YubiKey: क्रिप्टो और मल्टीफ़ैक्शन के लिए हार्डवेयर सुरक्षा कुंजी
उंगली से टैप करने वाली एक छोटी सी धातु की पट्टी ने वो कमाल कर दिखाया जो कोई पासवर्ड कभी नहीं कर पाया: इसने दुनिया की सबसे ज़्यादा हमलों का शिकार होने वाली कंपनियों में से एक में अकाउंट हैकिंग को रोक दिया। Google द्वारा 85,000 से ज़्यादा कर्मचारियों को YubiKey देने के बाद, फ़िशिंग का शिकार हुए कर्मचारियों के अकाउंट की संख्या घटकर शून्य हो गई और 2017 की शुरुआत से यही स्थिति बनी हुई है। हार्डवेयर सिक्योरिटी की का यही मुख्य उद्देश्य है। यह एंटीवायरस नहीं है और न ही यह आपके पैसे स्टोर करता है। यह एक भौतिक वस्तु है जो आपकी पहचान साबित करती है, और इसे धोखा देना लगभग नामुमकिन है।
यह गाइड बताती है कि यूबीकी क्या है, यह वास्तव में कैसे काम करती है, यह एसएमएस और प्रमाणीकरण ऐप्स से बेहतर क्यों है, और चोरों द्वारा सबसे पहले निशाना बनाए जाने वाले क्रिप्टो खातों को सुरक्षित करने के लिए इसका उपयोग कैसे करें।
YubiKey क्या है और यह क्यों महत्वपूर्ण है?
YubiKey को अपने खातों की चाबी की तरह समझें, बस फर्क इतना है कि इसकी नकल नहीं की जा सकती। यह Yubico कंपनी का एक छोटा सा हार्डवेयर सिक्योरिटी की है, जो स्वीडिश-अमेरिकी कंपनी है और 2007 से इसे बना रही है। इसमें कोई बैटरी नहीं है, कोई स्क्रीन नहीं है। बस प्लास्टिक और धातु का एक पतला सा टुकड़ा, फ्लैश ड्राइव के आकार का, जो USB पोर्ट में लग जाता है या NFC के ज़रिए आपके फ़ोन से कनेक्ट हो जाता है, और जिस पर एक सुनहरी डिस्क लगी होती है जिसे आप उंगली से दबाते हैं।
आपकी उंगली का वह स्पर्श ही सारी तरकीब है। पासवर्ड एक ऐसी चीज़ है जिसे आप जानते हैं, और आप जो कुछ भी जानते हैं उसे चुराया जा सकता है, लीक किया जा सकता है या अनुमान लगाया जा सकता है, अक्सर ये तीनों एक साथ होते हैं। यूबीकी एक ऐसी चीज़ है जो आपके पास है, और आप किसी की जेब से कोई भौतिक वस्तु चुरा नहीं सकते। इसलिए यह दो-कारक प्रमाणीकरण का दूसरा कारक बन जाता है, और वह भी काफी अचूक। यह आपके किसी भी सिक्के या फ़ाइलों को संग्रहीत नहीं करता है। लॉगिन के समय यह केवल एक प्रश्न का उत्तर देता है और फिर चुप हो जाता है: क्या वास्तविक मालिक अभी यहां मौजूद है? टैप करें, और आप लॉग इन हो जाएंगे। टैप न करें, और लॉगिन स्क्रीन पर ही रुक जाएगा, चाहे चुराया गया पासवर्ड कितना भी सटीक क्यों न दिखता हो।
फ़िशिंग को रोकने के लिए यूबीकी कैसे काम करता है
इसमें चालाकी हार्डवेयर में नहीं है। यह एक डोमेन-आधारित हस्ताक्षर है जिसे कोई नकली वेबसाइट कभी भी डिवाइस से प्राप्त नहीं कर सकती।
एक ऐसा रहस्य जो कभी नहीं छुपता
किसी सेवा के साथ YubiKey को रजिस्टर करने पर, यह चुपचाप पब्लिक की क्रिप्टोग्राफी का उपयोग करके एक नया की पेयर तैयार कर देता है, जिसमें एक पब्लिक और एक प्राइवेट की होती है। प्राइवेट की एक सुरक्षित चिप में दर्ज हो जाती है और कभी बाहर नहीं आती। न तो USB के ज़रिए, न ही डिवाइस आपके हाथ में होने पर, और न ही कभी। केवल पब्लिक की ही सर्वर पर जाती है। इसके बाद, हर लॉगिन एक त्वरित कॉल और रिस्पॉन्स प्रक्रिया होती है: साइट एक रैंडम चैलेंज देती है, की उस पर प्राइवेट की से हस्ताक्षर करती है जिसे कोई पढ़ नहीं सकता, और सर्वर उस हस्ताक्षर की तुलना अपने पास रखी पब्लिक की से करता है। यही FIDO2 और WebAuthn मानक है, जो पुराने U2F पर आधारित है, और यही कारण है कि आपके क्रेडेंशियल को डिवाइस से निकाला नहीं जा सकता।
फ़िशिंग क्यों काम नहीं कर सकती?
अब वो हिस्सा जो असल में फ़िशिंग को खत्म करता है। उसी आदान-प्रदान में, ब्राउज़र कुंजी को यह भी बताता है कि आप किस डोमेन पर हैं। यूबीकी इसकी तुलना उस साइट से करता है जिसके साथ इसे पहली बार पंजीकृत किया गया था। मिलती-जुलती वेबसाइट पर डोमेन गलत होता है, इसलिए कुंजी हस्ताक्षर करने से इनकार कर देती है। आप नकली साइट से पूरी तरह धोखा खा सकते हैं - हार्डवेयर धोखा नहीं खाता, और हार्डवेयर ही सबसे महत्वपूर्ण होता है। इसमें भौतिक टैप भी शामिल है जो यह साबित करता है कि कोई व्यक्ति मौजूद है, और यही वो चीज़ है जिसे सुरक्षा एजेंसियां फ़िशिंग-प्रतिरोधी प्रमाणीकरण कहती हैं। एक पासवर्ड को नकली बॉक्स में टाइप किया जा सकता है। डोमेन-आधारित हस्ताक्षर को नहीं।
ओटीपी, स्मार्ट कार्ड और पासकी
एक प्रमुख YubiKey कई भाषाओं में काम करता है, एक भाषा में नहीं। यह Yubico का वन-टाइम पासवर्ड (TOTP) भेज सकता है, जो ऐप द्वारा दिखाए जाने वाले छह अंकों के कोड के साथ-साथ 44 अक्षरों का एक लंबा पासवर्ड होता है। यह समय-आधारित वन-टाइम पासवर्ड भी भेजता है, जो आपके प्रमाणीकरण ऐप द्वारा उपयोग किए जाने वाले समान TOTP मानक पर आधारित है। यह कॉर्पोरेट और सरकारी लॉगिन के लिए स्मार्ट कार्ड की तरह काम करता है। और यह पूरी तरह से पासवर्ड रहित प्रमाणीकरण के लिए पासकीज़ को स्टोर करता है, जहां कुंजी ही लॉगिन होती है, न कि उसका बैकअप। यह सुविधा तेजी से लोकप्रिय हो रही है: FIDO Alliance का कहना है कि शीर्ष 100 वेबसाइटों में से लगभग आधी पहले से ही पासकीज़ स्वीकार करती हैं।
| शिष्टाचार | यह क्या करता है | के स्थान पर |
|---|---|---|
| FIDO2 / वेब प्रमाणीकरण | फ़िशिंग-प्रतिरोधी लॉगिन और पासकी | पासवर्ड और कमजोर 2FA |
| यू2एफ | उत्पत्ति-बद्ध द्वितीय कारक | एसएमएस और ऐप कोड |
| युबिको ओटीपी | 44 अक्षरों का एक बार उपयोग होने वाला पासवर्ड | संक्षिप्त प्रमाणीकरण कोड |
| टीओटीपी / शपथ | कुंजी पर संग्रहीत समय-आधारित कोड | एक अलग प्रमाणीकरण ऐप |
| स्मार्ट कार्ड (पीआईवी) | प्रमाणपत्र-आधारित लॉगिन | कॉर्पोरेट बैज लॉगिन |
YubiKey SMS और ऑथेंटिकेटर ऐप्स से बेहतर क्यों है?
अन्य सभी सामान्य कारकों को वास्तविक समय में किसी नकली साइट पर भेजा जा सकता है। लेकिन यूबीकी को नहीं भेजा जा सकता, और यही एक कमी है जिसके कारण क्रिप्टोकरेंसी चोरी हो जाती है।
एसएमएस सबसे कमजोर कड़ी है
टेक्स्ट मैसेज कोड सुविधाजनक लगता है, लेकिन यह सबसे खराब आम विकल्प है। कोड आपके फ़ोन नंबर पर जाता है, और आपका फ़ोन नंबर आपसे चुराया जा सकता है। सिम स्वैप में, हमलावर आपके कैरियर को मनाकर आपका नंबर अपने सिम पर ट्रांसफर करवा लेता है, और फिर सीधे आपके कोड हासिल कर लेता है। यह कोई दुर्लभ मामला नहीं है। ब्रिटेन में 2024 में सिम स्वैप धोखाधड़ी में 1,055% से अधिक की वृद्धि हुई। यही कारण है कि CISA और FBI SMS को फ़िशिंग-प्रतिरोधी MFA मानने से इनकार करते हैं। पैसे वाले खाते के लिए SMS पर भरोसा करना एक गलती है, और यही वह कमजोरी है जिसके कारण क्रिप्टो धारक के लिए हार्डवेयर कुंजी लगभग किसी और की तुलना में अधिक महत्वपूर्ण हो जाती है।
यहां तक कि ऑथेंटिकेटर ऐप्स में भी फ़िशिंग हमलों से बचाव की क्षमता में कमी है।
SMS की तुलना में ऑथेंटिकेटर ऐप्स कहीं बेहतर हैं और टेक्स्ट कोड के बाद इन्हें मजबूत टू-फैक्टर ऑथेंटिकेशन माना जा सकता है, लेकिन इनमें एक कमी रह जाती है। किसी भी मल्टी-फैक्टर ऑथेंटिकेशन (MFA) को चालू करना फायदेमंद होता है; माइक्रोसॉफ्ट ने पाया कि यह 99.9% स्वचालित हमलों को रोकता है। फिर भी, इसका प्रकार ही तय करता है कि कोई असली फिशर आप तक पहुंच पाएगा या नहीं। ऐप द्वारा दिखाया गया छह अंकों का कोड सिर्फ एक संख्या है, और एक नकली बॉक्स में संख्या टाइप की जा सकती है। एक आधुनिक फिशिंग पेज आपका कोड मांगता है और 30 सेकंड के भीतर इसे असली सेवा को भेज देता है। YubiKey इस कमी को दूर कर देता है, क्योंकि इसका सिग्नेचर असली डोमेन से जुड़ा होता है और इसे किसी दूसरे डोमेन पर कॉपी नहीं किया जा सकता। यह सिर्फ सिद्धांत नहीं है। यही कारण है कि जिस दिन हार्डवेयर कीज़ ने बाकी सभी उपकरणों की जगह ले ली, उसी दिन से Google के 85,000 कर्मचारियों को फिशिंग का शिकार होना बंद हो गया।
| तरीका | फ़िशिंग-प्रतिरोधी | सिम स्वैप-प्रूफ | यह ऑफ़लाइन काम करता है |
|---|---|---|---|
| एसएमएस कोड | नहीं | नहीं | नहीं |
| प्रमाणीकरण ऐप | नहीं | हाँ | हाँ |
| युबीकी | हाँ | हाँ | हाँ |
अपनी क्रिप्टोकरेंसी को सुरक्षित करने के लिए YubiKey का उपयोग करना
क्रिप्टो में निवेश करने वालों के लिए सबसे बड़ा फायदा यह है कि YubiKey उन खातों को लॉक कर देता है जिन्हें SIM स्वैप और वॉलेट ड्रेनर सबसे पहले निशाना बनाते हैं। अधिकांश प्रमुख एक्सचेंज अब खाता सुरक्षा के लिए हार्डवेयर सुरक्षा कुंजी का समर्थन करते हैं, और कई एक्सचेंज पूर्ण FIDO2 या पासकी लॉगिन की अनुमति देते हैं, जिनमें Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com और KuCoin शामिल हैं। Kraken और Bitfinex हार्डवेयर कुंजी को दूसरे कारक के रूप में स्वीकार करते हैं। इसे चालू करने का मतलब है कि जिस चोर के पास आपका पासवर्ड और फ़ोन नंबर है, वह भी भौतिक कुंजी के बिना आपके खाते में प्रवेश नहीं कर सकता।
सिर्फ़ एक्सचेंज तक ही सीमित न रहें। सबसे ज़रूरी खाता आपका ईमेल है — यह बाकी सभी चीज़ों के लिए रिकवरी का ज़रिया है — इसलिए सबसे पहले इस पर एक कुंजी लगाएँ। फिर इसे अपने पासवर्ड मैनेजर में जोड़ें, उसके बाद अपने एक्सचेंज और किसी भी वॉलेट सेवा में जोड़ें जो इसे सपोर्ट करती हो। लक्ष्य सीधा है: हर उस लॉगिन को हटा दें जो सिर्फ़ एक कोड पर निर्भर करता है जिसे कोई स्कैमर फ़िशिंग या इंटरसेप्ट कर सकता है। यही कुंजी आपकी अन्य ऑनलाइन सेवाओं को भी सुरक्षित कर देती है, और क्योंकि यह तकनीक विशेष रूप से फ़िशिंग हमलों को रोकने के लिए बनाई गई है, यह उस सटीक चरण को निष्क्रिय कर देती है जिस पर वॉलेट ड्रेनर या फ़ेक-एयरड्रॉप पेज निर्भर करते हैं। इन सभी ऑनलाइन खातों में, YubiKey एक ऐसा क्रेडेंशियल बन जाता है जिसे कोई भी दूर से कॉपी नहीं कर सकता, जो चुपचाप सिम स्वैप और ड्रेनर के लिए बने दरवाज़े को बंद कर देता है।
YubiKey मॉडल और उन्हें चुनने का तरीका
युबिको की कैटलॉग जितनी जटिल दिखती है, असल में विकल्प उतने ज़्यादा नहीं हैं। तीन सवालों से ही सब कुछ साफ़ हो जाता है: आपके डिवाइस में कौन-कौन से पोर्ट हैं, क्या आपको अपने फ़ोन के लिए NFC चाहिए और क्या आपको फिंगरप्रिंट रीडर चाहिए।
ज़्यादातर लोगों के लिए, लगभग 58 डॉलर में मिलने वाला YubiKey 5 NFC सबसे अच्छा विकल्प है। यह ऊपर बताए गए सभी प्रोटोकॉल को सपोर्ट करता है और इसमें USB-A के साथ-साथ NFC की सुविधा भी मिलती है। क्या आपके सभी डिवाइस USB-C वाले हैं? तो YubiKey 5C NFC उसी कुंजी का एक अलग डिज़ाइन है। अगर आप कम खर्च करना चाहते हैं, तो लगभग 29 डॉलर में मिलने वाला Security Key अतिरिक्त सुविधाओं को हटाकर सिर्फ़ FIDO2 और U2F को सपोर्ट करता है, जो क्रिप्टोकरेंसी और रोज़मर्रा के लॉगिन के लिए काफ़ी है। अगर आप फिंगरप्रिंट पसंद करते हैं, तो लगभग 98 डॉलर में मिलने वाला YubiKey Bio Series, बिना पिन के इस्तेमाल के लिए बायोमेट्रिक सेंसर के साथ आता है, और विनियमित कार्यस्थलों के लिए FIPS लाइन भी उपलब्ध है। आप जो भी चुनें, दो खरीदें। दूसरा आपका बैकअप होगा, और जब पहला खराब हो जाएगा, तो आपको इसकी बहुत ज़रूरत महसूस होगी।
YubiKey को सेट अप करना और उसके साथ काम करना
प्रत्येक खाते को सेट अप करने में लगभग दस मिनट लगते हैं। जिस चीज़ के बारे में कोई आपको चेतावनी नहीं देता, वह है बैकअप।
अपनी कुंजी पंजीकृत करना
आधिकारिक सेटअप पेज से शुरुआत करें, एक सेवा चुनें और उसकी टू-फैक्टर या पासकी सेटिंग खोलें। फिर कुंजी को कॉन्फ़िगर करने के लिए तीन विकल्पों में से एक चुनें: इसे सुरक्षा कुंजी के रूप में पंजीकृत करें, इसमें पासकी सहेजें, या इसे किसी प्रमाणीकरण ऐप के स्लॉट में डालें। संकेत मिलने पर टैप करें और आपका काम हो गया। ज़्यादातर लोग प्रत्येक खाते पर दो यूबीकी और कुछ प्रमाणीकरण विकल्प रखते हैं, ताकि एक डिवाइस खो जाने पर भी वे लॉक आउट न हों। एक ही कुंजी विंडोज, macOS, लिनक्स, एंड्रॉइड और iOS पर काम करती है, इसलिए यह आपके लैपटॉप और फ़ोन दोनों की सुरक्षा करती है। सबसे पहले अपना ईमेल, फिर पासवर्ड मैनेजर और फिर एक्सचेंज को कॉन्फ़िगर करें। ये तीनों आपके वास्तविक जोखिम के अधिकांश हिस्से को कवर करते हैं।
लेकिन इसमें एक पेंच है: बैकअप और स्पष्ट सीमाएं।
YubiKey कोई जादू नहीं है, और इसके फायदे और नुकसान जानना ज़रूरी है। एक कुंजी पंजीकृत करें और उसे खो दें, तो आप खुद को लॉक कर सकते हैं, इसलिए हमेशा एक अतिरिक्त कुंजी पंजीकृत करें या अपने रिकवरी कोड को किसी सुरक्षित स्थान पर रखें। हालांकि अभी सभी सेवाएं हार्डवेयर कुंजियों का समर्थन नहीं करती हैं, लेकिन यह सूची हर साल बढ़ती जा रही है। इसकी शुरुआती लागत लगभग $58 है। हार्डवेयर में कुछ बग भी आए हैं: 2017 में ROCA नामक एक खामी, 2024 में Infineon की एक समस्या, दोनों के लिए भौतिक पहुंच की आवश्यकता थी और दोनों को नए फर्मवेयर में ठीक कर दिया गया है। ये छोटी-मोटी बातें हैं, कोई बड़ी समस्या नहीं। इनमें से कोई भी बात उस एक चीज़ से ज़्यादा महत्वपूर्ण नहीं है जो यहां मायने रखती है, और वह है दूरस्थ खाता हैकिंग को पूरी तरह से रोकना।
क्या क्रिप्टो उपयोगकर्ताओं के लिए YubiKey फायदेमंद है?
क्रिप्टोकरेंसी रखने वाले किसी भी व्यक्ति के लिए, इसका जवाब बिल्कुल हां है। YubiKey एक बार की खरीदारी है, जिसकी कीमत लगभग $58 है, साथ ही एक बैकअप भी मिलता है, और इसके लिए कोई सब्सक्रिप्शन नहीं है। इसकी तुलना एक सिम स्वैप या फ़िशिंग पेज से करें जो आपके एक्सचेंज खाते को खाली कर दे, तो हिसाब-किताब बेजोड़ है। पासवर्ड और ऑथेंटिकेटर ऐप सुरक्षा को बढ़ाते हैं; YubiKey MFA सुरक्षा को इतना बढ़ा देता है कि दूरस्थ हमलावर उस तक पहुंच ही नहीं सकते। अगर आपके किसी भी ऑनलाइन खाते में पैसा है, तो यह सबसे सस्ता बीमा है जो आप कभी खरीदेंगे।
YubiKey आपकी उंगली को पासवर्ड में बदल देता है
प्रोटोकॉल और मॉडल नंबर हटा दें तो, YubiKey एक काम बहुत अच्छे से करता है: यह आपके लॉगिन के सबसे मजबूत हिस्से को एक ऐसी भौतिक वस्तु बना देता है जिसे आप पकड़ सकते हैं और छू सकते हैं। फ़िशिंग पासवर्ड कॉपी कर सकता है और कोड भेज सकता है, लेकिन आपकी जेब में पड़ी कुंजी को कॉपी नहीं कर सकता — या आपकी उंगली के स्पर्श को नकली नहीं बना सकता। यही कारण है कि यह हर जगह काम करता है जहाँ बाकी सब कुछ कमज़ोर पड़ जाता है। इस सप्ताह अपने ईमेल और मुख्य एक्सचेंज पर एक YubiKey लगाएँ और एक बैकअप भी रखें। तो अब बस एक ही व्यावहारिक सवाल बचा है: आपके पैसे वाले किस खाते को आप आज भी ऐसे कोड से सुरक्षित रख रहे हैं जिसे कोई अजनबी फ़िशिंग के ज़रिए हासिल कर सकता है?
