2FA ऑथेंटिकेटर के लिए Google के नए क्लाउड बैकअप के साथ जोखिम

Google ने अपने लोकप्रिय ऑथेंटिकेटर ऐप के लिए एक अपडेट जारी किया है जो क्लाउड स्टोरेज में “वन-टाइम कोड” स्टोर करता है, जिससे उन उपयोगकर्ताओं को दो-कारक प्रमाणीकरण (2FA) तक पहुंच बनाए रखने की अनुमति मिलती है, जिन्होंने अपने ऑथेंटिकेटर के साथ डिवाइस खो दिया है।

ब्लॉग में 24 अप्रैल मेल अपडेट की घोषणा करते हुए, Google ने कहा कि एक बार उपयोग किए जाने वाले टोकन उपयोगकर्ता के Google खाते में संग्रहीत किए जाएंगे, यह दावा करते हुए कि उपयोगकर्ता “लॉक होने से बेहतर रूप से सुरक्षित रहेंगे” और इससे “सुविधा और सुरक्षा” बढ़ेगी।

26 अप्रैल को रेडिट मेल R/Cryptocurrency फोरम के लिए, Redditor u/pojut ने लिखा है कि जबकि अपडेट उन लोगों की मदद करता है जो डिवाइस को अपने ऑथेंटिकेटर को लागू करके खो देते हैं, यह उन्हें हैकर्स के लिए अधिक असुरक्षित भी बनाता है।

उपयोगकर्ता के Google खाते से जुड़े क्लाउड स्टोरेज में इसे सुरक्षित करने का मतलब है कि जो कोई भी उपयोगकर्ता के Google पासवर्ड तक पहुंच प्राप्त करता है, उसके पास प्रमाणीकरणकर्ता से जुड़े अपने ऐप्स तक पूरी पहुंच होगी।

उपयोगकर्ता ने सुझाव दिया कि एसएमएस 2FA समस्या का एक संभावित तरीका एक पुराने फोन का उपयोग करना है जो विशेष रूप से आपके प्रमाणीकरण एप्लिकेशन को रखने के लिए उपयोग किया जाता है।

मैं यह भी दृढ़ता से सुझाव दूंगा कि, यदि संभव हो, तो आपके पास एक अलग डिवाइस (शायद एक पुराना फोन या पुराना टैबलेट) होना चाहिए जिसका जीवन में एकमात्र उद्देश्य आपकी पसंद के प्रमाणीकरण ऐप के लिए उपयोग किया जाना है। उस पर कुछ और न रखें, इसे किसी भी अंतिम चीज़ के लिए उपयोग करें”।

इसी तरह, साइबर सुरक्षा डेवलपर्स पकड़ा इसके लिए लिया ट्विटर Google के 2FA के क्लाउड-आधारित समाधान के साथ आने वाली अतिरिक्त जटिलताओं के बारे में चेतावनी देने के लिए।

यह उन उपयोगकर्ताओं के लिए एक प्रमुख चिंता का विषय हो सकता है जो क्रिप्टो एक्सचेंज खातों और अन्य वित्त संबंधी सेवाओं में लॉग इन करने के लिए 2FA के लिए Google प्रमाणक का उपयोग करते हैं।

अन्य 2FA सुरक्षा मुद्दे

सबसे आम 2FA हैक एक प्रकार की पहचान धोखाधड़ी है जिसे “सिम स्वैप” के रूप में जाना जाता है, जहां स्कैमर्स टेलीकॉम प्रदाता को अपने सिम कार्ड के साथ नंबर जोड़ने के लिए धोखा देकर फोन नंबर पर नियंत्रण हासिल कर लेते हैं।

इसका एक हालिया उदाहरण यूएस-आधारित क्रिप्टोक्यूरेंसी एक्सचेंज कॉइनबेस के खिलाफ दायर एक मुकदमे में देखा जा सकता है, जहां एक ग्राहक ने दावा किया कि उसने इस तरह के हमले का शिकार होने के बाद “अपनी बचत का 90%” खो दिया।

विशेष रूप से, कॉइनबेस स्वयं एसएमएस के बजाय 2FA के लिए प्रमाणक ऐप्स के उपयोग को प्रोत्साहित करता है, एक विवरण SMS 2FA प्रमाणीकरण का “कम से कम सुरक्षित” रूप है।

संबंधित: विदेशी संपत्ति नियंत्रण कार्यालय उन ओटीसी व्यापारियों को मंजूरी दे रहा है जिन्होंने उत्तर कोरिया में लाजर समूह को क्रिप्टोकरेंसी स्थानांतरित की थी

Reddit पर, उपयोगकर्ताओं ने मुकदमे पर चर्चा की और SMS 2FA पर प्रतिबंध लगाने का सुझाव दिया, हालांकि एक Reddit उपयोगकर्ता ने नोट किया कि यह वर्तमान में एकमात्र प्रमाणीकरण विकल्प है जो कई फिनटेक और क्रिप्टो-संबंधित सेवाओं के लिए उपलब्ध है:

“दुर्भाग्य से, मेरे द्वारा उपयोग की जाने वाली कई सेवाएँ अभी तक ऑथेंटिकेटर 2FA की पेशकश नहीं करती हैं। लेकिन मुझे निश्चित रूप से लगता है कि एसएमएस दृष्टिकोण असुरक्षित साबित हुआ है और इसे प्रतिबंधित किया जाना चाहिए।”

ब्लॉकचैन सिक्योरिटी फर्म CertiK ने SMS 2FA का उपयोग करने के खतरों के बारे में चेतावनी दी है, सुरक्षा विशेषज्ञ जेसी लेक्लेरे ने कॉइनटेग्राफ को बताया कि “SMS 2FA कुछ नहीं से बेहतर है, लेकिन यह वर्तमान में 2FA का सबसे व्यापक रूप से उपयोग किया जाने वाला रूप है।”

पत्रिका: 10 में से 4 नकली एनएफटी बिक्री: लॉन्ड्रिंग ट्रेडिंग के संकेतों को पहचानना सीखें