ईमेल से one-time code भेजना पासवर्ड से भी बदतर है

• हाल के समय में कई सेवाओं ने ईमेल या फोन नंबर आधारित 6-अंकीय कोड लॉगिन तरीका अपनाया है
  • ईमेल/फोन नंबर दर्ज करने पर 6-अंकीय verification code भेजा जाता है, और उसे दर्ज करके लॉगिन किया जाता है
• यह तरीका अकाउंट सुरक्षा में गंभीर कमजोरियां पैदा करता है
  • हमलावर सिर्फ किसी और का ईमेल पता किसी वैध सेवा में दर्ज करके verification code भेजने का अनुरोध कर सकता है
  • उपयोगकर्ता के लिए यह समझना आसान नहीं होता कि मिला हुआ verification code वास्तव में सही उपयोग के लिए है या phishing की कोशिश है
  • Password manager जैसे मौजूदा phishing-रोधी टूल प्रभावी नहीं रहते
• इस authentication code तरीके का वास्तविक दुरुपयोग लगातार सामने आ रहा है
  • Microsoft द्वारा संचालित Minecraft अकाउंट लॉगिन में भी इसी तरह का तरीका इस्तेमाल हो रहा है
  • Reddit, YouTube जैसी कई online community और media में कई अकाउंट चोरी के मामले रिपोर्ट हुए हैं

निष्कर्ष

6-अंकीय code ईमेल authentication तरीका सुरक्षा के लिहाज से अनुमान से कहीं अधिक कमजोर है

• पारंपरिक password तरीके की तुलना में phishing का जोखिम काफी बढ़ जाता है
• user experience सुधारने या सुरक्षा के लिए अपनाया गया यह तरीका असल में और खराब नतीजे पैदा कर सकता है