भरोसा करने वाले पक्षों के लिए पासकी डेवलपर गाइड

अपनी सेवा में पासकी जोड़ने का तरीका जानें.

पासकी सिस्टम की बनावट

पासकी सिस्टम में कुछ कॉम्पोनेंट होते हैं:

  • निर्भर पक्ष: पासकी के संदर्भ में, भरोसेमंद पक्ष (कम शब्दों में, आरपी) पासकी जारी करने और पुष्टि करने की प्रक्रिया को हैंडल करता है. आरपी को एक क्लाइंट ऑपरेट करना होगा. यह एक ऐसी वेबसाइट या ऐप्लिकेशन है जो पासकी बनाता है या पासकी से पुष्टि करता है. साथ ही, आरपी को क्लाइंट पर पासकी से जनरेट किए गए क्रेडेंशियल को रजिस्टर करने, सेव करने, और उनकी पुष्टि करने के लिए एक सर्वर उपलब्ध कराना चाहिए. पासकी मोबाइल ऐप्लिकेशन को आरपी सर्वर डोमेन से जोड़ा जाना चाहिए. इसके लिए, ओएस से जुड़े सिस्टम का इस्तेमाल किया जाना चाहिए, जैसे कि डिजिटल ऐसेट लिंक.
  • Authenticator: यह एक कंप्यूटिंग डिवाइस, जैसे कि मोबाइल फ़ोन, टैबलेट, लैपटॉप या डेस्कटॉप कंप्यूटर है. यह ऑपरेटिंग सिस्टम के साथ मिलने वाली स्क्रीन लॉक सुविधा का इस्तेमाल करके, पासकी बनाकर उनकी पुष्टि कर सकता है.
  • Password Manager: असली उपयोगकर्ता के डिवाइस पर इंस्टॉल किया गया सॉफ़्टवेयर, जो पासकी को काम करता है, सेव करता है, और सिंक करता है. जैसे, Google Password Manager.

रजिस्ट्रेशन फ़्लो

नई पासकी बनाने और रजिस्टर करने के लिए, किसी वेबसाइट पर WebAuthn API या Android ऐप्लिकेशन पर क्रेडेंशियल मैनेजर लाइब्रेरी का इस्तेमाल करें.

नई पासकी बनाने के लिए इन बातों का ध्यान रखें:

  • आरपी आईडी: वेब डोमेन के तौर पर, भरोसा करने वाले पक्ष का आईडी दें.
  • उपयोगकर्ता की जानकारी: उपयोगकर्ता का आईडी, उपयोगकर्ता नाम, और डिसप्ले नेम.
  • बाहर रखे जाने वाले क्रेडेंशियल: डुप्लीकेट रजिस्ट्रेशन को रोकने के लिए, पहले से सेव की गई पासकी के बारे में जानकारी.
  • पासकी के टाइप: डिवाइस को "प्लैटफ़ॉर्म ऑथेंटिकेशन") पुष्टि करने वाले के तौर पर या डिटैचबल सुरक्षा कुंजी ("क्रॉस-प्लैटफ़ॉर्म / रोमिंग Authenticator") के तौर पर इस्तेमाल करना है या नहीं. इसके अलावा, कॉलर यह तय कर सकते हैं कि क्रेडेंशियल को खोजे जाने लायक बनाना है या नहीं, ताकि उपयोगकर्ता साइन इन करने के लिए कोई खाता चुन सके.

जब आरपी ने पासकी बनाने का अनुरोध किया और उपयोगकर्ता स्क्रीन अनलॉक की मदद से इसकी पुष्टि करेगा, तब एक नई पासकी बनाई जाती है और सार्वजनिक कुंजी का क्रेडेंशियल दिखाया जाता है. इसे सर्वर पर भेजें और क्रेडेंशियल आईडी और सार्वजनिक कुंजी को सेव करके रखें, ताकि आने वाले समय में पुष्टि की जा सके.

रजिस्ट्रेशन फ़्लो

पासकी बनाने और रजिस्टर करने के तरीके के बारे में ज़्यादा जानें:

पुष्टि करने का फ़्लो

रजिस्टर की गई पासकी से पुष्टि करने के लिए, किसी वेबसाइट पर WebAuthn API या Android ऐप्लिकेशन पर क्रेडेंशियल मैनेजर लाइब्रेरी का इस्तेमाल करें.

पासकी से पुष्टि करने के लिए, इन अहम बातों का ध्यान रखें:

  • आरपी आईडी: वेब डोमेन के तौर पर, भरोसा करने वाले पक्ष का आईडी दें.
  • चुनौती: सर्वर से जनरेट होने वाली ऐसी चुनौती जो रीप्ले हमलों को रोकती है.

जब आरपी, पासकी से पुष्टि करने का अनुरोध करता है और उपयोगकर्ता, स्क्रीन अनलॉक की मदद से इसकी पुष्टि करता है, तब सार्वजनिक पासकोड का क्रेडेंशियल दिखाया जाता है. इसे सर्वर पर भेजें और सेव की गई सार्वजनिक कुंजी से हस्ताक्षर की पुष्टि करें.

पुष्टि करने का फ़्लो

पासकी से पुष्टि करने के तरीके के बारे में ज़्यादा जानें:

सर्वर-साइड इंटिग्रेशन

पासकी बनाते समय, सर्वर को कुछ अहम पैरामीटर देने होते हैं. जैसे, चैलेंज, उपयोगकर्ता की जानकारी, बाहर रखे जाने वाले क्रेडेंशियल आईडी वगैरह. इसके बाद, वह क्लाइंट से भेजे गए सार्वजनिक पासकोड के क्रेडेंशियल की पुष्टि करता है और सार्वजनिक कुंजी को डेटाबेस में सेव करता है. पासकी से पुष्टि करने के लिए, सर्वर को क्रेडेंशियल की ध्यान से पुष्टि करनी होगी और हस्ताक्षर की पुष्टि करनी होगी, ताकि उपयोगकर्ता साइन इन कर सके.

ज़्यादा जानने के लिए, हमारी सर्वर साइड गाइड देखें:

पुष्टि करने के लेगसी तरीके

अगर मौजूदा सेवा में पासकी की सुविधा दी जाती है, तो पुष्टि करने के पुराने तरीके, जैसे कि पासवर्ड से पासकी पर ट्रांज़िशन एक दिन में नहीं होगा. हम जानते हैं कि आप पुष्टि करने के कमज़ोर तरीके को जल्द से जल्द खत्म करना चाहेंगे. हालांकि, इससे उपयोगकर्ता के लिए भ्रम की स्थिति बन सकती है या कुछ उपयोगकर्ता छूट सकते हैं. हमारा सुझाव है कि फ़िलहाल, पुष्टि करने के मौजूदा तरीके का इस्तेमाल जारी रखें.

इसकी कुछ वजहें होती हैं:

  • ऐसे उपयोगकर्ता हैं जो पासकी के साथ काम नहीं करते: पासकी की सुविधा कई ऑपरेटिंग सिस्टम और ब्राउज़र पर बड़े पैमाने पर काम कर रही है. हालांकि, पुराने वर्शन इस्तेमाल करने वाले लोग फ़िलहाल पासकी का इस्तेमाल नहीं कर पाएंगे.
  • पासकी नेटवर्क अभी खत्म नहीं हुआ है: पासकी का नेटवर्क लगातार बेहतर बनाया जा रहा है. अलग-अलग माहौल के बीच UX की जानकारी और तकनीकी के साथ काम करने से बेहतर हो सकता है.
  • ऐसा हो सकता है कि उपयोगकर्ता अभी पासकी का इस्तेमाल करने के लिए तैयार न हों: कई ऐसे लोग होते हैं जो नई चीज़ें आज़माने में झिझकते हैं. पासकी का नेटवर्क बढ़ने के साथ-साथ, उन्हें इस बात का अंदाज़ा होने लगेगा कि पासकी कैसे काम करती हैं और ये उनके लिए क्यों काम की हैं.

पुष्टि करने के अपने मौजूदा तरीके को फिर से देखें

पासकी से पुष्टि करना आसान और सुरक्षित हो जाता है, लेकिन पुराने तरीकों को बनाए रखना आपके काम में कोई रुकावट डालने जैसा है. हमारा सुझाव है कि आप फिर से पुष्टि करने के अपने मौजूदा तरीकों को बेहतर बनाएं.

पासवर्ड

हर वेबसाइट के लिए मज़बूत पासवर्ड बनाना और उन्हें मैनेज करना, उपयोगकर्ताओं के लिए चुनौती भरा काम होता है. हमारा सुझाव है कि सिस्टम में पहले से मौजूद Password Manager या किसी स्टैंडअलोन पासवर्ड मैनेजर का इस्तेमाल करें. साइन-इन फ़ॉर्म में छोटा सा बदलाव करके, वेबसाइटें और ऐप्लिकेशन इसकी सुरक्षा और साइन-इन अनुभव में बड़ा फ़र्क़ ला सकते हैं. देखें कि ये बदलाव कैसे किए जा सकते हैं:

दो तरीकों से पुष्टि

हालांकि, पासवर्ड मैनेजर का इस्तेमाल करने से उपयोगकर्ताओं को पासवर्ड मैनेज करने में मदद मिलती है, लेकिन सभी उपयोगकर्ता इनका इस्तेमाल नहीं करते. एक बार इस्तेमाल होने वाला पासवर्ड (ओटीपी) नाम के दूसरे क्रेडेंशियल के बारे में पूछना, ऐसे उपयोगकर्ताओं को सुरक्षित रखने का आम तरीका है. ओटीपी आम तौर पर ईमेल, एसएमएस या Google Authenticator जैसे पुष्टि करने वाले ऐप्लिकेशन के ज़रिए दिए जाते हैं. ओटीपी आम तौर पर ऐसे छोटे टेक्स्ट होते हैं जो डाइनैमिक तौर पर सीमित समय-सीमा में ही जनरेट होते हैं. इससे खाता हाइजैक होने की संभावना कम हो जाती है. ये तरीके पासकी की तरह आसान नहीं हैं, लेकिन लोगों के लिए सिर्फ़ पासवर्ड इस्तेमाल करने से बेहतर हैं.

अगर आपने ओटीपी को डिलीवर करने के लिए एसएमएस को चुना है, तो उपयोगकर्ता अनुभव को आसान बनाने के लिए यहां दिए गए सबसे सही तरीकों को देखें.

आइडेंटिटी फ़ेडरेशन

आइडेंटिटी फ़ेडरेशन एक और विकल्प है. इसकी मदद से उपयोगकर्ता, आसानी से और सुरक्षित तरीके से साइन इन कर सकते हैं. आइडेंटिटी फ़ेडरेशन की मदद से, वेबसाइटें और ऐप्लिकेशन उपयोगकर्ताओं को किसी तीसरे पक्ष के आइडेंटिटी प्रोवाइडर की मदद से, उपयोगकर्ता की पहचान की मदद से साइन इन करने की सुविधा दे सकते हैं. उदाहरण के लिए, Google से साइन इन करें सुविधा की मदद से, डेवलपर को बेहतरीन कन्वर्ज़न मिलते हैं. साथ ही, उपयोगकर्ताओं को पासवर्ड की मदद से पुष्टि करना आसान और बेहतर लगता है. आइडेंटिटी फ़ेडरेशन, पासकी का इस्तेमाल करने में मदद करता है. वेबसाइट या ऐप्लिकेशन में साइन अप करने का यह तरीका एक ही चरण में उपयोगकर्ता की प्रोफ़ाइल की बुनियादी जानकारी हासिल कर सकता है. वहीं, पासकी की मदद से, फिर से पुष्टि करने में आसानी होती है.

ध्यान रखें कि 2024 में तीसरे पक्ष की कुकी को बंद करने के बाद, कुछ आइडेंटिटी फ़ेडरेशन सिस्टम पर असर पड़ सकता है. यह इस बात पर निर्भर करता है कि उन्हें कैसे बनाया गया है. इस असर को कम करने के लिए, Federated credential Management API (FedCM) नाम का एक नया ब्राउज़र एपीआई बनाया जा रहा है. अगर आइडेंटिटी प्रोवाइडर का इस्तेमाल किया जा रहा है, तो जानकारी देखें और देखें कि आपको FedCM का इस्तेमाल करना चाहिए या नहीं.

मैजिक लिंक साइन-इन, पुष्टि करने का एक तरीका है. इसके तहत, सेवा देने वाली कंपनी, ईमेल पर लॉगिन लिंक डिलीवर करती है, ताकि उपयोगकर्ता इस लिंक पर क्लिक करके अपनी पहचान की पुष्टि कर सके. इससे उपयोगकर्ताओं को पासवर्ड याद रखे बिना साइन इन करने में मदद मिलती है, लेकिन ब्राउज़र/ऐप्लिकेशन और ईमेल क्लाइंट के बीच स्विच करने में समस्या आती है. साथ ही, पुष्टि करने का तरीका ईमेल पर निर्भर करता है. इस वजह से, ईमेल की सेवा देने वाली कंपनी की कमज़ोर सुरक्षा, उपयोगकर्ताओं के खातों को खतरे में डाल सकती है.

सीखने के लिए संसाधन

वेब

अपनी वेबसाइट पर पासकी जोड़ने के लिए, Web Authentication API (WebAuthn) का इस्तेमाल करें. ज़्यादा जानने के लिए, यहां दिए गए संसाधनों को देखें:

Android

अपने Android ऐप्लिकेशन में पासकी जोड़ने के लिए, क्रेडेंशियल मैनेजर लाइब्रेरी का इस्तेमाल करें. ज़्यादा जानने के लिए, इन संसाधनों को देखें:

UX

पासकी के लिए उपयोगकर्ता अनुभव से जुड़े सुझावों के बारे में जानें: