CertiK বলে যে এসএমএস হল 2FA-এর 'সবচেয়ে দুর্বল' রূপ

দুই-ফ্যাক্টর প্রমাণীকরণের একটি ফর্ম হিসাবে এসএমএস ব্যবহার করা সবসময় ক্রিপ্টো উত্সাহীদের মধ্যে জনপ্রিয়। সর্বোপরি, অনেক ব্যবহারকারী ইতিমধ্যেই তাদের ক্রিপ্টো ট্রেড করছেন বা তাদের ফোনে সামাজিক পৃষ্ঠাগুলি পরিচালনা করছেন, তাহলে কেন সংবেদনশীল আর্থিক বিষয়বস্তু অ্যাক্সেস করার সময় যাচাই করতে এসএমএস ব্যবহার করবেন না?

দুর্ভাগ্যবশত, কন আর্টিস্টরা সম্প্রতি সিম-অদলবদল বা হ্যাকারের দখলে থাকা ফোনে একজন ব্যক্তির সিম কার্ড রিরুট করার প্রক্রিয়ার মাধ্যমে নিরাপত্তার এই স্তরের নিচে চাপা পড়া সম্পদকে কাজে লাগাতে শুরু করেছে। বিশ্বব্যাপী অনেক বিচারব্যবস্থায়, টেলিকম কর্মচারীরা একটি সাধারণ পোর্টিং অনুরোধ পরিচালনা করার জন্য সরকারী আইডি, ফেসিয়াল আইডেন্টিফিকেশন বা সামাজিক নিরাপত্তা নম্বর চাইবে না।

সর্বজনীনভাবে উপলব্ধ ব্যক্তিগত তথ্য (ওয়েব 3.0 স্টেকহোল্ডারদের জন্য বেশ সাধারণ) এবং সহজেই অনুমান করা যায় এমন পুনরুদ্ধারের প্রশ্নগুলির জন্য দ্রুত অনুসন্ধানের সাথে মিলিত, ছদ্মবেশকারীরা দ্রুত একটি অ্যাকাউন্টের SMS 2FA তাদের ফোনে পোর্ট করতে পারে এবং এটি খারাপ উপায়ে ব্যবহার করা শুরু করতে পারে৷ এই বছরের শুরুতে, অনেক ক্রিপ্টো ইউটিউবার একটি সিম-সোয়াপ আক্রমণের শিকার হয়েছিল যেখানে হ্যাকাররা পোস্ট করেছিল কেলেঙ্কারী ভিডিও তাদের চ্যানেলে টেক্সট সহ দর্শকদের হ্যাকারের ওয়ালেটে টাকা পাঠাতে নির্দেশ দেয়। জুন মাসে সোলানা এনএফটি প্রকল্প ডুপিজের অফিসিয়াল টুইটার অ্যাকাউন্টটি একটি সিম-অদলবদলের মাধ্যমে হ্যাকাররা একটি নকল স্টিলথ মিন্টের লিঙ্ক টুইট করার মাধ্যমে লঙ্ঘন করেছিল।

এই বিষয়ে, Cointelegraph CertiK এর নিরাপত্তা বিশেষজ্ঞ জেসি লেক্লেরের সাথে কথা বলেছেন। ব্লকচেইন নিরাপত্তার ক্ষেত্রে একজন নেতা হিসেবে পরিচিত, CertiK 3,600টিরও বেশি প্রকল্পকে $360 বিলিয়ন মূল্যের ডিজিটাল সম্পদ সুরক্ষিত করতে সাহায্য করেছে এবং 66,000 সাল থেকে 2018টিরও বেশি দুর্বলতা শনাক্ত করেছে। Leclere যা বলতে চেয়েছিলেন তা এখানে:

"SMS 2FA কিছুর চেয়ে ভালো, কিন্তু এটি বর্তমানে ব্যবহৃত 2FA-এর সবচেয়ে ঝুঁকিপূর্ণ রূপ। এটির আবেদনটি এর ব্যবহারের সহজলভ্যতা থেকে আসে: বেশিরভাগ লোকেরা হয় তাদের ফোনে থাকে বা যখন তারা অনলাইন প্ল্যাটফর্মে লগ ইন করে তখন এটি হাতের কাছে থাকে। কিন্তু সিম কার্ড অদলবদলের ক্ষেত্রে এর দুর্বলতাকে অবমূল্যায়ন করা যাবে না।”

Leclerc ব্যাখ্যা করেছেন যে Google প্রমাণীকরণকারী, Authy বা Duo-এর মতো উৎসর্গীকৃত প্রমাণীকরণকারী অ্যাপগুলি সিম-অদলবদলের ঝুঁকি দূর করার সময় SMS 2FA-এর প্রায় সমস্ত সুবিধা প্রদান করে। ভার্চুয়াল বা eSIM কার্ডগুলি সিম-সোয়াপ-সম্পর্কিত ফিশিং আক্রমণের ঝুঁকি এড়াতে পারে কিনা জিজ্ঞাসা করা হলে, Leclerc-এর জন্য, উত্তরটি একটি পরিষ্কার না:

“একটি মনে রাখতে হবে যে সিম-সোয়াপ আক্রমণগুলি পরিচয় জালিয়াতি এবং সামাজিক প্রকৌশলের উপর নির্ভর করে। যদি একজন খারাপ অভিনেতা একটি টেলিকম ফার্মের একজন কর্মচারীকে এই ভেবে প্রতারণা করতে পারে যে তারা একটি ফিজিক্যাল সিমের সাথে সংযুক্ত একটি নম্বরের বৈধ মালিক, তাহলে তারা একটি eSIM এর জন্যও তা করতে পারে।

যদিও নিজের ফোনে সিম কার্ড লক করে এই ধরনের আক্রমণ প্রতিরোধ করা সম্ভব (টেলিকম কোম্পানিগুলিও ফোন আনলক করতে পারে), তা সত্ত্বেও লেক্লের ফিজিক্যাল সিকিউরিটি কী ব্যবহারের সোনার মান নির্দেশ করে। "এই কীগুলি আপনার কম্পিউটারের USB পোর্টে প্লাগ করে, এবং কিছু মোবাইল ডিভাইসের সাথে সহজে ব্যবহারের জন্য কাছাকাছি-ক্ষেত্র যোগাযোগ (NFC) সক্ষম হয়," লেক্লের ব্যাখ্যা করে৷ "একজন আক্রমণকারীকে আপনার অ্যাকাউন্টে প্রবেশ করার জন্য শুধুমাত্র আপনার পাসওয়ার্ড জানতে হবে না কিন্তু শারীরিকভাবে এই কীটি দখল করতে হবে।"

Leclere উল্লেখ করেছেন যে 2017 সালে কর্মীদের জন্য নিরাপত্তা কী ব্যবহার বাধ্যতামূলক করার পরে, Google শূন্য সফল ফিশিং আক্রমণের সম্মুখীন হয়েছে। “তবে, এগুলি এতটাই কার্যকর যে আপনি যদি আপনার অ্যাকাউন্টের সাথে বাঁধা একটি কী হারিয়ে ফেলেন তবে আপনি সম্ভবত এটিতে অ্যাক্সেস পুনরুদ্ধার করতে পারবেন না। নিরাপদ স্থানে একাধিক কী রাখা গুরুত্বপূর্ণ,” তিনি যোগ করেন।

অবশেষে Leclere বলেন যে একটি প্রমাণীকরণকারী অ্যাপ বা একটি নিরাপত্তা কী ব্যবহার করার পাশাপাশি, একজন ভালো পাসওয়ার্ড ম্যানেজার একাধিক সাইটে পুনরায় ব্যবহার না করে শক্তিশালী পাসওয়ার্ড তৈরি করা সহজ করে তোলে। "একটি শক্তিশালী, অনন্য পাসওয়ার্ড যা নন-এসএমএস 2FA-এর সাথে যুক্ত অ্যাকাউন্ট নিরাপত্তার সর্বোত্তম রূপ," তিনি বলেছিলেন।