डिजिटल क्रेडेंशियल और पासकीज़: समानताएं और अंतर

• 🔑 पासकीज़: सुरक्षित लॉगिन के लिए। वे साबित करते हैं कि आप कौन हैं (प्रमाणीकरण) और phishing से प्रभावी ढंग से लड़ते हैं।
• 📄 डिजिटल क्रेडेंशियल: सत्यापन योग्य प्रमाण के लिए। वे आपके बारे में तथ्य साबित करते हैं (सत्यापन, जैसे, आपकी आईडी, कौशल), और आप नियंत्रित करते हैं कि क्या साझा किया जाए।
• 🤝 वे कैसे समान हैं: दोनों पासवर्ड की तुलना में बेहतर सुरक्षा और एक सहज उपयोगकर्ता अनुभव के लिए मजबूत क्रिप्टोग्राफी का उपयोग करते हैं।
• 🎯 वे कैसे अलग हैं: Passkeys मुख्य रूप से सेवाओं तक पहुंचने के लिए हैं। Digital Credentials आपके बारे में सत्यापित जानकारी प्रदान करने के लिए हैं।

डिजिटल परिदृश्य तेजी से बदल रहा है। यह बदलाव न केवल इसलिए हो रहा है क्योंकि पारंपरिक पासवर्ड और साझा रहस्य लगातार विफल हो रहे हैं, बल्कि इसलिए भी कि phishing और AI-संचालित डीपफेक जैसे हमले बहुत बेहतर और पहचानने में कठिन होते जा रहे हैं। ये उन्नत खतरे सावधान उपयोगकर्ताओं को भी धोखा दे सकते हैं और पहचान की जांच के पुराने तरीकों को अविश्वसनीय बना सकते हैं। यह स्पष्ट रूप से दिखाता है कि डिजिटल क्रिप्टोग्राफ़िक प्रमाण ही किसी की पहचान की पुष्टि करने का एकमात्र वास्तव में सुरक्षित तरीका है। इस कठिन स्थिति में, हमें ऑनलाइन बातचीत करने के लिए अधिक सुरक्षित, उपयोगकर्ता-अनुकूल और क्रिप्टोग्राफ़िक रूप से सत्यापन योग्य तरीकों की तत्काल आवश्यकता है। इस आवश्यकता ने दो प्रमुख तकनीकों को महत्वपूर्ण बना दिया है: पासकीज़, जो पहले से ही व्यापक रूप से उपयोग की जाती हैं, और डिजिटल क्रेडेंशियल, जो अभी शुरू हो रही हैं। ये प्रौद्योगिकियां उन दावों पर निर्भर नहीं करती हैं जिन्हें मनुष्य जांचते हैं - जिन्हें नकली बनाना आसान होता जा रहा है - बल्कि वास्तविक विश्वास बनाने के लिए मशीन-सत्यापन योग्य क्रिप्टोग्राफ़िक प्रमाण का उपयोग करती हैं।

2023-2025 के दौरान पासकीज़ के उपयोग में एक बड़ी छलांग देखी गई, जिसका श्रेय Apple, Google और Microsoft जैसी प्रमुख कंपनियों के मजबूत समर्थन और FIDO Alliance को जाता है। ठोस W3C WebAuthn मानक के आधार पर, पासकीज़ कमजोर, साझा रहस्यों से एक बुनियादी बदलाव हैं। पासवर्ड के बजाय, वे सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करते हैं। यहां, उपयोगकर्ता के डिवाइस पर सुरक्षित रूप से संग्रहीत एक निजी कुंजी, relying party (RP) से चुनौतियों पर हस्ताक्षर करती है। यह साबित करता है कि उपयोगकर्ता के पास कुंजी है, बिना कुंजी को दिखाए।

यह क्रिप्टोग्राफी पासकीज़ को फ़िशिंग के लिए बहुत कठिन बना देती है—एक बड़ा प्लस, क्योंकि phishing हमले और मुश्किल होते जा रहे हैं, कभी-कभी अधिक वास्तविक दिखने के लिए डीपफेक का उपयोग करते हैं। चूँकि एक पासकी उस विशिष्ट वेबसाइट या ऐप से जुड़ी होती है जिसके लिए इसे बनाया गया था, उपयोगकर्ता गलती से इसे नकली साइटों पर उपयोग नहीं कर सकते हैं। यह पुराने लॉगिन तरीकों के साथ एक आम समस्या है जो इस तरह के उन्नत तरकीबों के लिए खुले हैं। पासकीज़ पासवर्ड के पुन: उपयोग और डेटा उल्लंघनों के बाद credential stuffing के खतरों को भी रोकती हैं। सुरक्षा से कहीं बढ़कर, पासकीज़ लॉगिन करने को बहुत बेहतर बनाती हैं: यह तेज़ है, अक्सर केवल एक बायोमेट्रिक स्कैन (जैसे फेस आईडी या फिंगरप्रिंट) की आवश्यकता होती है, इसलिए उपयोगकर्ताओं को लंबे पासवर्ड याद रखने या टाइप करने की आवश्यकता नहीं होती है। बेहतर सुरक्षा और उपयोग में आसानी के इस मिश्रण ने उन्हें जल्दी लोकप्रिय बना दिया है।

उसी समय, डिजिटल क्रेडेंशियल, जो अक्सर डिजिटल पहचान wallets में रखे जाते हैं, के बारे में बहुत अधिक बात की जाने लगी है। EU डिजिटल पहचान Wallet (EUDI Wallet) इस प्रवृत्ति का एक अच्छा उदाहरण है।

पासकीज़ के विपरीत, जो मुख्य रूप से प्रमाणीकरण के लिए हैं (यह साबित करना कि आप कौन हैं, यह दिखाकर कि आप एक निजी कुंजी को नियंत्रित करते हैं), डिजिटल क्रेडेंशियल (W3C Verifiable Credentials (VCs) या ISO mdocs जैसे मानकों पर आधारित) क्रिप्टोग्राफ़िक रूप से सत्यापन योग्य सत्यापन के बारे में हैं (डिजिटल रूप से हस्ताक्षरित दावों के साथ आपके बारे में क्या सच है यह साबित करना)। इन दावों को दृढ़ता से सत्यापित करने में सक्षम होना महत्वपूर्ण है, खासकर अब जब डीपफेक पारंपरिक सबूतों के विश्वसनीय नकली बना सकते हैं। क्रिप्टोग्राफ़िक जांच के बिना, विशेषज्ञों को भी यह बताना मुश्किल हो सकता है कि क्या वास्तविक है। वे लोगों को डिजिटल रूप से सत्यापित जानकारी ले जाने और दिखाने की अनुमति देते हैं - जैसे कि उनका नाम, जन्म तिथि, ड्राइवर का लाइसेंस, शिक्षा, या नौकरी के प्रमाण पत्र - एक ऐसे तरीके से जो क्रिप्टोग्राफ़िक रूप से सुरक्षित है, गोपनीयता का सम्मान करता है (उपयोगकर्ताओं को केवल वही साझा करने की अनुमति देकर जो आवश्यक है), और मशीनों द्वारा जांचा जा सकता है।

इन दोनों प्रौद्योगिकियों का उदय कोई संयोग नहीं है। यह उद्योग में केंद्रीकृत, पासवर्ड-आधारित पहचान प्रणालियों से क्रिप्टोग्राफ़िक विश्वास पर बने अधिक विकेन्द्रीकृत, उपयोगकर्ता-केंद्रित मॉडल की ओर एक व्यापक बदलाव को दर्शाता है। पासवर्ड ऑनलाइन सुरक्षा में एक ज्ञात कमजोर स्थान हैं। पहचान विवरण साझा करने के पुराने तरीके अक्सर बोझिल, असुरक्षित होते हैं, या बहुत अधिक डेटा साझा करते हैं, जिससे user privacy को नुकसान होता है। पासकीज़ सीधे प्रमाणीकरण की कमजोरी को ठीक करती हैं। डिजिटल क्रेडेंशियल सुरक्षित रूप से और उपयोगकर्ता नियंत्रण के साथ विशेषताओं को साझा करने से निपटते हैं। दोनों समान क्रिप्टोग्राफी का उपयोग करते हैं और तेजी से प्लेटफ़ॉर्म एकीकरण और सुरक्षित हार्डवेयर पर निर्भर करते हैं, जो हमारी डिजिटल पहचान प्रणालियों को बहुत बेहतर बनाने के लिए एक संयुक्त प्रयास दिखाते हैं।

जबकि पासकीज़ "लॉगिन" को संभालती हैं और डिजिटल क्रेडेंशियल "विशेषताओं को साबित करने" को संभालते हैं, वे समान क्रिप्टोग्राफ़िक मूल सिद्धांतों का उपयोग करते हैं और विश्वसनीय डिजिटल इंटरैक्शन स्थापित करने में पूरक भूमिका निभाते हैं। यह कुछ ऐसा है जिसकी हमें वास्तव में आवश्यकता है, क्योंकि मुश्किल फ़िशिंग और डीपफेक जैसे मौजूदा खतरे पहचान की जाँच के पुराने, गैर-क्रिप्टोग्राफ़िक तरीकों को असुरक्षित बनाते हैं। यह हमें मुख्य प्रश्न पर लाता है: पासकीज़ और डिजिटल क्रेडेंशियल कैसे जुड़ते हैं, और वे रोजमर्रा की उपयोगकर्ता स्थितियों में एक साथ कैसे काम कर सकते हैं?

यह लेख इस तालमेल की पड़ताल करता है। हम उनके अंतर और समानताओं, उन्हें सक्षम करने वाले प्रोटोकॉल, सुरक्षित हार्डवेयर पर उनकी साझा निर्भरता, और वे उपयोगकर्ता ऑनबोर्डिंग, step-up authentication के साथ लॉगिन, और डिवाइस माइग्रेशन जैसे परिदृश्यों में कैसे इंटरलॉक हो सकते हैं, की जांच करेंगे। हम यह भी बताएंगे कि Digital Credentials API जैसे उभरते ब्राउज़र मानक इन दुनियाओं को कैसे पाटने का लक्ष्य रखते हैं। यह लेख विशेष रूप से इन प्रौद्योगिकियों के बीच अंतःक्रिया पर केंद्रित है, जो पहले से उपलब्ध Digital Credentials API के अधिक गहन तकनीकी अन्वेषण का पूरक है।

यह समझने के लिए कि पासकीज़ और डिजिटल क्रेडेंशियल एक साथ कैसे काम कर सकते हैं, पहले उनकी विशिष्ट विशेषताओं और उनके आधारभूत तकनीकी परतों को समझना आवश्यक है।

निम्नलिखित तालिका एक उच्च-स्तरीय तुलना प्रदान करती है:

यह तुलना इस बात पर प्रकाश डालती है कि यद्यपि दोनों विश्वास के लिए क्रिप्टोग्राफी का लाभ उठाते हैं, उनके प्राथमिक कार्य और विशिष्ट उपयोग पैटर्न काफी भिन्न हैं। पासकीज़ लगातार, सुरक्षित प्रमाणीकरण के लिए अनुकूलित हैं, जबकि डिजिटल क्रेडेंशियल उपयोगकर्ता की सहमति से सत्यापन योग्य विशेषताएँ प्रदान करने में उत्कृष्टता प्राप्त करते हैं।

पासकीज़ को कई प्रमुख मानकों की सहभागिता के माध्यम से जीवंत किया जाता है:

• WebAuthn (Web Authentication): यह W3C standard उस जावास्क्रिप्ट API को परिभाषित करता है जिसका उपयोग वेब एप्लिकेशन पासकीज़ को पंजीकृत करने (navigator.credentials.create()) और प्रमाणित करने (navigator.credentials.get()) के लिए authenticators के साथ इंटरैक्ट करने के लिए करते हैं। यह Relying Party के वेब एप्लिकेशन और उपयोगकर्ता के ब्राउज़र या ऑपरेटिंग सिस्टम के बीच एक सेतु का काम करता है। WebAuthn W3C के सामान्य Credential Management API का विस्तार करता है।

• CTAP (Client to Authenticator Protocol): FIDO Alliance द्वारा परिभाषित, CTAP यह निर्दिष्ट करता है कि क्लाइंट (ब्राउज़र या OS) authenticator डिवाइस के साथ कैसे संचार करता है। यह डिवाइस में अंतर्निहित एक platform authenticator हो सकता है (एक TPM या Secure Enclave जैसे सुरक्षित हार्डवेयर का उपयोग करके) या एक रोमिंग authenticator जैसे USB security key या यहां तक कि किसी अन्य डिवाइस के लिए authenticator के रूप में कार्य करने वाला फ़ोन भी। CTAP2 FIDO2 और पासकीज़ के साथ संरेखित संस्करण है, जो USB, NFC, और ब्लूटूथ लो Energy (BLE) जैसे विभिन्न ट्रांसपोर्ट का समर्थन करता है।

• एडवांस्ड ट्रस्ट सिग्नल और डिवाइस बाइंडिंग (सिंक्ड पासकीज़ के लिए विचार): जैसे-जैसे पासकीज़ डिवाइसों के बीच सिंक करने योग्य ("मल्टी-डिवाइस क्रेडेंशियल") बनने के लिए विकसित हुईं, रिलाइंग पार्टीज़ (RPs) को कभी-कभी जोखिम मूल्यांकन के लिए प्रमाणीकरण के दौरान उपयोग किए गए विशिष्ट भौतिक डिवाइस की पहचान करने की आवश्यकता होती है। शुरुआती विचार, जैसे devicePubKey और supplementalPubKeys एक्सटेंशन, ने इसे हल करने की कोशिश की लेकिन बाद में उन्हें छोड़ दिया गया। FIDO Alliance का ट्रस्ट सिग्नल वर्किंग ग्रुप अब प्रतिस्थापन विकसित कर रहा है। यहां मुख्य विचार यह है कि एक synced passkey वाला एक ऑथेंटिकेटर भी एक दूसरी कुंजी जोड़ी बना और उपयोग कर सकता है जो डिवाइस से बंधी हो। प्रमाणीकरण के दौरान, ऑथेंटिकेटर तब मुख्य सिंक की गई कुंजी और इस दूसरी डिवाइस-बाध्य कुंजी दोनों से हस्ताक्षर प्रदान कर सकता है। यह RPs को एक विशिष्ट विश्वसनीय डिवाइस को पहचानने देगा। इसका मतलब कम घर्षण हो सकता है (जैसे, अतिरिक्त चुनौतियों को छोड़ना) भले ही मुख्य पासकी कई डिवाइसों में सिंक हो, सिंक की गई पासकीज़ के मुख्य लाभ को खोए बिना: डिवाइसों में उपयोगिता। जबकि इसके लिए अभी तक कोई अंतिम मानक नहीं है, ऐसी सुविधा उच्च आश्वासन की आवश्यकता वाले RPs के लिए एक प्रमुख आवश्यकता को पूरा करेगी, जिससे वे नए डिवाइस के उपयोग को बेहतर ढंग से पहचान सकेंगे या आंतरिक Strong Customer Authentication (SCA) नियमों को पूरा कर सकेंगे।

इसी तरह, digital credential इकोसिस्टम कार्य करने के लिए प्रोटोकॉल और उभरते API के एक सेट पर निर्भर करता है:

• Digital Credentials API: यह एक emerging W3C specification effort है जिसका उद्देश्य navigator.credentials.get() API का विस्तार करना है ताकि वेब एप्लिकेशन एक मानकीकृत तरीके से उपयोगकर्ता के digital wallet से Verifiable Credentials का अनुरोध कर सकें। यह WebAuthn के समान उद्देश्य को पूरा करता है लेकिन पासकीज़ के बजाय VCs पर केंद्रित है।
• OpenID for Verifiable Presentations (OpenID4VP): यह एक प्रोटोकॉल को परिभाषित करता है, जो OAuth 2.0 पर बनाया गया है, कि कैसे एक Verifier (क्रेडेंशियल का अनुरोध करने वाला RP) एक धारक के Wallet से VCs का अनुरोध कर सकता है। मुख्य तत्वों में presentation_definition (आवश्यक क्रेडेंशियल और दावों को निर्दिष्ट करना), एक प्राधिकरण सर्वर के रूप में कार्य करने वाला वॉलेट, और vp_token शामिल है जो Verifiable Presentation को Verifier को वापस ले जाता है।
• OpenID for Verifiable Credential Issuance (OpenID4VCI): OpenID4VP के पूरक, यह मानकीकृत करता है कि कैसे एक Issuer एक धारक के वॉलेट में VCs वितरित करता है, फिर से OAuth 2.0 तंत्र का उपयोग करके। इसमें क्रेडेंशियल ऑफ़र, पूर्व-अधिकृत या प्राधिकरण कोड प्रवाह, और समर्पित क्रेडेंशियल एंडपॉइंट जैसी अवधारणाएँ शामिल हैं।
• ISO मानक (जैसे, ISO/IEC 18013-7, ISO/IEC 23220): ये अंतर्राष्ट्रीय मानक विशेष रूप से मोबाइल ड्राइविंग लाइसेंस (mDLs) और अन्य प्रकार के मोबाइल दस्तावेज़ों (mdoc) के लिए महत्वपूर्ण हैं। ISO 18013-5 मुख्य mDL डेटा संरचना और ऑफ़लाइन प्रस्तुति (NFC, BLE) को परिभाषित करता है, जबकि ISO 18013-7 और 23220 ऑनलाइन प्रस्तुति तंत्र निर्दिष्ट करते हैं, जिसमें REST API और OpenID4VP (18013-7 का अनुलग्नक B) के साथ एकीकरण प्रोफाइल शामिल हैं। Google Wallet और Apple Wallet जैसे प्लेटफ़ॉर्म इन ISO मानकों का लाभ उठाते हैं।

उनके विभिन्न उद्देश्यों और प्रोटोकॉल के बावजूद, पासकीज़ और डिजिटल क्रेडेंशियल मौलिक बिल्डिंग ब्लॉक्स साझा करते हैं:

• असममित क्रिप्टोग्राफी: दोनों सार्वजनिक-निजी कुंजी जोड़े पर बहुत अधिक निर्भर करते हैं। पासकीज़ प्रमाणीकरण के दौरान कब्जे को साबित करने के लिए निजी कुंजी का उपयोग करते हैं। डिजिटल क्रेडेंशियल issuer's की निजी कुंजी का उपयोग क्रेडेंशियल पर हस्ताक्षर करने के लिए करते हैं, इसकी प्रामाणिकता और अखंडता सुनिश्चित करते हैं, और धारक क्रेडेंशियल युक्त प्रस्तुति पर हस्ताक्षर करने के लिए अपनी निजी कुंजी का उपयोग कर सकता है।
• सुरक्षित हार्डवेयर: निजी कुंजियों की सुरक्षा सर्वोपरि है। दोनों प्रौद्योगिकियां आधुनिक उपकरणों में एकीकृत सुरक्षित हार्डवेयर घटकों से अत्यधिक लाभान्वित होती हैं:
• TPM (Trusted Platform Module): लैपटॉप और डेस्कटॉप में अक्सर पाया जाने वाला एक समर्पित चिप, जो सुरक्षित कुंजी निर्माण, भंडारण और क्रिप्टोग्राफ़िक संचालन प्रदान करता है। इसका उपयोग आमतौर पर Windows Hello जैसे प्लेटफ़ॉर्म authenticators द्वारा किया जाता है।
• Secure Enclave: Apple का हार्डवेयर-आधारित कुंजी प्रबंधक, iPhones, iPads और Macs पर मुख्य प्रोसेसर से अलग, पासकी निजी कुंजियों सहित संवेदनशील डेटा की सुरक्षा के लिए उपयोग किया जाता है।
• Android Keystore System / StrongBox Keymaster: Android एक हार्डवेयर-समर्थित कीस्टोर प्रदान करता है, जिसे अक्सर एक समर्पित सुरक्षित प्रोसेसर (StrongBox Keymaster) का उपयोग करके कार्यान्वित किया जाता है, जो Android उपकरणों पर क्रिप्टोग्राफ़िक कुंजियों के लिए मजबूत सुरक्षा प्रदान करता है। जबकि कुछ पासवर्ड प्रबंधक "Strongbox" नाम का उपयोग करते हैं, OS द्वारा प्रदान किया गया अंतर्निहित सुरक्षित हार्डवेयर तत्व यहां मुख्य प्रवर्तक है।

पासकी संचालन और संभावित रूप से डिजिटल wallets के भीतर निजी कुंजियों को सुरक्षित करने के लिए एक ही सुरक्षित हार्डवेयर तत्वों (TPM, Secure Enclave, Android's हार्डवेयर-समर्थित कीस्टोर) का उपयोग महत्वपूर्ण तालमेल बनाता है। प्लेटफ़ॉर्म को प्रत्येक फ़ंक्शन के लिए अलग-अलग सुरक्षित चिप्स की आवश्यकता नहीं होती है। इसके बजाय, वे प्रमाणीकरण क्रेडेंशियल (पासकीज़) और attestation क्रेडेंशियल (VCs) दोनों की मजबूती से सुरक्षा के लिए एक एकल, मजबूत हार्डवेयर आधार और संबंधित ऑपरेटिंग सिस्टम API (जैसे Android कीस्टोर या Apple के Secure Enclave के लिए) का उपयोग कर सकते हैं। यह विकास को आसान बनाता है, सुरक्षा स्थिरता में सुधार करता है, और मौजूदा प्लेटफ़ॉर्म निवेशों का अच्छी तरह से उपयोग करता है।

इसके अलावा, ब्राउज़र का क्रेडेंशियल मैनेजमेंट API (navigator.credentials) एक प्रमुख आयोजन परत है। पहले पासकीज़ के लिए WebAuthn द्वारा विस्तारित, अब इसे VCs के लिए Digital Credentials API द्वारा और विस्तारित किया जा रहा है। यह एक स्पष्ट योजना की ओर इशारा करता है: RPs को विभिन्न क्रेडेंशियल्स का अनुरोध करने का एक मुख्य तरीका दें, और उपयोगकर्ताओं को उन्हें चुनने का एक परिचित तरीका दें (जैसे Android's क्रेडेंशियल मैनेजर या अंतर्निहित ब्राउज़र पासवर्ड मैनेजर के माध्यम से)। यह CTAP, OID4VP, और ISO जैसे प्रोटोकॉल के जटिल तकनीकी विवरणों को छिपाएगा, जिससे डेवलपर्स और उपयोगकर्ताओं के लिए चीजें आसान हो जाएंगी।

एक Relying Party (RP) के दृष्टिकोण से, सुरक्षा बढ़ाने, उपयोगकर्ता अनुभव में सुधार करने और नियामक आवश्यकताओं को पूरा करने के लिए पासकीज़ और डिजिटल क्रेडेंशियल को प्रभावी ढंग से कैसे एकीकृत और उपयोग किया जाए, यह समझना महत्वपूर्ण है। यह खंड विश्लेषण करता है कि RPs इन प्रौद्योगिकियों को विभिन्न सामान्य परिदृश्यों और पारिस्थितिक तंत्रों में कैसे तैनात कर सकते हैं।

पासकीज़ और डिजिटल क्रेडेंशियल के लिए इष्टतम एकीकरण रणनीति विशिष्ट उपयोग के मामले और उससे जुड़े जोखिम प्रोफाइल और आवश्यकताओं के आधार पर काफी भिन्न होती है। निम्नलिखित तालिका सामान्य परिदृश्यों में एक उच्च-स्तरीय तुलना प्रदान करती है:

इकोसिस्टम परिदृश्य तुलना

संकेत:

• VC भूमिका 🆔: मुख्य इंटरैक्शन के दौरान भूमिका का वर्णन करता है, यह स्वीकार करते हुए कि VCs का उपयोग अक्सर परिदृश्यों में प्रारंभिक ऑनबोर्डिंग/KYC के लिए किया जाता है।
• डिवाइस बाइंडिंग? 🔗: मानक पासकी मूल बाइंडिंग से परे स्पष्ट डिवाइस बाइंडिंग की आवश्यकता को संदर्भित करता है, जो विशेष रूप से सिंक की गई पासकीज़ के लिए प्रासंगिक है।
• EU EUDI वॉलेट मैंडेट*: यह परिदृश्य आगामी eIDAS 2 विनियमन के तहत आवश्यकताओं को दर्शाता है, जिसके अंतिम कार्यान्वयन अधिनियमों के लागू होने के ~36 महीने बाद लागू होने की उम्मीद है (संभवतः 2020 के दशक के अंत में)।

यह तुलना एक त्वरित अवलोकन प्रदान करती है; निम्नलिखित खंड RP के एकीकरण दृष्टिकोण से प्रत्येक परिदृश्य की बारीकियों में तल्लीन हैं।

• लक्ष्य: अच्छी आधारभूत सुरक्षा के साथ तेज़, कम-घर्षण वाली पहुँच।
• संभावित प्रवाह:
• प्राथमिक प्रमाणीकरण: पासकीज़ का प्रभुत्व होगा। उनका फ़िशिंग प्रतिरोध और सहज UX (अक्सर सिर्फ एक बायोमेट्रिक/पिन) उन्हें लगातार लॉगिन परिदृश्यों में पासवर्ड बदलने के लिए आदर्श बनाता है।
• डिजिटल क्रेडेंशियल भूमिका: कोर लॉगिन के लिए न्यूनतम। VCs का उपयोग वैकल्पिक रूप से लॉगिन के बाद विशिष्ट कार्यों के लिए किया जा सकता है जैसे आयु सत्यापन (जैसे, प्रतिबंधित सामान खरीदना), सत्यापित विशेषताओं के आधार पर वैयक्तिकरण (जैसे, वफादारी की स्थिति), या प्रारंभिक साइनअप के दौरान त्वरित प्रोफ़ाइल पूर्णता।
• अंतःक्रिया: पासकी कोर लॉगिन को संभालती है; VCs वैकल्पिक, विशेषता-आधारित इंटरैक्शन के लिए आरक्षित हैं।

• लक्ष्य: उच्च आश्वासन लॉगिन और, जहां आवश्यक हो, सत्यापित पहचान assertion।
• संभावित प्रवाह:
• स्व-निहित 2FA/MFA के रूप में पासकीज़: पासकीज़ स्वाभाविक रूप से two-factor authentication आवश्यकताओं को पूरा करती हैं जब लॉगिन समारोह के दौरान user verification (पिन/बायोमेट्रिक) होता है। वे जोड़ती हैं:
• कब्जा: निजी कुंजी पर नियंत्रण का प्रमाण।
• ज्ञान/स्वाभाविक गुण: पिन या बायोमेट्रिक्स के माध्यम से user verification। यह passkey login को ही एक मजबूत, फ़िशिंग-प्रतिरोधी MFA विधि बनाता है, जो कई उच्च-आश्वासन परिदृश्यों के लिए पर्याप्त है, बिना केवल 2FA प्राप्त करने के लिए एक अलग दूसरे चरण की आवश्यकता के।
• पहचान सत्यापन के लिए स्टेप-अप (एक बार): डिजिटल क्रेडेंशियल के साथ एक अतिरिक्त चरण की मुख्य आवश्यकता तब होती है जब सेवा को केवल एक लौटने वाले उपयोगकर्ता को प्रमाणित करने से परे स्पष्ट रूप से पहचान सत्यापित करनी होती है। इस तरह की मजबूत, क्रिप्टोग्राफ़िक जाँच तब महत्वपूर्ण होती है जब डीपफेक दृश्य या दस्तावेज़-आधारित आईडी को विश्वसनीय रूप से नकली बना सकते हैं। केवल एक विश्वसनीय स्रोत से डिजिटल क्रिप्टोग्राफ़िक प्रमाण ही किसी विशेषता की मज़बूती से पुष्टि कर सकता है। इसकी आवश्यकता हो सकती है:
• प्रारंभिक ऑनबोर्डिंग के दौरान।
• पुष्टि की गई पहचान विशेषताओं की आवश्यकता वाले विशिष्ट उच्च-जोखिम वाले कार्यों के लिए। इन मामलों में, RP passkey login के बाद उपयोगकर्ता के वॉलेट से एक विशिष्ट Verifiable Credential (जैसे, एक PID, राष्ट्रीय आईडी क्रेडेंशियल) प्रस्तुति का अनुरोध करता है।
• रिकवरी के लिए पहचान: एक बार जब किसी उपयोगकर्ता की पहचान को दृढ़ता से सत्यापित कर लिया जाता है (जैसे, एक VC प्रस्तुति स्टेप-अप के माध्यम से), तो इस सत्यापित पहचान जानकारी का उपयोग सुरक्षित खाता पुनर्प्राप्ति प्रवाह में किया जा सकता है। उदाहरण के लिए, यदि कोई उपयोगकर्ता अपने सभी पासकी authenticators खो देता है, तो एक उच्च-आश्वासन पहचान क्रेडेंशियल प्रस्तुत करना पहुँच पुनः प्राप्त करने और नई पासकीज़ नामांकित करने की प्रक्रिया का हिस्सा हो सकता है।
• अंतःक्रिया: पासकीज़ प्रमाणीकरण के लिए मजबूत, स्व-निहित 2FA/MFA प्रदान करती हैं। VCs का उपयोग रणनीतिक रूप से स्पष्ट पहचान सत्यापन के लिए किया जाता है जब आवश्यक हो, और यह सत्यापित पहचान सुरक्षित खाता पुनर्प्राप्ति तंत्र का भी समर्थन कर सकती है।

• लक्ष्य: सुव्यवस्थित, सुरक्षित चेकआउट या payment आरंभ, उपयोगकर्ता घर्षण को कम करना।
• संभावित प्रवाह:
• भुगतान के लिए प्रमाणीकरण: पासकीज़ उपयोगकर्ता को उनके Payment Service Provider (PSP) खाते (जैसे, PayPal) में प्रमाणित करने के लिए या सीधे merchant's चेकआउट प्रवाह के भीतर आदर्श हैं। यह पासवर्ड की जगह लेता है और payment शुरू करने के लिए एक तेज़, सुरक्षित पुष्टि प्रदान करता है।
• ऑनबोर्डिंग/KYC: VCs PSP या merchant के साथ ऑनबोर्डिंग या खाता सेटअप चरण के दौरान महत्वपूर्ण बने रहते हैं, जो सत्यापित पहचान जानकारी (KYC/AML जाँच) प्रदान करते हैं जो पहली बार में payment क्षमताओं को सक्षम करने के लिए आवश्यक है।
• लेन-देन घर्षण संबंधी चिंताएँ: कोर भुगतान प्राधिकरण प्रवाह के दौरान एक अलग Verifiable Credential प्रस्तुति चरण शुरू करना (एक डिजिटल पहचान वॉलेट के साथ इंटरैक्शन की आवश्यकता) एक सहज पासकी पुष्टि चरण की तुलना में महत्वपूर्ण घर्षण जोड़ देगा। उपयोगकर्ता अनुभव में यह व्यवधान संभवतः conversion rates को नुकसान पहुँचाएगा और इसलिए यह विशिष्ट कम-घर्षण भुगतान परिदृश्यों के लिए अनुपयुक्त है।
• अंतःक्रिया: पासकी भुगतान कार्य के लिए प्रमाणीकरण को सुरक्षित करती है। VCs आवश्यक, अक्सर एक बार की, पहचान प्रूफिंग/KYC को संभालते हैं जो भुगतान खाता स्थापित करने के लिए आवश्यक है, लेकिन उन्हें महत्वपूर्ण, घर्षण-संवेदनशील भुगतान पुष्टि चरण से बाहर रखा जाता है। (भुगतान साधनों के रूप में सीधे डिजिटल क्रेडेंशियल का उपयोग करने का जटिल विषय, जिसमें विभिन्न वॉलेट प्रकार और उभरते ब्राउज़र API ऐसे भुगतान-विशिष्ट VCs को कैसे सक्षम या इंटरैक्ट कर सकते हैं, हमारे आगामी पूरक लेख में विस्तार से खोजा गया है: डिजिटल क्रेडेंशियल और भुगतान।

• लक्ष्य: धोखाधड़ी में एक महत्वपूर्ण कमी के साथ सुरक्षित banking पहुँच, विशेष रूप से फ़िशिंग से संबंधित, विरासत प्रमाणीकरण विधियों से अपग्रेड करके।
• संभावित प्रवाह:
• विरासत MFA को बदलना: कई FI वर्तमान में पासवर्ड के साथ SMS OTP जैसे फ़िशेबल दूसरे कारकों पर निर्भर करते हैं। पासकीज़ एक बहुत बेहतर विकल्प प्रदान करती हैं, जो मजबूत प्रमाणीकरण प्रदान करती हैं जो एक ही उपयोगकर्ता के इशारे में फ़िशिंग के लिए स्वाभाविक रूप से प्रतिरोधी है।
• पासकीज़ के साथ प्राथमिक लॉगिन: प्राथमिक लॉगिन के लिए पासकीज़ को अपनाना उनके फ़िशिंग प्रतिरोध के कारण तुरंत सुरक्षा बढ़ाता है। पासकीज़ की क्रिप्टोग्राफ़िक प्रकृति सबसे आम हमले के वैक्टर को कम करती है जो पारंपरिक क्रेडेंशियल्स को परेशान करते हैं।
• जोखिम-आधारित स्टेप-अप - डिवाइस सिग्नल का सावधानीपूर्वक विचार: उच्च-जोखिम वाले कार्यों (जैसे, बड़े हस्तांतरण, संपर्क विवरण बदलना) के लिए, FI स्टेप-अप सत्यापन पर विचार कर सकते हैं। जबकि पासकीज़ से जुड़े डिवाइस-बाइंडिंग सिग्नल एक विकल्प हैं, उनकी आवश्यकता का सावधानीपूर्वक मूल्यांकन किया जाना चाहिए। प्राथमिक पासकी प्रमाणीकरण का फ़िशिंग प्रतिरोध स्वयं कई जोखिमों को बहुत कम कर देता है।
• परिणाम-आधारित सुरक्षा और धोखाधड़ी में कमी: पासकीज़ द्वारा प्राप्त फ़िशिंग जोखिम में महत्वपूर्ण कमी एक महत्वपूर्ण कारक है। सुरक्षा के लिए एक परिणाम-आधारित दृष्टिकोण, प्रमाणीकरण विधि की ताकत और फ़िशिंग प्रतिरोध पर ध्यान केंद्रित करते हुए, पर्याप्त धोखाधड़ी में कमी ला सकता है। पासकी जैसे फ़िशिंग-प्रतिरोधी कारक का वजन अधिक फ़िशेबल कारकों को जोड़ने की तुलना में काफी अधिक है। पुरानी विधियों से माइग्रेट करते समय यह एक FI की रणनीति के केंद्र में होना चाहिए।
• ऑनबोर्डिंग/पहचान प्रूफिंग के लिए VCs: अन्य परिदृश्यों की तरह, VCs मजबूत प्रारंभिक KYC/AML के लिए और सत्यापित जानकारी का उपयोग करके ग्राहक पहचान विशेषताओं को सुरक्षित रूप से अपडेट करने के लिए आवश्यक बने रहते हैं, जो banking संबंध के लिए एक विश्वसनीय आधार स्थापित करते हैं।
• अंतःक्रिया: पासकीज़ एक शक्तिशाली, फ़िशिंग-प्रतिरोधी प्राथमिक प्रमाणीकरण विधि के रूप में काम करती हैं, जो विरासत प्रणालियों से धोखाधड़ी के जोखिम को काफी कम करती हैं। स्टेप-अप के लिए डिवाइस सिग्नल एक सामरिक विकल्प हैं। पासकीज़ की अंतर्निहित ताकत को एक जोखिम-आधारित सुरक्षा मुद्रा को सूचित करना चाहिए, जो संभावित रूप से अतिरिक्त, कम फ़िशिंग-प्रतिरोधी कारकों पर अधिक निर्भरता को कम करता है। VCs मूलभूत पहचान आश्वासन प्रदान करते हैं।

• लक्ष्य: eIDAS 2 विनियमों (Art 5f) का पालन करना, जिसके लिए विशिष्ट रिलाइंग पार्टीज़ (सार्वजनिक निकाय, विनियमित क्षेत्रों में बड़ी निजी संस्थाएँ, VLOPs) द्वारा EU डिजिटल पहचान वॉलेट की स्वीकृति की आवश्यकता होती है, जो कानूनी रूप से आवश्यक होने पर गोपनीयता-संरक्षण छद्म नाम लॉगिन और उच्च-आश्वासन पहचान/विशेषता सत्यापन दोनों को सक्षम करता है।
• संभावित प्रवाह:
• छद्म नाम लॉगिन (डिफ़ॉल्ट): उपयोगकर्ता लॉगिन शुरू करता है। RP EUDI वॉलेट के माध्यम से प्रमाणीकरण का अनुरोध करता है। वॉलेट उपयोगकर्ता को प्रमाणित करने के लिए अपनी अंतर्निहित "छद्म नाम कुंजी" - डिवाइस के प्रमाणित सुरक्षित तत्व (WSCD) में संग्रहीत एक हार्डवेयर-बाध्य, RP-scoped WebAuthn resident key - का उपयोग करता है। यह मजबूत, SCA-अनुपालन प्रमाणीकरण (कब्जा + user verification) प्रदान करता है, जबकि उपयोगकर्ता की नागरिक पहचान को डिफ़ॉल्ट रूप से छद्म नाम रखता है।
• पहचान/विशेषताओं के लिए स्टेप-अप (कानूनी रूप से आवश्यक): यदि और केवल यदि RP के पास संघ या राष्ट्रीय कानून के तहत एक विशिष्ट कानूनी आधार है (जैसे, PSD2, AML, telecom पंजीकरण) पहचान सत्यापन या विशिष्ट विशेषताओं की आवश्यकता के लिए, यह एक दूसरा चरण शुरू करता है। RP वॉलेट से आवश्यक व्यक्ति पहचान डेटा (PID) या योग्य Attestation of Attributes (QAA) की प्रस्तुति ( OpenID4VP के माध्यम से) का अनुरोध करता है। उपयोगकर्ता को इस पहचाने गए डेटा को साझा करने के लिए स्पष्ट रूप से सहमति देनी होगी।
• वॉलेट और RP प्रमाणीकरण: प्रवाह में पारस्परिक प्रमाणीकरण शामिल है। RP खुद को वॉलेट में प्रमाणित करता है (अपने आधिकारिक पंजीकरण के आधार पर), और वॉलेट RP को अपनी प्रामाणिकता और क्रेडेंशियल की वैधता को प्रमाणित करता है, सुरक्षित हार्डवेयर (WSCD) और संबंधित प्रमाणन infrastructure का लाभ उठाते हुए।
• अंतःक्रिया: EUDI वॉलेट एक एकीकृत ऑथेंटिकेटर के रूप में कार्य करता है। इसकी एकीकृत WebAuthn पासकी (छद्म नाम कुंजी) मानक लॉगिन को संभालती है, जो मजबूत, गोपनीयता-संरक्षण प्रमाणीकरण प्रदान करती है। wallet's की VC क्षमताओं को स्पष्ट, कानूनी रूप से अनिवार्य पहचान या विशेषता प्रकटीकरण के लिए चुनिंदा रूप से लागू किया जाता है, जो डिफ़ॉल्ट रूप से डेटा न्यूनीकरण सुनिश्चित करता है।

इस विकसित हो रहे परिदृश्य में नेविगेट करने के लिए रणनीतिक योजना की आवश्यकता है। यहाँ रिलाइंग पार्टीज़ (RPs) के लिए मुख्य विचार दिए गए हैं

RPs के लिए, आज मुख्य कार्रवाई प्रमाणीकरण के लिए पासकी उपयोग को सक्षम और प्रोत्साहित करना होना चाहिए। पासकीज़ मानकीकृत हैं, प्लेटफ़ॉर्म द्वारा व्यापक रूप से समर्थित हैं, और सुरक्षा (फ़िशिंग प्रतिरोध) और उपयोगकर्ता अनुभव (तेज़, आसान लॉगिन) में तत्काल, बड़े लाभ प्रदान करती हैं। इसका मतलब है पासवर्ड और SMS OTP जैसी असुरक्षित MFA विधियों पर कम निर्भरता। यह password resets और खाता पुनर्प्राप्ति से समर्थन लागत को भी कम कर सकता है। व्यापक पासकी उपयोग का लक्ष्य उपयोगकर्ता प्रमाणीकरण के लिए एक आधुनिक, सुरक्षित आधार स्थापित करता है। जबकि शुरुआत में अपनाने की गति धीमी हो सकती है, उपयोगकर्ताओं को पहले से लाभों के बारे में शिक्षित करना और साइनअप को आसान बनाना उन्हें शुरू करने में मदद कर सकता है।

जबकि पासकीज़ स्वयं मजबूत प्रमाणीकरण की दिशा में एक महत्वपूर्ण कदम प्रदान करती हैं और Strong Customer Authentication (SCA) आवश्यकताओं को पूरा कर सकती हैं, कुछ संगठनों के पास और भी सख्त व्याख्याओं या विशिष्ट चिंताओं के साथ आंतरिक अनुपालन ढाँचे हो सकते हैं, विशेष रूप से सिंक की गई पासकीज़ के संबंध में। ऐसे परिदृश्यों का सामना करने वाले रिलाइंग पार्टीज़ (RPs) के लिए जहाँ अनुपालन विभाग और आश्वासन चाहते हैं, यह जानना उपयोगी है कि अतिरिक्त उपाय पासकी परिनियोजन के पूरक हो सकते हैं। ये कथित SCA अंतराल को संबोधित करने या उन बढ़ी हुई आंतरिक आवश्यकताओं को पूरा करने में मदद कर सकते हैं। एक सामान्य रणनीति डिवाइस ट्रस्ट सिग्नल का लाभ उठाना है, जो PayPal जैसी सेवाओं द्वारा अपनाया गया एक दृष्टिकोण है।

PayPal, उदाहरण के लिए, उपयोगकर्ताओं को एक डिवाइस को "यादगार" के रूप में चिह्नित करने की अनुमति देता है जैसा कि उनके help page पर वर्णित है:

इसका मतलब है कि यदि कोई उपयोगकर्ता एक यादगार डिवाइस (उनके पास कुछ है) से अपने पासवर्ड (वे कुछ जानते हैं) के साथ लॉग इन करता है, तो पेपैल इसे कई मामलों में SCA के लिए पर्याप्त मान सकता है। हालांकि, वे यह भी कहते हैं, "ऐसे उदाहरण हो सकते हैं जहां हम अभी भी यह सुनिश्चित करने के लिए आपसे एक और सत्यापन मांगते हैं कि आपका खाता सुरक्षित है।" इसमें SMS के माध्यम से एक बार का पासकोड भेजना या पेपैल ऐप के माध्यम से पुष्टि के लिए संकेत देना शामिल हो सकता है।

यह दृष्टिकोण विश्वसनीय उपकरणों पर एक सहज उपयोगकर्ता अनुभव की अनुमति देता है, जबकि जोखिम अधिक होने या नियमों की मांग होने पर step-up authentication के लिए तंत्र प्रदान करता है। RPs समान मॉडल पर विचार कर सकते हैं, जहां प्राथमिक प्रमाणीकरण (जैसे पासकी) और डिवाइस ट्रस्ट (यदि आवश्यक हो तो WebAuthn के प्रत्यक्ष तंत्र के बाहर संभावित रूप से प्रबंधित) का संयोजन SCA अनुपालन अंतराल को पाटने में मदद कर सकता है। हालांकि, WebAuthn ढांचे के भीतर ही डिवाइस-विशिष्ट ट्रस्ट सिग्नल के लिए अधिक एकीकृत और मानकीकृत दृष्टिकोण के लिए, ध्यान उस क्षेत्र में चल रहे विकास की ओर जाता है।

मजबूत डिवाइस ट्रस्ट के लिए ऐसे WebAuthn-एकीकृत दृष्टिकोणों के संबंध में, उच्च-सुरक्षा वाले वातावरण में RPs को इतिहास और भविष्य की दिशा को समझना चाहिए। पिछले WebAuthn एक्सटेंशन प्रस्ताव, जैसे devicePubKey और supplementalPubKeys, का उद्देश्य इन डिवाइस-विशिष्ट ट्रस्ट सिग्नल प्रदान करना था। ये सिंक की गई पासकीज़ के सुरक्षा विचारों को संबोधित करने के प्रयास थे, जो बड़े पैमाने पर अपनाने के लिए महत्वपूर्ण उपयोगिता प्रदान करते हुए, डिवाइस-बाध्य कुंजियों की तुलना में अलग-अलग जोखिम प्रोफाइल (जैसे, क्लाउड खाता पुनर्प्राप्ति पर निर्भरता) पेश करते हैं। इस तरह के एक्सटेंशन के पीछे का विचार RPs को उपयोग किए जा रहे भौतिक डिवाइस से विशेष रूप से बंधी हुई कुंजी से एक हस्ताक्षर की जाँच करके आश्वासन की एक अतिरिक्त परत प्राप्त करने देना था, भले ही मुख्य पासकी स्वयं सिंक हो।

यद्यपि इन विशिष्ट एक्सटेंशन (devicePubKey और supplementalPubKeys) को बंद कर दिया गया है, सिंक की गई पासकीज़ के लिए मजबूत डिवाइस-बाइंडिंग सिग्नल प्राप्त करने की चुनौती बनी हुई है। इसलिए RPs को इस क्षेत्र में अनुवर्ती समाधानों के विकास और मानकीकरण की निगरानी करनी चाहिए। इस तरह के समाधान RPs को जोखिम का बेहतर आकलन करने में मदद कर सकते हैं (जैसे, एक ज्ञात, विश्वसनीय डिवाइस से लॉगिन को एक नए सिंक किए गए से बताना) बिना सभी उपयोगकर्ताओं को कम सुविधाजनक डिवाइस-बाध्य पासकीज़ का उपयोग करने के लिए मजबूर किए। यह संदर्भ RPs को केवल "सिंक बनाम डिवाइस-बाध्य" की तुलना में अधिक जटिल विकल्प प्रस्तुत करता है। सिंक की गई पासकीज़ (आमतौर पर AAL2-अनुपालन) सबसे अधिक सुविधा और अपनाने का सबसे अच्छा मौका प्रदान करती हैं, जो उपभोक्ता ऐप्स के लिए महत्वपूर्ण है। डिवाइस-बाध्य पासकीज़ (संभवतः AAL3) उच्चतम आश्वासन देती हैं लेकिन उपयोग करने में कठिन हो सकती हैं। बंद किए गए एक्सटेंशन का लक्ष्य एक मध्य मार्ग खोजना था—एक डिवाइस-विशिष्ट ट्रस्ट सिग्नल वापस जोड़कर सिंक की गई कुंजियों के लिए सुरक्षा में सुधार करना। यह क्लाउड सिंक से समझौता होने पर कुछ जोखिमों को कम करने में मदद कर सकता है, बिना सिंकिंग की सभी सुविधा खोए। इसलिए RPs को अनुवर्ती समाधानों की तलाश करनी चाहिए जो ऐसा करने का लक्ष्य रखते हैं। सबसे अच्छी रणनीति एक RP की विशिष्ट जोखिम सहनशीलता, उपयोगकर्ता आधार, और किसी भी नए मानक के परिपक्व होने पर निर्भर करेगी।

डिवाइस ट्रस्ट के लिए WebAuthn के भीतर विशिष्ट तंत्रों से परे, कुछ रिलाइंग पार्टीज़ (RPs)—विशेष रूप से banking, insurance, और भुगतान सेवाओं जैसे क्षेत्रों में—डिजिटल क्रेडेंशियल (Verifiable Credentials, या VCs) का मूल्यांकन अपनी पहचान और सुरक्षा रणनीतियों में एक पूरक, या यहां तक कि अगले-चरण, घटक के रूप में करने लगे हैं।

इस रुचि को चलाने वाला एक महत्वपूर्ण कारक मजबूत डिवाइस बाइंडिंग है जो अक्सर डिजिटल क्रेडेंशियल से जुड़ा होता है, खासकर जब सुरक्षित डिजिटल पहचान wallets के भीतर प्रबंधित किया जाता है। ये वॉलेट क्रेडेंशियल और उन्हें प्रस्तुत करने के लिए उपयोग की जाने वाली निजी कुंजियों की सुरक्षा के लिए हार्डवेयर-समर्थित सुरक्षा (जैसे Secure Enclaves या TPMs) का लाभ उठा सकते हैं। Issuers और वॉलेट प्रदाता ऐसी नीतियां भी लागू कर सकते हैं जो कुछ उच्च-मूल्य वाले क्रेडेंशियल को स्वाभाविक रूप से डिवाइस-बाध्य बनाती हैं, जो उच्च-आश्वासन परिदृश्यों के लिए आकर्षक नियंत्रण का स्तर प्रदान करती हैं।

यह पहचानना महत्वपूर्ण है कि जबकि यह बढ़ी हुई डिवाइस-बाइंडिंग क्षमता इन RPs के लिए एक आकर्षक विशेषता है, डिजिटल क्रेडेंशियल का प्राथमिक उद्देश्य (विशेषताओं और दावों का सत्यापन) पासकीज़ (उपयोगकर्ता प्रमाणीकरण) से अलग है। पासकीज़ पुष्टि करती हैं कि उपयोगकर्ता कौन है, जबकि डिजिटल क्रेडेंशियल पुष्टि करते हैं कि उपयोगकर्ता के बारे में क्या सच है। उद्देश्य में इस मौलिक अंतर के बावजूद, वॉलेट-धारित VCs की मजबूत सुरक्षा विशेषताएँ उन्हें अतिरिक्त आश्वासन की परतें जोड़ने की मांग करने वाले RPs के लिए सक्रिय विचार का क्षेत्र बनाती हैं। यह स्वाभाविक रूप से चर्चा को इन डिजिटल पहचान वॉलेट के प्रदाताओं और ऐसे क्रेडेंशियल के जारी करने, भंडारण और प्रस्तुति को सक्षम करने वाले पारिस्थितिकी तंत्र की ओर ले जाता है।

जबकि पासकीज़ सीधे प्रमाणीकरण की पेशकश करती हैं, डिजिटल क्रेडेंशियल (VCs) को डिजिटल पहचान वॉलेट के माध्यम से रिलाइंग पार्टीज़ को प्रबंधित और प्रस्तुत किया जाता है। ये वॉलेट, चाहे वे देशी प्लेटफ़ॉर्म समाधान हों (जैसे Apple Wallet, Google Wallet) या तीसरे पक्ष के एप्लिकेशन (जैसे EUDI वॉलेट), सहज ऑनलाइन पहचान सत्यापन (जैसे, आयु जांच, डिजिटल आईडी विशेषताओं को साझा करना) के लिए Digital Credentials API जैसे उभरते ब्राउज़र मानकों का उपयोग करने के लिए विकसित हो रहे हैं।

विभिन्न वॉलेट प्रकारों की विस्तृत यांत्रिकी, VC एकीकरण के लिए विशिष्ट प्लेटफ़ॉर्म रणनीतियाँ (ब्राउज़र इंटरैक्शन के लिए Apple के mDoc फोकस बनाम Android's के क्रेडेंशियल मैनेजर के माध्यम से व्यापक OpenID4VP समर्थन सहित), ये वॉलेट कैसे विशेषता attestation की सुविधा प्रदान करते हैं, और किसी भी भुगतान कार्यात्मकताओं के लिए पूरी तरह से अलग विचार जटिल विषय हैं। इन्हें हमारे आगामी पूरक लेख में गहराई से खोजा गया है: डिजिटल क्रेडेंशियल और Payments।

यह वर्तमान लेख प्रमाणीकरण के लिए पासकीज़ और विशेषताओं को प्रमाणित करने के लिए डिजिटल क्रेडेंशियल की सामान्य भूमिका के बीच मूलभूत अंतःक्रिया पर अपना ध्यान केंद्रित रखता है।

पासकीज़ और डिजिटल क्रेडेंशियल, जबकि अपने मुख्य उद्देश्य में भिन्न हैं, एक आधुनिक, अधिक सुरक्षित और उपयोगकर्ता-केंद्रित डिजिटल पहचान भविष्य के दो स्तंभों का प्रतिनिधित्व करते हैं। यह समझना कि वे कैसे संबंधित हैं और एक-दूसरे का समर्थन कर सकते हैं, ऑनलाइन सेवाओं की अगली लहर के निर्माण के लिए महत्वपूर्ण है।

इन प्रौद्योगिकियों की वर्तमान स्थिति और प्रक्षेपवक्र के आधार पर, रिलाइंग पार्टीज़ के लिए दो प्रमुख कार्रवाइयाँ सामने आती हैं:

• आज हर जगह पासकीज़ तैनात करें: मानक परिपक्व हैं, प्लेटफ़ॉर्म समर्थन व्यापक है, और पासवर्ड पर लाभ स्पष्ट और पर्याप्त हैं। सुरक्षा और उपयोगिता को तुरंत बढ़ाने के लिए उपयोगकर्ता प्रमाणीकरण के लिए पासकीज़ को डिफ़ॉल्ट लक्ष्य बनाएं।
• जहां AML/KYC मायने रखता है वहां वॉलेट स्टेप-अप जोड़ें: उच्च आश्वासन या विशिष्ट सत्यापित विशेषताओं की आवश्यकता वाली प्रक्रियाओं के लिए - जैसे कि एंटी-मनी लॉन्ड्रिंग (AML) / अपने ग्राहक को जानें (KYC) नियमों को पूरा करना, विश्वसनीय आयु सत्यापन करना, या पेशेवर योग्यताओं की पुष्टि करना - क्रिप्टोग्राफ़िक रूप से सत्यापन योग्य विशेषताओं को प्राप्त करने के लिए Verifiable Credential प्रस्तुति प्रवाह को एकीकृत करें, जो परिष्कृत डिजिटल जालसाजी और डीपफेक के युग में पहचान और दावों पर भरोसा करने के लिए अनिवार्य हैं। जहां संभव हो Digital Credentials API का उपयोग करें, लेकिन API के स्थिर होने तक क्रॉस-प्लेटफ़ॉर्म पहुंच सुनिश्चित करने के लिए मजबूत QR/डीप लिंक फ़ॉलबैक लागू करें। यह हर लॉगिन पर बोझ डाले बिना लक्षित उच्च आश्वासन प्रदान करता है।

आगे देखते हुए, हम और अधिक अभिसरण और सुधारों की उम्मीद कर सकते हैं:

• बेहतर क्रेडेंशियल पोर्टेबिलिटी: डिवाइस-टू-डिवाइस ट्रांसफर के तरीके शायद बेहतर हो जाएंगे। यह पासकीज़ के लिए CTAP 2.2 क्रॉस-डिवाइस प्रमाणीकरण से आगे बढ़कर वॉलेट के बीच VCs को स्थानांतरित करने के सहज तरीकों को शामिल कर सकता है, हालांकि यहां मानकीकरण उतना आगे नहीं है।
• समेकित ब्राउज़र API: Digital Credentials API शायद परिपक्व होगा और ब्राउज़रों में अधिक सुसंगत रूप से समर्थित होगा। यह RPs को navigator.credentials के माध्यम से पासकीज़ और VCs दोनों का अनुरोध करने का एक अधिक मानक तरीका प्रदान करेगा।
• एकीकृत उपयोगकर्ता अनुभव: अंततः, उपयोगकर्ताओं को एक पासकी के साथ प्रमाणित करने और एक VC के साथ विशेषताओं को प्रस्तुत करने के बीच एक तकनीकी अंतर कम दिखना चाहिए। प्लेटफ़ॉर्म क्रेडेंशियल प्रबंधक और वॉलेट शायद इन इंटरैक्शन को पर्दे के पीछे सुचारू रूप से प्रबंधित करेंगे। वे साझा क्रिप्टोग्राफ़िक टूल और सुरक्षित हार्डवेयर का उपयोग करेंगे, जिससे उपयोगकर्ता परिचित बायोमेट्रिक या पिन संकेतों के साथ अनुरोधों को बस स्वीकृत कर सकेंगे, चाहे पासकी या VC का उपयोग किया गया हो। इसके अलावा, Continuous Passive Authentication (CPA) जैसी अवधारणाएँ, जो व्यवहारिक बायोमेट्रिक्स और अन्य संकेतों का उपयोग करके पृष्ठभूमि में उपयोगकर्ताओं को लगातार सत्यापित करती हैं, इस सहज सुरक्षा को और बढ़ा सकती हैं, जो संभावित रूप से पासकीज़ जैसे सक्रिय ऑथेंटिकेटर्स के साथ काम कर सकती हैं।

इस एकीकृत भविष्य तक पहुंचने के लिए मानकों पर और अधिक काम करने की आवश्यकता होगी, कि प्लेटफ़ॉर्म उनका समर्थन कैसे करते हैं, और ऐप्स उनका उपयोग कैसे करते हैं। अब पासकीज़ का उपयोग करके और सोच-समझकर डिजिटल क्रेडेंशियल जोड़कर, संगठन इस बदलाव के लिए तैयार हो सकते हैं जो एक ऐसी डिजिटल दुनिया की ओर है जो पासवर्ड रहित है और उपयोगकर्ताओं को उनके डेटा पर अधिक नियंत्रण देती है।