SMS-आधारित अकाउंट लॉगिन अपनाने वाली कंपनियों पर SIM swap हमलों की जिम्मेदारी को लेकर सवाल

 (keydiscussions.com)
1 पॉइंट द्वारा GN⁺ 2024-02-07 | 1 टिप्पणियां | WhatsApp पर शेयर करें

SMS-आधारित अकाउंट लॉगिन अपनाने वाली कंपनियों की जिम्मेदारी

  • SIM swap हमले जारी रहने का कारण यह है कि Apple, Dropbox, PayPal, Block, Google जैसी कई कंपनियों ने पासवर्ड reset और अकाउंट लॉगिन के लिए SMS के उपयोग जैसी खराब सोच को अपनाया है।
  • SIM swap हमला वह है जिसमें अपराधी telecom carrier से पीड़ित का फोन नंबर अपने फोन पर ट्रांसफर करने का अनुरोध करता है, और फिर SMS के जरिए अकाउंट लॉगिन जानकारी प्राप्त कर पैसे और संवेदनशील जानकारी चुरा लेता है।
  • SIM swap हमलों को रोकने का तरीका सरल है: कंपनियों को SMS के जरिए लॉगिन या पासवर्ड reset की अनुमति नहीं देनी चाहिए, और यदि वे SMS 2FA देती भी हैं, तो Authy या Google Authenticator जैसे अधिक सुरक्षित विकल्प भी देने चाहिए।

SMS-आधारित authentication की समस्याएँ

  • SMS के जरिए authentication को ग्राहकों की सुरक्षा के लिए एक सामान्य तरीका बताकर पेश किया जाता है, लेकिन email authentication जैसे अधिक सुरक्षित तरीकों की तुलना में यह सुविधा तो देता है, पर सुरक्षा के मामले में कमजोर है।
  • ग्राहकों को SMS भेजना ऐसा है जैसे बिना encryption वाला postcard भेजना; SIM swap हमले की तरह कोई भी mailbox खोलकर संदेश को बीच में पकड़ सकता है।
  • पासवर्ड reset के लिए SMS सबसे अच्छा विकल्प नहीं है, और Authy या email का उपयोग बेहतर 2FA विकल्प है।

तकनीक अपनाने का नकारात्मक पक्ष

  • Apple, Google आदि ने SMS के जरिए पासवर्ड reset और अकाउंट लॉगिन का समर्थन करने वाली सुविधाएँ जोड़कर SMS की भूमिका को और मजबूत किया है।
  • Cloud providers SMS codes उपलब्ध कराने से लाभ कमा रहे हैं, और यह मूल रूप से एक त्रुटिपूर्ण तकनीक को सुरक्षित समाधान के रूप में बेचने जैसा है।
  • Wells Fargo, Cash App, Robinhood, Schwab, PayPal, Bank of America जैसी financial services भी SMS reset/अकाउंट लॉगिन सुविधाएँ दे रही हैं।

ग्राहकों की गलतफहमी

  • ग्राहक SMS reset की अपूर्ण प्रकृति को नहीं समझते और email reset या Authy जैसे 2FA app से मिलने वाले लॉगिन code की तुलना में सुविधा को अधिक महत्व देते हैं।
  • टेक कंपनियाँ ग्राहकों की सुरक्षा करने में विफल रही हैं, और उम्मीद है कि मुकदमों और कानून के जरिए स्थिति बदलेगी।

GN⁺ की राय

  • SMS-आधारित authentication सुविधा देने के बावजूद सुरक्षा कमजोरियों से भरा है, इसलिए कंपनियों को अधिक सुरक्षित authentication तरीकों की ओर जाना चाहिए।
  • SIM swap हमला एक रोकी जा सकने वाली समस्या होने के बावजूद लगातार हो रहा है, और इसका कारण कंपनियों द्वारा गलत तकनीक अपनाना है।
  • यह लेख एक महत्वपूर्ण संदेश देता है कि टेक कंपनियों को ग्राहकों की सुरक्षा को प्राथमिकता देनी चाहिए, SMS-आधारित authentication सिस्टम को हटाकर अधिक सुरक्षित authentication तरीके अपनाने चाहिए; इसी कारण यह उपयोगकर्ताओं और उद्योग विशेषज्ञों दोनों के लिए उपयोगी अंतर्दृष्टि प्रदान करता है।

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-02-07
Hacker News राय

  • SMS वेरिफिकेशन कोड की असुविधा पर शिकायत

    • पहले TOTP कोड 1Password अपने-आप भर देता था, लेकिन अब SMS वेरिफिकेशन की वजह से अंतरराष्ट्रीय roaming शुल्क देना पड़ता है या SMS forwarding सेट करनी पड़ती है.
    • सभी कंपनियों को फोन नंबर देने के बजाय authentication app को SMS के साथ जोड़ना चाहिए, ऐसी दलील दी गई.
    • अकाउंट को फोन नंबर से जोड़ना इन कारणों से खराब है: फोन खो जाना/चोरी हो जाना, देश बदलना, SMS हमले, फोन नंबर का दोबारा इस्तेमाल, और paid phone plan बनाए रखने की ज़रूरत.

  • Payoneer की SMS समस्या पर अनुभव

    • अर्जेंटीना के Movistar उपयोगकर्ताओं के लिए Payoneer के SMS authentication में समस्या थी, लेकिन Hacker News पर इस पर ज़्यादा ध्यान नहीं गया.
    • हमलावरों ने Movistar ग्राहकों को 2FA भेजने वाले SMS gateway को hack कर लिया, Payoneer उपयोगकर्ताओं के email पता पता किए, password बदले और पैसे transfer कर दिए.
    • Facebook, Twitter आदि भी लागत बचाने के लिए वही SMS gateway इस्तेमाल करते हैं, इसलिए सावधानी ज़रूरी है.

  • फोन नंबर खो जाने पर login समस्या

    • अगर फोन नंबर खो जाए, तो Google अकाउंट में login नहीं कर पाने की समस्या होती है.

  • SMS authentication की असुविधा और TOTP की सुविधा की तुलना

    • SMS authentication में फोन ढूँढ़ने की झंझट होती है, जबकि TOTP में KeePassXC में कोड सहेजकर रखना अधिक सुविधाजनक है.

  • SMS authentication के user experience (UX) के समर्थन में राय

    • SMS login और account recovery अच्छा user experience देते हैं, और telecom companies को security मज़बूत करनी चाहिए.

  • Google Voice नंबर के उपयोग पर पाबंदी को लेकर शिकायत

    • कुछ कंपनियाँ कहती हैं कि Google Voice नंबर को verification के लिए इस्तेमाल नहीं किया जा सकता, या उसे अमान्य फोन नंबर मानती हैं.

  • SMS authentication की आवश्यकता और telecom companies की भूमिका

    • आम उपयोगकर्ताओं से app install करवाना बड़ा बोझ है, और आम उपयोगकर्ताओं के लिए SMS ही एकमात्र व्यावहारिक समाधान है.
    • SIM swapping को और कठिन बनाया जाना चाहिए, ऐसी दलील दी गई.

  • SMS authentication का उद्देश्य और कंपनियों का दृष्टिकोण

    • SMS authentication दो उद्देश्यों के लिए प्रभावी है: अकाउंट के स्वामित्व का प्रमाण और अवैध उपयोगकर्ताओं द्वारा अकाउंट बनाने पर रोक.
    • कंपनियाँ KYC (Know Your Customer) प्रक्रिया को mobile carriers को outsource करके सर्वोत्तम security solution नहीं दे रहीं.

  • SMS authentication की आलोचना और अपराधियों पर जिम्मेदारी डालने का मुद्दा

    • आलोचक SMS authentication इस्तेमाल करने वाली कंपनियों को दोष देते हैं, लेकिन वास्तव में जिम्मेदारी अपराधियों की होनी चाहिए.
    • SIM swapping हमलों की जिम्मेदारी अपराधियों पर है.