टू-फ़ैक्टर ऑथेंटिकेशन, सरल भाषा में

टू-फ़ैक्टर ऑथेंटिकेशन वह एकमात्र सबसे प्रभावी सुरक्षा सेटिंग है जिसका इस्तेमाल अधिकांश लोग नहीं करते। Microsoft के प्रकाशित आँकड़े कहते हैं कि यह 99% से अधिक स्वचालित अकाउंट टेकओवर को रोकता है। फिर भी इसकी प्रतिष्ठा अटपटी है — आंशिक रूप से क्योंकि तीन सामान्य प्रकारों ("SMS कोड", "ऑथेंटिकेटर ऐप", "सुरक्षा कुंजी") के बारे में ऐसे बात की जाती है जैसे वे आपस में बदले जा सकें। ऐसा नहीं है। यह व्यावहारिक संस्करण है।

2FA वास्तव में क्या करता है

पासवर्ड लगातार लीक होते रहते हैं। डेटाबेस डंप, फ़िशिंग पेज, ब्राउज़र मैलवेयर, पासवर्ड का दोबारा इस्तेमाल — आपके किसी एक पासवर्ड के किसी और की स्प्रेडशीट में आ जाने के बहुत सारे रास्ते हैं। 2FA एक दूसरी जाँच जोड़ता है जो आपके पास मौजूद किसी चीज़ से बँधी है, न कि सिर्फ़ उस चीज़ से जो आप जानते हैं। आपका पासवर्ड चुराने वाले हमलावरों को वह दूसरा कारक भी रीयल-टाइम में, उसी डिवाइस पर चुराना होगा — कहीं अधिक मुश्किल।

SMS 2FA

टेक्स्ट के ज़रिये एक छह-अंकीय कोड आता है। आप उसे टाइप करते हैं। यह उपयोग में सबसे आसान है क्योंकि हर फ़ोन में पहले से होता है, और इसीलिए यह स्वीकार्य सुरक्षा का सबसे निचला तल है: क्रेडेंशियल-स्टफिंग बॉट्स को रोकने के लिए पर्याप्त, पर SIM-स्वैप हमलों (एक हमलावर कैरियर को मनाकर आपका नंबर मूव करवा देता है) और कमज़ोर नेटवर्क पर साइलेंट SMS इंटरसेप्शन के प्रति कमज़ोर।

उपयुक्त: कम-मूल्य के खाते जहाँ आप एक और ऐप इंस्टॉल नहीं करना चाहते। फ़ोरम, शॉपिंग साइटें, मेलिंग लिस्ट।

अनुपयुक्त: ईमेल, बैंकिंग, सरकारी पोर्टल, कुछ भी जो अन्य खातों को नियंत्रित करता है।

ऑथेंटिकेटर ऐप्स (TOTP)

Google Authenticator, 1Password, Bitwarden, और Authy जैसी ऐप्स हर 30 सेकंड में एक नया छह-अंकीय कोड बनाती हैं, जो केवल आपके डिवाइस पर संग्रहीत एक गुप्त बीज से व्युत्पन्न होता है। कोई SMS नहीं, कोई कैरियर नहीं — कोड ऑफ़लाइन काम करते हैं। फ़िशिंग हमले जो आपका पासवर्ड और एक कोड पकड़ लेते हैं, अब भी काम कर सकते हैं, पर SIM-स्वैप अप्रासंगिक हो जाता है।

सेटअप टिप: जब कोई साइट आपको QR कोड दिखाए, तो उसके साथ टेक्स्टुअल बीज (seed) भी सहेजें (अधिकांश ऑथेंटिकेटर ऐप्स इसे एक्सपोर्ट करती हैं)। यदि आप बीज और रिकवरी कोड के बिना अपना फ़ोन खो देते हैं, तो आपको हर खाते को शून्य से रीसेट करना होगा।

उपयुक्त: लगभग सब कुछ। अधिकांश ईमेल प्रदाता, सोशल प्लेटफ़ॉर्म, क्रिप्टो एक्सचेंज और डेवलपर टूल TOTP का समर्थन करते हैं, और यह मुफ़्त है।

सुरक्षा कुंजियाँ (FIDO2 / WebAuthn / passkeys)

एक USB या NFC कुंजी (YubiKey, Titan, हाल ही में iOS और Android keychain में बने "passkeys" भी) जो लॉगिन चैलेंज पर क्रिप्टोग्राफ़िक रूप से हस्ताक्षर करती है। सबसे महत्वपूर्ण यह है कि यह साइट के डोमेन से बँधी होती है — एक फ़िशिंग पेज जो असली जैसा दिखता है, उसे बस हस्ताक्षर नहीं मिलेगा। यह एकमात्र सामान्य 2FA विधि है जो अच्छी तरह से बनाए गए फ़िशिंग को मात देती है।

उपयुक्त: प्राथमिक ईमेल, पासवर्ड मैनेजर, कुछ भी जिसे खोना आप बर्दाश्त नहीं कर सकते। दो कुंजियाँ खरीदें; दोनों को रजिस्टर करें; एक को दराज में रखें।

अस्थायी नंबर कहाँ फ़िट होते हैं

अस्थायी SMS नंबर शुरुआती साइनअप चरण के लिए बहुत अच्छे हैं, पर वे चालू SMS 2FA के लिए उपयुक्त नहीं हैं — जब तक आपको एक कोड प्राप्त करने की ज़रूरत होगी, नंबर पूल में वापस जा चुका होगा। सर्वोत्तम अभ्यास: अस्थायी नंबर से साइन अप करें, तुरंत खाते की सुरक्षा सेटिंग्स में TOTP सेट करें, और रिकवरी कोड किसी सुरक्षित जगह संग्रहीत करें। फिर अस्थायी नंबर ग़ायब हो सकता है।

रिकवरी कोड का उल्लेख ज़रूरी है

लगभग हर 2FA सेटअप स्क्रीन एकल-उपयोग रिकवरी कोड की एक सूची देती है। उन्हें प्रिंट करें या अपने पासवर्ड मैनेजर में संग्रहीत करें। अगर आप हर डिवाइस खो दें तो वापस आने का यही रास्ता है। इस चरण को न छोड़ें — उनके बिना खाता पुनर्प्राप्ति के लिए अक्सर पहचान दस्तावेज़ चाहिए जिनमें हफ़्ते लगते हैं।

त्वरित सिफ़ारिशें

• ईमेल और पासवर्ड मैनेजर: पहले सुरक्षा कुंजी, बैकअप के तौर पर TOTP।
• बैंक, ब्रोकर, एक्सचेंज: जो भी सर्वोच्च टियर वे प्रदान करते हैं।
• सोशल, डेव टूल, वर्क SaaS: TOTP।
• कोई रैंडम फ़ोरम जो फ़ोन नंबर माँगे: अस्थायी SMS, फिर साइनअप के बाद TOTP।