मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण): Difference between revisions

From Vigyanwiki
No edit summary
Line 165: Line 165:
[[Category: Machine Translated Page]]
[[Category: Machine Translated Page]]
[[Category:Created On 16/12/2022]]
[[Category:Created On 16/12/2022]]
[[Category:Vigyan Ready]]

Revision as of 13:56, 26 December 2022

मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण) (एमएफए; टू-फैक्टर ऑथेंटिकेशन, या 2एफए, समान शर्तों के साथ) एक इलेक्ट्रॉनिक प्रमाणन विधि है, जिसमें यूजर को दो या दो से ज्यादा सबूत (या कारक) प्रमाणीकरण तंत्र के लिए: ज्ञान (केवल उपयोगकर्ता ही जानता है), अधिकार (केवल उपयोगकर्ता के पास कुछ), और विरासत (केवल उपयोगकर्ता ही कुछ है)। एमएफए उपयोगकर्ता डेटा की सुरक्षा करता है—जिसमें व्यक्तिगत पहचान या वित्तीय संपत्तियां सम्मिलित हो सकती हैं—किसी अनधिकृत तृतीय पक्ष द्वारा एक्सेस किए जाने से, जो कि, उदाहरण के लिए, एकल पासवर्ड खोजने में सक्षम हो सकता है।

थर्ड-पार्टी ऑथेंटिकेटर (टीपीए) ऐप टू-फैक्टर ऑथेंटिकेशन को सक्षम करता है, सामान्यतः प्रमाणीकरण के लिए उपयोग करने के लिए बेतरतीब ढंग से उत्पन्न और बार-बार बदलते कोड को दिखा कर।

कारक

प्रमाणीकरण तब होता है जब कोई कंप्यूटर संसाधन (जैसे नेटवर्क, डिवाइस या एप्लिकेशन) में लॉग इन करने का प्रयास करता है। संसाधन के लिए उपयोगकर्ता को उस पहचान की आपूर्ति करने की आवश्यकता होती है जिसके द्वारा उपयोगकर्ता को उस पहचान के लिए उपयोगकर्ता के दावे की प्रामाणिकता के साक्ष्य के साथ जाना जाता है। सरल प्रमाणीकरण के लिए केवल ऐसे साक्ष्य (कारक) की आवश्यकता होती है, विशेष रूप से पासवर्ड। अतिरिक्त सुरक्षा के लिए, संसाधन को एक से अधिक कारकों की आवश्यकता हो सकती है - बहु-कारक प्रमाणीकरण, या उन मामलों में दो-कारक प्रमाणीकरण जहां वास्तव में साक्ष्य के दो टुकड़े दिए जाने हैं।[1]

सभी 2एफए एमएफए हैं, लेकिन सभी एमएफए 2एफए नहीं हैं। दोनों विकल्प पासवर्ड जैसे एकल-कारक प्रमाणीकरण से अधिक सुरक्षित हैं, लेकिन MFA और 2FA केवल चुने गए द्वितीयक और तृतीयक प्रमाणीकरण कारकों के समान ही सुरक्षित हैं। उदाहरण के लिए, एसएमएस द्वारा भेजे गए ओटीपी सोशल इंजीनियरिंग के प्रति संवेदनशील होते हैं, इसलिए जब वे पासवर्ड जैसे एकल-कारक प्रमाणीकरण की तुलना में अधिक सुरक्षित समाधान का प्रतिनिधित्व करते हैं, तब भी वे किसी दिए गए उपयोगकर्ता के लिए सबसे सुरक्षित 2FA नहीं होते हैं। प्लेटफार्म रोजगार प्रदान कर सकता है। उपयोगकर्ता के लिए घर्षण या अतिरिक्त कठिनाई पर विचार करने के लिए एक अन्य कारक है। अधिक प्रमाणीकरण कारकों का मतलब अधिक उपयोगकर्ता घर्षण हो सकता है, लेकिन यह हमेशा ऐसा नहीं होता है - एमएफए निष्क्रिय प्रमाणीकरण विधियों का उपयोग करके कार्यान्वित किया जा सकता है जिसके लिए अतिरिक्त उपयोगकर्ता इनपुट की आवश्यकता नहीं होती है।

किसी की पहचान साबित करने के लिए कई प्रमाणीकरण कारकों का उपयोग इस आधार पर होता है कि अनधिकृत अभिनेता एक्सेस के लिए आवश्यक कारकों की आपूर्ति करने में सक्षम होने की संभावना नहीं है। यदि प्रमाणीकरण के प्रयास में, कम से कम एक घटक गायब है या गलत तरीके से आपूर्ति की गई है, तो उपयोगकर्ता की पहचान पर्याप्त निश्चितता के साथ स्थापित नहीं होती है और बहु-कारक प्रमाणीकरण द्वारा संरक्षित संपत्ति (जैसे, इमारत, या डेटा) तक पहुंच बनी रहती है अवरुद्ध। बहु-कारक प्रमाणीकरण योजना के प्रमाणीकरण कारकों में सम्मिलित हो सकते हैं:[2]

  • उपयोगकर्ता के पास कुछ है: उपयोगकर्ता के कब्जे में कोई भौतिक वस्तु, जैसे सुरक्षा टोकन (यूएसबी स्टिक), बैंक कार्ड, की (key) इत्यादि।
  • कुछ उपयोगकर्ता जानता है: कुछ ज्ञान केवल उपयोगकर्ता को ही पता होता है, जैसे पासवर्ड, पिन (व्यक्तिगत पहचान संख्या), आदि।
  • कुछ उपयोगकर्ता हैं: उपयोगकर्ता की कुछ भौतिक विशेषताएं (बायोमेट्रिक्स), जैसे कि फिंगरप्रिंट, आईरिस, आवाज, टाइपिंग की गति, कुंजी दबाने के अंतराल में पैटर्न आदि।

दो-कारक प्रमाणीकरण का एक उदाहरण एटीएम से पैसे की निकासी है; केवल बैंक कार्ड (जो उपयोगकर्ता के पास है) और पिन (जिसे उपयोगकर्ता जानता है) का सही संयोजन ही लेनदेन को पूरा करने की अनुमति देता है। दो अन्य उदाहरण एक उपयोगकर्ता-नियंत्रित पासवर्ड को वन-टाइम पासवर्ड (ओटीपी) या प्रमाणक (जैसे सुरक्षा टोकन या स्मार्टफोन) द्वारा उत्पन्न या प्राप्त कोड के साथ पूरक करना है जो केवल उपयोगकर्ता के पास है।[3]

थर्ड-पार्टी ऑथेंटिकेटर ऐप टू-फैक्टर ऑथेंटिकेशन को अलग तरीके से सक्षम करता है, सामान्यतः पर एक बेतरतीब ढंग से जेनरेट किया गया और लगातार रिफ्रेशिंग कोड दिखाकर, जिसका उपयोग उपयोगकर्ता एसएमएस भेजने या किसी अन्य विधि का उपयोग करने के बजाय कर सकता है। इन ऐप्स का एक बड़ा फायदा यह है कि ये सामान्यतः पर बिना इंटरनेट कनेक्शन के भी काम करना जारी रखते हैं। तृतीय-पक्ष प्रमाणक ऐप्स के उदाहरणों में सम्मिलित हैं गूगल  प्रमाणक, ऑटि और माइक्रोसॉफ्ट प्रमाणक; लास्टपास जैसे कुछ पासवर्ड मैनेजर भी सेवा प्रदान करते हैं।[4]

मल्टी-फैक्टर ऑथेंटिकेशन का एक अन्य उदाहरण प्रक्रिया है जिसे स्टेप-अप ऑथेंटिकेशन के रूप में जाना जाता है, जहां अधिक उच्च जोखिम वाले कार्यों के लिए अधिक ऑथेंटिकेशन फैक्टर की आवश्यकता होती है। ऑनलाइन बैंकिंग में उपयोग की जाने वाली स्टेप-अप प्रमाणीकरण योजना में, उदाहरण के लिए, व्यक्ति केवल पासवर्ड के साथ लॉग इन करने और खाते की शेष राशि की जांच करने में सक्षम हो सकता है, लेकिन धन हस्तांतरित करने से पहले एसएमएस के माध्यम से अपनी पहचान सत्यापित करने में सक्षम होना चाहिए। अतिरिक्त जानकारी दर्ज करने की आवश्यकता हो सकती है, जैसे कि एसएमएस के माध्यम से प्राप्त कोड। यह प्रक्रिया उपयोगकर्ता के घर्षण को कम करने और सुरक्षा बनाए रखने के बीच संतुलन बनाती है।

नॉलेज (ज्ञान)

नॉलेज फैक्टर प्रमाणीकरण का रूप है. इस रूप में, प्रमाणित करने के लिए उपयोगकर्ता को किसी रहस्य के ज्ञान को साबित करने की आवश्यकता होती है।

पासवर्ड एक गुप्त शब्द या अक्षरों की श्रंखला होती है जिसका उपयोग उपयोगकर्ता प्रमाणीकरण के लिए किया जाता है। यह प्रमाणीकरण का सबसे अधिक उपयोग किया जाने वाला तंत्र है।[2] प्रमाणीकरण के कारक के रूप में कई बहु-कारक प्रमाणीकरण तकनीकें पासवर्ड पर निर्भर करती हैं। विविधताओं में कई शब्दों (पासफ़्रेज़) से बने लंबे शब्द और एटीएम एक्सेस के लिए सामान्यतः उपयोग किए जाने वाले छोटे, विशुद्ध संख्यात्मक, पिन दोनों सम्मिलित हैं। परंपरागत रूप से, पासवर्ड याद रखने की अपेक्षा की जाती है।

ज्ञान-आधारित प्रमाणीकरण (केबीए) का अन्य रूप सुरक्षा प्रश्न है, जिसे सामान्य तौर पर उपयोगकर्ता द्वारा ऑनबोर्डिंग पर चुना और उत्तर दिया जाता है। सामान्य सुरक्षा प्रश्नों में ऐसी चीजें सम्मिलित होती हैं जो सामान्यतः खाता धारक से व्यक्तिगत संबंध के बिना जानी जाती हैं, जैसे कि माता का विवाह-पूर्व नाम या पहले पालतू जानवर का नाम।

स्वामित्व (पोस्सेशन)

आरएसए सिक्योरआईडी टोकन, डिस्कनेक्ट किए गए टोकन जनरेटर का एक उदाहरण

स्वामित्व के कारक ("केवल उपयोगकर्ता के पास कुछ") सदियों से ताले की की (key) के रूप में प्रमाणीकरण के लिए उपयोग किया गया है। मूल सिद्धांत यह है कि कुंजी रहस्य का प्रतीक है जो ताला और की (key) के बीच साझा किया जाता है, और यह सिद्धांत कंप्यूटर सिस्टम में प्राधिकरण कारक प्रमाणीकरण को रेखांकित करता है। सुरक्षा टोकन अधिकार कारक का एक उदाहरण है।

डिस्कनेक्ट टोकन का क्लाइंट कंप्यूटर से कोई कनेक्शन नहीं है। वे सामान्यतः जनरेट किए गए प्रमाणीकरण डेटा को प्रदर्शित करने के लिए अंतर्निहित स्क्रीन का उपयोग करते हैं, जिसे उपयोगकर्ता द्वारा मैन्युअल रूप से टाइप किया जाता है। इस प्रकार का टोकन ज्यादातर ओटीपी का उपयोग करता है जिसका उपयोग केवल उस विशिष्ट सत्र के लिए किया जा सकता है।[5]

एक यूएसबी सुरक्षा टोकन

कनेक्टेड टोकन वे उपकरण हैं जो भौतिक रूप से उपयोग किए जाने वाले कंप्यूटर से जुड़े होते हैं। वे डिवाइस स्वचालित रूप से डेटा संचारित करते हैं।[6] USB टोकन, स्मार्ट कार्ड और वायरलेस टैग (आरएफआईडी) सहित कई प्रकार के होते हैं।[6] तेजी से, फिडो2 (FIDO2) सक्षम टोकन, फिडो एलायंस और वर्ल्ड वाइड वेब कंसोर्टियम (W3C) द्वारा समर्थित, 2015 में प्रारम्भ होने वाले मुख्यधारा के ब्राउज़र समर्थन के साथ लोकप्रिय हो गए हैं।

सॉफ्टवेयर टोकन (उर्फ सॉफ्ट टोकन) एक प्रकार का दो-कारक प्रमाणीकरण सुरक्षा उपकरण है जिसका उपयोग कंप्यूटर सेवाओं के उपयोग को अधिकृत करने के लिए किया जा सकता है। सॉफ़्टवेयर टोकन सामान्य-उद्देश्य वाले इलेक्ट्रॉनिक उपकरण जैसे डेस्कटॉप कंप्यूटर, लैपटॉप, व्यक्तिगत डिजिटल सहायक, या मोबाइल फोन (चल दूरभाष) पर संग्रहीत होते हैं और इन्हें डुप्लिकेट किया जा सकता है। (कंट्रास्ट हार्डवेयर टोकन, जहां क्रेडेंशियल्स को समर्पित हार्डवेयर डिवाइस पर संग्रहीत किया जाता है और इसलिए डुप्लिकेट नहीं किया जा सकता है, डिवाइस का फिजिकल अटैक नहीं होता है।) सॉफ्ट टोकन एक डिवाइस नहीं हो सकता है जिसके साथ उपयोगकर्ता इंटरैक्ट करता है। सामान्यतः X.509v3 प्रमाणपत्र डिवाइस पर लोड किया जाता है और इस उद्देश्य को पूरा करने के लिए सुरक्षित रूप से संग्रहीत किया जाता है।

बहु-कारक प्रमाणीकरण में भौतिक सुरक्षा प्रणालियों में भी अनुप्रयोग होते हैं। इन भौतिक सुरक्षा प्रणालियों को जाना जाता है और सामान्यतः पर अभिगम नियंत्रण के रूप में संदर्भित किया जाता है। मल्टी-फैक्टर ऑथेंटिकेशन सामान्यतः पर एक्सेस कंट्रोल सिस्टम में उपयोग के माध्यम से तैनात किया जाता है, सबसे पहले, भौतिक अधिकार (जैसे कि एफओबी, कीकार्ड, या क्यूआर-कोड डिवाइस पर प्रदर्शित होता है) जो पहचान क्रेडेंशियल के रूप में कार्य करता है, और दूसरा, सत्यापन किसी की पहचान जैसे कि चेहरे का बायोमेट्रिक्स या रेटिनल स्कैन। मल्टी-फैक्टर ऑथेंटिकेशन के इस रूप को सामान्यतः पर फेशियल वेरिफिकेशन या फेशियल ऑथेंटिकेशन कहा जाता है।

अंतर्निहित

ये उपयोगकर्ता से जुड़े कारक हैं, और सामान्यतः फिंगरप्रिंट, चेहरा,[7] [7] आवाज, या आईरिस पहचान सहित बॉयोमेट्रिक्स विधियां हैं। कीस्ट्रोक डायनेमिक्स जैसे व्यवहार बायोमेट्रिक्स का भी उपयोग किया जा सकता है।

स्थान

तेजी से, चौथा कारक खेल में आ रहा है जिसमें उपयोगकर्ता का भौतिक स्थान सम्मिलित है। जब किसी कॉर्पोरेट नेटवर्क से हार्ड वायर किया जाता है, तो उपयोगकर्ता को केवल पिन कोड का उपयोग करके लॉगिन करने की अनुमति दी जा सकती है। जबकि यदि उपयोगकर्ता नेटवर्क से बाहर था, तो सॉफ्ट टोकन से कोड भी दर्ज करने की आवश्यकता हो सकती है। इसे स्वीकृत मानक के रूप में देखा जा सकता है जहाँ कार्यालय प्रवेश नियंत्रित है।

एक्सेस कंट्रोल के लिए सिस्टम इसी तरह से काम करते हैं जहां नेटवर्क एक्सेस का स्तर डिवाइस से जुड़े विशिष्ट नेटवर्क पर सटीक हो सकता है, जैसे वाई-फाई बनाम वायर्ड मैसेजिंग। यह उपयोगकर्ता को बाइंडिंग के बीच जाने की अनुमति देता है और सक्रिय रूप से प्रत्येक में समान स्तर की नेटवर्क एक्सेस प्राप्त करता है।

स्थान एक सहायक प्रमाणीकरण कारक है क्योंकि इसे निष्क्रिय रूप से उपयोग किया जा सकता है, जिसका अर्थ है कि इसके लिए उपयोगकर्ताओं से बहुत कम इनपुट की आवश्यकता होती है और उपयोगकर्ता अनुभव में बाधा नहीं आती है। उपयोग किए गए संकेतों के आधार पर, स्थान व्यवहार कम झूठी सकारात्मक दर के साथ बहुत ही सटीक सत्यापनकर्ता है, क्योंकि दो लोगों के लिए ठीक उसी स्थान का व्यवहार करना लगभग असंभव है। इसकी अनूठी प्रकृति स्थान व्यवहार के आधार पर प्रमाणीकरण को भौगोलिक स्थान स्पूफिंग के विरुद्ध अधिक नमनीय बनाती है।

मोबाइल फोन आधारित प्रमाणीकरण

पाठ संदेश पर दो-कारक प्रमाणीकरण को 1996 की शुरुआत में विकसित किया गया था, जब एटी एंड टी ने दो-तरफ़ा पेजर पर कोड के आदान-प्रदान के आधार पर लेनदेन को अधिकृत करने के लिए एक प्रणाली का वर्णन किया था।[8][9]

कई बहु-कारक प्रमाणीकरण विक्रेता मोबाइल फोन-आधारित प्रमाणीकरण प्रदान करते हैं। कुछ विधियों में पुश-आधारित प्रमाणीकरण, क्यूआर कोड-आधारित प्रमाणीकरण, वन-टाइम पासवर्ड प्रमाणीकरण (ईवेंट-आधारित और समय-आधारित प्रमाणीकरण|समय-आधारित), और एसएमएस-आधारित सत्यापन सम्मिलित हैं। एसएमएस-आधारित सत्यापन कुछ सुरक्षा चिंताओं से ग्रस्त है। फोन को क्लोन किया जा सकता है, ऐप कई फोन पर चल सकते हैं और सेल फोन रखरखाव कर्मी एसएमएस टेक्स्ट पढ़ सकते हैं। कम से कम, सेल फोन से सामान्य रूप से समझौता नहीं किया जा सकता है, जिसका अर्थ है कि फोन अब केवल उपयोगकर्ता के पास नहीं है।

उपयोगकर्ता के पास मौजूद किसी चीज़ सहित प्रमाणीकरण की बड़ी कमी यह है कि उपयोगकर्ता को व्यावहारिक रूप से हर समय भौतिक टोकन (यूएसबी स्टिक, बैंक कार्ड, कुंजी या समान) रखना चाहिए। हानि और चोरी जोखिम हैं। कई संगठन मैलवेयर और डेटा चोरी के जोखिमों के कारण यूएसबीऔर इलेक्ट्रॉनिक उपकरणों को परिसर के अंदर या बाहर ले जाने से मना करते हैं, और इसी कारण से अधिकांश महत्वपूर्ण मशीनों में यूएसबी पोर्ट नहीं होते हैं। भौतिक टोकन सामान्यतः पर स्केल नहीं करते हैं, सामान्यतः पर प्रत्येक नए खाते और सिस्टम के लिए नए टोकन की आवश्यकता होती है। इस तरह के टोकन की खरीद और बाद में बदलने में लागत सम्मिलित है। इसके अलावा, प्रयोज्यता और सुरक्षा के बीच अंतर्निहित संघर्ष और अपरिहार्य व्यापार-नापसंद हैं।[10]

मोबाइल फोन और स्मार्टफोन से जुड़े दो-चरणीय प्रमाणीकरण समर्पित भौतिक उपकरणों का विकल्प प्रदान करता है। प्रमाणित करने के लिए, लोग डिवाइस पर अपने व्यक्तिगत एक्सेस कोड का उपयोग कर सकते हैं (यानी कुछ ऐसा जो केवल व्यक्तिगत उपयोगकर्ता जानता है) साथ ही एक बार-वैध, गतिशील पासकोड, सामान्यतः पर 4 से 6 अंकों का होता है। पासकोड उनके मोबाइल डिवाइस पर भेजा जा सकता है[1] एसएमएस द्वारा या एक बार के पासकोड-जनरेटर ऐप द्वारा उत्पन्न किया जा सकता है। दोनों ही मामलों में, मोबाइल फोन का उपयोग करने का लाभ यह है कि अतिरिक्त समर्पित टोकन की कोई आवश्यकता नहीं है, क्योंकि उपयोगकर्ता हर समय अपने मोबाइल उपकरणों को साथ लेकर चलते हैं। इसके अतिरिक्त, किसी डिवाइस की विशिष्ट विशेषताओं का उपयोग किसी डिवाइस की विशिष्ट पहचान करने और संभावित कपटपूर्ण खाता पहुंच को रोकने के लिए किया जा सकता है।

एसएमएस सत्यापन की लोकप्रियता के बावजूद, सुरक्षा अधिवक्ताओं ने सार्वजनिक रूप से एसएमएस सत्यापन की आलोचना की है[11] और जुलाई 2016 में यूनाइटेड स्टेट्स मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान ड्राफ्ट गाइडलाइन ने इसे प्रमाणीकरण के एक रूप के रूप में बहिष्कृत करने का प्रस्ताव दिया।[12] एक साल बाद एनआईएसटी ने अंतिम दिशानिर्देश में वैध प्रमाणीकरण चैनल के रूप में एसएमएस सत्यापन को बहाल कर दिया।[13]

क्रमशः 2016 और 2017 में, Google और Apple दोनों ने पुश तकनीक (पुश नोटिफिकेशन) के साथ उपयोगकर्ता को दो-चरणीय प्रमाणीकरण की पेशकश[2] वैकल्पिक विधि के रूप में शुरू की।[14][15]

मोबाइल-वितरित सुरक्षा टोकन की सुरक्षा पूरी तरह से मोबाइल ऑपरेटर की परिचालन सुरक्षा पर निर्भर करती है और राष्ट्रीय सुरक्षा एजेंसियों द्वारा वायरटैपिंग या सिम क्लोनिंग द्वारा आसानी से इसका उल्लंघन किया जा सकता है।[16]

लाभ:

  • कोई अतिरिक्त टोकन आवश्यक नहीं है क्योंकि यह उन मोबाइल उपकरणों का उपयोग करता है जो (सामान्यतः) हर समय ले जाते हैं।
  • चूंकि वे लगातार बदलते रहते हैं, गतिशील रूप से उत्पन्न पासकोड निश्चित (स्थिर) लॉग-इन जानकारी की तुलना में उपयोग करने के लिए सुरक्षित होते हैं।
  • समाधान के आधार पर, उपयोग किए गए पासकोड स्वचालित रूप से बदल दिए जाते हैं ताकि यह सुनिश्चित किया जा सके कि एक वैध कोड हमेशा उपलब्ध रहे, इसलिए ट्रांसमिशन/रिसेप्शन समस्याएं लॉगिन को नहीं रोकती हैं।

नुकसान:

  • उपयोगकर्ता अभी भी फ़िशिंग हमलों के प्रति संवेदनशील हो सकते हैं। अटैकर टेक्स्ट संदेश भेज सकता है जो नकली URL से लिंक करता है जो वास्तविक वेबसाइट के समान दिखता है। अटैकर तब प्रमाणीकरण कोड, उपयोगकर्ता नाम और पासवर्ड प्राप्त कर सकता है।[17]
  • मोबाइल फोन हमेशा उपलब्ध नहीं होता है—यह खो सकता है, चोरी हो सकता है, बैटरी समाप्त हो सकती है, या अन्यथा काम नहीं कर सकता है।
  • उनकी बढ़ती लोकप्रियता के बावजूद, कुछ उपयोगकर्ताओं के पास मोबाइल डिवाइस भी नहीं हो सकता है, और अपने होम पीसी पर कुछ सेवा का उपयोग करने की शर्त के रूप में एक के स्वामित्व की आवश्यकता होने पर नाराजगी जताते हैं।
  • मोबाइल फोन रिसेप्शन हमेशा उपलब्ध नहीं होता है—बड़े क्षेत्र, विशेष रूप से कस्बों के बाहर, कवरेज की कमी होती है।
  • सिम क्लोनिंग से हैकर्स को मोबाइल फोन कनेक्शन का एक्सेस मिल जाता है। सोशल इंजीनियरिंग (सुरक्षा)। मोबाइल-ऑपरेटर कंपनियों के खिलाफ सोशल-इंजीनियरिंग हमलों के परिणामस्वरूप डुप्लीकेट सिम कार्ड अपराधियों को सौंप दिए गए हैं।[18]
  • लघु संदेश सेवा का उपयोग करने वाले मोबाइल फोन पर पाठ संदेश असुरक्षित हैं और आईएमएसआई-कैचर्स द्वारा इंटरसेप्ट किए जा सकते हैं। इस प्रकार तीसरे पक्ष टोकन की चोरी और उपयोग कर सकते हैं।[19]
  • खाता पुनर्प्राप्ति सामान्यतः पर मोबाइल-फ़ोन दो-कारक प्रमाणीकरण को बायपास करती है।[1]
  • आधुनिक स्मार्टफोन का उपयोग ईमेल और एसएमएस दोनों प्राप्त करने के लिए किया जाता है। इसलिए यदि फोन खो जाता है या चोरी हो जाता है और पासवर्ड या बायोमेट्रिक द्वारा सुरक्षित नहीं होता है, तो सभी खाते जिनके लिए ईमेल कुंजी है, को हैक किया जा सकता है क्योंकि फोन दूसरा कारक प्राप्त कर सकता है।
  • मोबाइल वाहक संदेश शुल्क के लिए उपयोगकर्ता से शुल्क ले सकते हैं।

कानून और नियमन

भुगतान कार्ड उद्योग (पीसीआई) डेटा सुरक्षा मानक, आवश्यकता 8.3, नेटवर्क के बाहर कार्ड डेटा पर्यावरण (सीडीई) के लिए उत्पन्न होने वाले सभी दूरस्थ नेटवर्क एक्सेस के लिए एमएफए के उपयोग की आवश्यकता है।[20] पीसीआई-डीएसएस संस्करण 3.2 से शुरू होकर, सीडीई तक सभी प्रशासनिक पहुंच के लिए एमएफए के उपयोग की आवश्यकता होती है, भले ही उपयोगकर्ता एक विश्वसनीय नेटवर्क के भीतर हो।

यूरोपीय संघ

दूसरे पेमेंट सर्विसेज डायरेक्टिव (भुगतान सेवा निर्देश) के लिए 14 सितंबर, 2019 से यूरोपीय आर्थिक क्षेत्र में अधिकांश इलेक्ट्रॉनिक भुगतानों पर "मजबूत ग्राहक प्रमाणीकरण" की आवश्यकता है।[21]

भारत

भारत में, भारतीय रिजर्व बैंक ने एसएमएस पर भेजे गए पासवर्ड या वन-टाइम पासवर्ड का उपयोग करके डेबिट या क्रेडिट कार्ड का उपयोग करके किए गए सभी ऑनलाइन लेनदेन के लिए दो-कारक प्रमाणीकरण अनिवार्य किया। नवंबर 2016 के नोट विमुद्रीकरण के मद्देनजर ₹2,000 तक के लेनदेन के लिए इसे 2016 में अस्थायी रूप से वापस ले लिया गया था। उबेर जैसे विक्रेताओं को बैंक द्वारा इस दो-कारक प्रमाणीकरण रोलआउट के अनुपालन में अपनी भुगतान प्रसंस्करण प्रणाली में संशोधन करने के लिए अनिवार्य किया गया है।[22][23][24]

संयुक्त राज्य

संयुक्त राज्य अमेरिका में संघीय कर्मचारियों और ठेकेदारों के लिए प्रमाणीकरण के विवरण को होमलैंड सिक्योरिटी प्रेसिडेंशियल डायरेक्टिव 12 (HSPD-12) के साथ परिभाषित किया गया है।[25]

मौजूदा प्रमाणीकरण पद्धतियों में तीन प्रकार के बुनियादी कारकों की व्याख्या की गई है। प्रमाणीकरण विधियां जो एक से अधिक कारकों पर निर्भर करती हैं, एकल-कारक विधियों की तुलना में समझौता करना अधिक कठिन होता है।[citation needed][26]

संघीय सरकारी प्रणालियों तक पहुंच के लिए आईटी नियामक मानकों को संवेदनशील आईटी संसाधनों तक पहुंचने के लिए बहु-कारक प्रमाणीकरण के उपयोग की आवश्यकता होती है, उदाहरण के लिए जब प्रशासनिक कार्यों को करने के लिए नेटवर्क उपकरणों पर लॉग ऑन करते हैं[27] और विशेषाधिकार प्राप्त लॉगिन का उपयोग करते हुए किसी कंप्यूटर तक पहुंच बनाते हैं।[28]

एनआईएसटी विशेष प्रकाशन 800-63-3 दो-कारक प्रमाणीकरण के विभिन्न रूपों पर चर्चा करता है और आश्वासन के विभिन्न स्तरों की आवश्यकता वाली व्यावसायिक प्रक्रियाओं में उनका उपयोग करने पर मार्गदर्शन प्रदान करता है।[29]2005 में, संयुक्त राज्य अमेरिका की संघीय वित्तीय संस्थान परीक्षा परिषद ने वित्तीय संस्थानों के लिए मार्गदर्शन जारी किया, वित्तीय संस्थानों को जोखिम-आधारित आकलन करने, ग्राहक जागरूकता कार्यक्रमों का मूल्यांकन करने और ग्राहकों को विश्वसनीय रूप से प्रमाणित करने के लिए सुरक्षा उपाय विकसित करने की सिफारिश की, जो आधिकारिक तौर पर प्रमाणीकरण विधियों के उपयोग की सिफारिश करते हैं। जो उपयोगकर्ता की पहचान निर्धारित करने के लिए एक से अधिक कारकों (विशेष रूप से, उपयोगकर्ता क्या जानता है, क्या है, और क्या है) पर निर्भर करता है।[30] प्रकाशन के जवाब में, कई प्रमाणीकरण विक्रेताओं ने बहु-कारक प्रमाणीकरण के रूप में चुनौती-प्रश्नों, गुप्त छवियों और अन्य ज्ञान-आधारित विधियों को अनुचित रूप से प्रचारित करना प्रारम्भ कर दिया था। परिणामी भ्रम और इस तरह के तरीकों को व्यापक रूप से अपनाने के कारण, 15 अगस्त, 2006 को एफएफआईईसी ने पूरक दिशानिर्देश प्रकाशित किए, जो बताता है कि परिभाषा के अनुसार, एक सच्चे बहु-कारक प्रमाणीकरण प्रणाली को प्रमाणीकरण के तीन कारकों के अलग-अलग उदाहरणों का उपयोग करना चाहिए, न कि केवल एक कारक के कई उदाहरणों का उपयोग करना चाहिए।[31]

सुरक्षा

समर्थकों के अनुसार, बहु-कारक प्रमाणीकरण ऑनलाइन पहचान की चोरी और अन्य ऑनलाइन धोखाधड़ी की घटनाओं को काफी हद तक कम कर सकता है, क्योंकि पीड़ित का पासवर्ड चोर को उनकी जानकारी तक स्थायी पहुंच देने के लिए पर्याप्त नहीं होगा। हालाँकि, कई बहु-कारक प्रमाणीकरण दृष्टिकोण फ़िशिंग के प्रति संवेदनशील रहते हैं,[32] मैन-इन-ब्राउज़र, और मैन-इन-द-मिडिल आक्रमण।[33] वेब अनुप्रयोगों में दो-कारक प्रमाणीकरण विशेष रूप से फ़िशिंग हमलों के लिए अतिसंवेदनशील होते हैं, विशेष रूप से एसएमएस और ई-मेल में, और, प्रतिक्रिया के रूप में, कई विशेषज्ञ उपयोगकर्ताओं को सलाह देते हैं कि वे अपने सत्यापन कोड किसी के साथ साझा न करें,[34] और कई वेब एप्लिकेशन प्रदाता कोड वाले ई-मेल या एसएमएस में सलाह देंगे।[35]

बहु-कारक प्रमाणीकरण अप्रभावी हो सकता है[36] एटीएम स्किमिंग, फ़िशिंग और मैलवेयर जैसे आधुनिक खतरों के विरुद्ध।[37]

मई 2017 में, जर्मन मोबाइल सेवा प्रदाता O2 टेलीफ़ोनिका ने पुष्टि की कि साइबर अपराधियों ने उपयोगकर्ताओं के बैंक खातों से अनधिकृत निकासी करने के लिए एसएमएस आधारित टू-स्टेप ऑथेंटिकेशन को बायपास करने के लिए सिग्नलिंग सिस्टम नंबर 7 की कमजोरियों का फायदा उठाया था। अपराधी पहले ट्रोजन हॉर्स (कंप्यूटिंग) खाता धारक के कंप्यूटर को उनके बैंक खाते की साख और फोन नंबर चुराने के प्रयास में करते हैं। फिर अटैकर्स ने नकली टेलीकॉम प्रदाता तक पहुंच खरीदी और पीड़ित के फोन नंबर के लिए उनके द्वारा नियंत्रित हैंडसेट पर रीडायरेक्ट किया। अंत में, अटैकर्स ने पीड़ितों के ऑनलाइन बैंक खातों में लॉग इन किया और खातों से अपराधियों के स्वामित्व वाले खातों में पैसे निकालने का अनुरोध किया। अटैकर्स द्वारा नियंत्रित फोन नंबरों पर एसएमएस पासकोड भेजे गए और अपराधियों ने पैसे बाहर स्थानांतरित कर दिए।[38]

कार्यान्वयन

कई बहु-कारक प्रमाणीकरण उत्पादों को बहु-कारक प्रमाणीकरण प्रणाली को काम करने के लिए उपयोगकर्ताओं को क्लाइंट सॉफ़्टवेयर को तैनात करने की आवश्यकता होती है। कुछ विक्रेताओं ने नेटवर्क लॉगिन, वेब (WWW) एक्सेस क्रेडेंशियल्स और वीपीएन कनेक्शन क्रेडेंशियल्स के लिए अलग-अलग इंस्टॉलेशन पैकेज बनाए हैं। ऐसे उत्पादों के लिए, टोकन या स्मार्ट कार्ड का उपयोग करने के लिए क्लाइंट पीसी पर पुश करने के लिए चार या पांच अलग-अलग सॉफ्टवेयर पैकेज हो सकते हैं। यह चार या पाँच पैकेजों का अनुवाद करता है, जिस पर संस्करण नियंत्रण किया जाना है, और चार या पाँच पैकेज व्यावसायिक अनुप्रयोगों के साथ संघर्ष की जाँच के लिए। यदि वेब पेजों का उपयोग करके एक्सेस को संचालित किया जा सकता है, तो ऊपर बताए गए ओवरहेड्स को एक ही एप्लिकेशन तक सीमित करना संभव है। अन्य बहु-कारक प्रमाणीकरण तकनीक जैसे हार्डवेयर टोकन उत्पादों के साथ, अंतिम उपयोगकर्ताओं द्वारा कोई सॉफ़्टवेयर स्थापित नहीं किया जाना चाहिए।

बहु-कारक प्रमाणीकरण में कमियां हैं जो कई दृष्टिकोणों को व्यापक होने से रोक रही हैं। कुछ उपयोगकर्ताओं को हार्डवेयर टोकन या USB प्लग का ट्रैक रखने में कठिनाई होती है। कई उपयोगकर्ताओं के पास स्वयं क्लाइंट-साइड सॉफ़्टवेयर प्रमाणपत्र स्थापित करने के लिए आवश्यक तकनीकी कौशल नहीं होते हैं। आम तौर पर, बहु-कारक समाधानों को कार्यान्वयन के लिए अतिरिक्त निवेश और रखरखाव के लिए लागत की आवश्यकता होती है। अधिकांश हार्डवेयर टोकन-आधारित सिस्टम मालिकाना हैं और कुछ विक्रेता प्रति उपयोगकर्ता वार्षिक शुल्क लेते हैं। सुरक्षा टोकन की तैनाती तार्किक रूप से चुनौतीपूर्ण है। हार्डवेयर सुरक्षा टोकन क्षतिग्रस्त या गुम हो सकते हैं और बड़े उद्योगों जैसे बैंकिंग या यहां तक ​​कि बड़े उद्यमों के भीतर सुरक्षा टोकन जारी करने को प्रबंधित करने की आवश्यकता है। परिनियोजन लागतों के अतिरिक्त, बहु-कारक प्रमाणीकरण में अक्सर महत्वपूर्ण अतिरिक्त समर्थन लागतें होती हैं। 2008 का एक सर्वेक्षण[39] संयुक्त राज्य अमेरिका में 120 से अधिक क्रेडिट यूनियनों की संख्या|यू. क्रेडिट यूनियन जर्नल द्वारा एस क्रेडिट यूनियनों ने दो-कारक प्रमाणीकरण से जुड़ी समर्थन लागतों पर रिपोर्ट की। उनकी रिपोर्ट में, सॉफ़्टवेयर प्रमाणपत्र और सॉफ़्टवेयर टूलबार दृष्टिकोणों की उच्चतम समर्थन लागत होने की सूचना दी गई थी।

बहु-कारक प्रमाणीकरण योजनाओं की तैनाती में अनुसंधान[40] ने दिखाया है कि ऐसी प्रणालियों को अपनाने को प्रभावित करने वाले तत्वों में से एक संगठन का व्यवसाय है जो बहु-कारक प्रमाणीकरण प्रणाली को तैनात करता है। उद्धृत उदाहरणों में यू.एस. संघीय सरकार सम्मिलित है, जो भौतिक टोकन की एक विस्तृत प्रणाली को नियोजित करती है (जो स्वयं मजबूत सार्वजनिक कुंजी अवसंरचना द्वारा समर्थित है), साथ ही निजी बैंक, जो अपने ग्राहकों के लिए बहु-कारक प्रमाणीकरण योजनाओं को पसंद करते हैं जिनमें अधिक सुलभ सम्मिलित हैं , पहचान सत्यापन के कम खर्चीले साधन, जैसे कि ग्राहक के स्वामित्व वाले स्मार्टफ़ोन पर इंस्टॉल किया गया ऐप। उपलब्ध प्रणालियों के बीच मौजूद विविधताओं के बावजूद, जिन्हें संगठनों को चुनना पड़ सकता है, एक बार बहु-कारक प्रमाणीकरण प्रणाली एक संगठन के भीतर तैनात होने के बाद, यह बनी रहती है, क्योंकि उपयोगकर्ता हमेशा सिस्टम की उपस्थिति और उपयोग के लिए अभ्यस्त होते हैं और गले लगाते हैं। यह समय के साथ उनकी प्रासंगिक सूचना प्रणाली के साथ बातचीत की उनकी दैनिक प्रक्रिया के सामान्यीकृत तत्व के रूप में।

जबकि धारणा यह है कि बहु-कारक प्रमाणीकरण पूर्ण सुरक्षा के दायरे में है, रोजर ग्रिम्स लिखते हैं[41] कि अगर ठीक से लागू और कॉन्फ़िगर नहीं किया गया है, तो बहु-कारक प्रमाणीकरण वास्तव में आसानी से पराजित हो सकता है।

पेटेंट

2013 में, किम डॉटकॉम ने 2000 पेटेंट में दो-कारक प्रमाणीकरण का आविष्कार करने का दावा किया,[42] और संक्षिप्त रूप से सभी प्रमुख वेब सेवाओं पर मुकदमा चलाने की धमकी दी। हालांकि, यूरोपीय पेटेंट कार्यालय ने 1998 में AT&T द्वारा रखे गए पहले के अमेरिकी पेटेंट के आलोक में उनके पेटेंट[43] को रद्द कर दिया था।[44]

यह भी देखें

संदर्भ

  1. 1.0 1.1 1.2 "टू-फैक्टर ऑथेंटिकेशन: आपको क्या जानने की जरूरत है (FAQ) - CNET". CNET. Retrieved 2015-10-31.
  2. 2.0 2.1 2.2 Jacomme, Charlie; Kremer, Steve (February 1, 2021). "बहु-कारक प्रमाणीकरण प्रोटोकॉल का एक व्यापक औपचारिक विश्लेषण". ACM Transactions on Privacy and Security (in English). New York City: Association for Computing Machinery. 24 (2): 1–34. doi:10.1145/3440712. ISSN 2471-2566. S2CID 231791299.
  3. kaitlin.boeckl@nist.gov (2016-06-28). "मूलभूत बातों पर वापस जाएं: बहु-कारक प्रमाणीकरण (MFA)". NIST (in English). Archived from the original on 2021-04-06. Retrieved 2021-04-06.
  4. Barrett, Brian (July 22, 2018). "बेहतर टू-फैक्टर ऑथेंटिकेशन के साथ अपने अकाउंट्स को कैसे सुरक्षित करें". Wired. Retrieved 12 September 2020.
  5. "वन-टाइम पासवर्ड कॉन्फ़िगर करना". www.sonicwall.com. Sonic Wall. Retrieved 19 January 2022.
  6. 6.0 6.1 van Tilborg, Henk C.A.; Jajodia, Sushil, eds. (2011). Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media. p. 1305. ISBN 9781441959058.
  7. Cao, Liling; Ge, Wancheng (2015-03-10). "बहु-कारक बायोमेट्रिक प्रमाणीकरण योजना का विश्लेषण और सुधार: एमएफबीए योजना का विश्लेषण और सुधार". Security and Communication Networks (in English). 8 (4): 617–625. doi:10.1002/sec.1010.
  8. "क्या किम डॉटकॉम के पास मूल 'टू-फैक्टर' लॉगिन पेटेंट है?". the Guardian (in English). 2013-05-23. Retrieved 2022-11-02.
  9. EP 0745961, "लेन-देन प्राधिकरण और चेतावनी प्रणाली", issued 1996-12-04 
  10. Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "डिस्ट्रीब्यूटेड सिस्टम्स में बेनामी टू-फैक्टर ऑथेंटिकेशन: कुछ लक्ष्य प्राप्ति से परे हैं" (PDF). IEEE Transactions on Dependable and Secure Computing. Piscataway, New Jersey: Institute of Electrical and Electronics Engineers. Retrieved 2018-03-23.
  11. Andy Greenberg (2016-06-26). "तो अरे आपको टू-फैक्टर ऑथेंटिकेशन के लिए टेक्स्ट का इस्तेमाल बंद कर देना चाहिए". Wired. Retrieved 2018-05-12.
  12. "एनआईएसटी अब एसएमएस का उपयोग करके दो-कारक प्रमाणीकरण की सिफारिश नहीं कर रहा है". Schneier on Security. August 3, 2016. Retrieved November 30, 2017.
  13. "रोलबैक! युनाइटेड स्टेट्स एनआईएसटी अब "2FA के लिए डीप्रिकेटिंग एसएमएस" की अनुशंसा नहीं करता है". July 6, 2017. Retrieved May 21, 2019.
  14. Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. ZD Net. Retrieved 11 September 2017.
  15. Chance Miller (2017-02-25). "Apple iOS 10.3 का संकेत दे रहा है". 9to5 Mac. 9to5 Mac. Retrieved 11 September 2017.
  16. "मैसेजिंग ऐप्स को इंटरसेप्ट करने पर रूस कैसे काम करता है - Bellingcat". bellingcat (in English). 2016-04-30. Archived from the original on 2016-04-30. Retrieved 2016-04-30.
  17. Kan, Michael (7 March 2019). "Google: फ़िशिंग हमले जो दो-कारकों को हरा सकते हैं, बढ़ रहे हैं". PC Mag. Retrieved 9 September 2019.
  18. Nichols, Shaun (10 July 2017). "टू-फैक्टर फेल: 'एटी एंड टी हैकर ट्रिक्स के झांसे में' आने के बाद चापलूस". The Register. Retrieved 2017-07-11.
  19. Toorani, Mohsen; Beheshti, A. (2008). "SSMS - A secure SMS messaging protocol for the m-payment systems". 2008 कंप्यूटर और संचार पर IEEE संगोष्ठी. pp. 700–705. arXiv:1002.3171. doi:10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4. S2CID 5066992.
  20. "आधिकारिक PCI सुरक्षा मानक परिषद साइट - PCI अनुपालन सत्यापित करें, डेटा सुरक्षा डाउनलोड करें और क्रेडिट कार्ड सुरक्षा मानक". www.pcisecuritystandards.org. Retrieved 2016-07-25.
  21. Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance.) (in English), 2018-03-13, retrieved 2021-04-06
  22. Agarwal, Surabhi (7 December 2016). "भुगतान फर्मों ने छोटे मूल्य के लेनदेन के लिए दो-कारक प्रमाणीकरण को समाप्त करने के आरबीआई के कदम की सराहना की". The Economic Times. Retrieved 28 June 2020.
  23. Nair, Vishwanath (6 December 2016). "आरबीआई ने 2,000 रुपये तक के ऑनलाइन कार्ड लेनदेन के लिए टू-फैक्टर ऑथेंटिकेशन को आसान बनाया". Livemint (in English). Retrieved 28 June 2020.
  24. "उबेर अब भारत की दो-कारक प्रमाणीकरण आवश्यकता का अनुपालन करता है, इसे अनावश्यक और बोझिल कहता है". VentureBeat (in English). 2014-11-30. Retrieved 2021-09-05.
  25. "होमलैंड सिक्योरिटी प्रेसिडेंशियल डायरेक्टिव 12". Department of Homeland Security. August 1, 2008. Archived from the original on September 16, 2012.
  26. "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment", August 15, 2006[dead link]
  27. "SANS संस्थान, क्रिटिकल कंट्रोल 10: फ़ायरवॉल, राउटर और स्विच जैसे नेटवर्क उपकरणों के लिए सुरक्षित कॉन्फ़िगरेशन". Archived from the original on 2013-01-28. Retrieved 2013-02-11.
  28. "SANS संस्थान, क्रिटिकल कंट्रोल 12: प्रशासनिक विशेषाधिकारों का नियंत्रित उपयोग". Archived from the original on 2013-01-28. Retrieved 2013-02-11.
  29. "डिजिटल पहचान दिशानिर्देश". NIST Special Publication 800-63-3. NIST. June 22, 2017. Retrieved February 2, 2018.
  30. "एफएफआईईसी प्रेस विज्ञप्ति". 2005-10-12. Retrieved 2011-05-13.
  31. FFIEC (2006-08-15). "इंटरनेट बैंकिंग वातावरण में प्रमाणीकरण पर FFIEC मार्गदर्शन पर अक्सर पूछे जाने वाले प्रश्न" (PDF). Retrieved 2012-01-14.
  32. Brian Krebs (July 10, 2006). "सुरक्षा सुधार - सिटीबैंक फिश स्पूफ्स 2-फैक्टर ऑथेंटिकेशन". Washington Post. Retrieved 20 September 2016.
  33. Bruce Schneier (March 2005). "टू-फैक्टर ऑथेंटिकेशन की विफलता". Schneier on Security. Retrieved 20 September 2016.
  34. Alex Perekalin (May 2018). "आपको कभी भी किसी को सत्यापन कोड क्यों नहीं भेजना चाहिए". Kaspersky. Retrieved 17 October 2020.
  35. Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "माइंड योर एसएमएस: मिटिगेटिंग सोशल इंजीनियरिंग इन सेकेंड फैक्टर ऑथेंटिकेशन" (PDF). Computers & Security. 65: 14–28. doi:10.1016/j.cose.2016.09.009. S2CID 10821943. Retrieved 17 October 2020.
  36. Shankland, Stephen. "दो तरीकों से प्रमाणीकरण? ईमेल या अपने बैंक में लॉग इन करते समय आपकी अपेक्षा के अनुरूप सुरक्षित नहीं है". CNET (in English). Retrieved 2020-09-27.
  37. "टू-फैक्टर ऑथेंटिकेशन की विफलता - सुरक्षा पर श्नेयर". schneier.com. Retrieved 23 October 2015.
  38. Khandelwal, Swati. "रियल-वर्ल्ड SS7 अटैक - हैकर्स बैंक खातों से पैसे चुरा रहे हैं". The Hacker News (in English). Retrieved 2017-05-05.
  39. "अध्ययन लागत पर नया प्रकाश डालता है, बहु-कारक का प्रभाव". 4 April 2008.
  40. Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "मल्टीफैक्टर ऑथेंटिकेशन को अपनाने पर प्रभाव" (in English).
  41. "हैकिंग मल्टीफैक्टर ऑथेंटिकेशन | विली". Wiley.com (in English). Retrieved 2020-12-17.{{cite web}}: CS1 maint: url-status (link)
  42. US 6078908, Schmitz, Kim, "डेटा ट्रांसमिशन सिस्टम में अधिकृत करने की विधि" 
  43. Brodkin, Jon (23 May 2013). "किम डॉटकॉम का दावा है कि उन्होंने टू-फैक्टर ऑथेंटिकेशन का आविष्कार किया था- लेकिन वह पहले नहीं थे". Ars Technica. Archived from the original on 9 July 2019. Retrieved 25 July 2019.
  44. US 5708422, Blonder, et al., "लेन-देन प्राधिकरण और चेतावनी प्रणाली" 

अग्रिम पठन

बाहरी संबंध