टू फैक्टर ऑथेंटिकेशन (2FA)

October 21, 2022

SEBI ने 3 दिसंबर, 2018 को स्टॉक ब्रोकर्स और डिपॉज़िटरी पार्टिसिपेंट के लिए एक सर्कुलर (PDF) जारी किया था। ये सर्कुलर स्टॉकब्रोकर्स और डिपॉज़िटरी के लिए साइबर सिक्योरिटी और साइबर रेजीलेंस फ्रेमवर्क के बारे में है। इसमें डेटा को कैसे सुरक्षित रखना है उसके बारें में बात की गई है। इसे 30 सितंबर 2022 को लागू किया गया है, जहाँ इंडस्ट्री के सभी ब्रोकर्स अब अलग-अलग प्रकार के 2FA ऑफर करते है। Zerodha, 2018 से ही एक्सटर्नल TOTP 2FA सपोर्ट प्रदान करता है।  

2FA, MFA (मल्टी-फैक्टर ऑथेंटिकेशन) का एक सबसेट है। आम तौर पर अलग-अलग फैक्टर्स को इसी तरह classify किया जाता है और 2FA को इनमें से कम से कम दो अलग -अलग फैक्टर्स की ज़रूरत होती है। 

  • नॉलेज फैक्टर (पासवर्ड, PIN, या राज़)।
  • पोज़ेशन फैक्टर (फिज़िकल डिवाइस जैसे फोन, स्मार्टकार्ड या हार्डवेयर टोकन)
  • आप जो हैं (बायोमेट्रिक)। 

इस प्रकार, पासवर्ड और PIN को मिलाकर एक वैलिड 2FA नहीं बनता है। PIN केवल एक न्यूमेरिकल पासवर्ड होता है, जिसे व्यक्ति याद रखता है। 

नया Kite app कोड

जब आप Kite वेब में लॉगिन करते हैं:

1FA -आपको अपने username और पासवर्ड (जो आप जानते हैं) के लिए प्रांप्ट किया जाता है।

2FA – आपको app कोड एंटर करना होता है। ये आपके मोबाइल डिवाइस पर Kite app पर आपके लॉगिन सेशन में पॉप अप होता है। Kite मोबाइल app में एक अनिवार्य बायोमेट्रिक डिवाइस लॉक होता है, इसलिए यह 3FA (जो आपके पास है; आपका फ़ोन जिसमें क्रिप्टोग्राफ़िक रूप से ऑथेंटिकेटेड Kite सेशन है और जो आप है, बायोमेट्रिक) के रूप में भी काम करता है। फिर से, यह जरूरी है कि यहाँ बायोमेट्रिक डिवाइस लॉक को इनेबल किया जाए, ताकि सही 2FA को लागू किया जा सके। 

Kite मोबाइल app कोड आंतरिक रूप से क्रिप्टोग्राफ़िक TOTP mechanism का इस्तेमाल करता है। इस्तेमाल को आसान बनाने के लिए, इसे डायरेक्टली Kite app में जोड़ा गया है। जब आप Kite वेब में लॉगिन करते हैं और अपना पासवर्ड एंटर करते हैं, तब 2FA App कोड, जो केवल कुछ सेकंड के लिए वैलिड रहता है, आपके फ़ोन पर आपके ऑथेंटिकेटेड Kite मोबाइल app पर पॉप अप करता है। हमारे ज़्यादातर यूज़र (~99%) जो Kite वेब का इस्तेमाल करते है वो Kite app का भी इस्तेमाल करते हैं, इसलिए इसको इस्तेमाल करना बहुत ही आसान है। 

Kite मोबाइल में जब पहली बार लॉगिन किया जाता है, तब username और पासवर्ड (1FA) और SMS OTP (2FA) की ज़रूरत होती है, और फिर इसके बाद, 2FA के लिए बायोमेट्रिक डिवाइस लॉक की ज़रूरत होती है।

एक्सटर्नल TOTP 

अगर आप Kite मोबाइल app का इस्तेमाल नहीं करते हैं, तब आप एक्सटर्नल TOTP app सेट कर सकते हैं। यह आमतौर पर जितने भी एक्सटर्नल TOTP ऑप्शंस उपलब्ध होते है, उनमें से कोई एक को इस्तेमाल करके किया जाता है (BitWarden, Authy, Google Authenticator, Microsoft Authenticator, आदि)। इसमें आपको QR कोड जो जेनेरेट होता है, उसको स्कैन करना पड़ता है। आपको Kite web app पर एक्सटर्नल TOTP ऑथेंटिकटोर के साथ स्कैन करना होता है। इसके बाद से, Kite वेब और Kite मोबाइल लॉगिन पर एक्सटर्नल  TOTP को आप देख पाएंगे, जो ऑथेंटिकटोर प्रदान करता हैं। ये TOTP कोड केवल कुछ सेकंड के लिए ही वैलिड रहता हैं। ऑथेंटिकटोर ऐप्स को इंटरनेट कनेक्शन की ज़रूरत नहीं होती है और TOTP कोड बिना डेटा ट्रांसमिशन के डिवाइस पर क्रिप्टोग्राफ़िक रूप से जेनेरेट किए जाते हैं। 

SMS से कितना बेहतर एक्सटर्नल TOTP/Kite मोबाइल App कोड होता है।

अगर 2FA के बारें में बात करें, तब SMS को इंडस्ट्री में सबसे लोकप्रिय 2FA माना जाता है। हालांकि, कैपिटल मार्किट में कुछ क्वालिटीज़ हैं जिसके कारण SMS पर इसका असर देखने को मिलता है, और जिसमें 2FA मोड होता है। ऐसा दूसरे इंडस्ट्रीज़ में नहीं होता है। एक्टिव ट्रेडर्स और इन्वेस्टर्स ना केवल इसका इस्तेमाल करते हैं बल्कि ट्रेडिंग प्लेटफार्म में रोज़ाना लॉगिन करते हैं, क्योंकि रेगुलेशन के नियमों के अनुसार दिन के ख़त्म होने पर उन्हें ज़बरदस्ती लॉग आउट किया जाता है।

हर दिन जैसे ही मार्केट ओपन होता हैं, वैसे ही लाखों यूज़र बहुत कम समय के अंदर ट्रेडिंग प्लेटफॉर्म में लॉगिन करते हैं। यह बिना किसी चेतावनी के दिन में किसी भी समय जिस समय उतार- चढ़ाव होता हैं, उस समय ऐसा देखने को मिल सकता है। ऐसे में हजारों SMS को per सेकंड दूरसंचार कंपनियों के माध्यम से जिसमें टाइम-सेंसिटिव लॉगिन OTP शामिल होता है, भेजना मुश्किल हो सकता है। 

  • ऐसा रेगुलेशन जिसमें रोज़ाना ज़बरदस्ती लॉग आउट करना पड़ता हैं, जहाँ हर दिन प्रति सेकंड हजारों यूज़र को लॉगिन करना होता हैं, यही ब्रोकिंग इंडस्ट्री को दूसरे से अलग करता है।
  • ट्रेडिंग प्लेटफॉर्म में लॉगिन की महत्वपूर्णता बहुत अधिक है। अगर SMS OTP मिलने में देरी हो जाती हैं जिसके चलते यूज़र लॉगिन नहीं कर पाते हैं और अपने पोज़िशंस को वक़्त पर स्क्वायर ऑफ नहीं पाते है, उन्हें काफ़ी नुक्सान का सामना करना पड़ सकता हैं। उतार चढ़ाव के दिन ये और ख़तरनाक साबित हो सकता हैं और लाखों यूज़र को प्रभावित कर सकता हैं। 
  • SMS OTP की डिलीवरी ना होना और देर से डिलीवरी मिलना, यह एक आम समस्या है। जब लाखों SMS OTP को सेकंड के अंदर भेजना होता हैं, तब ऐसे में ऐसी समस्याएँ काफ़ी बढ़ जाते हैं और इसके चलते कई यूज़र ट्रेडिंग प्लेटफॉर्म से लॉग आउट हो जाते हैं।

इस प्रकार, ट्रेडिंग प्लेटफॉर्म के ख़ास संदर्भ में 2FA के लिए SMS OTP काफ़ी सारे यूज़र के लिए एक मुश्किल पैदा कर सकता हैं। Kite मोबाइल का App कोड और एक्सटर्नल OTP सपोर्ट को काफ़ी ध्यान से बनाया गया है।

साइबरफ्रॉड्स

हम हमेशा अपने क्लाइंट्स की मदद करते हैं। किसी का अकाउंट टेक ओवर (takeover) हो गया हो या अकाउंट में फ्रॉड हुआ हो या फिर अनऑथोराइज़्ड हैकिंग के मामलों में हम इनकी जांच क़ानूनी एजेंसियों द्वारा करवाते हैं। वर्षों से ऐसे कई मामले को देखा गया हैं, जिन्हे यहाँ इनके क्रम के अनुसार बताया गया हैं :

  1. ट्रेडिंग अकाउंट में सबसे ज़्यादा छेड़छाड़ उन्हीं केसेस में होता है, जब यूज़र अपने लॉगिन डिटेल्स ऐसे लोगों के साथ शेयर करते हैं जो एडवाइज़र होने का जूठा दावा करते हैं और जो ये वादा करते हैं की वे अच्छे रिटर्न जेनेरेट करेंगे। 
  2. यूज़र अनजाने में सोशल इंजीनियरिंग के माध्यम से अपने लॉगिन क्रेडेंशियल शेयर करते हैं। 
  3. यूज़र अनजाने में फिशिंग वेबसाइट के माध्यम से अपने लॉगिन क्रेडेंशियल शेयर करते हैं। 
  4. ऐसे e-mail सेवा का इस्तेमाल करना जिसकी सुरक्षा कमज़ोर होती है, यूज़र का e-mail बॉक्स के साथ छेड़छाड़ किया जाता हैं। ऐसे में हमलावर e-mail बॉक्स को इस्तेमाल करके पासवर्ड को रिसेट कर देतें हैं, ताकि वह ट्रेडिंग प्लेटफार्म को लॉगिन कर सके। Zerodha ने ऐसे सर्विस प्रोवाइडर को ब्लॉक कर दिया है जिसकी सुरक्षा कमज़ोर होती है, ताकि हमारे यूज़र को कोई हानि ना पंहुचा सके। 

अपने अकाउंट को सुरक्षित कैसे रख सकते है :

  1. लंबे पासवर्ड का इस्तेमाल करें जो कहीं और इस्तेमाल ना किये जा रहे हो। छोटे phrases यानि वाक्यांश और वाक्य मज़बूत पासवर्ड बनाते हैं।
  2. अपने Zerodha अकाउंट की जानकारी कभी भी किसी के साथ शेयर मत कीजिए। Zerodha कभी भी अकाउंट क्रेडेंशियल या OTP email, मैसेज या फोन पर नहीं मांगेगा। 
  3. ऐसे किसी शख़्स पर भरोसा मत कीजिये, जहाँ आपके अकाउंट को मैनेज करके कम समय में ज्यादा रिटर्न देने का वादा किया जाता हैं। साइबर धोखाधड़ी के ज़्यादातर मामलों में हमने यही देखा हैं और हमने इसमें अपने क्लाइंट्स की सहायता की है।
  4. अपने फोन पर एक मजबूत डिवाइस लॉक इनेबल करें।
  5. SMS, e-mail आदि पर भेजे गए लिंक को जब आप ओपन करते है और उन वेबसाइटों में क्रेडेंशियल एंटर करते है, तब उस समय आपको काफ़ी सावधान होना होगा। सुनिश्चित करें कि वेबपेज का पता सही है, उदाहरण के लिए, हमारे किसी भी पोर्टल के लिए *.zerodha.com है। 
Content writer at Zerodha

Post a comment