• ८ मंसिर २०८१, शनिबार

ओटीपी नै ‘बाइपास’ !

blog

काठमाडौँ, असार १३ गते । अनलाइन क्रियाकलाप सुरक्षित बनाउन प्रयोग गरिने वन टाइम पासवर्ड (ओटीपी) नै असुरक्षित बन्न थालेको छ । सेवाप्रदायकले उपलब्ध गराएको ‘सर्ट कोड’बाट प्राप्त हुनुपर्ने ओटीपी व्यक्तिगत मोबाइल नम्बरबाट समेत आउन थालेपछि यसको सुरक्षामा प्रश्न उठ्न थालेको छ । 

पछिल्लो सयम जिमेल, फेसबुकजस्ता कम्पनीबाट प्राप्त हुने केही ओटीपी प्रयोगकर्ताले नेपालका मोबाइल नम्बरबाट प्राप्त गर्न थालेका छन् । यसअघि सम्बन्धित कम्पनीकै नाम र सर्ट कोडबाट प्राप्त हुने त्यस्ता ओटीपी व्यक्तिगत नम्बरबाट आउन थालेपछि प्रयोगकर्ता भयमा छन् ।

पछिल्लो समय ९८२९६२८४९२, ९८२५५९९०६८, ९८२५५९९७४७ जस्ता मोबाइल नम्बरबाट यस किसिमको ओटीपी आउन थालेको छ । यस्ता नम्बरको सङ्ख्या दर्जनौँ पुगिसकेको छ । अन्तर्राष्ट्रिय गेटवेमार्फत प्राप्त हुने त्यस्ता ओटीपी एसएमएस बीचमा नै बाइपास गरेर सेवाप्रदायकलाई छल्दै व्यक्तिका नम्बरबाट प्राप्त हुने गरेका छन् । 

यसले प्रयोगकर्ताको महìवपूर्ण डेटासँग पहुँच राख्न सक्ने गम्भीर अवस्था सिर्जना हुने साइबर सुरक्षाविज्ञ विजय लिम्बू बताउनुहुन्छ । “एसएमएस बाइपास गर्नेले ओटीपीमा पहुँच राख्ने भएकाले त्यसबाट प्रयोगकर्ताको गोपनीयता बाहिरिन सक्ने जोखिम सधैँ हुन्छ,” उहाँले भन्नुभयो । यस्तोमा पठाउनेलाई ओटीपी पुगे नपुगेको निश्चित पनि नहुने उहाँले बताउनुभयो । केही समयअघि उहाँ आफैँले पनि जिमेल लग इन गर्दा नेपालको मोबाइल नम्बरबाट ओटीपी प्राप्त भएपछि त्यो प्रयोग गर्ने कि नगर्ने भन्ने द्विविधामा पर्दै प्रयोग गरेको सुनाउनुभयो ।

ओटीपी बाइपास हुँदा प्रयोगकर्ताको डेटासम्म पहुँच राख्ने जोखिमसँगै सेवाप्रदायकको आम्दानी गुम्ने अवस्था पनि बन्ने नेपाल टेलिकमका प्रवक्ता शोभन अधिकारीले जानकारी दिनुभयो । “यो आफैँमा गम्भीर कुरा हो । गोपनीयता भङ्ग हुने जोखिमसँगै ओटीपीबाट हुने आम्दानीलाई पनि यसले असर गर्छ,” उहाँले भन्नुभयो । यद्यपि अहिलेसम्म टेलिकमका नम्बरबाट त्यसरी ओटीपी नगएको उहाँले स्पष्ट पार्नुभयो । ओटीपी बाइपासका घटना बढेपछि टेलिकमले ‘फिल्टरिङ’ भने गरिरहेको उहाँले जानकारी दिनुभयो । 

सुरक्षाका लागि ओटीपीको प्रयोग बढेपछि दूरसञ्चार सेवाप्रदायकलाई यो आम्दानीको नयाँ स्रोत पनि बनेको छ । ओटीपीबाट नै सेवाप्रदायकले वार्षिक २० करोड रुपियाँभन्दा बढी आम्दानी गर्छन् । ओटीपीका रूपमा प्राप्त हुने एसएमएस बाइपास भइरहेको जानकारी भएको र यसलाई रोक्ने प्रयत्नसमेत भइरहेको नेपाल दूरसञ्चार प्राधिकरणका निर्देशक विजय रोयले जानकारी दिनुभयो । उहाँका अनुसार एउटै नम्बरबाट अत्यधिक एसएमएस गए नगएको परीक्षण गर्ने र त्यसो भएमा प्राधिकरणले ब्लक गर्न सक्नेछ । बाइपास हुँदा सबै पक्षलाई क्षति हुने भए पनि गोपनीयता बाहिरिनु सबैभन्दा जोखिम भएकाले प्रयोगकर्तालाई बढी असर पर्ने उहाँको भनाइ छ । 

के हो ओटीपी ?

ओटीपी एक किसिमको एसएमएस (म्यासेज) हो । जहाँ म्यासेज पठाउनेले सुरक्षाका लागि निश्चित अङ्क प्रयोगकर्तालाई पठाएको हुन्छ । सो अङ्क राखेपछि पठाउनेलाई सम्बन्धित व्यक्तिले नै प्रयोग गरिरहेको निश्चित हुन्छ । मोबाइल नम्बरमा एसएमएसका रूपमा ओटीपी पठाइने भएकोले ‘भेरिफिकेसन’का लागि यो अहिलेसम्मकै सबैभन्दा भरपर्दो माध्यमका रूपमा हेरिँदै आएको छ । 

नेपालमा पनि बैङ्क, भुक्तानी सेवाप्रदायक अथवा कतिपय सरकारी कार्यालयले सम्बन्धित व्यक्तिको पहिचानका लागि ओटीपीलाई नै विश्वस्त आधारका रूपमा लिइरहेका छन् । चर्चित प्रविधि कम्पनीले पनि आफ्नो प्रयोगकर्ताको पहिचान र सुरक्षा गोपनीयताको संरक्षणका लागि ओटीपी प्रयोग गर्छन् । ‘टु वे भेरिफिकेसन’ तथा लग इनका क्रममा ओटीपीको प्रयोग हुन्छ । 

कसरी हुन्छ बाइपास ?

सामान्यतया ओटीपी एप्लिकेसनबाट व्यक्तिसम्म पुग्छ, जसलाई एटुपी अर्थात् ‘एप्लिकेसन टु पर्सन’ पनि भनिन्छ । यस बीचमा अन्तर्राष्ट्रिय एप्लिकेसनबाट प्राप्त हुने एसएमएस बीचका ‘क्यारियर’ले सम्बन्धित देशका दूरसञ्चार सेवाप्रदायकसम्म पु¥याउँछन् । यसरी एप्लिकेसनबाट प्राप्त एसएमएस पु-याउन क्यारियरले सेवाप्रदायकसँग व्यापारिक सम्झौता गर्छन् । जुन सामान्य एसएमएसको शुल्कको तुलनामा बढी हुन्छ तर क्यारियरबाट सेवाप्रदायकसम्म नपुगी बीचबाटै अन्य कसैले यसलाई आफ्नो नेटवर्कमा ल्याएर ‘बाइपास’ गरिदिन सक्छन् ।  कल बाइपास र एसएमएस बाइपासको एउटै तरिका हुन्छ तर बाइपास गर्नेले एसएसएस सजिलै बुझ्न सक्ने भएकाले कल बाइपासभन्दा यो गोपनीयताको हिसाबले एकदमै गम्भीर मानिन्छ ।