ধন্যবাদ টমি মাইস্ক এবং তালাল হজ বাকরি of @mysk_co এই নিবন্ধের পিছনে প্রেরণা এবং তথ্যের জন্য। দুজনেই নিজেদেরকে "দুই মহাদেশে দুইজন iOS ডেভেলপার এবং মাঝে মাঝে নিরাপত্তা গবেষক" হিসেবে বর্ণনা করেন। অন্য কথায়, যদিও সাইবারসিকিউরিটি তাদের মূল ব্যবসা নয়, তারা তাই করছে যা আমরা চাই সব প্রোগ্রামাররা করবে: অ্যাপ্লিকেশন বা অপারেটিং সিস্টেমের নিরাপত্তা বৈশিষ্ট্যগুলিকে মঞ্জুর করে নিচ্ছেন না, কিন্তু বাস্তব জীবনে এই বৈশিষ্ট্যগুলি কীভাবে কাজ করে তার উপর তাদের নিজস্ব চোখ রাখা, যাতে অন্য লোকেদের ভুল এবং অনুমানের উপর ট্রিপিং এড়ানো যায়।
উপরের বৈশিষ্ট্যযুক্ত চিত্রটি তাদের একটি টুইটের উপর ভিত্তি করে তৈরি করা হয়েছে, যা আপনি নীচে সম্পূর্ণ দেখতে পাচ্ছেন।
সম্প্রতি টুইটার ঘোষিত এটি মনে করে না যে এসএমএস-ভিত্তিক দ্বি-ফ্যাক্টর প্রমাণীকরণ (2FA) যথেষ্ট নিরাপদ।
হাস্যকরভাবে, যেমনটি আমরা গত সপ্তাহে ব্যাখ্যা করেছি, আপনি যে ব্যবহারকারীদের জন্য এই পরিবর্তনটি সবচেয়ে গুরুত্বপূর্ণ বলে মনে করেন তারা হলেন "শীর্ষ স্তরের" টুইটার ব্যবহারকারীরা - যারা তাদের আরও বেশি নাগাল দিতে এবং তাদের অনুমতি দেওয়ার জন্য একটি Twitter ব্লু ব্যাজের জন্য অর্থ প্রদান করে লম্বা টুইট পাঠান...
…কিন্তু সেই পে-টু-প্লে ব্যবহারকারীদের তাদের 2FA কোড পাওয়ার জন্য টেক্সট মেসেজ (SMSes) ব্যবহার করার অনুমতি দেওয়া হবে।
আমাদের বাকিদের পরবর্তী তিন সপ্তাহের মধ্যে (শুক্রবার 2-2023-03 এর আগে) একটি ভিন্ন ধরণের 17FA সিস্টেমে যেতে হবে।
এর অর্থ হল এমন একটি অ্যাপ ব্যবহার করা যা এককালীন কোডগুলির একটি গোপন "বীজযুক্ত" ক্রম তৈরি করে, অথবা একটি হার্ডওয়্যার টোকেন ব্যবহার করে, যেমন একটি Yubikey, যা আপনার পরিচয় প্রমাণের ক্রিপ্টোগ্রাফিক অংশ করে।
হার্ডওয়্যার কী বা অ্যাপ-ভিত্তিক কোড?
হার্ডওয়্যার নিরাপত্তা কীগুলির প্রতিটির দাম প্রায় $100 (আমরা আপনার আঙ্গুলের ছাপের উপর ভিত্তি করে বায়োমেট্রিক সুরক্ষা সহ একটি ডিভাইসের জন্য Yubikey-এর আনুমানিক মূল্য অনুসারে যাচ্ছি), অথবা আপনি যদি স্পর্শের মাধ্যমে সক্রিয় করা যেতে পারে এমন কম-সুরক্ষিত সাজানোর জন্য যেতে ইচ্ছুক হন তবে $50 কারো আঙুলের।
তাই আমরা অনুমান করতে ইচ্ছুক যে যে কেউ ইতিমধ্যেই একটি হার্ডওয়্যার সুরক্ষা টোকেনে বিনিয়োগ করেছে তারা উদ্দেশ্যমূলকভাবে এটি করেছে এবং এটিকে ঘরে বসে অলসভাবে রেখে দেওয়ার জন্য কেউ কিনবে না।
সেইজন্য ব্যবহারকারীরা ইতিমধ্যেই এসএমএস-ভিত্তিক বা অ্যাপ-ভিত্তিক 2FA থেকে দূরে সরে যাবে।
কিন্তু বাকি সবাই, আমরা অনুমান করছি, তিনটি শিবিরের একটিতে পড়ে:
- যারা মোটেও 2FA ব্যবহার করেন না, কারণ লগ ইন করার সময় তারা এটিকে একটি অপ্রয়োজনীয় অতিরিক্ত ঝামেলা বলে মনে করে।
- যারা এসএমএস-ভিত্তিক 2FA চালু করেছেন, কারণ এটি সহজ, ব্যবহার করা সহজ এবং যেকোনো মোবাইল ফোনের সাথে কাজ করে।
- যারা অ্যাপ ভিত্তিক 2FA এর জন্য গেছেন, কারণ তারা তাদের ফোন নম্বর হস্তান্তর করতে অনিচ্ছুক ছিল, অথবা ইতিমধ্যেই টেক্সট-মেসেজ 2FA থেকে এগিয়ে যাওয়ার সিদ্ধান্ত নিয়েছে।
আপনি যদি দ্বিতীয় শিবিরে থাকেন, আমরা আশা করছি আপনি শুধু 2FA ছেড়ে দেবেন না এবং এটিকে আপনার টুইটার অ্যাকাউন্টে শেষ হতে দেবেন না, তবে পরিবর্তে সেই ছয়-সংখ্যার কোডগুলি তৈরি করতে একটি অ্যাপে স্যুইচ করবেন।
এবং আপনি যদি প্রথম শিবিরে থাকেন, আমরা আশা করছি যে টুইটারের পরিবর্তনের চারপাশে প্রচার এবং বিতর্ক (এটি কি সত্যিই নিরাপত্তার কারণে করা হয়েছিল, নাকি কেবল এতগুলি এসএমএস পাঠানোর অর্থ সঞ্চয় করার জন্য?) আপনার প্রয়োজনীয় অনুপ্রেরণা হবে। নিজে 2FA গ্রহণ করুন।
অ্যাপ ভিত্তিক 2FA কিভাবে করবেন?
আপনি যদি আইফোন ব্যবহার করেন, তাহলে iOS-এ তৈরি পাসওয়ার্ড ম্যানেজার আপনার জন্য 2FA কোড তৈরি করতে পারে, যতগুলি ওয়েবসাইট আপনার পছন্দের জন্য, তাই আপনাকে কোনও অতিরিক্ত সফ্টওয়্যার ইনস্টল করতে হবে না।
অ্যান্ড্রয়েডে, গুগল তার নিজস্ব প্রমাণীকরণকারী অ্যাপ অফার করে, যাকে আশ্চর্যজনকভাবে বলা হয় Google প্রমাণকারী, যা আপনি Google Play থেকে পেতে পারেন।
Google-এর অ্যাড-অন অ্যাপ অ্যাপলের মতোই প্রয়োজনীয় এককালীন লগইন কোড সিকোয়েন্স তৈরি করার কাজ করে সেটিংস > পাসওয়ার্ড iOS এ ইউটিলিটি।
কিন্তু আমরা অনুমান করতে যাচ্ছি যে অন্তত কিছু লোক, এবং সম্ভবত অনেক, পুরোপুরি যুক্তিসঙ্গতভাবে নিজেদেরকে জিজ্ঞাসা করবে, "এখানে অন্য কোন প্রমাণীকরণকারী অ্যাপ রয়েছে, তাই আমাকে আমার সমস্ত সাইবার নিরাপত্তা ডিম অ্যাপলের (বা গুগলের) ঝুড়িতে রাখতে হবে না?"
অনেক স্বনামধন্য কোম্পানি (সোফোস সহ, যাইহোক, উভয়ের জন্য আইওএস এবং অ্যান্ড্রয়েড) বিনামূল্যে, বিশ্বস্ত, প্রমাণীকরণকারী ইউটিলিটিগুলি সরবরাহ করুন যা আপনার যা প্রয়োজন ঠিক তা করবে, কোনো ফ্রিল, ফি বা বিজ্ঞাপন ছাড়াই, যদি আপনি বোধগম্যভাবে একটি 2FA অ্যাপ ব্যবহার করতে চান যা আপনার অপারেটিং সিস্টেমের মতো একই বিক্রেতার কাছ থেকে আসে না।
প্রকৃতপক্ষে, আপনি কেবল অনুসন্ধান করে প্রমাণীকরণকারীদের একটি বিস্তৃত, এবং প্রলোভনশীল, পরিসর খুঁজে পেতে পারেন প্রমাণীকরণকারী অ্যাপ্লিকেশন গুগল প্লে বা অ্যাপ স্টোরে।
পছন্দের জন্য নষ্ট হয়ে গেছে
সমস্যাটি হল এই ধরনের অ্যাপের সংখ্যা অসম্ভব, সম্ভবত এমনকী অসম্ভব, যেগুলো অ্যাপল এবং গুগলের অফিসিয়াল "প্রাচীরওয়ালা বাগান"-এ তাদের গ্রহণযোগ্যতার দ্বারা দৃশ্যত গুণমানের জন্য অনুমোদিত।
আসলে নেকেড সিকিউরিটির বন্ধুরা @mysk_co শুধু আমাদের ইমেল করেছেন যে তারা নিজেরাই প্রমাণীকরণকারী অ্যাপগুলি খুঁজছেন, এবং তারা যা খুঁজে পেয়েছেন তাতে চমকে ও হতবাক।
@mysk_co-এর সহ-প্রতিষ্ঠাতা টমি মাইস্ক, এটি একটি ইমেলে স্পষ্টভাবে এবং সহজভাবে লিখেছেন:
টুইটার 2FA এর জন্য এসএমএস পদ্ধতি বন্ধ করার পরে আমরা বেশ কয়েকটি প্রমাণীকরণকারী অ্যাপ বিশ্লেষণ করেছি। আমরা দেখেছি অনেক স্ক্যাম অ্যাপ প্রায় একই রকম। তারা সকলেই ব্যবহারকারীদের $40/বছরের জন্য একটি বার্ষিক সাবস্ক্রিপশন নেওয়ার জন্য প্রতারণা করে। আমরা প্রায় অভিন্ন বাইনারি আছে যে চার ধরা. আমরা এমন একটি অ্যাপও ধরেছি যা প্রতিটি স্ক্যান করা QR কোড ডেভেলপারের Google অ্যানালিটিক্স অ্যাকাউন্টে পাঠায়।
যেহেতু টমি আপনাকে নিজেকে জিজ্ঞাসা করার জন্য আমন্ত্রণ জানিয়েছেন, তার পোস্ট করা টুইটগুলির একটি সিরিজে, এমনকি একজন সুপরিচিত ব্যবহারকারী কীভাবে জানতে পারে যে "এর জন্য তাদের শীর্ষ অনুসন্ধান ফলাফলপ্রমাণীকরণকারী অ্যাপ্লিকেশন"আসলে সব খরচ এড়াতে খুব এক হতে পারে?
এই বিষয়শ্রেণীতে অন্তর্ভুক্ত ইমপোস্টার অ্যাপগুলি, মনে হয়, সাধারণত আপনাকে প্রতি বছর $20 থেকে $40 এর মধ্যে যেকোন জায়গায় তাদের অর্থ প্রদান করার চেষ্টা করে - একটি নামী হার্ডওয়্যার 2FA টোকেন কিনতে যতটা খরচ হবে যা বছরের পর বছর ধরে চলবে এবং প্রায় নিশ্চিতভাবেই আরও নিরাপদ হবে। :
এই সন্দেহজনক প্রমাণীকরণকারী অ্যাপগুলির মধ্যে অনেকগুলি ব্যবহারকারীদের প্রতারণা করার জন্য এই কৌশলটি ব্যবহার করে। প্রথম লঞ্চের পরে আপনি স্বাগত উইজার্ডটি শেষ করার পরে, আপনি অ্যাপ-মধ্যস্থ কেনাকাটার দৃশ্য পাবেন। এবং দৃশ্যটি খারিজ করার জন্য x বোতামটি কয়েক সেকেন্ড পরে উপস্থিত হয় (উপরের ডান কোণায়)# অ্যাপস্টোর pic.twitter.com/sgxEo5ZwF0
— মাইস্ক 🇨🇦🇩🇪 (@mysk_co) ফেব্রুয়ারী 20, 2023
আমরা যখন অ্যাপ স্টোরে অনুসন্ধান করার চেষ্টা করেছি, উদাহরণস্বরূপ, আমাদের শীর্ষস্থানীয় হিট ছিল একটি বর্ণনা সহ একটি অ্যাপ যা নিরক্ষরদের সাথে সীমাবদ্ধ ছিল (আমরা আশা করছি যে এই স্তরের অ-পেশাদারিত্বের এই স্তরটি এখনই অন্তত কিছু লোককে দূরে সরিয়ে দেবে), একটি দ্বারা তৈরি একটি সুপরিচিত চীনা মোবাইল ফোন ব্র্যান্ডের নাম ব্যবহার করে কোম্পানি।
অ্যাপটির আপাত দরিদ্র মানের প্রেক্ষিতে (যদিও এটি অ্যাপ স্টোরে এটি তৈরি করেছে, ভুলে যাবেন না), আমাদের প্রথম চিন্তা ছিল যে আমরা বাইরে এবং বাইরে কোম্পানির নাম লঙ্ঘন দেখছি।
আমরা আশ্চর্য হয়েছি যে অনুমান করা প্রতারকরা এমন একটি নামে একটি Apple কোড সাইনিং সার্টিফিকেট অর্জন করতে সক্ষম হয়েছে যা আমরা মনে করি না যে তাদের ব্যবহারের অধিকার আছে।
আমরা বুঝতে পারার আগে আমাদের কোম্পানির নাম দুবার পড়তে হয়েছিল যে একটি অক্ষর একটি চেহারার মতো চরিত্রের জন্য অদলবদল করা হয়েছে, এবং আমরা ভাল পুরানো "টাইপোসক্যাটিং" নিয়ে কাজ করছি, বা একজন আইনজীবী যা বলতে পারেন বন্ধ ক্ষণস্থায়ী - ইচ্ছাকৃতভাবে এমন একটি নাম বাছাই করা যা আক্ষরিকভাবে মেলে না কিন্তু এক নজরে আপনাকে বিভ্রান্ত করার জন্য দৃশ্যত যথেষ্ট মিল।
যখন আমরা Google Play-তে অনুসন্ধান করি, তখন শীর্ষস্থানীয় একটি অ্যাপ ছিল যেটি @mysk_co ইতিমধ্যেই টুইট করেছিল, সতর্ক করে দিয়েছিল যে এটি শুধুমাত্র অর্থই দাবি করে না যা আপনাকে ব্যয় করতে হবে না, বরং চুরিও করে। বীজ or শুরুর গোপনীয়তা আপনি 2FA এর জন্য সেট আপ করা অ্যাকাউন্টগুলির মধ্যে।
গোপন স্ট্রিং মনে রাখবেন 6QYW4P6KWALGCUWM
QR কোড এবং TOTP নম্বরে 660680
যা আপনি নীচের চিত্রগুলিতে দেখতে পাচ্ছেন, কারণ আমরা পরে তাদের সাথে আবার দেখা করব:
বীজ কেন গোপন
ব্যাখ্যা করতে.
বেশিরভাগ অ্যাপ-ভিত্তিক 2FA কোড TOTP নামে পরিচিত একটি ক্রিপ্টোগ্রাফিক প্রোটোকলের উপর নির্ভর করে, সংক্ষেপে সময়-ভিত্তিক ওয়ান-টাইম পাসওয়ার্ড, উল্লিখিত RFC 6238.
অ্যালগরিদম আশ্চর্যজনকভাবে সহজ, আপনি নীচের নমুনা লুয়া কোড থেকে দেখতে পারেন:
প্রক্রিয়া এই মত কাজ করে:
A. বীজকে রূপান্তর করুন, বা "প্রাথমিক গোপনীয়তা", মূলত আপনাকে একটি বেস 32-এনকোডেড স্ট্রিং (টেক্সট হিসাবে বা একটি QR কোডের মাধ্যমে), বাইটের একটি স্ট্রিং [লাইন 4] হিসাবে সরবরাহ করুন৷
খ. ভগ্নাংশ উপেক্ষা করে বর্তমান "ইউনিক্স যুগের সময়" কে 30 সেকেন্ডে ভাগ করুন। ইউনিক্স সময় হল 1970-01-01T00:00:00Z [5] থেকে সেকেন্ডের সংখ্যা।
C. এই সংখ্যাটি সংরক্ষন করুন, যা কার্যকরভাবে একটি অর্ধ-মিনিটের কাউন্টার যা 1970 সালে শুরু হয়েছিল, একটি 64-বিট (8-বাইট) বড়-এন্ডিয়ান স্বাক্ষরবিহীন পূর্ণসংখ্যা হিসাবে একটি মেমরি বাফারে [6]।
D. HMAC-SHA8-এর একটি পুনরাবৃত্তি ব্যবহার করে 1-বাইট বাফারটি হ্যাশ করুন যার মূল 32-ডিকোডেড প্রারম্ভিক বীজটি কী হিসাবে [7]।
E. 160-বিট HMAC-SHA1 ডাইজেস্টের শেষ বাইটটি বের করুন (20 এর মধ্যে 20 বাইট), এবং তারপরে 16 এবং 0 এর মধ্যে একটি সংখ্যা X পেতে এর নীচের চারটি বিট (বাকীটি 15 দ্বারা ভাগ করলে) নিন [8] .
F. হ্যাশ থেকে X+1,X+2,X+3,X+4 বাইটগুলি বের করুন, অর্থাৎ প্রথম চারটি বাইট (32..1) থেকে শেষ-চার-বাট-ওয়ান বাইট পর্যন্ত 4 বিট আঁকা 16..19) [13]।
G. একটি 32-বিট বিগ-এন্ডিয়ান স্বাক্ষরবিহীন পূর্ণসংখ্যাতে রূপান্তর করুন এবং সবচেয়ে উল্লেখযোগ্য বিটকে শূন্য করুন, তাই এটি পরে স্বাক্ষরিত বা স্বাক্ষরবিহীন হিসাবে বিবেচিত হোক না কেন এটি পরিষ্কারভাবে কাজ করে [13]।
H. সেই পূর্ণসংখ্যার শেষ 6 দশমিক সংখ্যা নিন (এক মিলিয়ন দ্বারা ভাগ করলে অবশিষ্টটি গণনা করুন) এবং TOTP কোড পেতে এটিকে অগ্রণী শূন্য দিয়ে মুদ্রণ করুন [17]।
অন্য কথায়, যেকোন অ্যাকাউন্টের জন্য শুরুর বীজ, অথবা আপনি উপরে @mysk_co-এর টুইটে লেবেলযুক্ত গোপনীয়তা দেখতে পাচ্ছেন, সেই অ্যাকাউন্টের জন্য আপনার প্রয়োজন হবে এমন প্রতিটি TOTP কোড তৈরি করার চাবিকাঠি।
কোড ব্যবহারের জন্য, বীজ সুরক্ষিত করার জন্য
আপনি লগইন করার সময় শুধুমাত্র সেই অদ্ভুতভাবে গণনা করা ছয়-সংখ্যার কোডগুলি টাইপ করার তিনটি কারণ রয়েছে এবং সরাসরি বীজটি আবার কখনও ব্যবহার করবেন না (বা এমনকি দেখতে হবে):
- আপনি যেকোন কোড থেকে সেগুলি তৈরি করতে ব্যবহৃত কী থেকে পিছনের দিকে কাজ করতে পারবেন না। তাই TOTP কোডগুলিকে আটকানো, এমনকি বড় সংখ্যায়ও, কোনো অতীত বা ভবিষ্যতের লগন কোডগুলিতে আপনার পথকে বিপরীত-ইঞ্জিনিয়ার করতে সাহায্য করে না।
- আপনি ক্রমানুসারে বর্তমান কোড থেকে পরবর্তী কোডে কাজ করতে পারবেন না। প্রতিটি কোড স্বাধীনভাবে গণনা করা হয়, বীজের উপর ভিত্তি করে, তাই আজ একটি কোড আটকানো আপনাকে ভবিষ্যতে লগইন করতে সাহায্য করবে না। কোডগুলো তাই ওয়ান-টাইম পাসওয়ার্ড হিসেবে কাজ করে।
- আপনি একটি ওয়েব পৃষ্ঠা বা পাসওয়ার্ড ফর্ম বীজ নিজেই টাইপ করতে হবে. একটি আধুনিক মোবাইল ফোনে, তাই এটি নিরাপদ স্টোরেজ চিপে ঠিক একবার সংরক্ষণ করা যেতে পারে (কখনও কখনও বলা হয় ছিটমহল) ডিভাইসে, যেখানে একজন আক্রমণকারী যে আপনার ফোন চুরি করে যখন এটি লক বা বন্ধ থাকে তখন এটি বের করতে পারে না।
সহজ কথায়, একটি জেনারেটেড কোড এককালীন ব্যবহারের জন্য নিরাপদ, কারণ বীজ কোড থেকে পিছনের দিকে ঝুলানো যায় না।
তবে বীজটি চিরকালের জন্য গোপন রাখতে হবে, কারণ যেকোন কোড, 1970 এর শুরু থেকে মহাবিশ্বের সম্ভাব্য তাপ মৃত্যুর অনেক পরে পর্যন্ত (263 ভবিষ্যতের সেকেন্ড, বা প্রায় 0.3 ট্রিলিয়ন বছর), বীজ থেকে প্রায় তাত্ক্ষণিকভাবে তৈরি করা যেতে পারে।
অবশ্যই, আপনি যে পরিষেবাটিতে লগ ইন করছেন তার জন্য আপনার বীজের একটি অনুলিপি প্রয়োজন যাতে আপনি একটি কোড সরবরাহ করেছেন যা আপনি লগ ইন করার চেষ্টা করছেন সেই সময়ের সাথে মেলে।
তাই আপনি প্রয়োজন অন্য প্রান্তে সার্ভার বিশ্বাস আপনার বীজ সুরক্ষিত রাখার জন্য অতিরিক্ত যত্ন নেওয়ার জন্য, এমনকি (বা সম্ভবত বিশেষত) যদি পরিষেবাটি লঙ্ঘন হয়।
আপনি প্রয়োজন আপনি আপনার শেষে ব্যবহার করছেন অ্যাপ্লিকেশন বিশ্বাস কখনই আপনার বীজ প্রকাশ করবেন না।
এর মানে ঐ বীজ প্রদর্শন না কারও কাছে (একটি সঠিকভাবে কোড করা অ্যাপ এমনকি আপনি এটিতে প্রবেশ করার পরে বা এটি স্ক্যান করার পরে আপনাকে বীজটি দেখাবে না, কারণ আপনাকে এটিকে আবার দেখার দরকার নেই) বীজ ছাড়ছে না অন্য কোনো অ্যাপে, তাদের লিখছি না ফাইলগুলি লগ করতে, সেগুলিকে ব্যাকআপে যুক্ত করতে বা ডিবাগ আউটপুটে অন্তর্ভুক্ত করতে…
… এবং খুব, খুব স্পষ্টভাবে নেটওয়ার্কের মাধ্যমে আপনার কোন বীজ কখনও প্রেরণ করবেন না.
প্রকৃতপক্ষে, এমন একটি অ্যাপ যা আপনার বীজগুলিকে জঙ্গলের যেকোনো জায়গায় সার্ভারে আপলোড করে তা হয় এতটাই অক্ষম যে আপনার অবিলম্বে এটি ব্যবহার করা বন্ধ করা উচিত, বা এতটাই অবিশ্বস্ত যে আপনি এটিকে সাইবার অপরাধমূলক ম্যালওয়্যার হিসাবে বিবেচনা করবেন৷
কি করো?
আপনি যদি সম্প্রতি একটি প্রমাণীকরণকারী অ্যাপ ধরে থাকেন, বিশেষ করে যদি আপনি টুইটারের সাম্প্রতিক ঘোষণার ফলে তাড়াহুড়ো করে এটি করেন, আপনার পছন্দ পর্যালোচনা করুন আপনি এখন যা জানেন তার আলোকে।
যদি আপনাকে এটির জন্য একটি সাবস্ক্রিপশন দিতে বাধ্য করা হয়; যদি অ্যাপটি বিজ্ঞাপনে ভরা থাকে; যদি অ্যাপটি জীবনের চেয়ে বড় বিপণন এবং উজ্জ্বল রিভিউ নিয়ে আসে তবে এমন একটি কোম্পানি থেকে আসে যা আপনি কখনও শোনেননি; অথবা যদি আপনি কেবল দ্বিতীয় চিন্তাভাবনা করে থাকেন, এবং এটি সম্পর্কে কিছু ঠিক মনে হয় না…
…একটি মূলধারার অ্যাপে স্যুইচ করার কথা বিবেচনা করুন যা আপনার IT টিম ইতিমধ্যেই অনুমোদন করেছে, অথবা যে কেউ টেকনিক্যাল, যাকে আপনি জানেন এবং বিশ্বাস করেন, তার পক্ষে প্রমাণ দিতে পারেন।
উপরে উল্লিখিত হিসাবে, অ্যাপলের একটি অন্তর্নির্মিত 2FA কোড জেনারেটর রয়েছে সেটিংস > পাসওয়ার্ড, এবং Google এর নিজস্ব আছে Google প্রমাণকারী প্লে স্টোরে অ্যাপ।
আপনার প্রিয় নিরাপত্তা বিক্রেতার সম্ভবত একটি বিনামূল্যের, নো-বিজ্ঞাপন, নো-উত্তেজনা কোড জেনারেটর অ্যাপ রয়েছে যা আপনিও ব্যবহার করতে পারেন। (সোফোস আছে একটি স্বতন্ত্র প্রমাণীকরণকারী iOS এর জন্য, এবং উভয়ের জন্য মোবাইল অ্যাপের জন্য বিনামূল্যে Sophos Intercept X-এ একটি প্রমাণীকরণকারী উপাদান আইওএস এবং অ্যান্ড্রয়েড.)
আপনি যদি প্রমাণীকরণকারী অ্যাপটি পরিবর্তন করার সিদ্ধান্ত নেন কারণ আপনি যেটি পেয়েছেন তার সম্পর্কে আপনি নিশ্চিত নন, তাহলে নিশ্চিত হন সমস্ত 2FA বীজ পুনরায় সেট করুন সমস্ত অ্যাকাউন্টের জন্য যা আপনি এটিকে অর্পণ করেছেন।
(আসলে, যদি পুরানো অ্যাপে আপনার বীজ রপ্তানি করার বিকল্প থাকে যাতে আপনি সেগুলিকে একটি নতুন অ্যাপে পড়তে পারেন, আপনি এখন জানেন যে শুধুমাত্র আপনার সেই বৈশিষ্ট্যটি ব্যবহার করা উচিত নয়, তবে অ্যাপগুলি পরিবর্তন করার সিদ্ধান্তটিও ভাল ছিল। এক!)
নিজের জন্য ঝুঁকির পরিমাণ নির্ধারণ করা
আপনার অ্যাকাউন্টটি 2FA বীজ দ্বারা সুরক্ষিত রেখে যাওয়ার ঝুঁকি যা আপনি মনে করেন যে অন্য কেউ ইতিমধ্যেই জানেন (বা বের করতে সক্ষম)।
আমরা আগে উপস্থাপিত TOTP অ্যালগরিদম ব্যবহার করে এবং টমি মাইস্কের "গোপন" স্ট্রিংটি [এ] খাওয়ানোর মাধ্যমে আপনি নিজের কাছে এটি প্রমাণ করতে পারেন কিচ্কিচ্ উপরে এবং [B] যে সময় তিনি স্ক্রিনশট নিয়েছেন, যেটি ছিল 7:36pm মধ্য ইউরোপীয় সময় 2023-02-25 তারিখে, UTC থেকে এক ঘন্টা এগিয়ে (জুলু সময়, নির্দেশিত Z
নীচের টাইমস্ট্যাম্পে)।
চুরি করা বীজ হল: 6QYW4P6KWALGCUWM জুলু সময় ছিল: 2023-02-25T18:36:00Z যা হল: ইউনিক্স যুগে 1,677,350,160 সেকেন্ড
আপনি যেমন আশা করতে পারেন, এবং আপনি উপরের টুইটের চিত্রগুলির সাথে মেলে, কোডটি নিম্নলিখিত আউটপুট তৈরি করে:
$luax totp-mysk.lua টমি মাইস্কের কোড ছিল: 660680
বিখ্যাত ভিডিওগেম মেমে এটি রাখতে পারে: তার সমস্ত TOTP কোড আমাদের অন্তর্গত।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- উত্স: https://nakedsecurity.sophos.com/2023/02/27/beware-rogue-2fa-apps-in-app-store-and-google-play-dont-get-hacked/
- 1
- 2FA
- 7
- a
- সক্ষম
- সম্পর্কে
- উপরে
- পরম
- গ্রহণযোগ্যতা
- হিসাব
- অ্যাকাউন্টস
- অর্জন
- আইন
- অ্যাড-অন
- অতিরিক্ত
- পোষ্যপুত্র গ্রহণ করা
- আপনার নিকটস্থ বিজ্ঞাপন !
- পর
- এগিয়ে
- অ্যালগরিদম
- সব
- ইতিমধ্যে
- যদিও
- বৈশ্লেষিক ন্যায়
- এবং
- অ্যান্ড্রয়েড
- ঘোষণা
- যে কেউ
- কোথাও
- অ্যাপ্লিকেশন
- অ্যাপ স্টোর
- আপাত
- আপেল
- আবেদন
- অনুমোদিত
- অ্যাপস
- কাছাকাছি
- প্রবন্ধ
- প্রমাণীকরণ
- লেখক
- গাড়ী
- পটভূমি চিত্র
- ব্যাক-আপ
- ভিত্তি
- বাস্কেটবল
- কারণ
- আগে
- পিছনে
- নিচে
- মধ্যে
- হুঁশিয়ার
- বায়োমেট্রিক
- বিট
- নীল
- নীল ব্যাজ
- সীমান্ত
- পাদ
- কেনা
- তরবার
- বাফার
- নির্মিত
- বিল্ট-ইন
- ব্যবসায়
- বোতাম
- কেনা
- গণনা করা
- কল
- নামক
- শিবির
- পেতে পারি
- যত্ন
- বিভাগ
- ধরা
- কেন্দ্র
- মধ্য
- অবশ্যই
- শংসাপত্র
- পরিবর্তন
- চরিত্র
- চীনা
- চিপ
- সহ - প্রতিষ্ঠাতা
- কোড
- রঙ
- আসা
- কোম্পানি
- কোম্পানি
- উপাদান
- বিবেচনা
- রূপান্তর
- মূল
- কোণ
- মূল্য
- খরচ
- Counter
- পথ
- আবরণ
- নির্মিত
- ক্রিপ্টোগ্রাফিক
- বর্তমান
- সাইবার অপরাধী
- সাইবার নিরাপত্তা
- ডিলিং
- মরণ
- বিতর্ক
- সিদ্ধান্ত নিয়েছে
- রায়
- স্পষ্টভাবে
- দাবি
- বর্ণনা করা
- বিবরণ
- ডেভেলপারদের
- যন্ত্র
- DID
- বিভিন্ন
- পরিপাক করা
- ডিজিটের
- সরাসরি
- খারিজ করা
- প্রদর্শন
- প্রদর্শক
- বিভক্ত
- না
- করছেন
- Dont
- প্রতি
- পূর্বে
- কার্যকরীভাবে
- ডিম
- পারেন
- ইমেইল
- যথেষ্ট
- প্রবিষ্ট
- ন্যস্ত
- কাল
- বিশেষত
- ইউরোপিয়ান
- এমন কি
- কখনো
- প্রতি
- সবাই
- ঠিক
- উদাহরণ
- আশা করা
- ব্যাখ্যা করা
- ব্যাখ্যা
- রপ্তানি
- ব্যাপক
- অতিরিক্ত
- নির্যাস
- চোখ
- ঝরনা
- বিখ্যাত
- বৈশিষ্ট্য
- সুগঠনবিশিষ্ট
- বৈশিষ্ট্য
- প্রতিপালন
- ফি
- কয়েক
- ব্যক্তিত্ব
- নথি পত্র
- আবিষ্কার
- আঙ্গুল
- অঙ্গুলাঙ্ক
- শেষ
- প্রথম
- অনুসরণ
- চিরতরে
- ফর্ম
- পাওয়া
- টুকরার ন্যায়
- বিনামূল্যে
- শুক্রবার
- বন্ধুদের
- থেকে
- সম্পূর্ণ
- ভবিষ্যৎ
- সাধারণত
- উত্পাদন করা
- উত্পন্ন
- উত্পন্ন
- উৎপাদিত
- উত্পাদক
- পাওয়া
- দাও
- এক পলক দেখা
- Go
- চালু
- ভাল
- গুগল
- Google Analytics
- গুগল প্লে
- Google এর
- মঞ্জুর
- হাত
- হার্ডওয়্যারের
- হার্ডওয়্যার সুরক্ষা
- কাটা
- জমিদারি
- শুনেছি
- উচ্চতা
- সাহায্য
- আঘাত
- হোম
- প্রত্যাশী
- বাতাসে ভাসিতে থাকা
- কিভাবে
- HTTPS দ্বারা
- অভিন্ন
- পরিচয়
- ভাবমূর্তি
- চিত্র
- অবিলম্বে
- গুরুত্বপূর্ণ
- অভাবনীয়
- in
- অন্যান্য
- সুদ্ধ
- অন্তর্ভুক্ত
- স্বাধীনভাবে
- তথ্য
- লঙ্ঘন
- ইনস্টল
- পরিবর্তে
- অর্পিত
- আমন্ত্রণ
- আইওএস
- আইফোন
- IT
- পুনরাবৃত্তির
- নিজেই
- কাজ
- রাখা
- পালন
- চাবি
- কী
- জানা
- পরিচিত
- বড়
- গত
- শুরু করা
- আইনজীবী
- নেতৃত্ব
- ত্যাগ
- ছোড়
- চিঠি
- উচ্চতা
- জীবন
- আলো
- সম্ভবত
- লাইন
- লক
- দীর্ঘ
- আর
- খুঁজছি
- প্রণীত
- মেনস্ট্রিম
- ম্যালওয়্যার
- পরিচালক
- অনেক
- মার্জিন
- Marketing
- ম্যাচ
- সর্বোচ্চ প্রস্থ
- মানে
- সম্মেলন
- মেমে
- স্মৃতি
- উল্লিখিত
- বার্তা
- পদ্ধতি
- হতে পারে
- মিলিয়ন
- ভুল
- মোবাইল
- মোবাইল অ্যাপ
- মোবাইল ফোন
- আধুনিক
- টাকা
- অধিক
- সেতু
- পদক্ষেপ
- নগ্ন সুরক্ষা
- নাম
- কাছাকাছি
- প্রয়োজন
- চাহিদা
- তবু
- নতুন
- নতুন অ্যাপ
- পরবর্তী
- সাধারণ
- সংখ্যা
- সংখ্যার
- সুস্পষ্ট
- অনিয়মিত
- অফার
- কর্মকর্তা
- পুরাতন
- ONE
- অপারেটিং
- অপারেটিং সিস্টেম
- পছন্দ
- ক্রম
- মূলত
- অন্যান্য
- নিজের
- অংশ
- পাসওয়ার্ড
- পাসওয়ার্ড ম্যানেজার
- পাসওয়ার্ড
- গত
- পল
- বেতন
- পরিশোধ
- সম্প্রদায়
- জনগণের
- সম্ভবত
- ফোন
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- খেলা
- খেলার দোকান
- দরিদ্র
- অবস্থান
- পোস্ট
- পোস্ট
- উপস্থাপন
- মূল্য
- প্রিন্ট
- সম্ভবত
- সমস্যা
- প্রক্রিয়া
- প্রোগ্রামাররা
- রক্ষিত
- রক্ষা
- প্রোটোকল
- প্রমাণ করা
- প্রদান
- প্রদত্ত
- প্রচার
- ক্রয়
- উদ্দেশ্য
- করা
- QR কোড
- গুণ
- পরিসর
- নাগাল
- পড়া
- বাস্তব
- বাস্তব জীবন
- কারণে
- গ্রহণ করা
- সাম্প্রতিক
- সম্প্রতি
- সম্মানজনক
- গবেষকরা
- বিশ্রাম
- ফল
- প্রকাশ করা
- পর্যালোচনা
- ঝুঁকি
- নিরাপদ
- একই
- সংরক্ষণ করুন
- কেলেঙ্কারি
- কেলেঙ্কারী অ্যাপস
- সার্চ
- অনুসন্ধানের
- দ্বিতীয়
- সেকেন্ড
- গোপন
- নিরাপদ
- নিরাপত্তা
- নিরাপত্তা টোকেন
- বীজ
- বীজ
- মনে হয়
- পাঠানোর
- ক্রম
- ক্রম
- সার্ভারের
- সেবা
- সেট
- বিভিন্ন
- বিস্মিত
- সংক্ষিপ্ত
- উচিত
- প্রদর্শনী
- সাইন ইন
- গুরুত্বপূর্ণ
- স্বাক্ষর
- অনুরূপ
- সহজ
- কেবল
- থেকে
- অধিবেশন
- খুদেবার্তা
- So
- সফটওয়্যার
- কঠিন
- কিছু
- কেউ
- কিছু
- কোথাও
- নিদিষ্ট
- ব্যয় করা
- শুরু
- শুরু
- শুরু হচ্ছে
- স্টিলস
- অপহৃত
- থামুন
- বন্ধ
- স্টোরেজ
- দোকান
- চাঁদা
- এমন
- সরবরাহকৃত
- অনুমিত
- বিস্মিত
- সন্দেহজনক
- করা SVG
- সুইচ
- সুইচ
- পদ্ধতি
- গ্রহণ করা
- গ্রহণ
- টীম
- কারিগরী
- সার্জারির
- তাদের
- নিজেদের
- অতএব
- চিন্তা
- তিন
- সময়
- টাইমস্ট্যাম্প
- থেকে
- আজ
- টোকেন
- অত্যধিক
- শীর্ষ
- টিওটিপি
- স্পর্শ
- রূপান্তর
- স্বচ্ছ
- আচরণ করা
- দশ সহস্রের ত্রিঘাত
- সত্য
- আস্থা
- বিশ্বস্ত
- পরিণত
- কিচ্কিচ্
- টুইট
- দ্বিগুণ
- টুইটার
- বোধগম্য
- বিশ্ব
- UNIX
- URL টি
- us
- ব্যবহার
- ব্যবহারকারী
- ব্যবহারকারী
- ইউটিসি
- ইউটিলিটি
- উপযোগ
- বিক্রেতা
- যাচাই
- মাধ্যমে
- চেক
- সতর্কবার্তা
- ওয়েব
- ওয়েবসাইট
- সপ্তাহান্তিক কাল
- সপ্তাহ
- স্বাগত
- সুপরিচিত
- কি
- কিনা
- যে
- হু
- প্রস্থ
- ইচ্ছা
- ইচ্ছুক
- মধ্যে
- ছাড়া
- শব্দ
- হয়া যাই ?
- কাজ
- would
- লেখা
- X
- বছর
- বছর
- আপনি
- আপনার
- নিজেকে
- zephyrnet
- শূন্য