OTP विना ऑनलाईन व्यवहार करण्याची 'ही' पद्धत माहितीये का?

कोरोनाच्या काळात सर्वच काही निराशादायक घडलं नाहीय. काही चांगल्या गोष्टीही घडल्या.

क्वारंटाईन झालेल्या एका तरुणाला लक्षात आलं की, OTP फ्लॅटफॉर्मवर रजिस्टर करणं फारच अवघड आहे. मग त्याने आपल्या डेटा अनॅलिस्टच्या कौशल्यांचा वापर केला आणि एक अशी पद्धत शोधून काढली, ज्यामुळे ऑनलाईन खरेदी आणि स्ट्रीमिंग अधिकाधिक वेगवान, सुरक्षित बनू शकते.

या तरुणाचा अनुभव इतरांसारखाच होता. म्हणजे, जेव्हा कधी तुम्ही एखाद्या खाद्यपदार्थाची ऑर्डर देता किंवा काही खरेदीसाठी ईमेल आयडी, फोन नंबर आणि पासवर्ड टाकता, तेव्हा OTP जनरेट होतो.

जेव्हा तुम्ही पुन्हा त्याच वेबासईटवर जाता आणि पासवर्ड विसरता, तेव्हा तुम्हाला OTP साठी सर्व प्रक्रिया पूर्ण करावी लागते. अनेकदा तर SMS वेळेत पोहोचत नाही आणि पर्यायाने OTP व्हेरीफिकेशन फेल होतं.

याच गोष्टीवर 23 वर्षीय प्रभात साहू या तरुणाने क्रिप्टोग्राफीच्या मदतीने उपाय शोधून काढलाय. यातून पासवर्ड आणि OTP विना व्यवहार करणं शक्य होऊ शकतं.

प्रभात साहूनं बीबीसी हिंदीशी बोलताना सांगितलं, "यात आधीपेक्षा कमी वेळ लागतो. आधी 1.5 मिनिट लागत होता आणि आता केवळ 0.6 सेकंदांचा अवधी लागतो. जेव्हा OTP जनरेट होतो, तेव्हा 19 पैसे आकारले जातात. यात 5 पैसे कमी लागतील. एखादी बँक दरवर्षी 2.6 कोटी रुपये वाचवू शकते."

प्रभात साहूने SAW लॅबची स्थापना केली आहे. SAW म्हणजे सिक्योर ऑथेंटिकेशन विदाऊट OTP.

हे तंत्रज्ञान कसं काम करतं?

जी कुठली कंपनी SAW च्या तंत्रज्ञानाचा वापर करेल, त्या कंपनीला साइन अप करताना ईमेल आयडी किंवा फोन नंबर टाकावा लागेल. मात्र, इथे फरक असा आहे की, यात स्क्रीन लॉक ट्रिगरचा वापर होईल. यात दोन की बनतात. पहिली की खासगी आणि दुसरी सार्वजनिक असते.

जी खासगी की बनते, ती डिव्हाईसमध्ये राहते आणि दुसरी की सर्व्हरमध्ये सेव्ह होते. त्यामुळे जेव्हा तुम्ही पुन्हा व्यवहार करता, त्यावेळी तुम्हाला OTP ची आवश्यकता भासत नाही. जेव्हा तुम्ही व्यवहार प्रक्रिया सुरू करता, तेव्हा खासगी की आणि सार्वजनिक की जोडल्या जातात आणि त्यातून योग्य असल्याला दुजोरा मिळतो.

प्रभात साहू सांगतो, "हे सर्व इनव्हॉईस नंबर कम्युनिकेट होण्यासारखे आहेत. ज्यामध्ये इनव्हॉईसचा नंबर तर कम्युनिकेट होतो, पण त्यावर लिहिलेली रक्कम नाही होत. सार्वजनिक की अल्फा न्युमरिक कोड असते, जी प्रत्येकवेळी बदलत राहते आणि त्यातूनच व्यवहार होत राहतात."

फोन नंबर हरवल्यास बदलण्याची वेळ येते, तेव्हा युजरला केवळ नव्या फोनला पुन्हा जोडावं लागतं.

हे तंत्रज्ञान किती सुरक्षित आहे?

प्रभात साहू सांगतो, "आम्ही काहीच स्टोअर करून ठेवत नाही. आमचं क्लाऊड पूर्णपणे रिकामं आहे. आम्ही केवळ ग्राहकांच्या डिव्हाईसमध्ये स्टोअर करतो. आम्ही इनक्रिप्ट आणि डिक्रिप्शन पद्धतीचा वापर सर्व्हर आणि डिव्हाईसमध्ये असलेल्या कीला ट्रिगर करण्यासाठी करतो. त्यामुले कुणी जरी हॅक करू पाहिलं, तरी त्याला डिव्हाईस, क्लाऊड आणि सर्व्हर अशा तिन्ही गोष्टींना एकत्र हॅक करावं लागेल."

"जर हॅकर क्वांटम कम्प्युटिंगचा वापर करत असेल, तर त्याला ईमेल आयडी आणि मोबाईल नंबर मिळायला अडीच तास लागतील. तरीही तो एकाच अकाऊंटला हॅक करू शकेल. कारण आम्ही प्रत्येक गोष्टीला कम्पार्टमेंटेलाइज करून ठेवतो," असं प्रभात सांगतो.

SAWO लॅबला सप्टेंबरपासून डिसेंबरपर्यंत साडेपाच कोटींचा निधी स्टार्टअप एक्ससीडकडून मिळाला आहे. एक्ससीडने दोन कारणांसाठी निधी दिलाय.

एक्ससीडच्या प्रवक्त्यांनी बीबीसी हिंदीला सांगितलं, "SAWO कमी किंमतीत सिक्युरिटी पुरवतेय. FIDO पासवर्डविना मल्टी फॅक्टर दुजोरा देणाऱ्या तंत्रज्ञानाचा वापर करते, जे आजच्या घडीला सर्वात सुरक्षित मानलं जातं."

आयआयटी मद्रासमध्ये क्रिप्टोग्राफी शिकवणारे प्रोफेसर सी पांडुरंगन यांनी बीबीसी हिंदीशी बोलताना सांगितलं, जे तंत्रज्ञान वापरलं जातंय, ते असुरक्षित नाहीय.

ते सांगतात, "यात जे तंत्रज्ञान वापरलं गेलंय, ते सुरक्षेच्या दृष्टीने बरोबर आहे. जर तुम्ही ब्लॉकचेन टेक्नॉनॉजीला पाहिलंत, तर तेही याच पद्धतीने काम करतात. तुमच्याकडून ज्या कीचा वापर केला जातो, तिला साईनिंग की म्हणतात आणि दुसऱ्या कीला सार्वजनिक की म्हणतात.

ती व्हेरिफिकेशन की असते. ब्लॉकचेनमध्ये कुणाला हे माहित नसतं की, दुसऱ्या बाजूला कोण आहे. या तंत्रज्ञानाचा वापर या (प्रभात साहू) व्यक्तीने केला आहे. तुमच्या डिव्हाईसमध्ये असणाऱ्या कीवरून या गोष्टीला दुजोरा मिळतो की, ऑनलाईन ऑर्डर करणारे तुम्हीच आहात."

सायबरविषयक कायद्यांचे तज्ज्ञ नवी विजयशंकर यांनी बीबीसी हिंदीशी बोलताना सांगितलं की, "खासगी की आणि सार्वजनिक की यांच्या सोबतच तंत्रज्ञान क्षणतेबाबतही कुठली सम्या असू नये. मात्र, यात कायदेशीर बाबींची कमतरता आहे."

तंत्रज्ञान आणि कायदे

विजयशंकर पुढे सांगतात, "FIDO प्रोटोकॉल माहिती तंत्रज्ञान अधिनियमानुसार प्रमाणित नाहीय. FIDO मध्ये क्लाऊडआधारित प्रमाणन प्रणाली आहे, ज्यात खासगी आणि सार्वजनिक की बनवली जाते. खासगी की कंपनीकडून जनरेट करून मला दिली जाऊ शकत नाही. म्हणजे, हे डिजिटल स्वाक्षरीसाठी माझ्या अर्जावर एखाद्या कंपनीनं आपला शिक्का मारला असेल. मी माझ्या कॉम्प्युटरला त्यांच्या सर्टिफिकेशन जारी करणाऱ्या सर्व्हरला जोडतो आणि माझ्या कॉम्प्युटरवर खासगी आणि सार्वजनिक की जनरेट होते. याचा अर्थ असा की, जी संस्था प्रमाणित करतेय, तिला खासगी कीची कॉपी मिळत नाहीय."

एक्ससीडच्या प्रवक्त्यांच्या मते, "RBI च्या म्हणण्यानुसार, बँकिंग अर्जाच्या प्रमाणिकरणासाठी दोन स्तरावरील दुजोऱ्याची गरज असते. त्यासाठी ओटीपी, डिजिटल सिग्नेचर, की आधारित मेसेज कोड यांसारखी माध्यमं वापरण्याचा सल्ला दिला जातो. SAWO क्रिप्टोग्राफीच्या मदतीने खासगी आणि सार्वजनिक कीचा वापर करते आणि FIDO च्या सिद्धांताचं पालन करते. त्यामुळे याचा वापर बँकिंग व्यवहारात होऊ शकतं."

विजयशंकर सांगतात, "2016 साली तयार केलेल्या कायद्यात बदल करण्याचा अधिकार सरकारकडे आहे. इलेक्ट्रिक साईनची सुविधाही देण्यात आली होती. डिजिटल स्वाक्षरी आणि ई-स्वाक्षरी असे दोन प्रकार आता आपल्याकडे उपलब्ध आहेत. आपल्याकडे तंत्रज्ञान आहे. मात्र, आजच्या घडीला त्याला कायद्याची परवानगी नाही."

मात्र, इंडिया ऑटोमेटेडचे लेखक प्रांजल शर्मा यांनी बीबीसी हिंदीला सांगितलं, "तंत्रज्ञान प्रणालीसाठी जबाबदार आणि कायद्याचं दायित्व कणखर करण्याची आवश्यकता आहे. मात्र, तंत्रज्ञान लागू करण्यासाठी जास्त वेळ लागणार नाही, असं हे व्हायला हवं,"

"तंत्रज्ञानाबाबत सरकारचं धोरण असं असलं पाहिजे की, या क्षेत्रात नवे बदलाच्या दृष्टीने सकारात्मकता असेल. कुठल्या विशिष्ट हेतूऐवजी त्यात एक उद्देश लक्षात ठेवला पाहिजे," असं प्रांजल शर्मा सांगतात.

गेल्या काही आठवड्यांपासून दोन डझन क्लाएंट SAWO लॅबशी जोडले गेले आहेत.

हे वाचलंत का?

(बीबीसी मराठीचे सर्व अपडेट्स मिळवण्यासाठी तुम्ही आम्हाला फेसबुक, इन्स्टाग्राम, यूट्यूब, ट्विटर वर फॉलो करू शकता.रोज रात्री8 वाजता फेसबुकवर बीबीसी मराठी न्यूज पानावर बीबीसी मराठी पॉडकास्ट नक्की पाहा.)