पासकी बनाम 2FA: कौन सा आपके क्रिप्टो को बेहतर तरीके से सुरक्षित रखता है?

एक ऐसे डेटा लीक में आपका पासवर्ड लीक हो जाता है जिसके बारे में आपको कभी पता भी नहीं चलता। कुछ हफ़्ते बाद कोई आपके क्रिप्टो एक्सचेंज पर उसी पासवर्ड से हमला करने की कोशिश करता है, और आपके बैलेंस तक पहुँचने के लिए एकमात्र बाधा आपके फ़ोन पर भेजा गया छह अंकों का कोड होता है। यह कोड सुरक्षा कवच माना जाता था। सालों तक यह काफ़ी कारगर साबित हुआ। पासकी बनाम 2FA (दो-कारक प्रमाणीकरण) की बहस इस बात पर है कि क्या वह सुरक्षा कवच अब भी भरोसेमंद है, और इसका ईमानदार जवाब उन सभी के लिए सबसे ज़्यादा मायने रखता है जिनके पास केवल एक ही दिशा में निवेश होने वाला पैसा है। यह गाइड दोनों तरीकों को सरल शब्दों में समझाती है, उनकी आमने-सामने तुलना करती है, और यह दिखाती है कि खातों को खाली करने वाला हमला पारंपरिक दो-कारक प्रमाणीकरण के सामने टिक नहीं पाता।

टू-फैक्टर ऑथेंटिकेशन (2FA) क्या है?

दो-कारक प्रमाणीकरण (जिसे कभी-कभी 2 फैक्टर भी लिखा जाता है) आपके पासवर्ड के साथ जोड़ा गया एक दूसरा सुरक्षा कवच है, और इसका मूल विचार इतना सरल है कि अधिकांश लोग बिना सोचे-समझे इसका उपयोग करते हैं। यदि कोई पहला सुरक्षा कवच चुरा भी लेता है, तो भी उसे अंदर जाने के लिए दूसरे सुरक्षा कवच की आवश्यकता होगी। सुरक्षा विशेषज्ञ इन सुरक्षा कवच कारकों को मोटे तौर पर तीन श्रेणियों में बांटते हैं: एक ऐसी चीज़ जिसे आप जानते हैं, जैसे पासवर्ड या पिन; एक ऐसी चीज़ जो आपके पास है, जैसे आपका फ़ोन या हार्डवेयर टोकन; और एक ऐसी चीज़ जो आपकी पहचान है, जैसे उंगलियों के निशान या चेहरे का स्कैन। 2FA सेटअप इन तीनों में से किन्हीं दो को मिलाकर बनाया जाता है।

असल बात यह है कि सभी सेकेंडरी फैक्टर एक जैसे नहीं होते, और "2FA ऑन" टॉगल इस बात को छुपा देता है। एसएमएस कोड सबसे कमजोर विकल्प है, जबकि गूगल ऑथेंटिकेटर जैसे ऑथेंटिकेटर ऐप से मिलने वाला कोड, जो आमतौर पर हर 30 सेकंड में रिन्यू होने वाला TOTP होता है, काफी मजबूत होता है, और फिजिकल सिक्योरिटी की उससे भी ज्यादा मजबूत होती है। माइक्रोसॉफ्ट का कहना है कि MFA चालू करने से लगभग 99.9% ऑटोमेटेड अकाउंट अटैक ब्लॉक हो जाते हैं, जिससे पता चलता है कि यह सिस्टम बल्क और आसान हमलों के खिलाफ अच्छा काम करता है। इस पूरे लेख का मुख्य सवाल यही है कि अगर हमलावर का इरादा आसान न हो तो क्या होगा।

यहां बताया गया है कि सामान्य द्वितीय कारक किस प्रकार से कार्य करते हैं।

सबसे महत्वपूर्ण अंतर सबसे नीचे वाली पंक्ति में है। एसएमएस कोड, ऐप कोड और पुश नोटिफिकेशन में एक ही कमजोरी है, और वो ये कि किसी व्यक्ति को गलत साइट पर इन्हें भरने के लिए बहकाया जा सकता है, जबकि हार्डवेयर सुरक्षा कुंजी को बहकाने से कोई फर्क नहीं पड़ता। पासकी भी इसी विशेषता पर आधारित है, इसलिए असली अंतर पासवर्ड और दूसरे सुरक्षा कारक के बीच नहीं, बल्कि फ़िशिंग के लिए असुरक्षित कारकों और फ़िशिंग से सुरक्षित कारकों के बीच है।

पासकी क्या है और पासकी कैसे काम करती है?

पासकी कोई बेहतर कोड नहीं है; यह क्रिप्टोग्राफिक कुंजियों का एक जोड़ा है, और इस जोड़े को समझना ही असल बात है। जब आप किसी वेबसाइट या ऐप के लिए पासकी बनाते हैं, तो आपका डिवाइस चुपचाप दो जुड़े हुए मान, एक सार्वजनिक कुंजी और एक निजी कुंजी, उत्पन्न करता है। इसके लिए यह FIDO2 और WebAuthn मानकों का उपयोग करता है, जिन्हें Apple, Google और Microsoft ने पासवर्ड रहित प्रमाणीकरण के आधार के रूप में अपने सिस्टम में शामिल किया है।

पासकी का चलन तेजी से बढ़ा है। FIDO Alliance की रिपोर्ट के अनुसार, मई 2026 तक लगभग 5 अरब पासकी सक्रिय रूप से उपयोग में थीं, जिनमें से 75% उपभोक्ताओं ने कम से कम एक खाते पर इसे सक्षम किया हुआ था। यह अब कोई विशिष्ट सुविधा नहीं रह गई है।

सार्वजनिक और निजी कुंजी का आपसी समझौता

पासकी को सुरक्षित रखने के लिए दोनों कुंजियों के बीच का विभाजन ही महत्वपूर्ण है। सार्वजनिक कुंजी को उस ताले की तरह समझें जिसकी एक प्रति वेबसाइट के पास सुरक्षित रहती है, और निजी कुंजी को उस ताले को खोलने वाली एकमात्र चीज़ समझें, जो आपके फ़ोन के अंदर सील बंद है। जब आप लॉग इन करते हैं, तो साइट आपके डिवाइस को हस्ताक्षर करने के लिए एक बार का पहेली कोड देती है। आपका डिवाइस निजी कुंजी से उस पहेली कोड को हल करता है, उत्तर वापस भेजता है, सर्वर उसकी तुलना अपने पास मौजूद सार्वजनिक कुंजी से करता है, और आप लॉग इन कर लेते हैं। कोई भी गुप्त जानकारी नेटवर्क पर प्रसारित नहीं होती, इसलिए अगर कोई जासूसी कर रहा है तो उसके पास चुराने और बाद में उसका उपयोग करने के लिए कुछ भी नहीं होता।

बायोमेट्रिक जांच या आपके डिवाइस का पिन स्थानीय स्तर पर निजी कुंजी को अनलॉक करता है ताकि हस्ताक्षर किए जा सकें। फिंगरप्रिंट कभी भी सर्वर तक नहीं पहुंचता। इसकी तुलना पासवर्ड से करें, जिसे आप हर बार लॉग इन करते समय पूरी तरह से देते हैं - इस भरोसे के साथ कि सामने वाला व्यक्ति इसे सुरक्षित रखेगा।

आपके पासकी कहाँ संग्रहीत हैं: सिंक्रनाइज़्ड बनाम डिवाइस-बाउंड

पासकी दो प्रकार की होती हैं। सिंक्रोनाइज़्ड पासकी पासवर्ड मैनेजर या प्लेटफ़ॉर्म कीचेन (Apple, Google, 1Password या Bitwarden जैसे टूल) में रहती हैं और सभी डिवाइसों पर आपके साथ रहती हैं। डिवाइस-बाउंड पासकी, जिनमें हार्डवेयर सुरक्षा कुंजी भी शामिल हैं, कभी भी उस हार्डवेयर से अलग नहीं होतीं जिससे वे बनी हैं। सिंक्रोनाइज़्ड पासकी अधिक सुविधाजनक होती हैं और फ़ोन खो जाने पर भी सुरक्षित रहती हैं; डिवाइस-बाउंड कुंजी सबसे मजबूत भौतिक सुरक्षा प्रदान करती हैं क्योंकि क्रिप्टोग्राफ़िक कुंजी एक ऐसी वस्तु से जुड़ी होती हैं जिसे आप दराज में बंद करके रख सकते हैं।

पासकी बनाम 2FA: मुख्य अंतर

दोनों के बीच अंतर को समझने का सबसे आसान तरीका यह है: 2FA पासवर्ड में एक अतिरिक्त चरण जोड़ता है, जबकि पासकी पासवर्ड को पूरी तरह से बदल देती है। एक बार जब आप इसे इस तरह समझ लेंगे, तो बाकी बात स्पष्ट हो जाएगी। 2FA अभी भी एक ज्ञात गुप्त जानकारी पर निर्भर करता है जो लीक हो सकती है। पासकी में लीक होने के लिए कोई साझा गुप्त जानकारी होती ही नहीं है।

उस एक बदलाव का असर हर चीज़ पर पड़ता है, फ़िशिंग हमलों से बचाव से लेकर लॉगिन की गति तक। पासकी लागू करने वाले सेवा प्रदाता बताते हैं कि पासवर्ड और एसएमएस कोड के इस्तेमाल की तुलना में साइन-इन कहीं ज़्यादा तेज़ और सफल होते हैं, क्योंकि इसमें न तो कुछ टाइप करना होता है और न ही किसी चीज़ का इंतज़ार करना पड़ता है। नीचे दी गई तालिका में मुख्य अंतर बताए गए हैं।

क्या पासकी स्वयं 2FA या MFA का एक रूप है?

यहीं पर वह सूक्ष्म अंतर है जो लोगों को भ्रमित कर देता है। जब आप पासकी अनलॉक करते हैं, तो एक ही क्षण में दो जाँचें होती हैं। आप यह साबित करते हैं कि आपके पास वह डिवाइस है जिसमें निजी कुंजी संग्रहीत है, और फिंगरप्रिंट या चेहरे का स्कैन यह साबित करता है कि डिवाइस वास्तव में आपके हाथों में है। एक ही टैप में दो कारक, जो पासकी को अपने आप में बहु-कारक सुरक्षा बना देता है। इसके ऊपर पारंपरिक 2FA को जोड़ने से आप वास्तव में एक दूसरी जाँच जोड़ रहे हैं, न कि दूसरी सुरक्षा दीवार।

यही कारण है कि अमेरिकी साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी केवल FIDO2/WebAuthn और PKI स्मार्टकार्ड को ही वास्तव में फ़िशिंग-प्रतिरोधी मल्टीफ़ैक्टर सुरक्षा मानती है। पासकी किसी दूसरे कारक की कमज़ोर कड़ी नहीं है; यह डिज़ाइन से ही मल्टीफ़ैक्टर है, जिसे एक ही चरण में समाहित किया गया है।

फ़िशिंग से 2FA क्यों टूट जाता है लेकिन पासकीज़ नहीं?

फ़िशिंग ही वह हमला है जो इस पूरे विवाद का फैसला करता है। वेरिजॉन की 2025 डेटा ब्रीच इन्वेस्टिगेशन रिपोर्ट में पाया गया कि 22% ब्रीच के पीछे चोरी किए गए क्रेडेंशियल्स थे और 16% के पीछे फ़िशिंग थी, इसलिए ये कोई असामान्य तरीके नहीं हैं बल्कि घुसपैठियों के लिए सबसे आम रास्ता हैं।

एक आम जाल की कल्पना कीजिए। एक ईमेल आपको चेतावनी देता है कि आपका खाता लॉक हो गया है, आप एक ऐसे पेज पर क्लिक करते हैं जो बिल्कुल आपके एक्सचेंज जैसा दिखता है, और आप ईमानदारी से अपना पासवर्ड और अपने ऑथेंटिकेटर ऐप से छह अंकों का कोड टाइप करते हैं। असली साइट पर वह कोड ठीक होता। हमलावर की कॉपी पर, वे उसे हासिल कर लेते हैं और कुछ ही सेकंड में असली लॉगिन के खिलाफ उसका इस्तेमाल करते हैं, और जिस दूसरे फैक्टर पर आपने भरोसा किया था, वह उन्हें सीधे अंदर आने का रास्ता दे देता है। यही वह हिस्सा है जिसे लोग कम आंकते हैं। 2FA में भी एक इंसान को कुछ देना पड़ता है, और एक इंसान को लगभग किसी भी बात के लिए राजी किया जा सकता है। पासकी कुछ भी नहीं देती। प्राइवेट की को टाइप नहीं किया जा सकता, जोर से पढ़ा नहीं जा सकता, या किसी नकली फॉर्म में पेस्ट नहीं किया जा सकता, और यह केवल उसी डोमेन पर काम करती है जहां आपने इसे बनाया था, इसलिए नकली पेज के पास इकट्ठा करने या इस्तेमाल करने के लिए कुछ भी नहीं होता।

सिम स्वैपिंग और एसएमएस कोड की समस्या

एसएमएस, 2FA की सबसे बड़ी कमजोरी है। सिम स्वैप में, हमलावर आपके कैरियर को मनाकर आपका नंबर अपने फोन पर ट्रांसफर करवा लेता है, और आपके लिए भेजे गए सभी कोड सीधे उनकी स्क्रीन पर दिखाई देते हैं। एफबीआई के इंटरनेट क्राइम कंप्लेंट सेंटर ने अपनी 2024 की रिपोर्ट में 982 सिम स्वैप की शिकायतें दर्ज कीं, जिनमें लगभग 26 मिलियन डॉलर का नुकसान हुआ, और ये तो सिर्फ वे मामले हैं जिनकी रिपोर्ट लोगों ने दर्ज कराई। पुराने एसएस7 टेलीकॉम प्रोटोकॉल की खामियों के कारण एसएमएस संदेशों को सीधे इंटरसेप्ट भी किया जा सकता है, जिससे एक कड़वी सच्चाई सामने आती है कि फोन नेटवर्क पर भेजा गया कोई भी कोड ऐसा होता है जिसे कोई और चुपके से रीडायरेक्ट कर सकता है।

ओटीपी फ़िशिंग और एमएफए थकान

यहां तक कि प्रमाणीकरण ऐप भी सुरक्षित नहीं है, क्योंकि हमलावर वास्तविक लॉगिन और आपके बीच रियल-टाइम रिले साइटें चलाते हैं, जो आपके TOTP को कैप्चर करके उसे 30 सेकंड के भीतर ही दोबारा दिखा देते हैं। पुश-आधारित 2FA की अपनी एक खामी है जिसे MFA थकान कहा जाता है, जिसमें हमलावर अनुमोदन के लिए बार-बार संदेश भेजते हैं जब तक कि थका हुआ उपयोगकर्ता अंत में अनुमोदन बटन को दबाकर संदेश को बंद न कर दे। पासकी पर इनमें से कोई भी चाल काम नहीं करती, क्योंकि इसमें इंटरसेप्ट करने के लिए कोई कोड ही नहीं होता और न ही कोई ऐसा संदेश होता है जिसे गलती से अनुमोदित किया जा सके।

क्रिप्टो एक्सचेंजों और वॉलेट पर पासकी का उपयोग करें

यहीं पर पासकी और 2FA की तुलना सैद्धांतिक नहीं रह जाती, और यहीं पर अधिकांश सामान्य गाइड चुप हो जाते हैं। एक बैंक धोखाधड़ी से किए गए भुगतान को रद्द कर सकता है। ब्लॉकचेन ऐसा नहीं कर सकता। जब कोई हमलावर सिम स्वैप करके आपके एक्सचेंज लॉगिन में प्रवेश करता है और आपका बैलेंस निकाल लेता है, तो वह लेनदेन अंतिम हो जाता है। 2025 की FBI इंटरनेट अपराध रिपोर्ट में कुल 20.9 बिलियन डॉलर के नुकसान का अनुमान लगाया गया था, जिसमें से लगभग 11.4 बिलियन डॉलर क्रिप्टो धोखाधड़ी से जुड़े थे, और खाता हैकिंग इस नुकसान का एक नियमित हिस्सा है।

कॉइनबेस, बाइनेंस और क्रैकन सहित प्रमुख एक्सचेंज अब आपको पासकी के साथ अपने लॉगिन को सुरक्षित रखने की सुविधा देते हैं। इसे चालू करने से एसएमएस कोड हट जाता है, जिसकी तलाश सिम-स्वैप करने वाले गिरोह करते हैं, और उसकी जगह एक ऐसी कुंजी आ जाती है जिसे हमलावर किसी दूसरे देश से फ़िशिंग के ज़रिए हासिल नहीं कर सकते।

एक बात को समझना बहुत ज़रूरी है, क्योंकि इसमें गलती करना आसान है। पासकी आपको एक्सचेंज पर अपने कस्टोडियल अकाउंट में लॉग इन करने का तरीका सुरक्षित करती है। यह आपके सेल्फ-कस्टडी वॉलेट की प्राइवेट की या सीड फ्रेज़ से अलग है और न ही यह उनका विकल्प है। अगर आपके पास अपने कॉइन हैं, तो सीड फ्रेज़ ही आपके फंड की मास्टर की है; पासकी एक्सचेंज के दरवाजे की सुरक्षा करती है, न कि आपके खुद के वॉल्ट की। इस बात को अच्छी तरह समझना ही असली अकाउंट सुरक्षा और झूठी सुरक्षा के बीच का अंतर है।

पासकी, एक्सचेंज द्वारा पहले से दिए गए नियंत्रणों के साथ अच्छी तरह से काम करती है। लॉगिन के लिए इसे चालू करें, फिर निकासी पते की अनुमति सूची जोड़ें ताकि किसी भी हैक किए गए सेशन से बिना प्रतीक्षा अवधि के किसी अज्ञात वॉलेट में धनराशि न भेजी जा सके। पासकी घुसपैठ को रोकती है; अनुमति सूची किसी भी अन्य चूक की स्थिति में नुकसान को सीमित करती है। पासकी और 2FA नियंत्रणों का एक साथ उपयोग करने से सुरक्षा अकेले किसी भी नियंत्रण की तुलना में कहीं अधिक बढ़ जाती है, और आपका खाता ऐसे कोड पर निर्भर नहीं रहता जिसे किसी अजनबी के फोन पर भेजा जा सकता है।

जब आपको अभी भी पारंपरिक 2FA की आवश्यकता हो

पासकी अभी हर जगह उपलब्ध नहीं हैं, और पासकी बनाम 2FA का चुनाव अक्सर इस बात पर निर्भर करता है कि कोई सेवा क्या सपोर्ट करती है, इसलिए शुरुआत में ही अपना दूसरा फैक्टर हटा न दें। FIDO Alliance के अनुमान के अनुसार, 2025 तक 15 अरब से अधिक खाते पासकी के लिए तैयार होंगे, लेकिन छोटी साइटों पर कवरेज अभी भी सीमित है, और आपकी कई भरोसेमंद सेवाएं अभी भी केवल पासवर्ड और कोड ही प्रदान करती हैं। ऐसे मामलों में, अपना 2FA रखें और इसका बेहतर संस्करण चुनें, जैसे SMS के बजाय एक ऑथेंटिकेटर ऐप। रिकवरी इसका दूसरा महत्वपूर्ण पहलू है। यदि आपका वह डिवाइस खो जाता है जिसमें डिवाइस-बाउंड पासकी है, तो बैकअप फैक्टर या सहेजे गए रिकवरी कोड का सेट ही आपको वापस लॉग इन करने में मदद करेगा। स्मार्ट सेटअप इन दोनों का उपयोग करता है, जहां पासकी उपलब्ध हैं वहां उनका उपयोग करता है, जहां पासकी उपलब्ध नहीं हैं वहां ऐप-आधारित 2FA का उपयोग करता है, और इन दोनों के अंतर्गत एक रिकवरी प्लान भी मौजूद रहता है।

एक महत्वपूर्ण बदलाव की लागत भी है। जब तक कोई साइट पासकी का समर्थन नहीं करती, तब तक आपको उसके सबसे मजबूत उपलब्ध विकल्प से ही काम चलाना पड़ता है, और कई सेवाओं के लिए इसका मतलब अभी भी एक साधारण प्रमाणीकरण ऐप ही होता है। इसे एक अस्थायी व्यवस्था के रूप में लें, न कि अंतिम लक्ष्य के रूप में, और अपने महत्वपूर्ण खातों की समय-समय पर जाँच करते रहें, क्योंकि पासकी का समर्थन लगातार बढ़ रहा है और हो सकता है कि जिस खाते को आप पिछली वसंत ऋतु में सुरक्षित नहीं कर पाए थे, वह अब इसे उपलब्ध करा दे।

2FA से पासकी पर कैसे स्विच करें

आगे बढ़ना एक सीढ़ी की तरह है, एक छलांग नहीं — और एकमात्र नियम यह है कि स्विच करते समय कभी भी अपने रिकवरी पाथ को डिलीट न करें। यहाँ एक व्यवस्थित क्रम दिया गया है:

1. कोड का उपयोग करने वाले सभी खातों पर एसएमएस के स्थान पर प्रमाणीकरण ऐप का उपयोग करें। इससे सिम स्वैप का खतरा पूरी तरह खत्म हो जाएगा।

2. जहां भी पासकी का विकल्प दिया गया हो, उसे जोड़ें, आमतौर पर यह खाता सुरक्षा या लॉगिन सेटिंग्स के अंतर्गत होता है।

3. आप जितनी भौतिक सुरक्षा चाहते हैं, उसके आधार पर पासकी को सिंक्रनाइज़्ड पासवर्ड मैनेजर में या हार्डवेयर सुरक्षा कुंजी पर स्टोर करें।

4. एक बैकअप प्रमाणीकरण विधि रखें और अपने रिकवरी कोड को कहीं ऑफ़लाइन सुरक्षित रखें।

5. पासकी से सफलतापूर्वक लॉग इन हो जाने के बाद ही एसएमएस को एक फैक्टर के रूप में हटाएं।

सबसे पहले उन खातों से शुरुआत करें जिनमें पैसे या पहचान से संबंधित जानकारी है: आपका ईमेल (पासवर्ड रीसेट करने की मुख्य कुंजी), आपका एक्सचेंज अकाउंट, आपका पासवर्ड मैनेजर। फिर धीरे-धीरे आगे बढ़ें। पूरी प्रक्रिया में एक दोपहर लग सकती है, और इसमें से अधिकांश समय पेज लोड होने के इंतजार में ही बीतता है।

अंतिम निर्णय: पासकी, 2FA, या दोनों?

पासकी बनाम 2FA की बहस में, खातों को खाली करने वाले हमलों में पासकी ही जीतती है। फ़िशिंग और सिम स्वैप जैसे हमले एसएमएस कोड और अक्सर ऐप कोड को भी आसानी से पार कर जाते हैं, लेकिन पासकी के सामने टिक नहीं पाते। जहां भी पासकी उपलब्ध हो, उसका उपयोग करें, इसे किसी भी क्रिप्टो एक्सचेंज पर डिफ़ॉल्ट के रूप में मानें, और ऐप-आधारित 2FA को उन सभी चीज़ों के लिए बैकअप के रूप में रखें जो अभी तक 2FA के अनुरूप नहीं हैं। असली सवाल यह नहीं है कि किस पर भरोसा किया जाए। असली सवाल यह है कि आप अपने सबसे महत्वपूर्ण खातों को कितनी जल्दी स्थानांतरित कर सकते हैं। आप सबसे पहले किस पर स्विच करेंगे?

Elisabeth McGowan

A freelance writer passionate about celebrities, net worth stories, athletes, and political figures. She transforms facts into engaging narratives. A true cheese lover and cycling enthusiast, she finds inspiration in motion and flavor.