मुख्य सामग्रीमा जानुहोस्

2FA भनेको के हो? टु-फ्याक्टर प्रमाणीकरण गाइड

2FA भनेको के हो? टु-फ्याक्टर प्रमाणीकरण कसरी काम गर्छ, 2FA का पाँच प्रकार, र तपाईंका सबैभन्दा महत्त्वपूर्ण खाताहरूमा यसलाई कसरी सक्षम पार्ने।

अन्तिम अपडेट: २०२६ अप्रिल ५

पासवर्डहरू मात्रले तपाईंका अनलाइन खाताहरूलाई सुरक्षित गर्न पर्याप्त छैनन्। डेटा उल्लङ्घनले प्रत्येक वर्ष अरबौं प्रमाणपत्रहरू उजागर गर्छ, र बलियो पासवर्डहरू पनि फिसिङ, कीलगर, वा ब्रूट-फोर्स आक्रमणहरू मार्फत सम्झौतामा पुग्न सक्छन्। टु-फ्याक्टर प्रमाणीकरण (2FA) ले दोस्रो संरक्षणको तह थप्छ — कसैले तपाईंको पासवर्ड चोरी गरे पनि, उनीहरूले दोस्रो कारक बिना तपाईंको खातामा पहुँच पाउन सक्दैनन्। यो गाइडले 2FA के हो, प्रत्येक विधि कसरी काम गर्छ, कुन प्रकारहरू सबैभन्दा सुरक्षित छन्, र तपाईंका सबैभन्दा महत्त्वपूर्ण खाताहरूमा यसलाई कसरी सेटअप गर्ने भन्ने व्याख्या गर्छ। तपाईंको डिजिटल जीवन सुरक्षित गर्न तपाईंले गर्न सक्ने सबैभन्दा प्रभावकारी एकल कदमहरूमध्ये एक हो।

टु-फ्याक्टर प्रमाणीकरणका प्रकारहरू

SMS कोडहरू

टेक्स्ट सन्देश मार्फत तपाईंको फोन नम्बरमा एक-पटक कोड पठाइन्छ। तपाईंले लगइन पूरा गर्न आफ्नो पासवर्ड पछि यो कोड प्रविष्ट गर्नुहुन्छ। SMS 2FA सबैभन्दा व्यापक रूपमा उपलब्ध विधि हो — लगभग प्रत्येक सेवाले यसलाई समर्थन गर्छ, र यसले कुनै अतिरिक्त एप वा हार्डवेयर आवश्यक पर्दैन। तर, SIM स्वैपिङ आक्रमणहरू (जहाँ आक्रमणकर्ताले तपाईंको क्यारियरलाई तपाईंको फोन नम्बर उनीहरूको SIM कार्डमा स्थानान्तरण गर्न मनाउँछ) र टेक्स्ट सन्देशहरू अवरुद्ध गर्न सक्ने SS7 प्रोटोकल शोषणको कमजोरीका कारण यो 2FA को सबैभन्दा कमजोर रूप हो।

  • फाइदाहरू: व्यापक रूपमा समर्थित, एप आवश्यक छैन, कुनै पनि फोनमा काम गर्छ
  • बेफाइदाहरू: SIM स्वैपिङ, SS7 अवरोधन, र फोन क्यारियरहरूमा सामाजिक इन्जिनियरिङ आक्रमणहरूमा कमजोर

प्रमाणक एपहरू (TOTP)

समय-आधारित एक-पटक पासवर्ड (TOTP) एपहरूले साझा गोप्य र हालको समय प्रयोग गरेर प्रत्येक 30 सेकेन्डमा नयाँ 6-अङ्क कोड उत्पन्न गर्छन्। लोकप्रिय एपहरूमा Google Authenticator, Authy, Microsoft Authenticator, र Ente Auth समावेश छन्। TOTP SMS भन्दा निकै अधिक सुरक्षित छ किनभने कोडहरू तपाईंको यन्त्रमा स्थानीय रूपमा उत्पन्न हुन्छन् — अवरुद्ध गर्ने कुनै प्रसारण च्यानल छैन। कोडहरू अफलाइन काम गर्छन् र तपाईंको फोन नम्बरसँग बाँधिएको छैन। यो धेरैजसो मानिसहरूका लागि सिफारिस गरिएको 2FA विधि हो, बलियो सुरक्षालाई प्रयोगको सहजताका साथ सन्तुलनमा राख्छ।

  • फाइदाहरू: सुरक्षित, अफलाइन सक्षम, नि:शुल्क एपहरू उपलब्ध, फोन नम्बरसँग बाँधिएको छैन
  • बेफाइदाहरू: ब्याकअप कोडहरू बिना तपाईंको यन्त्र हराउँदा तपाईंलाई लक आउट गर्छ; फिसिङ साइटहरूले अझै पनि वास्तविक समयमा कोडहरू कब्जा गर्न सक्छन्

हार्डवेयर सुरक्षा कुञ्जीहरू

YubiKey, Google Titan, र SoloKeys जस्ता भौतिक यन्त्रहरूले प्रमाणीकरण गर्न तपाईंको USB पोर्टमा प्लग गर्छन् वा NFC मार्फत ट्याप गर्छन्। हार्डवेयर कुञ्जीहरू FIDO2/WebAuthn मानक प्रयोग गर्छन्, जुन डिजाइनद्वारा फिसिङ-प्रतिरोधी छ — कुञ्जीले प्रमाणीकरण गर्नु अघि क्रिप्टोग्राफिक रूपमा वेबसाइटको डोमेन प्रमाणित गर्छ, फिसिङ साइटहरूलाई अवरुद्ध गर्न असम्भव बनाउँछ। Google ले सबै कर्मचारीहरूलाई हार्डवेयर कुञ्जी प्रयोग गर्न आवश्यक छ र कार्यान्वयन पछि शून्य सफल फिसिङ आक्रमणहरू रिपोर्ट गरेको छ। कुञ्जीहरूको मूल्य $25-70 हुन्छ र यो उपलब्ध सबैभन्दा सुरक्षित 2FA विधि हो।

  • फाइदाहरू: सबैभन्दा बलियो सुरक्षा, फिसिङ-प्रतिरोधी, ब्याट्री छैन, अफलाइन काम गर्छ, टिकाउ
  • बेफाइदाहरू: $25-70 खर्च, हराउन वा बिर्सन सकिन्छ, सबै सेवाहरूले समर्थन गर्दैनन्

बायोमेट्रिक्स

फिङ्गरप्रिन्ट स्क्यानर (Touch ID), अनुहार पहिचान (Face ID), र आइरिस स्क्यानरहरूले प्रमाणीकरण कारकको रूपमा तपाईंका भौतिक विशेषताहरू प्रयोग गर्छन्। बायोमेट्रिक्स सुविधाजनक छन् — तिनीहरू सधैं तपाईंसँग हुन्छन् र बिर्सन सकिँदैनन्। तिनीहरूले धेरै यन्त्रहरू र सेवाहरूमा पासवर्डहरूको साथमा दोस्रो कारकको रूपमा काम गर्छन्। तर, बायोमेट्रिक्सलाई सम्झौतामा पुगेमा परिवर्तन गर्न सकिँदैन (पासवर्ड भन्दा फरक), र धेरै क्षेत्राधिकारहरूमा कानून प्रवर्तनद्वारा बाध्य पार्न सकिन्छ। यन्त्रहरूमा गुणस्तर महत्त्वपूर्ण रूपमा भिन्न हुन्छ।

  • फाइदाहरू: सुविधाजनक, सधैं उपलब्ध, छिटो प्रमाणीकरण, प्रतिकृति गर्न गाह्रो
  • बेफाइदाहरू: सम्झौतामा पुगेमा परिवर्तन गर्न सकिँदैन, कानूनी रूपमा बाध्य पार्न सकिन्छ, यन्त्रअनुसार गुणस्तर भिन्न हुन्छ

पासकीहरू

पासकीहरू सबैभन्दा नयाँ प्रमाणीकरण मानक हुन्, पासवर्डहरूलाई पूर्ण रूपमा प्रतिस्थापन गर्न डिजाइन गरिएको। FIDO2/WebAuthn मा आधारित, पासकीहरूले सार्वजनिक-कुञ्जी क्रिप्टोग्राफी प्रयोग गर्छन् — तपाईंको यन्त्रले निजी कुञ्जी भण्डारण गर्छ, र सेवाले सम्बन्धित सार्वजनिक कुञ्जी भण्डारण गर्छ। प्रमाणीकरण तपाईंको यन्त्रको बायोमेट्रिक सेन्सर वा PIN मार्फत हुन्छ, टाइप गर्न, फिस गर्न, वा चोर्न कुनै पासवर्ड छैन। Apple, Google, र Microsoft ले पासकी समर्थनलाई आफ्ना अपरेटिङ सिस्टमहरूमा एकीकृत गरेका छन्। पासकीहरू iCloud Keychain, Google Password Manager, वा अन्य प्रदायकहरू मार्फत यन्त्रहरूमा सिङ्क हुन्छन्, हार्डवेयर कुञ्जीहरूको सुरक्षालाई बायोमेट्रिक्सको सुविधासँग संयोजन गर्छन्।

  • फाइदाहरू: फिसिङ-प्रतिरोधी, सम्झनुपर्ने पासवर्डहरू छैनन्, यन्त्रहरूमा सिङ्क हुन्छ, छिटो
  • बेफाइदाहरू: अपेक्षाकृत नयाँ, अहिलेसम्म विश्वव्यापी रूपमा समर्थित छैन, सिङ्क गरिएका पासकीहरूसँग प्लेटफर्म लक-इन चिन्ता

2FA उत्कृष्ट अभ्यासहरू

  1. आफ्नो इमेल खातामा 2FA पहिले सक्षम पार्नुहोस् — यो तपाईंको अन्य सबै खाताहरूको मास्टर कुञ्जी हो। यदि कसैले तपाईंको इमेल सम्झौतामा ल्याउँछ भने, उनीहरूले यससँग जोडिएको प्रत्येक सेवामा पासवर्ड रिसेट गर्न सक्छन्। तपाईंको इमेल 2FA सँग सुरक्षित गर्नका लागि सबैभन्दा महत्त्वपूर्ण एकल खाता हो।
  2. जब सम्भव हुन्छ SMS भन्दा प्रमाणक एप प्रयोग गर्नुहोस्। TOTP एपहरू SIM स्वैपिङ र SS7 आक्रमणहरूबाट प्रतिरक्षा प्राप्त छन्। यदि सेवाले SMS-आधारित 2FA मात्र प्रदान गर्छ भने, यसलाई पनि प्रयोग गर्नुहोस् — SMS 2FA अझै पनि 2FA नहुनुभन्दा निकै राम्रो छ।
  3. ब्याकअप कोडहरू सुरक्षित, छुट्टै ठाउँमा राख्नुहोस्। तिनीहरूलाई पासवर्ड म्यानेजरमा (2FA द्वारा सुरक्षित गरिएको भन्दा फरक) भण्डारण गर्नुहोस्, छापेर सेफमा राख्नुहोस्, वा सुरक्षित रूपमा भण्डारण गरिएको कागजमा लेख्नुहोस्। तपाईंको प्रमाणकको रूपमा उही यन्त्रमा एन्क्रिप्ट नगरिएको नोटमा ब्याकअप कोडहरू कहिल्यै भण्डारण नगर्नुहोस्।
  4. आफ्ना सबैभन्दा महत्त्वपूर्ण खाताहरूका लागि हार्डवेयर सुरक्षा कुञ्जी विचार गर्नुहोस् — इमेल, बैंकिङ, क्लाउड भण्डारण, र पासवर्ड म्यानेजरहरू। YubiKey 5 NFC ($50) USB-A, USB-C, र NFC सँग काम गर्छ, लगभग प्रत्येक यन्त्रलाई कभर गर्छ। ब्याकअप हुन प्रत्येक खाताको लागि दुई कुञ्जीहरू दर्ता गर्नुहोस्।
  5. कुन खाताहरूमा 2FA सक्षम छ नियमित रूपमा अडिट गर्नुहोस्। ट्रयाक राख्न पासवर्ड म्यानेजर प्रयोग गर्नुहोस्। प्राथमिकता क्रम: इमेल, बैंकिङ र वित्तीय सेवा, क्लाउड भण्डारण, सामाजिक मिडिया, बचत भुक्तानी विधिहरू भएको किनमेल साइटहरू, र कुनै पनि काम वा व्यावसायिक खाताहरू।

2FA कसरी सेटअप गर्ने

प्रत्येक खाताका लागि 2FA सेटअप गर्न पाँच मिनेटभन्दा कम समय लाग्छ। धेरै मानिसहरूका लागि सिफारिस गरिएको प्रमाणक एप-आधारित 2FA को प्रक्रिया यहाँ छ:

  1. सुरक्षा सेटिङहरू खोल्नुहोस्:आफ्नो खाताको सुरक्षा सेटिङहरूमा जानुहोस्। "Two-Factor Authentication," "2-Step Verification," वा "Login Security" खोज्नुहोस्। Google मा myaccount.google.com > Security > 2-Step Verification मा जानुहोस्। Apple मा Settings > [Your Name] > Sign-In & Security मा जानुहोस्।
  2. 2FA विधि छनोट गर्नुहोस्:आफ्नो 2FA विधि छनोट गर्नुहोस्। सुरक्षा र सुविधाको उत्तम सन्तुलनका लागि "Authenticator App" छनोट गर्नुहोस्। तपाईंसँग TOTP एप छैन भने स्थापना गर्नुहोस् — Google Authenticator, Authy, वा Ente Auth सबै ठोस विकल्पहरू हुन्। Authy र Ente Auth ले तपाईंका कोडहरूको एन्क्रिप्टेड क्लाउड ब्याकअप प्रदान गर्छन्।
  3. QR कोड स्क्यान गर्नुहोस्:आफ्नो प्रमाणक एपको साथ स्क्रिनमा देखाइएको QR कोड स्क्यान गर्नुहोस्। एपले प्रत्येक 30 सेकेन्डमा रिफ्रेस हुने 6-अङ्कको कोड उत्पन्न गर्नेछ। सेटअप सही रूपमा काम गरिरहेको पुष्टि गर्न हालको कोड प्रविष्ट गर्नुहोस्।
  4. ब्याकअप कोडहरू सुरक्षित गर्नुहोस्:तुरुन्तै आफ्ना ब्याकअप कोडहरू सुरक्षित गर्नुहोस्। धेरैजसो सेवाहरूले तपाईंको प्रमाणक यन्त्र हराएमा पहुँच पुन: प्राप्त गर्न दिने एक-पटक रिकभरी कोडहरू प्रदान गर्छन्। यिनलाई पासवर्ड म्यानेजरमा भण्डारण गर्नुहोस्, छापेर राख्नुहोस्, वा लेखेर आफ्नो यन्त्रबाट छुट्टै सुरक्षित ठाउँमा राख्नुहोस्। ब्याकअप कोडहरू बिना, तपाईंको फोन हराउनुले तपाईंलाई आफ्नो खाताबाट स्थायी रूपमा लक आउट गर्न सक्छ।

बारम्बार सोधिने प्रश्नहरू

यसकारण ब्याकअप कोडहरू आवश्यक छन्। तपाईंले 2FA सेटअप गर्दा, धेरैजसो सेवाहरूले रिकभरी कोडहरू प्रदान गर्छन् — 2FA बाइपास गर्ने एक-पटक-प्रयोग कोडहरू। पुन: पहुँच पाउन एउटा प्रयोग गर्नुहोस्, त्यसपछि आफ्नो नयाँ यन्त्रमा 2FA पुन: सेटअप गर्नुहोस्। यदि तपाईंले Authy वा Ente Auth प्रयोग गर्नुहुन्छ भने, तपाईंका कोडहरू एन्क्रिप्टेड क्लाउड भण्डारणमा ब्याकअप हुन्छन् र नयाँ यन्त्रमा पुनर्स्थापना गर्न सकिन्छ। Google Authenticator ले अब क्लाउड ब्याकअप पनि समर्थन गर्छ। तपाईंसँग ब्याकअप कोडहरू र कुनै रिकभरी विधि छैन भने, तपाईंले सेवाको खाता रिकभरी प्रक्रियामा जानुपर्छ, जुन दिन वा हप्ता लाग्न सक्छ र पहिचान प्रमाणीकरण आवश्यक हुन सक्छ।

अवश्य हो। SIM स्वैपिङ र SS7 आक्रमणहरूमा कमजोरी भए पनि, SMS 2FA ले धेरैजसो स्वचालित आक्रमणहरूलाई रोक्छ। Google को अनुसन्धानले देखाएको छ कि यसले 100% स्वचालित बोटहरू र 96% बल्क फिसिङ रोक्छ। धेरैजसो मानिसहरूको यथार्थवादी खतरा मोडेलमा लक्षित SIM स्वैपिङ समावेश छैन — त्यो मुख्यतया क्रिप्टोकरेन्सी धारक र सार्वजनिक व्यक्तित्वहरूजस्ता उच्च-मूल्यका लक्ष्यहरूका लागि जोखिम हो। यदि सेवाले SMS 2FA मात्र प्रदान गर्छ भने, यसलाई सक्षम पार्नुहोस्। कुनै पनि 2FA, 2FA नभन्दा निकै राम्रो हो।

कुनै पनि 2FA विधि 100% भङ्ग गर्न नसकिने छैन, तर कठिनाइ धेरै भिन्न हुन्छ। SMS कोडहरू SIM स्वैपिङ मार्फत अवरुद्ध गर्न सकिन्छ। TOTP कोडहरूलाई वास्तविक लगइन पृष्ठमा कोडहरू रिले गर्ने अत्याधुनिक आक्रमणहरूका साथ वास्तविक समयमा फिस गर्न सकिन्छ। तर FIDO2 प्रयोग गर्ने हार्डवेयर सुरक्षा कुञ्जीहरू डिजाइनद्वारा फिसिङ-प्रतिरोधी छन् — कुञ्जीले प्रमाणीकरण गर्नु अघि क्रिप्टोग्राफिक रूपमा वेबसाइटको डोमेन प्रमाणित गर्छ, फिसिङ साइटहरूलाई अवरुद्ध गर्न असम्भव बनाउँछ। पासकीहरूले उही सुरक्षा वंशजका रूपमा प्राप्त गर्छन्। धेरैजसो मानिसहरूका लागि, TOTP-आधारित 2FA ले यथार्थवादी खतराहरू विरुद्ध पर्याप्त संरक्षण प्रदान गर्छ।

आदर्श रूपमा हो, तर रणनीतिक रूपमा प्राथमिकता दिनुहोस्। तपाईंको इमेल खाता सबैभन्दा महत्वपूर्ण छ — यो अरू सबैको रिकभरी मेकानिजम हो। त्यसपछि, बैंकिङ र वित्तीय सेवा, क्लाउड भण्डारण (Google Drive, iCloud, Dropbox), सामाजिक मिडिया, बचत भुक्तानी जानकारीसहित कुनै पनि खाता, र तपाईंको पासवर्ड म्यानेजरमा 2FA सक्षम पार्नुहोस्। व्यक्तिगत डेटा नभएका कम-प्राथमिकताका त्यागिने खाताहरू छोड्न सकिन्छ, तर लक्ष्य सर्वत्र 2FA हुनुपर्छ।

FIDO2/WebAuthn मानक प्रयोग गर्ने हार्डवेयर सुरक्षा कुञ्जीहरू (YubiKey, Google Titan) उपलब्ध सबैभन्दा सुरक्षित 2FA रूप हुन्। तिनीहरू डिजाइनद्वारा फिसिङ-प्रतिरोधी छन्, भौतिक स्वामित्व आवश्यक छ, र अवरुद्ध वा रिले गर्ने कुनै कोडहरू छैनन्। पासकीहरूले क्लाउड सिङ्कको थपिएको सुविधासँग समान सुरक्षा प्रदान गर्छन्। TOTP प्रमाणक एपहरू अर्को सबैभन्दा राम्रो विकल्प हुन् — SMS भन्दा निकै अधिक सुरक्षित। SMS सबैभन्दा कमजोर 2FA हो तर पनि पासवर्ड-मात्रको प्रमाणीकरणभन्दा निकै राम्रो छ।

हो, त्यो उनीहरूको डिजाइन उद्देश्य हो। पासकीहरूले पासवर्ड र दोस्रो कारकलाई एकल, फिसिङ-प्रतिरोधी प्रमाणीकरण चरणमा संयोजन गर्छन्। पासवर्ड टाइप गर्ने र त्यसपछि कोड प्रविष्ट गर्ने सट्टा, तपाईं केवल आफ्नो यन्त्रको बायोमेट्रिक सेन्सर वा PIN सँग प्रमाणीकरण गर्नुहुन्छ। आधारभूत FIDO2 क्रिप्टोग्राफीले पासवर्ड + TOTP संयोजनभन्दा बलियो सुरक्षा प्रदान गर्छ। तर, पासकी ग्रहण अझै बढ्दैछ — सबै सेवाहरूले अहिलेसम्म समर्थन गर्दैनन्। संक्रमण अवधिमा, पासकीलाई समर्थन नगरेका सेवाहरूमा परम्परागत 2FA (प्रमाणक एप वा हार्डवेयर कुञ्जी) प्रयोग गरिराख्नुहोस्।