বহু-ধাপের প্রমাণীকরণ (এমএফএ/MFA ; দুই-ধাপের প্রমাণীকরণ, বা ২এফএ/2FA, অনুরূপ পদ সহ) একটি ইলেকট্রনিক প্রমাণীকরণ পদ্ধতি যেখানে একজন ব্যবহারকারীকে একটি প্রমাণীকরণ প্রক্রিয়ায় সফলভাবে দুই বা ততোধিক প্রমাণ (বা কারণ) উপস্থাপন করার পরেই একটি ওয়েবসাইট বা অ্যাপ্লিকেশনে প্রবেশাধিকার দেওয়া হয়। বহু-ধাপের প্রমাণীকরণ একটি অননুমোদিত তৃতীয় পক্ষের দ্বারা প্রবেশাধিকার করা থেকে ব্যক্তিগত তথ্যকে রক্ষা করে (যার মধ্যে ব্যক্তিগত শনাক্তকরণ বা আর্থিক সম্পদ অন্তর্ভুক্ত থাকতে পারে), যে তৃতীয় পক্ষ উক্ত তথ্য উদঘাটন করতে সক্ষম হতে পারে, উদাহরণস্বরূপ, একটি একক পাসওয়ার্ড৷
একটি তৃতীয়-পক্ষের প্রমাণীকরণকারী (টিপিএ/TPA) অ্যাপ প্রমাণীকরণে ব্যবহার করার জন্য সাধারণত একটি এলোমেলোভাবে তৈরি করা এবং ঘন ঘন পরিবর্তন করা কোড দেখিয়ে দুই-ধাপের প্রমাণীকরণ সক্ষম করে।
প্রমাণীকরণ ঘটে যখন কেউ একটি কম্পিউটার সংস্থান (যেমন একটি কম্পিউটার নেটওয়ার্ক, যন্ত্র বা অ্যাপ্লিকেশন) লগ ইন করার চেষ্টা করে। সংস্থানটির জন্য ব্যবহারকারীকে সেই পরিচয় সরবরাহ করতে হবে যার মাধ্যমে ব্যবহারকারী সংস্থানের কাছে পরিচিত, সেই পরিচয়ে ব্যবহারকারীর দাবির সত্যতার প্রমাণ সহ পরিচয় সরবরাহ করতে হবে। সহজ প্রমাণীকরণের জন্য শুধুমাত্র একটি প্রমাণের (ধাপ) প্রয়োজন, সাধারণত একটি পাসওয়ার্ড। অতিরিক্ত নিরাপত্তার জন্য সংস্থানের একাধিক ধাপ–বহু-ধাপের প্রমাণীকরণ প্রয়োজন হতে পারে, বা দুই-ধাপের প্রমাণীকরণের ক্ষেত্রে ঠিক দুটি প্রমাণ সরবরাহ করতে হবে।[১]
একজনের পরিচয় প্রমাণ করার জন্য একাধিক প্রমাণীকরণ কারণের ব্যবহার এই ভিত্তির উপর নির্ভর করে যে একজন অননুমোদিত অভিনেতা প্রবেশাধিকারের জন্য প্রয়োজনীয় উপাদানগুলি সরবরাহ করতে সক্ষম হবেন না। যদি, প্রমাণীকরণের প্রচেষ্টায় উপাদানগুলির মধ্যে অন্তত একটি অনুপস্থিত থাকে বা ভুলভাবে সরবরাহ করা হয়, তবে ব্যবহারকারীর পরিচয় পর্যাপ্ত নিশ্চিততার সাথে প্রতিষ্ঠিত হয় না এবং বহু-ধাপের প্রমাণীকরণ দ্বারা সুরক্ষিত সংস্থানে (যেমন, একটি স্থাপন, বা উপাত্ত) প্রবেশাধিকার অবরুদ্ধ থাকে। একটি বহু-ধাপের প্রমাণীকরণ পদ্ধতির প্রমাণীকরণ কারণগুলির মধ্যে অন্তর্ভুক্ত থাকতে পারে:[২]
দুই-ধাপের প্রমাণীকরণের একটি উদাহরণ হল এটিএম থেকে টাকা তোলা; যা শুধুমাত্র একটি ব্যাঙ্ক কার্ড (ব্যবহারকারীর কাছে থাকা কিছু) এবং একটি পিন (ব্যবহারকারীর জানা কিছু) এর সঠিক সমন্বয়ই লেনদেন সম্পন্ন করতে দেয়। আরো দুটি উদাহরণ হল ব্যবহারকারী-নিয়ন্ত্রিত পাসওয়ার্ডের সাথে একটি একবার ব্যবহারযোগ্য ওয়ান-টাইম পাসওয়ার্ড (ওটিপি/OTP) বা প্রমাণীকরণকারীর (যেমন একটি নিরাপত্তা প্রতীক বা স্মার্টফোন) দ্বারা তৈরি করা বা প্রাপ্ত কোডের পরিপূরক যা শুধুমাত্র ব্যবহারকারীরই আছে।[৩]
একটি তৃতীয় পক্ষের প্রমাণীকরণকারী অ্যাপ সাধারণত একটি এলোমেলোভাবে তৈরি করা এবং ক্রমাগত শোধনকারী কোড দেখানোর মাধ্যমে একটি ভিন্ন উপায়ে দুই-ধাপের প্রমাণীকরণ সক্ষম করে, যা ব্যবহারকারী একটি এসএমএস পাঠানো বা অন্য পদ্ধতি ব্যবহার করার পরিবর্তে ব্যবহার করতে পারে। এই অ্যাপগুলির একটি বড় সুবিধা হল যে তারা সাধারণত ইন্টারনেট সংযোগ ছাড়াই কাজ করতে থাকে। তৃতীয় পক্ষের প্রমাণীকরণকারী অ্যাপ্লিকেশনগুলির উদাহরণের মধ্যে রয়েছে গুগল প্রমাণীকরণকারী, প্রমাণীকরণকারী এবং মাইক্রোসফ্ট প্রমাণীকরণকারী; কিছু পাসওয়ার্ড পরিচালকও এ পরিষেবা প্রদান করে।[৪]
জ্ঞানের ধাপ প্রমাণীকরণের একটি প্রকার। এই প্রকারে ব্যবহারকারীকে প্রমাণীকরণের জন্য একটি গোপন জ্ঞান প্রমাণ করতে হবে।
একটি পাসওয়ার্ড হল একটি গোপন শব্দ বা অক্ষরের ধারা যা ব্যবহারকারীর প্রমাণীকরণের জন্য ব্যবহৃত হয়। এটি প্রমাণীকরণের সর্বাধিক ব্যবহৃত পদ্ধতি।[২] অনেক বহু-ধাপের প্রমাণীকরণ কৌশল প্রমাণীকরণের একটি কারণ হিসাবে পাসওয়ার্ডের উপর নির্ভর করে। ভিন্নতার মধ্যে রয়েছে একাধিক শব্দ (একটি পাসফ্রেজ) থেকে গঠিত দীর্ঘ এবং ছোট, বিশুদ্ধভাবে সংখ্যাসূচক, পিন যা সাধারণত এটিএম প্রবেশাধিকারের জন্য ব্যবহৃত হয়। ঐতিহ্যগতভাবে, পাসওয়ার্ডগুলি মুখস্থ করা হবে বলে আশা করা হয়, তবে এটি একটি লুকানো কাগজ বা টেক্সট ফাইলেও লেখা যেতে পারে।
দখল ধাপ ("এমন কিছু যা শুধুমাত্র ব্যবহারকারীরই আছে") বহু শতাব্দী ধরে প্রমাণীকরণের জন্য তালার চাবি আকারে ব্যবহার করা হয়েছে। এর মূল নীতিটি হল চাবিটি একটি গোপনীয়তাকে মূর্ত করে যা তালা এবং চাবির মধ্যে ভাগ করা হয় এবং একই নীতিটি কম্পিউটার সিস্টেমে দখল ধাপের প্রমাণীকরণের অন্তর্গত। একটি নিরাপত্তা প্রতীক একটি দখল ধাপের একটি উদাহরণ।
সংযোগ বিচ্ছিন্ন প্রতীকগুলোর ক্লায়েন্ট কম্পিউটারের সাথে কোন সংযোগ নেই৷ তারা সাধারণত উৎপন্ন প্রমাণীকরণ উপাত্ত প্রদর্শন করতে একটি অন্তর্নির্মিত পর্দা ব্যবহার করে, যা ব্যবহারকারী দ্বারা স্বয়ংক্রিয়ভাবে টাইপ করা হয়। এই ধরনের প্রতীক বেশিরভাগই একটি ওটিপি ব্যবহার করে যা শুধুমাত্র সেই নির্দিষ্ট অধিবেশনের জন্য ব্যবহার করা যেতে পারে।[৫]
সংযুক্ত প্রতীকগুলি এমন যন্ত্র যা ব্যবহার করার জন্য কম্পিউটারের সাথে শারীরিকভাবে সংযুক্ত থাকে। এই যন্ত্রগুলো স্বয়ংক্রিয়ভাবে উপাত্ত প্রেরণ করে।[৬] ইউএসবি প্রতীক, স্মার্ট কার্ড এবং ওয়্যারলেস ট্যাগ সহ বিভিন্ন প্রকারের সংখ্যা রয়েছে।[৬] ক্রমবর্ধমানভাবে ফিডো২ সক্ষম টোকেন, ফিডো অ্যালায়েন্স এবং ওয়ার্ল্ড ওয়াইড ওয়েব কনসোর্টিয়াম (W3C) দ্বারা সমর্থিত, যা ২০১৫ থেকে শুরু হওয়া মূলধারার ব্রাউজার সমর্থনের সাথে জনপ্রিয় হয়ে উঠেছে।
বহু-ধাপের প্রমাণীকরণ শারীরিক নিরাপত্তা ব্যবস্থায়ও প্রয়োগ করা যেতে পারে। এই শারীরিক নিরাপত্তা ব্যবস্থা পরিচিত এবং সাধারণভাবে প্রবেশাধিকার নিয়ন্ত্রণ হিসাবে উল্লেখ করা হয়। বহু-ধাপের প্রমাণীকরণ সাধারণত ব্যবহারের মাধ্যমে প্রবেশাধিকার নিয়ন্ত্রণ পদ্ধতিতে স্থাপন করা হয়, প্রথমত, একটি শারীরিক দখল (যেমন একটি ফোব, কীকার্ড, বা একটি যন্ত্রে প্রদর্শিত কিউআর-কোড) যা সনাক্তকরণের প্রমাণপত্র হিসাবে কাজ করে এবং দ্বিতীয়ত, একটি বৈধতা একজনের পরিচয় যেমন মুখের বায়োমেট্রিক্স বা রেটিনাল স্ক্যান। বহু-ধাপের প্রমাণীকরণের এই প্রকারটিকে সাধারণত মুখের যাচাই বা মুখের প্রমাণীকরণ হিসাবে উল্লেখ করা হয়।
এগুলি ব্যবহারকারীর সাথে যুক্ত কারণ এবং সাধারণত আঙুলের ছাপ, মুখ,[৭] কন্ঠস্বর বা কনীনিকা স্বীকৃতি সহ বায়োমেট্রিক পদ্ধতি। আচরণগত বায়োমেট্রিক্স যেমন কীস্ট্রোক ডায়নামিক্সও ব্যবহার করা যেতে পারে।
পাঠ্য বার্তার উপর দুই ধাপের প্রমাণীকরণ ১৯৯৬ সালের প্রথম দিকে বিকশিত হয়েছিল, যখন এটি&টি দ্বি-মুখী পেজারে কোডের বিনিময়ের ভিত্তিতে লেনদেন অনুমোদনের জন্য একটি পদ্ধতি বর্ণনা করেছিল।[৮][৯]
অনেক বহু-ধাপের প্রমাণীকরণ বিক্রেতারা মোবাইল ফোন-ভিত্তিক প্রমাণীকরণ প্রদান করে। কিছু পদ্ধতির মধ্যে রয়েছে পুশ-ভিত্তিক প্রমাণীকরণ, কিউআর কোড-ভিত্তিক প্রমাণীকরণ, ওয়ান-টাইম পাসওয়ার্ড প্রমাণীকরণ (ঘটনা-ভিত্তিক এবং সময়-ভিত্তিক), এবং এসএমএস-ভিত্তিক যাচাইকরণ। এসএমএস-ভিত্তিক যাচাইকরণ কিছু নিরাপত্তা উদ্বেগের কারণে ভোগে। ফোন অনুকৃতি করা যেতে পারে, অ্যাপগুলি বেশ কয়েকটি ফোনে চলতে পারে এবং মুঠোফোন রক্ষণাবেক্ষণ কর্মীরা এসএমএস পাঠ্য পড়তে পারে। যদি তাও না হয় তবে, মুঠোফোনগুলো সাধারণভাবে হ্যাক করা যেতে পারে, যার অর্থ ফোনটি আর এমন কিছু নয় যা শুধুমাত্র ব্যবহারকারীর আছে৷
ব্যবহারকারীর কাছে থাকা কিছুসহ প্রমাণীকরণের প্রধান ত্রুটি হল ব্যবহারকারীকে বাস্তবিকভাবে সর্বদা শারীরিক প্রতীক (ইউএসবি স্টিক, ব্যাঙ্ক কার্ড, চাবি বা অনুরূপ) বহন করতে হবে। ক্ষতি এবং চুরি ঝুঁকি। ম্যালওয়্যার এবং তথ্য চুরির ঝুঁকির কারণে অনেক সংস্থা ইউএসবি এবং ইলেকট্রনিক যন্ত্রগুলোকে প্রাঙ্গনে বা বাইরে বহন করতে নিষেধ করে এবং একই কারণে সবচেয়ে গুরুত্বপূর্ণ যন্ত্রগুলোতে ইউএসবি পোর্ট নেই৷ শারীরিক প্রতীকগুলি সাধারণত স্কেল করে না, সাধারণত প্রতিটি নতুন অ্যাকাউন্ট এবং সিস্টেমের জন্য একটি নতুন প্রতীকের প্রয়োজন হয়। এই ধরনের প্রতীক সংগ্রহ করা এবং পরবর্তীতে প্রতিস্থাপন করা খরচ জড়িত। উপরন্তু, ব্যবহারযোগ্যতা এবং নিরাপত্তার মধ্যে অন্তর্নিহিত দ্বন্দ্ব এবং অনিবার্য ভারসাম্য রয়েছে।[১০]
মোবাইল ফোন এবং স্মার্টফোন জড়িত দুই-ধাপের প্রমাণীকরণ নিবেদিত শারীরিক যন্ত্রের বিকল্প প্রদান করে। প্রমাণীকরণের জন্য লোকেরা যন্ত্রে তাদের ব্যক্তিগত প্রবেশাধিকার কোড ব্যবহার করতে পারে (অর্থাৎ এমন কিছু যা শুধুমাত্র স্বতন্ত্র ব্যবহারকারীই জানে) এবং একটি এক-কালীন বৈধ, গতিশীল পাসকোড, যা সাধারণত ৪ থেকে ৬ সংখ্যা বিশিষ্ট। পাসকোডটি এসএমএসের মাধ্যমে তাদের মোবাইল ডিভাইসে[১] পাঠানো যেতে পারে বা এককালীন পাসকোড-উৎপাদক অ্যাপ দ্বারা তৈরি করা যেতে পারে। উভয় ক্ষেত্রেই একটি মোবাইল ফোন ব্যবহার করার সুবিধা হল একটি অতিরিক্ত নিবেদিত প্রতীকের প্রয়োজন নেই, কারণ ব্যবহারকারীরা সর্বদা তাদের মোবাইল যন্ত্রগুলোকে সাথে রাখে।
এসএমএস যাচাইকরণের জনপ্রিয়তা সত্ত্বেও নিরাপত্তা আইনজীবীরা প্রকাশ্যে এসএমএস যাচাইকরণের সমালোচনা করেছেন,[১১] এবং জুলাই ২০১৬ সালে মার্কিন যুক্তরাষ্ট্রের একটি এনআইএসটি খসড়া নির্দেশিকা এটিকে প্রমাণীকরণের একটি প্রকার হিসাবে অবমূল্যায়ন করার প্রস্তাব করেছিল।[১২] এক বছর পরে এনআইএসটি চূড়ান্ত নির্দেশিকাতে একটি বৈধ প্রমাণীকরণ চ্যানেল হিসাবে এসএমএস যাচাইকরণ পুনঃস্থাপন করেছে।[১৩]
যথাক্রমে ২০১৬ এবং ২০১৭ সালে গুগল এবং অ্যাপল উভয়ই বিকল্প পদ্ধতি হিসাবে পুশ নোটিফিকেশন[২] সহ ব্যবহারকারীর দুই-ধাপের প্রমাণীকরণ প্রদান করা শুরু করে।[১৪][১৫]
মোবাইল সরবরাহকৃত নিরাপত্তা প্রতীকগুলির নিরাপত্তা সম্পূর্ণরূপে মোবাইল অপারেটরের অপারেশনাল নিরাপত্তার উপর নির্ভর করে এবং জাতীয় নিরাপত্তা সংস্থার দ্বারা ওয়্যারট্যাপিং বা সিম অনুকৃতির মাধ্যমে সহজেই তা লঙ্ঘন করা যেতে পারে।[১৬]
সুবিধা:
অসুবিধা:
পেমেন্ট কার্ড ইন্ডাস্ট্রি (পিসিআই) ডেটা সিকিউরিটি স্ট্যান্ডার্ড, রিকুয়্যারমেন্ট ৮.৩ নেটওয়ার্কের বাইরে থেকে কার্ড ডেটা এনভায়রনমেন্ট (সিডিই) থেকে উদ্ভূত সমস্ত দূরবর্তী নেটওয়ার্ক প্রবেশাধিকারের জন্য এমএফএ ব্যবহার বাধ্যতামূলক।[২০] পিসিআই-ডিএসএস সংস্করণ ৩.২ থেকে শুরু করে ব্যবহারকারী একটি বিশ্বস্ত নেটওয়ার্কের মধ্যে থাকলেও সিডিই-তে সমস্ত প্রশাসনিক প্রবেশাধিকার জন্য বহু-ধাপের প্রমাণীকরণ ব্যবহার বাধ্যতামূলক।
দ্বিতীয় অর্থপ্রদান পরিষেবা নির্দেশিকাতে ১৪ সেপ্টেম্বর ২০১৯ থেকে ইউরোপীয় অর্থনৈতিক অঞ্চলে বেশিরভাগ ইলেকট্রনিক অর্থপ্রদানের জন্য "দৃঢ় গ্রাহক প্রমাণীকরণ" বাধ্যতামূলক।[২১]
ভারতে ভারতীয় রিজার্ভ ব্যাঙ্ক ডেবিট বা ক্রেডিট কার্ড ব্যবহার করে পাসওয়ার্ড বা এসএমএসের মাধ্যমে পাঠানো এক-কালীন পাসওয়ার্ড ব্যবহার করে করা সমস্ত অনলাইন লেনদেনের জন্য দুই-ধাপের প্রমাণীকরণ বাধ্যতামূলক করেছে। এটি সাময়িকভাবে নভেম্বর ২০১৬-এর নোট মুদ্রারহিতকরণ পর্যন্ত লেনদেনের জন্য ২০১৬ সালে প্রত্যাহার করা হয়েছিল। উবারের মতো বিক্রেতাদের এই দুই-ধাপের প্রমাণীকরণ রোলআউটের সাথে সম্মতিতে তাদের পেমেন্ট প্রক্রিয়াকরণ সিস্টেমগুলো সংশোধন করার জন্য ব্যাঙ্কের দ্বারা বাধ্যতামূলক করা হয়েছে।[২২][২৩][২৪]
ফেডারেল গভর্নমেন্ট সিস্টেমে প্রবেশাধিকারের জন্য আইটি রেগুলেটরি স্ট্যান্ডার্ডগুলির জন্য সংবেদনশীল আইটি সংস্থানগুলি প্রবেশাধিকারের জন্য বহু-ধাপের প্রমাণীকরণের ব্যবহার বাধ্যতামূলক, উদাহরণস্বরূপ প্রশাসনিক কাজগুলো সম্পাদন করার জন্য নেটওয়ার্ক যন্ত্রগুলোতে লগ ইন করার সময়[২৫] এবং একটি সুবিধাপ্রাপ্ত লগইন ব্যবহার করে কোনো কম্পিউটারে প্রবেশ করার সময়।[২৬]
এনআইএসটি স্পেশাল পাবলিকেশন ৮০০-৬৩-৩ দুই-ধাপের প্রমাণীকরণের বিভিন্ন রূপ নিয়ে আলোচনা করে এবং বিভিন্ন স্তরের নিশ্চয়তা প্রয়োজন এমন ব্যবসায়িক প্রক্রিয়াগুলোতে ব্যবহার করার বিষয়ে নির্দেশিকা প্রদান করে।[২৭]
২০০৫ সালে মার্কিন যুক্তরাষ্ট্রের ফেডারেল ফাইন্যান্সিয়াল ইনস্টিটিউশনস এক্সামিনেশন কাউন্সিল আর্থিক প্রতিষ্ঠানগুলোর জন্য নির্দেশিকা জারি করে যাতে আর্থিক প্রতিষ্ঠানগুলো ঝুঁকি-ভিত্তিক মূল্যায়ন পরিচালনা করে, গ্রাহক সচেতনতা কর্মসূচির মূল্যায়ন করে, এবং দূরবর্তীভাবে অনলাইন আর্থিক পরিষেবাগুলিতে প্রবেশ করা গ্রাহকদের নির্ভরযোগ্যভাবে প্রমাণীকরণের জন্য নিরাপত্তা ব্যবস্থা বিকাশ করে আনুষ্ঠানিকভাবে ব্যবহার করার সুপারিশ করে। প্রমাণীকরণ পদ্ধতি যা ব্যবহারকারীর পরিচয় নির্ধারণ করতে একাধিক কারণের উপর নির্ভর করে (বিশেষত, একজন ব্যবহারকারীর কী জানা, আছে এবং হয়)।[২৮] প্রকাশনার প্রতিক্রিয়া হিসাবে অসংখ্য প্রমাণীকরণ বিক্রেতারা "বহু-ধাপের" প্রমাণীকরণ হিসাবে চ্যালেঞ্জ-প্রশ্ন, গোপন চিত্র এবং অন্যান্য জ্ঞান-ভিত্তিক পদ্ধতিগুলোকে অনুপযুক্তভাবে প্রচার করতে শুরু করে। ফলস্বরূপ বিভ্রান্তি এবং এই ধরনের পদ্ধতির ব্যাপক গ্রহণের কারণে ১৫ আগস্ট ২০০৬ সালে এফএফআইইসি পরিপূরক নির্দেশিকা প্রকাশ করেছে — যা বলে যে সংজ্ঞা অনুসারে একটি "সত্য" বহু-ধাপের প্রমাণীকরণ পদ্ধতি অবশ্যই প্রমাণীকরণের সংজ্ঞায়িত ছিল এমন তিনটি কারণের স্বতন্ত্র উদাহরণ ব্যবহার করবে এবং শুধুমাত্র একটি একক ধাপের একাধিক উদাহরণ ব্যবহার করবে না।[২৯]
সমর্থকদের মতে বহু-ধাপের প্রমাণীকরণ অনলাইন পরিচয় চুরি এবং অন্যান্য অনলাইন জালিয়াতির ঘটনাকে ব্যাপকভাবে হ্রাস করতে পারে, কারণ শিকারের পাসওয়ার্ডটি চোরকে তাদের তথ্যে স্থায়ী প্রবেশাধিকার দেওয়ার জন্য আর যথেষ্ট হবে না। যদিও, অনেক বহু-ধাপের প্রমাণীকরণ পদ্ধতি ফিশিং,[৩০] ম্যান-ইন-দ্য-ব্রাউজার এবং ম্যান-ইন-দ্য-মিডল আক্রমণের জন্য ঝুঁকিপূর্ণ থাকে।[৩১] ওয়েব অ্যাপ্লিকেশানগুলোতে দুই-ধাপের প্রমাণীকরণ ফিশিং আক্রমণের জন্য বিশেষত সংবেদনশীল, বিশেষত এসএমএস এবং ই-মেইলগুলিতে, এবং প্রতিক্রিয়া হিসাবে অনেক বিশেষজ্ঞ ব্যবহারকারীদের তাদের যাচাইকরণ কোডগুলো কারও সাথে ভাগ না করার পরামর্শ দেন,[৩২] এবং অনেক ওয়েব অ্যাপ্লিকেশন সরবরাহকারী একটি কোড সম্বলিত একটি ই-মেইল বা এসএমএসে একটি পরামর্শ দিবে।[৩৩]
এটিএম স্কিমিং, ফিশিং এবং ম্যালওয়্যারের মতো আধুনিক হুমকির বিরুদ্ধে বহু-ধাপের প্রমাণীকরণ অকার্যকর হতে পারে।[৩৪][৩৫]
২০১৭ সালের মে মাসে একটি জার্মান মোবাইল পরিষেবা প্রদানকারী ও২ টেলিফোনিকা নিশ্চিত করেছে যে সাইবার অপরাধীরা ব্যবহারকারীদের ব্যাঙ্ক অ্যাকাউন্ট থেকে অননুমোদিত টাকা তোলার জন্য এসএমএস ভিত্তিক দুই-ধাপের প্রমাণীকরণ উপেক্ষা করতে এসএস৭ দুর্বলতাকে কাজে লাগিয়েছে। অপরাধীরা প্রথমে তাদের ব্যাঙ্ক অ্যাকাউন্টের শংসাপত্র এবং ফোন নম্বর চুরি করার প্রয়াসে অ্যাকাউন্ট হোল্ডারের কম্পিউটারগুলিকে সংক্রামিত করেছিল। তারপর আক্রমণকারীরা একটি নেট টেলিকম প্রদানকারীর প্রবেশাধিকার কিনে এবং তাদের দ্বারা নিয়ন্ত্রিত একটি মুঠোফোনে শিকারের ফোন নম্বরের জন্য একটি পুনঃনির্দেশ সেট আপ করে। অবশেষে, আক্রমণকারীরা শিকারের অনলাইন ব্যাঙ্ক অ্যাকাউন্টে লগ ইন করে এবং অ্যাকাউন্টের টাকা অপরাধীদের মালিকানাধীন অ্যাকাউন্টে তুলে নেওয়ার জন্য অনুরোধ করে। এসএমএস পাসকোডগুলো আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত ফোন নম্বরগুলিতে পাঠানো হয় এবং অপরাধীরা অর্থ স্থানান্তর করে।[৩৬]
বহু-ধাপের প্রমাণীকরণকে পরাজিত করার একটি ক্রমবর্ধমান সাধারণ পদ্ধতি হল ব্যবহারকারীকে লগ-ইন করার জন্য অনেক অনুরোধের সাথে বোমাবর্ষণ করা, যতক্ষণ না ব্যবহারকারী শেষ পর্যন্ত অনুরোধের পরিমাণের কাছে নতি স্বীকার করে এবং একটি গ্রহণ করে।[৩৭]
২০১৩ সালে কিম ডটকম ২০০০ প্রতীয়মানে দুই-ধাপের প্রমাণীকরণ আবিষ্কার করেছে বলে দাবি করেন, এবং সংক্ষিপ্তভাবে সমস্ত প্রধান ওয়েব পরিষেবার বিরুদ্ধে মামলা করার হুমকি দেন। যদিও, ইউরোপীয় পেটেন্ট অফিস ১৯৯৮ সালের পূর্বে এটি&টি-এর হাতে থাকা মার্কিন প্রতীয়মানের আলোকে তার প্রতীয়মান প্রত্যাহার করেছে।[৩৮]