जीमेल चरणबद्ध तरीके से एसएमएस 2एफए-क्यूआर कोड वैकल्पिक को समाप्त करने से सुरक्षा पर बहस शुरू हो गई है
<पी> जीमेल, एसएमएस 2एफए विकल्प को हटाना और क्यूआर कोड बकवास <पी> अपडेट किया गया:25 फरवरी, 2025 <पी> कई बेवकूफ़ों की तरह, कल और आज, मैंने ढेर सारी ख़बरें पढ़ीं कि कैसे Google जीमेल खातों के लिए 2-फैक्टर प्रमाणीकरण (2FA) के विकल्प के रूप में एसएमएस को हटाने का इरादा रखता है। अपने आप में, यह कोई बड़ी बात नहीं होगी। शायद एक अच्छी बात भी. लेकिन क्यूआर कोड के रूप में प्रशंसित प्रतिस्थापन एक चिंताजनक विकास है। यदि आप मुझसे पूछें तो यह बिल्कुल बकवास है। <पी> दरअसल, मुझे तुरंत एक लेख लिखने के लिए मजबूर होना पड़ा। Google ने अभी तक इस समाधान के कार्यान्वयन की घोषणा नहीं की है। यह लोगों को प्रमाणिक ऐप्स की ओर रेफर करने का एक शानदार तरीका हो सकता है। जो, फिर से, एक अच्छी बात है। या, यह सुरक्षा के नाम पर लोगों को Google पारिस्थितिकी तंत्र के प्रति और भी अधिक अधीन बनाने का एक प्रयास हो सकता है। या पूरी तरह से कुछ और. हम देखेंगे. लेकिन मैं क्यूआर-संबंधित किसी भी चीज़ के अनुमानित "लाभों" पर चर्चा करना चाहता हूं। आइए शुरू करें। <पी> 
एसएमएस "असुरक्षित" हैं
<पी> टेकब्रोज़ आपको बताएंगे. वे आपको बताएंगे कि सादे पाठ में एसएमएस कैसे भेजे जाते हैं और कोई कोड को रोक सकता है। और यह कि सिम स्वैप हमले हुए हैं, जिसके तहत वैध मालिक का फोन नंबर उपयोगकर्ता की जानकारी के बिना कुछ बदमाशों को पोर्ट कर दिया गया था। वे इन पृथक मामलों का उपयोग लंबित विनाश के उदाहरण के रूप में करेंगे। <पी> इसके इतने प्रचारित होने के तीन कारण हैं: - सिम स्वैप के शिकार सभी नहीं तो अधिकतर लोग प्रमुख सार्वजनिक हस्तियां थे, और जब निगरानी और गोपनीयता की बात आती है तो संभवतः उनके मन में हजारों अन्य चिंताएं होती हैं। वे लोग आप, मैं या कोई अन्य साधारण किसान नहीं हैं। अमीर मत बनो, समस्या हल हो गई। या यदि आप हैं, तो शायद गैर-एसएमएस-आधारित 2एफए/एमए का विकल्प चुनें। समस्या फिर हल हो गई, कुछ नया नहीं चाहिए।
- सिम स्वैप हमलों के लगभग हर मामले में, ध्यान बिचौलिए पर होता है। इसे कार्यान्वित करने के लिए, एक इच्छुक कर्मचारी, यानी एक भ्रष्ट अंदरूनी सूत्र, की आवश्यकता है, जो इस प्रक्रिया में सहायता करेगा। कोई भी तकनीक भारी रिश्वत से प्रबलित लालच को नहीं हरा सकती।
- यह एक बड़े पैमाने पर अमेरिकी समस्या का थोपना है, एक ऐसा देश जो अपने निवासियों को राष्ट्रीय आईडी जारी नहीं करता है। या कोई अन्य देश जो राष्ट्रीय आईडी का उपयोग नहीं करता है। अधिकांश स्थानों पर, आपको शारीरिक रूप से कहीं उपस्थित होना होगा, अपना कार्ड दिखाना होगा, जिस पर कई अद्वितीय विवरण हैं, और उसके बाद, और केवल तभी, आपका नंबर पोर्ट किया जाएगा, या इसी तरह। निःसंदेह, यह रिश्वत-खुश कर्मचारी के विरुद्ध काम नहीं करेगा। न ही यह एसएमएस को दोषमुक्त करता है। लेकिन यह "अद्वितीय" पहचानकर्ताओं के रूप में आपके ज़िप कोड या तिथि या जन्म जैसे बकवास विवरणों के आधार पर यादृच्छिक सिम स्वैप की संभावना को कम करता है। इसके अलावा, यदि आप हाल ही में सभी प्रकार के प्रमुख हैक को देखते हैं, तो आपको ऐसे कई मामले मिलेंगे, जहां अति-संवेदनशील डेटा को संभालने वाले टेलीकॉम और सुरक्षा कंपनियों के कर्मचारियों को गैर-एसएमएस-आधारित 2एफए और एमएफए सिस्टम के बावजूद, महत्वपूर्ण सिस्टम को अपनी साख सौंपने के लिए धोखा दिया गया और धोखा दिया गया। फिर, प्रौद्योगिकी वास्तव में इसे कभी ठीक नहीं कर सकती।
<पी> 
<पी> अगर कोई इसे रोक सकता है, तो आपके सामने बहुत बड़ी समस्या है। <पी> एसएमएस क्या है, यह सरल और विश्वसनीय है। और यह आपको स्मार्टफोन या मोबाइल डेटा रखने से नहीं बांधता है। आप चाहें तो सिम कार्ड से किसी भी चीज़ पर एसएमएस प्राप्त कर सकते हैं, यहां तक कि 2005 के फ़ोन पर भी। और यह आजकल एक बहुत ही सुरक्षित उपकरण है, खासकर यदि इंटरनेट से कनेक्ट न हो। आप जो भी स्मार्टफोन इस्तेमाल कर रहे हैं उससे कई गुना ज्यादा। QR कोड का मतलब है कि किसी गरीब या बूढ़े व्यक्ति को अनुमति नहीं है
<पी> QR कोड को स्कैन करने के लिए, आपको संभवतः एक स्मार्टफोन की आवश्यकता होगी। कैलिफ़ोर्नियावासियों के लिए इस पर विश्वास करना कठिन होगा, लेकिन गरीब लोग मौजूद हैं, और बूढ़े लोग भी, दोनों ही जटिल बेवकूफ स्मार्टफोन ऐप्स का खर्च वहन करने और/या उनका उपयोग करने में सक्षम नहीं होंगे। <पी> उदाहरण के तौर पर, मैं ऐसे कुछ बैंकों के बारे में जानता हूं जिन्होंने विभिन्न गतिविधियों के प्राधिकरण के लिए क्यूआर कोड स्कैनिंग वाले मोबाइल ऐप अपनाए हैं। और क्या आप जानते हैं कि बूढ़े लोग इसे कैसे संभालते हैं? वे शारीरिक रूप से शाखा में आते हैं और तब तक कतार में खड़े रहते हैं जब तक कोई कर्मचारी उनकी मदद नहीं कर पाता। अब, चूँकि कंपनियाँ लालची हो गई हैं, सब कुछ ऑफशोर हो गया है और/या "एआई" बॉट्स को सौंप दिया गया है, यदि आप स्मार्टफोन का उपयोग नहीं करते हैं, तो सेवा के साथ बातचीत करने की आपकी संभावना शून्य हो जाती है। प्रभावी रूप से, यह 65 वर्ष से अधिक उम्र के किसी भी व्यक्ति के लिए एक बड़ी मध्यमा उंगली है या जो इतना अमीर नहीं है कि एक नए उपकरण के साथ काम कर सके। <पी> क्या इससे बड़ी संख्या में लोग प्रभावित होते हैं? शायद नहीं. लेकिन अगर यह मनमाने तकनीकी निर्णयों के आधार पर समाज से "अवांछनीयताओं" के अंशों को कम करने के लिए पर्याप्त है, तो ठीक है। QR "सुरक्षित" हैं
<पी> टेकब्रोज़ आपको बताएंगे. नहीं, वे नहीं हैं. वे "सुरक्षा" का अब तक का सबसे मूर्खतापूर्ण कार्यान्वयन हैं। यह एक अनिर्वचनीय चित्रलेख है. अनपढ़ों के लिए एक जादुई, रहस्यमय चीज़। हम मानवीय भाषा और शब्दों का उपयोग करने से पीछे हटते हुए चित्रलिपि का उपयोग करने की ओर अग्रसर हो रहे हैं जैसे कि यह 3,000 ईसा पूर्व की बात है। लेकिन अरे, मूर्ख लोगों को नियंत्रित करना आसान होता है, और वे कहीं अधिक लाभदायक होते हैं। <पी> क्यूआर कोड के बारे में कुछ भी अच्छा नहीं है सिवाय इसके कि उनके लिए एक कैमरे की आवश्यकता होती है। यह तकनीक कितनी बेकार है, इसके दो हालिया उदाहरण यहां दिए गए हैं। मेरे Nokia X10 फ़ोन पर, एक सिस्टम अपडेट ने काफी समय के लिए QR स्कैनिंग को नष्ट कर दिया। हाँ, मैं चाहकर भी कुछ स्कैन नहीं कर सका। अद्भुत, ठीक है। मेरे सैमसंग A54 पर, यदि आप Google Play Services EXTRA अनुमतियाँ नहीं देते हैं, तो आप Google प्रमाणक के साथ QR कोड को स्कैन नहीं कर सकते, जो एक पूरी तरह से अलग ऐप है। बूट करने के लिए एक सुंदर, डायस्टोपियन स्क्रीनशॉट: <पी> 
आप स्कैन करें, और फिर क्या?
<पी> ठीक है, आइए एक सेकंड के लिए मान लें कि यह कार्यान्वयन है। और? लोगों को अभी भी फ़िशिंग साइटों पर भेजा जा सकता है जो जीमेल की तरह दिखेंगी और जिनमें क्यूआर कोड होंगे। और ये साइटें लोगों को पहले की तरह ही आनंदमय, दुष्ट वेब पर भेज देंगी। शायद और भी आसानी से. याद रखें, कई प्रमुख हैक्स में, उपयोगकर्ता ने खलनायकों को वास्तविक समय में प्रासंगिक 6-अंकीय कोड प्रदान किए, उन्हें वास्तविक चीज़ की तरह दिखने वाले फ़ील्ड में इनपुट करके। फिर, तकनीक डर, घबराहट, भ्रम आदि जैसी चीजों को हल नहीं कर सकती है। अगर कुछ है, तो अस्पष्ट तकनीक केवल इन भावनाओं को बढ़ाती है, जिससे लोगों में गलतियाँ करने की संभावना और भी बढ़ जाती है। <पी> एक और संभावना है. यह केवल ख़राब शब्दों वाला नाटक है। शायद इसका मतलब केवल यह है कि आपको एक साधारण प्रमाणक ऐप का उपयोग करने की आवश्यकता है जो ओटीपी कोड उत्पन्न करता है। खैर, विकल्प मौजूद हैं, इसलिए कुछ भी करने या कोई बड़ी घोषणा करने का कोई कारण नहीं है। निस्संदेह, फ़ॉलबैक महत्वपूर्ण है, लेकिन इसने तकनीकी कंपनियों और उनकी चमकदार, तेजी से चलने वाली बकवास (माना जाता है कि, कुछ कार्यों के लिए एसएमएस अभी भी मौजूद रहेगा) को वास्तव में परेशान नहीं किया है। बावजूद इसके, क्यूआर कोड निरर्थक और बेकार हैं। आख़िरकार, प्रमाणक ऐप्स में क्यूआर कोड केवल बीज हैश हैं ताकि ऐप्स प्रासंगिक कोड उत्पन्न कर सकें। वे मौजूद हैं क्योंकि "फोन पर टाइप करना" कठिन है। अरे नहीं! क्राई मी ए रिवर। जैसा कि प्रसिद्ध बास्केटबॉल कोच ज़ेल्को ओब्राडोविक कहते हैं, संक्षिप्त रूप से:कौन सा क्यूआर कोड? यह क्यूआर कोड? यह मजाक है, ब्रे [sic]। <पी> और अगर यह बिल्कुल नई चीज़ है तो फिर क्या? एक फ़ोन को एक खाते से संबद्ध करें? बेशक, इसका मतलब कम गोपनीयता है। आज, अगर आप जीमेल के बारे में जानना चाहते हैं तो आपको वास्तव में अपने फोन पर कुछ भी करने की ज़रूरत नहीं है। आप एक प्रमाणक ऐप का उपयोग कर सकते हैं, किसी भी कोड को कभी भी क्लाउड पर सिंक न करें, डेस्कटॉप पर जो कुछ भी आप उपयोग करते हैं उससे अपने फोन पर एक पूरी तरह से अलग खाते का उपयोग करें, कई खातों का उपयोग करें, आदि। मैं बहुत अधिक निंदक नहीं होना चाहता, लेकिन यह लोगों को अपने फोन पर हमेशा के लिए प्रमाणित करने और अपने व्यर्थ जीवन को डेटा अधिपतियों को सौंपने के लिए मजबूर करने का एक सुनहरा अवसर है। <पी> मुझे नहीं पता कि ऐसा होगा या नहीं, लेकिन मेरे पास आशावादी होने का कोई कारण नहीं है। पिछले पंद्रह वर्षों को देखें। हर चीज़ के लिए ऑनलाइन खाते, हर जगह क्लाउड क्लाउड क्लाउड बकवास, मेनिफेस्ट V3, विज्ञापन, विज्ञापन "गोपनीयता" और अन्य बेकार बकवास। सब कुछ बेवकूफों से और अधिक डेटा एकत्र करने, और उन्हें और अधिक कनेक्टेड, आदी और बड़ी कंपनियों पर निर्भर बनाने के लिए डिज़ाइन किया गया है। यह अलग क्यों होगा? <पी> मेरी एक छोटी सी आशा यह है कि यूरोपीय संघ समीकरण में एक निश्चित स्तर की गोपनीयता और गुमनामी को लागू कर सकता है। लेकिन इससे दुनिया भर में हर किसी की ज़रूरतें हल नहीं होंगी। और उम्मीद है, पर्याप्त प्रतिरोध और शोर होगा ताकि एसएमएस की जगह जो भी हो वह समझदार और उपयोगी और सरल हो। मैं केवल आशा ही कर सकता हूं. निष्कर्ष
<पी> मुझे इस बात से कोई आपत्ति नहीं है कि Google लॉगिन को अधिक सुरक्षित बनाने का प्रयास कर रहा है। हां, ऑफ़लाइन ऐप द्वारा जेनरेट किए गए ओटीपी कोड का उपयोग करने वाले 2एफए एसएमएस से बेहतर हैं। लेकिन सुरक्षा अवधारणा के रूप में क्यूआर कोड लाखों गुना बदतर हैं। इसी तरह, नल बेवकूफों के लिए हैं, पासकी अति-प्रतिबद्ध गीक्स को छोड़कर बकवास हैं, और हार्डवेयर कुंजी पेशेवरों और उच्च-प्रोफ़ाइल व्यक्तियों के लिए पूर्ण अर्थ रखती हैं। आम लोगों के लिए एसएमएस सरल और विश्वसनीय विकल्प था और अब भी है। ऑथेंटिकेटर जैसे ऐप्स उन लोगों के लिए अच्छे हैं जो थोड़े अधिक समझदार हैं और जिनके पास स्मार्टफोन का उपयोग करने के लिए पर्याप्त पैसा और ज्ञान है। <पी> एसएमएस हटाना केवल प्रौद्योगिकी के बारे में नहीं है - यह समाज के बारे में है। इसे हटाने से गरीब और बूढ़े लोग समीकरण से प्रभावी रूप से दूर हो जाते हैं। यह वित्तीय और तकनीकी बहिष्कार है। लेकिन वे लोग वैसे भी लाभदायक नहीं हैं, वे सेवाओं की "सदस्यता" नहीं लेंगे या विज्ञापन नहीं देखेंगे, तो कौन परवाह करता है, है ना? खैर, हमें अभी भी यह देखना होगा कि Google क्या करेगा। शायद यह वास्तव में कुछ समझदार और बढ़िया होगा। या बिल्कुल नहीं. हम देखेंगे. हालाँकि, यह जो भी हो, अगर यह क्यूआर कोड पर निर्भर करता है, तो यह भयानक, भयानक, बेवकूफी भरा और व्यर्थ होगा। अब अलविदा. <पी> चीयर्स.
