सुविधा के बारे में जानकारी
पासकी, पासवर्ड के लिए सुरक्षित और आसान विकल्प हैं. पासकी की मदद से, उपयोगकर्ता ऐप्लिकेशन और वेबसाइटों में साइन इन कर सकते हैं. इसके लिए बायोमेट्रिक सेंसर (जैसे, फ़िंगरप्रिंट या चेहरे की पहचान) या पिन का इस्तेमाल किया जा सकता है. इससे वे पासवर्ड याद रखने या मैनेज करने से बच सकते हैं.
डेवलपर और उपयोगकर्ता, दोनों ही पासवर्ड को नफ़रत करते हैं: वे खराब उपयोगकर्ता अनुभव देते हैं, कन्वर्ज़न से जुड़ी समस्याएं पैदा करते हैं, और उपयोगकर्ताओं और डेवलपर, दोनों के लिए सुरक्षा की जवाबदेही तय करते हैं. Android और Chrome में Google Password Manager की मदद से, जानकारी को ऑटोमैटिक रूप से भरने में आसानी होती है. साथ ही, जो डेवलपर कन्वर्ज़न और सुरक्षा, पासकी, और आइडेंटिटी फ़ेडरेशन में सुधार करना चाहते हैं वे इंडस्ट्री के आधुनिक तरीके हैं.
पासकी, एक ही बार में कई तरीकों से पुष्टि करने की ज़रूरी शर्तों को पूरा कर सकती है. इसके लिए, पासवर्ड और ओटीपी (जैसे कि छह अंकों वाले एसएमएस कोड) का इस्तेमाल किया जाता है. ऐसा फ़िशिंग हमलों से बचने के लिए किया जाता है. साथ ही, मैसेज (एसएमएस) या ऐप्लिकेशन पर आधारित एक बार इस्तेमाल होने वाले पासवर्ड के UX से बचने में भी मदद मिलती है. पासकी, स्टैंडर्ड के आधार पर होती हैं. इसलिए, इन्हें लागू करने से उपयोगकर्ता के सभी डिवाइसों पर, अलग-अलग ब्राउज़र और ऑपरेटिंग सिस्टम पर बिना पासवर्ड के इस्तेमाल करने की सुविधा मिलती है.
पासकी आसान हैं:
- साइन इन करने के लिए, उपयोगकर्ता कोई खाता चुन सकते हैं. उपयोगकर्ता नाम लिखना ज़रूरी नहीं है.
- उपयोगकर्ता, डिवाइस के स्क्रीन लॉक की मदद से पुष्टि कर सकते हैं. जैसे, फ़िंगरप्रिंट सेंसर, फ़ेशियल रिकग्निशन या पिन.
- पासकी बनने और रजिस्टर होने के बाद, उपयोगकर्ता अपने-आप नए डिवाइस पर स्विच कर सकता है और फिर से रजिस्टर किए बिना उसका तुरंत इस्तेमाल कर सकता है. परंपरागत बायोमेट्रिक से पुष्टि करने की प्रोसेस को हर डिवाइस पर सेट अप करना पड़ता है.
पासकी सुरक्षित होती हैं:
- डेवलपर, पासवर्ड के बजाय सिर्फ़ सार्वजनिक कुंजी सेव करते हैं. इसका मतलब है कि किसी बैड ऐक्टर के लिए सर्वर पर हैक करने की कोई ज़रूरत नहीं है. साथ ही, नीति के उल्लंघन की स्थिति में कोई कार्रवाई न करना बहुत आसान हो जाता है.
- पासकी, उपयोगकर्ताओं को फ़िशिंग हमलों से बचाती हैं. पासकी सिर्फ़ अपनी रजिस्टर की गई वेबसाइटों और ऐप्लिकेशन पर काम करती हैं. उपयोगकर्ता को गुमराह करने के लिए, गुमराह करने वाली साइट का इस्तेमाल नहीं किया जाता, क्योंकि ब्राउज़र या ओएस की मदद से पुष्टि करने की प्रोसेस को हैंडल किया जाता है.
- पासकी में, एसएमएस भेजने में आने वाली लागत कम होती है. इससे, दो तरीकों से पुष्टि करने की सुविधा ज़्यादा सुरक्षित और ज़्यादा किफ़ायती हो जाती है.
पासवर्ड क्या होते हैं?
पासकी एक डिजिटल क्रेडेंशियल है, जो उपयोगकर्ता के खाते और वेबसाइट या ऐप्लिकेशन से जुड़ा होता है. पासकी की मदद से उपयोगकर्ता, उपयोगकर्ता नाम या पासवर्ड डाले बिना पुष्टि कर सकते हैं. इसके अलावा, वे पुष्टि करने का कोई और तरीका भी जोड़ सकते हैं. इस टेक्नोलॉजी का मकसद पुष्टि करने के पुराने तरीकों को बदलना है, जैसे कि पासवर्ड.
जब कोई उपयोगकर्ता पासकी का इस्तेमाल करने वाली किसी सेवा में साइन इन करना चाहता है, तो उसका ब्राउज़र या ऑपरेटिंग सिस्टम सही पासकी चुनने और इस्तेमाल करने में उसकी मदद करेगा. यह अनुभव, सेव किए गए पासवर्ड की तरह ही काम करता है. यह पक्का करने के लिए कि सिर्फ़ सही मालिक पासकी का इस्तेमाल कर सके, सिस्टम उससे डिवाइस को अनलॉक करने के लिए कहेगा. ऐसा करने के लिए, बायोमेट्रिक सेंसर (जैसे कि फ़िंगरप्रिंट या चेहरे की पहचान) या पिन या पैटर्न का इस्तेमाल किया जा सकता है.
किसी वेबसाइट या ऐप्लिकेशन के लिए पासकी बनाने के लिए, सबसे पहले उपयोगकर्ता को उस वेबसाइट या ऐप्लिकेशन पर रजिस्टर करना होगा.
- ऐप्लिकेशन पर जाएं और साइन इन करने के मौजूदा तरीके का इस्तेमाल करके साइन इन करें.
- पासकी बनाएं बटन पर क्लिक करें.
- नई पासकी के साथ सेव की गई जानकारी की जांच करें.
- पासकी बनाने के लिए, डिवाइस की स्क्रीन अनलॉक करने की सुविधा का इस्तेमाल करें.
जब वे साइन इन करने के लिए इस वेबसाइट या ऐप्लिकेशन पर वापस आते हैं, तो उन्हें यह तरीका अपनाना होगा:
- ऐप्लिकेशन पर जाएं.
- अपने-आप भरने वाले डायलॉग बॉक्स में पासकी की सूची दिखाने के लिए, खाते के नाम वाले फ़ील्ड पर टैप करें.
- उनकी पासकी चुनें.
- लॉगिन पूरा करने के लिए, डिवाइस की स्क्रीन अनलॉक करने की सुविधा का इस्तेमाल करें.
उपयोगकर्ता के डिवाइस पर, पासकी के आधार पर हस्ताक्षर जनरेट होता है. इस हस्ताक्षर का इस्तेमाल मूल और पासकी के बीच लॉगिन क्रेडेंशियल की पुष्टि करने के लिए किया जाता है.
उपयोगकर्ता पासकी का इस्तेमाल करके, किसी भी डिवाइस पर सेवाओं में साइन इन कर सकता है. भले ही, पासकी को सेव क्यों किया गया हो. उदाहरण के लिए, मोबाइल फ़ोन पर बनाई गई पासकी का इस्तेमाल किसी अलग लैपटॉप पर मौजूद वेबसाइट में साइन इन करने के लिए किया जा सकता है.
पासकी कैसे काम करती हैं?
पासकी का इस्तेमाल, ऑपरेटिंग सिस्टम के इन्फ़्रास्ट्रक्चर की मदद से किया जाता है. इससे पासकी मैनेजर को उन ऑपरेटिंग सिस्टम में चलने वाले ऐप्लिकेशन के लिए पासकी बनाने, बैक अप लेने, और उपलब्ध कराने की अनुमति मिलती है. Android पर, पासकी Google Password Manager में सेव की जा सकती हैं. इससे उपयोगकर्ता के उन Android डिवाइसों के बीच पासकी सिंक होती हैं जिन पर एक ही Google खाते से साइन इन किया गया है. पासकी सिंक होने से पहले, उन्हें डिवाइस पर सुरक्षित तरीके से एन्क्रिप्ट (सुरक्षित) किया जाता है. साथ ही, उन्हें नए डिवाइसों पर डिक्रिप्ट करना पड़ता है. Android 14 या उसके बाद के वर्शन का इस्तेमाल करने वाले लोग, तीसरे पक्ष के पासवर्ड मैनेजर में पासकी सेव कर सकते हैं.
उपयोगकर्ता सिर्फ़ उस डिवाइस पर पासकी इस्तेमाल कर सकते हैं जहां वे उपलब्ध हैं. पासकी FIDO मानकों के मुताबिक बनाई जाती हैं, इसलिए सभी ब्राउज़र उन्हें अपना सकते हैं.
उदाहरण के लिए, कोई उपयोगकर्ता अपने Windows मशीन पर Chrome ब्राउज़र में example.com पर जाता है. इस उपयोगकर्ता ने पहले ही अपने Android डिवाइस में example.com में लॉग इन किया है और एक पासकी जनरेट की है. Windows मशीन पर, उपयोगकर्ता किसी दूसरे डिवाइस से पासकी से साइन इन करना चुनता है. दोनों डिवाइसों को कनेक्ट किया जाएगा. इसके बाद, उपयोगकर्ता को Android डिवाइस पर पासकी के इस्तेमाल की अनुमति देने के लिए कहा जाएगा. उदाहरण के लिए, फ़िंगरप्रिंट सेंसर. ऐसा करने के बाद, वे Windows मशीन में साइन इन हो जाते हैं. ध्यान दें कि पासकी, Windows मशीन में ट्रांसफ़र नहीं होती है. इसलिए, आम तौर पर example.com एक नई पासकी बनाता है.
इस तरह, अगली बार उपयोगकर्ता के साइन इन करने पर फ़ोन की ज़रूरत नहीं होगी. ज़्यादा जानने के लिए, फ़ोन से साइन इन करना लेख पढ़ें.
पासवर्ड का इस्तेमाल कौन कर रहा है?
कई सेवाएं अपने सिस्टम में पहले से पासकी का इस्तेमाल कर रही हैं.
- DocuSign
- कायाक
- Mercari
- एनटीटी डोकोमो
- PayPal
- Shopify
- Yahoo! जापान
खुद आज़माकर देखें
इस डेमो में पासकी इस्तेमाल करके देखें: https://passkeys-demo.appspot.com/
निजता से जुड़ी बातें
- ऐसा हो सकता है कि बायोमेट्रिक से साइन इन करने पर, उपयोगकर्ताओं को गलत जानकारी मिले कि वे सर्वर को संवेदनशील जानकारी भेज रहे हैं. असल में, बायोमेट्रिक मटीरियल की मदद से उपयोगकर्ता के निजी डिवाइस को कभी नहीं हटाया जाता.
- खुद पासकी, उपयोगकर्ताओं या साइटों के बीच ट्रैक करने की अनुमति नहीं देती हैं. एक ही पासकी का इस्तेमाल कभी भी एक से ज़्यादा साइट के साथ नहीं किया जाता. पासकी प्रोटोकॉल को ध्यान से डिज़ाइन किया गया है, ताकि साइटों के साथ शेयर की गई किसी भी जानकारी का इस्तेमाल, ट्रैकिंग वेक्टर के तौर पर नहीं किया जा सके.
- पासकी मैनेजर, पासकी को बिना अनुमति के ऐक्सेस और इस्तेमाल किए जाने से बचाते हैं. उदाहरण के लिए Google Password Manager, पासकी सीक्रेट को आखिर तक एन्क्रिप्ट (सुरक्षित) करता है end-to-end. सिर्फ़ उपयोगकर्ता ही इन्हें ऐक्सेस और इस्तेमाल कर सकता है. हालांकि, Google के सर्वर पर बैक अप लेने के बाद भी, Google इनका इस्तेमाल उपयोगकर्ताओं के नाम पर काम करने के लिए नहीं कर सकता.
सुरक्षा से जुड़ी बातें
- पासकी सार्वजनिक कुंजी क्रिप्टोग्राफ़ी का इस्तेमाल करती हैं. सार्वजनिक क्रिप्टोग्राफ़ी में डेटा के गलत इस्तेमाल होने की आशंका कम हो जाती है. जब कोई उपयोगकर्ता किसी साइट या ऐप्लिकेशन के साथ पासकी बनाता है, तो उपयोगकर्ता के डिवाइस पर सार्वजनिक निजी कुंजी जनरेट होती है. साइट सिर्फ़ सार्वजनिक कुंजी को सेव करती है, और कोई हमलावर उसे किसी काम का नहीं बना सकता. हमलावर, सर्वर पर सेव किए गए डेटा से, उपयोगकर्ता की निजी कुंजी नहीं निकाल सकता. यह पुष्टि करने के लिए ज़रूरी है.
- पासकी किसी वेबसाइट या ऐप्लिकेशन की पहचान से जुड़ी होती हैं, इसलिए वे फ़िशिंग हमलों से सुरक्षित होती हैं. ब्राउज़र और ऑपरेटिंग सिस्टम यह पक्का करते हैं कि पासकी का इस्तेमाल सिर्फ़ उन वेबसाइट या ऐप्लिकेशन के साथ किया जा सके जिनसे उन्हें बनाया गया है. इससे उपयोगकर्ताओं को असल वेबसाइट या ऐप्लिकेशन में साइन इन करने की ज़िम्मेदारी नहीं लेनी पड़ेगी.
सूचनाएं पाएं
पासकी से जुड़े अपडेट के बारे में सूचना पाने के लिए Google पासकी डेवलपर न्यूज़लेटर की सदस्यता लें.