पूरी तरह से पासवर्डलेस कैसे बनें

1. परिचय: पासकी को लागू करना अंतिम लक्ष्य क्यों नहीं है#

पासकी लागू करना ऑथेंटिकेशन सुरक्षा में एक बहुत बड़ी छलांग है, लेकिन यह सफर का अंत नहीं है। यदि आपने पहले ही पासकी डिप्लॉय कर दी है, तो आप संभवतः बेहतर सुरक्षा मेट्रिक्स का जश्न मना रहे होंगे, लेकिन आप वास्तव में पासकी होने से लेकर पूरी तरह से पासवर्डलेस ऑथेंटिकेशन प्राप्त करने तक कैसे पहुँचते हैं?

पासकी विशिष्ट डोमेन से बाउंड पब्लिक-की क्रिप्टोग्राफी का उपयोग करके अपने फ़िशिंग-प्रतिरोधी डिज़ाइन के माध्यम से महत्वपूर्ण सुरक्षा लाभ प्रदान करती हैं, जिससे हमलावरों के लिए उपयोगकर्ताओं को फर्जी साइटों पर ऑथेंटिकेट करने के लिए धोखा देना असंभव हो जाता है। वे क्रेडेंशियल के दोबारा उपयोग को खत्म करते हैं क्योंकि प्रत्येक पासकी एक विशिष्ट सेवा के लिए अद्वितीय होती है, जिसका अर्थ है कि एक सेवा से समझौता होने पर दूसरों पर कोई प्रभाव नहीं पड़ता है। इसके अलावा वे याद रखे गए सीक्रेट्स को क्रिप्टोग्राफ़िक की से बदलकर ब्रूट-फोर्स हमलों से प्रतिरक्षा प्रदान करते हैं जिनका अनुमान या क्रैक नहीं किया जा सकता है।

फिर भी ये शक्तिशाली लाभ उसी क्षण गायब हो जाते हैं जब उपयोगकर्ता पासकी ऑथेंटिकेशन को बायपास कर सकता है और इसके बजाय पासवर्ड के साथ लॉगिन कर सकता है। यह एक महत्वपूर्ण सवाल उठाता है: पूर्ण सुरक्षा के लिए अकेले पासकी क्यों पर्याप्त नहीं हैं? इसका उत्तर यह समझने में निहित है कि जब तक पासवर्ड का दरवाज़ा खुला रहता है, हमलावर उससे गुज़रने की कोशिश करेंगे। इससे भी अधिक महत्वपूर्ण यह सवाल है कि, अकाउंट रिकवरी वह छिपा हुआ जोखिम क्यों है जो आपके पूरे पासकी कार्यान्वयन को कमजोर कर सकता है? हाल के हाई-प्रोफाइल ब्रीच ने दिखाया है कि हमलावर तेजी से प्राइमरी ऑथेंटिकेशन के बजाय रिकवरी फ्लो को निशाना बनाते हैं।

यह लेख आपको पासकी लागू करने से लेकर वास्तविक पासवर्डलेस सुरक्षा प्राप्त करने तक के पूरे सफर में मार्गदर्शन करेगा, व्यावहारिक समाधानों और वास्तविक दुनिया के उदाहरणों के साथ इन महत्वपूर्ण प्रश्नों में से प्रत्येक को संबोधित करेगा।

"पासवर्डलेस" का वास्तव में क्या अर्थ है?#

वास्तविक पासवर्डलेस ऑथेंटिकेशन का अर्थ है आपके सुरक्षा आर्किटेक्चर से पासवर्ड को पूरी तरह से खत्म करना। एक पासवर्डलेस सिस्टम में, उपयोगकर्ता अपने ऑथेंटिकेशन सफर में किसी भी बिंदु पर पासवर्ड सेट, रीसेट या उपयोग नहीं कर सकते हैं। इसके बजाय, ऑथेंटिकेशन पूरी तरह से पासकी जैसे क्रिप्टोग्राफ़िक तरीकों पर निर्भर करता है।

कई संगठन फॉलबैक विकल्प के रूप में बैकग्राउंड में पासवर्ड बनाए रखते हुए "पासवर्डलेस" होने का दावा करते हैं। यह वास्तविक पासवर्डलेस नहीं है, बल्कि सिर्फ पासवर्ड-वैकल्पिक है। यह अंतर इसलिए मायने रखता है क्योंकि जब तक आपके सिस्टम में रिकवरी फ्लो सहित कहीं भी पासवर्ड मौजूद होते हैं, वे एक कमजोर कड़ी बने रहते हैं जिसे हमलावर निशाना बनाएंगे।

2. दो बैकडोर जो पासकी सुरक्षा को कमजोर करते हैं#

वास्तविक पासवर्डलेस सुरक्षा के लिए प्राइमरी ऑथेंटिकेशन से पासवर्ड को खत्म करने के साथ-साथ यह सुनिश्चित करना भी आवश्यक है कि रिकवरी प्रक्रियाएं भी समान रूप से फ़िशिंग-प्रतिरोधी हों।

2.1 फॉलबैक विकल्प के रूप में पासवर्ड एक महत्वपूर्ण सुरक्षा जोखिम क्यों पैदा करते हैं#

फॉलबैक विकल्प के रूप में पासवर्ड बनाए रखना हर उस हमले के रास्ते को सुरक्षित रखता है जिसे पासकी खत्म करने के लिए डिज़ाइन किया गया है। हमलावर बस पासवर्ड प्रविष्टि को लक्षित करने के लिए अपने फ़िशिंग अभियानों को मोड़ देते हैं, जबकि क्रेडेंशियल स्टफिंग और पासवर्ड स्प्रेइंग हमले अन्य ब्रीच से चुराए गए क्रेडेंशियल का उपयोग करना जारी रखते हैं। सोशल इंजीनियरिंग प्रभावी बनी रहती है क्योंकि उपयोगकर्ताओं को अभी भी नकली सपोर्ट एजेंटों को पासवर्ड प्रकट करने के लिए धोखा दिया जा सकता है।

जब तक पासवर्ड मौजूद हैं, वे सबसे कमजोर कड़ी बने रहेंगे, एक एकल प्रवेश बिंदु जो पासकी की फ़िशिंग-प्रतिरोधी सुरक्षा को पूरी तरह से दरकिनार कर देता है।

2.2 अकाउंट रिकवरी बैकडोर#

केवल लॉगिन अनुभव को देखना भी पर्याप्त नहीं है। एक महत्वपूर्ण लेकिन अक्सर अनदेखा किया गया हमला वेक्टर अकाउंट रिकवरी फ्लो है। पासकी लागू करने वाले संगठन भी असुरक्षित रह सकते हैं यदि उनकी रिकवरी प्रक्रिया SMS OTP या ईमेल मैजिक लिंक जैसे फ़िशेबल तरीकों पर निर्भर करती है।

2023 में हाई-प्रोफाइल MGM रिसॉर्ट्स ब्रीच पर विचार करें, जहां हमलावरों ने प्राइमरी ऑथेंटिकेशन सिस्टम को निशाना नहीं बनाया, बल्कि सोशल इंजीनियरिंग के माध्यम से अकाउंट रिकवरी प्रक्रिया का फायदा उठाया, सभी प्राइमरी सुरक्षा उपायों को बायपास कर दिया। इसी तरह, Okta सपोर्ट सिस्टम ब्रीच ने दिखाया कि रिकवरी फ्लो कैसे सबसे कमजोर कड़ी बन सकते हैं, जिससे हमलावरों को क्रेडेंशियल रीसेट करने और ग्राहक वातावरण तक अनधिकृत पहुंच प्राप्त करने की अनुमति मिलती है।

ये घटनाएं एक महत्वपूर्ण सत्य को रेखांकित करती हैं: रिकवरी फ्लो को सुरक्षित किए बिना पासकी को लागू करना एक स्टील का दरवाजा लगाने और खिड़कियां खुली छोड़ने जैसा है।

3. पासवर्डलेस सफर#

वास्तविक पासवर्डलेस ऑथेंटिकेशन प्राप्त करना कोई एक कदम नहीं है - यह एक रणनीतिक सफर है जिसमें सावधानीपूर्वक योजना, विचारशील उत्पाद डिज़ाइन और रणनीति, क्रमिक कार्यान्वयन और निरंतर अनुकूलन की आवश्यकता होती है:

3.1 चरण 1: पासकी जोड़ें#

पहला चरण फॉलबैक के रूप में मौजूदा विकल्पों को बनाए रखते हुए पासकी को एक अतिरिक्त ऑथेंटिकेशन विधि के रूप में पेश करने पर केंद्रित है। यह आधार बनाने वाला चरण उपयोगकर्ताओं को नई तकनीक को समझने और उस पर भरोसा करने का समय देता है, साथ ही फ्रिक्शन को कम करने के लिए परिचित तरीकों को भी उपलब्ध रखता है।

मुख्य कार्यान्वयन चरण:

• पासकी ऑथेंटिकेशन को अपने मौजूदा ऑथेंटिकेशन फ्लो में इंटीग्रेट करें
• नए और मौजूदा उपयोगकर्ताओं के लिए पासकी निर्माण सक्षम करें
• विकल्प के रूप में पासवर्ड और अन्य ऑथेंटिकेशन विधियों को बनाए रखें
• पासकी निर्माण दर और उपयोग पैटर्न को ट्रैक करें

सफलता के मेट्रिक्स:

• कम से कम एक पासकी बनाने वाले उपयोगकर्ताओं का प्रतिशत 50% से ऊपर
• पासकी निर्माण सफलता दर 95% से ऊपर
• ऑथेंटिकेशन के लिए प्रारंभिक पासकी उपयोग 20-30% तक पहुंचना

3.2 चरण 2: पासकी अडॉप्शन बढ़ाएँ#

एक बार पासकी उपलब्ध हो जाने के बाद, ध्यान अडॉप्शन को चलाने और पासकी को पसंदीदा ऑथेंटिकेशन विधि बनाने पर केंद्रित हो जाता है। यह चरण रणनीतिक उपयोगकर्ता जुड़ाव और अनुकूलन के माध्यम से पासकी को एक वैकल्पिक विकल्प से प्राथमिक ऑथेंटिकेशन विकल्प में बदल देता है।

मुख्य कार्यान्वयन चरण:

• लॉगिन फ्लो में पासकी ऑथेंटिकेशन को डिफ़ॉल्ट विकल्प बनाएं
• सफल पासवर्ड लॉगिन के बाद बुद्धिमान संकेत (intelligent prompts) लागू करें जो पासकी निर्माण को प्रोत्साहित करते हैं
• इन-ऐप मैसेजिंग के माध्यम से उपयोगकर्ताओं को सुरक्षा और सुविधा लाभों के बारे में शिक्षित करें
• पासकी अडॉप्शन के लिए प्रोत्साहन प्रदान करें (तेज़ चेकआउट, विशेष सुविधाएं)
• रूपांतरण को अधिकतम करने के लिए अलग-अलग मैसेजिंग और UI दृष्टिकोणों का A/B परीक्षण करें
• संवेदनशील ऑपरेशनों के लिए पासकी की आवश्यकता वाली कंडीशनल एक्सेस नीतियां लागू करें

सफलता के मेट्रिक्स:

• कम से कम एक पासकी के साथ 60%+ सक्रिय उपयोगकर्ता
• पासकी-सक्षम अकाउंट्स के लिए पासकी का उपयोग करने वाले 80%+ लॉगिन
• 2% से कम पासकी निर्माण विफलता दर

3.3 चरण 3: पासवर्डलेस बनें#

यह वह जगह है जहां वास्तविक सुरक्षा परिवर्तन होता है: लगातार पासकी का उपयोग करने वाले उपयोगकर्ताओं के लिए पासवर्ड को पूरी तरह से हटाना। यह चरण उन उपयोगकर्ताओं के लिए पासवर्ड को निष्क्रिय करके प्राइमरी हमले के रास्ते को समाप्त कर देता है जिन्होंने सफल पासकी अडॉप्शन का प्रदर्शन किया है।

मुख्य कार्यान्वयन चरण:

• बुद्धिमान निगरानी प्रणालियों (intelligent monitoring systems) का उपयोग करके उपयोगकर्ता ऑथेंटिकेशन पैटर्न का विश्लेषण करें
• उन उपयोगकर्ताओं की पहचान करें जो विशेष रूप से कई पासकी-तैयार डिवाइसों के साथ पासकी का उपयोग करते हैं
• स्पष्ट सुरक्षा लाभ संदेश के साथ पासवर्ड निष्क्रियकरण की पेशकश करें
• बैकअप पासकी उपलब्धता (क्लाउड-सिंक या कई डिवाइस) को वेरिफाई करें

सफलता के मेट्रिक्स:

• स्वेच्छा से पासवर्ड हटाने वाले 30%+ योग्य उपयोगकर्ता
• अकाउंट लॉकआउट दरों में शून्य वृद्धि
• उपयोगकर्ता संतुष्टि स्कोर बनाए रखा या सुधारा गया

3.4 चरण 4: फ़िशिंग-प्रतिरोधी रिकवरी#

अंतिम चरण अंतिम भेद्यता को संबोधित करता है: अकाउंट रिकवरी को फ़िशिंग-प्रतिरोधी प्रक्रिया में बदलना। यह चरण सुनिश्चित करता है कि रिकवरी फ्लो प्राइमरी ऑथेंटिकेशन के सुरक्षा स्तर से मेल खाते हैं, जिससे बैकडोर हमलों को रोका जा सके।

मुख्य कार्यान्वयन चरण:

• कम से कम एक फ़िशिंग-प्रतिरोधी कारक के साथ मल्टी-फैक्टर ऑथेंटिकेशन लागू करें
• उपलब्ध फ़िशिंग-प्रतिरोधी कारक:
  • बैकअप पासकी: सेकेंडरी डिवाइसों या क्लाउड सेवाओं पर संग्रहीत रिकवरी पासकी जो पहचान का क्रिप्टोग्राफ़िक प्रमाण प्रदान करते हैं (सबसे व्यापक रूप से उपलब्ध विकल्प)
  • डिजिटल क्रेडेंशियल API: विश्वसनीय प्रदाताओं से क्रिप्टोग्राफ़िक रूप से सत्यापित पहचान दावों के लिए W3C मानक (उभरती तकनीक, अभी तक व्यापक नहीं)
  • हार्डवेयर सिक्योरिटी की: भौतिक FIDO2 टोकन रिकवरी कारकों के रूप में पंजीकृत हैं जिन्हें फ़िश या डुप्लिकेट नहीं किया जा सकता है (उपयोगकर्ताओं को भौतिक डिवाइस खरीदने और बनाए रखने की आवश्यकता होती है)
  • लाइवनेस डिटेक्शन के साथ पहचान दस्तावेज़ सत्यापन: भौतिक उपस्थिति साबित करने के लिए रीयल-टाइम बायोमेट्रिक क्रियाओं के साथ सरकारी आईडी स्कैनिंग को मिलाना

रिकवरी विकल्पों पर ध्यान दें: जबकि डिजिटल क्रेडेंशियल API और हार्डवेयर सिक्योरिटी की मजबूत सुरक्षा प्रदान करते हैं, उन्हें अभी तक व्यापक रूप से नहीं अपनाया गया है, पहला अभी भी उभरती हुई तकनीक है और दूसरे के लिए उपयोगकर्ताओं को भौतिक उपकरण खरीदने की आवश्यकता होती है।

जब बैकअप पासकी उपलब्ध नहीं होती है, तो लाइवनेस डिटेक्शन के साथ पहचान दस्तावेज़ सत्यापन एक व्यवहार्य विकल्प बन जाता है। आईडी के भौतिक स्वामित्व के बिना लाइवनेस जांच को बायपास करने के संभावित वर्कअराउंड के बावजूद, ये विधियां अभी भी पारंपरिक OTP की तुलना में काफी मजबूत सुरक्षा प्रदान करती हैं, जिन्हें फ़िशिंग, SIM स्वैपिंग या मैन-इन-द-मिडल हमलों के माध्यम से आसानी से इंटरसेप्ट किया जा सकता है।

सफलता के मेट्रिक्स:

• 100% रिकवरी फ्लो में फ़िशिंग-प्रतिरोधी कारक शामिल हैं
• रिकवरी प्रक्रियाओं के माध्यम से शून्य सफल अकाउंट टेकओवर
• रिकवरी पूर्णता दर 90% से ऊपर बनाए रखी गई

4. पासवर्ड हटाना शुरू करने वाली कंपनियों के उदाहरण#

पासवर्डलेस आंदोलन प्रौद्योगिकी उद्योग में गति पकड़ रहा है, अग्रणी कंपनियां पासवर्ड से दूर जा रही हैं।

4.1 पूरी तरह से पासवर्डलेस संगठन#

कई कंपनियों ने अपने आंतरिक संचालन के लिए पासवर्ड को पूरी तरह से समाप्त कर दिया है। Okta, Yubico और Cloudflare प्रभावी रूप से आंतरिक रूप से शून्य पासवर्ड उपयोग तक पहुंच गए हैं और उनके लॉगिन फ्लो पासवर्ड को बिल्कुल स्वीकार नहीं करेंगे।

4.2 सक्रिय संक्रमण में कंपनियां#

तकनीकी दिग्गज Google, Apple, Microsoft और X सक्रिय रूप से पासवर्ड हटा रहे हैं लेकिन उन्होंने इसे पूरी तरह से समाप्त नहीं किया है। उनका दृष्टिकोण संक्रमण काल के दौरान उपयोगकर्ता की पसंद के साथ सुरक्षा सुधारों को संतुलित करता है।

Google ने सभी अकाउंट्स के लिए डिफ़ॉल्ट रूप से "Skip password when possible" को चालू करके आक्रामक रुख अपनाया है, जिससे पासकी पसंदीदा ऑथेंटिकेशन विधि बन गई है, जबकि यदि आवश्यक हो तो उपयोगकर्ताओं को ऑप्ट आउट करने की अनुमति दी गई है। यह ऑप्ट-आउट दृष्टिकोण पासवर्डलेस की दिशा में मजबूत गति पैदा करता है, साथ ही उन उपयोगकर्ताओं के लिए लचीलापन बनाए रखता है जो अभी तक संक्रमण के लिए तैयार नहीं हैं।

Microsoft उपयोगकर्ताओं को भविष्य में "आखिरकार पासवर्ड समर्थन पूरी तरह से हटाने" की योजना के साथ, आज ही अपने अकाउंट्स से अपने पासवर्ड को पूरी तरह से हटाने की अनुमति देकर एक कदम आगे बढ़ता है। यह स्पष्ट रोडमैप उपयोगकर्ताओं को संकेत देता है कि पासवर्ड का समय सीमित है, जिससे पासवर्डलेस तरीकों को जल्दी अपनाने को प्रोत्साहन मिलता है।

Apple ने अपने इकोसिस्टम में पासकी को एकीकृत किया है और सक्रिय रूप से उनके उपयोग को बढ़ावा देता है, हालांकि Apple ID पासवर्ड फॉलबैक विकल्प के रूप में उपलब्ध रहते हैं। उनका दृष्टिकोण पासकी अडॉप्शन को यथासंभव घर्षण रहित बनाने के लिए Apple डिवाइसों में सहज सिंक्रनाइज़ेशन का लाभ उठाता है।

ये कंपनियाँ तत्काल बदलाव के लिए बाध्य नहीं कर रही हैं बल्कि एक स्पष्ट संदेश दे रही हैं: अडॉप्शन एक महत्वपूर्ण स्तर तक पहुंचने पर पासवर्ड गायब हो जाएंगे। उनकी रणनीतियों में पासकी को डिफ़ॉल्ट बनाना, उपयोगकर्ताओं को लाभों के बारे में शिक्षित करना और धीरे-धीरे पासवर्ड की कार्यक्षमता को कम करना शामिल है।

5. आपको पासवर्ड हटाना कब शुरू करना चाहिए?#

पासवर्ड हटाने का निर्णय जल्दबाजी में या सार्वभौमिक रूप से लागू नहीं किया जाना चाहिए। इसके बजाय, एक डेटा-संचालित, क्रमिक दृष्टिकोण अपनाएं जो उपयोगकर्ता के व्यवहार, डिवाइस की क्षमताओं और जोखिम प्रोफाइल पर विचार करे।

5.1 किसे तुरंत अपनी पासवर्डलेस यात्रा शुरू करनी चाहिए#

आज गंभीर फ़िशिंग हमलों का सामना कर रहे उच्च-जोखिम वाले क्षेत्रों को तुरंत अपना पासवर्डलेस संक्रमण शुरू करना चाहिए, लेकिन फिर भी एक क्रमिक, रणनीतिक रोलआउट का पालन करना चाहिए:

• बैंक और वित्तीय संस्थान: क्रेडेंशियल चोरी के मुख्य लक्ष्य। यूरोपीय बैंकों के लिए, पासकी PSD2 स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन (SCA) आवश्यकताओं के साथ भी संरेखित होती हैं, जो उपयोगकर्ता अनुभव को बढ़ाते हुए नियामक अनुपालन को पूरा करने वाले फ़िशिंग-प्रतिरोधी MFA प्रदान करती हैं।
• भुगतान प्रदाता और फिनटेक: ग्राहकों के धन तक सीधी पहुंच उन्हें संगठित साइबर अपराध के लिए आकर्षक बनाती है
• क्रिप्टोकरेंसी एक्सचेंज: अपरिवर्तनीय लेनदेन का मतलब है कि चोरी किए गए क्रेडेंशियल्स से स्थायी नुकसान होता है
• स्वास्थ्य सेवा और बीमा: मेडिकल पहचान की चोरी से अनुपालन आवश्यकताओं और रोगी सुरक्षा जोखिमों दोनों का सामना करते हैं
• सरकारी और क्रिटिकल इन्फ्रास्ट्रक्चर: परिष्कृत स्पीयर-फ़िशिंग अभियानों के साथ राष्ट्र-राज्य के हमलावरों द्वारा लक्षित

इन संगठनों के लिए, तत्काल कार्रवाई महत्वपूर्ण है, लेकिन सफलता के लिए अभी भी एक व्यवस्थित, क्रमिक रोलआउट दृष्टिकोण की आवश्यकता है। आज ही शुरू करें, लेकिन उच्च अडॉप्शन सुनिश्चित करने और उपयोगकर्ता लॉकआउट से बचने के लिए रणनीतिक रूप से रोल आउट करें।

5.2 क्रमिक रोलआउट रणनीति#

एक छोटे उपसमूह के साथ शुरू करें: अपने पासवर्डलेस संक्रमण की शुरुआत उन उपयोगकर्ताओं से करें जो लगातार पासकी के उपयोग को प्रदर्शित करते हैं। ये शुरुआती अपनाने वाले आपको व्यापक परिनियोजन से पहले संभावित मुद्दों की पहचान करने में मदद करेंगे।

उपयोगकर्ता व्यवहार पैटर्न का विश्लेषण करें:

• लॉगिन आवृत्ति और उपयोग की जाने वाली विधियाँ
• डिवाइस के प्रकार और पासकी संगतता
• विफल ऑथेंटिकेशन प्रयास
• रिकवरी फ्लो का उपयोग
• क्रॉस-डिवाइस ऑथेंटिकेशन पैटर्न

इन पैटर्नों के आधार पर पासवर्ड निष्क्रिय करने के पात्र उपयोगकर्ता:

• लगातार पासकी के माध्यम से ऑथेंटिकेट करते हैं - यह दर्शाता है कि वे तकनीक के साथ सहज हैं
• कई डिवाइसों में पासकी का उपयोग करते हैं - यह दर्शाता है कि उनके पास बैकअप एक्सेस तरीके हैं
• पिछले 30-60 दिनों में पासवर्ड या रिकवरी फ्लो का उपयोग नहीं किया है - यह दर्शाता है कि वे पासवर्ड-आधारित ऑथेंटिकेशन पर निर्भर नहीं हैं

6. Corbado कैसे मदद कर सकता है#

Corbado ऊपर वर्णित पासवर्डलेस सफर के सभी चार चरणों में संगठनों का मार्गदर्शन करने के लिए एक व्यापक प्लेटफॉर्म प्रदान करता है। प्रारंभिक पासकी कार्यान्वयन से लेकर पासवर्ड को पूरी तरह से समाप्त करने तक, Corbado का समाधान तकनीकी जटिलता को संभालता है और सफल उपयोगकर्ता अडॉप्शन के लिए आवश्यक उपकरण प्रदान करता है।

चरण 1 और 2 का समर्थन: Corbado मौजूदा ऑथेंटिकेशन स्टैक के साथ सहज पासकी एकीकरण, अडॉप्शन दरों को अधिकतम करने वाले बुद्धिमान संकेत और पासकी निर्माण और उपयोग पैटर्न को ट्रैक करने के लिए विस्तृत एनालिटिक्स प्रदान करता है। प्लेटफॉर्म की Passkey Intelligence सुविधा डिवाइस की क्षमताओं और उपयोगकर्ता के व्यवहार के आधार पर उपयोगकर्ता अनुभव को स्वचालित रूप से अनुकूलित करती है, जिससे सुचारू ऑनबोर्डिंग सुनिश्चित होती है।

चरण 3 और 4 कार्यान्वयन: उन संगठनों के लिए जो पासवर्ड को पूरी तरह से हटाने के लिए तैयार हैं, Corbado सुरक्षित, फ़िशिंग-प्रतिरोधी रिकवरी फ्लो को बनाए रखते हुए उपयोगकर्ता की तत्परता के आधार पर क्रमिक पासवर्ड निष्क्रियता को सक्षम बनाता है।

क्रॉस-प्लेटफ़ॉर्म संगतता, फॉलबैक तंत्र और उपयोगकर्ता अनुभव अनुकूलन को संभालकर, Corbado पासवर्डलेस परिवर्तन को वर्षों से महीनों तक तेज करता है, जिससे संगठनों को फ़िशिंग-प्रतिरोधी ऑथेंटिकेशन प्राप्त करते हुए अपने मुख्य व्यवसाय पर ध्यान केंद्रित करने की अनुमति मिलती है।

निष्कर्ष#

वास्तविक पासवर्डलेस ऑथेंटिकेशन का सफर उन दो महत्वपूर्ण सवालों का जवाब देता है जो हमने शुरुआत में उठाए थे:

पूर्ण सुरक्षा के लिए अकेले पासकी क्यों पर्याप्त नहीं हैं? क्योंकि सुरक्षा केवल अपनी सबसे कमजोर कड़ी जितनी ही मजबूत होती है। जब तक पासवर्ड उपलब्ध रहते हैं, यहाँ तक कि फॉलबैक के रूप में भी, हमलावर बस उन्हें फ़िशिंग, क्रेडेंशियल स्टफिंग या डाउनग्रेड हमलों के माध्यम से निशाना बनाने के लिए आगे बढ़ेंगे। आपके सिस्टम का हर पासवर्ड पासकी के फ़िशिंग-प्रतिरोधी लाभों को कमजोर करता है।

अकाउंट रिकवरी को छिपा हुआ जोखिम क्या बनाता है? रिकवरी फ्लो अक्सर भूले हुए बैकडोर होते हैं। जैसा कि MGM रिसॉर्ट्स और Okta ब्रीच ने प्रदर्शित किया, हमलावर तेजी से SMS OTP या ईमेल मैजिक लिंक जैसे कमजोर रिकवरी तरीकों का फायदा उठाकर मजबूत पासकी कार्यान्वयन को दरकिनार करते हैं। यह एक स्टील का दरवाजा लगाने और खिड़कियां खुली छोड़ने जैसा है।

वास्तविक पासवर्डलेस सुरक्षा के लिए पूरे सफर को पूरा करने की आवश्यकता है: पासकी लागू करना, अडॉप्शन बढ़ाना, पासवर्ड को पूरी तरह से हटाना और रिकवरी फ्लो को फ़िशिंग-प्रतिरोधी तरीकों से सुरक्षित करना। केवल रिकवरी प्रक्रियाओं में छिपे दरवाजों सहित पासवर्ड के सभी दरवाजों को बंद करके ही, संगठन वास्तव में सुरक्षित ऑथेंटिकेशन प्राप्त कर सकते हैं।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

अक्सर पूछे जाने वाले प्रश्न#

पासवर्डलेस रोलआउट में, कौन से संकेत यह बताते हैं कि उपयोगकर्ता पासवर्ड हटाने के लिए तैयार है?#

उपयोगकर्ता पासवर्ड हटाने के लिए तब योग्य होते हैं जब वे कई डिवाइसों पर पासकी के जरिए लगातार ऑथेंटिकेट करते हैं और उन्होंने पिछले 30 से 60 दिनों में पासवर्ड या रिकवरी फ्लो का उपयोग नहीं किया है। इस समूह के साथ पासवर्ड हटाना शुरू करने से जोखिम कम होता है और बड़े पैमाने पर लागू करने से पहले समस्याओं को सामने लाने में मदद मिलती है। चरण 3 का लक्ष्य है कि 30% या उससे अधिक योग्य उपयोगकर्ता स्वेच्छा से पासवर्ड हटा दें।

जब बैकअप पासकी उपलब्ध न हो, तो अकाउंट रिकवरी के लिए कौन से फ़िशिंग-प्रतिरोधी विकल्प मौजूद हैं?#

चार फ़िशिंग-प्रतिरोधी रिकवरी विकल्प मौजूद हैं: सेकेंडरी डिवाइस पर बैकअप पासकी, हार्डवेयर सिक्योरिटी की (भौतिक FIDO2 टोकन), डिजिटल क्रेडेंशियल API (एक W3C मानक जो अभी भी उभर रहा है) और लाइवनेस डिटेक्शन के साथ पहचान दस्तावेज़ सत्यापन। पारंपरिक SMS OTP और ईमेल मैजिक लिंक अभी भी फ़िशिंग, SIM स्वैपिंग और मैन-इन-द-मिडल हमलों के प्रति संवेदनशील हैं, जो उन्हें सुरक्षित रिकवरी फ्लो के लिए अपर्याप्त बनाते हैं।

मजबूत प्राइमरी ऑथेंटिकेशन होने के बावजूद MGM रिसॉर्ट्स ब्रीच सफल क्यों हुआ?#

2023 का MGM रिसॉर्ट्स ब्रीच प्राइमरी लॉगिन सिस्टम की बजाय सोशल इंजीनियरिंग के जरिए अकाउंट रिकवरी प्रक्रिया को निशाना बनाकर सफल हुआ, जिसने सभी प्राइमरी सुरक्षा उपायों को पूरी तरह से बायपास कर दिया। यह दर्शाता है कि रिकवरी फ्लो को सुरक्षित किए बिना पासकी लागू करना एक महत्वपूर्ण बैकडोर खुला छोड़ देता है, जो एक स्टील का दरवाजा लगाने और खिड़कियां खुली छोड़ने के बराबर है।

पासकी-वैकल्पिक से पूरी तरह से पासवर्ड हटाने की ओर बढ़ने से पहले टीमों को कौन से अडॉप्शन मेट्रिक्स हासिल करने चाहिए?#

चरण 3 में प्रवेश करने से पहले, टीमों को कम से कम एक पासकी के साथ 60% या उससे अधिक सक्रिय उपयोगकर्ताओं, पासकी-सक्षम अकाउंट्स के लिए पासकी का उपयोग करने वाले 80% या उससे अधिक लॉगिन और 2% से कम पासकी निर्माण विफलता दर तक पहुंचना चाहिए। चरण 3 की सफलता को अकाउंट लॉकआउट दर में शून्य वृद्धि के साथ स्वेच्छा से पासवर्ड हटाने वाले 30% या उससे अधिक योग्य उपयोगकर्ताओं द्वारा मापा जाता है।