अलविदा पासवर्ड, नमस्ते पासकीज़: प्रमाणीकरण का भविष्य

पासकीज़ का परिचय

पासवर्ड-आधारित प्रमाणीकरण कई वर्षों से डिफ़ॉल्ट मोड रहा है। लेकिन कौन हर उस वेबसाइट के पासवर्ड को याद रखना चाहेगा जिस पर वह रजिस्टर करता है? ज़्यादातर लोग कई जगहों पर एक ही पासवर्ड का इस्तेमाल करते हैं, जो याद रखना आसान होता है। पासवर्ड मैनेजर क्रेडेंशियल को ऑटोफिल करना आसान बनाते हैं, लेकिन वे डिज़ाइन के हिसाब से पासवर्ड-आधारित प्रमाणीकरण प्रणाली में मौजूद सुरक्षा चिंताओं को दूर नहीं कर सकते। इसके लिए पासकीज़ आती हैं। वे सुरक्षित और उपयोग में आसान हैं, जो प्रमाणीकरण क्षेत्र में एक नए दृष्टिकोण के साथ पासवर्ड रहित प्रमाणीकरण प्रदान करते हैं जो आशाजनक लगता है।

हर चीज की तरह, पासकी के भी अपने फायदे और चुनौतियां हैं, जिनके बारे में हम इस लेख में चर्चा करने जा रहे हैं, साथ ही यह भी बताएंगे कि प्रमाणीकरण का यह तरीका कैसे काम करता है, यह कितना सुरक्षित है, और भी बहुत कुछ।

पासकी कैसे काम करती है?

पासकी एकल स्ट्रिंग-आधारित पासवर्ड पर निर्भर होने के बजाय प्रमाणीकरण प्रवाह उत्पन्न करने के लिए सार्वजनिक कुंजी क्रिप्टोग्राफी का उपयोग करती है। उपयोगकर्ता का डिवाइस एक सार्वजनिक/निजी कुंजी जोड़ी उत्पन्न करता है और सार्वजनिक कुंजी को सर्वर पर भेजता है जो इसे संग्रहीत करता है और बाद में उपयोगकर्ता को प्रमाणित करने के लिए कुंजी का उपयोग करता है, निजी कुंजी उपयोगकर्ता के डिवाइस पर संग्रहीत होती है।

पंजीकरण प्रवाह

• उपयोगकर्ता का डिवाइस वेब सेवा से जुड़ी एक सार्वजनिक/निजी कुंजी जोड़ी उत्पन्न करता है।
• सार्वजनिक कुंजी वेब सेवा को भेजी जाती है और निजी कुंजी उपयोगकर्ता के डिवाइस पर संग्रहीत की जाती है।
• वेब सेवा उपयोगकर्ता के लिए सार्वजनिक कुंजी को उनके डाटाबेस में संग्रहीत करती है।

प्रमाणीकरण प्रवाह

• वेब सेवा क्लाइंट को एक बार चुनौती भेजती है।
• निजी कुंजी तक पहुंचने के लिए उपयोगकर्ता बायोमेट्रिक्स, पिन आदि जैसी किसी भी विधि का उपयोग करके स्थानीय रूप से स्वयं को प्रमाणित कर सकते हैं।
• उपयोगकर्ता डिवाइस उस विशेष वेब सेवा के लिए निजी कुंजी का उपयोग करके चुनौती पर हस्ताक्षर करता है।
• वेब सेवा हस्ताक्षरित चुनौती प्राप्त करती है और सार्वजनिक कुंजी का उपयोग करके इसे सत्यापित करती है। यह सुनिश्चित करता है कि क्लाइंट डिवाइस के पास वास्तव में निजी कुंजी तक पहुंच है।
• सफल सत्यापन के बाद, वेब सेवा उपयोगकर्ता को प्रमाणित करती है।

ध्यान देने योग्य बातें

• सार्वजनिक/निजी कुंजी जोड़ी प्रत्येक सेवा/वेबसाइट के लिए अद्वितीय होती है।
• पंजीकरण के दौरान सार्वजनिक कुंजी केवल एक बार नेटवर्क पर वेब सेवा को प्रेषित की जाती है।
• निजी कुंजी हर समय उपयोगकर्ता के डिवाइस पर रहती है और कभी भी नेटवर्क पर प्रसारित नहीं होती है। (अपवाद तब है जब आप पासवर्ड मैनेजर का उपयोग करके पासकीज़ को सिंक करते हैं)
• उपयोगकर्ता डिवाइस द्वारा उत्पन्न हस्ताक्षरित पेलोड नेटवर्क पर प्रसारित होता है, सत्र-विशिष्ट होता है, तथा उपयोगकर्ता द्वारा प्रमाणीकरण करने पर प्रत्येक बार परिवर्तित होता है।

वे कितने सुरक्षित हैं और वे पासवर्ड से बेहतर विकल्प कैसे प्रदान कर सकते हैं?

बढ़ी हुई सुरक्षा का मतलब आमतौर पर उपयोग में आसानी में कमी आना होता है, लेकिन पासकी के मामले में यह सच नहीं है। पंजीकरण चरण पूरा होने के बाद उनका उपयोग करना आसान हो जाता है। पासवर्ड याद रखने का कोई बोझ नहीं है, प्रमाणीकरण भी त्वरित, आसान और सुरक्षित है।

पासकी हमले की सतह को कम करती है और पासवर्ड के लिए कुछ सामान्य खतरों को खत्म करती है। पासवर्ड आमतौर पर डेटाबेस पर एन्क्रिप्टेड फॉर्म में संग्रहीत होते हैं। जब आप किसी वेब सेवा में लॉग इन करने के लिए प्लेनटेक्स्ट पासवर्ड का उपयोग करते हैं, तो वे वही एन्क्रिप्टेड टेक्स्ट उत्पन्न करते हैं और इसे पहले से मौजूद टेक्स्ट से तुलना करते हैं, इस तरह से उपयोगकर्ताओं को प्रमाणित किया जाता है। अब यह हमें दो सबसे आम खतरों के साथ छोड़ देता है।

• डेटाबेस उल्लंघन
• फ़िशिंग हमले

डेटाबेस में सेंध लगाना आम बात है और जब किसी सेवा का डेटा चोरी हो जाता है, तो उसे अक्सर डार्क वेब पर बेच दिया जाता है। दुर्भावनापूर्ण अभिनेता जिनके पास डेटा तक पहुंच है, वे ऑफ़लाइन एन्क्रिप्शन को तोड़ने की कोशिश कर सकते हैं, और आज उपलब्ध कंप्यूटिंग शक्ति के साथ एन्क्रिप्शन के आधार पर इसमें हफ्तों से लेकर महीनों तक का समय लग सकता है। पासकी इस खतरे को खत्म कर देती है क्योंकि इसमें स्टोर करने के लिए कोई पासवर्ड नहीं होता है। लीक होने की स्थिति में, केवल सार्वजनिक कुंजी ही उजागर होती है जो दुर्भावनापूर्ण अभिनेताओं के लिए बहुत उपयोगी नहीं होती है।

फ़िशिंग हमलों में, लक्षित वेबसाइट का एक क्लोन बनाया जाता है और उपयोगकर्ता को धोखा देकर उसे असली साइट समझकर उसके क्रेडेंशियल दर्ज करवाए जाते हैं। हालाँकि, यह पासकी के साथ भी काम नहीं करता है क्योंकि चोरी करने के लिए कोई क्रेडेंशियल नहीं होते हैं। मैन इन द मिडल के साथ संयुक्त परिष्कृत फ़िशिंग हमले अभी भी संचालित हो सकते हैं, लेकिन हमले की सतह काफी हद तक कम हो जाती है।

पासकी के प्रकार

• एकल डिवाइस या डिवाइस बाउंड
  • निजी कुंजी कभी भी डिवाइस से बाहर नहीं जाती.
  • प्रमाणीकरण केवल उस विशिष्ट डिवाइस पर ही किया जा सकता है जिस पर निजी कुंजियाँ मौजूद हों।
  • चूंकि कुंजी केवल एक ही डिवाइस पर मौजूद होती है, इसलिए डिवाइस तक पहुंच खो जाने की स्थिति में पुनर्प्राप्ति पथ को सक्रिय करना आवश्यक होता है।
• मल्टी-डिवाइस या सिंक किया गया
  • निजी कुंजी उपयोगकर्ता डिवाइसों में समन्वयित होती है।
  • सामान्य विकल्पों में गूगल पासवर्ड मैनेजर, आईक्लाउड कीचेन आदि का उपयोग शामिल है।
  • कुंजियाँ एंड-टू-एंड एन्क्रिप्टेड होती हैं, जिसका अर्थ है कि प्रदाता आपकी कुंजियों को देख या उपयोग नहीं कर सकता, भले ही वे उन्हें संग्रहीत करते हों।
  • इससे उपयोगिता बढ़ जाती है क्योंकि उपयोगकर्ताओं को केवल एक डिवाइस को पंजीकृत करने की आवश्यकता होती है और वे अपने सभी डिवाइसों में समान कुंजियों का पुनः उपयोग कर सकते हैं।

पासकीज़ की पोर्टेबिलिटी

जैसा कि हमने पिछले भाग में पहले ही सीखा है, पासकी को डिवाइस में सिंक किया जा सकता है, इसलिए हम जानते हैं कि वे पोर्टेबल हैं। जब तक आप प्रदाता (Google, iCloud) के साथ साइन इन हैं, तब तक आप अपने सभी डिवाइस पर पासकी का उपयोग कर सकते हैं। यह हमें इस सवाल पर ले जाता है कि हम उस डिवाइस पर पासकी का उपयोग कैसे करेंगे जो आपकी नहीं है, शायद किसी मित्र का कंप्यूटर या लाइब्रेरी, अनिवार्य रूप से कोई भी डिवाइस जहाँ आप इसे केवल एक बार उपयोग करना चाहते हैं। पासकी इस मामले को भी कवर करती है, यह कैसे काम करती है, अगर दो सिस्टम पासकी का समर्थन करते हैं तो वे एक्सेस साझा करने के लिए ब्लूटूथ पर एक दूसरे के साथ संवाद कर सकते हैं। आइए चरण-दर-चरण देखें कि यह कैसे काम करता है।

• आप डेस्कटॉप पर xyz.com वेबसाइट खोलते हैं, जहां आपके पास पासकी नहीं है।
• आप किसी अन्य डिवाइस पर पासकी के साथ साइन इन करने के विकल्प का उपयोग कर सकते हैं।
• डेस्कटॉप आपको आस-पास उपलब्ध डिवाइसों या QR कोड के विकल्प दिखाएगा।
• आप डिवाइस का चयन कर सकते हैं या क्यूआर स्कैन कर सकते हैं।
• इसके बाद, आप स्वयं को प्रमाणित करने के लिए अपने मोबाइल डिवाइस का उपयोग कर सकते हैं और डेस्कटॉप को अपने मोबाइल से पासकी का उपयोग करने की अनुमति दे सकते हैं।
• एक बार प्रमाणित होने के बाद, आपको पंजीकरण प्रक्रिया से गुजरे बिना डेस्कटॉप पर पासकी बनाने का विकल्प भी मिलता है। यदि आप इसे चुनते हैं, तो आपको अगली बार मोबाइल डिवाइस की आवश्यकता नहीं होगी और डेस्कटॉप के लिए पासकी का एक नया सेट बनाया जाएगा।
• यदि आप केवल एक बार उपयोग करने का विकल्प चुनते हैं, तो कोई नई पासकी नहीं बनाई जाएगी।

गोद लेने के बारे में मुख्य बातें

पासकीज़ FIDO2 मानकों पर आधारित हैं जो क्लाइंट टू ऑथेंटिकेटर प्रोटोकॉल (CTAP) को वेब ऑथेंटिकेशन API (WebAuthn) के साथ जोड़ते हैं और यह FIDO गठबंधन और W3C के बीच एक संयुक्त परियोजना है। इन मानकीकरण प्रयासों का उद्देश्य गोद लेने और उचित कार्यान्वयन को बढ़ाना है। Google, Apple Microsoft जैसी कंपनियों द्वारा OS और ब्राउज़र स्तर पर पासकीज़ के लिए मूल समर्थन जोड़ा जाता है जो पासकीज़ को अपनाने को प्रोत्साहित करने में एक लंबा रास्ता तय करता है।

उद्योग में पासवर्ड पर लंबे समय से निर्भरता के कारण, पासकी को अपनाना न केवल एक तकनीकी चुनौती है, बल्कि एक मनोवैज्ञानिक चुनौती भी है। अंतिम उपयोगकर्ता शुरुआत में पासकी को लेकर असहज महसूस कर सकते हैं, क्योंकि वे पासवर्ड-आधारित सिस्टम की परिचितता के आदी हैं। भले ही पासकी पासवर्ड की तुलना में सुरक्षित और उपयोग में आसान हैं, लेकिन अधिकांश मामलों में ज्ञात विकल्पों के साथ सहजता जीत जाती है। बड़े पैमाने पर पासकी को अपनाने के लिए उपयोगकर्ता शिक्षा की आवश्यकता है, पुनर्प्राप्ति और उपयोग में आसानी के बारे में प्रश्न शुरू में होंगे।

दूसरी ओर, यदि कंपनियों को लगता है कि पासकी प्रमाणीकरण पर्याप्त उपयोगकर्ता स्वीकृति नहीं देता है, तो वे पासकी प्रमाणीकरण प्रदान करने में अनिच्छुक हो सकती हैं। सार्वजनिक क्षेत्र में, सरकारें नीतिगत परिवर्तनों के माध्यम से स्वीकृति को प्रोत्साहित कर सकती हैं।

निष्कर्ष

पासकी में प्रमाणीकरण क्षेत्र को बदलने की क्षमता है। वे सुरक्षित और उपयोग में आसान हैं। वे पासवर्ड-आधारित प्रमाणीकरण के साथ मौजूद आम खतरों को खत्म करते हैं, हालांकि, वे अपनी चुनौतियां और सीमाएं भी लाते हैं। खातों की रिकवरी और क्रेडेंशियल की पोर्टेबिलिटी कुछ ऐसे सवाल हैं जिन्हें ठीक से संबोधित करने की आवश्यकता है। मुझे लगता है कि अगला कदम प्रमाणीकरण के हाइब्रिड मोड का उपयोग करना है यानी पासवर्ड के साथ पासकी का उपयोग करना। जैसे-जैसे वास्तविक दुनिया में इसे अपनाया जाएगा, हम और अधिक तर्क देखेंगे जो पूरी तरह से पासवर्ड रहित भविष्य की ओर बढ़ने से पहले यह तय करने के लिए एक बेहतर बिंदु होगा कि आगे कहाँ जाना है।

**