अनलाइन खाता सुरक्षाको गोप्य हतियार : तपाईंको फोनमा देखिने ६ अङ्कको कोडले कसरी काम गर्छ ?

काठमाडौं । के तपाईंले कहिल्यै सोच्नुभएको छ कि तपाईंले कुनै एप वा वेबसाइटमा लग-इन गर्दा तपाईंको मोबाइलमा आउने त्यो ६ अङ्कको अस्थायी कोड (One-Time Password) कसरी उत्पन्न हुन्छ ? यो कुनै जादु होइन, बरु समयमा आधारित एक सरल तर सशक्त क्रिप्टोग्राफिक (Cryptographic) प्रक्रिया हो । अमेरिकाको राष्ट्रिय मानक तथा प्रविधि संस्थान (NIST) का अनुसार, एक बलियो पासवर्ड (Password) मात्रै आजको साइबर खतराविरुद्ध पर्याप्त सुरक्षा होइन, र यही कोड नै तपाईंको खाताको वास्तविक सुरक्षाकवच बन्न पुग्छ ।

TOTP कोडको प्रविधिलाई सरल तरिकाले बुझौं

प्राविधिक भाषामा यसलाई TOTP (Time-Based One-Time Password) भनिन्छ । यसले हरेक ३० सेकेन्डमा एउटा नयाँ र अद्वितीय कोड उत्पन्न गर्छ । यसको कार्यप्रणालीलाई तपाईं र तपाईंले लग-इन गर्न चाहनुभएको एपबीचको एउटा ‘गोप्य हात मिलाइ’ (Secret Handshake) को रूपमा बुझ्न सकिन्छ ।

यसको सम्पूर्ण प्रक्रिया यसप्रकार छ:

• पहिलो चरण: गोप्य साँचो (Shared Secret) साझेदारी: जब तपाईं पहिलो पटक कुनै खातामा ‘टु-फ्याक्टर अथेन्टिकेसन’ (Two-Factor Authentication) सेटअप गर्नुहुन्छ, तपाईंले एउटा क्यूआर कोड स्क्यान गर्नुहुन्छ । त्यही क्षण, तपाईंको ‘अथेन्टिकेटर एप’  र वेबसाइटको सर्भरले एकापसमा एउटा गोप्य ‘चाबी’ साझा गर्छन् । मानौं, दुवैले एउटै अदृश्य पासवर्ड कतै टिपेर राखे ।
• दोस्रो चरण: अब, हरेक ३० सेकेन्डमा, तपाईंको एप र सर्भर दुवैले यो साझा गोप्य चाबी र वर्तमान समय (Current Time) लाई एक विशेष गणितीय सूत्रमा प्रयोग गरेर एउटा नयाँ ६ अङ्कको कोड बनाउँछन् ।
• तेस्रो चरण: तपाईंले त्यो कोड हालेपछि सर्भरले आफूले भर्खरै बनाएको कोडसँग मिलान गर्छ । यदि मिल्यो भने तपाईं भित्र पस्न पाउनुहुन्छ । यदि मिलेन भने पहुँच अस्वीकार हुन्छ । प्रत्येक ३० सेकेन्डमा कोड परिवर्तन भइरहने हुँदा, यो ‘आत्म-विनाश’ (Self-Destruct) हुने पासवर्ड जस्तै हो ।

पासवर्डको एकल सुरक्षा पर्याप्त छैन

‘मल्टि-फ्याक्टर अथेन्टिकेसन’ (MFA) एउटा यस्तो सुरक्षा प्रणाली हो, जसले तपाईंको पहिचान पुष्टि गर्न कम्तीमा दुईवटा भिन्न प्रमाण माग्दछ । यी प्रमाण निम्न तीनमध्येका हुन सक्छन्:

• तपाईंलाई थाहा भएको कुरा (Something You Know): जस्तै, ‘पासवर्ड’ वा ‘पिन’ (PIN)।
• तपाईंसँग भएको कुरा (Something You Have): जस्तै, ‘स्मार्ट कार्ड’ (Smart Card), ‘सुरक्षा चाबी’ (Security Key), वा तपाईंको मोबाइलमा भएको ‘अथेन्टिकेटर एप’ (Authenticator App) ।
• तपाईं आफैं भएको कुरा (Something You Are): जस्तै, ‘फिंगरप्रिन्ट’ (Fingerprint), ‘फेस रिकग्निसन’ (Face Recognition) वा आँखाको नानीको स्क्यान ।

यसको आवश्यकता किन ? किनकि आजको समयमा ‘फिसिङ’ नामक साइबर आक्रमण निकै सहज र प्रभावकारी भइसकेको छ । ‘फिसिङ’ भनेको एउटा यस्तो भ्रामक प्रयास हो, जसले तपाईंलाई झुक्काएर तपाईंको पासवर्ड वा अन्य संवेदनशील जानकारी चोर्न खोज्छ ।

यदि तपाईंको खातामा केवल पासवर्ड मात्र सुरक्षा छ भने, एक पटक पासवर्ड चोरिएमा आक्रमणकारीले सजिलै तपाईंको खातामा पहुँच पाउन सक्छ । तर, यदि ‘मल्टि-फ्याक्टर अथेन्टिकेसन’ (MFA) सक्रिय छ भने, पासवर्ड चोरिएको अवस्थामा पनि आक्रमणकारीले दोस्रो प्रमाण (जस्तै, तपाईंको फोनमा आउने कोड) दिन नसक्ने हुँदा तपाईंको खाता सुरक्षित रहन्छ ।

अझ बलियो सुरक्षा: ‘फिसिङ-प्रतिरोधी’ प्रमाणीकरण

यद्यपि सबै प्रकारका ‘मल्टि-फ्याक्टर अथेन्टिकेसन’ (MFA) ले सुरक्षा बढाउँछन्, तर एसएमएस (SMS) बाट आउने ‘वान-टाइम पासवर्ड’ जस्ता केही पुराना विधिहरू ‘फिसिङ’ आक्रमणप्रति संवेदनशील हुन सक्छन् । यसैले, अमेरिकाको ‘राष्ट्रिय मानक तथा प्रविधि संस्थान’ (NIST) ले ‘फिडो’ (FIDO) र ‘वेबअथन’ (WebAuthn) जस्ता नयाँ प्रविधिहरू सिफारिस गरेको छ ।

यी ‘फिसिङ-प्रतिरोधी’ (Phishing-Resistant) प्रविधि हुन् । यसको अर्थ, यिनलाई नक्कली वेबसाइटले मूर्ख बनाउन सक्दैन । ‘फिडो’ (FIDO) प्रमाणीकरणमा, एउटा भौतिक सुरक्षा चाबी (जस्तै YubiKey) वा तपाईंको ल्यापटप/फोनमा नै निर्मित प्रविधिले परम्परागत पासवर्डको आवश्यकता नै हटाइदिन्छ । यसले तपाईंको गोप्य जानकारी सर्भरलाई कहिल्यै पठाउँदैन, जसले गर्दा ‘फिसिङ’को सम्भावना लगभग शून्य हुन्छ । बैंकिङ, स्वास्थ्य, वा संवेदनशील व्यावसायिक खाताहरूका लागि यो ‘सुनौलो मानक’ (Gold Standard) मानिन्छ ।

तपाईंको व्यवसाय वा व्यक्तिगत खाताका लागि अब के गर्ने ?

तपाईंको खाताहरू सुरक्षित गर्न निम्न कदमहरू चालेर आजै सुरु गर्नुहोस्:

• खाताहरूको लेखाजोखा गर्नुहोस्: तपाईंले प्रयोग गर्ने सबै अनलाइन सेवाहरूको सूची बनाउनुहोस् र तिनले ‘मल्टि-फ्याक्टर अथेन्टिकेसन’ (MFA) को सुविधा दिन्छन् कि दिँदैनन् भनेर पत्ता लगाउनुहोस् ।
• संवेदनशील खातामा सक्रिय गर्नुहोस्: आफ्नो इमेल, बैंकिङ, सामाजिक सञ्जाल, र व्यावसायिक खाताहरूमा अनिवार्य रूपमा ‘मल्टि-फ्याक्टर अथेन्टिकेसन’ सक्रिय गर्नुहोस् ।
• कर्मचारीहरूलाई शिक्षित गर्नुहोस्: व्यवसाय भएमा, कर्मचारीहरूले ‘मल्टि-फ्याक्टर अथेन्टिकेसन’को महत्त्व र यसलाई कसरी प्रयोग गर्ने भनेर राम्ररी बुझेको सुनिश्चित गर्नुहोस् ।
• नीति नै बनाउनुहोस्: ‘मल्टि-फ्याक्टर अथेन्टिकेसन’को प्रयोगलाई अनिवार्य गर्दै एउटा स्पष्ट साइबर सुरक्षा नीति बनाउनुहोस् ।
• पासवर्ड म्यानेजर प्रयोग गर्नुहोस्: हरेक खाताका लागि बलियो र फरक-फरक पासवर्डहरू सिर्जना गर्न र सम्झनका लागि ‘पासवर्ड म्यानेजर’को सहायता लिनुहोस् ।

आजको युगमा, एउटा सानो ६ अङ्कको कोडले तपाईंको सम्पूर्ण डिजिटल जीवनको सुरक्षामा विशाल भिन्नता ल्याउन सक्छ । यसलाई सक्रिय गर्न आजै समय निकाल्नुहोस् ।

(Link: https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/multi-factor-authentication)