کیسے کریں: Two-factor تصدیق
آخری تازہ کاری: September 07, 2017
Two-factor تصدیق (یا "2FA") جو ایک صارف کو دو مختلف تصدیقی طریقوں کے ایک ملاپ کی مانگ کے ذریعے ایک خدمت مہیا کار سے اپنی تصدیق کروانے کا ایک طریقہ ہے۔ یہ جزوئیات شاید ان میں سے ہوں جو ایک صارف جانتا ہو (جیسے ایک شناختی لفظ یا پِن)، یا کوئی ایسی شے جو صارف اپنے پاس رکھتا ہو ( جیسے ایک کلیدی جیب یا موبائل فون)، یا کوئی ایسی شے جو صارف سے جڑی ہو یا صارف سے جدا نہ ہو سکتی ہو ( جیسے آپ کے فنگر پرنٹس)۔
آپ نے شاید اپنے دیگر شعبہ ہائے زندگی میں کبھی Tow-factor تصدیق کا کبھی استعمال کیا ہو۔ جب آپ بنک سے نقدی نکلوانے کیلئے ATM کارڈ کا استعمال کرتے ہیں تو آپ کے پاس دو طرح کی شناخت کی ضرورت ہوتی ہے یعنی ایک توآپ کا کارڈ (جو آپ کی ملکیت ہوتا ہے) اوردوسرا آپ کا پِن کوڈ ( وہ جو آپ کو یاد ہوتا ہے)۔ تاہم حال حاضر میں بہت سی آن لائن خدمات ایسی بھی ہیں جنہیں صرف بائی ڈیفالٹ ایک ہی قسم کی تصدیق چاہئے جو ایک پاس ورڈ کی صورت میں ہوتی ہے۔
2FA آن لائن کیسے کام کرتا ہے؟ anchor link
گزشتہ کئی سالوں کے دوران بہت سی آن لائن خدمات بشمول Facebook, Google اور Twitter نے محض شناختی الفاظ پر مبنی تصدیق کے متبادل کے طور پر 2FA کو پیش کیا ہے۔ ایک بار یہ فیچر واضح ہوجائے تو صارفین کو اپنے شناختی الفاظ اور ایک ماتحت تصدیقی طریقہ کار کیلئے حوصلہ افزائی ملے گی، روائتی طور پر یا تو یک وقتی کوڈ ایس ایم ایس کے ذریعے بھیجا جائے گا یا کسی رضاکارانہ موبائل ایپ کے ذریعے ایک یک وقتی کوڈ بنا دیا جائے گا جو ایک راز محفوظ رکھتا ہے ( جیسے Google Authenticator, Duo Mobile, the Facebook app, یا Clef)۔ کسی بھی صورت میں کوئی ایسی چیز جو عام طور پر صارفین کی ملکیت میں ہو جیسے موبائل فون، دوسرا factor ہوتے ہیں۔ بعض ویب سائٹس بھی ( بشمول Google)بھی صرف ایک استعمال کے بیک اپ کوڈز مہیا کرتے ہیں جنہیں ڈاؤن لوڈ، صفحات پر پرنٹ کر کے اور ایک اضافی بیک اپ کے طور پر کسی محفوظ جگہ حفاظت سے رکھ لیتے ہیں۔ ایک بارآپ 2FA استعمال کرنا ہو توآپ کواپنے اکاؤنٹ تک رسائی فون کے ذریعے سے حاصل کرنے کیلئے ایک پاس ورڈ ڈالنےاورایک فی الوقتی کوڈ کی ضرورت ہوگی 2 چلانے کیلئے FA
مجھے 2FA کیوں چلانا چاہئے؟ anchor link
2FA آپ کو آپ کی شناخت کی کئی طریقوں سے تصدیق کی مانگ کر کے بہتر حفاظتی اکاؤنٹ فراہم کرتا ہے۔ جس کا مطلب یہ ہے کہ اگر کوئی آپ کے بنیادی شناختی لفظ کو ہتھیا بھی لے تب بھی وہ آپ کے اکاؤنٹ تک رسائی نہ حاصل کرسکے جب تک کہ اس کے پاس آپ کا موبائل فون نہ ہو، یا پھر جب تک اس کے پاس تصدیق کا اور کوئی ماتحت ذریعہ نہ ہو۔
کیا 2FA استعمال کرنے کے کوئی منفی پہلو بھی ہیں؟ anchor link
اگرچہ 2FA تصدیق کا ایک بہترین حفاظتی ذریعہ متعارف کرواتی ہے، لیکن صارفین کیلئے ایک بہت بڑا خدشہ یہ ہے کہ کہیں وہ اپنے اکاؤنٹ تک رسائی ہی نہ کھو دیں، مثلاً، اگر صارف اپنا فون کہیں کھو دے یا اپنا سِم کارڈ تبدیل کرتا ہے یا رومنگ چلائے بغیر کسی دوسرے ملک سفر کرتا ہے۔
کئی 2FA خدمات فی الوقت استعمال "backup" یا "recovery" کوڈز کی ایک چھوٹی سی تفصیل مہیا کرتی ہیں۔ ہر کوڈ آپ کے اکاؤنٹ میں ایک بار لاگ اِن ہونے کیلئے صحیح کام کرتا ہے اور بعدازاں وہ کام نہیں کرتا ۔ اگر آپ کو اپنے فون یا دوسری تصدیقی مشین تک رسائی کھو دینے کا خدشہ ہو تو ان کوڈز کا پرنٹ نکال کر اپنے پاس رکھ لیں۔ جب تک آپ کے پاس وہ کاپی رہے گی آپ اس کا استعمال کر سکتے ہیں اور اس کاپی کا بہت ہی خیال رکھیں۔ یاد رکھئے کہ ان کوڈز کی بہت حفاظت کرنی ہے اور تسلی کرلیں کہ کوئی بھی انہیں دیکھ نہ سکے اور کسی بھی وقت ان تک کوئی بھی رسائی نہ حاصل کر پائے۔ اگر آپ ان بیک اپ کوڈز کو کھو دیتے ہیں تو فوری طور پر ایک نئی لسٹ بناکر اگلی بار ان کا استعمال اپنے اکاؤنٹ کے لاگ ان ہونے میں کیجئے۔
2FA نظام کیساتھ ایک اور مسئلہ ایس ایم ایس پیغامات کا استعمال ہے کیونکہ ایس ایم ایس پیغام رسانی بالکل محفوظ نہیں ہے۔ ایک گھاگ حملہ آور (جیسے کوئی انٹیلی جنس ادارہ یا ایک منظم مجرمانہ کارروائی ) کیلئے ممکن ہے کہ ایس ایم ایس کے ذریعے بھیجے گئے کوڈز کا استعمال کرے یا ان میں دخل اندازی کرے کیونکہ وہ فون نیٹ ورک تک رسائی رکھتے ہیں ۔ ایسے بھی واقعات سامنے آئے ہیں کہ جب ایک کم گھاگ حملہ آور (جیسے کوئی شخص) ایک نمبر کیلئے مختص ٹیکسٹ پیغامات یا کالوں کا بندوبست کر کے اپنے نام سے آگے بھیجے ، یا ٹیلی فون کمپنی کی وہ خدمات جو ٹیکسٹ پیغامات دکھاتی ہیں ان تک رسائی حاصل کرکے وہ پیغامات، فون رکھے بغیر کسی فون نمبر کو بھیج دے۔
اگر آپ اس سطح کے حملے سے متعلق پریشان ہیں تو ایس ایم ایس کی تصدیقی خدمت کو بند کریں اور صرف Google Authenticator یا Authy جیسی تصدیقی ایپ کا استعمال کریں۔ بدقسمتی سے یہ فیچر ہر 2FA خدمت کیساتھ دستیاب نہیں ہے۔
مزید برآں، 2FA آپ کو کسی خدمت تک مزید معلومات، جتنا آپ بہتر محسوس کرتے ہوں اس سے زیادہ دینے کا کہہ سکتا ہے۔ فرض کریں آپ ایک Twitter صارف ہیں اور آپ کسی فرضی نام کیساتھ اپنا اکاؤنٹ استعمال کرتے ہیں۔ تو چاہے آپ پورے ہوش و حواس کیساتھ Twitter کو اپنی شناختی معلومات دینے سے گریز کریں اور یہاں تک کہ اس خدمت کے استعمال کیلئے آپ Tor یا کسی VPN کا استعمال کرتے ہوں، اگر آپ 2FA ایس ایم ایس چلاتے ہیں تو Twitter لازمی آپ سے آپ کا موبائل نمبر مانگے گا۔ جس کا مطلب یہ ہوتا ہے اگر کبھی عدالت کی جانب سے پوچھا جائے تو Twitter اس بات کی اہلیت رکھتا ہو کہ آپ کے فون نمبر کے ذریعے آپ کے اکاؤنٹ تک رسائی ہو۔ آپ کیلئے یہ کوئی مسئلہ نہیں ہوگا خصوصاً اگر آپ دی گئے خدمت پر پہلے سے ہی اپنا قانونی نام استعمال کرتے ہوں لیکن اگر نام ظاہر نہ کرنا آپ کیلئے زیادہ اہم ہے تو آپ کو 2FA ایسی ایم ایس استعمال کرنے کے متعلق کئی بار سوچنا چاہئے۔
آخرکار، ریسرچ نے یہ بتایا کہ بعض صارفین 2FA چلانے کے بعد کمزور پاس ورڈز کا انتخاب اس لئے کریں گے کہ وہ ساتھ میں یہ سوچ رہے ہوں گے کہ دوسرا factor انہیں حفاظت فراہم کرے گا۔ صارفین کو اس بات کی تسلی کرلینی چاہئے کہ 2FA چلانے کے بعد بھی مضبوط پاس ورڈز کا انتخاب کرنا چاہئے۔ تجاویز کیلئے ہماری رہنمائی :مضبوط پاس ورڈز کا قیام دیکھئے۔
میں 2FA کیسے چلاؤں؟ anchor link
اصطلاحات کے استعمال کی طرح یہ بھی ایک پلیٹ فارم سے دوسرے پلیٹ فارم کیلئے مختلف ہوتی ہیں۔ 2FA کے زمرے میں مدد لینے کیلئے سائٹس کی ایک وسیع لسٹ یہاں دستیاب ہے:https://twofactorauth.org/. بہت زیادہ عمومی خدمات کیلئے آپ ہماری 12 دن کی 2FAپوسٹ کا حوالہ دے سکتے ہیں جو بتاتے ہیں کہ Amazon, Bank of America, Dropbox, Facebook, Gmail اور Google, LinkedIn, Outlook.com اور Microsoft, Paypal, Slack, Twitter اور Yahoo Mail پر 2FA کس طرح چلانا ہے۔