पासकोड के साथ FIDO पुष्टि करना

परिचय

FIDO (फ़ास्ट पहचान इकाई ऑनलाइन) प्रमाणीकरण मानक, उपयोगकर्ताओं के लिए ऐप्लिकेशन और एक्सेस करने का तेज़ और सुरक्षित प्रमाणीकरण तरीका तय करता है.

FIDO Alliance ने कई तरह के संगठनों से जुड़े प्रतिनिधियों के साथ, तकनीकी और कुछ खास जानकारी तैयार की है. इसकी मदद से लोग एक ही प्रोटोकॉल का इस्तेमाल करके, वेबसाइट और ऐप्लिकेशन ऐक्सेस कर सकते हैं. इसका मतलब है कि कोई भी कंपनी, सुरक्षित तरीके से पुष्टि करने के लिए पासकी जैसी टेक्नोलॉजी को लागू करने के लिए, FIDO स्टैंडर्ड का इस्तेमाल कर सकती है.

पासकी एक FIDO लॉगिन क्रेडेंशियल है, जो ऑरिजिन (वेबसाइट या ऐप्लिकेशन) और फ़िज़िकल डिवाइस से जुड़ा होता है. पासवर्ड में उपयोगकर्ता नाम, पासवर्ड डालने या पुष्टि करने का कोई और तरीका डाले बिना ही पुष्टि करने की सुविधा होती है. इस तकनीक का मकसद पासवर्ड को पुष्टि करने के मुख्य तरीके के तौर पर बदलना है.

पुष्टि करने का सुरक्षित तरीका क्यों ज़रूरी है?

कंप्यूटिंग के लिए पुष्टि करने के लिए, पासवर्ड का इस्तेमाल कई दशकों से किया जा रहा है. हालांकि, पासवर्ड से पुष्टि करना सबसे सुरक्षित विकल्प नहीं है. ऐसा इसलिए है, क्योंकि डेटाबेस का गलत इस्तेमाल किया जा सकता है और पासवर्ड बनाए जा सकते हैं.

कई उपयोगकर्ता एक ही पासवर्ड का इस्तेमाल करके अलग-अलग वेबसाइटों में लॉग इन करते हैं. इसका मतलब है जब एक वेबसाइट का उल्लंघन होता है, तो एक ही पासवर्ड का इस्तेमाल करने वाले हर दूसरे खाते को जोखिम मिलता है. इसलिए, अगर आपने एक सुरक्षित पासवर्ड सिस्टम बनाया हुआ है, तब भी पासवर्ड की सुरक्षा को ध्यान में रखते हुए लोगों को खतरा होता है.

कुछ साइटें और ऐप्लिकेशन, दो चरणों में पुष्टि का अनुरोध करके दूसरे

FIDO किस तरह से मज़बूत सुरक्षा देता है?

FIDO के आधार पर पुष्टि करने की सुविधा, पासवर्ड से पुष्टि करने की सुविधा से जुड़ी कई समस्याओं को हल करती है. साथ ही, पुष्टि करने के वे तरीके भी हटाती है जिनमें पारंपरिक तरीके से पुष्टि करने के दूसरे तरीके इस्तेमाल किए गए हैं. खास तौर पर:

  • FIDO पुष्टि करने के लिए, सार्वजनिक कुंजी के क्रिप्टोग्राफ़ी का इस्तेमाल किया जाता है.
  • FIDO से यह पक्का करने में मदद मिलती है कि क्रेडेंशियल किसी ऐसे पक्ष या किसी दूसरे पक्ष के साथ शेयर न किए जाएं जो क्रेडेंशियल के मालिक नहीं हैं

सार्वजनिक कुंजी क्रिप्टोग्राफ़ी, संभावित डेटाबेस उल्लंघनों के खतरे को कम करती है. उपयोगकर्ता एक ही ऑरिजिन (साइट या ऐप्लिकेशन) के साथ रजिस्टर होता है. यह उपयोगकर्ता की पुष्टि करने वाले (एक असली डिवाइस) पर सार्वजनिक-निजी कुंजी का जोड़ा जनरेट करता है. उपयोगकर्ता की सार्वजनिक कुंजी को ऑरिजिन के सर्वर पर सेव किया जाता है. हालांकि, सिर्फ़ हमलावर ही इसे ऐक्सेस कर सकता है. हमलावर, उपयोगकर्ता की निजी कुंजी को सर्वर पर सेव किए गए डेटा से नहीं ले सकता. इसकी पुष्टि करने के लिए ज़रूरी है.

FIDO के मुताबिक, उपयोगकर्ता यह पुष्टि करने के लिए ज़िम्मेदार नहीं है कि कोई वेबसाइट या ऐप्लिकेशन असल में उनकी पहचान का है. इसके अलावा, उपयोगकर्ता यह पक्का करने के लिए ज़िम्मेदार नहीं है कि क्रेडेंशियल गलत जगहों पर #39 इस्तेमाल नहीं किए जाते. FIDO हर क्रेडेंशियल को एक खास ऑरिजिन से बाइंड करता है. इसका मतलब है कि डिवाइस (मानव नहीं) डिवाइस या वेबसाइट को सही तरीके से पहचानने के लिए ज़िम्मेदार है.

उदाहरण के लिए, मान लें कि उपयोगकर्ता example.com में लॉग इन करने की कोशिश कर रहा है. अगर उपयोगकर्ता phishing-example.com को example.com के मालिकाना हक वाले क्रेडेंशियल का अनुरोध करता है, तो पुष्टि करने वाला अनुरोध उस अनुरोध को अस्वीकार कर देगा. पुष्टि करने की प्रक्रिया से, फ़िशिंग वेबसाइटों या ऐप्लिकेशन के लिए दूसरे ऑरिजिन के लिए बने होने की पुष्टि करना बहुत मुश्किल हो जाता है.

कुल मिलाकर, FIDO और पासवर्ड की मदद से, आप मज़बूत पुष्टि करने की सुविधा का इस्तेमाल कर सकते हैं, जो अब भी ज़्यादातर उपयोगकर्ताओं के लिए काम की और आसान है.

डेमो

पासवर्ड क्या होते हैं?

पासकी एक डिजिटल क्रेडेंशियल है, जो FIDO और W3C वेब ऑथेंटिकेशन (WebAuthn) के स्टैंडर्ड का पालन करता है. पासवर्ड की तरह ही, वेबसाइटें और ऐप्लिकेशन अनुरोध कर सकते हैं कि उपयोगकर्ता अपने खाते को ऐक्सेस करने के लिए पासकी बनाएं.

पासवर्ड, उपयोगकर्ता की पहचान की पुष्टि करने के लिए, डिवाइस को अनलॉक करने पर भरोसा करते हैं. यह बायोमेट्रिक सेंसर (जैसे कि फ़िंगरप्रिंट या चेहरे की पहचान), पिन या पैटर्न की मदद से किया जा सकता है. अपना पासवर्ड जनरेट करने के लिए, उपयोगकर्ता को पहले ऑरिजिन के साथ रजिस्टर करना होगा. यह सार्वजनिक कुंजी होगी.

जब वे लॉग इन करने के लिए वेबसाइट या ऐप्लिकेशन पर वापस आते हैं, तो उपयोगकर्ता यह तरीका अपना सकते हैं:

  1. ऐप्लिकेशन पर जाएं.
  2. साइन इन करें पर क्लिक करें.
  3. उनका पासकी चुनें.
  4. लॉगिन पूरा करने के लिए डिवाइस अनलॉक करें.

पुष्टि करने वाला प्रोग्राम, निजी कुंजी का इस्तेमाल करके हस्ताक्षर करता है. इस सिग्नेचर का इस्तेमाल, सार्वजनिक कुंजी का इस्तेमाल करके और निजी कुंजी को ज़ाहिर किए बिना, शुरुआत की जगह और पुष्टि करने वाले के बीच लॉगिन क्रेडेंशियल की पुष्टि करने के लिए किया जाता है.

उपयोगकर्ता किसी भी डिवाइस पर पासवर्ड की मदद से किसी भी डिवाइस पर साइन इन कर सकता है, फिर चाहे वह पासवर्ड कहीं भी स्टोर किया गया हो. उदाहरण के लिए, मोबाइल फ़ोन पर सेव किए गए पासवर्ड का इस्तेमाल किसी अलग लैपटॉप पर किसी वेबसाइट में साइन इन करने के लिए किया जा सकता है.

पासकी कैसे काम करती हैं?

ऑपरेटिंग सिस्टम के ज़रिए पासवर्ड बनाए और सिंक किए जाते हैं. कुछ ऑपरेटिंग सिस्टम एक ही Google खाते से साइन इन किए गए Android फ़ोन और ChromeOS डिवाइस के बीच, उपयोगकर्ता के डिवाइस में पासवर्ड को अपने-आप सिंक करने की अनुमति दे सकते हैं.

हालांकि, पासकी ऑपरेटिंग सिस्टम से जुड़ी होती हैं, लेकिन उपयोगकर्ता लैपटॉप में लॉग इन करते समय अपने फ़ोन से पासकी का इस्तेमाल कर सकते हैं. जैसा कि FIDO और W3C मानक के साथ पासकी बनाई गई हैं, सभी ब्राउज़र उन्हें अपना सकते हैं. उदाहरण के लिए, कोई उपयोगकर्ता अपने Chromebook पर site.example पर जाता है. इस उपयोगकर्ता ने पहले अपने iOS डिवाइस पर site.example में लॉग इन किया हुआ है. उपयोगकर्ता को iOS डिवाइस पर अपनी पहचान की पुष्टि करने के लिए कहा जाएगा. आम तौर पर, site.example उपयोगकर्ता के Chromebook के लिए एक नया पासकी बनाएगा, ताकि आने वाले समय में लॉगिन करने के लिए, फ़ोन की ज़रूरत न रहे.

पासवर्ड पूरी तरह सुरक्षित (E2EE) होते हैं. इसका मतलब यह है कि भले ही Google अलग-अलग Android डिवाइसों पर इन्हें सिंक करने की ज़िम्मेदारी लेता है, लेकिन Google, पासकी को नहीं पढ़ सकता या उस डेटा के बारे में नहीं जान सकता.

प्रमाणीकरण की प्रक्रिया

यह दिखाना कि पुष्टि करने वाली विंडो कैसी दिख सकती है.

किसी वेबसाइट या ऐप्लिकेशन पर पासकी लागू करने के लिए, आपको इन बातों के बारे में पता होना चाहिए:

  • पुष्टि करने वाले ऐसे उपयोगकर्ता होते हैं जिनके पास उपयोगकर्ता के मालिकाना हक वाले फ़िज़िकल डिवाइस होते हैं. ये उपयोगकर्ता के पास अपनी कुंजी होती है और वे उपयोगकर्ता की पहचान कर सकते हैं.
  • रिलीइंग पार्टी आपकी वेबसाइट या ऐप्लिकेशन है, जिसमें फ़्रंट-एंड ऐप्लिकेशन और बैक-एंड सर्वर शामिल है.
    • फ़्रंट-एंड ऐप्लिकेशन पुष्टि करने वाले तरीके से इंटरैक्ट करने और पुष्टि करने की प्रक्रिया शुरू करने के लिए एपीआई को कॉल करता है.
    • बैक-एंड सर्वर, पुष्टि करने वाले से जनरेट किए गए क्रिप्टोग्राफ़िक ऑब्जेक्ट को वापस लाता है और उनकी पुष्टि करता है.

उदाहरण के लिए, मान लें कि कोई उपयोगकर्ता shoes.example पर स्टोर से (एक भरोसेमंद पक्ष) जूते का एक जोड़ा खरीदना चाहता है. उपयोगकर्ता ने पहले से ही बायोमेट्रिक सेंसर के साथ अपने Android फ़ोन का इस्तेमाल करके, shoes.example को खाते के लिए रजिस्टर किया है. उपयोगकर्ता अपने डिवाइस को अनलॉक करके अपने Android डिवाइस पर shoes.example में लॉग इन करता है. इसके बाद, shoes.example उस उपयोगकर्ता की पहचान वाली सार्वजनिक कुंजी के लिए, उपयोगकर्ता के क्रिप्टोग्राफ़िक तरीके से साइन किए गए लॉगिन क्रेडेंशियल की पुष्टि करता है.

पुष्टि करने वाले ऐप्लिकेशन

पुष्टि करने वाले वे डिवाइस होते हैं जो FIDO के नियमों का पालन करते हैं. इनका इस्तेमाल उपयोगकर्ता की पहचान की पुष्टि करने के लिए किया जाता है. इसमें खास मकसद वाले डिवाइस (FIDO सुरक्षा कुंजियां) के साथ-साथ, पुष्टि करने की ज़रूरी शर्तों को पूरा करने वाले मोबाइल फ़ोन और दूसरे कंप्यूटर भी शामिल हैं. पुष्टि करने वाले लोग, FIDO और WebAuthn स्टैंडर्ड में बताए गए क्रिप्टोग्राफ़िक काम करते हैं.

रजिस्ट्रेशन और पुष्टि के लिए, डिवाइस की दो भूमिकाएं हैं:

  • जब उपयोगकर्ता किसी भरोसेमंद पक्ष के साथ रजिस्टर करता है, तो डिवाइस एक यूनीक सार्वजनिक निजी कुंजी की जोड़ी जनरेट करता है. इसमें उपयोगकर्ता के फ़ोन और कंप्यूटर शामिल होते हैं.
  • जब उपयोगकर्ता भविष्य में भरोसेमंद पक्ष में लॉग इन करता है, तो डिवाइस निजी कुंजी का इस्तेमाल करके हस्ताक्षर जनरेट करता है.

दोनों कार्रवाइयां तब की जाती हैं, जब उपयोगकर्ता यह पुष्टि कर लेता है कि पुष्टि करने वाला व्यक्ति है. इस कुंजी जोड़े को किसी खास ऑरिजिन के साथ रजिस्टर किया जाता है. इसका इस्तेमाल सिर्फ़ सही ऑरिजिन से किया जा सकता है. अगर कोई उपयोगकर्ता फ़िशिंग साइट पर जाता है, तो क्रेडेंशियल उपलब्ध नहीं होगा.

FIDO के नियमों का पालन करने वाले डिवाइस

पुष्टि करने के लिए सबसे सामान्य तरीके ये हैं:

  • प्लैटफ़ॉर्म की पुष्टि करने वाले ऐप्लिकेशन: ये स्मार्टफ़ोन और कंप्यूटर में बनाए जाते हैं. प्लैटफ़ॉर्म की पुष्टि करने वाले ऐप्लिकेशन, बायोमेट्रिक सेंसर (जैसे कि फ़िंगरप्रिंट सेंसर या चेहरे की पहचान वाले कैमरे), पिन या पैटर्न का इस्तेमाल करते हैं. डिवाइस को अनलॉक करके पुष्टि करने की प्रक्रिया पूरी हो जाती है. इसलिए, यह सिर्फ़ एक चरण में साबित होता है कि उपयोगकर्ता के पास डिवाइस का मालिकाना हक है. साथ ही, यह उपयोगकर्ता अपने यूनीक बायोमेट्रिक्स के ज़रिए अपनी पहचान की पुष्टि कर सकता है.
  • सुरक्षा कुंजियां: आम तौर पर, ये यूएसबी डिवाइस होते हैं, जिनमें बटन दबाने पर पुष्टि करने का बटन दिखाया जाता है. पासवर्ड के साथ इस्तेमाल किए जाने पर, सुरक्षा कुंजियां दो तरीकों से पुष्टि करने के लिए एक ज़रूरी तरीका दे सकती हैं. इसका सबसे सामान्य उदाहरण है, 'टाइटन सिक्योरिटी की' या YubiKey.

फ़्रंट-एंड

ऐप्लिकेशन, क्लाइंट-साइड एपीआई का इस्तेमाल करते हैं, जैसे कि WebAuthn और Android के लिए FIDO2. इस तरह, पुष्टि करने वाले उपयोगकर्ता के क्रेडेंशियल बनाने और उनकी पुष्टि करने में मदद मिलती है.

ऐप्लिकेशन, पुष्टि करने वाले बैंक को क्रिप्टोग्राफ़िक चैलेंज पास करता है, जिसे बैकएंड सर्वर से जनरेट किया जाता है. ऐप्लिकेशन, पुष्टि करने के लिए पुष्टि करने वाले का सर्वर का जवाब सर्वर को भेजता है, जो पुष्टि के आधार पर कार्रवाई करता है.

बैक-एंड

सर्वर, उपयोगकर्ता के सार्वजनिक क्रेडेंशियल और खाते की जानकारी को सेव करता है.

रजिस्ट्रेशन और पुष्टि करने पर, सर्वर क्रिप्टोग्राफ़िक चैलेंज जनरेट करता है. इस चुनौती से पुष्टि की जाती है कि पुष्टि करने वाला व्यक्ति हस्ताक्षर जारी करता है. साथ ही, यह पुष्टि भी करता है कि उपयोगकर्ता वही है जो वह होने का दावा करता है.

अक्सर पूछे जाने वाले सवाल

पासवर्ड का इस्तेमाल कौन कर सकता है?

पासकी, FIDO स्टैंडर्ड पर आधारित हैं, इसलिए Android और Chrome पर काम करते हैं. इनमें Microsoft Windows, Microsoft Edge, MacOS, iOS, और Safari जैसे कई दूसरे लोकप्रिय प्लैटफ़ॉर्म और ब्राउज़र शामिल हैं.

उपलब्धता की मौजूदा स्थिति की पुष्टि करने के लिए, इन प्लैटफ़ॉर्म से जुड़े दस्तावेज़ देखें.

Android पर, हम 2022 के आखिर तक डेवलपर के लिए पासकी सहायता उपलब्ध कराना चाहते हैं.

अगर कोई उपयोगकर्ता अपना डिवाइस खो देता है, तो क्या होता है?

Android पर बनाए गए पासवर्ड का बैक अप लिया जाता है और उन्हें उन Android डिवाइस के साथ सिंक किया जाता है जिन पर एक ही Google खाते से साइन इन किया गया है. पासवर्ड की तरह ही पासवर्ड का भी बैक अप लिया जाता है.

इसका मतलब है कि जब उपयोगकर्ता अपने डिवाइस बदलते हैं, तो उन्हें&#39 मिल जाता है. नए फ़ोन पर ऐप्लिकेशन में साइन इन करने के लिए, सभी उपयोगकर्ताओं को बस अपना फ़ोन अनलॉक करना होगा.

क्या कोई उपयोगकर्ता अपने फ़ोन पर पासवर्ड इस्तेमाल करके, किसी दोस्त के डिवाइस पर साइन इन कर सकता है?

हां. उपयोगकर्ता, साइन इन करने के लिए अपने फ़ोन और किसी दूसरे व्यक्ति के डिवाइस के बीच &एक समय &एक और लिंक बना सकते हैं.

अगले चरण

कोडलैब की जांच करना:

इनके बारे में और जानें:

अपडेट पाएं: