ई-मेल हाईजैक होते ही सब कुछ खतरे में—UPI, सोशल, क्लाउड, बिज़नेस। अच्छी खबर: Google ने Passkeys और बेहतर 2-Step Verification (2FA) से अकाउंट सुरक्षा को बहुत आसान बना दिया है। इस हिंदी-फर्स्ट गाइड में मैं दिखाऊँगी: Passkey कैसे बनाएं, Authenticator App/Prompt के साथ 2FA कैसे ऑन करें, Recovery Codes कहाँ से मिलते हैं, और अगर किसी पुराने ऐप/SMTP को ज़रूरत हो तो App Passwords कैसे बनते हैं—साथ में प्रैक्टिकल सेफ़्टी नियम।

UPI Lite vs UPI Lite X (2025): क्या फर्क है, किसे चुनें, कैसे सेट-अप करें? Limits, Charges, Safety पूरा गाइड

क्यों ज़रूरी? (1 मिनट में)

• Password alone ≠ safe: फ़िशिंग/लीक से पासवर्ड चुर जाते हैं।
• Passkeys: फ़िशिंग-रेज़िस्टेंट, फोन/लैपटॉप के PIN/Biometrics से लॉगिन—पासवर्ड टाइप करने की जरूरत नहीं।
• 2FA (2-Step Verification): पासवर्ड के बाद दूसरा स्टेप (Prompt/Authenticator) —लॉगिन हाईजैक बहुत मुश्किल।
• Recovery Codes: फोन खो जाए/रोमिंग में OTP न आए—तो इमरजेंसी एक्सेस।
• App Passwords: सिर्फ rare पुराने क्लाइंट/डिवाइस के लिए; रोजमर्रा में अवॉइड।

A) Passkeys सेटअप (Android/iPhone/Laptop—सब पर आसान)

कहाँ जाएँ?: Google Account → Security → Passkeys → Create a passkey.
स्टेप्स (generic):

1. अपने device unlock (PIN/Face/Touch) कन्फर्म करें।
2. “Create passkey” पर टैप/क्लिक करें—फोन/ब्राउज़र इसे FIDO स्टैंडर्ड से सेव करेगा।
3. वैकल्पिक: Security key (USB/NFC) भी जोड़ सकते हैं (advanced users).

कैसे काम करता है?

• लॉगिन पर Gmail कहेगा—“Use your passkey?”; आप डिवाइस अनलॉक कर देंगे → done. फ़िशिंग लिंक पर भी पासकी शेयर नहीं होती, इसलिए ज्यादा सुरक्षित।

B) 2-Step Verification (2FA): Prompt/Authenticator App सबसे बढ़िया

Security → 2-Step Verification पर जाएँ → Get started.
Methods (priority order):

1. Google Prompt / Device notification (Recommended)
   • लॉगिन पर आपके फ़ोन पर “Are you trying to sign-in?” → Yes।
2. Authenticator App (TOTP)
   • Google Authenticator/Microsoft Authenticator/1Password/Bitwarden—किसी में भी Setup key/QR से जोड़ें।
3. Backup: SMS/Voice (कम सुरक्षित, फिर भी fallback)
4. Backup Security Keys (Pro users)

Tip: Prompt + Authenticator दोनों रखें—अगर एक unavailable हो तो दूसरा काम आए।

C) Recovery Codes—इमरजेंसी के लिए अनिवार्य

Security → 2-Step Verification → Recovery Codes → Get codes / Download

• 8/10 एक-बार-उपयोग कोड मिलते हैं (count Google policy पर निर्भर)।
• इन्हें प्रिंट/लिखकर वॉलेट/सेफ फाइल में रखें (फोन/ईमेल में मत रखें, वही हैक हो सकता है)।
• हर कोड once-only; यूज़ होने पर कट जाता है; खत्म हों तो Generate new codes।

D) App Passwords—कब और कैसे (Only if needed)

Important: App Passwords तभी जब पुराना ऐप/डिवाइस (जैसे पुराना Outlook/SMTP डिवाइस) OAuth/Passkeys/TOTP सपोर्ट न करे। Regular यूज़ के लिए नहीं।

Security → 2-Step Verification → App Passwords

1. App नाम चुनें (उदा., “SMTP Printer/Legacy Mail”).
2. Generate पर क्लिक करें—16-चर का ऐप पासवर्ड मिलेगा।
3. इसे उस legacy ऐप में डालें; भरोसा न होने पर तुरंत Revoke कर दें।
4. हर डिवाइस/ऐप के लिए अलग App Password रखें; उपयोग लिस्ट समय-समय पर क्लीन करें।

UPI Fraud से बचाव 2025: स्कैम के नए तरीके, 1930 हेल्पलाइन, और आपकी पैसा-सुरक्षा चेकलिस्ट

E) Inbox & Account Hygiene (Quick Wins)

• Security Checkup चलाएँ (Google Account → Security Checkup).
• Forwarding/Filters: Settings → Filters and Blocked → suspicious auto-forward rules हटाएँ।
• Third-party access: Third-party apps/इंटीग्रेशन्स review करें; non-essential revoke।
• Recovery email/phone अपडेट रखें; recent activity में unknown device/session साइन-आउट करें।
• Phishing radar: “password/OTP/QR मांगने वाले ईमेल” = रिपोर्ट स्पैम/फ़िशिंग; अटैचमेंट/लिंक पर hover/preview करें, तुरंत क्लिक न करें।

Typical Attack Scenarios—और उनसे बचाव

• Look-alike domain (gmaiI.com): एड्रेस बार/सेंडर डोमेन डबल-चेक करें।
• Consent-phishing (OAuth lure): “Allow” क्लिक करने से पहले requested permissions पढ़ें; unnecessary scopes = Deny।
• Session hijack: shared/office PC पर Sign out; “Don’t save password”।
• SIM-swap: 2FA fallback SMS पर निर्भर न रहें; Prompt/Authenticator पसंद करें।

झटपट सार (Key Takeaways)

• Passkey + 2FA (Prompt/Authenticator) = Gmail के लिए best combo।
• Recovery Codes ऑफलाइन रखें—फोन खो जाए तब काम आए।
• App Passwords सिर्फ legacy apps के लिए; काम होते ही revoke।
• Filters/Forwarding/3rd-party access नियमित audit करें; phishing से सावधान।

DigiLocker फुल गाइड 2025: मार्कशीट/RC/आधार कैसे जोड़ें, Share Code/QR से डॉक्यूमेंट सुरक्षित तरीके से शेयर करना

FAQs (अक्सर पूछे जाने वाले सवाल—Hindi + short English)

Q1) Passkey और 2FA दोनों चाहिए?
हाँ, रखें। Passkey से लॉगिन आसान+सुरक्षित; 2FA बैकअप/अन्य डिवाइस पर मददगार। (Use both for layered security.)

Q2) नया फोन लिया—Passkeys ट्रांसफर कैसे?
Android में Google account sync और iPhone में iCloud Keychain से पासकी migrate हो सकती है; नहीं तो नए डिवाइस पर Create new passkey करें। (Create passkey on each primary device.)

Q3) Authenticator ऐप खो गया?
Recovery Codes से लॉगिन करें → नया authenticator सेट करें → पुराने पर revoke। (Use recovery codes, then re-enroll.)

Q4) Office/College Outlook पुराना है—OAuth नहीं चल रहा?
Temporary के लिए App Password बनायें, पर जल्द से जल्द OAuth-capable क्लाइंट पर शिफ्ट करें। (Use app password only as a bridge.)

Q5) क्या SMS-OTP 2FA काफी है?
चलता है पर कमजोर है (SIM-swap/SS7 risks). Prompt/Authenticator इसका बेहतर विकल्प। (Prefer Prompt/TOTP over SMS.)

Q6) Recovery email/phone कितना जरूरी?
बहुत। अकाउंट लॉकआउट में वही लाइफ-सेवर है—अपडेटेड रखें। (Keep them current.)

External (प्रामाणिक संदर्भ/References – हिंदी/English नोट)

• Google Account Security (Help Center): Passkeys, 2-Step Verification, Recovery options—official steps.
• Google Authenticator / Prompts guides: Setup & backup best practices.
• FIDO Alliance (Passkeys basics): पासकी कैसे फ़िशिंग-रेज़िस्टेंट हैं—टेक ओवरव्यू।

नोट: UI/स्टेप्स समय-समय पर अपडेट होते हैं—पोस्ट पब्लिश करते समय ऑफिशियल हेल्प पेज का ताज़ा वॉकथ्रू देखकर स्क्रीन-टेक्स्ट मैच कर लें।