CertiK का कहना है कि SMS उपयोग में आने वाले 2FA का 'सबसे कमजोर' रूप है

दो-कारक प्रमाणीकरण के रूप में एसएमएस का उपयोग करना क्रिप्टो उत्साही लोगों के बीच हमेशा लोकप्रिय रहा है। आखिरकार, कई उपयोगकर्ता पहले से ही अपने क्रिप्टो का व्यापार कर रहे हैं या अपने फोन पर सामाजिक पृष्ठों का प्रबंधन कर रहे हैं, तो संवेदनशील वित्तीय सामग्री तक पहुँचने के लिए एसएमएस का उपयोग केवल सत्यापित करने के लिए क्यों न करें?

दुर्भाग्य से, चोर कलाकारों ने हाल ही में सिम-स्वैपिंग के माध्यम से सुरक्षा की इस परत के नीचे दबी हुई संपत्ति का दोहन करने के लिए पकड़ा है, या किसी व्यक्ति के सिम कार्ड को एक हैकर के कब्जे वाले फोन पर फिर से भेजने की प्रक्रिया। दुनिया भर के कई न्यायालयों में, दूरसंचार कर्मचारी एक साधारण पोर्टिंग अनुरोध को संभालने के लिए सरकारी आईडी, चेहरे की पहचान या सामाजिक सुरक्षा नंबर नहीं मांगेंगे।

सार्वजनिक रूप से उपलब्ध व्यक्तिगत जानकारी (वेब ​​3.0 हितधारकों के लिए काफी सामान्य) और आसानी से अनुमान लगाने वाले पुनर्प्राप्ति प्रश्नों की त्वरित खोज के साथ, प्रतिरूपणकर्ता किसी खाते के एसएमएस 2एफए को तुरंत अपने फोन पर पोर्ट कर सकते हैं और नापाक तरीकों के लिए इसका उपयोग करना शुरू कर सकते हैं। इस साल की शुरुआत में, कई क्रिप्टो यूट्यूबर्स सिम-स्वैप हमले का शिकार हुए, जहां हैकर्स ने पोस्ट किए थे घोटाले के वीडियो अपने चैनल पर दर्शकों को हैकर के वॉलेट में पैसे भेजने का निर्देश देने वाले टेक्स्ट के साथ। जून में सोलाना एनएफटी प्रोजेक्ट डप्पीज़ का आधिकारिक ट्विटर अकाउंट सिम-स्वैप के माध्यम से हैक हो गया था, जिसमें हैकर्स ने नकली स्टील्थ मिंट के लिंक ट्वीट किए थे।

इस मामले के संबंध में, कॉइन्टेग्राफ ने CertiK के सुरक्षा विशेषज्ञ जेसी लेक्लेरे से बात की। ब्लॉकचेन सुरक्षा क्षेत्र में अग्रणी के रूप में जाने जाने वाले, CertiK ने 3,600 से 360 से अधिक परियोजनाओं को 66,000 बिलियन डॉलर मूल्य की डिजिटल संपत्ति सुरक्षित करने में मदद की है और 2018 से अधिक कमजोरियों का पता लगाया है। यहां लेक्लेरे का कहना है:

“एसएमएस 2FA कुछ न होने से बेहतर है, लेकिन यह वर्तमान में उपयोग में आने वाला 2FA का सबसे कमजोर रूप है। इसकी अपील इसके उपयोग में आसानी से आती है: अधिकांश लोग ऑनलाइन प्लेटफ़ॉर्म पर लॉग इन करते समय या तो अपने फ़ोन पर होते हैं या इसे हाथ में रखते हैं। लेकिन सिम कार्ड स्वैप के प्रति इसकी संवेदनशीलता को कम करके नहीं आंका जा सकता।

लेक्लर ने बताया कि समर्पित प्रमाणक ऐप, जैसे कि Google प्रमाणक, ऑथी, या डुओ, सिम-स्वैपिंग के जोखिम को दूर करते हुए एसएमएस 2FA की लगभग सभी सुविधाएं प्रदान करते हैं। जब पूछा गया कि क्या वर्चुअल या ई-सिम कार्ड सिम-स्वैप-संबंधी फ़िशिंग हमलों के जोखिम को दूर कर सकते हैं, तो लेक्लर के लिए, उत्तर स्पष्ट रूप से नहीं है:

"किसी को यह ध्यान रखना होगा कि सिम-स्वैप हमले पहचान धोखाधड़ी और सोशल इंजीनियरिंग पर निर्भर करते हैं। यदि कोई बुरा अभिनेता किसी टेलीकॉम फर्म के किसी कर्मचारी को यह सोचकर बरगला सकता है कि वे एक भौतिक सिम से जुड़े नंबर के वैध मालिक हैं, तो वे ऐसा eSIM के लिए भी कर सकते हैं।

हालाँकि सिम कार्ड को किसी के फोन में लॉक करके ऐसे हमलों को रोकना संभव है (टेलीकॉम कंपनियां भी फोन को अनलॉक कर सकती हैं), लेक्लेर फिर भी भौतिक सुरक्षा कुंजी का उपयोग करने के स्वर्ण मानक की ओर इशारा करते हैं। लेक्लेरे बताते हैं, "ये कुंजियाँ आपके कंप्यूटर के यूएसबी पोर्ट में प्लग हो जाती हैं, और कुछ मोबाइल उपकरणों के साथ आसान उपयोग के लिए नियर-फील्ड कम्युनिकेशन (एनएफसी) सक्षम हैं।" "एक हमलावर को न केवल आपका पासवर्ड जानना होगा बल्कि आपके खाते में प्रवेश करने के लिए इस कुंजी को भौतिक रूप से अपने कब्जे में लेना होगा।"

लेक्लेरे बताते हैं कि 2017 में कर्मचारियों के लिए सुरक्षा कुंजी के उपयोग को अनिवार्य करने के बाद, Google ने शून्य सफल फ़िशिंग हमलों का अनुभव किया है। “हालांकि, वे इतने प्रभावी हैं कि यदि आप अपने खाते से जुड़ी एक कुंजी खो देते हैं, तो आप संभवतः उस तक पहुंच पुनः प्राप्त नहीं कर पाएंगे। उन्होंने कहा, ''कई चाबियों को सुरक्षित स्थानों पर रखना महत्वपूर्ण है।''

अंततः लेक्लेर ने कहा कि एक प्रमाणक ऐप या सुरक्षा कुंजी का उपयोग करने के अलावा, एक अच्छा पासवर्ड मैनेजर कई साइटों पर पुन: उपयोग किए बिना मजबूत पासवर्ड बनाना आसान बनाता है। उन्होंने कहा, "गैर-एसएमएस 2एफए के साथ जोड़ा गया एक मजबूत, अद्वितीय पासवर्ड खाता सुरक्षा का सबसे अच्छा तरीका है।"