सुरक्षा प्रश्न एक बुरा विचार है, और यहां क्यों है
जब से हमारे पास पासवर्ड और खाते थे, तब से हमेशा हैकर उन पर हाथ रखने की कोशिश कर रहे हैंकर्स रहे हैं। सबसे महत्वपूर्ण बात यह है कि लोग भी अपने पासवर्ड भूल गए हैं। उन्हें पुनर्प्राप्त करने के लिए, खाता प्रदाता अक्सर उन प्रश्नों की एक श्रृंखला लागू करता है जिन्हें आप अपने "गुप्त उत्तर" प्रदान करते हैं। इस प्रणाली ने कई सालों से ठीक काम किया है, लेकिन हैकर्स की नौकरियों को आसान बनाने के तरीकों से यह झुका हुआ है। यद्यपि उत्तर गुप्त हैं, लेकिन, प्रति किलो, ऐसा लगता है कि आप वास्तव में उम्मीदों में अपनी सुरक्षा का त्याग कर रहे हैं कि एक दिन यह बलिदान आपको अपना पासवर्ड पुनर्प्राप्त करने में मदद करेगा।
क्या सुरक्षा प्रश्न सुरक्षा में भयानक बनाता है
21 मई, 2015 को, Google ने संपूर्ण सुरक्षा प्रश्न योजना के बारे में कुछ शोध प्रकाशित किया। जाहिर है, "आपका पहला पालतू जानवर का नाम क्या था?" आपकी सुरक्षा में सबसे कमजोर लिंक हो सकता है, और यह आपके खाते को चांदी के थैले पर हैकर्स में ला सकता है। जबकि आप अनुमान लगाना असंभव पासवर्ड बना सकते हैं, वसूली के लिए सुरक्षा प्रश्न इस तरह से डिज़ाइन किए गए हैं कि आप उन्हें आसानी से उत्तर देने में सक्षम होना चाहिए। जब आप अस्पष्ट उत्तरों का उपयोग करते हैं तो यह अच्छी तरह से काम करता है कि कोई भी अनुमान लगा सकता है, लेकिन अगर आपके पालतू जानवर (उदाहरण के लिए) का एक बहुत ही सामान्य नाम "मैक्स" या "स्पॉट" है। यदि आपने अपने कुत्ते "यूलिसिस" या "पेर्गिया" नाम दिया है, "तो आप एक मौका खड़े हो सकते हैं, यद्यपि ऐसा कोई आशाजनक नहीं है।
आप विकल्प बी का चयन भी कर सकते हैं, जो आपके प्रश्न के उत्तर के बारे में झूठ बोलना है (यानी "ऑफ्राम क्लिंगमैनस्टीन III" का जवाब देना जब पूछा गया कि आपकी मां का पहला नाम क्या था)। इसके साथ समस्या यह है कि आप एक और चीज के साथ खत्म हो जाते हैं जिसे आपको याद रखना चाहिए । आपके द्वारा झूठ बोलने वाले उत्तरों को याद करना उतना मुश्किल है जितना पासवर्ड भूलना उतना ही मुश्किल है जिसे आप पहले स्थान पर भूल गए थे। यह कोई समाधान नहीं है लेकिन एक अतिरिक्त बोझ है।
इन सवालों को क्या बदलना चाहिए?
सुरक्षा समस्याओं के अलावा जो प्रश्न पेश करते हैं, वे केवल उन लोगों के लिए भ्रम में जोड़ते हैं जो उनके जन्म के शहर या उनके पहले पालतू जानवरों के नाम याद नहीं कर सकते हैं (ऐसा होता है)। जो लोग आपको अच्छी तरह जानते हैं वे इस विधि के साथ आसानी से आपके खातों तक पहुंच सकते हैं। उम्मीद है कि, हम अब तक निष्कर्ष पर आ गए हैं कि कुछ "गुप्त उत्तर" विधि को प्रतिस्थापित करने की आवश्यकता है। सौभाग्य से, प्रतिस्थापन के लिए कई अच्छे दावेदार हैं, सर्वोत्तम दो-कारक प्रमाणीकरण में से एक है।
"गुप्त उत्तर" विधि का आविष्कार किया गया था, आम तौर पर लोगों के पास सेल फ़ोन थे जो एसएमएस संदेश खोल सकते थे। इतिहास में इस बिंदु पर, इंटरनेट तक पहुंचने वाले लगभग हर किसी के पास एक सेल फोन होता है। 7 अरब लोगों में से लगभग 6.8 बिलियन फोन हैं। Google ने प्रमाणीकरण के लिए एक नई विधि अपनाई है जिसमें रिकवरी के लिए एसएमएस के माध्यम से एक बार पासवर्ड भेजना शामिल है। फोन के बिना उन लोगों के लिए, वे किसी भरोसेमंद व्यक्ति या बैकअप ईमेल का उपयोग किसी भी व्यक्ति को पुनर्प्राप्ति के लिए कर सकते हैं। यह विधि उपयोगकर्ता के फोन के बिना किसी खाते में "अनुमान लगाने" को बहुत मुश्किल बनाती है।
दो-कारक प्रमाणीकरण का उपयोग करके, आप एक ही समय में दो चीजों को हल करते हैं:
- आप उस व्यक्ति के जोखिम को कम करते हैं जो अपने "उत्तर" को याद नहीं करता है क्योंकि अनुरोध पर उपयोगकर्ता को अद्वितीय एसएमएस कोड सौंप दिया जाता है, और
- आप एक रिकवरी विधि बनाते हैं जो लगभग अटूट है क्योंकि हैकर को उस भौतिक ऑब्जेक्ट तक पहुंच की आवश्यकता होगी जिसके उपयोगकर्ता का स्वामित्व है।
क्या आप गुप्त उत्तर विधि को बदलने के लिए कुछ और सोच सकते हैं? नीचे एक टिप्पणी में अपने विचार छोड़ दो!