ایس ایم ایس پر مبنی دو عنصر کی توثیق (2FA) کمپیوٹر سسٹمز میں صارف کی تصدیق کی حفاظت کو بڑھانے کے لیے ایک وسیع پیمانے پر استعمال شدہ طریقہ ہے۔ اس میں ایس ایم ایس کے ذریعے ون ٹائم پاس ورڈ (OTP) حاصل کرنے کے لیے موبائل فون کا استعمال شامل ہے، جسے صارف نے تصدیق کے عمل کو مکمل کرنے کے لیے درج کیا ہے۔ جبکہ SMS پر مبنی 2FA روایتی صارف نام اور پاس ورڈ کی توثیق کے مقابلے سیکورٹی کی ایک اضافی تہہ فراہم کرتا ہے، لیکن یہ اپنی حدود کے بغیر نہیں ہے۔
ایس ایم ایس پر مبنی 2FA کی اہم حدود میں سے ایک سم تبدیل کرنے کے حملوں کا خطرہ ہے۔ سم بدلنے والے حملے میں، ایک حملہ آور موبائل نیٹ ورک آپریٹر کو قائل کرتا ہے کہ وہ حملہ آور کے کنٹرول میں شکار کے فون نمبر کو سم کارڈ میں منتقل کرے۔ ایک بار جب حملہ آور کے پاس شکار کے فون نمبر کا کنٹرول ہو جاتا ہے، تو وہ OTP والے SMS کو روک سکتے ہیں اور اسے 2FA کو نظرانداز کرنے کے لیے استعمال کر سکتے ہیں۔ اس حملے کو سوشل انجینئرنگ تکنیکوں کے ذریعے یا موبائل نیٹ ورک آپریٹر کے تصدیقی عمل میں کمزوریوں کا فائدہ اٹھا کر سہولت فراہم کی جا سکتی ہے۔
ایس ایم ایس پر مبنی 2 ایف اے کی ایک اور حد ایس ایم ایس پیغام کو روکنے کی صلاحیت ہے۔ اگرچہ سیلولر نیٹ ورک عام طور پر صوتی اور ڈیٹا مواصلات کے لیے خفیہ کاری فراہم کرتے ہیں، ایس ایم ایس پیغامات اکثر سادہ متن میں منتقل کیے جاتے ہیں۔ اس سے وہ حملہ آوروں کی طرف سے مداخلت کے خطرے سے دوچار ہو جاتے ہیں جو موبائل نیٹ ورک اور وصول کنندہ کے آلے کے درمیان ہونے والی بات چیت کو چھپ سکتے ہیں۔ ایک بار روکے جانے کے بعد، حملہ آور صارف کے اکاؤنٹ تک غیر مجاز رسائی حاصل کرنے کے لیے OTP کا استعمال کر سکتا ہے۔
مزید برآں، SMS پر مبنی 2FA صارف کے موبائل ڈیوائس کی حفاظت پر انحصار کرتا ہے۔ اگر آلہ گم یا چوری ہو جاتا ہے، تو آلہ پر قبضہ کرنے والا حملہ آور آسانی سے OTP پر مشتمل SMS پیغامات تک رسائی حاصل کر سکتا ہے۔ مزید برآں، ڈیوائس پر نصب میلویئر یا بدنیتی پر مبنی ایپلیکیشنز 2FA کے عمل کی سیکیورٹی کو نقصان پہنچاتے ہوئے، SMS پیغامات کو روک سکتے ہیں یا ان میں ہیرا پھیری کر سکتے ہیں۔
ایس ایم ایس پر مبنی 2FA ناکامی کا ایک ممکنہ واحد نقطہ بھی متعارف کراتا ہے۔ اگر موبائل نیٹ ورک سروس کی بندش کا تجربہ کرتا ہے یا اگر صارف خراب سیلولر کوریج والے علاقے میں ہے تو، OTP کی ترسیل میں تاخیر ہو سکتی ہے یا مکمل طور پر ناکام ہو سکتی ہے۔ اس کے نتیجے میں صارفین اپنے اکاؤنٹس تک رسائی حاصل کرنے سے قاصر ہو سکتے ہیں، جس کی وجہ سے مایوسی ہو سکتی ہے اور ممکنہ طور پر پیداواری صلاحیت کا نقصان ہو سکتا ہے۔
مزید یہ کہ، SMS پر مبنی 2FA فشنگ حملوں کے لیے حساس ہے۔ حملہ آور قائل کرنے والے جعلی لاگ ان پیجز یا موبائل ایپس بنا سکتے ہیں جو صارفین کو اپنا صارف نام، پاس ورڈ اور SMS کے ذریعے موصول ہونے والا OTP درج کرنے کا اشارہ کرتے ہیں۔ اگر صارف ان فریب کاری کی کوششوں کا شکار ہو جاتے ہیں، تو حملہ آور ان کی اسناد اور OTP حاصل کر سکتا ہے، جو اسے صارف کے اکاؤنٹ تک غیر مجاز رسائی حاصل کرنے کے لیے استعمال کر سکتا ہے۔
جبکہ SMS پر مبنی 2FA روایتی صارف نام اور پاس ورڈ کی توثیق کے مقابلے سیکورٹی کی ایک اضافی تہہ فراہم کرتا ہے، لیکن یہ اپنی حدود کے بغیر نہیں ہے۔ ان میں سم کی تبدیلی کے حملوں کا خطرہ، ایس ایم ایس پیغامات کو روکنا، صارف کے موبائل ڈیوائس کی سیکیورٹی پر انحصار، ناکامی کا ممکنہ واحد نقطہ، اور فشنگ حملوں کا حساس ہونا شامل ہیں۔ تنظیموں اور صارفین کو ان حدود سے آگاہ ہونا چاہیے اور ایس ایم ایس پر مبنی 2FA سے وابستہ خطرات کو کم کرنے کے لیے متبادل تصدیقی طریقوں، جیسے کہ ایپ پر مبنی تصدیق کنندگان یا ہارڈویئر ٹوکنز پر غور کرنا چاہیے۔
سے متعلق دیگر حالیہ سوالات اور جوابات کی توثیق:
- صارف کی توثیق میں سمجھوتہ کرنے والے صارف کے آلات سے وابستہ ممکنہ خطرات کیا ہیں؟
- UTF طریقہ کار صارف کی توثیق میں درمیان میں ہونے والے حملوں کو روکنے میں کس طرح مدد کرتا ہے؟
- صارف کی توثیق میں چیلنج رسپانس پروٹوکول کا مقصد کیا ہے؟
- عوامی کلید کی خفیہ نگاری صارف کی توثیق کو کیسے بڑھاتی ہے؟
- پاس ورڈز کی تصدیق کے کچھ متبادل طریقے کیا ہیں، اور وہ سیکیورٹی کو کیسے بڑھاتے ہیں؟
- پاس ورڈ سے سمجھوتہ کیسے کیا جا سکتا ہے، اور پاس ورڈ کی بنیاد پر تصدیق کو مضبوط بنانے کے لیے کیا اقدامات کیے جا سکتے ہیں؟
- صارف کی توثیق میں سیکورٹی اور سہولت کے درمیان تجارت کیا ہے؟
- صارف کی توثیق میں شامل کچھ تکنیکی چیلنجز کیا ہیں؟
- یوبیکی اور پبلک کلید کرپٹوگرافی کا استعمال کرتے ہوئے تصدیقی پروٹوکول پیغامات کی صداقت کی تصدیق کیسے کرتا ہے؟
- یونیورسل 2nd فیکٹر (U2F) ڈیوائسز کو صارف کی تصدیق کے لیے استعمال کرنے کے کیا فوائد ہیں؟
مزید سوالات اور جوابات کو توثیق میں دیکھیں