कोई और पासवर्ड नहीं — कैसे पासकी आपके पासवर्ड को बदल देगी
अस्पष्टता से बचने के लिए निम्नलिखित शब्दों का प्रयोग किया जाएगा;
प्रमाणक ; लॉगिन करने के लिए इस्तेमाल किया जा रहा मोबाइल फोन
वेबसाइट ; लॉगिन अनुरोध करने के लिए उपयोगकर्ता जिस वेबसाइट या एप्लिकेशन का उपयोग कर रहा है
सेवा ; दी गई सेवा प्रदान करने वाला विक्रेता जैसे Google Mail, Microsoft Outlook
पासवर्ड के साथ क्या समस्या है?
पासवर्ड हमारे इंटरनेट के उपयोग का पर्याय हैं, हम उनका उपयोग अपने ईमेल, सोशल मीडिया खातों में लॉग इन करने या अपने बैंक बैलेंस की जांच करने के लिए करते हैं। हमें 'अच्छा' जटिल पासवर्ड सेट करने के लिए याद दिलाया जाता है, जिसमें प्रत्येक साइट की अपनी परिभाषा होती है कि अच्छा कैसा दिखता है।
इन प्रयासों के बावजूद, पासवर्ड एक कमज़ोरी बनी हुई है क्योंकि कई लोग कमज़ोर पासवर्ड और/या सभी खातों में एक ही पासवर्ड का उपयोग करते हैं। अक्सर कुछ लोग वास्तविक सेवाओं का दिखावा करने वाली वेबसाइटों के शिकार हो जाते हैं, जिन्हें फ़िशिंग कहा जाता है। यह वह जगह है जहां उपयोगकर्ता एक लिंक पर क्लिक करते हैं जिसे वे वास्तविक मानते हैं लेकिन वास्तव में, उपयोगकर्ता का पासवर्ड चुराने के लिए बनाई गई एक नकली वेबसाइट है।
बहुत अच्छी नकली 'फ़िशिंग' वेबसाइटें उपयोगकर्ताओं को बहु-कारक प्रमाणीकरण (MFA) में भी धोखा दे सकती हैं यदि MFA प्रकार को फ़िशिंग हमलों के प्रतिरोधी होने के लिए डिज़ाइन नहीं किया गया है। हालाँकि, किसी भी एमएफए का होना एमएफए न होने से बेहतर है।
पासकी क्या हैं
पासकीज़ पासवर्ड को प्रतिस्थापित करती हैं और फ़िशिंग हमलों के प्रतिरोधी होने के लिए डिज़ाइन की गई हैं। वे अधिक सुरक्षित होने के साथ-साथ उपयोगकर्ताओं के लिए लॉगिन प्रक्रिया को भी बहुत आसान बनाते हैं।
उदाहरण के तौर पर बतूल को लेते हैं, वह अपने जीमेल खाते में लॉग इन करने के लिए एक पासवर्ड का उपयोग कर रही है। पासकी में जाकर वह अपने फिंगरप्रिंट या चेहरे का उपयोग करके लॉग इन कर सकती है। यदि वह पासकी का उपयोग नहीं कर सकती है तो पासवर्ड एक वैकल्पिक तरीका बन जाता है (पासवर्ड अंततः किसी बिंदु पर सेवानिवृत्त हो जाएगा)।
पासकी निजी और सार्वजनिक कुंजियों की अवधारणा का उपयोग करती है , पासफ़्रेज़ के बजाय बतूल के पास अब एक निजी कुंजी है जो उसके मोबाइल फोन द्वारा मूल रूप से बनाई, संग्रहीत और प्रबंधित की जाती है। यह एक प्रमाणीकरण ऐप या ऑपरेटिंग सिस्टम के माध्यम से हो सकता है।
बतूल का फोन जानता है कि Gmail.com के साथ उसके पासकी निर्माण के हिस्से के रूप में, जीमेल पर अपनी नई सार्वजनिक कुंजी को स्वचालित रूप से कैसे अपलोड किया जाए।
जीमेल अब बतूल की सार्वजनिक कुंजी के बारे में जानता है और इसलिए बतूल को अपने फोन को अनलॉक करने और अपनी निजी कुंजी का उपयोग करके हस्ताक्षर करने की आवश्यकता के द्वारा यह पुष्टि करने के लिए कहेगा कि यह उसका है।
यह सब Gmail.com और उसके फ़ोन के बीच पृष्ठभूमि में होता है, बतूल को केवल अपने फ़िंगरप्रिंट या फ़ेशियल बायोमेट्रिक अनलॉक का उपयोग करने के बारे में चिंता करने की ज़रूरत है जैसे वह सामान्य रूप से करती है। यदि उसके पास ढेर सारे अलग-अलग Gmail.com खाते सेट हैं, तो उसे यह चुनना पड़ सकता है कि किस पासकी का उपयोग करना है।
नकली वेबसाइटों का अब कोई खतरा नहीं है क्योंकि उनके पास बतूल की सार्वजनिक कुंजी नहीं है और इसलिए वह साइन इन नहीं कर सकती हैं। याद रखें कि निजी कुंजी उनके मोबाइल फोन को कभी नहीं छोड़ती है।
तो बतूल पासवर्ड से पासकी में कैसे जाता है?
नीचे दिया गया आरेख दिखाता है कि बतूल अपने जीमेल खाते के लिए पासवर्ड का उपयोग करने से लेकर पासकी तक कैसे जाती है।
1- बतूल अपने उपयोगकर्ता नाम और पासवर्ड का उपयोग करके सेवा (जीमेल) में लॉग इन करती है।
2- जीमेल अब पासकी का समर्थन करता है, बतूल को पासकी बनाने के लिए एक अनुरोध भेजा जाता है या उसे g.co/passkeys पर ब्राउज़ करने की आवश्यकता हो सकती है ।
3- पासकी बनाने के लिए एक अधिसूचना दिखाई देती है।
4- बतूल एक पासकी बनाना चुनता है और उसे बायोमेट्रिक विकल्प का उपयोग करके अपने फोन को अनलॉक करने के लिए कहा जाता है, इससे उसका फोन Gmail.com के लिए सुरक्षित रूप से एक नया पासकी बना सकता है और इसे सुरक्षित रूप से उसके लिए स्टोर कर सकता है।
5- निजी कुंजी उसके उपयोगकर्ता प्रोफ़ाइल से बंधी होती है यानी उसके उपकरणों में समन्वयित होती है। इस उदाहरण में, बैटूल एक आईफोन का उपयोग कर रहा है, इसलिए इसे आईक्लाउड का उपयोग करके सिंक किया जा सकता है। हालाँकि, वैकल्पिक विधियों का उपयोग विभिन्न विक्रेताओं द्वारा किया जा सकता है, जैसे कि Microsoft प्रमाणक या Google पासवर्ड प्रबंधक।
6 - संबंधित सार्वजनिक कुंजी जीमेल को भेजी जाती है।
7- Google केवल इस सार्वजनिक कुंजी को संग्रहीत करता है और भविष्य में बैटूल से हस्ताक्षरित हस्ताक्षरों को मान्य करने के लिए लॉगिन प्रयासों में उपयोग किया जाता है।
जबकि बतूल पासकी का उपयोग करने के लिए अपने फिंगरप्रिंट या चेहरे का उपयोग कर रहा है, यह डिवाइस को अनलॉक करने या ऑनलाइन बैंकिंग में लॉग इन करने जैसा है - उसके फिंगरप्रिंट या चेहरे का डिजिटल प्रतिनिधित्व मोबाइल फोन को कभी नहीं छोड़ता है , यह फोन में एन्क्रिप्टेड संग्रहीत है, और नहीं किया जा सकता जीमेल या जिसने भी डिवाइस बनाया है, जैसे ऐप्पल या एंड्रॉइड द्वारा एक्सेस किया गया।
अब बतूल के पास पासकी है, लॉगिन प्रक्रिया कैसे काम करती है?
नीचे दिया गया डायग्राम दिखाता है कि कैसे बतूल अपनी पासकी का इस्तेमाल करके अपने जीमेल अकाउंट में लॉग इन करेगी।
1- बैटूल इस मामले में किसी दी गई सेवा, जीमेल की लॉगिन वेबसाइट को ब्राउज करता है।
2- बतूल ने पहले जीमेल के लिए एक पासकी (ऊपर देखें) बनाया है, इसलिए जीमेल सेवा से एक चुनौती भेजी जाती है।
3- बैटूल के फोन द्वारा चुनौती प्राप्त की जाती है और सेवा से उपलब्ध पासकी की सूची के रूप में दिखाई देती है यानी यदि बैटूल के पास एक से अधिक जीमेल खाते हैं तो दो पासकी दिखाई देंगी
4- बतूल अपने जीमेल खाते के लिए पासकी का चयन करती है और फिर अपने मोबाइल फोन को अनलॉक करने के लिए बायोमेट्रिक्स का उपयोग करती है, इसके बाद उसके फोन को निजी कुंजी का उपयोग करने की अनुमति मिलती है।
5- Google की चुनौती पर बतूल की निजी कुंजी द्वारा हस्ताक्षर किए जाते हैं।
6- एक हस्ताक्षरित चुनौती तब Google को भेजी जाती है, जो इस बात का दृढ़ विश्वास प्रदान करती है कि बतूल लॉग इन कर रहा है।
7 - Google सफल लॉगिन की पुष्टि करने के लिए Batool की सार्वजनिक कुंजी का उपयोग करता है।
अब से Google में लॉग इन करते समय, जब भी संभव हो Google पासकुंजी के लिए पूछेगा। यदि पासकी उपलब्ध नहीं है, तो बतूल अभी भी अपने Google पासवर्ड का उपयोग कर सकती है।
यह पासकी के लिए एक चरणबद्ध कदम का हिस्सा है क्योंकि अधिक सेवाएं पासकी को गले लगाती हैं, हम उम्मीद करते हैं कि पासवर्ड के बिना भविष्य और फ़िशिंग के लिए मजबूत लचीलापन देखने को मिलेगा।
Apple, Google और Microsoft इसके बारे में अधिक जानकारी के साथ जागरूकता बढ़ाने और पासकी को अपनाने के लिए सहयोग कर रहे हैं ।
इस टुकड़े की समीक्षा करने वाले जोएल सैमुअल और अली सर्राफ को बहुत-बहुत धन्यवाद ।