2FAPRO.COM

دو مرحلہ تصدیق (2FA) کوڈ جنریٹر

Google، Facebook، Instagram اور دیگر خدمات کے لیے اپنے خفیہ کلید سے TOTP کوڈز بنائیں۔

جس سروس کو استعمال کرنا چاہتے ہیں اس کا 2FA خفیہ کلید درج کریں۔ سپیسز اور فارمیٹنگ خود بخود صاف ہو جائے گی۔

آپ کا خفیہ کلید ہمارے سرورز پر کبھی محفوظ نہیں ہوتا اور صرف آپ کے ڈیوائس پر پروسیس ہوتا ہے۔

QR کوڈ اسکین کریں

یہ ٹول شیئر کریں

محفوظ شدہ اکاؤنٹس

کوئی محفوظ شدہ اکاؤنٹ نہیں

جنریٹر ٹیب سے اکاؤنٹس شامل کریں یا بیک اپ سے درآمد کریں

حالیہ کلیدیں

ابھی تک کوئی تاریخ نہیں

بنائے گئے کوڈز یہاں دکھائی دیں گے

معلومات اور مدد

2FA/TOTP کیا ہے؟

دو مرحلہ تصدیق (2FA) ایک اضافی سیکیورٹی پرت ہے جو صارفین سے دو قسم کی شناخت طلب کرتی ہے۔ TOTP (وقت پر مبنی ایک بار کا پاس ورڈ) ایک الگورتھم ہے جو ہر 30 سیکنڈ میں بدلنے والے ایک بار کے پاس ورڈز بناتا ہے۔

خفیہ کلید کہاں سے ملے گا؟

سیکیورٹی

یہ ایپلی کیشن آپ کے خفیہ کلید کو آپ کے براؤزر میں مقامی طور پر پروسیس کرتی ہے۔ ڈیٹا ہمارے سرورز پر یا تھرڈ پارٹی کو کبھی نہیں بھیجا جاتا۔ پھر بھی، ہمیشہ اپنے خفیہ کلید کو خفیہ رکھیں۔

مطابقت پذیر خدمات

یہ جنریٹر ان خدمات کے ساتھ کام کرتا ہے جو TOTP معیار استعمال کرتی ہیں، بشمول Google، Facebook، Twitter، Microsoft، GitHub، Dropbox، Amazon اور زیادہ تر کلاؤڈ اور سوشل میڈیا خدمات۔

ٹو فیکٹر اتھنٹیکیشن (2FA) کی مکمل گائیڈ

2FA، TOTP کوڈز، authenticator ایپس، اور ٹو فیکٹر اتھنٹیکیشن سے اپنے آن لائن اکاؤنٹس کو محفوظ رکھنے کے بارے میں وہ سب کچھ جو آپ کو جاننا چاہیے۔

3 آسان مراحل میں 2FA کوڈ کیسے بنائیں

  1. 1

    اپنی 2FA سیکرٹ کی کاپی کریں

    جب آپ Google، Facebook، GitHub، یا کسی دوسری سروس پر ٹو فیکٹر اتھنٹیکیشن کو فعال کرتے ہیں، تو QR کوڈ کے ساتھ دکھائی گئی Base32 سیکرٹ کی کاپی کریں۔

  2. 2

    کی پیسٹ کریں اور TOTP بنائیں

    سیکرٹ کی کو اوپر دیے گئے 2FA جنریٹر فیلڈ میں پیسٹ کریں اور Generate Code پر کلک کریں۔ 6 ہندسوں والا تازہ TOTP کوڈ فوری طور پر آپ کے براؤزر میں کیلکولیٹ ہو جاتا ہے۔

  3. 3

    لاگ ان کرنے کے لیے 2FA کوڈ استعمال کریں

    30 سیکنڈ ٹائمر ختم ہونے سے پہلے لاگ ان فارم میں 6 ہندسوں والا تصدیقی کوڈ درج کریں۔ ہر نئے لاگ ان کے لیے کوڈ خودکار طور پر اپ ڈیٹ ہوتا ہے۔

ہمارے 2FA جنریٹر کو سپورٹ کرنے والی مقبول سروسز اور پلیٹ فارمز

ہمارا 2FA کوڈ جنریٹر TOTP RFC 6238 معیار کی پیروی کرنے والی کسی بھی سروس کے ساتھ مکمل طور پر ہم آہنگ ہے۔ یہاں سب سے مقبول پلیٹ فارمز ہیں جہاں آپ یہ authenticator استعمال کر سکتے ہیں:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

ہمارا مفت 2FA TOTP جنریٹر کیوں استعمال کریں

100% نجی اور لوکل

تمام TOTP کوڈ جنریشن براہ راست آپ کے براؤزر میں ہوتا ہے۔ 2FA سیکرٹ کی کبھی بھی کسی سرور پر نہیں بھیجی جاتی، جس سے آپ کا authenticator ڈیٹا مکمل طور پر نجی رہتا ہے۔

فوری 6 ہندسوں کے کوڈز

ہر 30 سیکنڈ میں خودکار ریفریش کے ساتھ وقت پر مبنی یکبار استعمال ہونے والے پاس ورڈز فوری طور پر بنائیں۔ Google Authenticator، Authy، اور Microsoft Authenticator کے مکمل متبادل کے طور پر کام کرتا ہے۔

بلٹ ان QR کوڈ سکینر

کیمرے سے کسی بھی 2FA QR کوڈ کو سکین کریں یا تصویر اپ لوڈ کریں۔ ٹول otpauth URI کو خودکار طور پر پڑھتا ہے، لہذا آپ کو Base32 سیکرٹ کی ٹائپ کرنے کی ضرورت نہیں ہے۔

TOTP اور HOTP موڈز

وقت پر مبنی (TOTP / RFC 6238) اور کاؤنٹر پر مبنی (HOTP / RFC 4226) الگورتھمز کے درمیان سوئچ کریں۔ SHA-1، SHA-256، اور SHA-512 ہیشز کو سپورٹ کرتا ہے۔

2FA کے بارے میں اکثر پوچھے جانے والے سوالات

2FA (ٹو فیکٹر اتھنٹیکیشن) کیا ہے؟
2FA، یا ٹو فیکٹر اتھنٹیکیشن، ایک سکیورٹی طریقہ ہے جس میں اکاؤنٹ تک رسائی کے لیے دو مختلف تصدیقی مراحل درکار ہوتے ہیں: کچھ جو آپ جانتے ہیں (پاس ورڈ) اور کچھ جو آپ کے پاس ہے (authenticator ایپ سے 2FA کوڈ)۔ یہاں تک کہ اگر ہیکر پاس ورڈ چوری کر لے، وہ وقت پر مبنی 2FA کوڈ کے بغیر لاگ ان نہیں کر سکتے۔
کیا یہ 2FA جنریٹر Google Authenticator کے ساتھ ہم آہنگ ہے؟
جی ہاں۔ ہمارا آن لائن 2FA جنریٹر وہی TOTP RFC 6238 الگورتھم استعمال کرتا ہے جو Google Authenticator، Microsoft Authenticator، Authy، اور 1Password میں ہے۔ یہاں بنایا گیا 6 ہندسوں کا کوڈ اسی سیکرٹ کی کے لیے ان ایپس کے کوڈ سے مماثل ہو گا۔
میرا 2FA کوڈ ہر 30 سیکنڈ میں کیوں بدلتا ہے؟
TOTP کوڈز وقت پر مبنی یکبار استعمال ہونے والے پاس ورڈز ہیں - موجودہ Unix timestamp اور آپ کی سیکرٹ کی سے اخذ کیے گئے، مقررہ وقفوں (عام طور پر 30 سیکنڈ) پر گھومتے ہیں۔ یہ مختصر عمر ری پلے حملوں کو روکتی ہے اور ٹو فیکٹر اتھنٹیکیشن کو محفوظ رکھتی ہے۔
کیا اس ویب سائٹ پر 2FA سیکرٹ کی داخل کرنا محفوظ ہے؟
جی ہاں۔ تمام 2FA کوڈ جنریشن Web Crypto API کا استعمال کرتے ہوئے آپ کے براؤزر میں مقامی طور پر ہوتا ہے۔ سیکرٹ کی کبھی بھی آپ کا آلہ نہیں چھوڑتی اور کسی سرور پر نہیں بھیجی جاتی۔ زیادہ سے زیادہ سکیورٹی کے لیے، سیکرٹ کی کو پاس ورڈ کی طرح سمجھیں اور کسی کے ساتھ شیئر نہ کریں۔
TOTP اور HOTP میں کیا فرق ہے؟
TOTP (وقت پر مبنی یکبار استعمال پاس ورڈ، RFC 6238) موجودہ وقت کی بنیاد پر کوڈز بناتا ہے، اسی لیے کوڈ ہر 30 سیکنڈ میں بدلتا ہے۔ HOTP (HMAC پر مبنی یکبار استعمال پاس ورڈ، RFC 4226) ایک بڑھتا ہوا کاؤنٹر استعمال کرتا ہے۔ دونوں 2FA کوڈز کی اقسام ہیں؛ TOTP آج زیادہ عام ہے۔
کیا میں اسے اپنے بنیادی authenticator ایپ کے طور پر استعمال کر سکتا ہوں؟
جی ہاں۔ آپ My Accounts ٹیب میں ایک سے زیادہ 2FA اکاؤنٹس کو انکرپٹڈ لوکل سٹوریج کے ساتھ محفوظ کر سکتے ہیں، انکرپٹڈ بیک اپس ایکسپورٹ کر سکتے ہیں، اور دوسرے آلے پر بحال کر سکتے ہیں۔ ٹول پروگریسو ویب ایپ (PWA) کے طور پر کام کرتا ہے، لہذا اسے نیٹو authenticator کی طرح انسٹال کیا جا سکتا ہے۔
اگر ویب سائٹ میرا 2FA کوڈ مسترد کر دے تو کیا کروں؟
غلط 2FA کوڈ کا عام طور پر مطلب ہے کہ آپ کے آلے کی گھڑی سنک میں نہیں ہے، یا سیکرٹ کی غلط کاپی ہوئی ہے۔ یقینی بنائیں Base32 سیکرٹ میں اضافی جگہیں نہ ہوں، سسٹم ٹائم خودکار طور پر سیٹ ہو، اور 30 سیکنڈ ریفریش کے بعد اگلا کوڈ آزمائیں۔
کیا یہ 2FA ٹول آف لائن کام کرتا ہے؟
جی ہاں۔ پہلے وزٹ کے بعد، authenticator service worker کے ذریعہ کیش ہو جاتا ہے تاکہ آپ انٹرنیٹ کنکشن کے بغیر TOTP کوڈز بنا سکیں۔ سفر کے لیے یا جب آپ کا بنیادی authenticator ایپ دستیاب نہ ہو، کے لیے بہترین۔

2026 میں ٹو فیکٹر اتھنٹیکیشن کیوں اہم ہے

صرف پاس ورڈ اب کافی نہیں ہیں۔ ہر سال اربوں کریڈنشلز ڈیٹا بریچز میں لیک ہوتے ہیں، اور جدید فشنگ کٹس پیچیدہ پاس ورڈز کو بھی شکست دے سکتے ہیں۔ ٹو فیکٹر اتھنٹیکیشن - جسے 2FA، ملٹی فیکٹر اتھنٹیکیشن (MFA)، یا ٹو سٹیپ ویریفیکیشن بھی کہا جاتا ہے - ایک دوسری تہہ شامل کرتا ہے جسے ریموٹ حملہ آور آسانی سے بائی پاس نہیں کر سکتے۔

اس جیسے TOTP authenticator 2FA کا سب سے زیادہ سپورٹ شدہ طریقہ ہے، جو Google، Microsoft، Apple ID، GitHub، Facebook، Instagram، Snapchat، TikTok، Steam، Epic Games، Fortnite، Discord، اور تقریباً ہر بڑی آن لائن سروس پر کام کرتا ہے۔ ہر 30 سیکنڈ میں گھومنے والے تازہ 6 ہندسوں کے 2FA کوڈ کے ساتھ، لیک ہوئے پاس ورڈز اکیلے بیکار ہو جاتے ہیں۔

جہاں بھی ممکن ہو 2FA کو فعال کریں - ای میل، سوشل میڈیا، کرپٹو ایکسچینجز، کلاؤڈ سٹوریج، بینکنگ، اور گیمنگ اکاؤنٹس۔ مضبوط پاس ورڈ مینیجر اور فی سائٹ منفرد پاس ورڈز کے ساتھ مل کر، مناسب ٹو فیکٹر اتھنٹیکیشن سیٹ اپ آپ کی آن لائن سکیورٹی کے لیے سب سے بڑی اپ گریڈز میں سے ایک ہے جو آپ کر سکتے ہیں۔

2FA طریقوں کی اقسام کا موازنہ: SMS، TOTP، ہارڈ ویئر کی، بایومیٹرک

آج کئی قسم کی ٹو فیکٹر اتھنٹیکیشن دستیاب ہے، ہر ایک مختلف سطحوں کی سکیورٹی اور سہولت کے ساتھ۔ ان اختیارات کو سمجھنا آپ کو ہر اکاؤنٹ کے لیے صحیح 2FA طریقہ منتخب کرنے میں مدد کرتا ہے - آرام دہ گیمنگ لاگ ان سے لے کر اعلیٰ قدر والے بینکنگ اور کرپٹو اکاؤنٹس تک۔ ذیل میں ہم 2026 میں آپ کو ملنے والی ہر بڑی 2FA شکل کا موازنہ کرتے ہیں، فوائد، نقصانات، اور ہماری ایماندارانہ سفارشات کے ساتھ۔

2FA طریقہ سیکیورٹی سہولت کس کے لیے بہترین
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA ٹو فیکٹر اتھنٹیکیشن کی سب سے عام شکل ہے کیونکہ یہ تمام موبائل فونز کے ساتھ کام کرتی ہے۔ پاس ورڈ داخل کرنے کے بعد، 6 ہندسوں کے تصدیقی کوڈ کے ساتھ ایک ٹیکسٹ میسج آپ کے نمبر پر بھیجا جاتا ہے۔ سہولت مند ہونے کے باوجود، SMS 2FA SIM swapping حملوں کے لیے کمزور ہے - جہاں مجرم آپریٹرز کو دھوکہ دے کر آپ کے نمبر کو اپنے آلے پر منتقل کرتے ہیں۔ NIST نے اعلیٰ قدر والے اکاؤنٹس کے لیے محفوظ 2FA طریقہ کے طور پر SMS کو deprecate کر دیا ہے، اور بڑے بینک تیزی سے TOTP authenticator ایپس پر منتقل ہونے کی سفارش کر رہے ہیں۔

Authenticator apps (TOTP) جیسے Google Authenticator، Microsoft Authenticator، Authy، اور 1Password نیٹ ورک کنکشن کی ضرورت کے بغیر براہ راست آپ کے آلے پر وقت پر مبنی یکبار استعمال ہونے والے پاس ورڈز بناتے ہیں۔ یہ TOTP 2FA کو تیز، زیادہ محفوظ، اور SIM swap حملوں سے محفوظ بناتا ہے۔ کوڈز RFC 6238 معیار کی بنیاد پر ہر 30 سیکنڈ میں گھومتے ہیں، اور وہی سیکرٹ کی تمام ہم آہنگ authenticators پر کام کرتی ہے - بشمول یہ براؤزر بیسڈ جنریٹر۔

Hardware security keys جیسے YubiKey، Google Titan، SoloKeys، اور Feitian USB، NFC، یا Bluetooth آلات کے ذریعے فزیکل ملکیت ثابت کرنے کے لیے FIDO2 / WebAuthn معیار استعمال کرتے ہیں۔ ہارڈ ویئر کیز 2FA سکیورٹی کا گولڈ سٹینڈرڈ ہیں کیونکہ وہ فشنگ مزاحم ہیں - جعلی لاگ ان صفحات کرپٹوگرافک دستخط حاصل نہیں کر سکتے، TOTP کوڈز کے برعکس۔ سب سے اہم اکاؤنٹس کے لیے ہارڈ ویئر کیز استعمال کریں: پرائمری ای میل، پاس ورڈ مینیجر، کرپٹو ایکسچینجز، اور ورک آئیڈنٹٹی۔

Push notification 2FA Duo Mobile، Microsoft Authenticator پش پرامپٹس، اور Okta Verify جیسی ایپس آپ کے فون پر تصدیق کا ٹیپ بھیجتی ہیں۔ 6 ہندسوں کے 2FA کوڈ ٹائپ کرنے سے زیادہ سہولت مند لیکن سروس سپورٹ کی ضرورت اور MFA fatigue حملوں کے لیے کمزور جہاں مجرم منظوری کی درخواستیں سپام کرتے ہیں اس امید پر کہ آپ لاپرواہی سے Approve ٹیپ کریں گے۔

Biometric 2FA and passkeys فنگر پرنٹس یا چہرے کی شناخت استعمال کرتا ہے، اکثر آلے سے منسلک passkey کے ساتھ۔ Apple Face ID، Windows Hello، اور Android فنگر پرنٹ سکینرز پہلے سے سائن ان آلات کے لیے ثانوی عنصر کے طور پر تیزی سے استعمال ہو رہے ہیں۔ FIDO2 / WebAuthn بیسڈ passkeys Google، Apple، Microsoft، GitHub، اور بڑھتی ہوئی سروسز کی فہرست پر پاس ورڈز اور TOTP 2FA کی جگہ آہستہ آہستہ لے رہے ہیں - یہ اتھنٹیکیشن کا مستقبل ہے۔

ہماری سفارش: بنیادی 2FA طریقہ کے طور پر TOTP authenticator ایپ استعمال کریں، جو سب سے اہم اکاؤنٹس (پرائمری ای میل، پاس ورڈ مینیجر، کرپٹو، ورک آئیڈنٹٹی) کے لیے ہارڈ ویئر سکیورٹی کی سے سپورٹ ہو۔ جب ممکن ہو SMS 2FA سے بچیں اور ہمیشہ backup codes کو محفوظ جگہ پر آف لائن محفوظ کریں۔

مقبول سروسز پر 2FA کو کیسے فعال کریں (مرحلہ وار)

ٹو فیکٹر اتھنٹیکیشن سیٹ اپ ہر پلیٹ فارم پر تھوڑا مختلف ہوتا ہے، لیکن تمام بڑی سروسز پر بنیادی فلو ایک جیسا ہے۔ ذیل میں سب سے مقبول پلیٹ فارمز پر 2FA کو فعال کرنے کے لیے ایک تیز مرحلہ وار گائیڈ ہے، جو سب اس TOTP جنریٹر کے ساتھ بغیر کسی دقت کے کام کرتی ہیں۔

Google / Gmail پر 2FA فعال کریں

myaccount.google.com پر جائیں پھر Security، 2-Step Verification، Get Started۔ پاس ورڈ کے ساتھ سائن ان کریں، Authenticator app منتخب کریں۔ Google ایک QR کوڈ دکھاتا ہے - ہمارے TOTP جنریٹر سے سکین کریں یا Base32 سیکرٹ کی پیسٹ کریں۔ Google آپ کے Gmail اور Google اکاؤنٹ کے لیے اضافی 2FA طریقوں کے طور پر Google Prompt اطلاعات اور ہارڈ ویئر سکیورٹی کیز کو بھی سپورٹ کرتا ہے۔

Facebook / Meta پر 2FA فعال کریں

اپنی Facebook پروفائل تصویر پر کلک کریں، Settings & Privacy کھولیں، Settings، Accounts Center، Password and security، Two-factor authentication۔ Authentication app منتخب کریں اور QR کوڈ سکین کریں یا سیکرٹ کی کو ہمارے 2FA کوڈ جنریٹر میں کاپی کریں۔ Facebook بیک اپ کے طور پر SMS کی اجازت دیتا ہے، لیکن بہتر سکیورٹی کے لیے authenticator ایپ 2FA کی سختی سے سفارش کی جاتی ہے۔

Discord پر 2FA فعال کریں

Discord کھولیں، User Settings (گیئر آئیکن)، My Account، Enable Two-Factor Auth۔ پاس ورڈ درج کریں، پھر ہمارے 2FA کوڈ جنریٹر کے ساتھ دکھایا گیا QR کوڈ یا دستی Base32 کی استعمال کریں۔ ہمیشہ Discord backup codes کو فوری محفوظ کریں - اگر آپ authenticator تک رسائی کھو دیتے ہیں، تو Discord کو اکاؤنٹ کی بحالی کے لیے ان کوڈز کی ضرورت ہو گی۔

GitHub پر 2FA فعال کریں

Settings، Password and authentication، Two-factor authentication، Enable پر جائیں۔ ہمارے 2FA ٹول یا کسی بھی RFC 6238 authenticator کے ساتھ TOTP کوڈز بنانے کے لیے Set up using an app منتخب کریں۔ GitHub اضافی عنصر کے طور پر FIDO2 سکیورٹی کیز کو بھی سپورٹ کرتا ہے، اور حساس ریپوزٹریز کے تمام شرکاء کے لیے 2FA لازمی کرتا ہے۔

Microsoft / Outlook پر 2FA فعال کریں

account.microsoft.com، Security، Advanced security options، Two-step verification، Turn on پر جائیں۔ Microsoft اپنی Microsoft Authenticator ایپ کو ترجیح دیتا ہے لیکن کوئی بھی RFC 6238 TOTP جنریٹر - ہمارے سمیت - یکساں طور پر کام کرتا ہے۔ وہی 2FA سیٹ اپ Outlook، Xbox، Microsoft 365، Teams، OneDrive، اور دیگر تمام Microsoft سروسز کا احاطہ کرتا ہے۔

Fortnite / Epic Games پر 2FA فعال کریں

epicgames.com پر جائیں پھر account، password-and-security، Two-factor authentication، Enable Authenticator App۔ ہمارے 2FA جنریٹر سے QR کوڈ سکین کریں۔ Fortnite پر 2FA فعال کرنا آپ کو Boogiedown ایموٹ انعام دیتا ہے اور آپ کے Rocket League اور Epic Games Store اکاؤنٹس کی سکیورٹی کو بہتر بناتا ہے۔

Binance / Coinbase / Kraken پر 2FA فعال کریں

ہر بڑا کرپٹو ایکسچینج - Binance، Coinbase، Kraken، Gemini، KuCoin، Bitstamp - نکالنے کے لیے 2FA لازمی کرتا ہے۔ ہر ایکسچینج کے سکیورٹی ٹیب میں Google Authenticator مطابقت کو فعال کریں اور سیکرٹ کی کو پاس ورڈ مینیجر میں محفوظ کریں۔ backup codes کے بغیر کرپٹو اکاؤنٹس پر 2FA تک رسائی کھونا آپ کو اپنے فنڈز سے مستقل طور پر بند کر سکتا ہے۔

Instagram / TikTok / Snapchat پر 2FA فعال کریں

Instagram، TikTok، اور Snapchat سبھی Settings، Security مینو کے ذریعے authenticator ایپ 2FA کو سپورٹ کرتے ہیں۔ ہر ایپ کسی بھی RFC 6238 TOTP ٹول کے ساتھ ہم آہنگ QR کوڈ بناتی ہے۔ سوشل اکاؤنٹس کو اکاؤنٹ چوری اور دوبارہ فروخت کے لیے کتنی بار نشانہ بنایا جاتا ہے، 2026 میں ہر سوشل میڈیا اکاؤنٹ پر ٹو فیکٹر اتھنٹیکیشن فعال کرنا لازمی ہے۔

کسی بھی سروس پر 2FA فعال کرنے کے بعد، فوری طور پر لاگ آؤٹ اور دوبارہ لاگ ان کر کے ٹیسٹ کریں - اس سے پہلے کہ آپ کو واقعی اس کی ضرورت ہو۔ یہ یقینی بناتا ہے کہ authenticator کوڈ صحیح طور پر کام کر رہا ہے اور آپ نے recovery backup codes کو محفوظ طریقے سے محفوظ کیا ہے۔

2FA سکیورٹی کی بہترین مشقیں جو ہر صارف کو فالو کرنی چاہئیں

ٹو فیکٹر اتھنٹیکیشن فعال کرنا صرف آدھا کام ہے۔ مندرجہ ذیل بہترین مشقوں کی پیروی آپ کے 2FA سیٹ اپ کو authenticator ایپس، SMS کوڈز، اور ریکوری فلو کو نشانہ بنانے والے جدید خطرات سے محفوظ رکھتی ہے۔ نیچے دی گئی مشقوں میں سے صرف آدھی کو اپنانا بھی آپ کو 2FA ہائیجین کے لحاظ سے 95% صارفین سے بہتر پوزیشن میں رکھے گا۔

  • ہمیشہ اپنے backup codes محفوظ کریں۔ 2FA کی حمایت کرنے والی ہر سروس authenticator فعال کرنے پر 8-10 یکبار استعمال ریکوری کوڈز بناتی ہے۔ انہیں پرنٹ کریں، پاس ورڈ مینیجر میں محفوظ کریں، یا انکرپٹڈ نوٹس میں سٹور کریں۔ backup codes کے بغیر، فون کھونے کا مطلب اکاؤنٹ کا مستقل نقصان ہو سکتا ہے - کوئی کسٹمر سپورٹ شناخت کے ثبوت کے بغیر hardened 2FA اکاؤنٹس کو بحال نہیں کر سکتا۔
  • متعدد authenticator آلات استعمال کریں۔ اس ٹول سے 2FA بیک اپ ایکسپورٹ کریں اور دوسرے آلے پر امپورٹ کریں، یا Authy / 1Password استعمال کریں جو آلات کے درمیان TOTP سیکرٹس کو نیٹو طور پر سنک کرتے ہیں۔ Google Authenticator میں اب سرکاری QR ایکسپورٹ فیچر ہے۔ دوسرا آلہ ہونے کا مطلب ہے کہ فون کا کھونا یا ٹوٹنا سب سے برے وقت میں آپ کو ہر 2FA اکاؤنٹ سے الگ نہیں کرے گا۔
  • MFA fatigue حملوں سے ہوشیار رہیں۔ حملہ آور جو آپ کا پاس ورڈ جانتے ہیں 2FA پش اطلاعات درخواستیں سپام کر سکتے ہیں اس امید پر کہ آپ عادت یا جھنجھلاہٹ سے Approve ٹیپ کریں گے۔ یہ Uber اور دیگر میں ہائی پروفائل بریچز میں استعمال ہوا۔ ہمیشہ چیک کریں کہ کون سی ایپ تصدیق مانگ رہی ہے اور غیر متوقع پرامپٹس کو مسترد کریں - جائز لاگ انز شاذ و نادر ہی آدھی رات کو بغیر وجہ کے 2FA درخواستیں ٹرگر کرتے ہیں۔
  • SIM swapping سے خود کو بچائیں۔ یہاں تک کہ اگر آپ SMS 2FA سے بچتے ہیں، موبائل نمبرز اکثر اکاؤنٹ ریکوری فلو سے منسلک ہوتے ہیں۔ اپنے آپریٹر سے اپنے اکاؤنٹ میں PIN یا port-out تحفظ شامل کرنے کو کہیں تاکہ مجرم SIM کو اپنے آلے پر منتقل نہ کر سکیں۔ یہ واحد تبدیلی زیادہ تر SIM swap حملوں کو روکتی ہے اور تمام بڑے آپریٹرز پر مفت ہے۔
  • 2FA کو پاس ورڈ مینیجر کے ساتھ ملائیں۔ ہر سائٹ کے لیے مضبوط منفرد پاس ورڈز پلس TOTP 2FA پلس اہم اکاؤنٹس کے لیے ہارڈ ویئر سکیورٹی کی 2026 میں اکاؤنٹ سکیورٹی کا گولڈ سٹینڈرڈ ہے۔ 1Password، Bitwarden، LastPass، اور KeePass پاس ورڈز کے ساتھ TOTP سیکرٹس محفوظ کر سکتے ہیں - کچھ ہموار لاگ ان تجربے کے لیے دونوں فیلڈز کو ایک ساتھ آٹو فل بھی کرتے ہیں۔
  • 2FA کوڈز کبھی شیئر نہ کریں، سپورٹ کے ساتھ بھی نہیں۔ کوئی جائز کمپنی، بینک، یا آن لائن پلیٹ فارم آپ سے 6 ہندسوں کا 2FA کوڈ اونچی آواز میں پڑھنے، چیٹ میں ٹائپ کرنے، یا ای میل کے ذریعے بھیجنے کے لیے نہیں کہے گا۔ اگر کوئی مانگے - چاہے وہ ٹیک سپورٹ، آپ کے بینک، یا ڈیلیوری کمپنی ہونے کا دعویٰ کرے - یہ دھوکہ ہے۔ فون بند کریں اور کمپنی سے ان کے سرکاری نمبر یا ویب سائٹ سے براہ راست رابطہ کریں۔
  • ہر سال اپنے 2FA سیٹ اپ کا آڈٹ کریں۔ ہر اکاؤنٹ کی فہرست بنائیں جہاں آپ نے ٹو فیکٹر اتھنٹیکیشن فعال کیا ہے۔ غیر استعمال شدہ اکاؤنٹس سے 2FA ہٹائیں، نئے بنائے گئے اکاؤنٹس پر فعال کریں، اور تصدیق کریں backup codes اب بھی کام کرتے ہیں۔ سالانہ 2FA آڈٹ پرانے ریکوری ای میل پتے، پرانے موبائل نمبرز، اور بھولے ہوئے authenticator seeds کو پکڑتا ہے۔
  • جب دستیاب ہو passkeys میں اپ گریڈ کریں۔ FIDO2 / WebAuthn passkeys Google، Apple، Microsoft، GitHub، PayPal، اور سینکڑوں دیگر سروسز پر پاس ورڈز اور TOTP 2FA کی جگہ آہستہ آہستہ لے رہے ہیں۔ passkeys ڈیزائن کے لحاظ سے فشنگ مزاحم ہیں اور آپ کے آلے کے secure enclave سے بندھے ہوئے ہیں - جب سائٹس passkey پیش کرتی ہیں، اسے فعال کریں بجائے صرف 2FA کوڈز پر انحصار کرنے کے۔

عام 2FA مسائل کا حل

حتی کہ اچھی طرح سے کنفیگر کیا گیا ٹو فیکٹر اتھنٹیکیشن سیٹ اپ بھی مسائل کا سامنا کر سکتا ہے۔ یہاں سب سے عام 2FA مسائل ہیں جن کا صارفین سامنا کرتے ہیں اور عملی حل جو ان میں سے زیادہ تر کو سپورٹ کے رابطے کی ضرورت کے بغیر حل کرتے ہیں۔

غلط 2FA کوڈ یا غلط تصدیقی کوڈ

سب سے عام وجہ آلے کی گھڑی کا drift ہے۔ TOTP درست وقت پر منحصر ہے - 30 سیکنڈ کا offset بھی کوڈز کے mismatch کا سبب بنتا ہے۔ Android پر: Settings، System، Date & time، Set time automatically۔ iOS پر: Settings، General، Date & Time، Set Automatically۔ Windows پر: Settings، Time & language، Date & time، Set time automatically۔ سرورز عام طور پر plus/minus 1 window میں کوڈز قبول کرتے ہیں، لہذا 30 سیکنڈ ریفریش کے بعد اگلا کوڈ آزمانا اکثر کام کرتا ہے۔

دستی ان پٹ کے دوران سیکرٹ کی میں ٹائپو

Base32 صرف A سے Z اور 2 سے 7 استعمال کرتا ہے - کوئی 0، 1، 8، یا 9 نہیں۔ مبہم حروف جیسے O بمقابلہ 0 یا I بمقابلہ 1 سب کچھ توڑ دیتے ہیں۔ دستی طور پر ٹائپ کرنے کے بجائے سروس کے QR کوڈ سے براہ راست سیکرٹ کی کاپی کریں، یا ہمارا بلٹ ان QR سکینر استعمال کریں۔ بہت سی سروسز آسان دستی ان پٹ کے لیے QR کوڈ کے ساتھ plaintext سیکرٹ دکھانے کی اجازت بھی دیتی ہیں۔

authenticator ایپ والا فون کھو گیا

پہلے، backup codes آزمائیں - زیادہ تر سروسز ایک مانگتی ہیں جب آپ 2FA authenticator تک رسائی نہیں کر سکتے۔ اگر آپ نے TOTP سیکرٹس ایکسپورٹ یا سنک کیے ہیں، نئے آلے پر بحال کریں۔ آخری حربے کے طور پر، سروس کی سپورٹ ٹیم سے رابطہ کریں اور ان کے اکاؤنٹ ریکوری فلو کی پیروی کریں، جس میں عام طور پر سرکاری ID تصدیق یا دیگر سیکرٹ تصدیق شامل ہوتی ہے۔ کبھی بھی تیسرے فریق کی 2FA ریکوری سروسز کے لیے ادائیگی نہ کریں - وہ دھوکہ ہیں۔

QR کوڈ سکین نہیں ہو رہا

روشنی، کیمرہ فوکس، اور سکرین کی چمک عام وجوہات ہیں۔ QR کو تصویری فائل کے طور پر ڈاؤن لوڈ کرنے اور ہمارے تصویری سکینر پر اپ لوڈ کرنے کی کوشش کریں، یا دکھائی گئی Base32 سیکرٹ کی کو دستی طور پر درج کریں۔ یقینی بنائیں کہ کوئی براؤزر ایکسٹینشن QR ڈسپلے کو تبدیل نہیں کر رہا ہے۔

اکاؤنٹ 2FA سے مکمل طور پر بند

زیادہ تر سروسز سرکاری ID، کریڈٹ کارڈ کے آخری 4 ہندسے، ریکوری ای میل، یا قابل اعتماد رابطوں کے ذریعے شناخت کی تصدیق کو سپورٹ کرتی ہیں۔ سوشل لاگ انز (Google، Apple، Microsoft) اکثر پیرنٹ اکاؤنٹ 2FA کے ذریعے انلاک کر سکتے ہیں۔ کرپٹو ایکسچینجز سب سے سخت ہیں - کثیر روزہ KYC عمل کے لیے تیار رہیں۔ اپنی شناخت کو صحیح طور پر دستاویز کریں اور ہر سروس کے سرکاری ریکوری فلو کی پیروی کریں۔

پش اطلاعات نہیں آ رہیں

یقینی بنائیں کہ authenticator ایپ کے پاس اطلاعات کی اجازت ہے، خاص طور پر اس کے لیے بیٹری آپٹیمائزیشن غیر فعال ہے، اور آلے کے پاس فعال انٹرنیٹ رسائی ہے۔ Android پر، کچھ جارحانہ بیٹری سیورز بیک گراؤنڈ authenticator سروسز کو بند کر دیتے ہیں - اپنی 2FA ایپ کو وائٹ لسٹ کریں۔ ایپ کو دوبارہ شروع کرنا عام طور پر پش ٹوکن کو ریفریش کرتا ہے۔

TOTP پردے کے پیچھے کیسے کام کرتا ہے (تکنیکی گہرائی)

تکنیکی طور پر متجسس لوگوں کے لیے، یہاں مرحلہ وار ہے کہ 2FA TOTP کوڈز کیسے بنائے جاتے ہیں، RFC 6238 کی پیروی کرتے ہوئے - وہی الگورتھم جو ہمارا 2FA جنریٹر اندرونی طور پر استعمال کرتا ہے، اور وہی الگورتھم جس کی Google Authenticator، Microsoft Authenticator، Authy، اور دیگر تمام ہم آہنگ authenticators پیروی کرتے ہیں۔

  1. 1. Shared secret. جب آپ کسی سروس پر 2FA کو فعال کرتے ہیں، سرور اور آپ کی authenticator ایپ دونوں ایک بے ترتیب سیکرٹ کی پر متفق ہوتے ہیں، عام طور پر 160 بٹس (20 بائٹس) جو انسانی پڑھنے کے قابل ڈسپلے کے لیے Base32 میں انکوڈ کیا گیا ہو۔ یہ shared secret عام آپریشن میں کسی بھی فریق کو نہیں چھوڑتا۔
  2. 2. Time counter. موجودہ Unix timestamp لیں، 30 سے تقسیم کریں، نتیجہ کو floor کریں۔ یہ ایک integer counter پیدا کرتا ہے جو ہر 30 سیکنڈ میں دونوں اطراف میں بڑھتا ہے۔ وقت کو counter کے طور پر استعمال کرنے کا مطلب ہے کہ سرور اور authenticator کے درمیان state کی sync کی ضرورت نہیں ہے - دونوں اطراف آزادانہ طور پر وہی قدر کا حساب لگاتے ہیں۔
  3. 3. HMAC-SHA1. shared secret کو key کے طور پر اور 8-byte big-endian counter کو message کے طور پر استعمال کرتے ہوئے HMAC-SHA1 hash کا حساب لگائیں۔ آؤٹ پٹ 20-byte کرپٹوگرافک hash ہے۔ جدید implementations مضبوط 2FA کے لیے HMAC-SHA256 اور HMAC-SHA512 کو بھی سپورٹ کرتے ہیں جب دونوں فریق الگورتھم پر متفق ہوں۔
  4. 4. Dynamic truncation. hash کا آخری byte لیں، نچلے 4 بٹس کو mask کر کے offset (0 سے 15) حاصل کریں۔ hash میں اس offset سے 4 bytes نکالیں، high bit کو clear کریں، اور نتیجہ کو 32-bit integer کے طور پر برتاؤ کریں۔ یہ RFC 4226 (HOTP) سے dynamic truncation الگورتھم ہے جس پر TOTP کی بنیاد ہے۔
  5. 5. ہندسوں کے لیے Modulo. 32-bit integer modulo 10 کو ہندسوں کی طاقت پر حساب لگائیں - عام طور پر معیاری 6 ہندسوں کے 2FA کوڈ کے لیے 10 طاقت 6، یا کچھ بینکنگ سروسز کے لیے 10 طاقت 8۔ اگر ضروری ہو تو شروع میں صفر کے ساتھ pad کریں تاکہ 7 جیسی کم قدر کا آؤٹ پٹ 000007 ہو، نہ کہ جزوی کوڈ۔

نتیجہ 6 ہندسوں کا تصدیقی کوڈ ہے جو authenticator اور سرور کے ذریعہ یکساں طور پر شمار کیا جاتا ہے۔ جب آپ لاگ ان کے دوران کوڈ ٹائپ کرتے ہیں، سرور موجودہ وقت کی window کے لیے متوقع کوڈ شمار کرتا ہے اور موازنہ کرتا ہے۔ چونکہ HMAC collision-resistant ہے، صرف shared secret کا حامل ہی درست TOTP کوڈ تیار کر سکتا ہے - یہ جدید 2FA سکیورٹی کے پیچھے کرپٹوگرافک ریاضی ہے۔ ہمارے implementation میں، یہ تمام computation براؤزر کے Web Crypto API کا استعمال کرتے ہوئے client-side ہوتی ہے، لہذا آپ کی سیکرٹ کی کبھی سرور کو نہیں چھوتی اور ہم جو کوڈز تیار کرتے ہیں وہ Google Authenticator، Authy، Microsoft Authenticator، 1Password، Bitwarden، اور تمام RFC 6238 compliant authenticators کے ساتھ بالکل مطابقت رکھتے ہیں۔

2FA لغت

مختلف سروسز پر 2FA فعال کرتے وقت آپ کو ملنے والی سب سے عام ٹو فیکٹر اتھنٹیکیشن اصطلاحات کا فوری حوالہ۔

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.