मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण)

मल्टी-फैक्टर ऑथेंटिकेशन (बहु-कारक प्रमाणीकरण) (एमएफए; टू-फैक्टर ऑथेंटिकेशन, या 2एफए, समान शर्तों के साथ) एक इलेक्ट्रॉनिक प्रमाणन विधि है, जिसमें एक यूजर को दो या दो से ज्यादा सबूत (या कारक) एक प्रमाणीकरण तंत्र के लिए: ज्ञान (केवल उपयोगकर्ता ही जानता है), अधिकार (केवल उपयोगकर्ता के पास कुछ), और विरासत (केवल उपयोगकर्ता ही कुछ है)। एमएफए उपयोगकर्ता डेटा की सुरक्षा करता है—जिसमें व्यक्तिगत पहचान या वित्तीय संपत्तियां शामिल हो सकती हैं—किसी अनधिकृत तृतीय पक्ष द्वारा एक्सेस किए जाने से, जो कि, उदाहरण के लिए, एक एकल पासवर्ड खोजने में सक्षम हो सकता है।

एक थर्ड-पार्टी ऑथेंटिकेटर (टीपीए) ऐप टू-फैक्टर ऑथेंटिकेशन को सक्षम करता है, आमतौर पर प्रमाणीकरण के लिए उपयोग करने के लिए बेतरतीब ढंग से उत्पन्न और बार-बार बदलते कोड को दिखा कर।

कारक
प्रमाणीकरण तब होता है जब कोई कंप्यूटर संसाधन (जैसे नेटवर्क, डिवाइस या एप्लिकेशन) में लॉग इन करने का प्रयास करता है। संसाधन के लिए उपयोगकर्ता को उस पहचान की आपूर्ति करने की आवश्यकता होती है जिसके द्वारा उपयोगकर्ता को उस पहचान के लिए उपयोगकर्ता के दावे की प्रामाणिकता के साक्ष्य के साथ जाना जाता है। सरल प्रमाणीकरण के लिए केवल एक ऐसे साक्ष्य (कारक) की आवश्यकता होती है, विशेष रूप से एक पासवर्ड। अतिरिक्त सुरक्षा के लिए, संसाधन को एक से अधिक कारकों की आवश्यकता हो सकती है - बहु-कारक प्रमाणीकरण, या उन मामलों में दो-कारक प्रमाणीकरण जहां वास्तव में साक्ष्य के दो टुकड़े दिए जाने हैं।

सभी 2एफए एमएफए हैं, लेकिन सभी एमएफए 2एफए नहीं हैं। दोनों विकल्प पासवर्ड जैसे एकल-कारक प्रमाणीकरण से अधिक सुरक्षित हैं, लेकिन MFA और 2FA केवल चुने गए द्वितीयक और तृतीयक प्रमाणीकरण कारकों के समान ही सुरक्षित हैं। उदाहरण के लिए, एसएमएस द्वारा भेजे गए ओटीपी सोशल इंजीनियरिंग के प्रति संवेदनशील होते हैं, इसलिए जब वे पासवर्ड जैसे एकल-कारक प्रमाणीकरण की तुलना में अधिक सुरक्षित समाधान का प्रतिनिधित्व करते हैं, तब भी वे किसी दिए गए उपयोगकर्ता के लिए सबसे सुरक्षित 2FA नहीं होते हैं। प्लेटफार्म रोजगार प्रदान कर सकता है। उपयोगकर्ता के लिए घर्षण या अतिरिक्त कठिनाई पर विचार करने के लिए एक अन्य कारक है। अधिक प्रमाणीकरण कारकों का मतलब अधिक उपयोगकर्ता घर्षण हो सकता है, लेकिन यह हमेशा ऐसा नहीं होता है - एमएफए निष्क्रिय प्रमाणीकरण विधियों का उपयोग करके कार्यान्वित किया जा सकता है जिसके लिए अतिरिक्त उपयोगकर्ता इनपुट की आवश्यकता नहीं होती है।

किसी की पहचान साबित करने के लिए कई प्रमाणीकरण कारकों का उपयोग इस आधार पर होता है कि एक अनधिकृत अभिनेता एक्सेस के लिए आवश्यक कारकों की आपूर्ति करने में सक्षम होने की संभावना नहीं है। यदि प्रमाणीकरण के प्रयास में, कम से कम एक घटक गायब है या गलत तरीके से आपूर्ति की गई है, तो उपयोगकर्ता की पहचान पर्याप्त निश्चितता के साथ स्थापित नहीं होती है और बहु-कारक प्रमाणीकरण द्वारा संरक्षित संपत्ति (जैसे, एक इमारत, या डेटा) तक पहुंच बनी रहती है अवरुद्ध। एक बहु-कारक प्रमाणीकरण योजना के प्रमाणीकरण कारकों में शामिल हो सकते हैं:
 * उपयोगकर्ता के पास कुछ है: उपयोगकर्ता के कब्जे में कोई भौतिक वस्तु, जैसे सुरक्षा टोकन (यूएसबी स्टिक), बैंक कार्ड, की (key) इत्यादि।
 * कुछ उपयोगकर्ता जानता है: कुछ ज्ञान केवल उपयोगकर्ता को ही पता होता है, जैसे पासवर्ड, पिन (व्यक्तिगत पहचान संख्या), आदि।
 * कुछ उपयोगकर्ता हैं: उपयोगकर्ता की कुछ भौतिक विशेषताएं (बायोमेट्रिक्स), जैसे कि फिंगरप्रिंट, आईरिस, आवाज, टाइपिंग की गति, कुंजी दबाने के अंतराल में पैटर्न आदि।

दो-कारक प्रमाणीकरण का एक उदाहरण एटीएम से पैसे की निकासी है; केवल एक बैंक कार्ड (जो उपयोगकर्ता के पास है) और एक पिन (जिसे उपयोगकर्ता जानता है) का सही संयोजन ही लेनदेन को पूरा करने की अनुमति देता है। दो अन्य उदाहरण एक उपयोगकर्ता-नियंत्रित पासवर्ड को वन-टाइम पासवर्ड (ओटीपी) या एक प्रमाणक (जैसे एक सुरक्षा टोकन या स्मार्टफोन) द्वारा उत्पन्न या प्राप्त कोड के साथ पूरक करना है जो केवल उपयोगकर्ता के पास है।

एक थर्ड-पार्टी ऑथेंटिकेटर ऐप टू-फैक्टर ऑथेंटिकेशन को एक अलग तरीके से सक्षम करता है, आमतौर पर एक बेतरतीब ढंग से जेनरेट किया गया और लगातार रिफ्रेशिंग कोड दिखाकर, जिसका उपयोग उपयोगकर्ता एसएमएस भेजने या किसी अन्य विधि का उपयोग करने के बजाय कर सकता है। इन ऐप्स का एक बड़ा फायदा यह है कि ये आमतौर पर बिना इंटरनेट कनेक्शन के भी काम करना जारी रखते हैं। तृतीय-पक्ष प्रमाणक ऐप्स के उदाहरणों में शामिल हैं गूगल  प्रमाणक, ऑटि और माइक्रोसॉफ्ट प्रमाणक; लास्टपास जैसे कुछ पासवर्ड मैनेजर भी सेवा प्रदान करते हैं।

मल्टी-फैक्टर ऑथेंटिकेशन का एक अन्य उदाहरण एक प्रक्रिया है जिसे स्टेप-अप ऑथेंटिकेशन के रूप में जाना जाता है, जहां अधिक उच्च जोखिम वाले कार्यों के लिए अधिक ऑथेंटिकेशन फैक्टर की आवश्यकता होती है। ऑनलाइन बैंकिंग में उपयोग की जाने वाली स्टेप-अप प्रमाणीकरण योजना में, उदाहरण के लिए, एक व्यक्ति केवल एक पासवर्ड के साथ लॉग इन करने और खाते की शेष राशि की जांच करने में सक्षम हो सकता है, लेकिन धन हस्तांतरित करने से पहले एसएमएस के माध्यम से अपनी पहचान सत्यापित करने में सक्षम होना चाहिए। अतिरिक्त जानकारी दर्ज करने की आवश्यकता हो सकती है, जैसे कि एसएमएस के माध्यम से प्राप्त एक कोड। यह प्रक्रिया उपयोगकर्ता के घर्षण को कम करने और सुरक्षा बनाए रखने के बीच संतुलन बनाती है।

नॉलेज (ज्ञान)
नॉलेज फैक्टर प्रमाणीकरण का एक रूप है. इस रूप में, प्रमाणित करने के लिए उपयोगकर्ता को किसी रहस्य के ज्ञान को साबित करने की आवश्यकता होती है।

पासवर्ड एक गुप्त शब्द या अक्षरों की श्रंखला होती है जिसका उपयोग उपयोगकर्ता प्रमाणीकरण के लिए किया जाता है। यह प्रमाणीकरण का सबसे अधिक उपयोग किया जाने वाला तंत्र है। प्रमाणीकरण के एक कारक के रूप में कई बहु-कारक प्रमाणीकरण तकनीकें पासवर्ड पर निर्भर करती हैं। विविधताओं में कई शब्दों (पासफ़्रेज़) से बने लंबे शब्द और एटीएम एक्सेस के लिए आमतौर पर उपयोग किए जाने वाले छोटे, विशुद्ध संख्यात्मक, पिन दोनों शामिल हैं। परंपरागत रूप से, पासवर्ड याद रखने की अपेक्षा की जाती है।

ज्ञान-आधारित प्रमाणीकरण (केबीए) का एक अन्य रूप एक सुरक्षा प्रश्न है, जिसे आम तौर पर उपयोगकर्ता द्वारा ऑनबोर्डिंग पर चुना और उत्तर दिया जाता है। सामान्य सुरक्षा प्रश्नों में ऐसी चीजें शामिल होती हैं जो आम तौर पर खाता धारक से व्यक्तिगत संबंध के बिना जानी जाती हैं, जैसे कि माता का विवाह-पूर्व नाम या पहले पालतू जानवर का नाम।

स्वामित्व
कब्ज़ा कारक (केवल उपयोगकर्ता के पास कुछ) का उपयोग सदियों से प्रमाणीकरण के लिए किया गया है, एक ताले की कुंजी के रूप में। मूल सिद्धांत यह है कि कुंजी एक रहस्य का प्रतीक है जिसे लॉक और कुंजी के बीच साझा किया जाता है, और यही सिद्धांत कंप्यूटर सिस्टम में अधिकार कारक प्रमाणीकरण को रेखांकित करता है। एक सुरक्षा टोकन कब्जे के कारक का एक उदाहरण है।

डिस्कनेक्ट किए गए टोकन का क्लाइंट कंप्यूटर से कोई संबंध नहीं है। वे आमतौर पर उत्पन्न प्रमाणीकरण डेटा को प्रदर्शित करने के लिए एक अंतर्निहित स्क्रीन का उपयोग करते हैं, जिसे उपयोगकर्ता द्वारा मैन्युअल रूप से टाइप किया जाता है। इस प्रकार का टोकन ज्यादातर ओटीपी का उपयोग करता है जिसका उपयोग केवल उस विशिष्ट सत्र के लिए किया जा सकता है।

कनेक्टेड टोकन मशीन हैं जो उपयोग किए जाने वाले कंप्यूटर से भौतिक रूप से जुड़े हुए हैं। वे उपकरण स्वचालित रूप से डेटा संचारित करते हैं। यूएसबी टोकन, स्मार्ट कार्ड और आरएफआईडी सहित कई अलग-अलग प्रकार हैं। तेजी से, FIDO2 सक्षम टोकन, FIDO एलायंस और विश्वव्यापी वेब संकाय (W3C) द्वारा समर्थित, 2015 की शुरुआत में मुख्यधारा के ब्राउज़र समर्थन के साथ लोकप्रिय हो गए हैं।

एक सॉफ्टवेयर टोकन (उर्फ सॉफ्ट टोकन) एक प्रकार का दो-कारक प्रमाणीकरण सुरक्षा उपकरण है जिसका उपयोग कंप्यूटर सेवाओं के उपयोग को अधिकृत करने के लिए किया जा सकता है। सॉफ़्टवेयर टोकन एक सामान्य-उद्देश्य वाले इलेक्ट्रॉनिक उपकरण जैसे डेस्कटॉप कंप्यूटर, लैपटॉप, व्यक्तिगत डिजिटल सहायक, या चल दूरभाष पर संग्रहीत होते हैं और इन्हें डुप्लिकेट किया जा सकता है। (कंट्रास्ट हार्डवेयर टोकन, जहां क्रेडेंशियल्स को एक समर्पित हार्डवेयर डिवाइस पर संग्रहीत किया जाता है और इसलिए डुप्लिकेट नहीं किया जा सकता है, डिवाइस का भौतिक आक्रमण नहीं होता है।) एक सॉफ्ट टोकन एक डिवाइस नहीं हो सकता है जिसके साथ उपयोगकर्ता इंटरैक्ट करता है। आमतौर पर एक X.509v3 प्रमाणपत्र डिवाइस पर लोड किया जाता है और इस उद्देश्य को पूरा करने के लिए सुरक्षित रूप से संग्रहीत किया जाता है।

बहु-कारक प्रमाणीकरण में भौतिक सुरक्षा प्रणालियों में भी अनुप्रयोग होते हैं। इन भौतिक सुरक्षा प्रणालियों को जाना जाता है और आमतौर पर अभिगम नियंत्रण के रूप में संदर्भित किया जाता है। मल्टी-फैक्टर ऑथेंटिकेशन आमतौर पर एक्सेस कंट्रोल सिस्टम में उपयोग के माध्यम से तैनात किया जाता है, सबसे पहले, एक भौतिक अधिकार (जैसे कि एक एफओबी, कीकार्ड, या क्यूआर-कोड एक डिवाइस पर प्रदर्शित होता है) जो पहचान क्रेडेंशियल के रूप में कार्य करता है, और दूसरा, एक सत्यापन किसी की पहचान जैसे कि चेहरे का बायोमेट्रिक्स या रेटिनल स्कैन। मल्टी-फैक्टर ऑथेंटिकेशन के इस रूप को आमतौर पर फेशियल वेरिफिकेशन या फेशियल ऑथेंटिकेशन कहा जाता है।

अंतर्निहित
ये उपयोगकर्ता से जुड़े कारक हैं, और आमतौर पर बॉयोमेट्रिक्स विधियां हैं, जिनमें अंगुली की छाप, चेहरा पहचान, वक्ता मान्यता, या आइरिस मान्यता मान्यता। कीस्ट्रोक डायनेमिक्स जैसे व्यवहार बायोमेट्रिक्स का भी उपयोग किया जा सकता है।

स्थान
तेजी से, एक चौथा कारक खेल में आ रहा है जिसमें उपयोगकर्ता का भौतिक स्थान शामिल है। कॉरपोरेट नेटवर्क से हार्ड-वायर्ड होने पर, एक उपयोगकर्ता को केवल एक पिन कोड का उपयोग करके लॉग इन करने की अनुमति दी जा सकती है। जबकि यदि उपयोगकर्ता नेटवर्क से बाहर था, तो सॉफ्ट टोकन से कोड दर्ज करने की भी आवश्यकता हो सकती है। इसे एक स्वीकार्य मानक के रूप में देखा जा सकता है जहां कार्यालय तक पहुंच को नियंत्रित किया जाता है।

नेटवर्क प्रवेश नियंत्रण के लिए सिस्टम समान तरीके से काम करते हैं जहां नेटवर्क एक्सेस का स्तर उस विशिष्ट नेटवर्क पर आकस्मिक हो सकता है जिससे डिवाइस कनेक्ट होता है, जैसे कि वाई-फाई बनाम वायर्ड कनेक्टिविटी। यह एक उपयोगकर्ता को कार्यालयों के बीच स्थानांतरित करने की अनुमति देता है और गतिशील रूप से प्रत्येक में समान स्तर का नेटवर्क एक्सेस प्राप्त करता है।

स्थान एक सहायक प्रमाणीकरण कारक है क्योंकि इसे निष्क्रिय रूप से उपयोग किया जा सकता है, जिसका अर्थ है कि इसके लिए उपयोगकर्ताओं से बहुत कम इनपुट की आवश्यकता होती है और यह उपयोगकर्ता के अनुभव को बाधित नहीं करता है। उपयोग किए गए संकेतों के आधार पर, स्थान व्यवहार कम झूठी सकारात्मक दर के साथ एक बहुत ही सटीक प्रमाणक है, क्योंकि दो लोगों के लिए सटीक समान स्थान व्यवहार करना लगभग असंभव है। इसकी अनूठी प्रकृति स्थान व्यवहार के आधार पर प्रमाणीकरण को जियोलोकेशन स्पूफिंग के विरुद्ध अधिक लचीला बनाती है।

मोबाइल फोन आधारित प्रमाणीकरण
पाठ संदेश पर दो-कारक प्रमाणीकरण को 1996 की शुरुआत में विकसित किया गया था, जब एटी एंड टी ने दो-तरफ़ा पेजर पर कोड के आदान-प्रदान के आधार पर लेनदेन को अधिकृत करने के लिए एक प्रणाली का वर्णन किया था। कई बहु-कारक प्रमाणीकरण विक्रेता मोबाइल फोन-आधारित प्रमाणीकरण प्रदान करते हैं। कुछ विधियों में पुश-आधारित प्रमाणीकरण, क्यूआर कोड-आधारित प्रमाणीकरण, वन-टाइम पासवर्ड प्रमाणीकरण (ईवेंट-आधारित और समय-आधारित प्रमाणीकरण|समय-आधारित), और एसएमएस-आधारित सत्यापन शामिल हैं। एसएमएस-आधारित सत्यापन कुछ सुरक्षा चिंताओं से ग्रस्त है। फोन को क्लोन किया जा सकता है, ऐप कई फोन पर चल सकते हैं और सेल फोन रखरखाव कर्मी एसएमएस टेक्स्ट पढ़ सकते हैं। कम से कम, सेल फोन से सामान्य रूप से समझौता नहीं किया जा सकता है, जिसका अर्थ है कि फोन अब केवल उपयोगकर्ता के पास नहीं है।

उपयोगकर्ता के पास मौजूद किसी चीज़ सहित प्रमाणीकरण की बड़ी कमी यह है कि उपयोगकर्ता को व्यावहारिक रूप से हर समय भौतिक टोकन (USB स्टिक, बैंक कार्ड, कुंजी या समान) रखना चाहिए। हानि और चोरी जोखिम हैं। कई संगठन मैलवेयर और डेटा चोरी के जोखिमों के कारण USB और इलेक्ट्रॉनिक उपकरणों को परिसर के अंदर या बाहर ले जाने से मना करते हैं, और इसी कारण से अधिकांश महत्वपूर्ण मशीनों में USB पोर्ट नहीं होते हैं। भौतिक टोकन आमतौर पर स्केल नहीं करते हैं, आमतौर पर प्रत्येक नए खाते और सिस्टम के लिए एक नए टोकन की आवश्यकता होती है। इस तरह के टोकन की खरीद और बाद में बदलने में लागत शामिल है। इसके अलावा, प्रयोज्यता और सुरक्षा के बीच अंतर्निहित संघर्ष और अपरिहार्य व्यापार-नापसंद हैं। मोबाइल फोन और स्मार्टफोन से जुड़े दो-चरणीय प्रमाणीकरण समर्पित भौतिक उपकरणों का विकल्प प्रदान करता है। प्रमाणित करने के लिए, लोग डिवाइस पर अपने व्यक्तिगत एक्सेस कोड का उपयोग कर सकते हैं (यानी कुछ ऐसा जो केवल व्यक्तिगत उपयोगकर्ता जानता है) साथ ही एक बार-वैध, गतिशील पासकोड, आमतौर पर 4 से 6 अंकों का होता है। पासकोड उनके मोबाइल डिवाइस पर भेजा जा सकता है एसएमएस द्वारा या एक बार के पासकोड-जनरेटर ऐप द्वारा उत्पन्न किया जा सकता है। दोनों ही मामलों में, मोबाइल फोन का उपयोग करने का लाभ यह है कि अतिरिक्त समर्पित टोकन की कोई आवश्यकता नहीं है, क्योंकि उपयोगकर्ता हर समय अपने मोबाइल उपकरणों को साथ लेकर चलते हैं। इसके अतिरिक्त, किसी डिवाइस की विशिष्ट विशेषताओं का उपयोग किसी डिवाइस की विशिष्ट पहचान करने और संभावित कपटपूर्ण खाता पहुंच को रोकने के लिए किया जा सकता है।

एसएमएस सत्यापन की लोकप्रियता के बावजूद, सुरक्षा अधिवक्ताओं ने सार्वजनिक रूप से एसएमएस सत्यापन की आलोचना की है और जुलाई 2016 में यूनाइटेड स्टेट्स मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान ड्राफ्ट गाइडलाइन ने इसे प्रमाणीकरण के एक रूप के रूप में बहिष्कृत करने का प्रस्ताव दिया। एक साल बाद एनआईएसटी ने अंतिम दिशानिर्देश में वैध प्रमाणीकरण चैनल के रूप में एसएमएस सत्यापन को बहाल कर दिया। क्रमशः 2016 और 2017 में, Google और Apple दोनों ने पुश तकनीक के साथ उपयोगकर्ता को दो-चरणीय प्रमाणीकरण की पेशकश शुरू की एक वैकल्पिक विधि के रूप में। मोबाइल-वितरित सुरक्षा टोकन की सुरक्षा पूरी तरह से मोबाइल ऑपरेटर की परिचालन सुरक्षा पर निर्भर करती है और राष्ट्रीय सुरक्षा एजेंसियों द्वारा वायरटैपिंग या सिम क्लोनिंग द्वारा आसानी से इसका उल्लंघन किया जा सकता है। लाभ:


 * कोई अतिरिक्त टोकन आवश्यक नहीं है क्योंकि यह उन मोबाइल उपकरणों का उपयोग करता है जो (आमतौर पर) हर समय ले जाते हैं।
 * चूंकि वे लगातार बदलते रहते हैं, गतिशील रूप से उत्पन्न पासकोड निश्चित (स्थिर) लॉग-इन जानकारी की तुलना में उपयोग करने के लिए सुरक्षित होते हैं।
 * समाधान के आधार पर, उपयोग किए गए पासकोड स्वचालित रूप से बदल दिए जाते हैं ताकि यह सुनिश्चित किया जा सके कि एक वैध कोड हमेशा उपलब्ध रहे, इसलिए ट्रांसमिशन/रिसेप्शन समस्याएं लॉगिन को नहीं रोकती हैं।

नुकसान:


 * उपयोगकर्ता अभी भी फ़िशिंग हमलों के प्रति संवेदनशील हो सकते हैं। एक हमलावर एक टेक्स्ट संदेश भेज सकता है जो नकली URL से लिंक करता है जो वास्तविक वेबसाइट के समान दिखता है। हमलावर तब प्रमाणीकरण कोड, उपयोगकर्ता नाम और पासवर्ड प्राप्त कर सकता है।
 * एक मोबाइल फोन हमेशा उपलब्ध नहीं होता है—यह खो सकता है, चोरी हो सकता है, बैटरी समाप्त हो सकती है, या अन्यथा काम नहीं कर सकता है।
 * उनकी बढ़ती लोकप्रियता के बावजूद, कुछ उपयोगकर्ताओं के पास मोबाइल डिवाइस भी नहीं हो सकता है, और अपने होम पीसी पर कुछ सेवा का उपयोग करने की शर्त के रूप में एक के स्वामित्व की आवश्यकता होने पर नाराजगी जताते हैं।
 * मोबाइल फोन रिसेप्शन हमेशा उपलब्ध नहीं होता है—बड़े क्षेत्र, विशेष रूप से कस्बों के बाहर, कवरेज की कमी होती है।
 * सिम क्लोनिंग से हैकर्स को मोबाइल फोन कनेक्शन का एक्सेस मिल जाता है। सोशल इंजीनियरिंग (सुरक्षा)|मोबाइल-ऑपरेटर कंपनियों के खिलाफ सोशल-इंजीनियरिंग हमलों के परिणामस्वरूप डुप्लीकेट सिम कार्ड अपराधियों को सौंप दिए गए हैं।
 * लघु संदेश सेवा का उपयोग करने वाले मोबाइल फोन पर पाठ संदेश असुरक्षित हैं और आईएमएसआई-कैचर्स द्वारा इंटरसेप्ट किए जा सकते हैं। इस प्रकार तीसरे पक्ष टोकन की चोरी और उपयोग कर सकते हैं।
 * खाता पुनर्प्राप्ति आमतौर पर मोबाइल-फ़ोन दो-कारक प्रमाणीकरण को बायपास करती है। * आधुनिक स्मार्टफोन का उपयोग ईमेल और एसएमएस दोनों प्राप्त करने के लिए किया जाता है। इसलिए यदि फोन खो जाता है या चोरी हो जाता है और पासवर्ड या बायोमेट्रिक द्वारा सुरक्षित नहीं होता है, तो सभी खाते जिनके लिए ईमेल कुंजी है, को हैक किया जा सकता है क्योंकि फोन दूसरा कारक प्राप्त कर सकता है।
 * मोबाइल वाहक संदेश शुल्क के लिए उपयोगकर्ता से शुल्क ले सकते हैं।

विधान और विनियमन
भुगतान कार्ड उद्योग | भुगतान कार्ड उद्योग (पीसीआई) डेटा सुरक्षा मानक, आवश्यकता 8.3, सभी दूरस्थ नेटवर्क एक्सेस के लिए एमएफए के उपयोग की आवश्यकता होती है जो नेटवर्क के बाहर कार्ड डेटा पर्यावरण (सीडीई) से उत्पन्न होती है। पीसीआई-डीएसएस संस्करण 3.2 के साथ शुरुआत करते हुए, सीडीई तक सभी प्रशासनिक पहुंच के लिए एमएफए का उपयोग आवश्यक है, भले ही उपयोगकर्ता एक विश्वसनीय नेटवर्क के भीतर हो।

यूरोपीय संघ
दूसरे भुगतान सेवा निर्देश के लिए 14 सितंबर, 2019 से यूरोपीय आर्थिक क्षेत्र में अधिकांश इलेक्ट्रॉनिक भुगतानों पर मजबूत ग्राहक प्रमाणीकरण की आवश्यकता है।

भारत
भारत में, भारतीय रिजर्व बैंक ने डेबिट या क्रेडिट कार्ड का उपयोग करके किए गए सभी ऑनलाइन लेन-देन के लिए दो-कारक प्रमाणीकरण अनिवार्य कर दिया है या तो लघु संदेश सेवा पर भेजे गए पासवर्ड या वन-टाइम पासवर्ड का उपयोग कर रहे हैं। 2016 में भारतीय बैंकनोट विमुद्रीकरण के मद्देनजर ₹2,000 तक के लेनदेन के लिए 2016 में इसे अस्थायी रूप से वापस ले लिया गया था। इस दो-कारक प्रमाणीकरण रोलआउट के अनुपालन में उबेर जैसे विक्रेताओं को बैंक द्वारा अपने भुगतान प्रसंस्करण प्रणालियों में संशोधन करने के लिए अनिवार्य किया गया है।

संयुक्त राज्य
संयुक्त राज्य अमेरिका में संघीय कर्मचारियों और ठेकेदारों के लिए प्रमाणीकरण के विवरण को होमलैंड सिक्योरिटी प्रेसिडेंशियल डायरेक्टिव 12 (HSPD-12) के साथ परिभाषित किया गया है। मौजूदा प्रमाणीकरण पद्धतियों में तीन प्रकार के बुनियादी कारकों की व्याख्या की गई है। प्रमाणीकरण विधियां जो एक से अधिक कारकों पर निर्भर करती हैं, एकल-कारक विधियों की तुलना में समझौता करना अधिक कठिन होता है। संघीय सरकारी प्रणालियों तक पहुंच के लिए आईटी नियामक मानकों को संवेदनशील आईटी संसाधनों तक पहुंचने के लिए बहु-कारक प्रमाणीकरण के उपयोग की आवश्यकता होती है, उदाहरण के लिए प्रशासनिक कार्यों को करने के लिए नेटवर्क उपकरणों पर लॉग ऑन करते समय और विशेषाधिकार प्राप्त लॉगिन का उपयोग करके किसी भी कंप्यूटर तक पहुँचने पर। एनआईएसटी विशेष प्रकाशन 800-63-3 दो-कारक प्रमाणीकरण के विभिन्न रूपों पर चर्चा करता है और आश्वासन के विभिन्न स्तरों की आवश्यकता वाली व्यावसायिक प्रक्रियाओं में उनका उपयोग करने पर मार्गदर्शन प्रदान करता है। 2005 में, संयुक्त राज्य अमेरिका की संघीय वित्तीय संस्थान परीक्षा परिषद ने वित्तीय संस्थानों के लिए मार्गदर्शन जारी किया, वित्तीय संस्थानों को जोखिम-आधारित आकलन करने, ग्राहक जागरूकता कार्यक्रमों का मूल्यांकन करने और ग्राहकों को विश्वसनीय रूप से प्रमाणित करने के लिए सुरक्षा उपाय विकसित करने की सिफारिश की, जो आधिकारिक तौर पर प्रमाणीकरण विधियों के उपयोग की सिफारिश करते हैं। जो उपयोगकर्ता की पहचान निर्धारित करने के लिए एक से अधिक कारकों (विशेष रूप से, उपयोगकर्ता क्या जानता है, क्या है, और क्या है) पर निर्भर करता है। प्रकाशन के जवाब में, कई प्रमाणीकरण विक्रेताओं ने बहु-कारक प्रमाणीकरण के रूप में चुनौती-प्रश्नों, गुप्त छवियों और अन्य ज्ञान-आधारित विधियों को अनुचित रूप से प्रचारित करना शुरू कर दिया। परिणामी भ्रम और इस तरह के तरीकों को व्यापक रूप से अपनाने के कारण, 15 अगस्त, 2006 को FFIEC ने पूरक दिशानिर्देश प्रकाशित किए।जो बताता है कि परिभाषा के अनुसार, एक सच्चे बहु-कारक प्रमाणीकरण प्रणाली को प्रमाणीकरण के तीन कारकों के अलग-अलग उदाहरणों का उपयोग करना चाहिए, न कि केवल एक कारक के कई उदाहरणों का उपयोग करना चाहिए।

सुरक्षा
समर्थकों के अनुसार, बहु-कारक प्रमाणीकरण ऑनलाइन पहचान की चोरी और अन्य ऑनलाइन धोखाधड़ी की घटनाओं को काफी हद तक कम कर सकता है, क्योंकि पीड़ित का पासवर्ड चोर को उनकी जानकारी तक स्थायी पहुंच देने के लिए पर्याप्त नहीं होगा। हालाँकि, कई बहु-कारक प्रमाणीकरण दृष्टिकोण फ़िशिंग के प्रति संवेदनशील रहते हैं, मैन-इन-ब्राउज़र, और मैन-इन-द-मिडिल आक्रमण। वेब अनुप्रयोगों में दो-कारक प्रमाणीकरण विशेष रूप से फ़िशिंग हमलों के लिए अतिसंवेदनशील होते हैं, विशेष रूप से एसएमएस और ई-मेल में, और, प्रतिक्रिया के रूप में, कई विशेषज्ञ उपयोगकर्ताओं को सलाह देते हैं कि वे अपने सत्यापन कोड किसी के साथ साझा न करें, और कई वेब एप्लिकेशन प्रदाता एक कोड वाले ई-मेल या एसएमएस में एक सलाह देंगे। बहु-कारक प्रमाणीकरण अप्रभावी हो सकता है एटीएम स्किमिंग, फ़िशिंग और मैलवेयर जैसे आधुनिक खतरों के विरुद्ध। मई 2017 में, एक जर्मन मोबाइल सेवा प्रदाता O2 टेलीफ़ोनिका ने पुष्टि की कि साइबर अपराधियों ने उपयोगकर्ताओं के बैंक खातों से अनधिकृत निकासी करने के लिए एसएमएस आधारित टू-स्टेप ऑथेंटिकेशन को बायपास करने के लिए सिग्नलिंग सिस्टम नंबर 7 की कमजोरियों का फायदा उठाया था। अपराधी पहले ट्रोजन हॉर्स (कंप्यूटिंग) खाता धारक के कंप्यूटर को उनके बैंक खाते की साख और फोन नंबर चुराने के प्रयास में करते हैं। फिर हमलावरों ने एक नकली टेलीकॉम प्रदाता तक पहुंच खरीदी और पीड़ित के फोन नंबर के लिए उनके द्वारा नियंत्रित हैंडसेट पर रीडायरेक्ट किया। अंत में, हमलावरों ने पीड़ितों के ऑनलाइन बैंक खातों में लॉग इन किया और खातों से अपराधियों के स्वामित्व वाले खातों में पैसे निकालने का अनुरोध किया। हमलावरों द्वारा नियंत्रित फोन नंबरों पर एसएमएस पासकोड भेजे गए और अपराधियों ने पैसे बाहर स्थानांतरित कर दिए।

कार्यान्वयन
कई बहु-कारक प्रमाणीकरण उत्पादों के लिए उपयोगकर्ताओं को बहु-कारक प्रमाणीकरण प्रणाली को काम करने के लिए क्लाइंट (कंप्यूटिंग) सॉफ़्टवेयर को तैनात करने की आवश्यकता होती है। कुछ विक्रेताओं ने कंप्यूटर नेटवर्क लॉगिन, WWW एक्सेस क्रेडेंशियल्स और वीपीएन कनेक्शन क्रेडेंशियल्स के लिए अलग इंस्टॉलेशन पैकेज बनाए हैं। ऐसे उत्पादों के लिए, सुरक्षा टोकन या स्मार्ट कार्ड का उपयोग करने के लिए क्लाइंट (कंप्यूटिंग) पीसी पर पुश करने के लिए चार या पांच अलग-अलग सॉफ़्टवेयर पैकेज हो सकते हैं। यह चार या पाँच पैकेजों का अनुवाद करता है, जिस पर संस्करण नियंत्रण किया जाना है, और चार या पाँच पैकेज व्यावसायिक अनुप्रयोगों के साथ विरोध की जाँच करने के लिए। यदि एक्सेस को वेब पृष्ठों का उपयोग करके संचालित किया जा सकता है, तो ऊपर बताए गए ओवरहेड्स को एक ही एप्लिकेशन तक सीमित करना संभव है। हार्डवेयर टोकन उत्पादों जैसी अन्य बहु-कारक प्रमाणीकरण तकनीक के साथ, अंतिम उपयोगकर्ताओं द्वारा कोई सॉफ़्टवेयर स्थापित नहीं किया जाना चाहिए।

बहु-कारक प्रमाणीकरण में कमियां हैं जो कई दृष्टिकोणों को व्यापक होने से रोक रही हैं। कुछ उपयोगकर्ताओं को हार्डवेयर टोकन या USB प्लग का ट्रैक रखने में कठिनाई होती है। कई उपयोगकर्ताओं के पास स्वयं क्लाइंट-साइड सॉफ़्टवेयर प्रमाणपत्र स्थापित करने के लिए आवश्यक तकनीकी कौशल नहीं होते हैं। आम तौर पर, बहु-कारक समाधानों को कार्यान्वयन के लिए अतिरिक्त निवेश और रखरखाव के लिए लागत की आवश्यकता होती है। अधिकांश हार्डवेयर टोकन-आधारित सिस्टम मालिकाना हैं और कुछ विक्रेता प्रति उपयोगकर्ता वार्षिक शुल्क लेते हैं। सुरक्षा टोकन की तैनाती तार्किक रूप से चुनौतीपूर्ण है। हार्डवेयर सुरक्षा टोकन क्षतिग्रस्त या गुम हो सकते हैं और बड़े उद्योगों जैसे बैंकिंग या यहां तक ​​कि बड़े उद्यमों के भीतर सुरक्षा टोकन जारी करने को प्रबंधित करने की आवश्यकता है। परिनियोजन लागतों के अतिरिक्त, बहु-कारक प्रमाणीकरण में अक्सर महत्वपूर्ण अतिरिक्त समर्थन लागतें होती हैं। 2008 का एक सर्वेक्षण संयुक्त राज्य अमेरिका में 120 से अधिक क्रेडिट यूनियनों की संख्या|यू. क्रेडिट यूनियन जर्नल द्वारा एस क्रेडिट यूनियनों ने दो-कारक प्रमाणीकरण से जुड़ी समर्थन लागतों पर रिपोर्ट की। उनकी रिपोर्ट में, सॉफ़्टवेयर प्रमाणपत्र और सॉफ़्टवेयर टूलबार दृष्टिकोणों की उच्चतम समर्थन लागत होने की सूचना दी गई थी।

बहु-कारक प्रमाणीकरण योजनाओं की तैनाती में अनुसंधान ने दिखाया है कि ऐसी प्रणालियों को अपनाने को प्रभावित करने वाले तत्वों में से एक संगठन का व्यवसाय है जो बहु-कारक प्रमाणीकरण प्रणाली को तैनात करता है। उद्धृत उदाहरणों में यू.एस. संघीय सरकार शामिल है, जो भौतिक टोकन की एक विस्तृत प्रणाली को नियोजित करती है (जो स्वयं मजबूत सार्वजनिक कुंजी अवसंरचना द्वारा समर्थित है), साथ ही निजी बैंक, जो अपने ग्राहकों के लिए बहु-कारक प्रमाणीकरण योजनाओं को पसंद करते हैं जिनमें अधिक सुलभ शामिल हैं, पहचान सत्यापन के कम खर्चीले साधन, जैसे कि ग्राहक के स्वामित्व वाले स्मार्टफ़ोन पर इंस्टॉल किया गया ऐप। उपलब्ध प्रणालियों के बीच मौजूद विविधताओं के बावजूद, जिन्हें संगठनों को चुनना पड़ सकता है, एक बार एक बहु-कारक प्रमाणीकरण प्रणाली एक संगठन के भीतर तैनात होने के बाद, यह बनी रहती है, क्योंकि उपयोगकर्ता हमेशा सिस्टम की उपस्थिति और उपयोग के लिए अभ्यस्त होते हैं और गले लगाते हैं। यह समय के साथ उनकी प्रासंगिक सूचना प्रणाली के साथ बातचीत की उनकी दैनिक प्रक्रिया के सामान्यीकृत तत्व के रूप में।

जबकि धारणा यह है कि बहु-कारक प्रमाणीकरण पूर्ण सुरक्षा के दायरे में है, रोजर ग्रिम्स लिखते हैं कि अगर ठीक से लागू और कॉन्फ़िगर नहीं किया गया है, तो बहु-कारक प्रमाणीकरण वास्तव में आसानी से पराजित हो सकता है।

पेटेंट
2013 में, किम डॉटकॉम ने 2000 के पेटेंट में दो-कारक प्रमाणीकरण का आविष्कार करने का दावा किया, और संक्षेप में सभी प्रमुख वेब सेवाओं पर मुकदमा करने की धमकी दी। हालाँकि, यूरोपीय पेटेंट कार्यालय ने उनके पेटेंट को रद्द कर दिया AT&T द्वारा 1998 के पहले के अमेरिकी पेटेंट के आलोक में।

यह भी देखें

 * इलेक्ट्रॉनिक प्रमाणीकरण
 * पहचान प्रबंधन
 * बहुदलीय प्राधिकरण
 * आपसी प्रमाणीकरण
 * रिलायंस प्रमाणीकरण
 * मजबूत प्रमाणीकरण
 * यूनिवर्सल दूसरा कारक

इस पेज में लापता आंतरिक लिंक की सूची

 * में प्रवेश करें
 * कीस्ट्रोक गतिकी
 * प्रामाणिक
 * गूगल प्रमाणक
 * माइक्रोसॉफ्ट प्रमाणीकरणकर्ता
 * व्यक्तिगत अंकीय सहायक
 * वक्ता की पहचान
 * आईरिस मान्यता
 * और में
 * नकली यूआरएल
 * IMSI-कैचर
 * ऑनलाइन बैंकिंग
 * चोरी की पहचान
 * मैन-इन-द-बीच हमला
 * सार्वजनिक मुख्य बुनियादी सुविधा
 * यूनिवर्सल और फैक्टर
 * पारस्परिक प्रमाणीकरण

बाहरी संबंध

 * Attackers breached the servers of RSA and stole information that could be used to compromise the security of two-factor authentication tokens used by 40 million employees (register.com, 18 Mar 2011)
 * Banks to Use Two-factor Authentication by End of 2006, (slashdot.org, 20 Oct 2005)
 * Microsoft to abandon passwords, Microsoft preparing to dump passwords in favour of two-factor authentication in forthcoming versions of Windows (vnunet.com, 14 Mar 2005)