पासकी से बिना पासवर्ड के लॉगिन करना

पासकी

शुरुआती जानकारी

पासकी, पासवर्ड का एक सुरक्षित और आसान विकल्प हैं. पासकी की मदद से उपयोगकर्ता, बायोमेट्रिक सेंसर (जैसे- फ़िंगरप्रिंट या चेहरे की पहचान), पिन या पैटर्न की मदद से ऐप्लिकेशन और वेबसाइटों में साइन इन कर सकते हैं. इससे उन्हें पासवर्ड याद रखने और मैनेज करने की ज़रूरत नहीं पड़ती.

डेवलपर और उपयोगकर्ता, दोनों को पासवर्ड से नफ़रत है: इस वजह से उपयोगकर्ता को खराब अनुभव मिलता है, वे कन्वर्ज़न में रुकावट पैदा करते हैं, और उपयोगकर्ता और डेवलपर, दोनों की सुरक्षा के लिए कानूनी जवाबदेही तय करते हैं. Android और Chrome में Google Password Manager, ऑटोमैटिक भरने की सुविधा के ज़रिए आने वाली समस्याओं को कम करता है. जिन डेवलपर को कन्वर्ज़न और सुरक्षा में और भी सुधार की ज़रूरत है उनके लिए पासकी और आइडेंटिटी फ़ेडरेशन, इंडस्ट्री के आधुनिक तरीके हैं.

पासकी, एक ही चरण में बहु-स्तरीय पुष्टि (MFA) की ज़रूरी शर्तों को पूरा कर सकती है. इसके लिए, पासवर्ड और ओटीपी (जैसे कि छह अंकों वाला एसएमएस कोड) की जगह ले ली जाती है. इससे फ़िशिंग हमलों से बेहतर सुरक्षा मिलती है. साथ ही, एसएमएस और एक बार इस्तेमाल होने वाले एक बार पासवर्ड इस्तेमाल करने के दौरान उपयोगकर्ता अनुभव में होने वाली परेशानी से बचा जा सकता है. पासकी को स्टैंडर्ड तरीके से लागू किया जाता है, इसलिए एक बार लागू करने पर, अलग-अलग ब्राउज़र और ऑपरेटिंग सिस्टम पर सभी उपयोगकर्ताओं के डिवाइसों पर, बिना पासवर्ड के अनुभव दिया जा सकता है.

पासकी का इस्तेमाल करना आसान होता है:

  • साइन इन करने के लिए, उपयोगकर्ता कोई एक खाता चुन सकते हैं. उपयोगकर्ता नाम लिखना ज़रूरी नहीं है.
  • उपयोगकर्ता फ़िंगरप्रिंट सेंसर, चेहरे की पहचान या पिन जैसे डिवाइस के स्क्रीन लॉक का इस्तेमाल करके अपनी पहचान की पुष्टि कर सकते हैं.
  • पासकी बनाने और रजिस्टर करने के बाद, उपयोगकर्ता अपने नए डिवाइस पर आसानी से स्विच कर सकता है और तुरंत उसे इस्तेमाल कर सकता है. इसके लिए, उसे दोबारा रजिस्टर करने की ज़रूरत नहीं होती. यह, परंपरागत बायोमेट्रिक ऑथेंटिकेशन की सुविधा से अलग होता है. हर डिवाइस पर इसे सेटअप करना ज़रूरी होता है.

पासकी ज़्यादा सुरक्षित होती हैं:

  • डेवलपर, सार्वजनिक पासकोड को पासवर्ड के बजाय सिर्फ़ सर्वर पर सेव करते हैं. इसका मतलब है कि बुरे मकसद से काम करने वाले व्यक्ति को सर्वर हैक करने से काफ़ी कम फ़ायदा होता है. साथ ही, उल्लंघन होने की स्थिति में, उसके लिए क्लीनअप करने की ज़रूरत बहुत कम होती है.
  • पासकी, उपयोगकर्ताओं को फ़िशिंग हमलों से बचाती हैं. पासकी सिर्फ़ रजिस्टर की गई वेबसाइटों और ऐप्लिकेशन पर ही काम करती हैं. धोखाधड़ी वाली साइट पर उपयोगकर्ता की पुष्टि करवाने के लिए, उपयोगकर्ता को धोखा नहीं दिया जा सकता, क्योंकि ब्राउज़र या ओएस, पुष्टि को मैनेज करता है.
  • पासकी से मैसेज (एसएमएस) भेजने का खर्च कम हो जाता है. इससे, दो तरीकों से पुष्टि करने की सुविधा सुरक्षित और किफ़ायती हो जाती है.

पासकी क्या होती हैं?

पासकी एक डिजिटल क्रेडेंशियल है, जो किसी उपयोगकर्ता खाते और वेबसाइट या ऐप्लिकेशन से जुड़ा होता है. पासकी की मदद से, उपयोगकर्ता अपनी पहचान की पुष्टि कर सकते हैं. इसके लिए, उन्हें उपयोगकर्ता नाम या पासवर्ड डालने की ज़रूरत नहीं होती. इसके अलावा, उन्हें पुष्टि करने के लिए कोई अन्य तरीका भी नहीं देना पड़ता. इस टेक्नोलॉजी का मकसद पुष्टि करने के लेगसी तरीकों को बदलना है.

जब कोई उपयोगकर्ता किसी ऐसी सेवा में साइन इन करना चाहता है जो पासकी का इस्तेमाल करती है, तो उसके ब्राउज़र या ऑपरेटिंग सिस्टम की मदद से वह सही पासकी चुन सकता है और उसका इस्तेमाल कर सकता है. पासवर्ड सेव करने का अनुभव वैसा ही है जैसा अभी काम करता है. यह पक्का करने के लिए कि सिर्फ़ सही मालिक ही पासकी का इस्तेमाल कर सकें, सिस्टम उनसे डिवाइस को अनलॉक करने के लिए कहेगा. यह काम बायोमेट्रिक सेंसर (जैसे, फ़िंगरप्रिंट या चेहरे की पहचान), पिन या पैटर्न की मदद से किया जा सकता है.

किसी वेबसाइट या ऐप्लिकेशन के लिए पासकी बनाने के लिए, उपयोगकर्ता को सबसे पहले उस वेबसाइट या ऐप्लिकेशन पर रजिस्टर करना होगा.

  1. ऐप्लिकेशन पर जाएं और साइन-इन करने के मौजूदा तरीके का इस्तेमाल करके साइन इन करें.
  2. पासकी बनाएं बटन पर क्लिक करें.
  3. नई पासकी के साथ सेव की गई जानकारी देखें.
  4. पासकी बनाने के लिए, डिवाइस के स्क्रीन लॉक का इस्तेमाल करें.

जब वह साइन इन करने के लिए इस वेबसाइट या ऐप्लिकेशन पर वापस आता है, तो यह तरीका अपना सकता है:

  1. ऐप्लिकेशन पर जाएं.
  2. ऑटोमैटिक भरने वाले डायलॉग बॉक्स में पासकी की सूची देखने के लिए, खाते के नाम वाले फ़ील्ड पर टैप करें.
  3. उनकी पासकी चुनें.
  4. लॉगिन पूरा करने के लिए, डिवाइस के स्क्रीन अनलॉक का इस्तेमाल करें.

उपयोगकर्ता का डिवाइस, पासकी के आधार पर सिग्नेचर जनरेट करता है. इस सिग्नेचर का इस्तेमाल, ऑरिजिन और पासकी के बीच लॉगिन क्रेडेंशियल की पुष्टि करने के लिए किया जाता है.

पासकी का इस्तेमाल करके, उपयोगकर्ता किसी भी डिवाइस पर सेवाओं में साइन इन कर सकता है. भले ही, उसने पासकी को कहीं भी सेव किया हो. उदाहरण के लिए, मोबाइल फ़ोन पर बनाई गई पासकी का इस्तेमाल किसी दूसरे लैपटॉप पर किसी वेबसाइट में साइन इन करने के लिए किया जा सकता है.

पासकी कैसे काम करती हैं?

पासकी को ऑपरेटिंग सिस्टम इन्फ़्रास्ट्रक्चर की मदद से इस्तेमाल किया जाता है. इसकी मदद से पासकी मैनेजर, उस ऑपरेटिंग सिस्टम पर चल रहे ऐप्लिकेशन के लिए पासकी बना सकते हैं, उनका बैकअप ले सकते हैं, और उनके लिए पासकी उपलब्ध करा सकते हैं. Android पर, पासकी को Google Password Manager में सेव किया जा सकता है. यह उपयोगकर्ता के उन Android डिवाइसों के बीच पासकी सिंक करता है जिन पर एक ही Google खाते से साइन इन किया गया है. पासकी को सिंक करने से पहले, डिवाइस पर सुरक्षित तरीके से एन्क्रिप्ट (सुरक्षित) किया जाता है. साथ ही, नए डिवाइसों पर उन्हें डिक्रिप्ट करना पड़ता है. Android OS 14 या उसके बाद के वर्शन का इस्तेमाल करने वाले लोग, अपनी पासकी को तीसरे पक्ष के पासवर्ड मैनेजर में सेव करने का विकल्प चुन सकते हैं.

लोगों के लिए ज़रूरी नहीं है कि वे सिर्फ़ उस डिवाइस पर पासकी का इस्तेमाल करें जहां वे उपलब्ध हैं. फ़ोन पर उपलब्ध पासकी का इस्तेमाल लैपटॉप पर लॉग इन करते समय किया जा सकता है. भले ही, लैपटॉप को लैपटॉप से सिंक न किया गया हो, लेकिन फ़ोन, लैपटॉप के पास हो और उपयोगकर्ता ने फ़ोन पर साइन इन की मंज़ूरी दी हो. पासकी FIDO मानकों के हिसाब से बनाई गई हैं, इसलिए सभी ब्राउज़र इन्हें इस्तेमाल कर सकते हैं.

उदाहरण के लिए, उपयोगकर्ता अपनी Windows मशीन के Chrome ब्राउज़र से example.com पर जाता है. इस उपयोगकर्ता ने पहले अपने Android डिवाइस पर example.com में लॉग इन किया था और पासकी जनरेट की थी. Windows मशीन पर, उपयोगकर्ता किसी दूसरे डिवाइस से पासकी से साइन इन करने का विकल्प चुनता है. दोनों डिवाइस कनेक्ट किए जाएंगे. इसके बाद, उपयोगकर्ता को Android डिवाइस पर अपनी पासकी के इस्तेमाल की मंज़ूरी देने के लिए कहा जाएगा. उदाहरण के लिए, फ़िंगरप्रिंट सेंसर. ऐसा करने के बाद, वे Windows मशीन पर साइन इन हो जाते हैं. ध्यान दें कि पासकी को Windows मशीन पर ट्रांसफ़र नहीं किया जाता. इसलिए, आम तौर पर example.com उस डिवाइस पर नई पासकी बनाने का विकल्प देता है. ऐसे में, अगली बार जब उपयोगकर्ता साइन इन करना चाहता है, तो फ़ोन की ज़रूरत नहीं होगी. ज़्यादा जानने के लिए, फ़ोन से साइन इन करें लेख पढ़ें.

पासकी का इस्तेमाल कौन कर रहा है?

कई सेवाएं पहले से ही अपने सिस्टम में पासकी का इस्तेमाल कर रही हैं.

खुद आज़माकर देखें

इस डेमो में पासकी इस्तेमाल की जा सकती हैं: https://passkeys-demo.appspot.com/

निजता से जुड़ी ज़रूरी बातें

  • क्योंकि बायोमेट्रिक से साइन इन करने पर, उपयोगकर्ताओं को यह गलतफ़हमी हो सकती है कि इससे सर्वर को संवेदनशील जानकारी भेजी जा रही है. असल में, बायोमेट्रिक सामग्री उपयोगकर्ता के निजी डिवाइस से कभी नहीं हटती.
  • पासकी अपने-आप, एक साइट से दूसरी साइट पर उपयोगकर्ताओं या डिवाइसों को ट्रैक करने की अनुमति नहीं देती हैं. एक ही पासकी का इस्तेमाल कभी भी, एक से ज़्यादा साइटों के साथ नहीं किया जाता. पासकी प्रोटोकॉल को सावधानी से डिज़ाइन किया गया है, ताकि साइटों के साथ शेयर की गई किसी भी जानकारी का इस्तेमाल, ट्रैकिंग वेक्टर के तौर पर नहीं किया जा सके.
  • पासकी मैनेजर, पासकी को बिना अनुमति के ऐक्सेस करने और इस्तेमाल करने से रोकते हैं. उदाहरण के लिए, Google Password Manager, पासकी सीक्रेट को एंड-टू-एंड एन्क्रिप्ट करता है. सिर्फ़ उपयोगकर्ता इन्हें ऐक्सेस और इस्तेमाल कर सकता है. भले ही, इनका बैक अप Google के सर्वर पर लिया गया हो, लेकिन Google इनका इस्तेमाल उपयोगकर्ताओं के नाम पर काम करने के लिए नहीं कर सकता.

सुरक्षा से जुड़ी बातें

  • पासकी, सार्वजनिक कुंजी क्रिप्टोग्राफ़ी का इस्तेमाल करती हैं. सार्वजनिक पासकोड क्रिप्टोग्राफ़ी, डेटा के गलत इस्तेमाल से होने वाले खतरों को कम करती है. जब कोई उपयोगकर्ता किसी साइट या ऐप्लिकेशन के साथ पासकी बनाता है, तो इससे उपयोगकर्ता के डिवाइस पर एक सार्वजनिक–निजी कुंजी का जोड़ा जनरेट हो जाता है. साइट केवल सार्वजनिक कुंजी को संग्रहित करती है, लेकिन यह अकेले किसी हमलावर के लिए किसी काम का नहीं है. हमलावर, सर्वर पर स्टोर किए गए डेटा से उपयोगकर्ता की निजी कुंजी नहीं हासिल कर सकता, जिसकी पुष्टि करने के लिए ज़रूरी है.
  • पासकी किसी वेबसाइट या ऐप्लिकेशन की पहचान से जुड़ी होती हैं, इसलिए ये फ़िशिंग के हमलों से सुरक्षित होती हैं. ब्राउज़र और ऑपरेटिंग सिस्टम यह पक्का करते हैं कि पासकी का इस्तेमाल सिर्फ़ उसी वेबसाइट या ऐप्लिकेशन पर किया जा सके जिसे उसे बनाया गया है. इससे, उपयोगकर्ताओं को असली वेबसाइट या ऐप्लिकेशन पर साइन इन करने की ज़िम्मेदारी नहीं लेनी पड़ती.

सूचनाएं पाना

पासकी से जुड़े अपडेट के बारे में सूचना पाने के लिए, Google पासकी डेवलपर न्यूज़लेटर की सदस्यता लें.

अगले चरण