- सिम अदलाबदल, एमआयटीएम हल्ले आणि फिशिंग सारख्या असुरक्षिततेमुळे Google जीमेलसाठी 2 एफए समाप्त करते.
- अॅप-आधारित टीटीपी, हार्डवेअर सुरक्षा की, पासकीज आणि पुश सूचना Google प्रॉमप्टद्वारे अधिक सुरक्षित पद्धतींमध्ये संक्रमणास वापरकर्त्यांना प्रोत्साहित केले जाते.
- ही शिफ्ट टेक क्षेत्रातील अधिक मजबूत, संकेतशब्द नसलेल्या प्रमाणीकरण पद्धतींच्या दिशेने व्यापक हालचालीचा एक भाग आहे.
चांगल्या खात्याच्या सुरक्षिततेची मागणी पूर्ण करण्यासाठी, Google ने 2 एफए समाप्त केले: मजबूत सुरक्षेकडे एक धोरणात्मक बदल. त्यानुसार स्त्रोतGoogle ने एसएमएस-आधारित टू-फॅक्टर ऑथेंटिकेशन (2 एफए) च्या सूर्यास्ताची घोषणा जीमेलसाठी बंद केली जाणार आहे. या प्रकारचे नमुना टेक संस्थेकडे अधिक परिष्कृत आणि कमी असुरक्षित वापरकर्ता प्रमाणीकरणाच्या सामान्य धोरणाचे उदाहरण देते. हे असे आहे कारण एसएमएस-आधारित प्रमाणीकरण (सिम-स्वॅपिंग, फिशिंग, नेटवर्क लीचेड) (6-1) विरूद्ध ग्रेड हल्ले वाढले.
तथापि, पुन्हा एकदा, Google अॅप, सुरक्षा की आणि पासकी-आधारित प्रमाणीकरणाच्या स्वरूपात वापरकर्त्याच्या सुरक्षेबद्दलची आपली वचनबद्धता कमीतकमी धूमधामाने घोषित करीत आहे, जे आशेने, सायबर जोखमीचे भयानक उच्च वर्तमान दर कमी करेल.
एसएमएस-आधारित प्रमाणीकरणाच्या मूळ कमकुवतपणा
Google ने 2 एफए समाप्त केले, जरी पूर्वी एक सुरक्षा पर्याय असला तरी हळूहळू सध्याच्या सायबर सुरक्षा फ्रेमवर्कसाठी असुरक्षितता मानली गेली आहे. मुख्य अडचण अशी आहे की, मोबाइल नेटवर्कच्या शीर्षस्थानी, ”जे हल्ल्यांना असुरक्षित आहे आणि त्याचे परिणाम वेगवेगळ्या प्रकारे करतात. सर्वाधिक असुरक्षिततेमध्ये हे समाविष्ट आहे:
1. सिम स्वॅपिंग हल्ले
सिम-स्वॅपिंग (किंवा सिम-जॅकिंग) हा एक अत्याधुनिक हल्ला आहे ज्यामध्ये एक दुर्भावनायुक्त अभिनेता मोबाइल ग्राहकांचा फोन नंबर काढण्यासाठी आणि नवीन सिममध्ये हस्तांतरित करण्यासाठी मोबाइल नेटवर्क ऑपरेटरचा वापर करतो. पुढे, जेव्हा पीडित फोन किंवा एसएमएस आणि कोणत्याही एक-वेळ प्रमाणीकरण कोडला उत्तर देते तेव्हा हल्लेखोर नियंत्रण देखील घेऊ शकतो, जो एसएमएसवर वितरित केला जातो. या हल्ल्याच्या पृष्ठभागामुळे क्रिप्टो एक्सचेंज आणि बँका आतापर्यंतच्या उच्च-खंडातील तडजोड केलेल्या बातम्यांच्या कथांना परवानगी आहे.
2. मॅन-इन-द-मिडल (एमआयटीएम) हल्ले
सेल्युलर नेटवर्क प्रोटोकॉलच्या नेटवर्क इन्फ्रास्ट्रक्चरच्या असुरक्षिततेचा फायदा घेऊन तसेच एसएस 7 (सिग्नलिंग सिस्टम क्र. एसएस 7, कम्युनिकेशन नेटवर्क इंटरऑपरेबिलिटी यंत्रणेची सुरक्षा असुरक्षा, मजकूर संदेश (एसएमएस) संप्रेषणावरील इव्हसड्रॉपवर आक्रमणकर्त्याच्या शोषणास संवेदनाक्षम असल्याचे ओळखले गेले आहे. हे अत्यंत अपुरी एसएमएस-आधारित प्रमाणीकरण (उदा. संवेदनशील इनपुटसाठी) होते.
3. फिशिंग आणि सोशल इंजिनिअरिंग जोखीम
एसएमएस-आधारित प्रमाणीकरण रद्द करण्यास परवानगी देण्यासाठी फिकर हल्लेखोरांनी त्यांचे हल्ले बदलले आहेत. बनावट लॉगिन फॉर्म आणि सामाजिक अभियांत्रिकी वापरुन ते त्यांच्या पीडितांना स्वेच्छेने हे एसएमएस कोड देण्यास फसवतात. सुरुवातीला ईमेल खात्यात तडजोडीने प्रारंभ होणारी आणि नंतर एसएमएसद्वारे फिशिंग ऑथेंटिकेशनवर फिशिंग केल्याने अनेक हल्ले केल्यामुळे सतत वाढत्या यशाचा दर मिळाला.
4. उपलब्धता आणि उपयोगिता मर्यादा
एसएमएस-आधारित ऑथेंटिकेशन ही एक फोर्टिओरी नेटवर्क-ऑफ-थिंग्ज सिस्टम आहे जी विशेष सक्रिय मोबाइल नेटवर्क सिस्टमवर अवलंबून असते. जगभरात किंवा आउटबॅकमध्ये प्रवास करणारे लोक किंवा नेटवर्कमध्ये व्यत्यय आणणारे वापरकर्ते अज्ञात प्रमाणीकरण कोडमुळे खात्यातून लॉक होऊ शकतात. पुढे, एसएमएस प्रमाणीकरण व्हीओआयपी नंबरच्या मागे किंवा तात्पुरते बर्नर फोनसाठी उपलब्ध नाही, ज्यामुळे त्याच्या प्रभावीतेची अनिश्चितता वाढते.
Google चे मजबूत प्रमाणीकरण प्रोटोकॉलमध्ये संक्रमण
Google च्या यापुढे एसएमएसचा चॅनेल म्हणून वापर न करण्याच्या निर्णयासाठी, उदाहरणार्थ, प्रमाणीकरण, उद्योगातील कल अनुसरण करते, जे अधिक सुरक्षित सुरक्षा पद्धतींच्या विकासावर जोरदारपणे झुकते. कंपनीमध्ये एसएमएसच्या कमतरतेची भरपाई करण्यासाठी आणि एसएमएसएमची उपयुक्तता आणि सुरक्षा सुधारण्यासाठी प्रमाणीकरण कार्यांची जाहिरात केली जाते. मुख्य पर्यायांमध्ये हे समाविष्ट आहे:
1. अॅप-आधारित प्रमाणीकरण (TOTP-वेळ-आधारित एक-वेळ संकेतशब्द)
इतर अनुप्रयोग इफिमेरल, एकल-वापर, संकेतशब्द (टीटीपी) व्युत्पन्न करतात जे डिव्हाइसवर उपलब्ध आहेत परंतु त्याऐवजी नेटवर्कवर प्रसारित होत नाहीत. या दृष्टिकोनाच्या व्यावहारिक वापराबद्दल, इंटरसेप्टचा धोका मोठ्या प्रमाणात कमी केला जातो, कारण प्रमाणीकरण कोड सहजपणे व्यत्यय आणण्यासाठी एन्कोड केलेले नाहीत. याउप्पर, अॅप आणि ऑथेंटिकेशन सर्व्हर दरम्यान समान सामायिक गुप्त की वापरुन टीटीपी प्रमाणीकरण सर्व्हरसह कॅलिब्रेट केल्यामुळे, एसटीपी एसएमएसपेक्षा अधिक सुरक्षित प्रमाणीकरण चॅनेलची हमी देऊ शकते.
2. हार्डवेअर सुरक्षा की (एफआयडीओ 2 आणि यू 2 एफ मानक)
Google ने वेगवान ओळख ऑनलाइन (एफआयडीओ 2) स्पेसिफिकेशनला जोरदारपणे प्रोत्साहन दिले आहे, जे हार्डवेअर सुरक्षा कीद्वारे प्रमाणीकरणासाठी वापरले जाऊ शकते. फिशिंग, क्लोनिंग आणि लॉग-इन क्रेडेन्शियल्सच्या व्यत्यय रोखण्यासाठी Google टायटॅन सिक्युरिटी की सारख्या आयटम क्रिप्टोग्राफिक-आधारित आव्हान-प्रतिसाद प्रमाणीकरण वापरतात. जेव्हा ते असममित एन्क्रिप्शनवर अवलंबून असतात जिथे खासगी की अभ्यासाच्या अंतर्गत डिव्हाइसवर शारीरिकरित्या एन्कोड केली जाते, की रिमोट मार्गांनी कळा पकडल्या जाऊ शकत नाहीत.
3. पासकी आणि संकेतशब्द नसलेले प्रमाणीकरण
सतत सुरक्षा पवित्रा सुनिश्चित करण्यासाठी, Google संकेतशब्द नसलेल्या प्रमाणीकरणाची शिफारस करतो (म्हणजेच पासकी). संकेतशब्द फिंगरप्रिंट किंवा फेस रिकग्निशन बायोमेट्रिक्स आणि/किंवा डिव्हाइस-आधारित प्रमाणीकरण तंत्राद्वारे, डिव्हाइसमध्ये प्रवेश करण्यासाठी संकेतशब्द किंवा एसएमएस-आधारित प्रमाणीकरण रोखण्यासाठी प्रमाणीकृत केले जातात. या समस्येचे महत्त्वपूर्ण निराकरण केल्यामुळे क्रेडेन्शियल चोरीचा धोका आणि वापरकर्त्याने मनातील एक लांब संकेतशब्द लक्षात ठेवण्याची आवश्यकता कमी करते.
4. पुश-आधारित प्रमाणीकरण (Google प्रॉमप्ट)
Google प्रॉम्प्ट, एक एसएमएस 2 एफए पर्यायी, वापरकर्त्याच्या विश्वासार्ह डिव्हाइसवर पुश सूचना देते ज्यामुळे त्यांना लॉगिन प्रयत्नाची पुष्टी किंवा नाकारण्यास सूचित होते. एसएमएसच्या विपरीत, या तंत्रात, हल्ल्यांविरूद्धची सुरक्षा जास्त आहे कारण ती वास्तविक डिव्हाइसवर (म्हणजे इव्हसड्रॉपिंगसाठी संवेदनशील असल्याचे कोडित केलेले एक हाताळलेले डिव्हाइस लक्षात आले आहे) आणि आक्रमण कोडद्वारे एखाद्या एन्कोडिंग लागू करण्याऐवजी अटॅक कोडद्वारे हे दोन्ही दर्शविले गेले आहे. आक्रमण डिव्हाइस.
जीमेल वापरकर्त्यांसाठी परिणाम आणि प्रमाणीकरणाचे भविष्य
Google ने एसएमएस आधारित ऑथला बंद करण्याची घोषणा केली आहे आणि परिणामी, यामुळे आधीच लाखो जीमेल वापरकर्त्यांना अधिक सुरक्षित लेखक यंत्रणेवर स्थलांतर करण्यास प्रवृत्त केले आहे. पहिल्या दृष्टीक्षेपात, हे कदाचित वरवरचे काहीसे विचित्र परिस्थिती दिसून येईल, परंतु भविष्यातील सुरक्षा आणि उपयोगिता फायदे त्यातून आलेल्या त्वरित निराशेपेक्षा लाखो पट अधिक महत्त्वपूर्ण आहेत. वापरकर्त्यांना जोरदार प्रोत्साहित केले जाते:
- एखाद्या खात्यात प्रवेश सुरक्षित करण्यासाठी टाइम-वन-टाइम संकेतशब्द (TOTP)-आधारित प्रमाणीकरण अनुप्रयोग डिझाइन किंवा वापरा.
- खाजगी/संवेदनशील डेटा गुंतलेल्या खात्यांच्या बाबतीत, उदाहरणार्थ हार्डवेअर सुरक्षा की खरेदी करणे चांगले.
- सुलभ आणि अत्यधिक सुरक्षित प्रमाणीकरणासाठी बायोमेट्रिक प्रमाणीकरणाचा वापर करण्यासाठी शक्य तितक्या जास्तीत जास्त पासकीला प्रोत्साहन द्या.
जीमेल बाजूला ठेवून, Google कृती मानक प्रमाणीकरण मॉडेल्सपासून डिक्लिंगच्या दिशेने सामान्य उद्योग चळवळीचे संकेत देते. उदाहरणार्थ, मायक्रोसॉफ्ट आणि Apple पल सारख्या संगणक विज्ञानाचे विद्यार्थी मजकूर संदेश-आधारित प्रमाणीकरण प्रणाली टाकून फिशिंग-प्रतिरोधक सुरक्षा पायाभूत सुविधांची नवीन पिढी तयार करण्याचा कल अगदी नैसर्गिकरित्या सुरू ठेवण्यास सक्षम आहेत. अल्पावधीत वर्धित डिजिटल ओळख सुरक्षिततेच्या आवश्यकतेकडे अधिक लक्ष देऊन, बदल येत्या काही वर्षांत वेग वाढवणार आहे.
निष्कर्ष
जीमेलमधील एसएमएसद्वारे प्रमाणीकरणाचे मृत्यू हे वर्धित वापरकर्त्याच्या सुरक्षेसाठी काळजीपूर्वक विचारात घेतलेले आणि सबलीकरण पाऊल आहे. एसएमएस-आधारित ऑथेंटिकेशन (सिम्पलसी) कमकुवतपणा (उदा. सिम-स्वॅपिंग, फिशिंग किंवा नेटवर्क-आधारित इंटरसेप्ट) द्वारे, एसएमएस-आधारित प्रमाणीकरण सध्या असुरक्षित प्रमाणीकरण योजना म्हणून पाहिले जाते. अॅप-आधारित प्रमाणीकरण, सुरक्षा की आणि संकेतशब्दलेस लॉगिनचा प्रचार करून, Google अत्याधुनिक उद्योग मानकांसह चरणात असलेला कोर्स चार्ट करीत आहे आणि ऑनलाइन सुरक्षिततेचे एक नवीन मॉडेल विकसित करीत आहे.
सायबर-हल्ले अनोळखी आणि अधिक बुद्धिमान झाल्यामुळे संस्था तसेच व्यक्तींसाठी डिजिटल सामानाच्या संरक्षणासाठी अधिक सुरक्षित प्रमाणीकरण योजनांचा वापर करणे देखील अत्यावश्यक आहे. Google च्या ड्राइव्हने कालच्या प्रतिमानाच्या आजच्या बळकट, निंदनीय तंत्रज्ञानाने बदलण्यापासून रोखण्यासाठी एक अनुपलब्ध लढाईची ओरड केली आहे, तंत्रज्ञान जे सर्व वापरकर्त्यांना आनंद घेण्यास सक्षम असावे असा इंटरनेट अनुभव प्रदान करेल.
Comments are closed.