मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण)

मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण) (एमएफए; टू-फैक्टर ऑथेंटिकेशन, या 2एफए, समान शर्तों के साथ) एक इलेक्ट्रॉनिक प्रमाणन विधि है, जिसमें एक यूजर को दो या दो से ज्यादा सबूत (या कारक) एक प्रमाणीकरण तंत्र के लिए: ज्ञान (केवल उपयोगकर्ता ही जानता है), अधिकार (केवल उपयोगकर्ता के पास कुछ), और विरासत (केवल उपयोगकर्ता ही कुछ है)। एमएफए उपयोगकर्ता डेटा की सुरक्षा करता है—जिसमें व्यक्तिगत पहचान या वित्तीय संपत्तियां शामिल हो सकती हैं—किसी अनधिकृत तृतीय पक्ष द्वारा एक्सेस किए जाने से, जो कि, उदाहरण के लिए, एक एकल पासवर्ड खोजने में सक्षम हो सकता है।

एक थर्ड-पार्टी ऑथेंटिकेटर (टीपीए) ऐप टू-फैक्टर ऑथेंटिकेशन को सक्षम करता है, आमतौर पर प्रमाणीकरण के लिए उपयोग करने के लिए बेतरतीब ढंग से उत्पन्न और बार-बार बदलते कोड को दिखा कर।

कारक
प्रमाणीकरण तब होता है जब कोई कंप्यूटर संसाधन (जैसे नेटवर्क, डिवाइस या एप्लिकेशन) में लॉग इन करने का प्रयास करता है। संसाधन के लिए उपयोगकर्ता को उस पहचान की आपूर्ति करने की आवश्यकता होती है जिसके द्वारा उपयोगकर्ता को उस पहचान के लिए उपयोगकर्ता के दावे की प्रामाणिकता के साक्ष्य के साथ जाना जाता है। सरल प्रमाणीकरण के लिए केवल एक ऐसे साक्ष्य (कारक) की आवश्यकता होती है, विशेष रूप से एक पासवर्ड। अतिरिक्त सुरक्षा के लिए, संसाधन को एक से अधिक कारकों की आवश्यकता हो सकती है - बहु-कारक प्रमाणीकरण, या उन मामलों में दो-कारक प्रमाणीकरण जहां वास्तव में साक्ष्य के दो टुकड़े दिए जाने हैं।

सभी 2एफए एमएफए हैं, लेकिन सभी एमएफए 2एफए नहीं हैं। दोनों विकल्प पासवर्ड जैसे एकल-कारक प्रमाणीकरण से अधिक सुरक्षित हैं, लेकिन MFA और 2FA केवल चुने गए द्वितीयक और तृतीयक प्रमाणीकरण कारकों के समान ही सुरक्षित हैं। उदाहरण के लिए, एसएमएस द्वारा भेजे गए ओटीपी सोशल इंजीनियरिंग के प्रति संवेदनशील होते हैं, इसलिए जब वे पासवर्ड जैसे एकल-कारक प्रमाणीकरण की तुलना में अधिक सुरक्षित समाधान का प्रतिनिधित्व करते हैं, तब भी वे किसी दिए गए उपयोगकर्ता के लिए सबसे सुरक्षित 2FA नहीं होते हैं। प्लेटफार्म रोजगार प्रदान कर सकता है। उपयोगकर्ता के लिए घर्षण या अतिरिक्त कठिनाई पर विचार करने के लिए एक अन्य कारक है। अधिक प्रमाणीकरण कारकों का मतलब अधिक उपयोगकर्ता घर्षण हो सकता है, लेकिन यह हमेशा ऐसा नहीं होता है - एमएफए निष्क्रिय प्रमाणीकरण विधियों का उपयोग करके कार्यान्वित किया जा सकता है जिसके लिए अतिरिक्त उपयोगकर्ता इनपुट की आवश्यकता नहीं होती है।

किसी की पहचान साबित करने के लिए कई प्रमाणीकरण कारकों का उपयोग इस आधार पर होता है कि एक अनधिकृत अभिनेता एक्सेस के लिए आवश्यक कारकों की आपूर्ति करने में सक्षम होने की संभावना नहीं है। यदि प्रमाणीकरण के प्रयास में, कम से कम एक घटक गायब है या गलत तरीके से आपूर्ति की गई है, तो उपयोगकर्ता की पहचान पर्याप्त निश्चितता के साथ स्थापित नहीं होती है और बहु-कारक प्रमाणीकरण द्वारा संरक्षित संपत्ति (जैसे, एक इमारत, या डेटा) तक पहुंच बनी रहती है अवरुद्ध। एक बहु-कारक प्रमाणीकरण योजना के प्रमाणीकरण कारकों में शामिल हो सकते हैं:
 * उपयोगकर्ता के पास कुछ है: उपयोगकर्ता के कब्जे में कोई भौतिक वस्तु, जैसे सुरक्षा टोकन (यूएसबी स्टिक), बैंक कार्ड, की (key) इत्यादि।
 * कुछ उपयोगकर्ता जानता है: कुछ ज्ञान केवल उपयोगकर्ता को ही पता होता है, जैसे पासवर्ड, पिन (व्यक्तिगत पहचान संख्या), आदि।
 * कुछ उपयोगकर्ता हैं: उपयोगकर्ता की कुछ भौतिक विशेषताएं (बायोमेट्रिक्स), जैसे कि फिंगरप्रिंट, आईरिस, आवाज, टाइपिंग की गति, कुंजी दबाने के अंतराल में पैटर्न आदि।

दो-कारक प्रमाणीकरण का एक उदाहरण एटीएम से पैसे की निकासी है; केवल एक बैंक कार्ड (जो उपयोगकर्ता के पास है) और एक पिन (जिसे उपयोगकर्ता जानता है) का सही संयोजन ही लेनदेन को पूरा करने की अनुमति देता है। दो अन्य उदाहरण एक उपयोगकर्ता-नियंत्रित पासवर्ड को वन-टाइम पासवर्ड (ओटीपी) या एक प्रमाणक (जैसे एक सुरक्षा टोकन या स्मार्टफोन) द्वारा उत्पन्न या प्राप्त कोड के साथ पूरक करना है जो केवल उपयोगकर्ता के पास है।

एक थर्ड-पार्टी ऑथेंटिकेटर ऐप टू-फैक्टर ऑथेंटिकेशन को एक अलग तरीके से सक्षम करता है, आमतौर पर एक बेतरतीब ढंग से जेनरेट किया गया और लगातार रिफ्रेशिंग कोड दिखाकर, जिसका उपयोग उपयोगकर्ता एसएमएस भेजने या किसी अन्य विधि का उपयोग करने के बजाय कर सकता है। इन ऐप्स का एक बड़ा फायदा यह है कि ये आमतौर पर बिना इंटरनेट कनेक्शन के भी काम करना जारी रखते हैं। तृतीय-पक्ष प्रमाणक ऐप्स के उदाहरणों में शामिल हैं गूगल  प्रमाणक, ऑटि और माइक्रोसॉफ्ट प्रमाणक; लास्टपास जैसे कुछ पासवर्ड मैनेजर भी सेवा प्रदान करते हैं।

मल्टी-फैक्टर ऑथेंटिकेशन का एक अन्य उदाहरण एक प्रक्रिया है जिसे स्टेप-अप ऑथेंटिकेशन के रूप में जाना जाता है, जहां अधिक उच्च जोखिम वाले कार्यों के लिए अधिक ऑथेंटिकेशन फैक्टर की आवश्यकता होती है। ऑनलाइन बैंकिंग में उपयोग की जाने वाली स्टेप-अप प्रमाणीकरण योजना में, उदाहरण के लिए, एक व्यक्ति केवल एक पासवर्ड के साथ लॉग इन करने और खाते की शेष राशि की जांच करने में सक्षम हो सकता है, लेकिन धन हस्तांतरित करने से पहले एसएमएस के माध्यम से अपनी पहचान सत्यापित करने में सक्षम होना चाहिए। अतिरिक्त जानकारी दर्ज करने की आवश्यकता हो सकती है, जैसे कि एसएमएस के माध्यम से प्राप्त एक कोड। यह प्रक्रिया उपयोगकर्ता के घर्षण को कम करने और सुरक्षा बनाए रखने के बीच संतुलन बनाती है।

नॉलेज (ज्ञान)
नॉलेज फैक्टर प्रमाणीकरण का एक रूप है. इस रूप में, प्रमाणित करने के लिए उपयोगकर्ता को किसी रहस्य के ज्ञान को साबित करने की आवश्यकता होती है।

पासवर्ड एक गुप्त शब्द या अक्षरों की श्रंखला होती है जिसका उपयोग उपयोगकर्ता प्रमाणीकरण के लिए किया जाता है। यह प्रमाणीकरण का सबसे अधिक उपयोग किया जाने वाला तंत्र है। प्रमाणीकरण के एक कारक के रूप में कई बहु-कारक प्रमाणीकरण तकनीकें पासवर्ड पर निर्भर करती हैं। विविधताओं में कई शब्दों (पासफ़्रेज़) से बने लंबे शब्द और एटीएम एक्सेस के लिए आमतौर पर उपयोग किए जाने वाले छोटे, विशुद्ध संख्यात्मक, पिन दोनों शामिल हैं। परंपरागत रूप से, पासवर्ड याद रखने की अपेक्षा की जाती है।

ज्ञान-आधारित प्रमाणीकरण (केबीए) का एक अन्य रूप एक सुरक्षा प्रश्न है, जिसे आम तौर पर उपयोगकर्ता द्वारा ऑनबोर्डिंग पर चुना और उत्तर दिया जाता है। सामान्य सुरक्षा प्रश्नों में ऐसी चीजें शामिल होती हैं जो आम तौर पर खाता धारक से व्यक्तिगत संबंध के बिना जानी जाती हैं, जैसे कि माता का विवाह-पूर्व नाम या पहले पालतू जानवर का नाम।

स्वामित्व (पोस्सेशन)
स्वामित्व के कारक ("केवल उपयोगकर्ता के पास कुछ") सदियों से ताले की की (key) के रूप में प्रमाणीकरण के लिए उपयोग किया गया है। मूल सिद्धांत यह है कि कुंजी एक रहस्य का प्रतीक है जो ताला और की (key) के बीच साझा किया जाता है, और यह सिद्धांत कंप्यूटर सिस्टम में प्राधिकरण कारक प्रमाणीकरण को रेखांकित करता है। एक सुरक्षा टोकन एक अधिकार कारक का एक उदाहरण है।

डिस्कनेक्ट टोकन का क्लाइंट कंप्यूटर से कोई कनेक्शन नहीं है। वे आमतौर पर जनरेट किए गए प्रमाणीकरण डेटा को प्रदर्शित करने के लिए एक अंतर्निहित स्क्रीन का उपयोग करते हैं, जिसे उपयोगकर्ता द्वारा मैन्युअल रूप से टाइप किया जाता है। इस प्रकार का टोकन ज्यादातर एक ओटीपी का उपयोग करता है जिसका उपयोग केवल उस विशिष्ट सत्र के लिए किया जा सकता है।

कनेक्टेड टोकन वे उपकरण हैं जो भौतिक रूप से उपयोग किए जाने वाले कंप्यूटर से जुड़े होते हैं। वे डिवाइस स्वचालित रूप से डेटा संचारित करते हैं। USB टोकन, स्मार्ट कार्ड और वायरलेस टैग (आरएफआईडी) सहित कई प्रकार के होते हैं। तेजी से, फिडो2 (FIDO2) सक्षम टोकन, फिडो एलायंस और वर्ल्ड वाइड वेब कंसोर्टियम (W3C) द्वारा समर्थित, 2015 में शुरू होने वाले मुख्यधारा के ब्राउज़र समर्थन के साथ लोकप्रिय हो गए हैं।

एक सॉफ्टवेयर टोकन (उर्फ सॉफ्ट टोकन) एक प्रकार का दो-कारक प्रमाणीकरण सुरक्षा उपकरण है जिसका उपयोग कंप्यूटर सेवाओं के उपयोग को अधिकृत करने के लिए किया जा सकता है। सॉफ़्टवेयर टोकन एक सामान्य-उद्देश्य वाले इलेक्ट्रॉनिक उपकरण जैसे डेस्कटॉप कंप्यूटर, लैपटॉप, व्यक्तिगत डिजिटल सहायक, या मोबाइल फोन (चल दूरभाष) पर संग्रहीत होते हैं और इन्हें डुप्लिकेट किया जा सकता है। (कंट्रास्ट हार्डवेयर टोकन, जहां क्रेडेंशियल्स को एक समर्पित हार्डवेयर डिवाइस पर संग्रहीत किया जाता है और इसलिए डुप्लिकेट नहीं किया जा सकता है, डिवाइस का फिजिकल अटैक नहीं होता है।) एक सॉफ्ट टोकन एक डिवाइस नहीं हो सकता है जिसके साथ उपयोगकर्ता इंटरैक्ट करता है। आमतौर पर एक X.509v3 प्रमाणपत्र डिवाइस पर लोड किया जाता है और इस उद्देश्य को पूरा करने के लिए सुरक्षित रूप से संग्रहीत किया जाता है।

बहु-कारक प्रमाणीकरण में भौतिक सुरक्षा प्रणालियों में भी अनुप्रयोग होते हैं। इन भौतिक सुरक्षा प्रणालियों को जाना जाता है और आमतौर पर अभिगम नियंत्रण के रूप में संदर्भित किया जाता है। मल्टी-फैक्टर ऑथेंटिकेशन आमतौर पर एक्सेस कंट्रोल सिस्टम में उपयोग के माध्यम से तैनात किया जाता है, सबसे पहले, एक भौतिक अधिकार (जैसे कि एक एफओबी, कीकार्ड, या क्यूआर-कोड एक डिवाइस पर प्रदर्शित होता है) जो पहचान क्रेडेंशियल के रूप में कार्य करता है, और दूसरा, एक सत्यापन किसी की पहचान जैसे कि चेहरे का बायोमेट्रिक्स या रेटिनल स्कैन। मल्टी-फैक्टर ऑथेंटिकेशन के इस रूप को आमतौर पर फेशियल वेरिफिकेशन या फेशियल ऑथेंटिकेशन कहा जाता है।

अंतर्निहित
ये उपयोगकर्ता से जुड़े कारक हैं, और आमतौर पर फिंगरप्रिंट, चेहरा, [7] आवाज, या आईरिस पहचान सहित बॉयोमेट्रिक्स विधियां हैं। कीस्ट्रोक डायनेमिक्स जैसे व्यवहार बायोमेट्रिक्स का भी उपयोग किया जा सकता है।

स्थान
तेजी से, चौथा कारक खेल में आ रहा है जिसमें उपयोगकर्ता का भौतिक स्थान शामिल है। जब किसी कॉर्पोरेट नेटवर्क से हार्ड वायर किया जाता है, तो एक उपयोगकर्ता को केवल एक पिन कोड का उपयोग करके लॉगिन करने की अनुमति दी जा सकती है। जबकि यदि उपयोगकर्ता नेटवर्क से बाहर था, तो सॉफ्ट टोकन से कोड भी दर्ज करने की आवश्यकता हो सकती है। इसे एक स्वीकृत मानक के रूप में देखा जा सकता है जहाँ कार्यालय प्रवेश नियंत्रित है।

एक्सेस कंट्रोल के लिए सिस्टम इसी तरह से काम करते हैं जहां नेटवर्क एक्सेस का स्तर डिवाइस से जुड़े विशिष्ट नेटवर्क पर सटीक हो सकता है, जैसे वाई-फाई बनाम वायर्ड मैसेजिंग। यह एक उपयोगकर्ता को बाइंडिंग के बीच जाने की अनुमति देता है और सक्रिय रूप से प्रत्येक में समान स्तर की नेटवर्क एक्सेस प्राप्त करता है।

स्थान एक सहायक प्रमाणीकरण कारक है क्योंकि इसे निष्क्रिय रूप से उपयोग किया जा सकता है, जिसका अर्थ है कि इसके लिए उपयोगकर्ताओं से बहुत कम इनपुट की आवश्यकता होती है और उपयोगकर्ता अनुभव में बाधा नहीं आती है। उपयोग किए गए संकेतों के आधार पर, स्थान व्यवहार कम झूठी सकारात्मक दर के साथ एक बहुत ही सटीक सत्यापनकर्ता है, क्योंकि दो लोगों के लिए ठीक उसी स्थान का व्यवहार करना लगभग असंभव है। इसकी अनूठी प्रकृति स्थान व्यवहार के आधार पर प्रमाणीकरण को भौगोलिक स्थान स्पूफिंग के विरुद्ध अधिक नमनीय बनाती है।

मोबाइल फोन आधारित प्रमाणीकरण
पाठ संदेश पर दो-कारक प्रमाणीकरण को 1996 की शुरुआत में विकसित किया गया था, जब एटी एंड टी ने दो-तरफ़ा पेजर पर कोड के आदान-प्रदान के आधार पर लेनदेन को अधिकृत करने के लिए एक प्रणाली का वर्णन किया था।

कई बहु-कारक प्रमाणीकरण विक्रेता मोबाइल फोन-आधारित प्रमाणीकरण प्रदान करते हैं। कुछ विधियों में पुश-आधारित प्रमाणीकरण, क्यूआर कोड-आधारित प्रमाणीकरण, वन-टाइम पासवर्ड प्रमाणीकरण (ईवेंट-आधारित और समय-आधारित प्रमाणीकरण|समय-आधारित), और एसएमएस-आधारित सत्यापन शामिल हैं। एसएमएस-आधारित सत्यापन कुछ सुरक्षा चिंताओं से ग्रस्त है। फोन को क्लोन किया जा सकता है, ऐप कई फोन पर चल सकते हैं और सेल फोन रखरखाव कर्मी एसएमएस टेक्स्ट पढ़ सकते हैं। कम से कम, सेल फोन से सामान्य रूप से समझौता नहीं किया जा सकता है, जिसका अर्थ है कि फोन अब केवल उपयोगकर्ता के पास नहीं है।

उपयोगकर्ता के पास मौजूद किसी चीज़ सहित प्रमाणीकरण की बड़ी कमी यह है कि उपयोगकर्ता को व्यावहारिक रूप से हर समय भौतिक टोकन (यूएसबी स्टिक, बैंक कार्ड, कुंजी या समान) रखना चाहिए। हानि और चोरी जोखिम हैं। कई संगठन मैलवेयर और डेटा चोरी के जोखिमों के कारण यूएसबीऔर इलेक्ट्रॉनिक उपकरणों को परिसर के अंदर या बाहर ले जाने से मना करते हैं, और इसी कारण से अधिकांश महत्वपूर्ण मशीनों में यूएसबी पोर्ट नहीं होते हैं। भौतिक टोकन आमतौर पर स्केल नहीं करते हैं, आमतौर पर प्रत्येक नए खाते और सिस्टम के लिए एक नए टोकन की आवश्यकता होती है। इस तरह के टोकन की खरीद और बाद में बदलने में लागत शामिल है। इसके अलावा, प्रयोज्यता और सुरक्षा के बीच अंतर्निहित संघर्ष और अपरिहार्य व्यापार-नापसंद हैं।

मोबाइल फोन और स्मार्टफोन से जुड़े दो-चरणीय प्रमाणीकरण समर्पित भौतिक उपकरणों का विकल्प प्रदान करता है। प्रमाणित करने के लिए, लोग डिवाइस पर अपने व्यक्तिगत एक्सेस कोड का उपयोग कर सकते हैं (यानी कुछ ऐसा जो केवल व्यक्तिगत उपयोगकर्ता जानता है) साथ ही एक बार-वैध, गतिशील पासकोड, आमतौर पर 4 से 6 अंकों का होता है। पासकोड उनके मोबाइल डिवाइस पर भेजा जा सकता है एसएमएस द्वारा या एक बार के पासकोड-जनरेटर ऐप द्वारा उत्पन्न किया जा सकता है। दोनों ही मामलों में, मोबाइल फोन का उपयोग करने का लाभ यह है कि अतिरिक्त समर्पित टोकन की कोई आवश्यकता नहीं है, क्योंकि उपयोगकर्ता हर समय अपने मोबाइल उपकरणों को साथ लेकर चलते हैं। इसके अतिरिक्त, किसी डिवाइस की विशिष्ट विशेषताओं का उपयोग किसी डिवाइस की विशिष्ट पहचान करने और संभावित कपटपूर्ण खाता पहुंच को रोकने के लिए किया जा सकता है।

एसएमएस सत्यापन की लोकप्रियता के बावजूद, सुरक्षा अधिवक्ताओं ने सार्वजनिक रूप से एसएमएस सत्यापन की आलोचना की है और जुलाई 2016 में यूनाइटेड स्टेट्स मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान ड्राफ्ट गाइडलाइन ने इसे प्रमाणीकरण के एक रूप के रूप में बहिष्कृत करने का प्रस्ताव दिया। एक साल बाद एनआईएसटी ने अंतिम दिशानिर्देश में वैध प्रमाणीकरण चैनल के रूप में एसएमएस सत्यापन को बहाल कर दिया।

क्रमशः 2016 और 2017 में, Google और Apple दोनों ने पुश तकनीक (पुश नोटिफिकेशन) के साथ उपयोगकर्ता को दो-चरणीय प्रमाणीकरण की पेशकश एक वैकल्पिक विधि के रूप में शुरू की।

मोबाइल-वितरित सुरक्षा टोकन की सुरक्षा पूरी तरह से मोबाइल ऑपरेटर की परिचालन सुरक्षा पर निर्भर करती है और राष्ट्रीय सुरक्षा एजेंसियों द्वारा वायरटैपिंग या सिम क्लोनिंग द्वारा आसानी से इसका उल्लंघन किया जा सकता है।

लाभ:


 * कोई अतिरिक्त टोकन आवश्यक नहीं है क्योंकि यह उन मोबाइल उपकरणों का उपयोग करता है जो (आमतौर पर) हर समय ले जाते हैं।
 * चूंकि वे लगातार बदलते रहते हैं, गतिशील रूप से उत्पन्न पासकोड निश्चित (स्थिर) लॉग-इन जानकारी की तुलना में उपयोग करने के लिए सुरक्षित होते हैं।
 * समाधान के आधार पर, उपयोग किए गए पासकोड स्वचालित रूप से बदल दिए जाते हैं ताकि यह सुनिश्चित किया जा सके कि एक वैध कोड हमेशा उपलब्ध रहे, इसलिए ट्रांसमिशन/रिसेप्शन समस्याएं लॉगिन को नहीं रोकती हैं।

नुकसान:


 * उपयोगकर्ता अभी भी फ़िशिंग हमलों के प्रति संवेदनशील हो सकते हैं। एक हमलावर एक टेक्स्ट संदेश भेज सकता है जो नकली URL से लिंक करता है जो वास्तविक वेबसाइट के समान दिखता है। हमलावर तब प्रमाणीकरण कोड, उपयोगकर्ता नाम और पासवर्ड प्राप्त कर सकता है।
 * एक मोबाइल फोन हमेशा उपलब्ध नहीं होता है—यह खो सकता है, चोरी हो सकता है, बैटरी समाप्त हो सकती है, या अन्यथा काम नहीं कर सकता है।
 * उनकी बढ़ती लोकप्रियता के बावजूद, कुछ उपयोगकर्ताओं के पास मोबाइल डिवाइस भी नहीं हो सकता है, और अपने होम पीसी पर कुछ सेवा का उपयोग करने की शर्त के रूप में एक के स्वामित्व की आवश्यकता होने पर नाराजगी जताते हैं।
 * मोबाइल फोन रिसेप्शन हमेशा उपलब्ध नहीं होता है—बड़े क्षेत्र, विशेष रूप से कस्बों के बाहर, कवरेज की कमी होती है।
 * सिम क्लोनिंग से हैकर्स को मोबाइल फोन कनेक्शन का एक्सेस मिल जाता है। सोशल इंजीनियरिंग (सुरक्षा)। मोबाइल-ऑपरेटर कंपनियों के खिलाफ सोशल-इंजीनियरिंग हमलों के परिणामस्वरूप डुप्लीकेट सिम कार्ड अपराधियों को सौंप दिए गए हैं।
 * लघु संदेश सेवा का उपयोग करने वाले मोबाइल फोन पर पाठ संदेश असुरक्षित हैं और आईएमएसआई-कैचर्स द्वारा इंटरसेप्ट किए जा सकते हैं। इस प्रकार तीसरे पक्ष टोकन की चोरी और उपयोग कर सकते हैं।
 * खाता पुनर्प्राप्ति आमतौर पर मोबाइल-फ़ोन दो-कारक प्रमाणीकरण को बायपास करती है।
 * आधुनिक स्मार्टफोन का उपयोग ईमेल और एसएमएस दोनों प्राप्त करने के लिए किया जाता है। इसलिए यदि फोन खो जाता है या चोरी हो जाता है और पासवर्ड या बायोमेट्रिक द्वारा सुरक्षित नहीं होता है, तो सभी खाते जिनके लिए ईमेल कुंजी है, को हैक किया जा सकता है क्योंकि फोन दूसरा कारक प्राप्त कर सकता है।
 * मोबाइल वाहक संदेश शुल्क के लिए उपयोगकर्ता से शुल्क ले सकते हैं।

कानून और नियमन
भुगतान कार्ड उद्योग (पीसीआई) डेटा सुरक्षा मानक, आवश्यकता 8.3, नेटवर्क के बाहर कार्ड डेटा पर्यावरण (सीडीई) के लिए उत्पन्न होने वाले सभी दूरस्थ नेटवर्क एक्सेस के लिए एमएफए के उपयोग की आवश्यकता है। पीसीआई-डीएसएस संस्करण 3.2 से शुरू होकर, सीडीई तक सभी प्रशासनिक पहुंच के लिए एमएफए के उपयोग की आवश्यकता होती है, भले ही उपयोगकर्ता एक विश्वसनीय नेटवर्क के भीतर हो।

यूरोपीय संघ
दूसरे पेमेंट सर्विसेज डायरेक्टिव (भुगतान सेवा निर्देश) के लिए 14 सितंबर, 2019 से यूरोपीय आर्थिक क्षेत्र में अधिकांश इलेक्ट्रॉनिक भुगतानों पर "मजबूत ग्राहक प्रमाणीकरण" की आवश्यकता है।

भारत
भारत में, भारतीय रिजर्व बैंक ने एसएमएस पर भेजे गए पासवर्ड या वन-टाइम पासवर्ड का उपयोग करके डेबिट या क्रेडिट कार्ड का उपयोग करके किए गए सभी ऑनलाइन लेनदेन के लिए दो-कारक प्रमाणीकरण अनिवार्य किया। नवंबर 2016 के नोट विमुद्रीकरण के मद्देनजर ₹2,000 तक के लेनदेन के लिए इसे 2016 में अस्थायी रूप से वापस ले लिया गया था। उबेर जैसे विक्रेताओं को बैंक द्वारा इस दो-कारक प्रमाणीकरण रोलआउट के अनुपालन में अपनी भुगतान प्रसंस्करण प्रणाली में संशोधन करने के लिए अनिवार्य किया गया है।

संयुक्त राज्य
संयुक्त राज्य अमेरिका में संघीय कर्मचारियों और ठेकेदारों के लिए प्रमाणीकरण के विवरण को होमलैंड सिक्योरिटी प्रेसिडेंशियल डायरेक्टिव 12 (HSPD-12) के साथ परिभाषित किया गया है।

मौजूदा प्रमाणीकरण पद्धतियों में तीन प्रकार के बुनियादी कारकों की व्याख्या की गई है। प्रमाणीकरण विधियां जो एक से अधिक कारकों पर निर्भर करती हैं, एकल-कारक विधियों की तुलना में समझौता करना अधिक कठिन होता है।

संघीय सरकारी प्रणालियों तक पहुंच के लिए आईटी नियामक मानकों को संवेदनशील आईटी संसाधनों तक पहुंचने के लिए बहु-कारक प्रमाणीकरण के उपयोग की आवश्यकता होती है, उदाहरण के लिए जब प्रशासनिक कार्यों को करने के लिए नेटवर्क उपकरणों पर लॉग ऑन करते हैं और विशेषाधिकार प्राप्त लॉगिन का उपयोग करते हुए किसी कंप्यूटर तक पहुंच बनाते हैं।

एनआईएसटी विशेष प्रकाशन 800-63-3 दो-कारक प्रमाणीकरण के विभिन्न रूपों पर चर्चा करता है और आश्वासन के विभिन्न स्तरों की आवश्यकता वाली व्यावसायिक प्रक्रियाओं में उनका उपयोग करने पर मार्गदर्शन प्रदान करता है। 2005 में, संयुक्त राज्य अमेरिका की संघीय वित्तीय संस्थान परीक्षा परिषद ने वित्तीय संस्थानों के लिए मार्गदर्शन जारी किया, वित्तीय संस्थानों को जोखिम-आधारित आकलन करने, ग्राहक जागरूकता कार्यक्रमों का मूल्यांकन करने और ग्राहकों को विश्वसनीय रूप से प्रमाणित करने के लिए सुरक्षा उपाय विकसित करने की सिफारिश की, जो आधिकारिक तौर पर प्रमाणीकरण विधियों के उपयोग की सिफारिश करते हैं। जो उपयोगकर्ता की पहचान निर्धारित करने के लिए एक से अधिक कारकों (विशेष रूप से, उपयोगकर्ता क्या जानता है, क्या है, और क्या है) पर निर्भर करता है। प्रकाशन के जवाब में, कई प्रमाणीकरण विक्रेताओं ने बहु-कारक प्रमाणीकरण के रूप में चुनौती-प्रश्नों, गुप्त छवियों और अन्य ज्ञान-आधारित विधियों को अनुचित रूप से प्रचारित करना शुरू कर दिया। परिणामी भ्रम और इस तरह के तरीकों को व्यापक रूप से अपनाने के कारण, 15 अगस्त, 2006 को एफएफआईईसी ने पूरक दिशानिर्देश प्रकाशित किए, जो बताता है कि परिभाषा के अनुसार, एक सच्चे बहु-कारक प्रमाणीकरण प्रणाली को प्रमाणीकरण के तीन कारकों के अलग-अलग उदाहरणों का उपयोग करना चाहिए, न कि केवल एक कारक के कई उदाहरणों का उपयोग करना चाहिए।

सुरक्षा
समर्थकों के अनुसार, बहु-कारक प्रमाणीकरण ऑनलाइन पहचान की चोरी और अन्य ऑनलाइन धोखाधड़ी की घटनाओं को काफी हद तक कम कर सकता है, क्योंकि पीड़ित का पासवर्ड चोर को उनकी जानकारी तक स्थायी पहुंच देने के लिए पर्याप्त नहीं होगा। हालाँकि, कई बहु-कारक प्रमाणीकरण दृष्टिकोण फ़िशिंग के प्रति संवेदनशील रहते हैं, मैन-इन-ब्राउज़र, और मैन-इन-द-मिडिल आक्रमण। वेब अनुप्रयोगों में दो-कारक प्रमाणीकरण विशेष रूप से फ़िशिंग हमलों के लिए अतिसंवेदनशील होते हैं, विशेष रूप से एसएमएस और ई-मेल में, और, प्रतिक्रिया के रूप में, कई विशेषज्ञ उपयोगकर्ताओं को सलाह देते हैं कि वे अपने सत्यापन कोड किसी के साथ साझा न करें, और कई वेब एप्लिकेशन प्रदाता एक कोड वाले ई-मेल या एसएमएस में एक सलाह देंगे।

बहु-कारक प्रमाणीकरण अप्रभावी हो सकता है एटीएम स्किमिंग, फ़िशिंग और मैलवेयर जैसे आधुनिक खतरों के विरुद्ध।

मई 2017 में, एक जर्मन मोबाइल सेवा प्रदाता O2 टेलीफ़ोनिका ने पुष्टि की कि साइबर अपराधियों ने उपयोगकर्ताओं के बैंक खातों से अनधिकृत निकासी करने के लिए एसएमएस आधारित टू-स्टेप ऑथेंटिकेशन को बायपास करने के लिए सिग्नलिंग सिस्टम नंबर 7 की कमजोरियों का फायदा उठाया था। अपराधी पहले ट्रोजन हॉर्स (कंप्यूटिंग) खाता धारक के कंप्यूटर को उनके बैंक खाते की साख और फोन नंबर चुराने के प्रयास में करते हैं। फिर हमलावरों ने एक नकली टेलीकॉम प्रदाता तक पहुंच खरीदी और पीड़ित के फोन नंबर के लिए उनके द्वारा नियंत्रित हैंडसेट पर रीडायरेक्ट किया। अंत में, हमलावरों ने पीड़ितों के ऑनलाइन बैंक खातों में लॉग इन किया और खातों से अपराधियों के स्वामित्व वाले खातों में पैसे निकालने का अनुरोध किया। हमलावरों द्वारा नियंत्रित फोन नंबरों पर एसएमएस पासकोड भेजे गए और अपराधियों ने पैसे बाहर स्थानांतरित कर दिए।

कार्यान्वयन
कई बहु-कारक प्रमाणीकरण उत्पादों को बहु-कारक प्रमाणीकरण प्रणाली को काम करने के लिए उपयोगकर्ताओं को क्लाइंट सॉफ़्टवेयर को तैनात करने की आवश्यकता होती है। कुछ विक्रेताओं ने नेटवर्क लॉगिन, वेब (WWW) एक्सेस क्रेडेंशियल्स और वीपीएन कनेक्शन क्रेडेंशियल्स के लिए अलग-अलग इंस्टॉलेशन पैकेज बनाए हैं। ऐसे उत्पादों के लिए, टोकन या स्मार्ट कार्ड का उपयोग करने के लिए क्लाइंट पीसी पर पुश करने के लिए चार या पांच अलग-अलग सॉफ्टवेयर पैकेज हो सकते हैं। यह चार या पाँच पैकेजों का अनुवाद करता है, जिस पर संस्करण नियंत्रण किया जाना है, और चार या पाँच पैकेज व्यावसायिक अनुप्रयोगों के साथ संघर्ष की जाँच के लिए। यदि वेब पेजों का उपयोग करके एक्सेस को संचालित किया जा सकता है, तो ऊपर बताए गए ओवरहेड्स को एक ही एप्लिकेशन तक सीमित करना संभव है। अन्य बहु-कारक प्रमाणीकरण तकनीक जैसे हार्डवेयर टोकन उत्पादों के साथ, अंतिम उपयोगकर्ताओं द्वारा कोई सॉफ़्टवेयर स्थापित नहीं किया जाना चाहिए।

बहु-कारक प्रमाणीकरण में कमियां हैं जो कई दृष्टिकोणों को व्यापक होने से रोक रही हैं। कुछ उपयोगकर्ताओं को हार्डवेयर टोकन या USB प्लग का ट्रैक रखने में कठिनाई होती है। कई उपयोगकर्ताओं के पास स्वयं क्लाइंट-साइड सॉफ़्टवेयर प्रमाणपत्र स्थापित करने के लिए आवश्यक तकनीकी कौशल नहीं होते हैं। आम तौर पर, बहु-कारक समाधानों को कार्यान्वयन के लिए अतिरिक्त निवेश और रखरखाव के लिए लागत की आवश्यकता होती है। अधिकांश हार्डवेयर टोकन-आधारित सिस्टम मालिकाना हैं और कुछ विक्रेता प्रति उपयोगकर्ता वार्षिक शुल्क लेते हैं। सुरक्षा टोकन की तैनाती तार्किक रूप से चुनौतीपूर्ण है। हार्डवेयर सुरक्षा टोकन क्षतिग्रस्त या गुम हो सकते हैं और बड़े उद्योगों जैसे बैंकिंग या यहां तक ​​कि बड़े उद्यमों के भीतर सुरक्षा टोकन जारी करने को प्रबंधित करने की आवश्यकता है। परिनियोजन लागतों के अतिरिक्त, बहु-कारक प्रमाणीकरण में अक्सर महत्वपूर्ण अतिरिक्त समर्थन लागतें होती हैं। 2008 का एक सर्वेक्षण संयुक्त राज्य अमेरिका में 120 से अधिक क्रेडिट यूनियनों की संख्या|यू. क्रेडिट यूनियन जर्नल द्वारा एस क्रेडिट यूनियनों ने दो-कारक प्रमाणीकरण से जुड़ी समर्थन लागतों पर रिपोर्ट की। उनकी रिपोर्ट में, सॉफ़्टवेयर प्रमाणपत्र और सॉफ़्टवेयर टूलबार दृष्टिकोणों की उच्चतम समर्थन लागत होने की सूचना दी गई थी।

बहु-कारक प्रमाणीकरण योजनाओं की तैनाती में अनुसंधान ने दिखाया है कि ऐसी प्रणालियों को अपनाने को प्रभावित करने वाले तत्वों में से एक संगठन का व्यवसाय है जो बहु-कारक प्रमाणीकरण प्रणाली को तैनात करता है। उद्धृत उदाहरणों में यू.एस. संघीय सरकार शामिल है, जो भौतिक टोकन की एक विस्तृत प्रणाली को नियोजित करती है (जो स्वयं मजबूत सार्वजनिक कुंजी अवसंरचना द्वारा समर्थित है), साथ ही निजी बैंक, जो अपने ग्राहकों के लिए बहु-कारक प्रमाणीकरण योजनाओं को पसंद करते हैं जिनमें अधिक सुलभ शामिल हैं, पहचान सत्यापन के कम खर्चीले साधन, जैसे कि ग्राहक के स्वामित्व वाले स्मार्टफ़ोन पर इंस्टॉल किया गया ऐप। उपलब्ध प्रणालियों के बीच मौजूद विविधताओं के बावजूद, जिन्हें संगठनों को चुनना पड़ सकता है, एक बार एक बहु-कारक प्रमाणीकरण प्रणाली एक संगठन के भीतर तैनात होने के बाद, यह बनी रहती है, क्योंकि उपयोगकर्ता हमेशा सिस्टम की उपस्थिति और उपयोग के लिए अभ्यस्त होते हैं और गले लगाते हैं। यह समय के साथ उनकी प्रासंगिक सूचना प्रणाली के साथ बातचीत की उनकी दैनिक प्रक्रिया के सामान्यीकृत तत्व के रूप में।

जबकि धारणा यह है कि बहु-कारक प्रमाणीकरण पूर्ण सुरक्षा के दायरे में है, रोजर ग्रिम्स लिखते हैं कि अगर ठीक से लागू और कॉन्फ़िगर नहीं किया गया है, तो बहु-कारक प्रमाणीकरण वास्तव में आसानी से पराजित हो सकता है।

पेटेंट
2013 में, किम डॉटकॉम ने 2000 पेटेंट में दो-कारक प्रमाणीकरण का आविष्कार करने का दावा किया, और संक्षिप्त रूप से सभी प्रमुख वेब सेवाओं पर मुकदमा चलाने की धमकी दी। हालांकि, यूरोपीय पेटेंट कार्यालय ने 1998 में AT&T द्वारा रखे गए एक पहले के अमेरिकी पेटेंट के आलोक में उनके पेटेंट को रद्द कर दिया था।

यह भी देखें

 * इलेक्ट्रॉनिक प्रमाणीकरण (इलेक्ट्रॉनिक ऑथेन्टिकेशन)
 * पहचान प्रबंधन (आइडेंटिटी मैनेजमेंट)
 * बहुदलीय प्राधिकरण (मल्टी-पार्टी ऑथॉरिज़ेशन)
 * आपसी प्रमाणीकरण (म्यूच्यूअल ऑथेन्टिकेशन)
 * रिलायंस प्रमाणीकरण
 * मजबूत प्रमाणीकरण (स्ट्रांग ऑथेन्टिकेशन)
 * यूनिवर्सल दूसरा कारक

बाहरी संबंध

 * Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees (register.com, 18 Mar 2011)
 * Banks to Use Two-factor Authentication by End of 2006, (slashdot.org, 20 Oct 2005)
 * Microsoft to abandon passwords, Microsoft preparing to dump passwords in favour of two-factor authentication in forthcoming versions of Windows (vnunet.com, 14 Mar 2005)