নির্ভরশীল পক্ষগুলির জন্য পাসকি বিকাশকারী গাইড

আপনি কীভাবে আপনার পরিষেবাতে পাসকিগুলিকে সংহত করতে পারেন তা জানুন।

একটি পাসকি সিস্টেমের অ্যানাটমি

একটি পাসকি সিস্টেম কয়েকটি উপাদান নিয়ে গঠিত:

• নির্ভরকারী পক্ষ : পাসকি প্রসঙ্গে, একটি নির্ভরকারী পক্ষ (সংক্ষেপে RP) পাসকি প্রদান এবং প্রমাণীকরণ পরিচালনা করে। RP-কে অবশ্যই একটি ক্লায়েন্ট পরিচালনা করতে হবে - একটি ওয়েবসাইট বা অ্যাপ যা পাসকি তৈরি করে বা পাসকিগুলির সাথে প্রমাণীকরণ করে - এবং ক্লায়েন্টের পাসকিগুলির দ্বারা উত্পন্ন শংসাপত্রগুলি নিবন্ধন, সংরক্ষণ এবং যাচাই করার জন্য একটি সার্ভার৷ একটি পাসকি মোবাইল অ্যাপ্লিকেশন অবশ্যই ডিজিটাল অ্যাসেট লিঙ্কের মতো ওএস প্রদত্ত অ্যাসোসিয়েশন মেকানিজম ব্যবহার করে একটি RP সার্ভার ডোমেনের সাথে আবদ্ধ হতে হবে।
• প্রমাণীকরণকারী : একটি কম্পিউটিং ডিভাইস যেমন একটি মোবাইল ফোন, ট্যাবলেট, ল্যাপটপ বা একটি ডেস্কটপ কম্পিউটার যা অপারেটিং সিস্টেম দ্বারা অফার করা স্ক্রিন লক বৈশিষ্ট্য ব্যবহার করে পাসকি তৈরি এবং যাচাই করতে পারে।
• পাসওয়ার্ড ম্যানেজার : শেষ ব্যবহারকারীর ডিভাইসে সফ্টওয়্যার ইনস্টল করা হয় যা পাসকিগুলিকে পরিবেশন করে, সঞ্চয় করে এবং সিঙ্ক করে, যেমন Google পাসওয়ার্ড ম্যানেজার ।

নিবন্ধন প্রবাহ

একটি নতুন পাসকি তৈরি এবং নিবন্ধন করতে একটি ওয়েবসাইটে WebAuthn API বা একটি Android অ্যাপে ক্রেডেনশিয়াল ম্যানেজার লাইব্রেরি ব্যবহার করুন৷

একটি নতুন পাসকি তৈরি করতে, কিছু মূল উপাদান প্রদান করতে হবে:

• RP ID : একটি ওয়েব ডোমেনের আকারে নির্ভরকারী পক্ষের ID প্রদান করুন।
• ব্যবহারকারীর তথ্য : ব্যবহারকারীর আইডি, ব্যবহারকারীর নাম এবং একটি প্রদর্শন নাম।
• বাদ দেওয়ার জন্য শংসাপত্র : ডুপ্লিকেট নিবন্ধন প্রতিরোধ করার জন্য পূর্বে সংরক্ষিত পাসকি সম্পর্কে তথ্য।
• পাসকির ধরন : ডিভাইসটি নিজেই ("প্ল্যাটফর্ম প্রমাণীকরণকারী") একটি প্রমাণীকরণকারী হিসাবে ব্যবহার করতে হবে, বা একটি বিচ্ছিন্নযোগ্য নিরাপত্তা কী ("ক্রস-প্ল্যাটফর্ম / রোমিং প্রমাণীকরণকারী")। উপরন্তু, কলকারীরা শংসাপত্রটিকে আবিষ্কারযোগ্য করে তুলতে হবে কিনা তা নির্দিষ্ট করতে পারে যাতে ব্যবহারকারী সাইন ইন করার জন্য একটি অ্যাকাউন্ট নির্বাচন করতে পারে।

একবার একটি RP একটি পাসকি তৈরি করার অনুরোধ করে এবং ব্যবহারকারী এটি একটি স্ক্রিন আনলক দিয়ে যাচাই করে, একটি নতুন পাসকি তৈরি করা হয় এবং একটি পাবলিক কী শংসাপত্র ফেরত দেওয়া হয়। এটি সার্ভারে পাঠান এবং ভবিষ্যতের প্রমাণীকরণের জন্য শংসাপত্র আইডি এবং সর্বজনীন কী সংরক্ষণ করুন।

কীভাবে একটি পাসকি তৈরি এবং নিবন্ধন করবেন তা বিস্তারিতভাবে জানুন:

• ওয়েবে : পাসওয়ার্ডবিহীন লগইনের জন্য একটি পাসকি তৈরি করুন
• অ্যান্ড্রয়েডে : ক্রেডেনশিয়াল ম্যানেজার এপিআই ব্যবহার করে পাসকি সহ আপনার অ্যাপগুলিতে বিরামহীন প্রমাণীকরণ আনা

প্রমাণীকরণ প্রবাহ

একটি রেজিস্টার্ড পাসকি দিয়ে প্রমাণীকরণ করতে একটি ওয়েবসাইটে WebAuthn API বা Android অ্যাপে ক্রেডেনশিয়াল ম্যানেজার লাইব্রেরি ব্যবহার করুন৷

একটি পাসকি দিয়ে প্রমাণীকরণ করার জন্য, প্রদান করার জন্য কয়েকটি মূল উপাদান রয়েছে:

• RP ID : একটি ওয়েব ডোমেনের আকারে নির্ভরকারী পক্ষের ID প্রদান করুন।
• চ্যালেঞ্জ : একটি সার্ভার-উত্পন্ন চ্যালেঞ্জ যা রিপ্লে আক্রমণ প্রতিরোধ করে।

একবার একটি RP একটি পাসকি দিয়ে একটি প্রমাণীকরণের অনুরোধ করে এবং ব্যবহারকারী এটি একটি স্ক্রিন আনলক দিয়ে যাচাই করে, একটি সর্বজনীন কী শংসাপত্র ফেরত দেওয়া হয়। এটি সার্ভারে পাঠান এবং সঞ্চিত পাবলিক কী দিয়ে স্বাক্ষর যাচাই করুন।

বিস্তারিতভাবে একটি পাসকি দিয়ে কীভাবে প্রমাণীকরণ করতে হয় তা জানুন:

• ওয়েবে : ফর্ম অটোফিলের মাধ্যমে একটি পাসকি দিয়ে সাইন ইন করুন
• অ্যান্ড্রয়েডে : ক্রেডেনশিয়াল ম্যানেজার এপিআই ব্যবহার করে পাসকি সহ আপনার অ্যাপগুলিতে বিরামহীন প্রমাণীকরণ আনা

সার্ভার-সাইড ইন্টিগ্রেশন

একটি পাসকি তৈরি করার পরে, সার্ভারকে চ্যালেঞ্জ, ব্যবহারকারীর তথ্য, বাদ দেওয়ার জন্য শংসাপত্র আইডি এবং আরও অনেক কিছুর মতো মূল প্যারামিটারগুলি সরবরাহ করতে হবে। এটি তারপর ক্লায়েন্ট থেকে পাঠানো তৈরি পাবলিক কী শংসাপত্র যাচাই করে এবং ডাটাবেসে সর্বজনীন কী সংরক্ষণ করে। পাসকি দিয়ে প্রমাণীকরণের জন্য, সার্ভারকে সতর্কতার সাথে শংসাপত্র যাচাই করতে হবে এবং ব্যবহারকারীকে সাইন ইন করতে দিতে স্বাক্ষর যাচাই করতে হবে।

আমাদের সার্ভার-সাইড গাইডগুলিতে আরও জানুন:

• সার্ভার-সাইড পাসকি বাস্তবায়নের ভূমিকা
• সার্ভার-সাইড পাসকি নিবন্ধন
• সার্ভার-সাইড পাসকি প্রমাণীকরণ

বিদ্যমান (উত্তরাধিকার) প্রমাণীকরণ প্রক্রিয়া

আপনি যখন আপনার বিদ্যমান পরিষেবাতে পাসকিগুলিকে সমর্থন করেন, তখন পুরানো প্রমাণীকরণ প্রক্রিয়া যেমন পাসওয়ার্ডগুলি থেকে পাসকিতে রূপান্তর একদিনে ঘটবে না৷ আমরা জানি আপনি যত তাড়াতাড়ি সম্ভব দুর্বল প্রমাণীকরণ পদ্ধতিটি বাদ দিতে আগ্রহী হবেন, তবে এটি ব্যবহারকারীর বিভ্রান্তির কারণ হতে পারে বা কিছু ব্যবহারকারীকে পিছনে ফেলে দিতে পারে। আমরা আপাতত বিদ্যমান প্রমাণীকরণ পদ্ধতি রাখার পরামর্শ দিই।

এখানে কিছু কারন আছে:

• একটি পাসকি বেমানান পরিবেশে ব্যবহারকারী আছে : পাসকি সমর্থন একাধিক অপারেটিং সিস্টেম এবং ব্রাউজার জুড়ে বিস্তৃতভাবে প্রসারিত হচ্ছে, কিন্তু যারা পুরানো সংস্করণ ব্যবহার করছেন তারা এখনও পাসকি ব্যবহার করতে সক্ষম নন।
• পাসকি ইকোসিস্টেম এখনও পরিপক্ক হতে পারেনি : পাসকি ইকোসিস্টেম বিকশিত হচ্ছে। বিভিন্ন পরিবেশের মধ্যে UX বিবরণ এবং প্রযুক্তিগত সামঞ্জস্য উন্নত হতে পারে।
• ব্যবহারকারীরা এখনও একটি পাসকি নিয়ে বাঁচতে প্রস্তুত নাও হতে পারে : এমন কিছু লোক রয়েছে যারা নতুন জিনিসের উপর ঝাঁপিয়ে পড়তে দ্বিধাগ্রস্ত। পাসকি ইকোসিস্টেম পরিপক্ক হওয়ার সাথে সাথে, তারা পাসকিগুলি কীভাবে কাজ করে এবং কেন এটি তাদের জন্য দরকারী তা বুঝতে পারবে৷

আপনার বিদ্যমান প্রমাণীকরণ প্রক্রিয়া পুনরায় দেখুন

যদিও পাসকিগুলি আপনার প্রমাণীকরণকে সহজ এবং নিরাপদ করে তোলে, পুরানো প্রক্রিয়াগুলি রাখা একটি গর্ত ছেড়ে দেওয়ার মতো। আমরা আপনার বিদ্যমান প্রমাণীকরণ প্রক্রিয়াগুলি পুনরায় দেখার এবং উন্নত করার পরামর্শ দিই।

পাসওয়ার্ড

প্রতিটি ওয়েবসাইটের জন্য শক্তিশালী পাসওয়ার্ড তৈরি করা এবং সেগুলি পরিচালনা করা ব্যবহারকারীদের জন্য চ্যালেঞ্জিং কাজ। সিস্টেমে তৈরি একটি পাসওয়ার্ড ম্যানেজার বা একটি স্বতন্ত্র ব্যবহার করার দৃঢ়ভাবে সুপারিশ করা হয়। সাইন-ইন ফর্মে একটি ছোট পরিবর্তন করে, ওয়েবসাইট এবং অ্যাপ্লিকেশানগুলি এর নিরাপত্তা এবং সাইন-ইন অভিজ্ঞতায় বিশাল পার্থক্য আনতে পারে৷ আপনি কীভাবে এই পরিবর্তনগুলি করতে পারেন তা দেখুন:

• সাইন-ইন ফর্ম সেরা অনুশীলন (ওয়েব)
• সাইন আপ ফর্ম সেরা অনুশীলন (ওয়েব)
• ক্রেডেনশিয়াল ম্যানেজার (Android) দিয়ে আপনার ব্যবহারকারীকে সাইন ইন করুন

দুই ফ্যাক্টর প্রমাণীকরণ

যদিও পাসওয়ার্ড ম্যানেজার ব্যবহার করে ব্যবহারকারীদের পাসওয়ার্ড পরিচালনা করতে সাহায্য করে, তবে সব ব্যবহারকারীই সেগুলি ব্যবহার করে না। ওয়ান-টাইম পাসওয়ার্ড (OTP) নামে একটি অতিরিক্ত শংসাপত্র চাওয়া এই ধরনের ব্যবহারকারীদের রক্ষা করার জন্য একটি সাধারণ অভ্যাস। ওটিপিগুলি সাধারণত একটি ইমেল, একটি এসএমএস বার্তা বা Google প্রমাণীকরণকারীর মতো একটি প্রমাণীকরণকারী অ্যাপের মাধ্যমে প্রদান করা হয়। যেহেতু ওটিপিগুলি সাধারণত একটি সংক্ষিপ্ত পাঠ্য যা গতিশীলভাবে শুধুমাত্র একটি সীমিত সময়সীমার জন্য বৈধ, এটি অ্যাকাউন্ট হাইজ্যাকের সম্ভাবনা কমিয়ে দেয়। এই পদ্ধতিগুলি একটি পাসকির মতো শক্তিশালী নয়, তবে ব্যবহারকারীদের কেবল একটি পাসওয়ার্ড দিয়ে রেখে যাওয়ার চেয়ে অনেক ভাল৷

আপনি যদি একটি OTP প্রদানের উপায় হিসাবে SMS নির্বাচন করেন, OTP প্রবেশ করার জন্য ব্যবহারকারীর অভিজ্ঞতাকে স্ট্রীমলাইন করার জন্য নিম্নলিখিত সেরা অনুশীলনগুলি চেকআউট করুন৷

• SMS OTP ফর্ম সেরা অনুশীলন (ওয়েব)
• SMS Retriever API (Android) সহ স্বয়ংক্রিয় SMS যাচাইকরণ

পরিচয় ফেডারেশন

আইডেন্টিটি ফেডারেশন হল ব্যবহারকারীদের নিরাপদে এবং সহজে সাইন ইন করতে দেওয়ার আরেকটি বিকল্প। পরিচয় ফেডারেশনের সাথে, ওয়েবসাইট এবং অ্যাপগুলি ব্যবহারকারীদের তৃতীয়-পক্ষের পরিচয় প্রদানকারীর থেকে ব্যবহারকারীর পরিচয় ব্যবহার করে সাইন ইন করতে দেয়৷ উদাহরণস্বরূপ, Google এর সাথে সাইন ইন ডেভেলপারদের জন্য দুর্দান্ত রূপান্তর প্রদান করে এবং ব্যবহারকারীরা এটিকে পাসওয়ার্ড ভিত্তিক প্রমাণীকরণের চেয়ে সহজ এবং পছন্দনীয় বলে মনে করেন। আইডেন্টিটি ফেডারেশন পাসকির পরিপূরক। সাইন আপ করার জন্য এটি দুর্দান্ত কারণ ওয়েবসাইট বা অ্যাপ একক ধাপে ব্যবহারকারীর প্রাথমিক প্রোফাইল তথ্য লাভ করতে পারে, যখন পাসকিগুলি পুনরায় প্রমাণীকরণকে স্ট্রিমলাইন করার জন্য দুর্দান্ত।

মনে রাখবেন, 2024 সালে Chrome তৃতীয় পক্ষের কুকিগুলিকে পর্যায়ক্রমে আউট করার পরে, কিছু পরিচয় ফেডারেশন সিস্টেমগুলি কীভাবে তৈরি করা হয়েছে তার উপর নির্ভর করে প্রভাবিত হতে পারে। প্রভাব কমাতে, ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই (সংক্ষেপে ফেডসিএম) নামে একটি নতুন ব্রাউজার API তৈরি করা হচ্ছে। আপনি যদি কোনো পরিচয় প্রদানকারী চালান, তাহলে বিস্তারিত দেখুন এবং দেখুন আপনার FedCM গ্রহণ করতে হবে কিনা।

• ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই (ওয়েব, ফেডসিএম)
• ওয়েবের জন্য Google-এর মাধ্যমে সাইন-ইন-এর ওভারভিউ (ওয়েব, Google-এর মাধ্যমে সাইন-ইন)
• অ্যান্ড্রয়েড-এ ওয়ান ট্যাপ সাইন-ইন-এর ওভারভিউ (অ্যান্ড্রয়েড, ওয়ান ট্যাপ সাইন-ইন)

"ম্যাজিক লিঙ্ক"

ম্যাজিক লিঙ্ক সাইন-ইন হল একটি প্রমাণীকরণ পদ্ধতি যেখানে একটি পরিষেবা একটি ইমেলের মাধ্যমে একটি লগইন লিঙ্ক সরবরাহ করে যাতে ব্যবহারকারী নিজেদের প্রমাণীকরণ করতে এটিতে ক্লিক করতে পারে। যদিও এটি ব্যবহারকারীদের পাসওয়ার্ড মনে না রেখে সাইন ইন করতে সহায়তা করে, ব্রাউজার/অ্যাপ এবং ইমেল ক্লায়েন্টের মধ্যে স্যুইচ করা একটি ঘর্ষণ হবে। এছাড়াও, যেহেতু প্রমাণীকরণ প্রক্রিয়া ইমেলের উপর নির্ভর করে, ইমেল প্রদানকারীর দুর্বল নিরাপত্তা ব্যবহারকারীর অ্যাকাউন্টগুলিকে ঝুঁকিতে ফেলতে পারে।

শেখার সম্পদ

ওয়েব

আপনার ওয়েবসাইটে পাসকিগুলিকে সংহত করতে, ওয়েব প্রমাণীকরণ API (WebAuthn) ব্যবহার করুন৷ আরও জানতে, নিম্নলিখিত সংস্থানগুলি চেকআউট করুন:

• পাসওয়ার্ডহীন লগইনের জন্য একটি পাসকি তৈরি করুন : একটি নিবন্ধ যা আলোচনা করে যে কীভাবে ব্যবহারকারীদের একটি ওয়েবসাইটের জন্য পাসকি তৈরি করতে দেওয়া যায়।
• ফর্ম অটোফিলের মাধ্যমে একটি পাসকি দিয়ে সাইন ইন করুন : একটি নিবন্ধ যা আলোচনা করে যে কীভাবে পাসকি দিয়ে পাসওয়ার্ডহীন সাইন-ইনটি বিদ্যমান পাসওয়ার্ড ব্যবহারকারীদের থাকার সময় ডিজাইন করা উচিত।
• একটি ওয়েব অ্যাপে ফর্ম অটোফিল সহ পাসকিগুলি প্রয়োগ করুন : একটি কোডল্যাব যা আপনাকে একটি সহজ এবং নিরাপদ সাইন-ইন তৈরি করতে একটি ওয়েব অ্যাপে ফর্ম অটোফিল সহ পাসকিগুলি কীভাবে প্রয়োগ করতে হয় তা শিখতে দেয়৷
• একটি ওয়েব অ্যাপে ফর্ম অটোফিল সহ পাসকিগুলি কীভাবে প্রয়োগ করতে হয় তা শিখুন : একটি ওয়ার্কশপ ভিডিও যা কোডল্যাবের উপরে যায় একটি সহজ এবং নিরাপদ সাইন-ইন তৈরি করতে একটি ওয়েব অ্যাপে ফর্ম অটোফিল সহ পাসকিগুলি বাস্তবায়ন করতে একটি ওয়েব অ্যাপে ফর্ম অটোফিল সহ পাসকিগুলি প্রয়োগ করুন ৷
• আপনার প্রথম WebAuthn অ্যাপ তৈরি করুন : একটি কোডল্যাব যা আপনাকে কীভাবে আপনার ওয়েবসাইটে একটি পাসকি দিয়ে একটি সাধারণ পুনঃপ্রমাণ কার্যকারিতা তৈরি করতে হয় তা শিখতে দেয়৷

অ্যান্ড্রয়েড

আপনার অ্যান্ড্রয়েড অ্যাপে পাসকিগুলিকে সংহত করতে, ক্রেডেনশিয়াল ম্যানেজার লাইব্রেরি ব্যবহার করুন৷ আরও জানতে, নিম্নলিখিত সংস্থানগুলি চেকআউট করুন:

• ক্রেডেনশিয়াল ম্যানেজারের মাধ্যমে আপনার ব্যবহারকারীকে সাইন ইন করুন : একটি নিবন্ধ যা আলোচনা করে যে কীভাবে Android এ ক্রেডেনশিয়াল ম্যানেজারকে সংহত করতে হয়। ক্রেডেনশিয়াল ম্যানেজার হল একটি জেটপ্যাক API যা একাধিক সাইন-ইন পদ্ধতি সমর্থন করে, যেমন ব্যবহারকারীর নাম এবং পাসওয়ার্ড, পাসকি এবং ফেডারেটেড সাইন-ইন সমাধান (যেমন Google-এর সাথে সাইন-ইন) একটি একক API-এ
• ক্রেডেনশিয়াল ম্যানেজার এপিআই ব্যবহার করে পাসকিগুলির মাধ্যমে আপনার অ্যাপগুলিতে নির্বিঘ্ন প্রমাণীকরণ আনা : একটি নিবন্ধ যা আলোচনা করে যে কীভাবে অ্যান্ড্রয়েডে ক্রেডেনশিয়াল ম্যানেজারের মাধ্যমে পাসকিগুলিকে সংহত করতে হয়৷
• আপনার অ্যান্ড্রয়েড অ্যাপে ক্রেডেনশিয়াল ম্যানেজার API ব্যবহার করে প্রমাণীকরণের যাত্রাকে কীভাবে সহজ করা যায় তা জানুন : পাসকি বা পাসওয়ার্ড ব্যবহার করে আপনার অ্যাপে নির্বিঘ্ন ও সুরক্ষিত প্রমাণীকরণ প্রদান করতে ক্রেডেনশিয়াল ম্যানেজার API কীভাবে প্রয়োগ করবেন তা শিখুন।
• ক্রেডেনশিয়াল ম্যানেজার স্যাম্পল অ্যাপ : একটি নমুনা কোড যা ক্রেডেনশিয়াল ম্যানেজারকে সুবিধাজনক পাসকি চালায়।
• আপনার শংসাপত্র প্রদানকারী সমাধানের সাথে ক্রেডেনশিয়াল ম্যানেজারকে একীভূত করুন | অ্যান্ড্রয়েড বিকাশকারী

ইউএক্স

পাসকি ব্যবহারকারীর অভিজ্ঞতার সুপারিশ জানুন:

• পাসকি তৈরি এবং সাইন-ইন করার জন্য FIDO জোট UX নির্দেশিকা
• পাসকি সহ ব্যবহারকারীর প্রমাণীকরণ | মোবাইল | অ্যান্ড্রয়েড বিকাশকারী