सिंगापुर के बैंक और पासकीज़: SMS OTP की जगह नया विकल्प

अवलोकन#

1. परिचय#

सिंगापुर के मौद्रिक प्राधिकरण (MAS) ने घोषणा की है कि देश के सभी प्रमुख रिटेल बैंकों को अगले तीन महीनों के भीतर OTP को चरणबद्ध तरीके से हटाकर उनकी जगह “डिजिटल टोकन” का उपयोग करना होगा। एसोसिएशन ऑफ बैंक्स इन सिंगापुर (ABS) के सहयोग से उठाए गए इस कदम का उद्देश्य उपभोक्ताओं को फ़िशिंग और अन्य स्कैम्स से बचाना है, जिनकी वजह से 2023 में 14 मिलियन डॉलर से ज़्यादा का नुकसान हुआ है। इस ब्लॉग पोस्ट में, हम चर्चा करना चाहते हैं:

• OTP बंद करें: MAS, OTP को बंद करने को प्राथमिकता क्यों दे रहा है?
• डिजिटल टोकन: डिजिटल टोकन क्या हैं और वे ज़्यादा सुरक्षित क्यों हैं?
• पासकीज़: क्या पासकीज़ नई ज़रूरतों को पूरा करने में मदद कर सकते हैं?

आइए सिंगापुर के मौद्रिक प्राधिकरण (MAS) की घोषणा “सिंगापुर के बैंक फ़िशिंग स्कैम्स के खिलाफ़ मज़बूती बढ़ाएँगे” पर करीब से नज़र डालकर शुरुआत करें।

2. फ़िशिंग स्कैम्स और डिजिटल टोकन पर सिंगापुर के मौद्रिक प्राधिकरण (MAS) की घोषणा#

9 जुलाई, 2024 को, सिंगापुर के मौद्रिक प्राधिकरण (MAS) और एसोसिएशन ऑफ बैंक्स इन सिंगापुर (ABS) ने वन-टाइम पासकोड (OTPs) के उपयोग को चरणबद्ध तरीके से समाप्त करके डिजिटल बैंकिंग की सुरक्षा बढ़ाने के लिए एक महत्वपूर्ण कदम की घोषणा की। यह बदलाव अगले तीन महीनों में धीरे-धीरे लागू किया जाएगा और इसका उद्देश्य उपभोक्ताओं को फ़िशिंग स्कैम्स से बेहतर तरीके से बचाना है, जो डिजिटल बैंकिंग में मुख्य खतरा बन गए हैं। हालांकि घोषणा में केवल “वन-टाइम पासवर्ड” और OTP का उल्लेख है, लेकिन इसका निशाना विशेष रूप से SMS OTP हैं।

जिन ग्राहकों ने अपने मोबाइल डिवाइस पर अपने डिजिटल टोकन सक्रिय कर लिए हैं, उन्हें अब ब्राउज़र या मोबाइल बैंकिंग ऐप्स के माध्यम से अपने बैंक खातों में लॉग इन करने के लिए इन टोकन का उपयोग करना होगा। डिजिटल टोकन ग्राहकों के लॉगिन को OTP की ज़रूरत के बिना प्रमाणित करेगा, जिसे स्कैमर्स चुरा सकते हैं या ग्राहकों को धोखा देकर ज़ाहिर करवा सकते हैं। हम अगले अध्याय में डिजिटल टोकन क्या हैं, इस पर अधिक जानकारी प्रदान करेंगे।

तकनीकी प्रगति और परिष्कृत फ़िशिंग तकनीकों ने उस सुरक्षा को पीछे छोड़ दिया है जो कभी SMS OTP प्रदान करते थे। स्कैमर्स अब नकली बैंक वेबसाइट बनाते हैं जो असली साइटों से बहुत मिलती-जुलती हैं, और ग्राहकों को अपने OTP और अन्य क्रेडेंशियल दर्ज करने के लिए लुभाती हैं। फ़िशिंग-प्रतिरोधी प्रमाणीकरण कारकों की ओर यह बदलाव सुरक्षा को मज़बूत करता है, जिससे स्कैमर्स के लिए किसी ग्राहक के खाते तक अनधिकृत पहुँच प्राप्त करना काफ़ी अधिक चुनौतीपूर्ण हो जाता है।

सिंगापुर में फ़िशिंग स्कैम्स एक लगातार चिंता का विषय बने हुए हैं। बैंक MAS और सिंगापुर पुलिस बल के साथ मिलकर ऐसे उपाय विकसित करने और पेश करने के लिए लगातार सहयोग कर रहे हैं जो बदलते स्कैम परिदृश्य के खिलाफ़ सामूहिक प्रतिरोध को मज़बूत करते हैं। ABS की निदेशक, श्रीमती ओंग-आंग ऐ बून ने इस बात पर ज़ोर दिया कि भले ही इस नए उपाय से कुछ असुविधा हो सकती है, लेकिन यह स्कैम्स को रोकने और ग्राहकों की सुरक्षा के लिए एक ज़रूरी कदम है।

MAS में सहायक प्रबंध निदेशक (नीति, भुगतान और वित्तीय अपराध), सुश्री लू सिव यी ने इस बात पर प्रकाश डाला कि MAS डिजिटल बैंकिंग घोटालों के खिलाफ़ उपभोक्ताओं की सुरक्षा के लिए बैंकों के साथ मिलकर काम करने के लिए प्रतिबद्ध है। उन्होंने कहा कि यह नवीनतम उपाय उन अच्छी साइबर स्वच्छता प्रथाओं का पूरक होगा जिनका ग्राहकों को पालन करना जारी रखना चाहिए, जैसे कि अपने बैंकिंग क्रेडेंशियल्स की सुरक्षा करना।

MAS और ABS द्वारा उठाया गया यह कदम डिजिटल टोकन के उपयोग को अनिवार्य करके डिजिटल बैंकिंग सुरक्षा को बढ़ाने की उनकी प्रतिबद्धता को दर्शाता है। घोषणा में इस बात की स्पष्ट रूपरेखा का अभाव है कि प्रमाणीकरण के अर्थ में डिजिटल टोकन के लिए क्या आवश्यकताएँ हैं। आइए अगले भाग में इस पर करीब से नज़र डालें।

3. डिजिटल टोकन क्या हैं और वे ज़्यादा सुरक्षित क्यों हैं?#

डिजिटल टोकन ऑनलाइन सुरक्षा में एक प्रगति का प्रतिनिधित्व करते हैं, जो पारंपरिक SMS वन-टाइम पासकोड (OTPs) का एक मज़बूत विकल्प प्रदान करते हैं। SMS OTP के विपरीत, जो SMS (या ईमेल) के माध्यम से प्रसारित होते हैं और जिन्हें इंटरसेप्ट या फ़िश किया जा सकता है, डिजिटल टोकन एक विशिष्ट डिवाइस से जुड़े होते हैं, आमतौर पर एक मोबाइल फ़ोन, यह सुनिश्चित करते हुए कि केवल डिवाइस का मालिक ही आवश्यक प्रमाणीकरण कोड उत्पन्न कर सकता है।

3.1 डिजिटल टोकन कैसे काम करते हैं#

डिजिटल टोकन अलग-अलग तरीके से काम कर सकते हैं:

• समय-आधारित डिजिटल टोकन (कम सुरक्षित): ये टोकन समय-आधारित, गतिशील कोड होते हैं जिनका उपयोग यूज़र की पहचान को प्रमाणित करने के लिए किया जाता है। वे यूज़र के मोबाइल डिवाइस पर एक नेटिव ऐप द्वारा उत्पन्न होते हैं, जैसे कि बैंक का मालिकाना ऐप – ज़्यादातर कार्यान्वयनों में, वास्तविक कोड अब नहीं दिखाया जाता है, बल्कि केवल एक पुश नोटिफ़िकेशन होता है जो यूज़र से लेनदेन विवरण के साथ सहमति मांगता है और फिर बैंकिंग सर्वर पर वापस भेज दिया जाता है।
• क्रिप्टोग्राफ़िक डिजिटल टोकन (ज़्यादा सुरक्षित): एक क्रिप्टोग्राफ़िक डिजिटल टोकन समय-आधारित टोकन की तुलना में प्रमाणीकरण का और भी सुरक्षित तरीका प्रस्तुत करता है। यह ऐप के भीतर या मोबाइल फ़ोन के सिक्योर एन्क्लेव में संग्रहीत एक पब्लिक-प्राइवेट की जोड़ी का उपयोग करता है। प्रमाणीकरण प्रक्रिया के दौरान, बैंकिंग सर्वर यूज़र के डिवाइस पर एक चुनौती भेजता है। डिवाइस तब इस चुनौती पर हस्ताक्षर करने के लिए अपनी प्राइवेट की का उपयोग करता है, और हस्ताक्षरित प्रतिक्रिया सर्वर को वापस भेज दी जाती है। सर्वर संबंधित पब्लिक की का उपयोग करके हस्ताक्षर की पुष्टि करता है। यह विधि सुनिश्चित करती है कि यदि कोई हमलावर संचार को इंटरसेप्ट भी कर लेता है, तो वे यूज़र की प्राइवेट की तक पहुँच के बिना प्रमाणीकरण प्रक्रिया को दोहरा नहीं सकते, जो डिवाइस पर सुरक्षित रूप से संग्रहीत रहती है।

3.2 डिजिटल टोकन की उन्नत सुरक्षा सुविधाएँ#

डिजिटल टोकन की सुरक्षा कई प्रमुख विशेषताओं के कारण मज़बूत होती है:

1. डिवाइस बाइंडिंग: टोकन एक विशिष्ट डिवाइस से जुड़ा होता है, जिसका अर्थ है कि प्रमाणीकरण कोड केवल उसी डिवाइस द्वारा उत्पन्न किए जा सकते हैं। यह डिवाइस बाइंडिंग हमलावरों के लिए टोकन को दोहराना या किसी अन्य डिवाइस पर स्थानांतरित करना बेहद मुश्किल बना देती है।
2. मल्टी-फैक्टर सेटअप: डिजिटल टोकन के शुरुआती सेटअप में अक्सर बैंकिंग पिन के अलावा यूज़र की पहचान को सत्यापित करने के लिए SMS और ईमेल के माध्यम से भेजे गए OTP का उपयोग करना शामिल होता है (कुछ बैंक इस दृष्टिकोण के साथ भौतिक टोकन भी रिटायर करते हैं। फिर, भौतिक OTP टोकन का उपयोग किया जा सकता है)। एक बार टोकन सक्रिय हो जाने के बाद, यह प्रमाणीकरण के लिए प्राथमिक तरीका बन जाता है, जिससे भविष्य के OTP और उनसे जुड़ी कमज़ोरियों की आवश्यकता समाप्त हो जाती है। उदाहरण के लिए, डीबीएस बैंक डिजिटल टोकन के शुरुआती सेटअप के दौरान SMS और ईमेल OTP के संयोजन का उपयोग करता है, जिसके बाद चल रहा प्रमाणीकरण केवल टोकन पर निर्भर करता है।
3. समय-आधारित या क्रिप्टोग्राफ़िक सुरक्षा: डिजिटल टोकन प्रमाणीकरण कोड उत्पन्न करने के लिए मज़बूत क्रिप्टोग्राफ़िक एल्गोरिदम या समय-आधारित एल्गोरिदम (TOTP) का उपयोग करते हैं, यह सुनिश्चित करते हुए कि यदि डिवाइस और प्रमाणीकरण सर्वर के बीच संचार को इंटरसेप्ट भी कर लिया जाता है, तो कोड को आसानी से डिक्रिप्ट या जाली नहीं बनाया जा सकता है।

3.3 केस स्टडी: डीबीएस बैंक का कार्यान्वयन#

डीबीएस बैंक, सिंगापुर का एक प्रमुख वित्तीय संस्थान, ने अपने ग्राहकों के लिए सुरक्षा बढ़ाने के लिए डिजिटल टोकन को सफलतापूर्वक लागू किया है। बैंक मांगता है

• कुछ ऐसा जो यूज़र जानता है: पिन
• कुछ ऐसा जो यूज़र के पास है: SMS OTP (फ़ोन नंबर को सौंपे गए फ़ोन तक पहुँच)
• कुछ ऐसा जो यूज़र के पास है: ईमेल OTP (खाते को सौंपे गए ईमेल तक पहुँच)

एक ग्राहक के मोबाइल डिवाइस पर डिजिटल टोकन सेट करने के लिए। एक बार सेट हो जाने के बाद, डिजिटल टोकन लॉगिन और लेनदेन को प्रमाणित करने का एकमात्र तरीका बन जाता है, जो OTP को लक्षित करने वाले फ़िशिंग हमलों के जोखिम को प्रभावी ढंग से कम करता है।

यदि कनेक्ट किया गया ईमेल पता अप-टू-डेट नहीं है और कोई भौतिक टोकन उपलब्ध नहीं है, तो यूज़र फ़ॉलबैक विकल्पों के साथ डिजिटल टोकन सेट कर सकता है:

फ़ॉलबैक विकल्पों में सिंगपास के साथ डिजिटल पहचान का उपयोग, ग्राहक के पास की शाखा में वीडियो टेलर मशीन (VTM) का उपयोग करना या 3-5 दिनों के भीतर भौतिक रूप से मेल किए जाने वाले पंजीकरण कोड का अनुरोध करना शामिल है।

3.4 OTP की तुलना में डिजिटल टोकन के फायदे#

OTP से डिजिटल टोकन की ओर बढ़ना पारंपरिक प्रमाणीकरण विधियों से जुड़ी कई कमज़ोरियों को दूर करता है:

• आंशिक फ़िशिंग प्रतिरोध: चूँकि डिजिटल टोकन सीधे यूज़र के डिवाइस पर उत्पन्न और उपयोग किए जाते हैं, इसलिए फ़िशिंग के माध्यम से इंटरसेप्शन का कोई जोखिम नहीं होता है। भले ही कोई स्कैमर किसी यूज़र को लॉगिन विवरण प्रदान करने के लिए धोखा दे, वे डिवाइस तक भौतिक पहुँच के बिना आवश्यक प्रमाणीकरण कोड उत्पन्न नहीं कर सकते हैं।
• कम हुआ अटैक सरफेस: प्रमाणीकरण कोड के लिए ट्रांसमिशन चैनल के रूप में SMS और ईमेल की आवश्यकता को समाप्त करके, डिजिटल टोकन उस अटैक सरफेस को कम करते हैं जिसका स्कैमर्स शोषण कर सकते हैं।
• यूज़र की सुविधा: हालाँकि शुरुआती सेटअप में अतिरिक्त चरणों की आवश्यकता हो सकती है, लेकिन डिजिटल टोकन का निरंतर उपयोग यूज़र्स के लिए सहज और सुविधाजनक है। उन्हें अब SMS या ईमेल के माध्यम से OTP आने का इंतज़ार करने की ज़रूरत नहीं है, जिसमें कभी-कभी देरी हो सकती है या वह ब्लॉक हो सकता है।

3.5 फ़िशिंग के लिए अधूरा समाधान#

हालांकि फ़िशिंग में आंशिक रूप से सुधार हुआ है, लेकिन अब नया जोखिम यह है कि ग्राहक MFA फटीग अटैक का शिकार हो जाएँगे क्योंकि वे लगातार डिजिटल टोकन प्रमाणीकरण अनुरोधों के आदी हो जाते हैं, जिसका एक हमलावर फ़ायदा उठा सकता है और फ़िशिंग पेज से ऐसा अनुरोध भेज सकता है।

यही कारण है कि बड़ी तकनीकी कंपनियाँ (जैसे गूगल और माइक्रोसॉफ्ट) जिन्होंने बहुत सारे उल्लंघनों का अनुभव किया है, उन्होंने ग्राहकों की सुरक्षा के लिए उन पुश नोटिफ़िकेशन में चुनौतियाँ पेश करना शुरू कर दिया है, उदाहरण के लिए सही नंबर चुनना।

डिजिटल टोकन डिजिटल बैंकिंग परिदृश्य में प्रमाणीकरण के लिए एक अधिक सुरक्षित तरीका प्रदान करते हैं लेकिन फ़िशिंग जोखिम को पूरी तरह से समाप्त नहीं करते हैं। एक हमलावर अभी भी पीड़ित को डिजिटल टोकन अनुरोधों की पुष्टि करने के लिए मना कर उसकी पहुँच को प्रमाणित करने के लिए धोखा दे सकता है। डीबीएस बैंक के कार्यान्वयन ने जो दिखाया है वह यह है कि मौजूदा कारकों को मिलाकर ग्राहकों को आसानी से प्रमाणीकरण के दूसरे रूप में नामांकित करना संभव है। सवाल यह है कि उस समय, MAS और डीबीएस बैंक पासकीज़ क्यों नहीं पेश करते हैं? आइए इस पर नज़र डालें।

4. सिंगापुर बैंकिंग के लिए पासकीज़#

जैसा कि हमने देखा है, डिजिटल टोकन पारंपरिक SMS OTP की तुलना में डिजिटल बैंकिंग लेनदेन को सुरक्षित करने में एक कदम आगे का प्रतिनिधित्व करते हैं। हालाँकि, जबकि डिजिटल टोकन उन्नत सुरक्षा सुविधाएँ प्रदान करते हैं, वे पूरी तरह से फ़िशिंग-प्रतिरोधी नहीं हैं। एक हमलावर अभी भी पीड़ित को डिजिटल टोकन संकेतों की पुष्टि करने के लिए मना कर एक धोखाधड़ी वाले अनुरोध को प्रमाणित करने के लिए धोखा दे सकता है। यह चल रही कमज़ोरी यह बताती है कि डिजिटल टोकन, हालांकि एक सुधार है, ऑनलाइन बैंकिंग को सुरक्षित करने की दिशा में एक पर्याप्त साहसिक कदम नहीं है।

4.1 पासकीज़ डिजिटल टोकन से ज़्यादा सुरक्षित हैं#

पासकीज़ वास्तव में फ़िशिंग-प्रतिरोधी प्रमाणीकरण विधि प्रदान करते हैं। डिजिटल टोकन के विपरीत, पासकीज़ स्वाभाविक रूप से फ़िशिंग हमलों के प्रतिरोधी होते हैं क्योंकि उनका उपयोग केवल सही वेबसाइट या एप्लिकेशन पर ही किया जा सकता है। यह सुनिश्चित करता है कि यूज़र्स को किसी धोखाधड़ी वाली साइट पर अपने क्रेडेंशियल दर्ज करने के लिए धोखा नहीं दिया जा सकता है। पासकीज़ पब्लिक-प्राइवेट की क्रिप्टोग्राफ़ी पर निर्भर करते हैं, जहाँ प्राइवेट की यूज़र के डिवाइस पर सुरक्षित रूप से संग्रहीत होती है और संलग्न ऑपरेटिंग सिस्टम क्लाउड में सुरक्षित रूप से एन्क्रिप्ट की जाती है। पब्लिक की को प्रमाणीकरण सेवा के साथ साझा किया जाता है।

यहाँ बताया गया है कि पासकीज़ सुरक्षा कैसे बढ़ाते हैं:

1. फ़िशिंग प्रतिरोध: पासकीज़ नकली वेबसाइटों पर प्रमाणीकरण विवरण दर्ज करने के जोखिम को समाप्त करते हैं। चूँकि प्रमाणीकरण प्रक्रिया केवल उस वैध साइट पर आगे बढ़ सकती है जिसने चुनौती जारी की है, फ़िशिंग प्रयास अप्रभावी हो जाते हैं। किसी गलत पेज पर पासकी का उपयोग करना तकनीकी रूप से असंभव है और एक औसत उपभोक्ता के लिए किसी विदेशी पार्टी को पासकी निर्यात करना भी असंभव है।
2. मल्टी-डिवाइस सपोर्ट: डिजिटल टोकन के विपरीत, जो अक्सर एक ही डिवाइस से बंधे होते हैं, पासकीज़ को एक ही क्लाउड या पासवर्ड मैनेजर के भीतर प्रमाणित उपकरणों में एक सुरक्षित तरीके से सिंक्रनाइज़ किया जा सकता है। यह उन यूज़र्स के लिए लचीलापन और सुविधा प्रदान करता है जो विभिन्न उपकरणों से अपनी बैंकिंग सेवाओं तक पहुँचते हैं।
3. मजबूत डिवाइस सुरक्षा: पासकीज़ के लिए आवश्यक है कि मोबाइल फ़ोन इकोसिस्टम (जैसे iOS या Android) के भीतर 2FA सक्रिय हो। सुरक्षा की यह अतिरिक्त परत सुनिश्चित करती है कि यदि कोई डिवाइस कॉम्प्रोमाइज़ हो भी जाता है, तो हमलावर को पासकीज़ तक पहुँच प्राप्त करने के लिए डिवाइस के 2FA को बायपास करना होगा। हमने पासकीज़ पर SCA/PSD2 विवरणों की व्याख्या करते समय पहले ही विवरणों पर विस्तार से बताया है और बताया है कि बैंकिंग के लिए सिंक की गई पासकीज़ का उपयोग क्यों किया जा सकता है।

4.2 पासकीज़ का मामला: ऑस्ट्रेलिया एक रोल मॉडल के रूप में#

ऑस्ट्रेलिया ने अपने एसेंशियल एट स्टैंडर्ड में फ़िशिंग-प्रतिरोधी प्रमाणीकरण के महत्व को पहचाना है, जो साइबर सुरक्षा के लिए सर्वोत्तम प्रथाओं की रूपरेखा तैयार करता है। मानक विशेष रूप से तकनीकी आवश्यकताओं की आवश्यकता का उल्लेख करता है जो फ़िशिंग जोखिमों को कम करते हैं, जिससे ऑस्ट्रेलिया एशिया-प्रशांत क्षेत्र में साइबर सुरक्षा में एक लीडर के रूप में स्थापित हुआ है। सिंगापुर को, अपने उन्नत डिजिटल इंफ्रास्ट्रक्चर के साथ, अपने मानक और उद्यमों के लिए सिफ़ारिशों में पासकीज़ को एकीकृत करके ऑस्ट्रेलिया के नेतृत्व का पालन करना चाहिए। यह न केवल सुरक्षा को मज़बूत करेगा बल्कि सिंगापुर को डिजिटल सुरक्षा में वैश्विक सर्वोत्तम प्रथाओं के साथ संरेखित भी करेगा।

4.3 नियामक कार्रवाई का आह्वान#

बैंकिंग उद्योग स्पष्ट नियामक मार्गदर्शन की प्रतीक्षा कर रहा है जो बैंकिंग में सिंक्रनाइज़्ड पासकीज़ के उपयोग की स्पष्ट रूप से अनुमति देगा। इस तरह का कदम बैंकों को इस उन्नत तकनीक को अपनाने और अपने ग्राहकों को वास्तव में सुरक्षित और सुविधाजनक प्रमाणीकरण विधि प्रदान करने का विश्वास देगा। सिंगापुर के मौद्रिक प्राधिकरण (MAS) के पास पासकीज़ के उपयोग का समर्थन करके डिजिटल बैंकिंग सुरक्षा में एक नया मानक स्थापित करने का अवसर है। ऐसा करके, MAS अत्याधुनिक सुरक्षा उपायों को आगे बढ़ाने की अपनी प्रतिबद्धता का संकेत देगा, यह सुनिश्चित करते हुए कि सिंगापुर डिजिटल बैंकिंग नवाचार में सबसे आगे बना रहे।

5. सिंगापुर के बैंकों के लिए सिफ़ारिशें#

यूज़र्स को अधिक सुरक्षित डिजिटल टोकन में बदलना सिंगापुर में ऑनलाइन बैंकिंग सुरक्षा को बढ़ाने की दिशा में एक महत्वपूर्ण कदम है। हालाँकि, आगे देखते हुए, बैंकों के लिए पासकीज़ को अपनाना शुरू करना ज़रूरी है, जो वेब प्रमाणीकरण के लिए वास्तविक मानक बन जाएँगे। यहाँ सिंगापुर के बैंकों के लिए अपने सुरक्षा इंफ्रास्ट्रक्चर को भविष्य के लिए तैयार करने के लिए कुछ प्रमुख सिफ़ारिशें दी गई हैं:

1. पासकीज़ को जल्दी इकट्ठा करना शुरू करें: डिजिटल टोकन में संक्रमण के दौरान, बैंकों को यूज़र्स से पासकीज़ इकट्ठा करने की प्रक्रिया भी शुरू कर देनी चाहिए। यह सक्रिय दृष्टिकोण बैंकों को एक सहज संक्रमण के लिए तैयार करेगा जब पासकीज़ व्यापक रूप से स्वीकार और अपनाए जाएँगे। वर्तमान ऑनबोर्डिंग और प्रमाणीकरण प्रक्रियाओं में पासकी संग्रह को एकीकृत करके, बैंक धीरे-धीरे पासकीज़ का एक सुरक्षित डेटाबेस बना सकते हैं।
2. पिन को पासकीज़ से बदलें: पासकीज़ को अपनाने की दिशा में एक व्यावहारिक और तत्काल कदम पारंपरिक पिन को पासकीज़ से बदलना है। पासकीज़ पिन का एक अधिक सुरक्षित और सुविधाजनक विकल्प प्रदान करते हैं, जो पब्लिक-प्राइवेट की क्रिप्टोग्राफ़ी का लाभ उठाते हैं। प्रमाणीकरण की प्राथमिक विधि के रूप में पासकीज़ को लागू करके, बैंक एक सहज यूज़र अनुभव प्रदान करते हुए सुरक्षा बढ़ा सकते हैं।
3. पासकीज़ को पहले फैक्टर या अतिरिक्त जोखिम उपाय के रूप में नियोजित करें: पासकीज़ का उपयोग प्रमाणीकरण के पहले फैक्टर के रूप में या मल्टी-फैक्टर ऑथेंटिकेशन (MFA) सेटअप में एक अतिरिक्त जोखिम उपाय के रूप में किया जा सकता है। प्रमाणीकरण प्रक्रिया में पासकीज़ को शामिल करने से सुरक्षा की एक अतिरिक्त परत मिलेगी, जिससे हमलावरों के लिए यूज़र खातों से छेड़छाड़ करना काफ़ी कठिन हो जाएगा। बैंक पासकीज़ को एक वैकल्पिक सुरक्षा सुविधा के रूप में पेश करके शुरुआत कर सकते हैं और धीरे-धीरे उन्हें प्रमाणीकरण प्रक्रिया का एक मानक हिस्सा बना सकते हैं।
4. ग्राहकों को पासकीज़ के बारे में शिक्षित करें: पासकीज़ के सफल कार्यान्वयन के लिए ग्राहक जागरूकता और स्वीकृति की आवश्यकता होती है। बैंकों को ग्राहकों को पासकीज़ के लाभों और सुरक्षा सुविधाओं के बारे में सूचित करने के लिए शैक्षिक अभियानों में निवेश करना चाहिए। पासकीज़ कैसे काम करते हैं और फ़िशिंग हमलों से बचाने में उनकी भूमिका के बारे में स्पष्ट संचार अधिक ग्राहकों को इस तकनीक को अपनाने के लिए प्रोत्साहित करेगा।
5. नियामकों और उद्योग के साथियों के साथ सहयोग करें: बैंकों को पासकी कार्यान्वयन के लिए मानकीकृत दिशानिर्देश स्थापित करने के लिए सिंगापुर के मौद्रिक प्राधिकरण (MAS) जैसे नियामक निकायों और उद्योग के साथियों के साथ सक्रिय रूप से सहयोग करना चाहिए। संयुक्त प्रयास बैंकिंग क्षेत्र में एक सुसंगत और सुरक्षित दृष्टिकोण सुनिश्चित करेंगे, जिससे सिंगापुर में समग्र डिजिटल बैंकिंग सुरक्षा बढ़ेगी।
6. इंफ्रास्ट्रक्चर और सपोर्ट सिस्टम में निवेश करें: पासकीज़ को लागू करने के लिए मज़बूत इंफ्रास्ट्रक्चर और सपोर्ट सिस्टम की आवश्यकता होती है। बैंकों को पासकी प्रमाणीकरण का समर्थन करने के लिए आवश्यक तकनीक और संसाधनों में निवेश करना चाहिए, जिसमें सुरक्षित की प्रबंधन प्रणाली और मौजूदा प्रमाणीकरण ढाँचों के साथ एकीकरण शामिल है। व्यापक रूप से अपनाने के लिए एक सहज और सुरक्षित यूज़र अनुभव सुनिश्चित करना महत्वपूर्ण होगा।
7. उभरते खतरों की निगरानी करें और उनके अनुसार अनुकूलन करें: नियमित रूप से खतरे के परिदृश्य की निगरानी करना और तदनुसार सुरक्षा उपायों को अपडेट करना बैंकों को संभावित जोखिमों से आगे रहने में मदद करेगा। पासकीज़, चल रहे सुरक्षा संवर्द्धन के साथ मिलकर, उभरती हुई फ़िशिंग और धोखाधड़ी की रणनीति के खिलाफ़ एक लचीला बचाव प्रदान करेंगे।

इन सिफ़ारिशों का पालन करते हुए, सिंगापुर बैंकिंग उद्योग में प्रमाणीकरण की सुरक्षा और भी बढ़ सकती है और सेफ ऐप स्टैंडर्ड जैसे अनुपालन ढाँचों और मानकों में भी उनका एकीकरण हो सकता है, जिसमें वर्तमान में प्रमाणीकरण तकनीक के रूप में पासकीज़ का उल्लेख नहीं है।

6. निष्कर्ष#

संक्षेप में, सिंगापुर के मौद्रिक प्राधिकरण (MAS) की SMS OTP को चरणबद्ध तरीके से हटाने और डिजिटल टोकन में संक्रमण की घोषणा डिजिटल बैंकिंग सुरक्षा को मज़बूत करने में एक महत्वपूर्ण कदम है। यह कदम फ़िशिंग घोटालों के बढ़ते खतरे को संबोधित करता है, जिसने उपभोक्ताओं और बैंकिंग क्षेत्र को काफ़ी प्रभावित किया है।

• OTP क्यों बंद करें: MAS, फ़िशिंग और इंटरसेप्शन के प्रति उनकी संवेदनशीलता के कारण OTP को बंद करने को प्राथमिकता देता है। स्कैमर्स ने SMS OTP की कमज़ोरियों का फ़ायदा उठाया है, जिससे अधिक सुरक्षित प्रमाणीकरण विधियों की आवश्यकता महसूस हुई है।
• डिजिटल टोकन क्या हैं: डिजिटल टोकन डिवाइस-बाउंड होने और मज़बूत क्रिप्टोग्राफ़िक एल्गोरिदम का उपयोग करके उन्नत सुरक्षा प्रदान करते हैं। यह उन्हें पारंपरिक OTP की तुलना में फ़िशिंग हमलों के प्रति अधिक लचीला बनाता है। वे सुविधा भी प्रदान करते हैं और SMS या ईमेल-आधारित प्रमाणीकरण कोड की आवश्यकता को समाप्त करके अटैक सरफेस को कम करते हैं।
• क्या पासकीज़ सिंगापुर बैंकिंग की मदद कर सकते हैं: पासकीज़ एक बेहतर विकल्प के रूप में उभरते हैं, जो मज़बूत, फ़िशिंग-प्रतिरोधी प्रमाणीकरण प्रदान करते हैं। पब्लिक-प्राइवेट की क्रिप्टोग्राफ़ी का उपयोग करके, पासकीज़ यह सुनिश्चित करते हैं कि प्रमाणीकरण केवल वैध साइटों पर ही हो सकता है, जिससे फ़िशिंग जोखिम काफ़ी कम हो जाते हैं। उनका मल्टी-डिवाइस सपोर्ट और मज़बूत डिवाइस सुरक्षा उनके आकर्षण को और बढ़ाती है।

जैसे ही हमने डिजिटल टोकन के फायदों का पता लगाया, हमने फ़िशिंग जोखिमों को पूरी तरह से खत्म करने में उनकी सीमाओं पर भी ध्यान दिया। दूसरी ओर, पासकीज़ एक व्यापक समाधान प्रदान करते हैं, जो डिजिटल सुरक्षा में अंतरराष्ट्रीय सर्वोत्तम प्रथाओं के अनुरूप है। जबकि डिजिटल टोकन में संक्रमण एक कदम आगे है, अंतिम लक्ष्य डिजिटल बैंकिंग प्रमाणीकरण के लिए भविष्य के मानक के रूप में पासकीज़ को अपनाना होना चाहिए।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →