অন্ড্রেজ হোলজম্যান যদিও ওএস এক্স ইয়োসেমাইট এবং আইওএস 8-এ প্রবর্তিত নতুন বৈশিষ্ট্যগুলি ব্যবহারকারীদের জন্য অনেক দরকারী বৈশিষ্ট্য নিয়ে আসে যা একাধিক ডিভাইসের ব্যবহারকে সহজ করে, তারা একটি নিরাপত্তা হুমকিও সৃষ্টি করতে পারে। উদাহরণস্বরূপ, একটি আইফোন থেকে একটি ম্যাকে টেক্সট বার্তা ফরওয়ার্ড করা খুব সহজেই বিভিন্ন পরিষেবাতে সাইন ইন করার সময় দ্বি-পদক্ষেপ যাচাইকরণকে বাইপাস করে৷
কন্টিনিউটি ফাংশনগুলির সেট, যার মধ্যে অ্যাপল সাম্প্রতিক অপারেটিং সিস্টেমগুলিতে মোবাইল ডিভাইসগুলির সাথে কম্পিউটারগুলিকে সংযুক্ত করে, খুব আকর্ষণীয়, বিশেষত নেটওয়ার্ক এবং কৌশলগুলির পরিপ্রেক্ষিতে যা তারা iPhone এবং iPads কে Mac এর সাথে সংযুক্ত করতে ব্যবহার করে। ধারাবাহিকতার মধ্যে একটি ম্যাক থেকে কল করা, এয়ারড্রপের মাধ্যমে ফাইল পাঠানো বা দ্রুত একটি হটস্পট তৈরি করার ক্ষমতা অন্তর্ভুক্ত, কিন্তু এখন আমরা কম্পিউটারে নিয়মিত এসএমএস ফরোয়ার্ড করার উপর ফোকাস করব৷
এই তুলনামূলকভাবে অস্পষ্ট, কিন্তু খুব দরকারী ফাংশন, সবচেয়ে খারাপ ক্ষেত্রে, একটি নিরাপত্তা গর্তে পরিণত হতে পারে যা একজন আক্রমণকারীকে নির্বাচিত পরিষেবাগুলিতে লগ ইন করার সময় দ্বিতীয় যাচাইকরণ পর্বের জন্য ডেটা পেতে দেয়৷ আমরা এখানে তথাকথিত দ্বি-পর্যায়ের লগইন সম্পর্কে কথা বলছি, যা, ব্যাঙ্কগুলি ছাড়াও, ইতিমধ্যে অনেক ইন্টারনেট পরিষেবা দ্বারা চালু করা হচ্ছে এবং আপনার যদি শুধুমাত্র একটি ক্লাসিক এবং একক পাসওয়ার্ড দ্বারা সুরক্ষিত একটি অ্যাকাউন্ট থাকে তার চেয়ে অনেক বেশি নিরাপদ।
দ্বি-পর্যায় যাচাইকরণ বিভিন্ন উপায়ে সঞ্চালিত হতে পারে, কিন্তু যখন আমরা অনলাইন ব্যাঙ্কিং এবং অন্যান্য ইন্টারনেট পরিষেবাগুলির কথা বলি, তখন আমরা প্রায়শই আপনার ফোন নম্বরে একটি যাচাইকরণ কোড পাঠানোর সম্মুখীন হই, যা আপনাকে আপনার নিয়মিত পাসওয়ার্ড প্রবেশের পাশে লিখতে হবে৷ অতএব, যদি কেউ আপনার পাসওয়ার্ড (অথবা পাসওয়ার্ড বা শংসাপত্র সহ কম্পিউটার) ধরে রাখে, তবে তাদের সাধারণত আপনার মোবাইল ফোনের প্রয়োজন হবে, উদাহরণস্বরূপ, ইন্টারনেট ব্যাঙ্কিং-এ লগ ইন করতে, যেখানে যাচাইকরণের দ্বিতীয় পর্যায়ে পাসওয়ার্ড সহ একটি এসএমএস আসবে। .
কিন্তু যে মুহুর্তে আপনি আপনার সমস্ত টেক্সট বার্তাগুলি আপনার আইফোন থেকে আপনার ম্যাকে ফরোয়ার্ড করেছেন এবং একজন আক্রমণকারী আপনার ম্যাকটি দখল করে নেবে, তাদের আর আপনার আইফোনের প্রয়োজন নেই। ক্লাসিক এসএমএস বার্তা ফরোয়ার্ড করার জন্য, iPhone এবং Mac-এর মধ্যে সরাসরি সংযোগের প্রয়োজন নেই - তাদের একই Wi-Fi নেটওয়ার্কে থাকতে হবে না, Wi-Fi চালু করতে হবে না, ঠিক ব্লুটুথের মতো, এবং যা প্রয়োজন তা হল উভয় ডিভাইসকে ইন্টারনেটের সাথে সংযুক্ত করা। এসএমএস রিলে পরিষেবা, যেহেতু বার্তাগুলির ফরোয়ার্ডিংকে আনুষ্ঠানিকভাবে বলা হয়, iMessage প্রোটোকলের মাধ্যমে যোগাযোগ করে৷
অনুশীলনে, এটি যেভাবে কাজ করে তা হল যদিও বার্তাটি আপনার কাছে একটি সাধারণ এসএমএস হিসাবে আসে, অ্যাপল এটিকে একটি iMessage হিসাবে প্রক্রিয়া করে এবং এটিকে ইন্টারনেটের মাধ্যমে Mac এ স্থানান্তর করে (এসএমএস রিলে এর আবির্ভাবের আগে এটি iMessage এর সাথে এভাবেই কাজ করেছিল) , যেখানে এটি একটি এসএমএস হিসাবে প্রদর্শন করে, যা একটি সবুজ বুদবুদ দ্বারা নির্দেশিত হয়। iPhone এবং Mac প্রতিটি আলাদা শহরে থাকতে পারে, শুধুমাত্র উভয় ডিভাইসেরই একটি ইন্টারনেট সংযোগ প্রয়োজন৷
এছাড়াও আপনি প্রমাণ পেতে পারেন যে এসএমএস রিলে নিম্নলিখিত উপায়ে Wi-Fi বা ব্লুটুথের মাধ্যমে কাজ করে না: আপনার iPhone এ বিমান মোড সক্রিয় করুন এবং ইন্টারনেটের সাথে সংযুক্ত একটি Mac এ একটি SMS লিখুন এবং পাঠান৷ তারপরে ইন্টারনেট থেকে ম্যাক সংযোগ বিচ্ছিন্ন করুন এবং বিপরীতভাবে, এটিতে আইফোন সংযোগ করুন (মোবাইল ইন্টারনেট যথেষ্ট)। এসএমএস পাঠানো হয় যদিও দুটি ডিভাইস একে অপরের সাথে সরাসরি যোগাযোগ করেনি - সবকিছু iMessage প্রোটোকল দ্বারা নিশ্চিত করা হয়।
সুতরাং, মেসেজ ফরওয়ার্ডিং ব্যবহার করার সময়, এটি মনে রাখতে হবে যে দ্বি-ফ্যাক্টর প্রমাণীকরণের নিরাপত্তা আপস করা হয়েছে। আপনার কম্পিউটার চুরি হয়ে গেলে, অবিলম্বে মেসেজিং অক্ষম করা আপনার অ্যাকাউন্টের সম্ভাব্য হ্যাকিং প্রতিরোধ করার দ্রুততম এবং সহজ উপায়।
ইন্টারনেট ব্যাঙ্কিংয়ে প্রবেশ করা আরও সুবিধাজনক যদি আপনাকে ফোনের ডিসপ্লে থেকে যাচাইকরণ কোডটি পুনরায় লিখতে না হয়, তবে ম্যাকের বার্তাগুলি থেকে এটি অনুলিপি করুন, তবে এই ক্ষেত্রে সুরক্ষা অনেক বেশি গুরুত্বপূর্ণ, যা এসএমএস রিলে-এর কারণে ব্যাপকভাবে অনুপস্থিত। . এই সমস্যার একটি সমাধান হতে পারে, উদাহরণস্বরূপ, ম্যাকে ফরওয়ার্ড করা থেকে নির্দিষ্ট নম্বরগুলি বাদ দেওয়ার সম্ভাবনা, যেহেতু এসএমএস কোডগুলি সাধারণত একই নম্বর থেকে আসে৷
শেষ অনুচ্ছেদে উল্লেখ করা হয়েছে - কোড কপি করার ক্ষমতা অনেক বেশি সুবিধাজনক এবং ভাল।
এছাড়াও - যদি কেউ আমার ম্যাকবুক চুরি করে, আমি প্রথমে যা করি তা হল এটি ব্লক করা এবং আইফোনে সমস্ত "ফরওয়ার্ডিং" এবং ধারাবাহিকতা বন্ধ করে দেওয়া - সেজন্য সেটিংস / বার্তাগুলিতেও এই বিকল্পটি রয়েছে। :)
এবং যদি কেউ আপনাকে এটি আঁকড়ে ধরে, আপনি কি এটি বন্ধ করেন?
এবং কেন দুই-পদক্ষেপ অনুমোদন আছে যখন আপনি এখনই চুরি করা ডিভাইসটি ব্লক করতে পারেন, তাই না?
দ্বি-পদক্ষেপ যাচাইকরণ একটি তৃতীয় পক্ষের পরিষেবা, তাই আমি অন্তত ব্যাঙ্কের ক্ষেত্রে এটি ব্যবহার করতে বা উপেক্ষা করতে পারি না। এবং আমি আমার ম্যাক খুঁজুন এর মাধ্যমে আমার ম্যাক ব্লক বা মুছে ফেলি। এসএমএস ফরওয়ার্ডিং এর সুবিধাগুলিকে ছাড়িয়ে যায় যদি আমি সবকিছুর পিছনে শয়তান দেখতে না পাই।
কেউ চুরি সম্পর্কে চিন্তা করে না, সম্পূর্ণ ডিস্ক এনক্রিপশন এটি সমাধান করে। কিন্তু আপনি একটি হ্যাক করা কম্পিউটার দিয়ে কি করতে যাচ্ছেন? সম্ভবত কিছুই, আপনি এটি সম্পর্কে জানতে হবে না.
ভাল, অবশ্যই, সুবিধাগুলি বিরাজ করে, কেউ শয়তানকে দেখে না এবং ব্যবহারকারী সর্বদা একটি নাচের শূকরের জন্য নিরাপত্তার ব্যবসা করে।
যাইহোক, আপনার কি ধারণা আছে যে ব্যাঙ্কগুলি আপনাকে শুধুমাত্র মজা করার জন্য এসএমএস পাঠাতে বাধ্য করছে?
যদি কেউ চিন্তিত হয় তবে এটি ব্যবহার করবেন না। আমি এটা নিয়ে অত্যন্ত সন্তুষ্ট
এবং যাদের 2FA এর সাথে সংমিশ্রণে উদ্বেগ নেই তারা এটি ব্যবহারও করবেন না, কারণ তারা স্পষ্টতই জানেন না তারা কী করছেন।
এবং কীভাবে আমি ম্যাকবুকে একটি নির্দিষ্ট নম্বর বাদ দিয়ে আইফোনে রেখে দেব? উত্তর দেওয়ার জন্য ধন্যবাদ
AFAIK হল সর্বোত্তম বিকল্প হল "সেটিংসে (আপনার আইফোন থেকে) বার্তাগুলির অধীনে পাঠ্য বার্তা ফরওয়ার্ডিং বন্ধ করুন।"
যদি আমি ভুল না করি, তাহলে কী ফরোয়ার্ড করা উচিত তা হোয়াইটলিস্ট করা সম্ভব নয় এবং কী নয় তা কালো তালিকাভুক্ত করা সম্ভব নয়৷
আচ্ছা, ম্যাকের চেয়ে সেল ফোন চুরি করা কি সহজ নয়? হ্যাঁ, আপনার মোবাইলের জন্য একটি পাসওয়ার্ড থাকতে পারে, তবে MAC-এর জন্যও। আমি একজন বিশেষজ্ঞ নই, কিন্তু যদি আমি পাসওয়ার্ড না জানি তবে সম্ভবত ম্যাকে যাওয়া সহজ নয় (আমি ডেটা পড়তে চাই না, কিন্তু লগ ইন করতে যাতে এসএমএস রিলে শুরু হয়)।
এছাড়াও, ভুলে যাবেন না যে আমরা ডবল সিকিউরিটি সম্পর্কে কথা বলছি, যেখানে প্রথম ধাপটি প্রধান - সম্মান করার জন্য পাসওয়ার্ড প্রবেশ করান এবং যদি আপনার এটি MAC-এ বা ভিতরে কিছু টেক্সট নথিতে লেখা না থাকে, তাহলে সেখানে আছে ব্যাঙ্কে কোনও অ্যাক্সেস নেই (এবং আপনি পাসওয়ার্ড হিসাবে 1111 ব্যবহার করবেন না :-))
সুতরাং, একটি ম্যাক চুরি করা সম্ভবত ম্যাকের সত্যিকারের দামের কারণে আপনার সবচেয়ে বড় ক্ষতির কারণ হবে।
2FA প্রাথমিক ম্যাক বা আইপি চুরির সমাধান করে না। সমাধান হল আক্রমণকারীকে ম্যাক এবং অন্য কিছুর নিয়ন্ত্রণ পেতে হবে। ম্যাক এখন তার জন্য যথেষ্ট। Coz 2FA এর সমস্ত সুবিধা অস্বীকার করে।
(পরামর্শটি হল "ম্যাকে আক্রমণকারী শুধুমাত্র ব্রাউজার নিয়ন্ত্রণ করে" বৈকল্পিক থেকে রক্ষা করা, যা সম্ভবত সম্পূর্ণ নিয়ন্ত্রিত পরিস্থিতি নয়।)
এটা ঠিক যে আপনি যদি ম্যাককে সম্পূর্ণ নিরাপদ বলে মনে করেন (হাহা), তাহলে আপনাকে 2FA এর সাথে মোকাবিলা করতে হবে না। এবং যদি না হয়, তাহলে 2FA আপনাকে সেই বর্ধিত নিরাপত্তা, যেমন ড্রাইভ নিয়ে আসা বন্ধ করে দিয়েছে।
এবং আরও একবার, খুব স্পষ্টভাবে - আপনি "nicnebezpecneho.cz" ওয়েবসাইটে যান, যা একটি দুর্ভাগ্যজনক পরিস্থিতির কারণে বিপজ্জনক। এটি আপনার সাথে খুব সহজেই ঘটতে পারে - আপনাকে এখনই পর্ণ সাইটগুলিতে যেতে হবে না, আপনি যে ব্লগটি পরিদর্শন করছেন সেটিকে সুরক্ষিত না করা এবং মন্তব্যগুলিতে অস্বাস্থ্যকর জাভাস্ক্রিপ্ট ঢোকানোর জন্য এটি যথেষ্ট। সেই পৃষ্ঠায় আপনার ব্রাউজারের জন্য একটি দূরবর্তী শোষণ রয়েছে (এটি এখনও আপনার সাথে ঘটতে পারে, খুব অস্বাভাবিক কিছুই নয়)। অথবা সোশ্যাল ইঞ্জিনিয়ারিংয়ে জড়িয়ে পড়ুন...
...কয়েক ঘন্টা পরে আপনি ব্যাঙ্ক থেকে টাকা পাঠাতে যান (আপনি gmail, github এ লগ ইন করেন...)। এটি করার সময়, আপনি ইতিমধ্যেই আপস করা কম্পিউটারে লগইন ডেটা প্রবেশ করান (অথবা আপনার কাছে এই পাসওয়ার্ডগুলি সংরক্ষিত থাকলে এটি করতে হবে না) এবং এসএমএস থেকে কোডটি একবার কপি করে পেস্ট করুন।
..এবং রাতে, আপনার কম্পিউটার নিজেই ব্যাঙ্কে (gmail...) লগ ইন করে, পাসওয়ার্ডটি ইতিমধ্যেই ম্যালওয়্যার সহ কেউ সংরক্ষণ করেছে৷ আপনি আপনার মোবাইল ফোনে একটি নিশ্চিতকরণ SMS পাবেন না, কিন্তু... যে আপস করা কম্পিউটারে.
2FA ঠিক এই পরিস্থিতিতে সমাধান করেছে। যতক্ষণ না অ্যাপল এটি ভেঙে দেয়।
আমি ভেবেছিলাম যে 2FA মানে আমাকে 2টি জিনিস দ্বারা নিজেকে প্রমাণ করতে হবে, উদাহরণস্বরূপ:
- পাসওয়ার্ড
- এমন একটি ফোনের সাথে যা এসএমএস গ্রহণ করে
ঠিক আছে, ফোনে ম্যাক থেকে এসএমএস ফরোয়ার্ড করার ফলে বিকল্প হিসেবে ম্যাক (বা আরও বেশি ম্যাক এবং আইপ্যাড যা আমি পেয়ার করেছি) যোগ করে, কিন্তু এটি এখনও 2FA। অথবা না?
আবারও - সাধারণ পরিস্থিতিতে, 2FA "আমার ম্যাক হ্যাক করা হয়েছে এবং আমি এটি সম্পর্কে জানি না" এর মতো পরিস্থিতি সমাধান করে। কারণ তখন আপনি ধরে নিতে পারেন যে ম্যাক পরিষেবাটির জন্য আপনার পাসওয়ার্ডটি জানে (যে আপনি এটি ইতিমধ্যেই সংরক্ষণ করেছেন বা পরের বার আপনি পরিষেবাটিতে লগ ইন করার সময় এটি শুনবেন)। এবং এখন আপনি আশা করতে পারেন যে তিনি এসএমএসও জানতে পারবেন (অথবা তিনি যেকোনো সময় এটি চাইতে পারেন এবং তিনি এটি পাবেন)।
বেশিরভাগ পরিষেবা যা দ্বি-ফ্যাক্টর প্রমাণীকরণ অফার করে (ফেসবুক, ড্রপবক্স, গুগল, মাইক্রোসফ্ট, …) একটি অ্যাপ ব্যবহার করে এককালীন পাসওয়ার্ড তৈরি করার অনুমতি দেয় (আমি গুগল প্রমাণীকরণ ব্যবহার করি)। অ্যাপ্লিকেশনটি ক্রমাগত নিবন্ধিত পরিষেবাগুলির জন্য সময়-সীমিত কোড তৈরি করে। কোড অবিলম্বে অনুলিপি এবং লগ ইন করতে ব্যবহার করা যেতে পারে. আপনাকে এসএমএস আসার জন্য অপেক্ষা করতে হবে না এবং, যদি সেগুলি ম্যাকে ফরোয়ার্ড করা হয়, নিবন্ধে বর্ণিত সমস্যার সমাধান করুন।
লগ ইন করার সময় আপোসকৃত ম্যাকগুলিতে SMS বার্তা রয়েছে...
যে জন্য জিজ্ঞাসা নির্দ্বিধায়. যদি আমি অ্যাপ্লিকেশনটি ব্যবহার করে একটি এক-কালীন কোড তৈরি করে দুই-ফেজ যাচাইকরণ চালু করে থাকি, তাহলে প্রদত্ত পরিষেবাটি কোনো SMS পাঠাবে না।
কিছু পরিবর্তন না হলে, অনেক পরিষেবা ফোন চায় এবং ডিফল্ট বিকল্প হিসাবে SMS রেখে দেয়। তাই আপনার হ্যাক করা কম্পিউটার ফিরে এসেছে।
বিপুল সংখ্যক ব্যাঙ্কের সাথে, কোনও বিকল্প নেই, কেবল একটি এসএমএস এবং এটিই।
আমি এটি খুব স্পষ্টভাবে বুঝতে পারি না। যদি কেউ আমার ম্যাক চুরি করে, আমি এসএমএস বন্ধ করি, দূর থেকে ম্যাক মুছে ফেলি এবং ব্যাঙ্কে পাসওয়ার্ড পরিবর্তন করি। বা ধরা কি?
আপনি কি এই নিবন্ধটি পড়ার আগে তা করবেন?
একেবারে, একেবারে স্বয়ংক্রিয়ভাবে।
কিন্তু দুই-পর্যায়ের প্রমাণীকরণের জন্য আক্রমণকারীর দুটি নিশ্চিতকরণ প্রয়োজন: পাসওয়ার্ড এবং এসএমএস। এর মানে হল যে যদি আমি ভয় পাই যে কেউ আমার জোড়া ম্যাক নিয়ে যাবে, আমি সেখানে পাসওয়ার্ড সংরক্ষণ করি না, এবং যদি কেউ আমার ব্রাউজার হ্যাক করে, তারা iMessage-এ যাবে না।
আপনি কোথায় আশ্বাস পাবেন যে এটি আপনার ব্রাউজার থেকে ভেঙ্গে যাবে না? Pwn4Fun এবং Pwn2Own-এর বর্তমান ফলাফল অনুসারে, দেখে মনে হচ্ছে সাফারির জন্য কমপক্ষে দুটি শূন্য দিন আছে:
"Pwn4Fun-এ, Google অ্যাপল সাফারি ম্যাক ওএস এক্স-এ রুট হিসাবে ক্যালকুলেটর চালু করার বিরুদ্ধে একটি খুব চিত্তাকর্ষক শোষণ করেছে"
"কিন টিমের লিয়াং চেন দ্বারা:
অ্যাপল সাফারির বিরুদ্ধে, একটি স্যান্ডবক্স বাইপাস সহ একটি গাদা ওভারফ্লো, যার ফলে কোড কার্যকর হয়।"
একটি সবুজ পটভূমিতে পাতলা সাদা অক্ষর - এমনকি একটি বিশেষ স্কুলের একজন ছাত্রও এটির চেয়ে ভাল পরামর্শ দিতে পারে না...
এটি বন্ধ করার একটি উপায় হল একটি ডঙ্গলের মাধ্যমে কোড জেনারেশন প্রতিস্থাপন করা (উদাহরণস্বরূপ এটি: http://www.czc.cz/battlenet-authenticator/110449/produkt?gclid=Cj0KEQiAs6GjBRCy2My09an6uNIBEiQANfY4zKhlCIiwD9za5e_QYUAp_YEpqdA9frjVqnS9i8sgIgsaAh558P8HAQ ) এটি নিরাপদ এবং এটি উচ্চতর নিরাপত্তা সক্ষম করে, KB-কেও অনুরূপ কিছু করতে হবে - একটি ইউএসবি ডিস্কে আপলোড করা একটি শংসাপত্র, যা ছাড়া একজন ব্যক্তি ইন্টারনেট ব্যাঙ্কিংয়ের সাথে সংযোগ করতে পারে না, এছাড়াও কখনও কখনও ফোনে একটি এককালীন পাসওয়ার্ড পাঠানো হয়, ইত্যাদি ... অনেক সম্ভাবনা আছে, কিন্তু প্রত্যেকেরই নিজস্ব আছে তাকে সিদ্ধান্ত নিতে হবে নিরাপত্তা তার জন্য গুরুত্বপূর্ণ কিনা (যদি তার পাসওয়ার্ড থাকে বা না থাকে? ইত্যাদি)
Unicredit একটি মহান জিনিস আছে. স্মার্ট কী কখনই ক্লাসিক এসএমএস নয়, তবে আমি মোবাইল অ্যাপ্লিকেশনে একটি এককালীন পাসওয়ার্ড তৈরি করি।
আমার পরামর্শ দরকার কেন আমি হঠাৎ একটি মিমি ছোট ভিডিও পাঠাতে পারি না, যা এখন পর্যন্ত সম্ভব ছিল? কেবল একটি ভিডিও সন্নিবেশ করার কোন বিকল্প নেই, এটি সাড়া দেয় না, এটি বার্তায় ঢোকানো হয় না
তোমাকে ধন্যবাদ