अपनी सेवा में पासकी जोड़ने का तरीका जानें.
पासकी सिस्टम की बनावट
पासकी सिस्टम में कुछ कॉम्पोनेंट होते हैं:
- निर्भर पक्ष: पासकी के संदर्भ में, भरोसेमंद पक्ष (कम शब्दों में, आरपी) पासकी जारी करने और पुष्टि करने की प्रक्रिया को हैंडल करता है. आरपी को एक क्लाइंट ऑपरेट करना होगा. यह एक ऐसी वेबसाइट या ऐप्लिकेशन है जो पासकी बनाता है या पासकी से पुष्टि करता है. साथ ही, आरपी को क्लाइंट पर पासकी से जनरेट किए गए क्रेडेंशियल को रजिस्टर करने, सेव करने, और उनकी पुष्टि करने के लिए एक सर्वर उपलब्ध कराना चाहिए. पासकी मोबाइल ऐप्लिकेशन को आरपी सर्वर डोमेन से जोड़ा जाना चाहिए. इसके लिए, ओएस से जुड़े सिस्टम का इस्तेमाल किया जाना चाहिए, जैसे कि डिजिटल ऐसेट लिंक.
- Authenticator: यह एक कंप्यूटिंग डिवाइस, जैसे कि मोबाइल फ़ोन, टैबलेट, लैपटॉप या डेस्कटॉप कंप्यूटर है. यह ऑपरेटिंग सिस्टम के साथ मिलने वाली स्क्रीन लॉक सुविधा का इस्तेमाल करके, पासकी बनाकर उनकी पुष्टि कर सकता है.
- Password Manager: असली उपयोगकर्ता के डिवाइस पर इंस्टॉल किया गया सॉफ़्टवेयर, जो पासकी को काम करता है, सेव करता है, और सिंक करता है. जैसे, Google Password Manager.
रजिस्ट्रेशन फ़्लो
नई पासकी बनाने और रजिस्टर करने के लिए, किसी वेबसाइट पर WebAuthn API या Android ऐप्लिकेशन पर क्रेडेंशियल मैनेजर लाइब्रेरी का इस्तेमाल करें.
नई पासकी बनाने के लिए इन बातों का ध्यान रखें:
- आरपी आईडी: वेब डोमेन के तौर पर, भरोसा करने वाले पक्ष का आईडी दें.
- उपयोगकर्ता की जानकारी: उपयोगकर्ता का आईडी, उपयोगकर्ता नाम, और डिसप्ले नेम.
- बाहर रखे जाने वाले क्रेडेंशियल: डुप्लीकेट रजिस्ट्रेशन को रोकने के लिए, पहले से सेव की गई पासकी के बारे में जानकारी.
- पासकी के टाइप: डिवाइस को "प्लैटफ़ॉर्म ऑथेंटिकेशन") पुष्टि करने वाले के तौर पर या डिटैचबल सुरक्षा कुंजी ("क्रॉस-प्लैटफ़ॉर्म / रोमिंग Authenticator") के तौर पर इस्तेमाल करना है या नहीं. इसके अलावा, कॉलर यह तय कर सकते हैं कि क्रेडेंशियल को खोजे जाने लायक बनाना है या नहीं, ताकि उपयोगकर्ता साइन इन करने के लिए कोई खाता चुन सके.
जब आरपी ने पासकी बनाने का अनुरोध किया और उपयोगकर्ता स्क्रीन अनलॉक की मदद से इसकी पुष्टि करेगा, तब एक नई पासकी बनाई जाती है और सार्वजनिक कुंजी का क्रेडेंशियल दिखाया जाता है. इसे सर्वर पर भेजें और क्रेडेंशियल आईडी और सार्वजनिक कुंजी को सेव करके रखें, ताकि आने वाले समय में पुष्टि की जा सके.
पासकी बनाने और रजिस्टर करने के तरीके के बारे में ज़्यादा जानें:
- वेब पर: बिना पासवर्ड के लॉगिन करने के लिए, पासकी बनाएं
- Android पर: क्रेडेंशियल मैनेजर एपीआई का इस्तेमाल करके, पासकी की मदद से अपने ऐप्लिकेशन के लिए आसानी से पुष्टि करें
पुष्टि करने का फ़्लो
रजिस्टर की गई पासकी से पुष्टि करने के लिए, किसी वेबसाइट पर WebAuthn API या Android ऐप्लिकेशन पर क्रेडेंशियल मैनेजर लाइब्रेरी का इस्तेमाल करें.
पासकी से पुष्टि करने के लिए, इन अहम बातों का ध्यान रखें:
- आरपी आईडी: वेब डोमेन के तौर पर, भरोसा करने वाले पक्ष का आईडी दें.
- चुनौती: सर्वर से जनरेट होने वाली ऐसी चुनौती जो रीप्ले हमलों को रोकती है.
जब आरपी, पासकी से पुष्टि करने का अनुरोध करता है और उपयोगकर्ता, स्क्रीन अनलॉक की मदद से इसकी पुष्टि करता है, तब सार्वजनिक पासकोड का क्रेडेंशियल दिखाया जाता है. इसे सर्वर पर भेजें और सेव की गई सार्वजनिक कुंजी से हस्ताक्षर की पुष्टि करें.
पासकी से पुष्टि करने के तरीके के बारे में ज़्यादा जानें:
- वेब पर: फ़ॉर्म ऑटोमैटिक भरने की सुविधा का इस्तेमाल करके पासकी से साइन इन करें
- Android पर: क्रेडेंशियल मैनेजर एपीआई का इस्तेमाल करके, पासकी की मदद से अपने ऐप्लिकेशन के लिए आसानी से पुष्टि करें
सर्वर-साइड इंटिग्रेशन
पासकी बनाते समय, सर्वर को कुछ अहम पैरामीटर देने होते हैं. जैसे, चैलेंज, उपयोगकर्ता की जानकारी, बाहर रखे जाने वाले क्रेडेंशियल आईडी वगैरह. इसके बाद, वह क्लाइंट से भेजे गए सार्वजनिक पासकोड के क्रेडेंशियल की पुष्टि करता है और सार्वजनिक कुंजी को डेटाबेस में सेव करता है. पासकी से पुष्टि करने के लिए, सर्वर को क्रेडेंशियल की ध्यान से पुष्टि करनी होगी और हस्ताक्षर की पुष्टि करनी होगी, ताकि उपयोगकर्ता साइन इन कर सके.
ज़्यादा जानने के लिए, हमारी सर्वर साइड गाइड देखें:
- सर्वर-साइड पासकी लागू करने के बारे में जानकारी
- सर्वर साइड पासकी रजिस्ट्रेशन
- सर्वर साइड पासकी की पुष्टि करना
पुष्टि करने के लेगसी तरीके
अगर मौजूदा सेवा में पासकी की सुविधा दी जाती है, तो पुष्टि करने के पुराने तरीके, जैसे कि पासवर्ड से पासकी पर ट्रांज़िशन एक दिन में नहीं होगा. हम जानते हैं कि आप पुष्टि करने के कमज़ोर तरीके को जल्द से जल्द खत्म करना चाहेंगे. हालांकि, इससे उपयोगकर्ता के लिए भ्रम की स्थिति बन सकती है या कुछ उपयोगकर्ता छूट सकते हैं. हमारा सुझाव है कि फ़िलहाल, पुष्टि करने के मौजूदा तरीके का इस्तेमाल जारी रखें.
इसकी कुछ वजहें होती हैं:
- ऐसे उपयोगकर्ता हैं जो पासकी के साथ काम नहीं करते: पासकी की सुविधा कई ऑपरेटिंग सिस्टम और ब्राउज़र पर बड़े पैमाने पर काम कर रही है. हालांकि, पुराने वर्शन इस्तेमाल करने वाले लोग फ़िलहाल पासकी का इस्तेमाल नहीं कर पाएंगे.
- पासकी नेटवर्क अभी खत्म नहीं हुआ है: पासकी का नेटवर्क लगातार बेहतर बनाया जा रहा है. अलग-अलग माहौल के बीच UX की जानकारी और तकनीकी के साथ काम करने से बेहतर हो सकता है.
- ऐसा हो सकता है कि उपयोगकर्ता अभी पासकी का इस्तेमाल करने के लिए तैयार न हों: कई ऐसे लोग होते हैं जो नई चीज़ें आज़माने में झिझकते हैं. पासकी का नेटवर्क बढ़ने के साथ-साथ, उन्हें इस बात का अंदाज़ा होने लगेगा कि पासकी कैसे काम करती हैं और ये उनके लिए क्यों काम की हैं.
पुष्टि करने के अपने मौजूदा तरीके को फिर से देखें
पासकी से पुष्टि करना आसान और सुरक्षित हो जाता है, लेकिन पुराने तरीकों को बनाए रखना आपके काम में कोई रुकावट डालने जैसा है. हमारा सुझाव है कि आप फिर से पुष्टि करने के अपने मौजूदा तरीकों को बेहतर बनाएं.
पासवर्ड
हर वेबसाइट के लिए मज़बूत पासवर्ड बनाना और उन्हें मैनेज करना, उपयोगकर्ताओं के लिए चुनौती भरा काम होता है. हमारा सुझाव है कि सिस्टम में पहले से मौजूद Password Manager या किसी स्टैंडअलोन पासवर्ड मैनेजर का इस्तेमाल करें. साइन-इन फ़ॉर्म में छोटा सा बदलाव करके, वेबसाइटें और ऐप्लिकेशन इसकी सुरक्षा और साइन-इन अनुभव में बड़ा फ़र्क़ ला सकते हैं. देखें कि ये बदलाव कैसे किए जा सकते हैं:
- साइन-इन फ़ॉर्म से जुड़े सबसे सही तरीके (वेब)
- साइन-अप फ़ॉर्म से जुड़े सबसे सही तरीके (वेब)
- क्रेडेंशियल मैनेजर से अपने उपयोगकर्ता में साइन इन करना (Android)
दो तरीकों से पुष्टि
हालांकि, पासवर्ड मैनेजर का इस्तेमाल करने से उपयोगकर्ताओं को पासवर्ड मैनेज करने में मदद मिलती है, लेकिन सभी उपयोगकर्ता इनका इस्तेमाल नहीं करते. एक बार इस्तेमाल होने वाला पासवर्ड (ओटीपी) नाम के दूसरे क्रेडेंशियल के बारे में पूछना, ऐसे उपयोगकर्ताओं को सुरक्षित रखने का आम तरीका है. ओटीपी आम तौर पर ईमेल, एसएमएस या Google Authenticator जैसे पुष्टि करने वाले ऐप्लिकेशन के ज़रिए दिए जाते हैं. ओटीपी आम तौर पर ऐसे छोटे टेक्स्ट होते हैं जो डाइनैमिक तौर पर सीमित समय-सीमा में ही जनरेट होते हैं. इससे खाता हाइजैक होने की संभावना कम हो जाती है. ये तरीके पासकी की तरह आसान नहीं हैं, लेकिन लोगों के लिए सिर्फ़ पासवर्ड इस्तेमाल करने से बेहतर हैं.
अगर आपने ओटीपी को डिलीवर करने के लिए एसएमएस को चुना है, तो उपयोगकर्ता अनुभव को आसान बनाने के लिए यहां दिए गए सबसे सही तरीकों को देखें.
- एसएमएस ओटीपी फ़ॉर्म इस्तेमाल करने के सबसे सही तरीके (वेब)
- SMS Retriever API की मदद से अपने-आप एसएमएस की पुष्टि करना (Android)
आइडेंटिटी फ़ेडरेशन
आइडेंटिटी फ़ेडरेशन एक और विकल्प है. इसकी मदद से उपयोगकर्ता, आसानी से और सुरक्षित तरीके से साइन इन कर सकते हैं. आइडेंटिटी फ़ेडरेशन की मदद से, वेबसाइटें और ऐप्लिकेशन उपयोगकर्ताओं को किसी तीसरे पक्ष के आइडेंटिटी प्रोवाइडर की मदद से, उपयोगकर्ता की पहचान की मदद से साइन इन करने की सुविधा दे सकते हैं. उदाहरण के लिए, Google से साइन इन करें सुविधा की मदद से, डेवलपर को बेहतरीन कन्वर्ज़न मिलते हैं. साथ ही, उपयोगकर्ताओं को पासवर्ड की मदद से पुष्टि करना आसान और बेहतर लगता है. आइडेंटिटी फ़ेडरेशन, पासकी का इस्तेमाल करने में मदद करता है. वेबसाइट या ऐप्लिकेशन में साइन अप करने का यह तरीका एक ही चरण में उपयोगकर्ता की प्रोफ़ाइल की बुनियादी जानकारी हासिल कर सकता है. वहीं, पासकी की मदद से, फिर से पुष्टि करने में आसानी होती है.
ध्यान रखें कि 2024 में तीसरे पक्ष की कुकी को बंद करने के बाद, कुछ आइडेंटिटी फ़ेडरेशन सिस्टम पर असर पड़ सकता है. यह इस बात पर निर्भर करता है कि उन्हें कैसे बनाया गया है. इस असर को कम करने के लिए, Federated credential Management API (FedCM) नाम का एक नया ब्राउज़र एपीआई बनाया जा रहा है. अगर आइडेंटिटी प्रोवाइडर का इस्तेमाल किया जा रहा है, तो जानकारी देखें और देखें कि आपको FedCM का इस्तेमाल करना चाहिए या नहीं.
- फ़ेडरेटेड क्रेडेंशियल मैनेजमेंट एपीआई (वेब, FedCM)
- 'वेब के लिए Google से साइन-इन करें' की खास जानकारी (वेब, 'Google से साइन इन करें' सुविधा)
- Android पर One Tap की मदद से साइन इन की खास जानकारी (Android, One Tap साइन-इन)
"मैजिक लिंक"
मैजिक लिंक साइन-इन, पुष्टि करने का एक तरीका है. इसके तहत, सेवा देने वाली कंपनी, ईमेल पर लॉगिन लिंक डिलीवर करती है, ताकि उपयोगकर्ता इस लिंक पर क्लिक करके अपनी पहचान की पुष्टि कर सके. इससे उपयोगकर्ताओं को पासवर्ड याद रखे बिना साइन इन करने में मदद मिलती है, लेकिन ब्राउज़र/ऐप्लिकेशन और ईमेल क्लाइंट के बीच स्विच करने में समस्या आती है. साथ ही, पुष्टि करने का तरीका ईमेल पर निर्भर करता है. इस वजह से, ईमेल की सेवा देने वाली कंपनी की कमज़ोर सुरक्षा, उपयोगकर्ताओं के खातों को खतरे में डाल सकती है.
सीखने के लिए संसाधन
वेब
अपनी वेबसाइट पर पासकी जोड़ने के लिए, Web Authentication API (WebAuthn) का इस्तेमाल करें. ज़्यादा जानने के लिए, यहां दिए गए संसाधनों को देखें:
- बिना पासवर्ड के लॉगिन करने के लिए पासकी बनाएं: इस लेख में, लोगों को किसी वेबसाइट के लिए पासकी बनाने की अनुमति देने के तरीके के बारे में बताया गया है.
- फ़ॉर्म ऑटोमैटिक भरने की सुविधा का इस्तेमाल करके पासकी से साइन इन करना: इस लेख में बताया गया है कि मौजूदा पासवर्ड उपयोगकर्ताओं को शामिल करते समय, बिना पासवर्ड के साइन इन करने के लिए पासकी कैसे बनाई जानी चाहिए.
- वेब ऐप्लिकेशन में फ़ॉर्म में अपने-आप जानकारी भरने की सुविधा के साथ पासकी लागू करना: यह एक कोडलैब है, जिसकी मदद से वेब ऐप्लिकेशन में फ़ॉर्म ऑटोमैटिक भरने की सुविधा के साथ पासकी लागू करने का तरीका जाना जा सकता है. इससे साइन-इन करना आसान और सुरक्षित होता है.
- वेब ऐप्लिकेशन में फ़ॉर्म में अपने-आप जानकारी भरने की सुविधा के साथ पासकी लागू करने का तरीका जानें: कोडलैब के साथ दिखने वाला वर्कशॉप वीडियो. वेब ऐप्लिकेशन में फ़ॉर्म के अपने-आप भरने की सुविधा के साथ पासकी लागू करें. इससे वेब ऐप्लिकेशन में फ़ॉर्म ऑटोमैटिक भरने की सुविधा के साथ पासकी लागू की जा सकती हैं. इससे, आप आसान और सुरक्षित तरीके से साइन-इन कर सकेंगे.
- अपना पहला WebAuthn ऐप्लिकेशन बनाएं: यह एक कोडलैब है, जिससे आपको अपनी वेबसाइट पर पासकी की मदद से, फिर से पुष्टि करने की आसान सुविधा तैयार करने का तरीका पता चलता है.
Android
अपने Android ऐप्लिकेशन में पासकी जोड़ने के लिए, क्रेडेंशियल मैनेजर लाइब्रेरी का इस्तेमाल करें. ज़्यादा जानने के लिए, इन संसाधनों को देखें:
- क्रेडेंशियल मैनेजर से अपने उपयोगकर्ता के लिए साइन इन करना: इस लेख में, Android पर क्रेडेंशियल मैनेजर को इंटिग्रेट करने के तरीके के बारे में बताया गया है. क्रेडेंशियल मैनेजर एक Jetpack API है. यह एक ही एपीआई में साइन-इन करने के कई तरीकों के साथ काम करता है. जैसे, उपयोगकर्ता नाम और पासवर्ड, पासकी, और फ़ेडरेटेड साइन-इन समाधान (जैसे Google से साइन-इन)
- क्रेडेंशियल मैनेजर एपीआई का इस्तेमाल करके, पासकी से अपने ऐप्लिकेशन के लिए आसानी से पुष्टि करने की सुविधा पाएं: इस लेख में, Android पर क्रेडेंशियल मैनेजर की मदद से, पासकी इंटिग्रेट करने के तरीके के बारे में बताया गया है.
- अपने Android ऐप्लिकेशन में क्रेडेंशियल मैनेजर एपीआई का इस्तेमाल करके पुष्टि करने की प्रोसेस को आसान बनाने का तरीका जानें: क्रेडेंशियल मैनेजर एपीआई को लागू करने का तरीका जानें, ताकि पासकी या पासवर्ड का इस्तेमाल करके, ऐप्लिकेशन में बिना किसी रुकावट के और सुरक्षित तरीके से पुष्टि की जा सके.
- क्रेडेंशियल मैनेजर से जुड़ा सैंपल ऐप्लिकेशन: एक सैंपल कोड, जिसमें पासकी मैनेज करने के लिए क्रेडेंशियल मैनेजर का इस्तेमाल किया जाता है.
- क्रेडेंशियल मैनेजर को क्रेडेंशियल देने वाले समाधान के साथ इंटिग्रेट करें | Android डेवलपर
UX
पासकी के लिए उपयोगकर्ता अनुभव से जुड़े सुझावों के बारे में जानें: