানি।

তবুও, 2 এফএসএস এসএমএস কোড বা প্রমাণীকরণকারী টোকেনগুলি বাধা দেওয়ার জন্য পদ্ধতিগুলি মোটামুটি বহিরাগত এবং সত্যই ভাল স্কেল করে না। এর অর্থ তারা আপনার মতো গড়পড়তা গড়পড়তা ব্যক্তি হিসাবে যত দ্রুত সম্ভব এবং সহজেই কিছু অর্থোপার্জনের চেষ্টা করছেন, এমন গড়পড়তা অপরাধী ব্যবহার করার সম্ভাবনা নেই।

টেডের বক্তব্য: হার্ডওয়্যার সুরক্ষা কীগুলি সর্বাধিক সুরক্ষিত উপায় যা আমরা এখনও 2 এফএ করতে দেখেছি। এগুলি ফিশ করা খুব শক্ত এবং আক্রমণ করা খুব কঠিন, যদিও তারা তাদের সহজাত দুর্বলতাগুলি ছাড়াই নয়। তদুপরি, 2 এফএ হার্ডওয়্যার কীগুলি কিছুটা ডিগ্রিতে ভবিষ্যতে প্রমাণিত। অনেক সংস্থাগুলি এসএমএস কোড থেকে সরে চলেছে এবং কিছু কিছু এমনকি পাসওয়ার্ডবিহীন লগইনও গ্রহণ করেছে যা FIDO2 স্ট্যান্ডার্ড ব্যবহার করে এমন হার্ডওয়্যার 2FA কীগুলির উপর পুরোপুরি নির্ভর করে। আপনি যদি এখন একটি হার্ডওয়্যার কী ব্যবহার করছেন, তবে একটি ভাল সুযোগ রয়েছে আপনি আগত বছর ধরে সুরক্ষিত থাকবেন।

নাইট্রোকি ফিডো ইউ 2 এফ উন্মুক্ত উত্স সুরক্ষার প্রতিশ্রুতি দেয়।

  • দ্বি-ফ্যাক্টর প্রমাণীকরণ: কার কাছে এটি রয়েছে এবং কীভাবে এটি সেট আপ করবেন দ্বি-কারখানার প্রমাণীকরণ: কার কাছে এটি রয়েছে এবং কীভাবে এটি সেট আপ করবেন
  • গুগল: দ্বি-ফ্যাক্টরকে মারতে পারে এমন ফিশিং আক্রমণ বেড়েছে গুগল: দ্বি-ফ্যাক্টরকে মারতে পারে এমন ফিশিং আক্রমণ বাড়ছে
  • সিকিউরিটিওয়াচ: দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথে কীভাবে লক করা যায় না সিকিউরিটিওয়াচ: দ্বি-ফ্যাক্টর প্রমাণীকরণের সাথে কীভাবে লকড আউট করবেন না

হার্ডওয়্যার 2 এফএ কীগুলি যেমন নিরাপদ তেমনি বৃহত্তর বাস্তুতন্ত্রের জন্য আপনাকে অকারণে আপনার অ্যাকাউন্ট থেকে লক করা থেকে দূরে রাখতে কিছুটা আপস করা দরকার। 2 এফএর একটি প্রযুক্তি হওয়া দরকার যা লোকেরা আসলে ব্যবহার করে, অন্যথায় এটি কোনও কিছুরই মূল্য নয়।

পছন্দটি দেওয়া, আমি মনে করি বেশিরভাগ লোকেরা অ্যাপ এবং এসএমএস ভিত্তিক 2 এফএ বিকল্পগুলি ব্যবহার করবে কারণ তারা সেটআপ করা সহজ এবং কার্যকরভাবে বিনামূল্যে। এগুলি সেরা সম্ভাব্য বিকল্প নাও হতে পারে তবে বেশিরভাগ লোকের জন্য এগুলি খুব ভাল কাজ করে। এটি শীঘ্রই পরিবর্তিত হতে পারে, তবে এখন যে গুগল আপনাকে Android 7.0 বা তার পরে একটি হার্ডওয়্যার সুরক্ষা কী হিসাবে চালিত একটি মোবাইল ডিভাইস ব্যবহার করতে দেয়।

এর সীমাবদ্ধতা সত্ত্বেও, অ্যান্টিভাইরাস থেকে গ্রাহক সুরক্ষার জন্য 2 এফএ সম্ভবত একক সেরা জিনিস। এটি ঝরঝরে এবং কার্যকরভাবে কিছু সবচেয়ে মারাত্মক আক্রমণ প্রতিরোধ করে, সমস্ত কিছু মানুষের জীবনে খুব বেশি জটিলতা না যুক্ত করে। তবে আপনি 2 এফএ ব্যবহার করার সিদ্ধান্ত নিয়েছেন, এমন একটি পদ্ধতি বেছে নিন যা আপনার পক্ষে অর্থপূর্ণ হয়। সামান্য-কম-দুর্দান্ত-এফএএফ স্বাদ ব্যবহারের চেয়ে 2 এফএ ব্যবহার না করা অনেক বেশি ক্ষতিকর।

সিকিউরিটি ওয়াচ: দ্বি-ফ্যাক্টর প্রমাণীকরণ কী আপনাকে সত্যই নিরাপদ করে?