टू-फैक्टर प्रमाणीकरण

संदर्भ

वर्तमान में खातों को सुरक्षित रखने के लिए कई सेवाएँ टू-फैक्टर प्रमाणीकरण (Two-Factor Authentication: 2FA) का उपयोग करती हैं। यह उपयोगकर्ता के लॉग इन करते समय एक दूसरे कोड की आवश्यकता को दर्शाता है जो हर 30 सेकंड में बदलता रहता है। इन कोड को जनरेट करने का एक सबसे लोकप्रिय तरीका गूगल प्रमाणक (Google Authenticator) जैसे ऐप्स हैं।

क्या है टू-फैक्टर प्रमाणीकरण

• 2FA का मूल सिद्धांत यह है कि उपयोगकर्ता अपनी पहचान दो अलग-अलग तरीकों से साबित करते हैं।
  • पहला फैक्टर उपयोगकर्ता का पासवर्ड है जिसे वह जानता हैं। 
  • दूसरा फैक्टर उपयोगकर्ता के फ़ोन पर चलने वाला एक प्रमाणक ऐप। 
• इससे साइबर हमले और भी मुश्किल हो जाते हैं क्योंकि हमलावर को सफल होने के लिए उपयोगकर्ता के पासवर्ड और फ़ोन तक पहुँच दोनों की ज़रूरत होती है।
• OTP छोटे संख्यात्मक कोड होते हैं जो केवल एक बार और थोड़े समय के लिए ही कार्य करते हैं। 
  • अगर कोई एक कोड इंटरसेप्ट भी कर लेता है, तो वह 30 सेकंड बाद बेकार हो जाता है।
• TOTP (Time-based OTPs) वह सिस्टम है जो OTP कोड को जनरेट करता है; यह समय-आधारित OTP का संक्षिप्त रूप है। 
• TOTP को एक खुले मानक में परिभाषित किया गया है ताकि विभिन्न ऐप और सेवाएँ एक ही विधि का उपयोग कर सकें और संगत बनी रहें। 

TOTP की कार्यप्रणाली 

• कोड जनरेट करने से पहले उपयोगकर्ता को प्रमाणक ऐप और Gmail या Facebook जैसी सेवा को एक गुप्त जानकारी पर सहमत होना होगा। इसे ‘सीक्रेट की’ कहते हैं।
• जब उपयोगकर्ता Google प्रमाणक सेट अप करते हैं तो सेवा उपयोगकर्ता को यह गुप्त जानकारी देती है। 
• सामान्यत: यह एक QR कोड के अंदर छिपा होता है जिसे उपयोगकर्ता स्कैन करते हैं। एक बार जब उपयोगकर्ता के फ़ोन ऐप में यह गुप्त जानकारी आ जाती है तब सर्विस इसे अपने डाटाबेस में संग्रहीत कर लेती है। 
• उपयोगकर्ता इस ‘की’ और वर्तमान समय का उपयोग समान संक्षिप्त कोड जनरेट करने के लिए कर सकते हैं।
• TOTP की सुरक्षा कई स्तरों पर निर्भर करती है। सीक्रेट की केवल आपके डिवाइस और सर्वर को ही पता होती है।
• HMAC-SHA-256 यह सुनिश्चित करता है कि सीक्रेट की के बिना कोई भी आउटपुट का अनुमान नहीं लगा सकता है।
• इसके अलावा, समय पर निर्भरता का अर्थ है कि अगर कोई कोड देख भी लेता है तो वह केवल थोड़े समय के लिए ही मान्य होता है। 
• इस स्तरित दृष्टिकोण का अर्थ है कि साइबर अटैक करने वाला आपकी ‘सीक्रेट की’ के बिना आपके कोड का न अनुमान लगा सकते हैं या गणना नहीं कर सकते हैं।

हैश फ़ंक्शन

• हैश फ़ंक्शन का उपयोग करके कोड उत्पन्न किए जाते हैं। एक हैश फ़ंक्शन किसी भी लंबाई का इनपुट, जैसे- एक शब्द, एक वाक्य या एक लंबी संख्या का उपयोग कर एक निश्चित लंबाई का आउटपुट उत्पन्न करता है।
  • उदाहरण के लिए, SHA-256 हैश फ़ंक्शन हमेशा 256-बिट (32-बाइट) आउटपुट उत्पन्न करता है।

विशेषताएँ

• हैश फ़ंक्शन एकतरफ़ा होते हैं :  ऐसे में दिए गए आउटपुट के आधार पर, मूल इनपुट का पता लगाना व्यावहारिक रूप से असंभव होता है। 
• अत्यधिक संवेदनशील : यदि उपयोगकर्ता इनपुट में केवल एक अक्षर बदलते हैं, तो आउटपुट पूरी तरह से बदल जाता है।
• TOTP केवल SHA-256 का उपयोग नहीं करता है। यह इसे ‘हैश-आधारित संदेश प्रमाणीकरण कोड’ (HMAC) संरचना के अंदर उपयोग करता है।

HMAC के बारे में 

• HMAC हैश फ़ंक्शन का उपयोग करके किसी ‘सीक्रेट की’ को संदेश के साथ जोड़ने का एक तरीका है। 
• इसका परिणाम डाटा का एक छोटा सा पीस (हिस्सा) होता है जो प्रामाणिकता और समग्रता दोनों को साबित करता है।

XOR के बारे में

• XOR कंप्यूटर विज्ञान में सबसे सरल और सबसे शक्तिशाली संक्रियाओं में से एक है। यह ‘एक्सक्लूसिव OR’ का संक्षिप्त रूप है। 
• यह एक तार्किक संक्रिया है जो बिट्स पर काम करती है। 
• HMAC में XOR फ़ंक्शन का उपयोग यह सुनिश्चित करता है कि ‘की’ का उपयोग एक परिवर्तित तथा अधिक सुरक्षित रूप में किया जाए।