मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण): Difference between revisions
m (added Category:Vigyan Ready using HotCat) |
No edit summary |
||
| (One intermediate revision by one other user not shown) | |||
| Line 159: | Line 159: | ||
{{Authority control}} | {{Authority control}} | ||
[[Category:All articles needing additional references]] | |||
[[Category: | [[Category:All articles with dead external links]] | ||
[[Category:All articles with style issues]] | |||
[[Category:All articles with unsourced statements]] | |||
[[Category:Articles needing additional references from January 2021]] | |||
[[Category:Articles with dead external links from January 2016]] | |||
[[Category:Articles with hatnote templates targeting a nonexistent page]] | |||
[[Category:Articles with invalid date parameter in template]] | |||
[[Category:Articles with multiple maintenance issues]] | |||
[[Category:Articles with short description]] | |||
[[Category:Articles with unsourced statements from January 2016]] | |||
[[Category:CS1 English-language sources (en)]] | |||
[[Category:CS1 français-language sources (fr)]] | |||
[[Category:CS1 maint]] | |||
[[Category:CS1 Ελληνικά-language sources (el)]] | |||
[[Category:Citation Style 1 templates|W]] | |||
[[Category:Collapse templates]] | |||
[[Category:Created On 16/12/2022]] | [[Category:Created On 16/12/2022]] | ||
[[Category:Vigyan Ready]] | [[Category:Interwiki link templates| ]] | ||
[[Category:Lua-based templates]] | |||
[[Category:Machine Translated Page]] | |||
[[Category:Missing redirects]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Short description with empty Wikidata description]] | |||
[[Category:Sidebars with styles needing conversion]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates based on the Citation/CS1 Lua module]] | |||
[[Category:Templates generating COinS|Cite web]] | |||
[[Category:Templates generating microformats]] | |||
[[Category:Templates that are not mobile friendly]] | |||
[[Category:Templates used by AutoWikiBrowser|Cite web]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Templates using under-protected Lua modules]] | |||
[[Category:Wikipedia articles with style issues from December 2020]] | |||
[[Category:Wikipedia fully protected templates|Sister project links]] | |||
[[Category:Wikipedia metatemplates]] | |||
[[Category:कंप्यूटर अभिगम नियंत्रण]] | |||
[[Category:प्रमाणीकरण विधियां]] | |||
Latest revision as of 17:26, 31 December 2022
 | This article has multiple issues. Please help improve it or discuss these issues on the talk page. (Learn how and when to remove these template messages)
(Learn how and when to remove this template message)
|
मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण) (एमएफए; टू-फैक्टर ऑथेंटिकेशन, या 2एफए, समान शर्तों के साथ) एक इलेक्ट्रॉनिक प्रमाणन विधि है, जिसमें यूजर को दो या दो से ज्यादा सबूत (या कारक) प्रमाणीकरण तंत्र के लिए: ज्ञान (केवल उपयोगकर्ता ही जानता है), अधिकार (केवल उपयोगकर्ता के पास कुछ), और विरासत (केवल उपयोगकर्ता ही कुछ है)। एमएफए उपयोगकर्ता डेटा की सुरक्षा करता है—जिसमें व्यक्तिगत पहचान या वित्तीय संपत्तियां सम्मिलित हो सकती हैं—किसी अनधिकृत तृतीय पक्ष द्वारा एक्सेस किए जाने से, जो कि, उदाहरण के लिए, एकल पासवर्ड खोजने में सक्षम हो सकता है।
थर्ड-पार्टी ऑथेंटिकेटर (टीपीए) ऐप टू-फैक्टर ऑथेंटिकेशन को सक्षम करता है, सामान्यतः प्रमाणीकरण के लिए उपयोग करने के लिए बेतरतीब ढंग से उत्पन्न और बार-बार बदलते कोड को दिखा कर।
कारक
प्रमाणीकरण तब होता है जब कोई कंप्यूटर संसाधन (जैसे नेटवर्क, डिवाइस या एप्लिकेशन) में लॉग इन करने का प्रयास करता है। संसाधन के लिए उपयोगकर्ता को उस पहचान की आपूर्ति करने की आवश्यकता होती है जिसके द्वारा उपयोगकर्ता को उस पहचान के लिए उपयोगकर्ता के दावे की प्रामाणिकता के साक्ष्य के साथ जाना जाता है। सरल प्रमाणीकरण के लिए केवल ऐसे साक्ष्य (कारक) की आवश्यकता होती है, विशेष रूप से पासवर्ड। अतिरिक्त सुरक्षा के लिए, संसाधन को एक से अधिक कारकों की आवश्यकता हो सकती है - बहु-कारक प्रमाणीकरण, या उन मामलों में दो-कारक प्रमाणीकरण जहां वास्तव में साक्ष्य के दो टुकड़े दिए जाने हैं।[1]
सभी 2एफए एमएफए हैं, लेकिन सभी एमएफए 2एफए नहीं हैं। दोनों विकल्प पासवर्ड जैसे एकल-कारक प्रमाणीकरण से अधिक सुरक्षित हैं, लेकिन MFA और 2FA केवल चुने गए द्वितीयक और तृतीयक प्रमाणीकरण कारकों के समान ही सुरक्षित हैं। उदाहरण के लिए, एसएमएस द्वारा भेजे गए ओटीपी सोशल इंजीनियरिंग के प्रति संवेदनशील होते हैं, इसलिए जब वे पासवर्ड जैसे एकल-कारक प्रमाणीकरण की तुलना में अधिक सुरक्षित समाधान का प्रतिनिधित्व करते हैं, तब भी वे किसी दिए गए उपयोगकर्ता के लिए सबसे सुरक्षित 2FA नहीं होते हैं। प्लेटफार्म रोजगार प्रदान कर सकता है। उपयोगकर्ता के लिए घर्षण या अतिरिक्त कठिनाई पर विचार करने के लिए एक अन्य कारक है। अधिक प्रमाणीकरण कारकों का मतलब अधिक उपयोगकर्ता घर्षण हो सकता है, लेकिन यह हमेशा ऐसा नहीं होता है - एमएफए निष्क्रिय प्रमाणीकरण विधियों का उपयोग करके कार्यान्वित किया जा सकता है जिसके लिए अतिरिक्त उपयोगकर्ता इनपुट की आवश्यकता नहीं होती है।
किसी की पहचान साबित करने के लिए कई प्रमाणीकरण कारकों का उपयोग इस आधार पर होता है कि अनधिकृत अभिनेता एक्सेस के लिए आवश्यक कारकों की आपूर्ति करने में सक्षम होने की संभावना नहीं है। यदि प्रमाणीकरण के प्रयास में, कम से कम एक घटक गायब है या गलत तरीके से आपूर्ति की गई है, तो उपयोगकर्ता की पहचान पर्याप्त निश्चितता के साथ स्थापित नहीं होती है और बहु-कारक प्रमाणीकरण द्वारा संरक्षित संपत्ति (जैसे, इमारत, या डेटा) तक पहुंच बनी रहती है अवरुद्ध। बहु-कारक प्रमाणीकरण योजना के प्रमाणीकरण कारकों में सम्मिलित हो सकते हैं:[2]
- उपयोगकर्ता के पास कुछ है: उपयोगकर्ता के कब्जे में कोई भौतिक वस्तु, जैसे सुरक्षा टोकन (यूएसबी स्टिक), बैंक कार्ड, की (key) इत्यादि।
- कुछ उपयोगकर्ता जानता है: कुछ ज्ञान केवल उपयोगकर्ता को ही पता होता है, जैसे पासवर्ड, पिन (व्यक्तिगत पहचान संख्या), आदि।
- कुछ उपयोगकर्ता हैं: उपयोगकर्ता की कुछ भौतिक विशेषताएं (बायोमेट्रिक्स), जैसे कि फिंगरप्रिंट, आईरिस, आवाज, टाइपिंग की गति, कुंजी दबाने के अंतराल में पैटर्न आदि।
दो-कारक प्रमाणीकरण का एक उदाहरण एटीएम से पैसे की निकासी है; केवल बैंक कार्ड (जो उपयोगकर्ता के पास है) और पिन (जिसे उपयोगकर्ता जानता है) का सही संयोजन ही लेनदेन को पूरा करने की अनुमति देता है। दो अन्य उदाहरण एक उपयोगकर्ता-नियंत्रित पासवर्ड को वन-टाइम पासवर्ड (ओटीपी) या प्रमाणक (जैसे सुरक्षा टोकन या स्मार्टफोन) द्वारा उत्पन्न या प्राप्त कोड के साथ पूरक करना है जो केवल उपयोगकर्ता के पास है।[3]
थर्ड-पार्टी ऑथेंटिकेटर ऐप टू-फैक्टर ऑथेंटिकेशन को अलग तरीके से सक्षम करता है, सामान्यतः पर एक बेतरतीब ढंग से जेनरेट किया गया और लगातार रिफ्रेशिंग कोड दिखाकर, जिसका उपयोग उपयोगकर्ता एसएमएस भेजने या किसी अन्य विधि का उपयोग करने के बजाय कर सकता है। इन ऐप्स का एक बड़ा फायदा यह है कि ये सामान्यतः पर बिना इंटरनेट कनेक्शन के भी काम करना जारी रखते हैं। तृतीय-पक्ष प्रमाणक ऐप्स के उदाहरणों में सम्मिलित हैं गूगल प्रमाणक, ऑटि और माइक्रोसॉफ्ट प्रमाणक; लास्टपास जैसे कुछ पासवर्ड मैनेजर भी सेवा प्रदान करते हैं।[4]
मल्टी-फैक्टर ऑथेंटिकेशन का एक अन्य उदाहरण प्रक्रिया है जिसे स्टेप-अप ऑथेंटिकेशन के रूप में जाना जाता है, जहां अधिक उच्च जोखिम वाले कार्यों के लिए अधिक ऑथेंटिकेशन फैक्टर की आवश्यकता होती है। ऑनलाइन बैंकिंग में उपयोग की जाने वाली स्टेप-अप प्रमाणीकरण योजना में, उदाहरण के लिए, व्यक्ति केवल पासवर्ड के साथ लॉग इन करने और खाते की शेष राशि की जांच करने में सक्षम हो सकता है, लेकिन धन हस्तांतरित करने से पहले एसएमएस के माध्यम से अपनी पहचान सत्यापित करने में सक्षम होना चाहिए। अतिरिक्त जानकारी दर्ज करने की आवश्यकता हो सकती है, जैसे कि एसएमएस के माध्यम से प्राप्त कोड। यह प्रक्रिया उपयोगकर्ता के घर्षण को कम करने और सुरक्षा बनाए रखने के बीच संतुलन बनाती है।
नॉलेज (ज्ञान)
नॉलेज फैक्टर प्रमाणीकरण का रूप है. इस रूप में, प्रमाणित करने के लिए उपयोगकर्ता को किसी रहस्य के ज्ञान को साबित करने की आवश्यकता होती है।
पासवर्ड एक गुप्त शब्द या अक्षरों की श्रंखला होती है जिसका उपयोग उपयोगकर्ता प्रमाणीकरण के लिए किया जाता है। यह प्रमाणीकरण का सबसे अधिक उपयोग किया जाने वाला तंत्र है।[2] प्रमाणीकरण के कारक के रूप में कई बहु-कारक प्रमाणीकरण तकनीकें पासवर्ड पर निर्भर करती हैं। विविधताओं में कई शब्दों (पासफ़्रेज़) से बने लंबे शब्द और एटीएम एक्सेस के लिए सामान्यतः उपयोग किए जाने वाले छोटे, विशुद्ध संख्यात्मक, पिन दोनों सम्मिलित हैं। परंपरागत रूप से, पासवर्ड याद रखने की अपेक्षा की जाती है।
ज्ञान-आधारित प्रमाणीकरण (केबीए) का अन्य रूप सुरक्षा प्रश्न है, जिसे सामान्य तौर पर उपयोगकर्ता द्वारा ऑनबोर्डिंग पर चुना और उत्तर दिया जाता है। सामान्य सुरक्षा प्रश्नों में ऐसी चीजें सम्मिलित होती हैं जो सामान्यतः खाता धारक से व्यक्तिगत संबंध के बिना जानी जाती हैं, जैसे कि माता का विवाह-पूर्व नाम या पहले पालतू जानवर का नाम।
स्वामित्व (पोस्सेशन)
स्वामित्व के कारक ("केवल उपयोगकर्ता के पास कुछ") सदियों से ताले की की (key) के रूप में प्रमाणीकरण के लिए उपयोग किया गया है। मूल सिद्धांत यह है कि कुंजी रहस्य का प्रतीक है जो ताला और की (key) के बीच साझा किया जाता है, और यह सिद्धांत कंप्यूटर सिस्टम में प्राधिकरण कारक प्रमाणीकरण को रेखांकित करता है। सुरक्षा टोकन अधिकार कारक का एक उदाहरण है।
डिस्कनेक्ट टोकन का क्लाइंट कंप्यूटर से कोई कनेक्शन नहीं है। वे सामान्यतः जनरेट किए गए प्रमाणीकरण डेटा को प्रदर्शित करने के लिए अंतर्निहित स्क्रीन का उपयोग करते हैं, जिसे उपयोगकर्ता द्वारा मैन्युअल रूप से टाइप किया जाता है। इस प्रकार का टोकन ज्यादातर ओटीपी का उपयोग करता है जिसका उपयोग केवल उस विशिष्ट सत्र के लिए किया जा सकता है।[5]
कनेक्टेड टोकन वे उपकरण हैं जो भौतिक रूप से उपयोग किए जाने वाले कंप्यूटर से जुड़े होते हैं। वे डिवाइस स्वचालित रूप से डेटा संचारित करते हैं।[6] USB टोकन, स्मार्ट कार्ड और वायरलेस टैग (आरएफआईडी) सहित कई प्रकार के होते हैं।[6] तेजी से, फिडो2 (FIDO2) सक्षम टोकन, फिडो एलायंस और वर्ल्ड वाइड वेब कंसोर्टियम (W3C) द्वारा समर्थित, 2015 में प्रारम्भ होने वाले मुख्यधारा के ब्राउज़र समर्थन के साथ लोकप्रिय हो गए हैं।
सॉफ्टवेयर टोकन (उर्फ सॉफ्ट टोकन) एक प्रकार का दो-कारक प्रमाणीकरण सुरक्षा उपकरण है जिसका उपयोग कंप्यूटर सेवाओं के उपयोग को अधिकृत करने के लिए किया जा सकता है। सॉफ़्टवेयर टोकन सामान्य-उद्देश्य वाले इलेक्ट्रॉनिक उपकरण जैसे डेस्कटॉप कंप्यूटर, लैपटॉप, व्यक्तिगत डिजिटल सहायक, या मोबाइल फोन (चल दूरभाष) पर संग्रहीत होते हैं और इन्हें डुप्लिकेट किया जा सकता है। (कंट्रास्ट हार्डवेयर टोकन, जहां क्रेडेंशियल्स को समर्पित हार्डवेयर डिवाइस पर संग्रहीत किया जाता है और इसलिए डुप्लिकेट नहीं किया जा सकता है, डिवाइस का फिजिकल अटैक नहीं होता है।) सॉफ्ट टोकन एक डिवाइस नहीं हो सकता है जिसके साथ उपयोगकर्ता इंटरैक्ट करता है। सामान्यतः X.509v3 प्रमाणपत्र डिवाइस पर लोड किया जाता है और इस उद्देश्य को पूरा करने के लिए सुरक्षित रूप से संग्रहीत किया जाता है।
बहु-कारक प्रमाणीकरण में भौतिक सुरक्षा प्रणालियों में भी अनुप्रयोग होते हैं। इन भौतिक सुरक्षा प्रणालियों को जाना जाता है और सामान्यतः पर अभिगम नियंत्रण के रूप में संदर्भित किया जाता है। मल्टी-फैक्टर ऑथेंटिकेशन सामान्यतः पर एक्सेस कंट्रोल सिस्टम में उपयोग के माध्यम से तैनात किया जाता है, सबसे पहले, भौतिक अधिकार (जैसे कि एफओबी, कीकार्ड, या क्यूआर-कोड डिवाइस पर प्रदर्शित होता है) जो पहचान क्रेडेंशियल के रूप में कार्य करता है, और दूसरा, सत्यापन किसी की पहचान जैसे कि चेहरे का बायोमेट्रिक्स या रेटिनल स्कैन। मल्टी-फैक्टर ऑथेंटिकेशन के इस रूप को सामान्यतः पर फेशियल वेरिफिकेशन या फेशियल ऑथेंटिकेशन कहा जाता है।
अंतर्निहित
ये उपयोगकर्ता से जुड़े कारक हैं, और सामान्यतः फिंगरप्रिंट, चेहरा,[7] [7] आवाज, या आईरिस पहचान सहित बॉयोमेट्रिक्स विधियां हैं। कीस्ट्रोक डायनेमिक्स जैसे व्यवहार बायोमेट्रिक्स का भी उपयोग किया जा सकता है।
स्थान
तेजी से, चौथा कारक खेल में आ रहा है जिसमें उपयोगकर्ता का भौतिक स्थान सम्मिलित है। जब किसी कॉर्पोरेट नेटवर्क से हार्ड वायर किया जाता है, तो उपयोगकर्ता को केवल पिन कोड का उपयोग करके लॉगिन करने की अनुमति दी जा सकती है। जबकि यदि उपयोगकर्ता नेटवर्क से बाहर था, तो सॉफ्ट टोकन से कोड भी दर्ज करने की आवश्यकता हो सकती है। इसे स्वीकृत मानक के रूप में देखा जा सकता है जहाँ कार्यालय प्रवेश नियंत्रित है।
एक्सेस कंट्रोल के लिए सिस्टम इसी तरह से काम करते हैं जहां नेटवर्क एक्सेस का स्तर डिवाइस से जुड़े विशिष्ट नेटवर्क पर सटीक हो सकता है, जैसे वाई-फाई बनाम वायर्ड मैसेजिंग। यह उपयोगकर्ता को बाइंडिंग के बीच जाने की अनुमति देता है और सक्रिय रूप से प्रत्येक में समान स्तर की नेटवर्क एक्सेस प्राप्त करता है।
स्थान एक सहायक प्रमाणीकरण कारक है क्योंकि इसे निष्क्रिय रूप से उपयोग किया जा सकता है, जिसका अर्थ है कि इसके लिए उपयोगकर्ताओं से बहुत कम इनपुट की आवश्यकता होती है और उपयोगकर्ता अनुभव में बाधा नहीं आती है। उपयोग किए गए संकेतों के आधार पर, स्थान व्यवहार कम झूठी सकारात्मक दर के साथ बहुत ही सटीक सत्यापनकर्ता है, क्योंकि दो लोगों के लिए ठीक उसी स्थान का व्यवहार करना लगभग असंभव है। इसकी अनूठी प्रकृति स्थान व्यवहार के आधार पर प्रमाणीकरण को भौगोलिक स्थान स्पूफिंग के विरुद्ध अधिक नमनीय बनाती है।
मोबाइल फोन आधारित प्रमाणीकरण
पाठ संदेश पर दो-कारक प्रमाणीकरण को 1996 की शुरुआत में विकसित किया गया था, जब एटी एंड टी ने दो-तरफ़ा पेजर पर कोड के आदान-प्रदान के आधार पर लेनदेन को अधिकृत करने के लिए एक प्रणाली का वर्णन किया था।[8][9]
कई बहु-कारक प्रमाणीकरण विक्रेता मोबाइल फोन-आधारित प्रमाणीकरण प्रदान करते हैं। कुछ विधियों में पुश-आधारित प्रमाणीकरण, क्यूआर कोड-आधारित प्रमाणीकरण, वन-टाइम पासवर्ड प्रमाणीकरण (ईवेंट-आधारित और समय-आधारित प्रमाणीकरण|समय-आधारित), और एसएमएस-आधारित सत्यापन सम्मिलित हैं। एसएमएस-आधारित सत्यापन कुछ सुरक्षा चिंताओं से ग्रस्त है। फोन को क्लोन किया जा सकता है, ऐप कई फोन पर चल सकते हैं और सेल फोन रखरखाव कर्मी एसएमएस टेक्स्ट पढ़ सकते हैं। कम से कम, सेल फोन से सामान्य रूप से समझौता नहीं किया जा सकता है, जिसका अर्थ है कि फोन अब केवल उपयोगकर्ता के पास नहीं है।
उपयोगकर्ता के पास मौजूद किसी चीज़ सहित प्रमाणीकरण की बड़ी कमी यह है कि उपयोगकर्ता को व्यावहारिक रूप से हर समय भौतिक टोकन (यूएसबी स्टिक, बैंक कार्ड, कुंजी या समान) रखना चाहिए। हानि और चोरी जोखिम हैं। कई संगठन मैलवेयर और डेटा चोरी के जोखिमों के कारण यूएसबीऔर इलेक्ट्रॉनिक उपकरणों को परिसर के अंदर या बाहर ले जाने से मना करते हैं, और इसी कारण से अधिकांश महत्वपूर्ण मशीनों में यूएसबी पोर्ट नहीं होते हैं। भौतिक टोकन सामान्यतः पर स्केल नहीं करते हैं, सामान्यतः पर प्रत्येक नए खाते और सिस्टम के लिए नए टोकन की आवश्यकता होती है। इस तरह के टोकन की खरीद और बाद में बदलने में लागत सम्मिलित है। इसके अलावा, प्रयोज्यता और सुरक्षा के बीच अंतर्निहित संघर्ष और अपरिहार्य व्यापार-नापसंद हैं।[10]
मोबाइल फोन और स्मार्टफोन से जुड़े दो-चरणीय प्रमाणीकरण समर्पित भौतिक उपकरणों का विकल्प प्रदान करता है। प्रमाणित करने के लिए, लोग डिवाइस पर अपने व्यक्तिगत एक्सेस कोड का उपयोग कर सकते हैं (यानी कुछ ऐसा जो केवल व्यक्तिगत उपयोगकर्ता जानता है) साथ ही एक बार-वैध, गतिशील पासकोड, सामान्यतः पर 4 से 6 अंकों का होता है। पासकोड उनके मोबाइल डिवाइस पर भेजा जा सकता है[1] एसएमएस द्वारा या एक बार के पासकोड-जनरेटर ऐप द्वारा उत्पन्न किया जा सकता है। दोनों ही मामलों में, मोबाइल फोन का उपयोग करने का लाभ यह है कि अतिरिक्त समर्पित टोकन की कोई आवश्यकता नहीं है, क्योंकि उपयोगकर्ता हर समय अपने मोबाइल उपकरणों को साथ लेकर चलते हैं। इसके अतिरिक्त, किसी डिवाइस की विशिष्ट विशेषताओं का उपयोग किसी डिवाइस की विशिष्ट पहचान करने और संभावित कपटपूर्ण खाता पहुंच को रोकने के लिए किया जा सकता है।
एसएमएस सत्यापन की लोकप्रियता के बावजूद, सुरक्षा अधिवक्ताओं ने सार्वजनिक रूप से एसएमएस सत्यापन की आलोचना की है[11] और जुलाई 2016 में यूनाइटेड स्टेट्स मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान ड्राफ्ट गाइडलाइन ने इसे प्रमाणीकरण के एक रूप के रूप में बहिष्कृत करने का प्रस्ताव दिया।[12] एक साल बाद एनआईएसटी ने अंतिम दिशानिर्देश में वैध प्रमाणीकरण चैनल के रूप में एसएमएस सत्यापन को बहाल कर दिया।[13]
क्रमशः 2016 और 2017 में, Google और Apple दोनों ने पुश तकनीक (पुश नोटिफिकेशन) के साथ उपयोगकर्ता को दो-चरणीय प्रमाणीकरण की पेशकश[2] वैकल्पिक विधि के रूप में शुरू की।[14][15]
मोबाइल-वितरित सुरक्षा टोकन की सुरक्षा पूरी तरह से मोबाइल ऑपरेटर की परिचालन सुरक्षा पर निर्भर करती है और राष्ट्रीय सुरक्षा एजेंसियों द्वारा वायरटैपिंग या सिम क्लोनिंग द्वारा आसानी से इसका उल्लंघन किया जा सकता है।[16]
लाभ:
- कोई अतिरिक्त टोकन आवश्यक नहीं है क्योंकि यह उन मोबाइल उपकरणों का उपयोग करता है जो (सामान्यतः) हर समय ले जाते हैं।
- चूंकि वे लगातार बदलते रहते हैं, गतिशील रूप से उत्पन्न पासकोड निश्चित (स्थिर) लॉग-इन जानकारी की तुलना में उपयोग करने के लिए सुरक्षित होते हैं।
- समाधान के आधार पर, उपयोग किए गए पासकोड स्वचालित रूप से बदल दिए जाते हैं ताकि यह सुनिश्चित किया जा सके कि एक वैध कोड हमेशा उपलब्ध रहे, इसलिए ट्रांसमिशन/रिसेप्शन समस्याएं लॉगिन को नहीं रोकती हैं।
नुकसान:
- उपयोगकर्ता अभी भी फ़िशिंग हमलों के प्रति संवेदनशील हो सकते हैं। अटैकर टेक्स्ट संदेश भेज सकता है जो नकली URL से लिंक करता है जो वास्तविक वेबसाइट के समान दिखता है। अटैकर तब प्रमाणीकरण कोड, उपयोगकर्ता नाम और पासवर्ड प्राप्त कर सकता है।[17]
- मोबाइल फोन हमेशा उपलब्ध नहीं होता है—यह खो सकता है, चोरी हो सकता है, बैटरी समाप्त हो सकती है, या अन्यथा काम नहीं कर सकता है।
- उनकी बढ़ती लोकप्रियता के बावजूद, कुछ उपयोगकर्ताओं के पास मोबाइल डिवाइस भी नहीं हो सकता है, और अपने होम पीसी पर कुछ सेवा का उपयोग करने की शर्त के रूप में एक के स्वामित्व की आवश्यकता होने पर नाराजगी जताते हैं।
- मोबाइल फोन रिसेप्शन हमेशा उपलब्ध नहीं होता है—बड़े क्षेत्र, विशेष रूप से कस्बों के बाहर, कवरेज की कमी होती है।
- सिम क्लोनिंग से हैकर्स को मोबाइल फोन कनेक्शन का एक्सेस मिल जाता है। सोशल इंजीनियरिंग (सुरक्षा)। मोबाइल-ऑपरेटर कंपनियों के खिलाफ सोशल-इंजीनियरिंग हमलों के परिणामस्वरूप डुप्लीकेट सिम कार्ड अपराधियों को सौंप दिए गए हैं।[18]
- लघु संदेश सेवा का उपयोग करने वाले मोबाइल फोन पर पाठ संदेश असुरक्षित हैं और आईएमएसआई-कैचर्स द्वारा इंटरसेप्ट किए जा सकते हैं। इस प्रकार तीसरे पक्ष टोकन की चोरी और उपयोग कर सकते हैं।[19]
- खाता पुनर्प्राप्ति सामान्यतः पर मोबाइल-फ़ोन दो-कारक प्रमाणीकरण को बायपास करती है।[1]
- आधुनिक स्मार्टफोन का उपयोग ईमेल और एसएमएस दोनों प्राप्त करने के लिए किया जाता है। इसलिए यदि फोन खो जाता है या चोरी हो जाता है और पासवर्ड या बायोमेट्रिक द्वारा सुरक्षित नहीं होता है, तो सभी खाते जिनके लिए ईमेल कुंजी है, को हैक किया जा सकता है क्योंकि फोन दूसरा कारक प्राप्त कर सकता है।
- मोबाइल वाहक संदेश शुल्क के लिए उपयोगकर्ता से शुल्क ले सकते हैं।
कानून और नियमन
भुगतान कार्ड उद्योग (पीसीआई) डेटा सुरक्षा मानक, आवश्यकता 8.3, नेटवर्क के बाहर कार्ड डेटा पर्यावरण (सीडीई) के लिए उत्पन्न होने वाले सभी दूरस्थ नेटवर्क एक्सेस के लिए एमएफए के उपयोग की आवश्यकता है।[20] पीसीआई-डीएसएस संस्करण 3.2 से शुरू होकर, सीडीई तक सभी प्रशासनिक पहुंच के लिए एमएफए के उपयोग की आवश्यकता होती है, भले ही उपयोगकर्ता एक विश्वसनीय नेटवर्क के भीतर हो।
यूरोपीय संघ
दूसरे पेमेंट सर्विसेज डायरेक्टिव (भुगतान सेवा निर्देश) के लिए 14 सितंबर, 2019 से यूरोपीय आर्थिक क्षेत्र में अधिकांश इलेक्ट्रॉनिक भुगतानों पर "मजबूत ग्राहक प्रमाणीकरण" की आवश्यकता है।[21]
भारत
भारत में, भारतीय रिजर्व बैंक ने एसएमएस पर भेजे गए पासवर्ड या वन-टाइम पासवर्ड का उपयोग करके डेबिट या क्रेडिट कार्ड का उपयोग करके किए गए सभी ऑनलाइन लेनदेन के लिए दो-कारक प्रमाणीकरण अनिवार्य किया। नवंबर 2016 के नोट विमुद्रीकरण के मद्देनजर ₹2,000 तक के लेनदेन के लिए इसे 2016 में अस्थायी रूप से वापस ले लिया गया था। उबेर जैसे विक्रेताओं को बैंक द्वारा इस दो-कारक प्रमाणीकरण रोलआउट के अनुपालन में अपनी भुगतान प्रसंस्करण प्रणाली में संशोधन करने के लिए अनिवार्य किया गया है।[22][23][24]
संयुक्त राज्य
संयुक्त राज्य अमेरिका में संघीय कर्मचारियों और ठेकेदारों के लिए प्रमाणीकरण के विवरण को होमलैंड सिक्योरिटी प्रेसिडेंशियल डायरेक्टिव 12 (HSPD-12) के साथ परिभाषित किया गया है।[25]
मौजूदा प्रमाणीकरण पद्धतियों में तीन प्रकार के बुनियादी कारकों की व्याख्या की गई है। प्रमाणीकरण विधियां जो एक से अधिक कारकों पर निर्भर करती हैं, एकल-कारक विधियों की तुलना में समझौता करना अधिक कठिन होता है।[citation needed][26]
संघीय सरकारी प्रणालियों तक पहुंच के लिए आईटी नियामक मानकों को संवेदनशील आईटी संसाधनों तक पहुंचने के लिए बहु-कारक प्रमाणीकरण के उपयोग की आवश्यकता होती है, उदाहरण के लिए जब प्रशासनिक कार्यों को करने के लिए नेटवर्क उपकरणों पर लॉग ऑन करते हैं[27] और विशेषाधिकार प्राप्त लॉगिन का उपयोग करते हुए किसी कंप्यूटर तक पहुंच बनाते हैं।[28]
एनआईएसटी विशेष प्रकाशन 800-63-3 दो-कारक प्रमाणीकरण के विभिन्न रूपों पर चर्चा करता है और आश्वासन के विभिन्न स्तरों की आवश्यकता वाली व्यावसायिक प्रक्रियाओं में उनका उपयोग करने पर मार्गदर्शन प्रदान करता है।[29]2005 में, संयुक्त राज्य अमेरिका की संघीय वित्तीय संस्थान परीक्षा परिषद ने वित्तीय संस्थानों के लिए मार्गदर्शन जारी किया, वित्तीय संस्थानों को जोखिम-आधारित आकलन करने, ग्राहक जागरूकता कार्यक्रमों का मूल्यांकन करने और ग्राहकों को विश्वसनीय रूप से प्रमाणित करने के लिए सुरक्षा उपाय विकसित करने की सिफारिश की, जो आधिकारिक तौर पर प्रमाणीकरण विधियों के उपयोग की सिफारिश करते हैं। जो उपयोगकर्ता की पहचान निर्धारित करने के लिए एक से अधिक कारकों (विशेष रूप से, उपयोगकर्ता क्या जानता है, क्या है, और क्या है) पर निर्भर करता है।[30] प्रकाशन के जवाब में, कई प्रमाणीकरण विक्रेताओं ने बहु-कारक प्रमाणीकरण के रूप में चुनौती-प्रश्नों, गुप्त छवियों और अन्य ज्ञान-आधारित विधियों को अनुचित रूप से प्रचारित करना प्रारम्भ कर दिया था। परिणामी भ्रम और इस तरह के तरीकों को व्यापक रूप से अपनाने के कारण, 15 अगस्त, 2006 को एफएफआईईसी ने पूरक दिशानिर्देश प्रकाशित किए, जो बताता है कि परिभाषा के अनुसार, एक सच्चे बहु-कारक प्रमाणीकरण प्रणाली को प्रमाणीकरण के तीन कारकों के अलग-अलग उदाहरणों का उपयोग करना चाहिए, न कि केवल एक कारक के कई उदाहरणों का उपयोग करना चाहिए।[31]
सुरक्षा
समर्थकों के अनुसार, बहु-कारक प्रमाणीकरण ऑनलाइन पहचान की चोरी और अन्य ऑनलाइन धोखाधड़ी की घटनाओं को काफी हद तक कम कर सकता है, क्योंकि पीड़ित का पासवर्ड चोर को उनकी जानकारी तक स्थायी पहुंच देने के लिए पर्याप्त नहीं होगा। हालाँकि, कई बहु-कारक प्रमाणीकरण दृष्टिकोण फ़िशिंग के प्रति संवेदनशील रहते हैं,[32] मैन-इन-ब्राउज़र, और मैन-इन-द-मिडिल आक्रमण।[33] वेब अनुप्रयोगों में दो-कारक प्रमाणीकरण विशेष रूप से फ़िशिंग हमलों के लिए अतिसंवेदनशील होते हैं, विशेष रूप से एसएमएस और ई-मेल में, और, प्रतिक्रिया के रूप में, कई विशेषज्ञ उपयोगकर्ताओं को सलाह देते हैं कि वे अपने सत्यापन कोड किसी के साथ साझा न करें,[34] और कई वेब एप्लिकेशन प्रदाता कोड वाले ई-मेल या एसएमएस में सलाह देंगे।[35]
बहु-कारक प्रमाणीकरण अप्रभावी हो सकता है[36] एटीएम स्किमिंग, फ़िशिंग और मैलवेयर जैसे आधुनिक खतरों के विरुद्ध।[37]
मई 2017 में, जर्मन मोबाइल सेवा प्रदाता O2 टेलीफ़ोनिका ने पुष्टि की कि साइबर अपराधियों ने उपयोगकर्ताओं के बैंक खातों से अनधिकृत निकासी करने के लिए एसएमएस आधारित टू-स्टेप ऑथेंटिकेशन को बायपास करने के लिए सिग्नलिंग सिस्टम नंबर 7 की कमजोरियों का फायदा उठाया था। अपराधी पहले ट्रोजन हॉर्स (कंप्यूटिंग) खाता धारक के कंप्यूटर को उनके बैंक खाते की साख और फोन नंबर चुराने के प्रयास में करते हैं। फिर अटैकर्स ने नकली टेलीकॉम प्रदाता तक पहुंच खरीदी और पीड़ित के फोन नंबर के लिए उनके द्वारा नियंत्रित हैंडसेट पर रीडायरेक्ट किया। अंत में, अटैकर्स ने पीड़ितों के ऑनलाइन बैंक खातों में लॉग इन किया और खातों से अपराधियों के स्वामित्व वाले खातों में पैसे निकालने का अनुरोध किया। अटैकर्स द्वारा नियंत्रित फोन नंबरों पर एसएमएस पासकोड भेजे गए और अपराधियों ने पैसे बाहर स्थानांतरित कर दिए।[38]
कार्यान्वयन
कई बहु-कारक प्रमाणीकरण उत्पादों को बहु-कारक प्रमाणीकरण प्रणाली को काम करने के लिए उपयोगकर्ताओं को क्लाइंट सॉफ़्टवेयर को तैनात करने की आवश्यकता होती है। कुछ विक्रेताओं ने नेटवर्क लॉगिन, वेब (WWW) एक्सेस क्रेडेंशियल्स और वीपीएन कनेक्शन क्रेडेंशियल्स के लिए अलग-अलग इंस्टॉलेशन पैकेज बनाए हैं। ऐसे उत्पादों के लिए, टोकन या स्मार्ट कार्ड का उपयोग करने के लिए क्लाइंट पीसी पर पुश करने के लिए चार या पांच अलग-अलग सॉफ्टवेयर पैकेज हो सकते हैं। यह चार या पाँच पैकेजों का अनुवाद करता है, जिस पर संस्करण नियंत्रण किया जाना है, और चार या पाँच पैकेज व्यावसायिक अनुप्रयोगों के साथ संघर्ष की जाँच के लिए। यदि वेब पेजों का उपयोग करके एक्सेस को संचालित किया जा सकता है, तो ऊपर बताए गए ओवरहेड्स को एक ही एप्लिकेशन तक सीमित करना संभव है। अन्य बहु-कारक प्रमाणीकरण तकनीक जैसे हार्डवेयर टोकन उत्पादों के साथ, अंतिम उपयोगकर्ताओं द्वारा कोई सॉफ़्टवेयर स्थापित नहीं किया जाना चाहिए।
बहु-कारक प्रमाणीकरण में कमियां हैं जो कई दृष्टिकोणों को व्यापक होने से रोक रही हैं। कुछ उपयोगकर्ताओं को हार्डवेयर टोकन या USB प्लग का ट्रैक रखने में कठिनाई होती है। कई उपयोगकर्ताओं के पास स्वयं क्लाइंट-साइड सॉफ़्टवेयर प्रमाणपत्र स्थापित करने के लिए आवश्यक तकनीकी कौशल नहीं होते हैं। आम तौर पर, बहु-कारक समाधानों को कार्यान्वयन के लिए अतिरिक्त निवेश और रखरखाव के लिए लागत की आवश्यकता होती है। अधिकांश हार्डवेयर टोकन-आधारित सिस्टम मालिकाना हैं और कुछ विक्रेता प्रति उपयोगकर्ता वार्षिक शुल्क लेते हैं। सुरक्षा टोकन की तैनाती तार्किक रूप से चुनौतीपूर्ण है। हार्डवेयर सुरक्षा टोकन क्षतिग्रस्त या गुम हो सकते हैं और बड़े उद्योगों जैसे बैंकिंग या यहां तक कि बड़े उद्यमों के भीतर सुरक्षा टोकन जारी करने को प्रबंधित करने की आवश्यकता है। परिनियोजन लागतों के अतिरिक्त, बहु-कारक प्रमाणीकरण में अक्सर महत्वपूर्ण अतिरिक्त समर्थन लागतें होती हैं। 2008 का एक सर्वेक्षण[39] संयुक्त राज्य अमेरिका में 120 से अधिक क्रेडिट यूनियनों की संख्या|यू. क्रेडिट यूनियन जर्नल द्वारा एस क्रेडिट यूनियनों ने दो-कारक प्रमाणीकरण से जुड़ी समर्थन लागतों पर रिपोर्ट की। उनकी रिपोर्ट में, सॉफ़्टवेयर प्रमाणपत्र और सॉफ़्टवेयर टूलबार दृष्टिकोणों की उच्चतम समर्थन लागत होने की सूचना दी गई थी।
बहु-कारक प्रमाणीकरण योजनाओं की तैनाती में अनुसंधान[40] ने दिखाया है कि ऐसी प्रणालियों को अपनाने को प्रभावित करने वाले तत्वों में से एक संगठन का व्यवसाय है जो बहु-कारक प्रमाणीकरण प्रणाली को तैनात करता है। उद्धृत उदाहरणों में यू.एस. संघीय सरकार सम्मिलित है, जो भौतिक टोकन की एक विस्तृत प्रणाली को नियोजित करती है (जो स्वयं मजबूत सार्वजनिक कुंजी अवसंरचना द्वारा समर्थित है), साथ ही निजी बैंक, जो अपने ग्राहकों के लिए बहु-कारक प्रमाणीकरण योजनाओं को पसंद करते हैं जिनमें अधिक सुलभ सम्मिलित हैं , पहचान सत्यापन के कम खर्चीले साधन, जैसे कि ग्राहक के स्वामित्व वाले स्मार्टफ़ोन पर इंस्टॉल किया गया ऐप। उपलब्ध प्रणालियों के बीच मौजूद विविधताओं के बावजूद, जिन्हें संगठनों को चुनना पड़ सकता है, एक बार बहु-कारक प्रमाणीकरण प्रणाली एक संगठन के भीतर तैनात होने के बाद, यह बनी रहती है, क्योंकि उपयोगकर्ता हमेशा सिस्टम की उपस्थिति और उपयोग के लिए अभ्यस्त होते हैं और गले लगाते हैं। यह समय के साथ उनकी प्रासंगिक सूचना प्रणाली के साथ बातचीत की उनकी दैनिक प्रक्रिया के सामान्यीकृत तत्व के रूप में।
जबकि धारणा यह है कि बहु-कारक प्रमाणीकरण पूर्ण सुरक्षा के दायरे में है, रोजर ग्रिम्स लिखते हैं[41] कि अगर ठीक से लागू और कॉन्फ़िगर नहीं किया गया है, तो बहु-कारक प्रमाणीकरण वास्तव में आसानी से पराजित हो सकता है।
पेटेंट
2013 में, किम डॉटकॉम ने 2000 पेटेंट में दो-कारक प्रमाणीकरण का आविष्कार करने का दावा किया,[42] और संक्षिप्त रूप से सभी प्रमुख वेब सेवाओं पर मुकदमा चलाने की धमकी दी। हालांकि, यूरोपीय पेटेंट कार्यालय ने 1998 में AT&T द्वारा रखे गए पहले के अमेरिकी पेटेंट के आलोक में उनके पेटेंट[43] को रद्द कर दिया था।[44]
यह भी देखें
- इलेक्ट्रॉनिक प्रमाणीकरण (इलेक्ट्रॉनिक ऑथेन्टिकेशन)
- पहचान प्रबंधन (आइडेंटिटी मैनेजमेंट)
- बहुदलीय प्राधिकरण (मल्टी-पार्टी ऑथॉरिज़ेशन)
- आपसी प्रमाणीकरण (म्यूच्यूअल ऑथेन्टिकेशन)
- रिलायंस प्रमाणीकरण
- मजबूत प्रमाणीकरण (स्ट्रांग ऑथेन्टिकेशन)
- यूनिवर्सल दूसरा कारक
संदर्भ
- ↑ 1.0 1.1 1.2 "टू-फैक्टर ऑथेंटिकेशन: आपको क्या जानने की जरूरत है (FAQ) - CNET". CNET. Retrieved 2015-10-31.
- ↑ 2.0 2.1 2.2 Jacomme, Charlie; Kremer, Steve (February 1, 2021). "बहु-कारक प्रमाणीकरण प्रोटोकॉल का एक व्यापक औपचारिक विश्लेषण". ACM Transactions on Privacy and Security (in English). New York City: Association for Computing Machinery. 24 (2): 1–34. doi:10.1145/3440712. ISSN 2471-2566. S2CID 231791299.
- ↑ kaitlin.boeckl@nist.gov (2016-06-28). "मूलभूत बातों पर वापस जाएं: बहु-कारक प्रमाणीकरण (MFA)". NIST (in English). Archived from the original on 2021-04-06. Retrieved 2021-04-06.
- ↑ Barrett, Brian (July 22, 2018). "बेहतर टू-फैक्टर ऑथेंटिकेशन के साथ अपने अकाउंट्स को कैसे सुरक्षित करें". Wired. Retrieved 12 September 2020.
- ↑ "वन-टाइम पासवर्ड कॉन्फ़िगर करना". www.sonicwall.com. Sonic Wall. Retrieved 19 January 2022.
- ↑ 6.0 6.1 van Tilborg, Henk C.A.; Jajodia, Sushil, eds. (2011). Encyclopedia of Cryptography and Security, Volume 1. Berlin, Germany: Springer Science & Business Media. p. 1305. ISBN 9781441959058.
- ↑ Cao, Liling; Ge, Wancheng (2015-03-10). "बहु-कारक बायोमेट्रिक प्रमाणीकरण योजना का विश्लेषण और सुधार: एमएफबीए योजना का विश्लेषण और सुधार". Security and Communication Networks (in English). 8 (4): 617–625. doi:10.1002/sec.1010.
- ↑ "क्या किम डॉटकॉम के पास मूल 'टू-फैक्टर' लॉगिन पेटेंट है?". the Guardian (in English). 2013-05-23. Retrieved 2022-11-02.
- ↑ EP 0745961, "लेन-देन प्राधिकरण और चेतावनी प्रणाली", issued 1996-12-04
- ↑ Wang, Ding; He, Debiao; Wang, Ping; Chu, Chao-Hsien (2014). "डिस्ट्रीब्यूटेड सिस्टम्स में बेनामी टू-फैक्टर ऑथेंटिकेशन: कुछ लक्ष्य प्राप्ति से परे हैं" (PDF). IEEE Transactions on Dependable and Secure Computing. Piscataway, New Jersey: Institute of Electrical and Electronics Engineers. Retrieved 2018-03-23.
- ↑ Andy Greenberg (2016-06-26). "तो अरे आपको टू-फैक्टर ऑथेंटिकेशन के लिए टेक्स्ट का इस्तेमाल बंद कर देना चाहिए". Wired. Retrieved 2018-05-12.
- ↑ "एनआईएसटी अब एसएमएस का उपयोग करके दो-कारक प्रमाणीकरण की सिफारिश नहीं कर रहा है". Schneier on Security. August 3, 2016. Retrieved November 30, 2017.
- ↑ "रोलबैक! युनाइटेड स्टेट्स एनआईएसटी अब "2FA के लिए डीप्रिकेटिंग एसएमएस" की अनुशंसा नहीं करता है". July 6, 2017. Retrieved May 21, 2019.
- ↑ Tung, Liam. "Google prompt: You can now just tap 'yes' or 'no' on iOS, Android to approve Gmail sign-in". ZD Net. ZD Net. Retrieved 11 September 2017.
- ↑ Chance Miller (2017-02-25). "Apple iOS 10.3 का संकेत दे रहा है". 9to5 Mac. 9to5 Mac. Retrieved 11 September 2017.
- ↑ "मैसेजिंग ऐप्स को इंटरसेप्ट करने पर रूस कैसे काम करता है - Bellingcat". bellingcat (in English). 2016-04-30. Archived from the original on 2016-04-30. Retrieved 2016-04-30.
- ↑ Kan, Michael (7 March 2019). "Google: फ़िशिंग हमले जो दो-कारकों को हरा सकते हैं, बढ़ रहे हैं". PC Mag. Retrieved 9 September 2019.
- ↑ Nichols, Shaun (10 July 2017). "टू-फैक्टर फेल: 'एटी एंड टी हैकर ट्रिक्स के झांसे में' आने के बाद चापलूस". The Register. Retrieved 2017-07-11.
- ↑ Toorani, Mohsen; Beheshti, A. (2008). "SSMS - A secure SMS messaging protocol for the m-payment systems". 2008 कंप्यूटर और संचार पर IEEE संगोष्ठी. pp. 700–705. arXiv:1002.3171. doi:10.1109/ISCC.2008.4625610. ISBN 978-1-4244-2702-4. S2CID 5066992.
- ↑ "आधिकारिक PCI सुरक्षा मानक परिषद साइट - PCI अनुपालन सत्यापित करें, डेटा सुरक्षा डाउनलोड करें और क्रेडिट कार्ड सुरक्षा मानक". www.pcisecuritystandards.org. Retrieved 2016-07-25.
- ↑ Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance.) (in English), 2018-03-13, retrieved 2021-04-06
- ↑ Agarwal, Surabhi (7 December 2016). "भुगतान फर्मों ने छोटे मूल्य के लेनदेन के लिए दो-कारक प्रमाणीकरण को समाप्त करने के आरबीआई के कदम की सराहना की". The Economic Times. Retrieved 28 June 2020.
- ↑ Nair, Vishwanath (6 December 2016). "आरबीआई ने 2,000 रुपये तक के ऑनलाइन कार्ड लेनदेन के लिए टू-फैक्टर ऑथेंटिकेशन को आसान बनाया". Livemint (in English). Retrieved 28 June 2020.
- ↑ "उबेर अब भारत की दो-कारक प्रमाणीकरण आवश्यकता का अनुपालन करता है, इसे अनावश्यक और बोझिल कहता है". VentureBeat (in English). 2014-11-30. Retrieved 2021-09-05.
- ↑ "होमलैंड सिक्योरिटी प्रेसिडेंशियल डायरेक्टिव 12". Department of Homeland Security. August 1, 2008. Archived from the original on September 16, 2012.
- ↑ "Frequently Asked Questions on FFIEC Guidance on Authentication in an Internet Banking Environment", August 15, 2006[dead link]
- ↑ "SANS संस्थान, क्रिटिकल कंट्रोल 10: फ़ायरवॉल, राउटर और स्विच जैसे नेटवर्क उपकरणों के लिए सुरक्षित कॉन्फ़िगरेशन". Archived from the original on 2013-01-28. Retrieved 2013-02-11.
- ↑ "SANS संस्थान, क्रिटिकल कंट्रोल 12: प्रशासनिक विशेषाधिकारों का नियंत्रित उपयोग". Archived from the original on 2013-01-28. Retrieved 2013-02-11.
- ↑ "डिजिटल पहचान दिशानिर्देश". NIST Special Publication 800-63-3. NIST. June 22, 2017. Retrieved February 2, 2018.
- ↑ "एफएफआईईसी प्रेस विज्ञप्ति". 2005-10-12. Retrieved 2011-05-13.
- ↑ FFIEC (2006-08-15). "इंटरनेट बैंकिंग वातावरण में प्रमाणीकरण पर FFIEC मार्गदर्शन पर अक्सर पूछे जाने वाले प्रश्न" (PDF). Retrieved 2012-01-14.
- ↑ Brian Krebs (July 10, 2006). "सुरक्षा सुधार - सिटीबैंक फिश स्पूफ्स 2-फैक्टर ऑथेंटिकेशन". Washington Post. Retrieved 20 September 2016.
- ↑ Bruce Schneier (March 2005). "टू-फैक्टर ऑथेंटिकेशन की विफलता". Schneier on Security. Retrieved 20 September 2016.
- ↑ Alex Perekalin (May 2018). "आपको कभी भी किसी को सत्यापन कोड क्यों नहीं भेजना चाहिए". Kaspersky. Retrieved 17 October 2020.
- ↑ Siadati, Hossein; Nguyen, Toan; Gupta, Payas; Jakobsson, Markus; Memon, Nasir (2017). "माइंड योर एसएमएस: मिटिगेटिंग सोशल इंजीनियरिंग इन सेकेंड फैक्टर ऑथेंटिकेशन" (PDF). Computers & Security. 65: 14–28. doi:10.1016/j.cose.2016.09.009. S2CID 10821943. Retrieved 17 October 2020.
- ↑ Shankland, Stephen. "दो तरीकों से प्रमाणीकरण? ईमेल या अपने बैंक में लॉग इन करते समय आपकी अपेक्षा के अनुरूप सुरक्षित नहीं है". CNET (in English). Retrieved 2020-09-27.
- ↑ "टू-फैक्टर ऑथेंटिकेशन की विफलता - सुरक्षा पर श्नेयर". schneier.com. Retrieved 23 October 2015.
- ↑ Khandelwal, Swati. "रियल-वर्ल्ड SS7 अटैक - हैकर्स बैंक खातों से पैसे चुरा रहे हैं". The Hacker News (in English). Retrieved 2017-05-05.
- ↑ "अध्ययन लागत पर नया प्रकाश डालता है, बहु-कारक का प्रभाव". 4 April 2008.
- ↑ Libicki, Martin C.; Balkovich, Edward; Jackson, Brian A.; Rudavsky, Rena; Webb, Katharine (2011). "मल्टीफैक्टर ऑथेंटिकेशन को अपनाने पर प्रभाव" (in English).
- ↑ "हैकिंग मल्टीफैक्टर ऑथेंटिकेशन | विली". Wiley.com (in English). Retrieved 2020-12-17.
{{cite web}}: CS1 maint: url-status (link) - ↑ US 6078908, Schmitz, Kim, "डेटा ट्रांसमिशन सिस्टम में अधिकृत करने की विधि"
- ↑ Brodkin, Jon (23 May 2013). "किम डॉटकॉम का दावा है कि उन्होंने टू-फैक्टर ऑथेंटिकेशन का आविष्कार किया था- लेकिन वह पहले नहीं थे". Ars Technica. Archived from the original on 9 July 2019. Retrieved 25 July 2019.
- ↑ US 5708422, Blonder, et al., "लेन-देन प्राधिकरण और चेतावनी प्रणाली"
अग्रिम पठन
- Brandom, Russell (July 10, 2017). "Two-factor authentication is a mess". The Verge. Retrieved July 10, 2017.
बाहरी संबंध
Definitions from Wiktionary
Media from Commons
Textbooks from Wikibooks
Resources from Wikiversity
Data from Wikidata
Discussions from Meta-Wiki
Documentation from MediaWiki
- Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees (register.com, 18 Mar 2011)
- Banks to Use Two-factor Authentication by End of 2006, (slashdot.org, 20 Oct 2005)
- Microsoft to abandon passwords, Microsoft preparing to dump passwords in favour of two-factor authentication in forthcoming versions of Windows (vnunet.com, 14 Mar 2005)
