Whalesbook
OTP ਦੀ ਕਮਜ਼ੋਰੀ ਸਾਹਮਣੇ ਆਈ
ਇੱਕ ਸਮੇਂ 'ਤੇ OTP (One-Time Password) ਡਿਜੀਟਲ ਸੁਰੱਖਿਆ ਦਾ ਅਹਿਮ ਹਿੱਸਾ ਸੀ, ਪਰ ਹੁਣ ਇਹ ਖੁਦ ਇੱਕ ਵੱਡਾ ਕਮਜ਼ੋਰ ਪਹਿਲੂ ਬਣ ਗਿਆ ਹੈ। ਧੋਖੇਬਾਜ਼ ਹੁਣ ਮਨੁੱਖੀ ਸੁਭਾਅ ਅਤੇ ਐਡਵਾਂਸ ਟੈਕਨਾਲੋਜੀ ਦਾ ਫਾਇਦਾ ਉਠਾ ਕੇ OTP ਸਿਸਟਮ ਨੂੰ ਆਸਾਨੀ ਨਾਲ ਟ੍ਰਿੱਕ ਕਰ ਰਹੇ ਹਨ। ਇਸ ਨਾਲ ਲੋਕਾਂ ਦਾ ਬੈਂਕਾਂ 'ਤੇ ਭਰੋਸਾ ਘਟ ਰਿਹਾ ਹੈ ਅਤੇ ਬੈਂਕਾਂ ਨੂੰ ਆਪਣੀ ਪਛਾਣ ਦੀ ਤਸਦੀਕ (Identity Verification) ਦੇ ਤਰੀਕਿਆਂ 'ਤੇ ਮੁੜ ਵਿਚਾਰ ਕਰਨਾ ਪੈ ਰਿਹਾ ਹੈ।
OTP ਦਾ ਕਿਵੇਂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਗਲਤ ਇਸਤੇਮਾਲ?
OTP, ਭਾਵੇਂ ਕਿ ਪਹਿਲਾਂ ਸਟੈਟਿਕ ਪਾਸਵਰਡ ਤੋਂ ਬਿਹਤਰ ਸਨ, ਪਰ ਹੁਣ Social Engineering ਅਤੇ interception ਰਾਹੀਂ ਆਸਾਨੀ ਨਾਲ ਠੱਗੀ ਦਾ ਸ਼ਿਕਾਰ ਬਣ ਰਹੇ ਹਨ। ਹੈਕਰ ਆਮ ਤੌਰ 'ਤੇ ਬੈਂਕ ਅਧਿਕਾਰੀ ਬਣ ਕੇ ਲੋਕਾਂ ਤੋਂ ਇਹ ਕੋਡ ਹਾਸਲ ਕਰ ਲੈਂਦੇ ਹਨ। SMS OTP ਖਾਸ ਤੌਰ 'ਤੇ SIM Swapping ਅਤੇ ਨੈੱਟਵਰਕ ਹਮਲਿਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹਨ, ਜਦੋਂ ਕਿ ਐਪ-ਜਨਰੇਟਿਡ OTP ਨੂੰ ਵੀ ਫੇਕ ਵੈੱਬਸਾਈਟਾਂ ਰਾਹੀਂ ਫੜਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਕਿਉਂਕਿ OTP ਸਿਰਫ ਇੱਕ ਕਾਰਕ (ਕੋਡ ਦਾ ਪੋਸੈਸ਼ਨ) 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ, ਜੇਕਰ ਕੋਡ ਪਹੁੰਚਾਉਣ ਦਾ ਤਰੀਕਾ ਜਾਂ ਯੂਜ਼ਰ ਦਾ ਡਿਵਾਈਸ ਕੰਪਰੋਮਾਈਜ਼ ਹੋ ਜਾਵੇ, ਤਾਂ ਸੁਰੱਖਿਆ ਫੇਲ ਹੋ ਜਾਂਦੀ ਹੈ। ਇਸ ਨਾਲ ਸਿੱਧੇ ਵਿੱਤੀ ਨੁਕਸਾਨ ਹੁੰਦੇ ਹਨ। ਸਿਰਫ 2024 ਵਿੱਚ ਅਮਰੀਕੀ ਖਪਤਕਾਰਾਂ ਨੇ $12.5 ਬਿਲੀਅਨ ਦੇ ਫਰਾਡ ਨੁਕਸਾਨ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਹੈ। ਵਿੱਤੀ ਅਦਾਰਿਆਂ ਨੂੰ ਕਾਰਜਕਾਰੀ ਲਾਗਤਾਂ, ਜ਼ਿਆਦਾ ਗਾਹਕ ਸੇਵਾਵਾਂ ਅਤੇ ਅੰਦਾਜ਼ੇ ਮੁਤਾਬਕ 2030 ਤੱਕ ਦੁਨੀਆ ਭਰ ਵਿੱਚ $58.3 ਬਿਲੀਅਨ ਦੇ ਫਰਾਡ ਨੁਕਸਾਨ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪਵੇਗਾ।
AI ਨੇ ਵਧਾਇਆ Sophisticated ਹਮਲਿਆਂ ਦਾ ਖਤਰਾ, ਘਟਿਆ ਭਰੋਸਾ
AI (Artificial Intelligence) ਅਤੇ Generative AI ਧੋਖੇਬਾਜ਼ਾਂ ਲਈ ਇੱਕ ਵੱਡਾ ਹਥਿਆਰ ਬਣ ਗਏ ਹਨ। ਇਹਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਹੁਣ ਬਹੁਤ ਭਰੋਸੇਮੰਦ ਫਿਸ਼ਿੰਗ (Phishing) ਮੈਸੇਜ ਅਤੇ ਡੀਪਫੇਕ (Deepfakes) ਬਣਾਏ ਜਾ ਰਹੇ ਹਨ, ਜਿਸ ਨਾਲ Social Engineering ਹਮਲੇ ਜ਼ਿਆਦਾ ਪ੍ਰਭਾਵੀ ਹੋ ਰਹੇ ਹਨ। ਉੱਤਰੀ ਅਮਰੀਕਾ ਵਿੱਚ, Social Engineering ਨਾਲ ਜੁੜੇ ਸਕੈਮਾਂ ਦੀਆਂ ਰਿਪੋਰਟਾਂ 2024 ਵਿੱਚ ਪਿਛਲੇ ਸਾਲ ਦੇ ਮੁਕਾਬਲੇ ਦਸ ਗੁਣਾ ਵੱਧ ਗਈਆਂ ਹਨ, ਜੋ ਕਿ ਹੁਣ ਸਾਰੇ ਡਿਜੀਟਲ ਬੈਂਕਿੰਗ ਫਰਾਡ ਦਾ 23% ਬਣਦੀਆਂ ਹਨ। ਇਸ ਨੇ ਗਾਹਕਾਂ ਦੇ ਭਰੋਸੇ ਨੂੰ ਗੰਭਰੀ ਤਰ੍ਹਾਂ ਨੁਕਸਾਨ ਪਹੁੰਚਾਇਆ ਹੈ; 2025 ਦੇ ਇੱਕ ਸਰਵੇਖਣ ਵਿੱਚ 78% ਲੋਕਾਂ ਨੇ ਆਨਲਾਈਨ ਡਾਟਾ ਸੁਰੱਖਿਆ ਬਾਰੇ ਚਿੰਤਾ ਜ਼ਾਹਰ ਕੀਤੀ, ਅਤੇ 44% ਨੇ ਡਾਟਾ ਦਾ ਨੁਕਸਾਨ, ਪਛਾਣ ਦੀ ਚੋਰੀ, ਜਾਂ ਆਨਲਾਈਨ ਧੋਖਾਧੜੀ ਦਾ ਅਨੁਭਵ ਕੀਤਾ।
ਐਡਵਾਂਸਡ Authentication ਵੱਲ ਵੱਧ ਰਹੀ ਹੈ ਇੰਡਸਟਰੀ
ਇਸ ਸਥਿਤੀ ਨਾਲ ਨਜਿੱਠਣ ਲਈ, ਵਿੱਤੀ ਖੇਤਰ ਆਪਣੀ ਸੁਰੱਖਿਆ ਰਣਨੀਤੀਆਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਬਦਲ ਰਿਹਾ ਹੈ। ਇੰਡਸਟਰੀ ਹੁਣ ਰਵਾਇਤੀ Multi-Factor Authentication (MFA) ਜਿਸ ਵਿੱਚ OTP 'ਤੇ ਜ਼ਿਆਦਾ ਨਿਰਭਰਤਾ ਸੀ, ਤੋਂ ਦੂਰ ਜਾ ਰਹੀ ਹੈ। ਇਸ ਦੀ ਥਾਂ ਹੁਣ Phishing-Resistant ਤਰੀਕੇ ਜਿਵੇਂ ਕਿ Passkeys (ਜੋ ਡਿਵਾਈਸ ਸੁਰੱਖਿਆ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ) ਵਰਗੇ Passwordless ਵਿਕਲਪਾਂ ਵੱਲ ਧਿਆਨ ਦਿੱਤਾ ਜਾ ਰਿਹਾ ਹੈ। Behavioral Biometrics, ਜੋ ਯੂਜ਼ਰ ਦੀਆਂ ਆਦਤਾਂ ਜਿਵੇਂ ਟਾਈਪਿੰਗ ਪੈਟਰਨ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਦੇ ਹਨ, ਵੀ ਤੇਜ਼ੀ ਨਾਲ ਵੱਧ ਰਹੇ ਹਨ, ਜੋ ਇੱਕ ਅਜਿਹੀ ਲਗਾਤਾਰ ਤਸਦੀਕ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ ਜਿਸਨੂੰ ਧੋਖੇਬਾਜ਼ਾਂ ਲਈ ਕਾਪੀ ਕਰਨਾ ਮੁਸ਼ਕਲ ਹੁੰਦਾ ਹੈ। AI-ਡਰਾਈਵਨ Adaptive Authentication, ਜੋ ਜੋਖਮ ਦੇ ਆਧਾਰ 'ਤੇ ਸੁਰੱਖਿਆ ਨੂੰ ਐਡਜਸਟ ਕਰਦੀ ਹੈ, ਹੁਣ ਸਟੈਂਡਰਡ ਬਣ ਰਹੀ ਹੈ। ਇਸ ਨਾਲ ਸਹੀ ਯੂਜ਼ਰਾਂ ਲਈ ਪ੍ਰਕਿਰਿਆ ਆਸਾਨ ਹੁੰਦੀ ਹੈ ਅਤੇ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀਆਂ ਵਿਰੁੱਧ ਰੱਖਿਆ ਮਜ਼ਬੂਤ ਹੁੰਦੀ ਹੈ। ਅੰਦਾਜ਼ਾ ਹੈ ਕਿ ਗਲੋਬਲ MFA ਮਾਰਕੀਟ 2030 ਤੱਕ $36.8 ਬਿਲੀਅਨ ਤੱਕ ਪਹੁੰਚ ਜਾਵੇਗਾ, ਜੋ ਨਵੀਂ ਸੁਰੱਖਿਆ ਵਿੱਚ ਵੱਡੇ ਨਿਵੇਸ਼ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।
OTP ਦੀਆਂ ਸੀਮਾਵਾਂ ਅਤੇ ਰੈਗੂਲੇਟਰੀ ਦਬਾਅ
OTP ਦੀ ਇੱਕ ਮੁੱਖ ਕਮਜ਼ੋਰੀ ਇਹ ਹੈ ਕਿ ਇਹ ਸਿਰਫ ਇੱਕ ਕੋਡ ਦੇ ਪੋਸੈਸ਼ਨ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੇ ਹਨ ਪਰ ਕੋਈ ਵਿਆਪਕ ਸੰਦਰਭ (Context) ਨਹੀਂ ਦਿੰਦੇ, ਜਿਸ ਕਾਰਨ ਉਹ Real-time ਹਮਲਿਆਂ ਲਈ ਕਮਜ਼ੋਰ ਹੁੰਦੇ ਹਨ ਜਿੱਥੇ ਕੋਡ ਚੋਰੀ ਕਰਕੇ ਤੁਰੰਤ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ 'Zero Trust' ਸੁਰੱਖਿਆ ਦੇ ਵਿਚਾਰਾਂ ਨਾਲ ਮੇਲ ਨਹੀਂ ਖਾਂਦਾ, ਜਿਸ ਵਿੱਚ ਲਗਾਤਾਰ ਤਸਦੀਕ ਅਤੇ ਭਰੋਸੇ ਦੀ ਘੱਟੋ-ਘੱਟ ਧਾਰਨਾ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਅਦਾਰੇ ਖਤਰੇ ਵਿੱਚ ਪੈ ਜਾਂਦੇ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, OTP ਦੇ ਖਰਚੇ ਅਤੇ ਯੂਜ਼ਰ ਦੀ ਪਰੇਸ਼ਾਨੀ - ਜਿਵੇਂ ਡਿਲੀਵਰੀ ਫੀਸ, ਜ਼ਿਆਦਾ ਗਾਹਕ ਸੇਵਾ ਸਮਾਂ, ਅਤੇ ਮੈਸੇਜ ਡਿਲੀਵਰੀ ਫੇਲ ਹੋਣਾ - ਉਹਨਾਂ ਦੇ ਘਟਦੇ ਸੁਰੱਖਿਆ ਮੁੱਲ ਤੋਂ ਵੱਧਦੇ ਜਾ ਰਹੇ ਹਨ। ਰੈਗੂਲੇਟਰ ਵੀ ਆਪਣਾ ਧਿਆਨ ਵਧਾ ਰਹੇ ਹਨ। Bank Secrecy Act (BSA) ਅਤੇ GDPR ਵਰਗੇ ਨਿਯਮ ਮਜ਼ਬੂਤ ਡਾਟਾ ਸੁਰੱਖਿਆ ਅਤੇ ਫਰਾਡ ਰੋਕਥਾਮ ਦੀ ਮੰਗ ਕਰਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਫਰਮਾਂ ਨੂੰ ਪੁਰਾਣੇ ਤਰੀਕਿਆਂ ਤੋਂ ਅੱਗੇ ਵਧਣ ਲਈ ਮਜਬੂਰ ਹੋਣਾ ਪੈ ਰਿਹਾ ਹੈ। ਸਿਰਫ OTP 'ਤੇ ਨਿਰਭਰ ਰਹਿਣਾ ਇੱਕ ਰਣਨੀਤਕ ਜੋਖਮ ਹੋ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਰੈਗੂਲੇਟਰੀ ਜੁਰਮਾਨੇ ਅਤੇ ਗਾਹਕਾਂ ਦੇ ਭਰੋਸੇ ਦਾ ਹੋਰ ਨੁਕਸਾਨ ਹੋ ਸਕਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਜਦੋਂ Account Takeover Fraud, ਜੋ ਅਕਸਰ OTP interception ਰਾਹੀਂ ਸੰਭਵ ਹੁੰਦਾ ਹੈ, ਸਾਲਾਨਾ ਅਰਬਾਂ ਡਾਲਰਾਂ ਦੇ ਨੁਕਸਾਨ ਦਾ ਕਾਰਨ ਬਣਿਆ ਹੋਇਆ ਹੈ।
ਭਵਿੱਖੀ Authentication ਵੱਲ ਇੱਕ ਕਦਮ
ਇੰਡਸਟਰੀ ਹੁਣ ਅਜਿਹੇ Authentication ਵੱਲ ਵਧ ਰਹੀ ਹੈ ਜੋ ਨਿਰਵਿਘਨ (Seamless), ਨਿਰੰਤਰ (Continuous) ਅਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਅਨੁਕੂਲ (Highly Adaptive) ਹੋਵੇ। Decentralized Identity Systems ਅਤੇ FIDO2 Standards ਵਰਗੇ ਨਵੇਂ ਹੱਲ ਸੱਚਮੁੱਚ Phishing-Resistant ਸੁਰੱਖਿਆ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ। ਵਿੱਤੀ ਅਦਾਰਿਆਂ ਨੂੰ ਇਹਨਾਂ ਐਡਵਾਂਸ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਅਪਣਾਉਣ ਦੀ ਪ੍ਰਕਿਰਿਆ ਤੇਜ਼ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਨਾਲ ਹੀ AI-ਪਾਵਰਡ ਫਰਾਡ ਡਿਟੈਕਸ਼ਨ ਅਤੇ ਯੂਜ਼ਰ ਬਿਹੇਵੀਅਰ ਐਨਾਲਿਸਿਸ ਨਾਲ ਇਹਨਾਂ ਨੂੰ ਜੋੜਨਾ ਚਾਹੀਦਾ ਹੈ। ਇਹ ਬਦਲਾਅ ਨਾ ਸਿਰਫ ਪਾਲਣਾ (Compliance) ਲਈ, ਬਲਕਿ ਡਿਜੀਟਲ ਵਿੱਤੀ ਦੁਨੀਆ ਵਿੱਚ ਗਾਹਕਾਂ ਦਾ ਭਰੋਸਾ ਮੁੜ ਬਣਾਉਣ ਅਤੇ ਉਭਰਦੇ ਖਤਰਿਆਂ ਤੋਂ ਅੱਗੇ ਰਹਿਣ ਲਈ ਵੀ ਜ਼ਰੂਰੀ ਹੈ।