Home-theater-designers
मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को लागू करना आपके ऑनलाइन खातों की सुरक्षा को मजबूत करने की एक उत्कृष्ट रणनीति है, लेकिन परिष्कृत फ़िशिंग हमले MFA को बायपास कर सकते हैं। इसलिए आधुनिक फ़िशिंग अभियानों से लड़ने के लिए एक मज़बूत फ़िशिंग-प्रतिरोधी MFA विधि अपनाने पर विचार करें।
दिन का वीडियो
फ़िशिंग हमलों के लिए पारंपरिक एमएफए कैसे अतिसंवेदनशील है? फ़िशिंग-प्रतिरोधी MFA समाधान क्या है, और यह फ़िशिंग हमलों को कैसे रोक सकता है?
बहु-कारक प्रमाणीकरण क्या है?
जैसा कि शब्द बताता है, बहु-कारक प्रमाणीकरण के लिए आवश्यक है कि आप अपने खातों तक पहुँचने के लिए दो या अधिक सत्यापन कारक प्रस्तुत करें।
जब आप लॉग इन करने का प्रयास कर रहे हों तो प्रमाणीकरण प्रक्रिया में एक कारक आपकी पहचान सत्यापित करने का माध्यम है।
सबसे आम कारक हैं:
- कुछ आप जानते हैं: एक पासवर्ड या एक पिन जो आपको याद है
- आपके पास कुछ है: एक सुरक्षित यूएसबी कुंजी या आपके पास एक स्मार्टफोन
- कुछ तुम हो: आपकी चेहरे की पहचान या फिंगरप्रिंट
बहु-कारक प्रमाणीकरण आपके खातों में सुरक्षा की अतिरिक्त परतें जोड़ता है। यह आपके लॉकर में दूसरा या तीसरा ताला जोड़ने जैसा है।
एक विशिष्ट बहु-कारक प्रमाणीकरण प्रक्रिया में, आप पहले अपना पासवर्ड या पिन दर्ज करेंगे। उसके बाद, आप अपने स्मार्टफ़ोन पर दूसरा कारक प्राप्त कर सकते हैं। यह दूसरा कारक एक प्रमाणक ऐप पर एक एसएमएस या अधिसूचना हो सकता है। आपकी एमएफए सेटिंग्स के आधार पर, आपको बायोमेट्रिक्स के माध्यम से अपनी पहचान सत्यापित करने की आवश्यकता हो सकती है।
वहाँ हैं बहु-कारक प्रमाणीकरण का उपयोग करने के कई कारण , लेकिन क्या फ़िशिंग का पूरी तरह से विरोध कर सकते हैं?
दुर्भाग्य से, जवाब नहीं है।'
बहु-कारक प्रमाणीकरण के लिए साइबर खतरे
हालांकि एमएफए विधियां एकल-कारक प्रमाणीकरण विधियों की तुलना में अधिक सुरक्षित हैं, लेकिन खतरे के कारक विभिन्न तकनीकों का उपयोग करके उनका फायदा उठा सकते हैं।
यहां बताया गया है कि कैसे हैकर्स एमएफए को बायपास कर सकते हैं।
ब्रूट-फोर्स अटैक
यदि हैकर्स के पास आपका लॉगिन क्रेडेंशियल है और आपने दूसरे कारक के रूप में उपयोग करने के लिए 4 अंकों का पिन सेट किया है, तो वे बहु-कारक प्रमाणीकरण को बायपास करने के लिए सुरक्षा पिन का अनुमान लगाने के लिए क्रूर बल के हमले कर सकते हैं।
सिम हैकिंग
इन दिनों, खतरे वाले अभिनेता सिम स्वैपिंग, सिम क्लोनिंग और सिम जैकिंग जैसी तकनीकों का उपयोग करते हैं अपना सिम कार्ड हैक करें . और एक बार जब उनका आपके सिम पर नियंत्रण हो जाता है, तो वे आपके एमएफए तंत्र से समझौता करते हुए एसएमएस-आधारित दूसरे कारक को आसानी से रोक सकते हैं।
एमएफए थकान हमलों
एक में एमएफए थकान हमला , जब तक आप हार नहीं मान लेते, तब तक एक हैकर आप पर ढेर सारे पुश नोटिफिकेशन की बौछार करता है। एक बार जब आप साइन-इन अनुरोध को स्वीकार कर लेते हैं, तो हैकर आपके खाते तक पहुंच सकता है।
मध्य हमलों में विरोधी
हैकर्स लॉगिन क्रेडेंशियल और दूसरे कारक टोकन दोनों को इंटरसेप्ट करने के लिए एविलगिनक्स जैसे एआईटीएम फ्रेमवर्क का उपयोग कर सकते हैं। फिर वे आपके खाते में लॉग इन कर सकते हैं और कोई भी बुरा काम कर सकते हैं जो उन्हें भाता है।
पास-द-कुकी हमले
एक बार जब आप बहु-कारक प्रमाणीकरण प्रक्रिया पूरी कर लेते हैं, तो एक ब्राउज़र कुकी बनाई जाती है और आपके सत्र के लिए रखी जाती है। हैकर्स इस कुकी को निकाल सकते हैं और एक अलग सिस्टम पर दूसरे ब्राउज़र में सत्र शुरू करने के लिए इसका इस्तेमाल कर सकते हैं।
फ़िशिंग
फ़िशिंग, सबसे अधिक में से एक सामान्य सामाजिक इंजीनियरिंग रणनीति , अक्सर दूसरे कारक तक पहुँचने के लिए नियोजित किया जाता है जब खतरे वाले अभिनेता के पास पहले से ही आपका उपयोगकर्ता नाम और पासवर्ड होता है।
उदाहरण के लिए, आप सॉफ़्टवेयर-एज़-ए-सर्विस (सास) विक्रेता का उपयोग करते हैं, और आपके लॉगिन क्रेडेंशियल्स से समझौता किया जाता है। सत्यापन के लिए दूसरे कारक का अनुरोध करने के लिए एक हैकर आपको अपने सास विक्रेता के रूप में कॉल (या ईमेल) करेगा। सत्यापन कोड साझा करने के बाद, हैकर आपके खाते तक पहुंच सकता है। और वे आपके और आपके विक्रेता को प्रभावित करने वाले डेटा को चुरा या एन्क्रिप्ट कर सकते हैं।
इन दिनों, हैकर्स काम करते हैं उन्नत फ़िशिंग तकनीक . इसलिए फिशिंग हमलों से सावधान रहें।
फ़िशिंग-प्रतिरोधी MFA क्या है?
फ़िशिंग-प्रतिरोधी MFA फ़िशिंग हमलों, क्रेडेंशियल स्टफिंग हमलों, मैन-इन-द-मिडल हमलों और अन्य सहित सभी प्रकार की सामाजिक इंजीनियरिंग के लिए अतिसंवेदनशील नहीं है।
चूँकि मानव सामाजिक इंजीनियरिंग हमलों के केंद्र में हैं, फ़िशिंग-प्रतिरोधी MFA मानव तत्व को प्रमाणीकरण प्रक्रिया से हटा देता है।
एक फ़िशिंग-प्रतिरोधी MFA तंत्र माने जाने के लिए, प्रमाणीकरणकर्ता को क्रिप्टोग्राफ़िक रूप से डोमेन के लिए बाध्य होना चाहिए। और इसे हैकर द्वारा बनाए गए नकली डोमेन को पहचानना चाहिए।
फ़िशिंग-प्रतिरोधी MFA तकनीक निम्न प्रकार से काम करती है।
मजबूत बंधन बनाएँ
अपने प्रमाणीकरणकर्ता को पंजीकृत करने के अलावा, आप अपने प्रमाणीकरणकर्ता और पहचान प्रदाता (आईडीपी) के बीच एक मजबूत बंधन बनाने के लिए पहचान प्रमाण सहित एक क्रिप्टोग्राफ़िक पंजीकरण पूरा करेंगे। यह आपके प्रमाणीकरणकर्ता को नकली वेबसाइटों की पहचान करने में सक्षम करेगा।
असममित क्रिप्टोग्राफी का प्रयोग करें
असममित क्रिप्टोग्राफी (सार्वजनिक-कुंजी क्रिप्टोग्राफी) पर आधारित दो पक्षों का एक ठोस बंधन पासवर्ड जैसे साझा रहस्यों की आवश्यकता को समाप्त करता है।
सत्र शुरू करने के लिए, दोनों कुंजियों (सार्वजनिक कुंजी और निजी कुंजी) की आवश्यकता होगी। हैकर्स लॉग इन करने के लिए प्रमाणित नहीं कर सकते क्योंकि निजी चाबियां हार्डवेयर सुरक्षा कुंजियों में सुरक्षित रूप से संग्रहीत की जाएंगी।
केवल मान्य प्रमाणीकरण अनुरोधों का जवाब दें
फ़िशिंग-प्रतिरोधी MFA केवल मान्य अनुरोधों का जवाब देता है। वैध अनुरोधों का प्रतिरूपण करने वाले सभी प्रयासों को विफल कर दिया जाएगा।
आशय सत्यापित करें
फ़िशिंग-प्रतिरोधी एमएफए प्रमाणीकरण को उपयोगकर्ता को साइन-इन अनुरोध को प्रमाणित करने के लिए उपयोगकर्ता की सक्रिय भागीदारी को इंगित करने वाली कार्रवाई करने के लिए संकेत देकर उपयोगकर्ता के इरादे को सत्यापित करना चाहिए।
यूएसबी चार्जर से आईफोन को टीवी से कैसे कनेक्ट करें
आपको फ़िशिंग-प्रतिरोधी MFA क्यों लागू करना चाहिए
फ़िशिंग-प्रतिरोधी MFA अपनाने से अनेक लाभ मिलते हैं। यह मानवीय तत्व को समीकरण से हटा देता है। चूंकि सिस्टम स्वचालित रूप से एक नकली वेबसाइट या एक अनधिकृत प्रमाणीकरण अनुरोध का पता लगा सकता है, यह सभी प्रकार के फ़िशिंग हमलों को रोक सकता है, जिसका उद्देश्य उपयोगकर्ताओं को लॉगिन क्रेडेंशियल देने के लिए बरगलाना है। नतीजतन, फ़िशिंग-प्रतिरोधी एमएफए आपकी कंपनी में डेटा उल्लंघनों को रोक सकता है।
क्या अधिक है, एक अच्छा फ़िशिंग-प्रतिरोधी MFA, नवीनतम FIDO2 प्रमाणीकरण विधि की तरह, उपयोगकर्ता अनुभव को बेहतर बनाता है। ऐसा इसलिए है क्योंकि आप अपने खातों तक पहुंचने के लिए बायोमेट्रिक्स या आसानी से लागू होने वाली सुरक्षा कुंजियों का उपयोग कर सकते हैं।
अंतिम लेकिन कम नहीं, फ़िशिंग-प्रतिरोधी एमएफए आपके खातों और उपकरणों की सुरक्षा को बढ़ाता है, जिससे सुधार होता है साइबर सुरक्षा चारागाह आपकी संगति में।
यूएस ऑफिस ऑफ मैनेजमेंट एंड बजट (ओएमबी) ने जारी किया संघीय शून्य विश्वास रणनीति दस्तावेज़ , जिसके लिए संघीय एजेंसियों को 2024 के अंत तक केवल फ़िशिंग-प्रतिरोधी MFA का उपयोग करने की आवश्यकता है।
तो आप समझ सकते हैं कि फ़िशिंग-प्रतिरोधी MFA साइबर सुरक्षा के लिए महत्वपूर्ण है।
फ़िशिंग-प्रतिरोधी MFA कैसे लागू करें
के अनुसार सुरक्षित पहचान रिपोर्ट की स्थिति Okta की Auth0 टीम द्वारा तैयार किया गया, MFA बायपास हमले बढ़ रहे हैं।
चूंकि फ़िशिंग पहचान-आधारित हमलों में अग्रणी आक्रमण वेक्टर है, फ़िशिंग-प्रतिरोधी बहु-कारक प्रमाणीकरण लागू करने से आपको अपने खातों को सुरक्षित करने में मदद मिल सकती है।
FIDO2/WebAuthn प्रमाणीकरण एक व्यापक रूप से उपयोग की जाने वाली फ़िशिंग-प्रतिरोधी प्रमाणीकरण विधि है। यह आपको मोबाइल और डेस्कटॉप वातावरण में प्रमाणित करने के लिए सामान्य उपकरणों का उपयोग करने की अनुमति देता है।
FIDO2 प्रमाणीकरण प्रत्येक वेबसाइट के लिए अद्वितीय क्रिप्टोग्राफ़िक लॉगिन क्रेडेंशियल्स के माध्यम से मजबूत सुरक्षा प्रदान करता है। और लॉगिन क्रेडेंशियल आपके डिवाइस को कभी नहीं छोड़ते हैं।
क्या अधिक है, आप क्रिप्टोग्राफ़िक लॉगिन क्रेडेंशियल्स को अनवरोधित करने के लिए फ़िंगरप्रिंट रीडर जैसी अपने डिवाइस की अंतर्निहित सुविधाओं का उपयोग कर सकते हैं।
तुम कर सकते हो FIDO2 उत्पादों की जाँच करें फ़िशिंग-प्रतिरोधी MFA लागू करने के लिए सही उत्पाद का चयन करना।
फ़िशिंग-प्रतिरोधी MFA को लागू करने का दूसरा तरीका सार्वजनिक कुंजी अवसंरचना (PKI) आधारित समाधानों का उपयोग करना है। PIV स्मार्ट कार्ड, क्रेडिट कार्ड और ई-पासपोर्ट इस PKI-आधारित तकनीक का उपयोग करते हैं।
फ़िशिंग-प्रतिरोधी MFA भविष्य है
फ़िशिंग हमले बढ़ रहे हैं, और केवल पारंपरिक बहु-कारक प्रमाणीकरण विधियों को लागू करना परिष्कृत फ़िशिंग अभियानों से सुरक्षा प्रदान नहीं करता है। इसलिए हैकर्स को आपके खाते पर कब्जा करने से रोकने के लिए फ़िशिंग-प्रतिरोधी MFA लागू करें।