নির্ভরশীল পক্ষগুলির জন্য পাসকি বিকাশকারী গাইড

আপনি কীভাবে আপনার পরিষেবাতে পাসকিগুলিকে সংহত করতে পারেন তা জানুন।

একটি পাসকি সিস্টেমের অ্যানাটমি

একটি পাসকি সিস্টেম কয়েকটি উপাদান নিয়ে গঠিত:

  • নির্ভরকারী পক্ষ : পাসকি প্রসঙ্গে, একটি নির্ভরকারী পক্ষ (সংক্ষেপে RP) পাসকি প্রদান এবং প্রমাণীকরণ পরিচালনা করে। RP-কে অবশ্যই একটি ক্লায়েন্ট পরিচালনা করতে হবে - একটি ওয়েবসাইট বা অ্যাপ যা পাসকি তৈরি করে বা পাসকিগুলির সাথে প্রমাণীকরণ করে - এবং ক্লায়েন্টের পাসকিগুলির দ্বারা উত্পন্ন শংসাপত্রগুলি নিবন্ধন, সংরক্ষণ এবং যাচাই করার জন্য একটি সার্ভার৷ একটি পাসকি মোবাইল অ্যাপ্লিকেশন অবশ্যই ডিজিটাল অ্যাসেট লিঙ্কের মতো ওএস প্রদত্ত অ্যাসোসিয়েশন মেকানিজম ব্যবহার করে একটি RP সার্ভার ডোমেনের সাথে আবদ্ধ হতে হবে।
  • প্রমাণীকরণকারী : একটি কম্পিউটিং ডিভাইস যেমন একটি মোবাইল ফোন, ট্যাবলেট, ল্যাপটপ বা একটি ডেস্কটপ কম্পিউটার যা অপারেটিং সিস্টেম দ্বারা অফার করা স্ক্রিন লক বৈশিষ্ট্য ব্যবহার করে পাসকি তৈরি এবং যাচাই করতে পারে।
  • পাসওয়ার্ড ম্যানেজার : শেষ ব্যবহারকারীর ডিভাইসে সফ্টওয়্যার ইনস্টল করা হয় যা পাসকিগুলিকে পরিবেশন করে, সঞ্চয় করে এবং সিঙ্ক করে, যেমন Google পাসওয়ার্ড ম্যানেজার

নিবন্ধন প্রবাহ

একটি নতুন পাসকি তৈরি এবং নিবন্ধন করতে একটি ওয়েবসাইটে WebAuthn API বা একটি Android অ্যাপে ক্রেডেনশিয়াল ম্যানেজার লাইব্রেরি ব্যবহার করুন৷

একটি নতুন পাসকি তৈরি করতে, কিছু মূল উপাদান প্রদান করতে হবে:

  • RP ID : একটি ওয়েব ডোমেনের আকারে নির্ভরকারী পক্ষের ID প্রদান করুন।
  • ব্যবহারকারীর তথ্য : ব্যবহারকারীর আইডি, ব্যবহারকারীর নাম এবং একটি প্রদর্শন নাম।
  • বাদ দেওয়ার জন্য শংসাপত্র : ডুপ্লিকেট নিবন্ধন প্রতিরোধ করার জন্য পূর্বে সংরক্ষিত পাসকি সম্পর্কে তথ্য।
  • পাসকির ধরন : ডিভাইসটি নিজেই ("প্ল্যাটফর্ম প্রমাণীকরণকারী") একটি প্রমাণীকরণকারী হিসাবে ব্যবহার করতে হবে, বা একটি বিচ্ছিন্নযোগ্য নিরাপত্তা কী ("ক্রস-প্ল্যাটফর্ম / রোমিং প্রমাণীকরণকারী")। উপরন্তু, কলকারীরা শংসাপত্রটিকে আবিষ্কারযোগ্য করে তুলতে হবে কিনা তা নির্দিষ্ট করতে পারে যাতে ব্যবহারকারী সাইন ইন করার জন্য একটি অ্যাকাউন্ট নির্বাচন করতে পারে।

একবার একটি RP একটি পাসকি তৈরি করার অনুরোধ করে এবং ব্যবহারকারী এটি একটি স্ক্রিন আনলক দিয়ে যাচাই করে, একটি নতুন পাসকি তৈরি করা হয় এবং একটি পাবলিক কী শংসাপত্র ফেরত দেওয়া হয়। এটি সার্ভারে পাঠান এবং ভবিষ্যতের প্রমাণীকরণের জন্য শংসাপত্র আইডি এবং সর্বজনীন কী সংরক্ষণ করুন।

নিবন্ধন প্রবাহ

কীভাবে একটি পাসকি তৈরি এবং নিবন্ধন করবেন তা বিস্তারিতভাবে জানুন:

প্রমাণীকরণ প্রবাহ

একটি রেজিস্টার্ড পাসকি দিয়ে প্রমাণীকরণ করতে একটি ওয়েবসাইটে WebAuthn API বা Android অ্যাপে ক্রেডেনশিয়াল ম্যানেজার লাইব্রেরি ব্যবহার করুন৷

একটি পাসকি দিয়ে প্রমাণীকরণ করার জন্য, প্রদান করার জন্য কয়েকটি মূল উপাদান রয়েছে:

  • RP ID : একটি ওয়েব ডোমেনের আকারে নির্ভরকারী পক্ষের ID প্রদান করুন।
  • চ্যালেঞ্জ : একটি সার্ভার-উত্পন্ন চ্যালেঞ্জ যা রিপ্লে আক্রমণ প্রতিরোধ করে।

একবার একটি RP একটি পাসকি দিয়ে একটি প্রমাণীকরণের অনুরোধ করে এবং ব্যবহারকারী এটি একটি স্ক্রিন আনলক দিয়ে যাচাই করে, একটি সর্বজনীন কী শংসাপত্র ফেরত দেওয়া হয়। এটি সার্ভারে পাঠান এবং সঞ্চিত পাবলিক কী দিয়ে স্বাক্ষর যাচাই করুন।

প্রমাণীকরণ প্রবাহ

বিস্তারিতভাবে একটি পাসকি দিয়ে কীভাবে প্রমাণীকরণ করতে হয় তা জানুন:

সার্ভার-সাইড ইন্টিগ্রেশন

একটি পাসকি তৈরি করার পরে, সার্ভারকে চ্যালেঞ্জ, ব্যবহারকারীর তথ্য, বাদ দেওয়ার জন্য শংসাপত্র আইডি এবং আরও অনেক কিছুর মতো মূল প্যারামিটারগুলি সরবরাহ করতে হবে। এটি তারপর ক্লায়েন্ট থেকে পাঠানো তৈরি পাবলিক কী শংসাপত্র যাচাই করে এবং ডাটাবেসে সর্বজনীন কী সংরক্ষণ করে। পাসকি দিয়ে প্রমাণীকরণের জন্য, সার্ভারকে সতর্কতার সাথে শংসাপত্র যাচাই করতে হবে এবং ব্যবহারকারীকে সাইন ইন করতে দিতে স্বাক্ষর যাচাই করতে হবে।

আমাদের সার্ভার-সাইড গাইডগুলিতে আরও জানুন:

বিদ্যমান (উত্তরাধিকার) প্রমাণীকরণ প্রক্রিয়া

আপনি যখন আপনার বিদ্যমান পরিষেবাতে পাসকিগুলিকে সমর্থন করেন, তখন পুরানো প্রমাণীকরণ প্রক্রিয়া যেমন পাসওয়ার্ডগুলি থেকে পাসকিতে রূপান্তর একদিনে ঘটবে না৷ আমরা জানি আপনি যত তাড়াতাড়ি সম্ভব দুর্বল প্রমাণীকরণ পদ্ধতিটি বাদ দিতে আগ্রহী হবেন, তবে এটি ব্যবহারকারীর বিভ্রান্তির কারণ হতে পারে বা কিছু ব্যবহারকারীকে পিছনে ফেলে দিতে পারে। আমরা আপাতত বিদ্যমান প্রমাণীকরণ পদ্ধতি রাখার পরামর্শ দিই।

এখানে কিছু কারন আছে:

  • একটি পাসকি বেমানান পরিবেশে ব্যবহারকারী আছে : পাসকি সমর্থন একাধিক অপারেটিং সিস্টেম এবং ব্রাউজার জুড়ে বিস্তৃতভাবে প্রসারিত হচ্ছে, কিন্তু যারা পুরানো সংস্করণ ব্যবহার করছেন তারা এখনও পাসকি ব্যবহার করতে সক্ষম নন।
  • পাসকি ইকোসিস্টেম এখনও পরিপক্ক হতে পারেনি : পাসকি ইকোসিস্টেম বিকশিত হচ্ছে। বিভিন্ন পরিবেশের মধ্যে UX বিবরণ এবং প্রযুক্তিগত সামঞ্জস্য উন্নত হতে পারে।
  • ব্যবহারকারীরা এখনও একটি পাসকি নিয়ে বাঁচতে প্রস্তুত নাও হতে পারে : এমন কিছু লোক রয়েছে যারা নতুন জিনিসের উপর ঝাঁপিয়ে পড়তে দ্বিধাগ্রস্ত। পাসকি ইকোসিস্টেম পরিপক্ক হওয়ার সাথে সাথে, তারা পাসকিগুলি কীভাবে কাজ করে এবং কেন এটি তাদের জন্য দরকারী তা বুঝতে পারবে৷

আপনার বিদ্যমান প্রমাণীকরণ প্রক্রিয়া পুনরায় দেখুন

যদিও পাসকিগুলি আপনার প্রমাণীকরণকে সহজ এবং নিরাপদ করে তোলে, পুরানো প্রক্রিয়াগুলি রাখা একটি গর্ত ছেড়ে দেওয়ার মতো। আমরা আপনার বিদ্যমান প্রমাণীকরণ প্রক্রিয়াগুলি পুনরায় দেখার এবং উন্নত করার পরামর্শ দিই।

পাসওয়ার্ড

প্রতিটি ওয়েবসাইটের জন্য শক্তিশালী পাসওয়ার্ড তৈরি করা এবং সেগুলি পরিচালনা করা ব্যবহারকারীদের জন্য চ্যালেঞ্জিং কাজ। সিস্টেমে তৈরি একটি পাসওয়ার্ড ম্যানেজার বা একটি স্বতন্ত্র ব্যবহার করার দৃঢ়ভাবে সুপারিশ করা হয়। সাইন-ইন ফর্মে একটি ছোট পরিবর্তন করে, ওয়েবসাইট এবং অ্যাপ্লিকেশানগুলি এর নিরাপত্তা এবং সাইন-ইন অভিজ্ঞতায় বিশাল পার্থক্য আনতে পারে৷ আপনি কীভাবে এই পরিবর্তনগুলি করতে পারেন তা দেখুন:

দুই ফ্যাক্টর প্রমাণীকরণ

যদিও পাসওয়ার্ড ম্যানেজার ব্যবহার করে ব্যবহারকারীদের পাসওয়ার্ড পরিচালনা করতে সাহায্য করে, তবে সব ব্যবহারকারীই সেগুলি ব্যবহার করে না। ওয়ান-টাইম পাসওয়ার্ড (OTP) নামে একটি অতিরিক্ত শংসাপত্র চাওয়া এই ধরনের ব্যবহারকারীদের রক্ষা করার জন্য একটি সাধারণ অভ্যাস। ওটিপিগুলি সাধারণত একটি ইমেল, একটি এসএমএস বার্তা বা Google প্রমাণীকরণকারীর মতো একটি প্রমাণীকরণকারী অ্যাপের মাধ্যমে প্রদান করা হয়। যেহেতু ওটিপিগুলি সাধারণত একটি সংক্ষিপ্ত পাঠ্য যা গতিশীলভাবে শুধুমাত্র একটি সীমিত সময়সীমার জন্য বৈধ, এটি অ্যাকাউন্ট হাইজ্যাকের সম্ভাবনা কমিয়ে দেয়। এই পদ্ধতিগুলি একটি পাসকির মতো শক্তিশালী নয়, তবে ব্যবহারকারীদের কেবল একটি পাসওয়ার্ড দিয়ে রেখে যাওয়ার চেয়ে অনেক ভাল৷

আপনি যদি একটি OTP প্রদানের উপায় হিসাবে SMS নির্বাচন করেন, OTP প্রবেশ করার জন্য ব্যবহারকারীর অভিজ্ঞতাকে স্ট্রীমলাইন করার জন্য নিম্নলিখিত সেরা অনুশীলনগুলি চেকআউট করুন৷

পরিচয় ফেডারেশন

আইডেন্টিটি ফেডারেশন হল ব্যবহারকারীদের নিরাপদে এবং সহজে সাইন ইন করতে দেওয়ার আরেকটি বিকল্প। পরিচয় ফেডারেশনের সাথে, ওয়েবসাইট এবং অ্যাপগুলি ব্যবহারকারীদের তৃতীয়-পক্ষের পরিচয় প্রদানকারীর থেকে ব্যবহারকারীর পরিচয় ব্যবহার করে সাইন ইন করতে দেয়৷ উদাহরণস্বরূপ, Google এর সাথে সাইন ইন ডেভেলপারদের জন্য দুর্দান্ত রূপান্তর প্রদান করে এবং ব্যবহারকারীরা এটিকে পাসওয়ার্ড ভিত্তিক প্রমাণীকরণের চেয়ে সহজ এবং পছন্দনীয় বলে মনে করেন। আইডেন্টিটি ফেডারেশন পাসকির পরিপূরক। সাইন আপ করার জন্য এটি দুর্দান্ত কারণ ওয়েবসাইট বা অ্যাপ একক ধাপে ব্যবহারকারীর প্রাথমিক প্রোফাইল তথ্য লাভ করতে পারে, যখন পাসকিগুলি পুনরায় প্রমাণীকরণকে স্ট্রিমলাইন করার জন্য দুর্দান্ত।

মনে রাখবেন, 2024 সালে Chrome তৃতীয় পক্ষের কুকিগুলিকে পর্যায়ক্রমে আউট করার পরে, কিছু পরিচয় ফেডারেশন সিস্টেমগুলি কীভাবে তৈরি করা হয়েছে তার উপর নির্ভর করে প্রভাবিত হতে পারে। প্রভাব কমাতে, ফেডারেটেড ক্রেডেনশিয়াল ম্যানেজমেন্ট এপিআই (সংক্ষেপে ফেডসিএম) নামে একটি নতুন ব্রাউজার API তৈরি করা হচ্ছে। আপনি যদি কোনো পরিচয় প্রদানকারী চালান, তাহলে বিস্তারিত দেখুন এবং দেখুন আপনার FedCM গ্রহণ করতে হবে কিনা।

ম্যাজিক লিঙ্ক সাইন-ইন হল একটি প্রমাণীকরণ পদ্ধতি যেখানে একটি পরিষেবা একটি ইমেলের মাধ্যমে একটি লগইন লিঙ্ক সরবরাহ করে যাতে ব্যবহারকারী নিজেদের প্রমাণীকরণ করতে এটিতে ক্লিক করতে পারে। যদিও এটি ব্যবহারকারীদের পাসওয়ার্ড মনে না রেখে সাইন ইন করতে সহায়তা করে, ব্রাউজার/অ্যাপ এবং ইমেল ক্লায়েন্টের মধ্যে স্যুইচ করা একটি ঘর্ষণ হবে। এছাড়াও, যেহেতু প্রমাণীকরণ প্রক্রিয়া ইমেলের উপর নির্ভর করে, ইমেল প্রদানকারীর দুর্বল নিরাপত্তা ব্যবহারকারীর অ্যাকাউন্টগুলিকে ঝুঁকিতে ফেলতে পারে।

শেখার সম্পদ

ওয়েব

আপনার ওয়েবসাইটে পাসকিগুলিকে সংহত করতে, ওয়েব প্রমাণীকরণ API (WebAuthn) ব্যবহার করুন৷ আরও জানতে, নিম্নলিখিত সংস্থানগুলি চেকআউট করুন:

অ্যান্ড্রয়েড

আপনার অ্যান্ড্রয়েড অ্যাপে পাসকিগুলিকে সংহত করতে, ক্রেডেনশিয়াল ম্যানেজার লাইব্রেরি ব্যবহার করুন৷ আরও জানতে, নিম্নলিখিত সংস্থানগুলি চেকআউট করুন:

ইউএক্স

পাসকি ব্যবহারকারীর অভিজ্ঞতার সুপারিশ জানুন: