SMS 2FA न सिर्फ असुरक्षित है, बल्कि पहाड़ी इलाकों में रहने वाले लोगों के लिए प्रतिकूल भी है

 (blog.stillgreenmoss.net)
1 पॉइंट द्वारा GN⁺ 2025-05-15 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • SMS-आधारित दो-स्तरीय प्रमाणीकरण (2FA) न सिर्फ असुरक्षित है, बल्कि पहाड़ी क्षेत्रों के निवासियों के लिए बड़ी असुविधा भी पैदा करता है
  • कमज़ोर cellular signal वाले पहाड़ी इलाकों में SMS से भेजे गए verification code प्राप्त करना मुश्किल होता है
  • सिर्फ Wi‑Fi calling या smartphone इस्तेमाल करने भर से 2FA की समस्या हल नहीं होती
  • TOTP (time-based one-time password) तरीका एक विकल्प हो सकता है, लेकिन शुरुआती सेटअप तक पहुंच आसान नहीं है
  • लाखों पहाड़ी इलाकों में रहने वाले लोग वेबसाइट login प्रक्रिया में जिन अनुचित परिस्थितियों का सामना करते हैं, उसका वर्णन

समस्या की रूपरेखा

  • लेखक की एक मित्र North Carolina के पहाड़ी इलाके में रहने वाली 70+ उम्र की महिला हैं
  • उन्हें कंप्यूटर पसंद नहीं, लेकिन समुदाय से जुड़े रहने के लिए smartphone और Signal group chat का उपयोग करती हैं
  • वे लंबे समय से landline phone इस्तेमाल करती रही हैं, जो hearing aid के साथ अच्छी तरह काम करता है
  • Spectrum का उस क्षेत्र में संचार पर लगभग एकाधिकार है, और वे landline तथा cable internet दोनों Spectrum के जरिए उपयोग कर रही हैं

Cellular service और SMS 2FA समस्या

  • कुछ साल पहले उन्होंने mobile service के लिए Spectrum Mobile लिया, जो Verizon नेटवर्क का उपयोग करता है
  • घर पर cellular signal लगभग नहीं के बराबर है। शहर से कार से 20 मिनट की दूरी पर हैं और आसपास पड़ोसी भी काफी हैं
  • उनके सभी प्रमुख accounts (email, bank, health insurance आदि) SMS से 2FA code भेजने की कोशिश करते हैं
  • SMS code आता ही नहीं। घर पर cellular service की कमी है, और Wi‑Fi calling चालू होने पर भी short code (5-digit) security SMS नहीं पहुंचते
  • नया iPhone और आधिकारिक रूप से दिया गया equipment इस्तेमाल हो रहा है, और उन्हें इसका उपयोग करना भी आता है

वैकल्पिक उपायों की तलाश और सीमाएँ

  • कुछ ISP-प्रदत्त landline सेवाओं में SMS को computer voice में पढ़कर सुनाने की सुविधा होती है, लेकिन Spectrum में यह नहीं है
  • कुछ साइटों पर TOTP 2FA में बदला जा सकता है, लेकिन इसके लिए शुरुआती login के समय access चाहिए होता है
  • समाधान के लिए झंझटभरी प्रक्रिया:
    • login में विफल होने वाली साइटों की सूची बनाना
    • समस्या सुलझाने के लिए शहर जाना और मित्र से मिलना
    • एक-एक करके TOTP या दूसरे तरीकों में बदलने की कोशिश, जिनमें से कुछ समर्थित ही नहीं हैं
    • customer support से संपर्क करने की कोशिश, लेकिन संपर्क करना कठिन या असंभव है

व्यवहारिक रूप से लगभग असंभव विकल्प

  • VOIP पर नंबर port करके short code SMS पाने की संभावना तलाशना
  • सैकड़ों डॉलर खर्च करके cell signal booster लगाना
  • यहां तक कि रहने की जगह बदलने पर विचार करना
  • सिर्फ एक login के लिए ऐसी प्रक्रिया की जरूरत होना कितना अतार्किक है, इस पर जोर

Cell coverage map की विश्वसनीयता की समस्या

  • Spectrum coverage map में घर और आसपास का क्षेत्र पूरी तरह सेवा उपलब्ध दिखाया गया है
  • वास्तविकता में घर पर सेवा उपलब्ध नहीं, और 100 मीटर आगे बढ़ते ही signal भी गायब हो जाता है

पहाड़ी इलाकों में रहने वाले अनेक लोगों की साझा परेशानी

  • एक Millennial मित्र ने भी कहा कि “SMS 2FA ज़िंदगी की पीड़ा है
  • सिर्फ गहरी घाटियों में ही नहीं, बल्कि साधारण पहाड़ी इलाकों में भी SMS 2FA से जुड़ी समस्याएँ हैं

TOTP तरीके की सीमाएँ और कठिनाइयाँ

  • TOTP भी परफेक्ट नहीं है
    • अलग app install करना पड़ता है
    • कौन-सा app इस्तेमाल करें, यह चुनना जटिल है और इसमें काफी तकनीकी व्याख्या शामिल होती है

निष्कर्ष और पैमाने की समस्या

  • SMS 2FA के व्यापक उपयोग का कारण इसका सहज UX और कुछ हद तक भरोसेमंद होना है
  • लेकिन North Carolina के पर्वतीय क्षेत्र के 11 लाख लोग, और पूरे Appalachia के 2.5 करोड़ लोग समेत लाखों लोग खराब परिस्थितियों में रह रहे हैं
  • इंटरनेट होने के बावजूद mobile signal बहुत खराब है
  • इन क्षेत्रों में रहने वालों के लिए उचित विकल्पों या संवेदनशीलता की कमी है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-05-15
Hacker News राय

  • यह दिलचस्प है कि उसके पास चुनने के लिए एक और विकल्प था कि अपने मोबाइल नंबर को ऐसे VOIP provider पर port कर दे जो Wi‑Fi पर SMS प्राप्त कर सकता हो, लेकिन उसे पता चला कि कुछ कंपनियाँ seCuRiTy के कारण VOIP नंबरों पर SMS-OTP कोड नहीं भेजतीं या यह मांग करती हैं कि नंबर उसी के नाम पर registered हो। मुझे लगता है कि ऐसी पाबंदियाँ गैरकानूनी होनी चाहिए। नंबर तो बस नंबर है। Wi‑Fi calling चालू होने पर वह दोस्तों या परिवार से आने वाले SMS तो प्राप्त कर लेती है, लेकिन 2FA कोड फिर भी नहीं आते। मुझे लगा था कि SMS over IMS बाहरी sender के लिए transparent तरीके से implement होता है, लेकिन SMS protocol खुद ही इतना ढीला-ढाला बनाया गया है कि यह चौंकाने वाली बात नहीं लगती।

    • मैं शायद बता सकता हूँ कि SMS system कैसे काम करता है। यह system बस messages को “blind” तरीके से भेजता है। अगर recipient offline हो या signal न हो, तो carrier आमतौर पर 3–7 दिन तक message store करके रखता है। OTP systems Vonage, Twilio API आदि के ज़रिए reachability check करते हैं, लेकिन यह check perfect नहीं होता। अगर कुछ अजीब लगे, तो message भेजा ही नहीं जाता। यह तरीका message cost बचाने के लिए है। मुझे यह अनुचित लगता है कि यह पहले से verified नंबरों पर भी लागू होता है।

    • यूरोपीय नज़रिये से देखें तो PSD2 नामक financial directive के तहत केवल वही नंबर 2FA SMS के लिए स्वीकार्य हैं जिनका KYC पहले से पूरा हो चुका हो। अंततः 2FA एक electronic signature की तरह काम करता है जो “कुछ जो आपके पास है” को साबित करता है, और वह चीज़ है identity-verified phone number। यह भी ज़ोर दिया गया कि SMS ही एकमात्र 2FA तरीका है जिसे लगभग हर जनसंख्या, क्षेत्र और device पर आसानी से लागू किया जा सकता है।

    • यह सचमुच बेतुका लगता है कि वही कंपनियाँ 2FA के लिए सिर्फ SMS की अनुमति देती हैं, लेकिन VOIP पर नहीं भेजतीं। शायद इसलिए कि लगभग सभी कंपनियाँ SMS delivery के लिए किसी खास service से होकर जाती हैं और वही service VOIP को block करती है। लगभग सभी banks अनिवार्य रूप से SMS 2FA मांगते हैं, जबकि दूसरी जगहों पर app support मिलता है, जो बहुत अजीब है।

    • 2025 में भी phone number ही Sybil problem को कुछ हद तक हल करने का तरीका है, यानी एक व्यक्ति द्वारा कई account बनाने की समस्या। बिना वास्तविक KYC process के भी यह कुछ स्तर तक identity verify कर देता है।

    • मैंने Wi‑Fi calling का इस्तेमाल सिर्फ 2FA SMS पाने के लिए किया है। RedPocket (MVNO) और T-Mobile के combination के साथ यह बिना किसी समस्या के चला। उस इलाके में सीधे T-Mobile signal नहीं था, इसलिए SMS सिर्फ Wi‑Fi से ही मिल पाते थे। plan भी सस्ता था। हाँ, पुराने phones में unsupported band जैसी दिक्कतें थीं।

    • message reception की प्रकृति के हिसाब से, दोस्त और परिवार के messages P2P होते हैं, जबकि 2FA machine-to-person यानी A2P होता है। इन दोनों की handling वास्तव में अलग होती है।

    • मुझे लगता है कि नंबर को VOIP provider पर port करने के बाद sender की तरफ से यह पहचानना संभव नहीं होना चाहिए कि वह mobile नंबर है या VOIP। मैंने इस तरह port करने के बाद भी SMS 2FA अच्छे से प्राप्त किया है।

    • अलग-अलग banking services इस्तेमाल करने पर पता चलता है कि कुछ तो Google Voice पर भी बिना किसी समस्या के SMS token भेज देती हैं, जबकि दूसरी banks केवल customer service के माध्यम से Google Voice SMS की अनुमति देती हैं। उनकी policies काफ़ी random लगती हैं। यहाँ तक कि नियमित channel से code नहीं भेजते, लेकिन automated voice call पर वही code पढ़कर सुना देते हैं। security policy मनमानी लगती है।

    • VOIP पर SMS-OTP code पाने का विकल्प अंततः बुरा विचार है। यह थोड़े समय के लिए काम करेगा, फिर security policy कड़ी होते ही बंद हो जाएगा। ये सारे कदम वास्तव में user security के लिए नहीं, बल्कि लगातार आने वाले spam और fraudulent traffic को धीमा करने के लिए barrier हैं। असली phone number का होना खुद एक तरह का “Proof of Work” बन चुका है, और व्यवहारिक रूप से इसका कोई विकल्प नहीं है।

    • समस्या SMS तरीके में ही है, इसलिए यह पूरी बहस ही निरर्थक है। राय यह है कि SMS का इस्तेमाल ही गैरकानूनी होना चाहिए।

  • अगर microcell/femtocell हो, तो घर या office जैसी कम signal वाली जगहों में यह बहुत प्रभावी होता है। provider से संपर्क करके कहें कि signal कम है, तो वे internet → cellular में बदलने वाला AP (Access Point) मुफ्त में भेज देते हैं। ऐसे devices में RJ-45 input और GPS antenna होता है, जिससे e911 location data भी supported रहता है। हमारी दुकान भी metal walls और घाटी वाले इलाके में है, जहाँ पहले call करने के लिए पहाड़ी पर चढ़ना पड़ता था, लेकिन हर carrier से femtocell लगवाने के बाद अब कोई भी अपने ISP connection के ज़रिए अपने-आप switch होकर सामान्य रूप से इस्तेमाल कर सकता है। MVNO भी supported हैं। हाँ, femtocell इस्तेमाल करने के लिए MVNO की जगह carrier की direct service लेनी पड़ सकती है।

    • लगता है t-Mobile अब microcell नाम के इस equipment को support नहीं करता। support page का हवाला दिया गया।

    • femtocell की भी कमियाँ हैं। इसे GPS signal ज़रूर चाहिए, इसलिए पहाड़ी इलाकों में इसे चलाना मुश्किल होता है। मैंने कई साल femtocell इस्तेमाल किया है, और कभी-कभी यह बिना कारण बताए काम करना बंद कर देता है, और यह भी नहीं बताता कि क्यों।

    • मुझे Verizon से मुफ्त 4G LTE Network Extender मिला था। एक समस्या यह थी कि घर से निकलते समय connection drop हो जाता था। एक बार 911 पर call करते समय चलते-चलते signal कट गया, और range से बाहर जाते ही call तब तक बंद रही जब तक दोबारा connect नहीं हुआ। बाद में Verizon ने location information ठीक करने के लिए संपर्क किया।

    • यह थोड़ा चौंकाने वाला है कि बड़े carriers को इस बात से दिक्कत नहीं कि कोई भी unverified ISP से जुड़े cell tower (microcell) चला ले। ये कंपनियाँ आमतौर पर brand management में बहुत सख्त होती हैं, लेकिन इस मामले में बेहद उदार हैं।

  • विदेश roaming के दौरान मैं अपने घर के Android phone में SIM card रखकर उसे power से connected छोड़ देता हूँ, और ऐसा app इस्तेमाल करता हूँ जो SMS को API के ज़रिए forward कर देता है। सारे SMS email में मिल जाते हैं। मैं कई साल से यह तरीका बिना दिक्कत इस्तेमाल कर रहा हूँ। रोज़मर्रा में भी computer पर OTP SMS मिलना सुविधाजनक है। MMS नहीं आता, लेकिन उसकी ज़रूरत भी नहीं है।

    • इस तरीके को "2FA Mule" कहा गया। मैंने इसे 4 साल से अधिक इस्तेमाल किया है, और मुझे लगता है कि यह बहुत अच्छी तरह काम करता है। यह एक अच्छा विकल्प है।

    • अगर phone dual SIM और WiFi calling support करता है, तो जिस देश में आप जा रहे हैं वहाँ data-only eSIM इस्तेमाल कर सकते हैं, और अपने पुराने SIM पर SMS लेते रह सकते हैं।

    • मैंने भी कुछ ऐसा ही किया है—घर पर Android phone छोड़कर laptop से web messaging service में login करके SMS प्राप्त किए। आजकल SMS, WiFi calling पर भी काम करता है, इसलिए यह हमेशा समस्या नहीं रहता।

    • कहा गया कि Android phone को हर 3 दिन में अपने-आप reboot होने के लिए बदला जा सकता है, इसलिए यह तरीका जल्द बंद हो सकता है।

    • समझ नहीं आता कि इसे roaming से क्यों जोड़ा जा रहा है। मैंने यूरोप और कई दूसरी जगहों पर अक्सर roaming की है, और SMS पाने में कभी समस्या नहीं हुई।

  • यह लेख थोड़ा niche है। ऐसा लगता है जैसे SMS 2FA code mobile service शुरू करते ही आ गया, लेकिन वास्तव में हो सकता है कि पहले 2FA registration पूरा करना पड़ा हो और बाहर जाकर ही code activate हुआ हो। TOTP भी वास्तव में इतना कठिन नहीं है। बस कोई app चुनने में मदद कर दें और backup codes print करवा दें, तो यह बिना किसी बड़ी समस्या के संभाला जा सकता है।

  • Google Fi Wi‑Fi पर भी short code सहित सभी second-factor SMS प्राप्त कर सकता है। यहाँ तक कि अगर phone बंद हो या खराब हो, तब भी web browser के ज़रिए किसी भी device पर सारे messages मिल सकते हैं। मुझे यह feature बहुत पसंद है। service 20 डॉलर प्रति माह से शुरू होती है। पहले पहाड़ी इलाकों में US Cellular के साथ इसकी partnership से सेवा अच्छी चलती थी, लेकिन हाल के वर्षों में T-Mobile की तरफ़ कुछ takeover हुआ है, इसलिए स्थिति बदल रही है।

    • मैं 12 साल तक अमेरिका के बाहर रहा हूँ, और Google Fi लेने से पहले SMS हमेशा समस्या थी। बहुत से banks SMS authentication पर अड़े रहते हैं, लेकिन VOIP virtual numbers में दो समस्याएँ होती हैं: (1) कुछ banks security कारणों से service deny कर देते हैं, (2) तकनीकी कारणों से SMS मिल ही नहीं पाता। Google Fi तो तब भी Wi‑Fi के जरिए bypass करके काम कर लेता है जब phone service न हो। हाँ, अमेरिका के बाहर 1 महीने बाद data बंद हो जाता है, लेकिन सिर्फ SMS/voice मिलते रहना भी काफी है।

    • जिज्ञासा है कि क्या RCS और “messages for web” इस्तेमाल किया जा सकता है। पहले Fi sync चालू होने पर ही phone बंद रहने पर भी text/voice काम करता था, लेकिन उस स्थिति में RCS बंद हो जाता था। जानना है कि क्या अब भी ऐसा ही है, और text/voice किस URL पर इस्तेमाल किए जा सकते हैं।

  • मैं इस राय से सहमत हूँ कि users की expectations कुछ ज़्यादा होती हैं। उदाहरण के लिए, Lime scooter किराए पर लेते समय VPN setting की गलती से internet काम नहीं कर रहा था और मैं ride end mark नहीं कर पाया। GPS ने रुकना detect कर लिया, इसलिए अतिरिक्त शुल्क refund हो गया, लेकिन अगर phone की battery खत्म हो गई होती तो मुश्किल हो सकती थी। यात्रा के दौरान ऐसे अनपेक्षित मामलों की तैयारी ज़रूरी है।

    • जर्मनी के नए DHL parcel lockers देखें तो उनमें screen ही नहीं है और वे सिर्फ app से चलते हैं। उन्हें एक साथ Bluetooth और internet connection दोनों चाहिए। जबकि locker में खुद internet होता है, इसलिए app की यह मांग अनावश्यक लगती है।

  • कुछ न कुछ हमेशा किसी खास समूह के लिए प्रतिकूल होता है। 2FA का भी कोई perfect तरीका नहीं, और हर तरीके की अपनी असुविधा है। SMS 2FA सुरक्षा में कमजोर है, लेकिन सबसे व्यापक है और recovery भी आसान है। TOTP apps अधिक सुरक्षित हैं, लेकिन device खो जाए या बदल जाए तो recovery कठिन हो सकती है। Yubikey जैसे hardware tokens में लागत आती है और उनमें भी recovery की समस्या रहती है। सबसे पक्का तरीका शायद यह होगा कि संघीय सरकार centralized hardware authentication system चलाए (वास्तव में अमेरिकी रक्षा विभाग CaC card से ऐसा करता है), लेकिन अमेरिका में privacy विवाद और budget समस्याओं के कारण ऐसा system लागू करना बहुत कठिन है। SMS 2FA पहाड़ी या ग्रामीण इलाकों के लिए प्रतिकूल है, लेकिन सच यह है कि कोई भी 2FA पूरी तरह perfect नहीं है।

    • authentication privacy कुछ स्थितियों में महत्वपूर्ण है, जैसे voting, लेकिन banking जैसी स्थिति में जहाँ साफ़ तौर पर यह साबित करना होता है कि आप ही वही व्यक्ति हैं, वहाँ privacy concern उतना लागू नहीं होता।

    • Yubikey वगैरह देखने में recovery के लिहाज़ से कठिन लग सकते हैं, लेकिन अगर कई keys register कर दी जाएँ, तो एक खो जाने पर दूसरी key से नई key register करके समस्या हल की जा सकती है।

  • Google Voice app install करने पर कुछ 2FA services काम करती हैं, कुछ नहीं। कुछ services GV numbers को reject कर देती हैं। GV Wi‑Fi पर SMS प्राप्त कर सकता है। अगर cell company से femtocell माँगें, तो पहले यह सस्ता था लेकिन अब discontinue हो चुका है और कीमत 2500 डॉलर तक बताई जाती है। mightytext.net पर signup करके computer पर SMS भी लिए जा सकते हैं, हालाँकि यह साफ़ नहीं कि यह cell signal के बिना चलेगा या नहीं। मैं इसे उँगलियों की बजाय laptop keyboard से SMS लिखने की सुविधा के कारण इस्तेमाल करता हूँ।

    • USB modem को computer से जोड़कर ऐसी जगह रखा जा सकता है जहाँ signal मिलता हो, और फिर internet से उसे access किया जा सकता है। मैं खुद इसका उल्टा इस्तेमाल Raspberry Pi के साथ remote monitoring के लिए करता हूँ। prototype चरण में SMS parsing भी किया था। यह हर किसी के लिए नहीं है, लेकिन HN-स्टाइल साझा कर रहा हूँ।

    • mightytext.net तब काम नहीं करता जब phone में signal न हो। text relay केवल carrier ही कर सकता है। सभी US carriers के साथ ऐसी services का integration करना मुश्किल है और तकनीकी सीमाएँ भी हैं। केवल Apple की satellite SMS service ही SMS router तक सीधे पहुँचकर relay कर सकती है।

    • इस तरीके का एक फायदा यह है कि SMS access को MFA (multi-factor authentication) से सुरक्षित किया जा सकता है।

  • TOTP, HOTP आदि phone number जैसे personal identifier data के बिना implement किए जा सकते हैं। SMS के लिए number ज़रूरी है, और अगर वह number आपकी personal information से जुड़ा है, तो marketing या data aggregation के लिहाज़ से उसकी value कहीं ज़्यादा होती है।

    • ज़्यादातर जगहें जो SMS authentication मांगती हैं, वे पहले से आपका नाम, पता जैसी personal information जानती ही हैं (जैसे financial institutions, licensing, healthcare आदि), इसलिए marketing data aggregation वाली बहस व्यवहार में बहुत मायने नहीं रखती। TikTok जैसी services अगर ज़बरदस्ती number चाहें, तो one-time number इस्तेमाल करें या मना कर दें।

    • TOTP/HOTP “मैं यह राशि इस merchant को pay करना चाहता हूँ” जैसी WYSIWYS (जो दिख रहा है उसी पर हस्ताक्षर) property नहीं दे सकते। banking payments जैसे मामलों में direct confirmation की ज़रूरत होती है। वास्तव में EU में WYSIWYS नियमन के तहत आवश्यक भी हो सकता है, इसलिए इस अस्थायी खाली जगह को भरने के लिए bank-specific apps की ज़रूरत पड़ती है। मौजूदा standards (WebAuthN आदि) भरपूर नहीं हैं; SPC extensions जैसे नए तरीकों और HW authenticators की ज़रूरत है।

  • मैं भी ग्रामीण इलाके में रहता हूँ और कभी-कभी SMS code न आने की समस्या झेलता हूँ। कुछ दिन आ जाता है, कुछ दिन नहीं, और कारण समझ नहीं आता था। यह लेख उस कारण को साफ़-साफ़ समझाता है। मैं सामान्यतः Spectrum service से Wi‑Fi और mobile दोनों इस्तेमाल करता हूँ, और signal strength के हिसाब से Wi‑Fi पर निर्भर रहने के कारण ऐसा हो रहा था।