सुरक्षा मार्गदर्शिका

MFA बनाम मजबूत पासवर्ड

जानें कि मल्टी-फ़ैक्टर प्रमाणीकरण और मजबूत पासवर्ड एक साथ कैसे काम करते हैं, और क्यों कोई भी नियंत्रण दूसरे की जगह नहीं लेता।

सारांश

MFA और मजबूत पासवर्ड अलग-अलग समस्याओं का समाधान करते हैं। एक मजबूत पासवर्ड अनुमान लगाने और पुन: उपयोग के हमलों को कठिन बनाता है। MFA पासवर्ड चोरी होने, फ़िश किए जाने या लीक होने पर दूसरी बाधा जोड़ता है। महत्वपूर्ण खातों के लिए, दोनों का उपयोग करें।

MFA के प्रकार

MFA में प्रमाणक ऐप, हार्डवेयर सुरक्षा कुंजी, पासकी, पुश अनुमोदन, SMS या ईमेल कोड शामिल हो सकते हैं। विधियाँ फ़िशिंग प्रतिरोध और पुनर्प्राप्ति जोखिम में भिन्न होती हैं। दूसरा पासवर्ड वास्तविक दूसरा कारक नहीं है।

व्यावहारिक सिफारिशें

प्रत्येक खाते के लिए अद्वितीय यादृच्छिक पासवर्ड का उपयोग करें।
ईमेल, बैंकिंग, कार्य, क्लाउड और पासवर्ड मैनेजर खातों के लिए MFA सक्षम करें।
जहाँ उपलब्ध हो, फ़िशिंग-प्रतिरोधी विधियों को प्राथमिकता दें।
पुनर्प्राप्ति कोड सुरक्षित रूप से सहेजें।
बैकअप विधियों और विश्वसनीय उपकरणों की समीक्षा करें।

विस्तृत मार्गदर्शन

यह मार्गदर्शिका इस बात पर केंद्रित है कि MFA और मजबूत पासवर्ड एक-दूसरे के पूरक कैसे हैं। यह उन उपयोगकर्ताओं के लिए लिखा गया है जो सोचते हैं कि क्या MFA पासवर्ड की मजबूती को कम महत्वपूर्ण बना देता है, इसलिए व्यावहारिक लक्ष्य कोई नाटकीय सुरक्षा दावा बनाना नहीं है। लक्ष्य एक ऐसी पासवर्ड आदत चुनना है जो रोज़मर्रा के उपयोग में टिक सके: साइन-इन फ़ॉर्म, पासवर्ड मैनेजर, मोबाइल कीबोर्ड, खाता पुनर्प्राप्ति, साझा उपकरण, और कभी-कभी अजीब सत्यापन नियमों वाली सेवा। एक सुरक्षित सिफारिश तभी उपयोगी है जब कोई वास्तविक व्यक्ति इसे लगातार अपना सके।

सबसे सुरक्षित शुरुआती बिंदु यादृच्छिकता और विशिष्टता है। यादृच्छिकता का अर्थ है कि मान एक बड़े स्थान से क्रिप्टोग्राफिक रूप से उपयुक्त यादृच्छिक स्रोत द्वारा चुना गया है, न कि जन्मदिन, पालतू जानवर के नाम, कीबोर्ड पैटर्न या पसंदीदा उद्धरण से आविष्कार किया गया। विशिष्टता का अर्थ है कि वही पासवर्ड कहीं और उपयोग नहीं किया गया है। एक पासवर्ड जो लंबा है लेकिन पुन: उपयोग किया गया है, एक असंबंधित उल्लंघन के बाद जल्दी विफल हो सकता है, जबकि एक अद्वितीय यादृच्छिक पासवर्ड नुकसान को केवल उस एक खाते तक सीमित करता है जहाँ इसका उपयोग किया गया था।

इस विषय के लिए, एक व्यावहारिक प्रीसेट एक अद्वितीय यादृच्छिक पासवर्ड और एक स्वतंत्र दूसरा कारक है। आप उस प्रीसेट को ईमेल पासवर्ड जनरेटर के साथ लागू कर सकते हैं और फिर अंतिम मान को एक विश्वसनीय पासवर्ड मैनेजर में संग्रहीत कर सकते हैं। PwdGen ब्राउज़र में Web Crypto के साथ स्थानीय रूप से मान उत्पन्न करता है; उत्पन्न पासवर्ड PwdGen सर्वर को नहीं भेजा जाता है। वह स्थानीय डिज़ाइन सर्वर-साइड एक्सपोज़र को कम करता है, लेकिन यह हर खतरे से रक्षा नहीं करता है। एक दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन, एक समझौता किया गया उपकरण, एक फ़िशिंग पेज, या असुरक्षित क्लिपबोर्ड हैंडलिंग अभी भी उत्पन्न होने के बाद एक रहस्य को उजागर कर सकता है।

सबसे आम समस्याएँ जिनसे बचना चाहिए, वे हैं SMS इंटरसेप्शन, प्रॉम्प्ट थकान, कमज़ोर पुनर्प्राप्ति ईमेल, असुरक्षित रूप से संग्रहीत बैकअप कोड, और MFA के पीछे पुन: उपयोग किए गए पासवर्ड। ये समस्याएँ मायने रखती हैं क्योंकि हमलावरों को शायद ही कभी हर संभव पासवर्ड को ब्रूट-फ़ोर्स करने की आवश्यकता होती है जब मानव आदतें उन्हें शॉर्टकट देती हैं। क्रेडेंशियल स्टफिंग, फ़िशिंग, लीक हुई पासवर्ड सूचियाँ, और खाता-पुनर्प्राप्ति दुरुपयोग अक्सर शुद्ध गणितीय खोज की तुलना में अधिक यथार्थवादी होते हैं। यही कारण है कि सबसे अच्छी सलाह पासवर्ड गुणवत्ता को MFA, पासकी, पुनर्प्राप्ति-कोड भंडारण, और पुनर्प्राप्ति ईमेल या फ़ोन सेटिंग्स की नियमित समीक्षा जैसे खाता-स्तरीय नियंत्रणों के साथ जोड़ती है।

सिफारिश लागू करते समय इस चेकलिस्ट का उपयोग करें:

जहाँ उपलब्ध हो, ऐप-आधारित, हार्डवेयर या पासकी कारकों का उपयोग करें।
पहले ईमेल की सुरक्षा करें।
पुनर्प्राप्ति कोड सुरक्षित रूप से संग्रहीत करें।
MFA सक्षम होने के कारण पासवर्ड कमज़ोर न करें।

यदि कोई वेबसाइट आदर्श सेटिंग को अस्वीकार करती है, तो पासवर्ड को मैन्युअल रूप से कमज़ोर पैटर्न में न बदलें। एक बार में एक चर समायोजित करें। यदि प्रतीकों को अस्वीकार कर दिया जाता है, तो अपरकेस, लोअरकेस और संख्याओं को सक्षम रखें और लंबाई बढ़ाएँ। यदि अधिकतम लंबाई कम है, तो स्वीकृत सबसे बड़ी लंबाई का उपयोग करें और सुनिश्चित करें कि मान अद्वितीय है। यदि पासवर्ड को ज़ोर से पढ़ा जाना है, मुद्रित किया जाना है, या टेलीविज़न या राउटर स्क्रीन पर टाइप किया जाना है, तो भ्रमित करने वाले वर्णों को बाहर करने और छोटे वर्णमाला की भरपाई के लिए लंबाई बढ़ाने पर विचार करें।

अंत में, पासवर्ड सलाह की सीमा को याद रखें। एक मजबूत पासवर्ड रक्षा की एक परत है, गारंटी नहीं। यह फ़िशिंग पेज को सुरक्षित नहीं बना सकता, मैलवेयर को ठीक नहीं कर सकता, या उस सेवा की भरपाई नहीं कर सकता जो क्रेडेंशियल्स को खराब तरीके से संग्रहीत करती है। उपयोगी आदत उबाऊ लेकिन टिकाऊ है: एक अद्वितीय मान उत्पन्न करें, इसे सुरक्षित रूप से संग्रहीत करें, पुनर्प्राप्ति पथ की रक्षा करें, और यदि आपको एक्सपोज़र का संदेह हो तो इसे जल्दी से बदलें।

एक सुरक्षित अगला कदम

इस मार्गदर्शिका को पढ़ने के बाद, एक बार में सब कुछ ठीक करने की कोशिश करने के बजाय एक छोटा खाता ऑडिट करें। वह खाता चुनें जो अधिग्रहीत होने पर सबसे अधिक परेशानी पैदा करेगा, पुष्टि करें कि उसका पासवर्ड अद्वितीय है, और पुनर्प्राप्ति ईमेल, पुनर्प्राप्ति फ़ोन, MFA विधि और बैकअप-कोड भंडारण की जाँच करें। यदि उस श्रृंखला का कोई भी भाग कमज़ोर है, तो कम जोखिम वाले खातों पर जाने से पहले उस भाग में सुधार करें। यह क्रम काम को प्रबंधनीय रखता है और उन खातों की रक्षा करता है जिनका हमलावर सबसे अधिक कदम के रूप में उपयोग करने की संभावना रखते हैं। mfa vs strong password के लिए, सबसे अच्छा परिणाम एक दोहराने योग्य आदत है: स्थानीय रूप से उत्पन्न करें, सावधानीपूर्वक संग्रहीत करें, और पुन: उपयोग से बचें।

अक्सर पूछे जाने वाले प्रश्न

क्या MFA एक मजबूत पासवर्ड की जगह लेता है?

नहीं। MFA खाता-अधिग्रहण जोखिम को कम करता है, लेकिन पासवर्ड अभी भी अद्वितीय और मजबूत होना चाहिए।

क्या SMS MFA पर्याप्त है?

SMS बिना MFA के बेहतर हो सकता है, लेकिन प्रमाणक ऐप, पासकी और सुरक्षा कुंजी अक्सर उपलब्ध होने पर अधिक मजबूत होते हैं।

मुझे पहले किसकी रक्षा करनी चाहिए?

पहले ईमेल, पासवर्ड मैनेजर, बैंकिंग, कार्य और क्लाउड खातों की रक्षा करें क्योंकि वे अन्य सेवाओं को अनलॉक कर सकते हैं।

स्रोत

OWASP Multifactor Authentication Cheat Sheet