बिना OTP के ही ऑनलाइन सब कुछ करने का ये तरीक़ा
23 साल के प्रभात साहू ने क्रिप्टोग्राफी की मदद से एक ऐसी तकनीक विकसित की, जिसकी मदद से पासवर्ड और ओटीपी के बिना भी ट्रांजैक्शन किया जा सकता है.
कोविड-19 के इस दौर में हर कुछ हताशापूर्ण है ऐसा भी नहीं है. कुछ उत्साह जगाने वाली चीज़ें भी इस दौरान हुई हैं.
क्वारंटीन में रह रहे एक नौजवान को यह महसूस हुआ कि ओटीपी प्लेटफ़ॉर्म पर रजिस्टर होना एक मुश्किल प्रक्रिया है.
उन्होंने अपने डेटा एनालिस्ट स्किल का प्रयोग इस समस्या की तह तक जाने में किया. इसके बाद वो आख़िकार एक दूसरी तकनीक विकसित करने में कामयाब रहे जो ऑनलाइन ख़रीदारी और स्ट्रीमिंग को ज़्यादा आसान, तेज़ और संभवत: ज्यादा सुरक्षित बनाता है.
उनका अनुभव वैसा ही था जैसा कई औरों का भी रहा है. हर बार जब आप ऑनलाइन खाने का ऑर्डर देते हैं या फिर कोई सामान ख़रीदते हैं तब आप ईमेल आईडी, फोन नंबर और एक पासवर्ड डालते हैं ताकि ओटीपी जेनरेट हो सके.
अगली बार जब आप उसी वेबसाइट पर जाते हैं और अपना पासवर्ड भूल जाते हैं तब आपको ये सारी प्रक्रिया ओटीपी जेनरेट करने के लिए फिर से दोहरानी होती है. इससे आपको खीझ भी होती है. अक्सर ओटीपी वेरिफिकेशन फेल हो जाता है या फिर एसएमएस नहीं पहुँच पाता.
इससे निपटने के लिए 23 साल के प्रभात साहू ने क्रिप्टोग्राफी की मदद से एक ऐसी तकनीक विकसित की जिसकी मदद से पासवर्ड और ओटीपी के बिना भी ट्रांजैक्शन किया जा सकता है.
प्रभात साहू ने बीबीसी हिंदी से बातचीत में कहा, इसमें पहले की तुलना में कम समय लगता है. पहले जहाँ 1.5 मिनट लगता था तो इसमें सिर्फ़ 0.6 सेकेंड का वक्त लगेगा और हर बार जब ओटीपी जेनरेट होगा तो 19 पैसे लगेंगे. इस तरह से इस तकनीक में पांच पैसे कम लगते हैं. एक बैंक हर साल इससे करीब 2.6 करोड़ रुपये तक बचा सकता है.''
प्रभात साहू ने एसएडब्लूओ लैब की स्थापना की है. एसएडब्लूओ का मतलब होता है सिक्योर ऑथेंटिकेशन विदआउट ओटीपी.
यह तकनीक कैसे काम करती हैं?
कोई भी कंपनी जो एसएडब्लूओ तकनीक का इस्तेमाल कर रही हो उसे साइन अप करने के लिए ईमेल आईडी या फ़ोन नंबर की तो ज़रूरत पड़ेगी लेकिन फ़र्क़ यह है कि इसमें स्क्रीन लॉक ट्रीगर का इस्तेमाल होता है. इसमें दो कीज (कुंजी) बनते हैं. पहली कुंजी निजी (प्राइवेट) होती है और दूसरी सार्वजनिक (पब्लिक).
जो निजी कुंजी बनती है वो डिवाइस में रहता है और जो दूसरी कुंजी है वो सर्वर में सेव होता है. अब जब आप अगली बार ट्रांजैक्शन करते हैं तो फिर ओटीपी की ज़रूरत नहीं पड़ती है. जैसी ही आप ट्रांजैक्शन करते हैं तो प्राइवेट कुंजी सर्वर में सेव दूसरी कुंजी से मिलान करती है और उसके सही होने की पुष्टि करती है.
प्रभात साहू बताते हैं, आपके प्राइवेट कुंजी से पब्लिक कुंजी के टोकन पर सिंबल जाता है कि उक्त ईमेल आईडी और मोबाइल आप ही का है. यह किसी वैसे इनवॉयस नंबर के कम्युनिकेट होने की तरह होता है जिसमें इनवॉयस का नंबर तो कम्युनिकेट होता है लेकिन उस पर लिखी हुई रक़म नहीं. पब्लिक कुंजी एक अल्फा न्यूमरिक कोड होता है जो हर बार बदलता रहता है और इस तरह से ट्रांजैक्शन हो पाता है.''
फ़ोन नंबर खोने या बदलने की हालत में यूज़र को सिर्फ़ नए फोन से रिकनेक्ट करना होगा.
कितना सुरक्षित है ये?
प्रभात साहू बताते हैं, हम कुछ भी स्टोर नहीं (जैसा कि दुनिया की दो कंपनियाँ अपने सर्वर पर करती हैं) करते हैं. हमारा क्लाउड पूरी तरह से ख़ाली होता है. हम सिर्फ़ ग्राहक के डिवाइस में स्टोर करते हैं. हम इनक्रिप्ट और डिक्रिप्शन पद्धति का इस्तेमाल सर्वर और डिवाइस में मौजूद कुंजी को सिर्फ़ ट्रिगर करने के लिए करते हैं. इसलिए अगर कोई हैक करना चाहे तो उसे किसी के डिवाइस, क्लाउड और सर्वर सब को एक साथ हैक करना पड़ेगा.''
प्रभात साहू आगे बताते हैं, अगर हैकर क्वांटम कम्प्युटिंग का इस्तेमाल करता है तो उसे ईमेल आईडी और मोबाइल नंबर पाने में ढाई घंटे लगेंगे. फिर भी वो एक एकाउंट को ही कर पाएंगे क्योंकि हमने हर चीज़ को कम्पार्टमेंटेलाइज करके रखते हैं.''
एसएडब्लूओ लैब को सितंबर से लेकर दो दिसंबर के बीच साढ़े पाँच करोड़ का फंड स्टार्टअप एक्ससीड की ओर से मिला है. एक्सफीड ने दो वजहों से इस प्रोजेक्ट को फंड किया है.
एक्ससीड के एक प्रवक्ता ने बीबीसी हिंदी से बातचीत में कहा, एसएडब्लूओ कम लागत में सिक्योरिटी प्रदान कर रही है. एफ़आईडीओ (साहू ने इसी प्रोटोकॉल तकनीक का इस्तेमाल किया है) बिना पासवर्ड के मल्टी फैक्टर पुष्टीकरण तकनीक का इस्तेमाल करती है जो आज की तारीख़ में सबसे सुरक्षित मानी जाती है.''
प्रोफ़ेसर सी पांडुरंगन आईआईटी मद्रास में हाल ही तक क्रिप्टोग्राफी पढ़ाते रहे हैं. वो इस फंडिंग कंपनी के साथ जुड़े नहीं है लेकिन वो बीबीसी हिंदी को बताते हैं कि जो तकनीक इसमें इस्तेमाल की जा रही है वो 'असुरक्षित नहीं' है.
वो कहते हैं,इसमें जो तकनीक इस्तेमाल की गई है, वो सुरक्षा के लिहाज से मानक और सही है. अगर आप ब्लॉकचेन टेक्नॉलॉजी को देखें तो पाएँगे कि वे भी इसी तरीके से काम करती है. आपकी ओर से जिस कुंजी का इस्तेमाल किया जाता है उसे साइनिंग कुंजी कहते हैं और जो दूसरी तरफ जो पब्लिक कुंजी होती है, वो वेरिफ़िकेशन कुंजी होता है. ब्लॉकचेन में कोई यह नहीं जानता कि दूसरी तरफ कौन है. आप सिर्फ़ पब्लिक कुंजी की पहचान से पहचाने जाते हैं. इसी तकनीक का इस्तेमाल इस व्यक्ति (प्रभात साहू) ने किया है. आपके डिवाइस में मौजूद प्राइवेट कुंजी इस बात की पुष्टि करता है कि वो आप ही हो जो ऑनलाइन ऑर्डर दे रहे हो.''
हालांकि सूचना सलाहकार और साइबर लॉ के विशेषज्ञ नवी विजयशंकर बीबीसी हिंदी से कहते हैं कि, प्राइवेट कुंजी और पब्लिक कुंजी के साथ-साथ तकनीकी क्षमता को लेकर कोई समस्या नहीं होनी चाहिए लेकिन इसमें क़ानूनी कमी है.''
तकनीक और क़ानून
विजयशंकर कहते हैं, एफआईडीओ प्रोटोकॉल सूचना तकनीक अधिनियम के तहत प्रमाणित नहीं है. एफआईडीओ में क्लाउड आधारित प्रमाणन प्रणाली है जिसमें प्राइवेट और पब्लिक कुंजी बनाई जाती है. प्राइवेट कुंजी कंपनी की ओर से जेनरेट कर के मुझे नहीं दी जा सकती है. यह बिल्कुल वैसा होगा जैसे डिज़िटल हस्ताक्षर के लिए मेरे आवेदन पर किसी कंपनी ने अपनी मुहर लगा दी हो. मैं अपने कम्प्यूटर से उनके सर्टिफिकेशन जारी करने वाले सर्वर से जुड़ता हूँ और मेरे कम्प्यूटर पर प्राइवेट और पब्लिक कुंजी जेनरेट होता है. इसका मतलब यह हुआ कि जो ऑथोरिटी प्रमाणित कर रही है उसे मेरे प्राइवेट कुंजी की कॉपी नहीं मिल रही है.''
एक्ससीड के प्रवक्ता का कहना है, आरबीआई के मुताबिक़ बैंकिंग आवेदन के प्रमाणीकरण के लिए दो स्तरों पर पुष्टीकरण की ज़रूरत पड़ती है. इसके लिए ओटीपी, डिज़िटल सिग्नेचर, कुंजी आधारित मैसेज कोड जैसे तरीक़े अपनाए जाने की सलाह जी जाती है. एसएडब्लूओ क्रिप्टोग्राफी की मदद से प्राइवेट और पब्लिक कुंजी का इस्तेमाल करता है और एफआईडीओ के सिद्धांत का पालन करता है. इसलिए इसका इस्तेमाल भी बैंकिंग लेन देन में कर सकते हैं. ''
विजयशंकर कहते हैं, सरकार के पास इससे जुड़े क़ानून को बदलने का अधिकार है जैसा कि 2016 में किया गया था और इलेक्ट्रॉनिक साइन की सुविधा दी गई थी. आज हमारे पास पुष्टीकरण के दो तरीके मौजूद हैं डिज़िटल हस्ताक्षर और ई-हस्ताक्षर. हमारे पास तकनीक है लेकिन आज की तारीख़ में उसे लेकर क़ानूनी अनुमति नहीं है.''
लेकिन 'इंडिया ऑटोमेटेड' के लेखक प्रांजल शर्मा ने बीबीसी हिंदी से कहा, तकनीकी प्रणाली के लिए जवाबदेही और क़ानूनी दायित्व को मज़बूत करने की ज़रूरत है. हालांकि ये ऐसे होना चाहिए ताकि नई तकनीक को लागू करने में ज्यादा वक़्त नहीं लगे..''
तकनीक को लेकर सरकार की नीति ऐसी होनी चाहिए जो इस क्षेत्र में नए बदलावों के प्रति सकारात्मक हो. ये किसी ख़ास तरीके के बजाय उद्देश्य को ध्यान में रखते हुए होना चाहिए.'' पिछले कुछ हफ़्तों में दो दर्जन क्लाइंट एसएडब्लूओ लैब के बने हैं.