काठमाडौँ । आजको डिजिटल युगमा अनलाइन अकाउन्टहरूको सुरक्षाका लागि ‘टु-फ्याक्टर अथेन्टिकेसन’ (2FA) अनिवार्य जस्तै बनेको छ । तर यसका लागि प्रयोग गरिने सबैभन्दा लोकप्रिय र सहज माध्यम एसएमएस सबैभन्दा असुरक्षित साबित भएको छ ।
एसएमएसमा आधारित टुएफए (2FA) मा गम्भीर सुरक्षा त्रुटिहरू छन्, जसले प्रयोगकर्ताको अकाउन्टलाई जोखिममा पारिरहेको छ । एसएमएसको सबैभन्दा ठुलो प्राविधिक कमजोरी भनेकै यसको पुरानो सञ्चार प्रणाली हो । एसएमएसले ‘सिग्नलिङ सिस्टम नम्बर ७’ (SS7) नामक प्रोटोकल प्रयोग गर्छ, जुन सन् १९७० र ८० को दशकमा विकसित भएको थियो ।
यो प्रणाली त्यस्तो समयमा बनाइएको थियो, जब सीमित मानिसहरूको मात्र यसमा पहुँच थियो र सबै प्रयोगकर्ताहरू विश्वसनीय मानिन्थे । यसमा ‘क्रिप्टोग्राफिक अथेन्टिकेसन’ को अभाव छ, जसको अर्थ यो प्रणालीले कुनै मेसेज वैध स्रोतबाट आएको हो वा होइन भनेर छुट्याउन सक्दैन । यसले गर्दा ह्याकरहरूले सजिलै मेसेजहरू रोक्न, सुन्न वा परिवर्तन गर्न सक्छन् ।
एसएमएस मेसेजहरू ‘प्लेन टेक्स्ट’ मा पठाइने हुँदा यसमा आधुनिक एपहरूमा भए जस्तो ‘इन्ड-टु-इन्ड इन्क्रिप्सन’ हुँदैन । ह्याकरहरूले मेसेजको विषयवस्तु मात्र नभई प्रयोगकर्ताको फोन नम्बर, लोकेसन र डिभाइसको जानकारी जस्ता मेटाडेटामा पनि पहुँच पाउन सक्छन् ।
प्रविधि बाहेक मानवीय त्रुटि र ‘सिम स्वापिङ’ पनि अर्को ठुलो खतरा बनेको छ । ह्याकरहरूले विभिन्न बहानामा दूरसञ्चार प्रदायकलाई झुक्याएर प्रयोगकर्ताको फोन नम्बर आफ्नो स्वामित्वमा रहेको सिम कार्डमा सार्न सक्छन् । ट्रान्सयुनियनको एक रिपोर्टका अनुसार दूरसञ्चार क्षेत्रका करिब २७ प्रतिशत कार्यकारीहरूले सिम स्वापिङलाई सबैभन्दा ठुलो उदीयमान खतराको रूपमा लिएका छन् ।
सुरक्षा बाहेक एसएमएसको विश्वसनीयतामा पनि समस्या देखिएको छ । धेरै प्रयोगकर्ताहरूले दराज वा गुगल जस्ता सेवाहरूमा लगइन गर्दा एसएमएस कोड ढिलो आउने वा आउँदै नआउने समस्या भोग्नु परेको छ । यसले गर्दा प्रयोगकर्ताहरूलाई आफ्नो अकाउन्टमा पहुँच पाउन झन्झट हुने गरेको छ ।
यसको सुरक्षित विकल्पको रूपमा तपाईंले अथेन्टिकेटर एपहरू प्रयोग गर्न सक्नु हुन्छ । गुगल अथेन्टिकेटर, माइक्रोसफ्ट अथेन्टिकेटर वा अथी (Authy) जस्ता एपहरूले हरेक ३० सेकेन्डमा नयाँ कोड तयार गर्छन् । यी कोडहरू स्थानीय रूपमा डिभाइसमै बन्ने हुँदा नेटवर्कबाट चोरी हुने डर हुँदैन ।
त्यस्तै अर्को सुरक्षित विकल्पको रूपमा पासकी (Passkeys) उदाएको छ । यो एक डिजिटल प्रमाण हो, जुन प्रयोगकर्ताको डिभाइसमा सुरक्षित रहन्छ र बायोमेट्रिक सुरक्षा (फिङ्गरप्रिन्ट वा फेसियल रिकग्निसन) बिना खोल्न सकिँदैन ।
यस बाहेक विश्वका विकसित बजारमा अहिले सेक्युरिटी की (Security Keys) पनि प्रचलनमा आएको छ । युबिकी (YubiKey) जस्ता भौतिक यूएसबी कीहरूलाई भौतिक रूपमा डिभाइसमा जडान नगरी लगइन गर्न सकिँदैन ।
यसरी हेर्दा एसएमएसले प्रयोगकर्ताहरूलाई सुरक्षाको एक प्रकारको झुटो आभास मात्र दिलाउँछ । पुराना र असुरक्षित प्रविधिमा भर पर्नुको सट्टा आधुनिक सुरक्षा उपायहरू अपनाउनु नै बुद्धिमानी हुन्छ । यद्यपि कतिपय बैङ्क र वित्तीय संस्थाहरूले अझै पनि एसएमएस बाहेक अन्य टुएफए विकल्पहरू उपलब्ध नगराएकोमा प्रयोगकर्ताहरूले गुनासो गरिरहेका छन् ।
