मुख्य सामग्री पर जाएं

2FA क्या है? दो-कारक प्रमाणीकरण गाइड

2FA क्या है? दो-कारक प्रमाणीकरण कैसे काम करता है, 2FA के पांच प्रकार, और इसे अपने सबसे महत्वपूर्ण खातों पर कैसे सक्षम करें।

अंतिम अपडेट: 5 अप्रैल 2026

पासवर्ड अकेले आपके ऑनलाइन खातों की रक्षा के लिए पर्याप्त नहीं हैं। डेटा उल्लंघन हर साल अरबों क्रेडेंशियल्स को उजागर करते हैं, और मजबूत पासवर्ड भी फिशिंग, कीलॉगर, या ब्रूट-फोर्स हमलों के माध्यम से समझौता किए जा सकते हैं। दो-कारक प्रमाणीकरण (2FA) रक्षा की दूसरी परत जोड़ता है — भले ही कोई आपका पासवर्ड चुरा ले, वे दूसरे कारक के बिना अभी भी आपके खाते तक नहीं पहुंच सकते हैं। यह गाइड बताता है कि 2FA क्या है, प्रत्येक विधि कैसे काम करती है, कौन से प्रकार सबसे सुरक्षित हैं, और इसे अपने सबसे महत्वपूर्ण खातों पर कैसे सेट करें। यह आपके डिजिटल जीवन की सुरक्षा के लिए सबसे प्रभावी एकल चरणों में से एक है।

दो-कारक प्रमाणीकरण के प्रकार

SMS कोड

एक एक-बार उपयोग कोड टेक्स्ट संदेश के माध्यम से आपके फोन नंबर पर भेजा जाता है। आप लॉगिन पूरा करने के लिए अपने पासवर्ड के बाद यह कोड दर्ज करते हैं। SMS 2FA सबसे व्यापक रूप से उपलब्ध विधि है — लगभग हर सेवा इसका समर्थन करती है, और इसके लिए किसी अतिरिक्त ऐप या हार्डवेयर की आवश्यकता नहीं है। हालांकि, यह SIM स्वैपिंग हमलों (जहां एक हमलावर आपके वाहक को अपना फोन नंबर अपने SIM कार्ड पर स्थानांतरित करने के लिए मनाता है) और SS7 प्रोटोकॉल शोषण के प्रति भेद्यता के कारण 2FA का सबसे कमजोर रूप है जो टेक्स्ट संदेशों को इंटरसेप्ट कर सकते हैं।

  • फायदे: व्यापक रूप से समर्थित, कोई ऐप आवश्यक नहीं, किसी भी फोन पर काम करता है
  • नुकसान: SIM स्वैपिंग, SS7 इंटरसेप्शन, और फोन वाहकों पर सोशल इंजीनियरिंग हमलों के प्रति भेद्य

प्रमाणीकरण ऐप (TOTP)

समय-आधारित एक-बार उपयोग पासवर्ड (TOTP) ऐप एक साझा रहस्य और वर्तमान समय का उपयोग करके हर 30 सेकंड में एक नया 6-अंकीय कोड उत्पन्न करते हैं। लोकप्रिय ऐप्स में Google Authenticator, Authy, Microsoft Authenticator, और Ente Auth शामिल हैं। TOTP SMS की तुलना में काफी अधिक सुरक्षित है क्योंकि कोड आपके उपकरण पर स्थानीय रूप से उत्पन्न होते हैं — इंटरसेप्ट करने के लिए कोई ट्रांसमिशन चैनल नहीं है। कोड ऑफलाइन काम करते हैं और आपके फोन नंबर से बंधे नहीं हैं। यह अधिकांश लोगों के लिए अनुशंसित 2FA विधि है, मजबूत सुरक्षा को उपयोग में आसानी के साथ संतुलित करती है।

  • फायदे: सुरक्षित, ऑफलाइन-सक्षम, मुफ्त ऐप उपलब्ध, फोन नंबर से बंधे नहीं
  • नुकसान: बैकअप कोड के बिना अपना उपकरण खोना आपको लॉक करता है; फिशिंग साइटें अभी भी रीयल-टाइम में कोड पकड़ सकती हैं

हार्डवेयर सुरक्षा कुंजी

YubiKey, Google Titan, और SoloKeys जैसे भौतिक उपकरण आपके USB पोर्ट में प्लग करते हैं या प्रमाणित करने के लिए NFC के माध्यम से टैप करते हैं। हार्डवेयर कुंजी FIDO2/WebAuthn मानक का उपयोग करते हैं, जो डिजाइन के अनुसार फिशिंग-प्रतिरोधी है — कुंजी प्रमाणित करने से पहले वेबसाइट के डोमेन को क्रिप्टोग्राफिक रूप से सत्यापित करती है, जिससे फिशिंग साइटों के लिए इंटरसेप्ट करना असंभव हो जाता है। Google को सभी कर्मचारियों को हार्डवेयर कुंजी का उपयोग करने की आवश्यकता होती है और कार्यान्वयन के बाद से शून्य सफल फिशिंग हमलों की सूचना दी। कुंजियों की लागत $25-70 है और यह उपलब्ध सबसे सुरक्षित 2FA विधि है।

  • फायदे: सबसे मजबूत सुरक्षा, फिशिंग-प्रतिरोधी, कोई बैटरी नहीं, ऑफलाइन काम करती है, टिकाऊ
  • नुकसान: $25-70 की लागत, खो सकती है या भुलाई जा सकती है, सभी सेवाओं द्वारा समर्थित नहीं

बायोमेट्रिक्स

फिंगरप्रिंट स्कैनर (Touch ID), चेहरा पहचान (Face ID), और आइरिस स्कैनर आपकी भौतिक विशेषताओं का उपयोग प्रमाणीकरण कारक के रूप में करते हैं। बायोमेट्रिक्स सुविधाजनक हैं — आप उन्हें हमेशा अपने साथ रखते हैं और उन्हें भुलाया नहीं जा सकता है। वे कई उपकरणों और सेवाओं पर पासवर्ड के साथ दूसरे कारक के रूप में काम करते हैं। हालांकि, बायोमेट्रिक्स को बदला नहीं जा सकता यदि वे समझौता किए गए हैं (पासवर्ड के विपरीत), और कई न्यायालयों में कानून प्रवर्तन द्वारा मजबूर किए जा सकते हैं। उपकरणों में गुणवत्ता काफी भिन्न होती है।

  • फायदे: सुविधाजनक, हमेशा उपलब्ध, तेज़ प्रमाणीकरण, दोहराने में कठिन
  • नुकसान: समझौता होने पर बदला नहीं जा सकता, कानूनी रूप से मजबूर किया जा सकता है, उपकरण के अनुसार गुणवत्ता भिन्न होती है

Passkeys

Passkeys नवीनतम प्रमाणीकरण मानक हैं, पासवर्ड को पूरी तरह से बदलने के लिए डिज़ाइन किया गया है। FIDO2/WebAuthn पर आधारित, passkeys सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करते हैं — आपका उपकरण एक निजी कुंजी संग्रहीत करता है, और सेवा संगत सार्वजनिक कुंजी संग्रहीत करती है। प्रमाणीकरण आपके उपकरण के बायोमेट्रिक सेंसर या PIN के माध्यम से होता है, टाइप करने, फिश करने, या चोरी करने के लिए कोई पासवर्ड नहीं। Apple, Google, और Microsoft ने अपने ऑपरेटिंग सिस्टम में passkey समर्थन एकीकृत किया है। Passkeys iCloud Keychain, Google Password Manager, या अन्य प्रदाताओं के माध्यम से उपकरणों में सिंक करते हैं, हार्डवेयर कुंजी की सुरक्षा को बायोमेट्रिक्स की सुविधा के साथ जोड़ते हैं।

  • फायदे: फिशिंग-प्रतिरोधी, याद रखने के लिए कोई पासवर्ड नहीं, उपकरणों में सिंक होता है, तेज़
  • नुकसान: अपेक्षाकृत नया, अभी तक सार्वभौमिक रूप से समर्थित नहीं, सिंक किए गए passkeys के साथ प्लेटफ़ॉर्म लॉक-इन चिंताएं

2FA सर्वोत्तम प्रथाएं

  1. अपने ईमेल खाते पर पहले 2FA सक्षम करें — यह आपके सभी अन्य खातों की मास्टर कुंजी है। यदि कोई आपके ईमेल से समझौता करता है, तो वे इससे जुड़ी हर सेवा पर पासवर्ड रीसेट कर सकते हैं। आपका ईमेल 2FA से सुरक्षित करने के लिए सबसे महत्वपूर्ण एकल खाता है।
  2. जब भी संभव हो SMS के बजाय प्रमाणीकरण ऐप का उपयोग करें। TOTP ऐप SIM स्वैपिंग और SS7 हमलों से प्रतिरक्षित हैं। यदि कोई सेवा केवल SMS-आधारित 2FA प्रदान करती है, तो वैसे भी इसका उपयोग करें — SMS 2FA अभी भी कोई 2FA न होने से नाटकीय रूप से बेहतर है।
  3. बैकअप कोड को सुरक्षित, अलग स्थान पर रखें। उन्हें पासवर्ड मैनेजर में (2FA द्वारा संरक्षित से अलग) संग्रहीत करें, प्रिंट करें और एक तिजोरी में रखें, या सुरक्षित रूप से संग्रहीत कागज पर लिखें। अपने प्रमाणक के समान उपकरण पर अनएन्क्रिप्टेड नोट में कभी भी बैकअप कोड संग्रहीत न करें।
  4. अपने सबसे महत्वपूर्ण खातों के लिए हार्डवेयर सुरक्षा कुंजी पर विचार करें — ईमेल, बैंकिंग, क्लाउड स्टोरेज, और पासवर्ड मैनेजर। YubiKey 5 NFC ($50) USB-A, USB-C, और NFC के साथ काम करता है, लगभग हर उपकरण को कवर करता है। बैकअप होने के लिए प्रति खाता दो कुंजी पंजीकृत करें।
  5. नियमित रूप से ऑडिट करें कि किन खातों में 2FA सक्षम है। ट्रैक रखने के लिए पासवर्ड मैनेजर का उपयोग करें। प्राथमिकता क्रम: ईमेल, बैंकिंग और वित्तीय सेवाएं, क्लाउड स्टोरेज, सोशल मीडिया, सहेजी गई भुगतान विधियों वाली शॉपिंग साइटें, और कोई भी कार्य या पेशेवर खाते।

2FA कैसे सेट करें

2FA सेट करने में प्रति खाता पांच मिनट से कम समय लगता है। यहां प्रमाणीकरण ऐप-आधारित 2FA के लिए प्रक्रिया है, जो अधिकांश लोगों के लिए अनुशंसित विधि है:

  1. सुरक्षा सेटिंग्स खोलें:अपने खाते की सुरक्षा सेटिंग्स पर नेविगेट करें। "दो-कारक प्रमाणीकरण," "2-स्टेप वेरिफिकेशन," या "लॉगिन सुरक्षा" खोजें। Google पर, myaccount.google.com > Security > 2-Step Verification पर जाएं। Apple पर, Settings > [आपका नाम] > Sign-In & Security पर जाएं।
  2. एक 2FA विधि चुनें:अपनी 2FA विधि चुनें। सुरक्षा और सुविधा के सर्वोत्तम संतुलन के लिए "Authenticator App" चुनें। यदि आपके पास नहीं है तो एक TOTP ऐप इंस्टॉल करें — Google Authenticator, Authy, या Ente Auth सभी ठोस विकल्प हैं। Authy और Ente Auth आपके कोडों का एन्क्रिप्टेड क्लाउड बैकअप प्रदान करते हैं।
  3. QR कोड स्कैन करें:अपने प्रमाणीकरण ऐप के साथ स्क्रीन पर प्रदर्शित QR कोड को स्कैन करें। ऐप एक 6 अंकों का कोड उत्पन्न करेगा जो हर 30 सेकंड में रिफ्रेश होता है। यह सत्यापित करने के लिए वर्तमान कोड दर्ज करें कि सेटअप सही ढंग से काम कर रहा है।
  4. बैकअप कोड सहेजें:अपने बैकअप कोड तुरंत सहेजें। अधिकांश सेवाएं एक-बार उपयोग के रिकवरी कोड प्रदान करती हैं जो आपको अपना प्रमाणीकरण उपकरण खोने पर पहुंच पुनः प्राप्त करने देती हैं। इन्हें पासवर्ड मैनेजर में संग्रहीत करें, प्रिंट करें, या लिखकर अपने उपकरणों से अलग सुरक्षित स्थान पर रखें। बैकअप कोड के बिना, अपना फोन खोना आपको अपने खाते से स्थायी रूप से लॉक कर सकता है।

अक्सर पूछे जाने वाले प्रश्न

इसीलिए बैकअप कोड आवश्यक हैं। जब आप 2FA सेट करते हैं, तो अधिकांश सेवाएं रिकवरी कोड प्रदान करती हैं — एक-बार-उपयोग कोड जो 2FA को बायपास करते हैं। पहुंच पुनः प्राप्त करने के लिए एक का उपयोग करें, फिर अपने नए उपकरण पर फिर से 2FA सेट करें। यदि आप Authy या Ente Auth का उपयोग करते हैं, तो आपके कोड एन्क्रिप्टेड क्लाउड स्टोरेज में बैकअप होते हैं और एक नए उपकरण पर पुनर्स्थापित किए जा सकते हैं। Google Authenticator अब क्लाउड बैकअप का भी समर्थन करता है। यदि आपके पास कोई बैकअप कोड और कोई रिकवरी विधि नहीं है, तो आपको सेवा की खाता रिकवरी प्रक्रिया से गुजरना होगा, जिसमें दिन या सप्ताह लग सकते हैं और पहचान सत्यापन की आवश्यकता हो सकती है।

बिल्कुल हां। SIM स्वैपिंग और SS7 हमलों के प्रति इसकी कमजोरियों के बावजूद, SMS 2FA स्वचालित हमलों के विशाल बहुमत को ब्लॉक करता है। Google के शोध ने दिखाया कि यह 100% स्वचालित बॉट और 96% बल्क फिशिंग को रोकता है। अधिकांश लोगों के लिए यथार्थवादी खतरा मॉडल लक्षित SIM स्वैपिंग को शामिल नहीं करता है — यह मुख्य रूप से क्रिप्टोकरेंसी धारकों और सार्वजनिक व्यक्तित्वों जैसे उच्च-मूल्य लक्ष्यों के लिए जोखिम है। यदि कोई सेवा केवल SMS 2FA प्रदान करती है, तो इसे सक्षम करें। कोई भी 2FA कोई 2FA न होने से नाटकीय रूप से बेहतर है।

कोई भी 2FA विधि 100% अटूट नहीं है, लेकिन कठिनाई बहुत अलग होती है। SMS कोड को SIM स्वैपिंग के माध्यम से इंटरसेप्ट किया जा सकता है। TOTP कोड को रीयल-टाइम में परिष्कृत हमलों के साथ फिश किया जा सकता है जो कोड को वास्तविक लॉगिन पेज पर रिले करते हैं। हालांकि, FIDO2 का उपयोग करने वाले हार्डवेयर सुरक्षा कुंजी डिजाइन के अनुसार फिशिंग-प्रतिरोधी हैं — कुंजी क्रिप्टोग्राफिक रूप से वेबसाइट के डोमेन को सत्यापित करती है, जिससे फिशिंग असंभव हो जाती है। Passkeys समान सुरक्षा को विरासत में लेते हैं। अधिकांश लोगों के लिए, TOTP-आधारित 2FA यथार्थवादी खतरों के खिलाफ पर्याप्त से अधिक सुरक्षा प्रदान करता है।

आदर्श रूप से हां, लेकिन रणनीतिक रूप से प्राथमिकता दें। आपका ईमेल खाता सबसे महत्वपूर्ण है — यह बाकी सब चीजों के लिए रिकवरी तंत्र है। इसके बाद, बैंकिंग और वित्तीय सेवाओं, क्लाउड स्टोरेज (Google Drive, iCloud, Dropbox), सोशल मीडिया, सहेजी गई भुगतान जानकारी वाले किसी भी खाते, और अपने पासवर्ड मैनेजर पर 2FA सक्षम करें। यदि आप अभिभूत हैं तो व्यक्तिगत डेटा के बिना कम-प्राथमिकता वाले फेंक देने योग्य खातों को छोड़ा जा सकता है, लेकिन लक्ष्य हर जगह 2FA होना चाहिए।

FIDO2/WebAuthn मानक का उपयोग करने वाली हार्डवेयर सुरक्षा कुंजी (YubiKey, Google Titan) उपलब्ध 2FA का सबसे सुरक्षित रूप हैं। वे डिजाइन के अनुसार फिशिंग-प्रतिरोधी हैं, भौतिक स्वामित्व की आवश्यकता होती है, और इंटरसेप्ट करने या रिले करने के लिए कोई कोड नहीं है। Passkeys क्लाउड सिंक की अतिरिक्त सुविधा के साथ समान सुरक्षा प्रदान करते हैं। TOTP प्रमाणीकरण ऐप अगला सबसे अच्छा विकल्प है — SMS की तुलना में काफी अधिक सुरक्षित। SMS सबसे कमजोर 2FA है लेकिन फिर भी केवल पासवर्ड प्रमाणीकरण से कहीं बेहतर है।

हां, यह उनका डिजाइन उद्देश्य है। Passkeys पासवर्ड और दूसरे कारक को एक एकल, फिशिंग-प्रतिरोधी प्रमाणीकरण चरण में जोड़ते हैं। पासवर्ड टाइप करने और फिर कोड दर्ज करने के बजाय, आप बस अपने उपकरण के बायोमेट्रिक सेंसर या PIN के साथ प्रमाणित करते हैं। अंतर्निहित FIDO2 क्रिप्टोग्राफी पासवर्ड + TOTP संयुक्त की तुलना में मजबूत सुरक्षा प्रदान करती है। हालांकि, passkey अपनाने अभी भी बढ़ रहा है — सभी सेवाएं उन्हें अभी तक समर्थन नहीं करती हैं। संक्रमण काल में, उन सेवाओं पर पारंपरिक 2FA (प्रमाणीकरण ऐप या हार्डवेयर कुंजी) का उपयोग करना जारी रखें जो अभी तक passkeys का समर्थन नहीं करती हैं।