--- url: 'https://www.corbado.com/hi/blog/insurance-customer-portal-passkeys' title: 'बीमा ग्राहक पोर्टल Passkeys गाइड' description: 'बीमा ग्राहक पोर्टल passkeys: ATO कम करें, OTP लागत घटाएं और legacy CIAM वाले विनियमित बीमाकर्ताओं में पॉलिसीधारक MFA को आधुनिक बनाएं।' lang: 'hi' author: 'Vincent Delitz' date: '2026-05-20T13:52:10.439Z' lastModified: '2026-05-20T13:53:51.394Z' keywords: 'passkeys insurance customer portal, insurance customer login fraud reduction, account takeover insurance portal, policyholder login security MFA, insurance customer portal MFA modernization, passkeys insurance policyholder' category: 'Passkeys Strategy' --- # बीमा ग्राहक पोर्टल Passkeys गाइड ## Key Facts - बीमा में **अकाउंट टेकओवर का नुकसान** तेजी से बढ़ रहा है: NYDFS ने सार्वजनिक-सामना करने वाले कोटिंग सिस्टम पर MFA लागू करने में विफल रहने के लिए **अक्टूबर 2025 में USD 19 मिलियन** का संयुक्त जुर्माना आठ ऑटो बीमाकर्ताओं पर लगाया, जिससे ड्राइवर डेटा पर क्रेडेंशियल-स्टफिंग हमले संभव हो गए। - बीमाकर्ता पैमाने पर **SMS OTP लागत** **USD 0.01-0.05 प्रति संदेश** तक पहुँच जाती है; एक वाहक जिसके 5 मिलियन पॉलिसीधारक महीने में दो बार लॉग इन करते हैं, डिलीवरी विफलता और समर्थन कॉल का हिसाब लगाने से पहले, अकेले OTP डिलीवरी पर **प्रति वर्ष USD 1.2-6 मिलियन** खर्च करता है। - **पासवर्ड रीसेट और MFA समर्थन कॉल** बीमा कॉल-सेंटर वॉल्यूम का अनुमानित **20-40%** हिस्सा बनाते हैं, जिसमें प्रत्येक कॉल की लागत एजेंट के समय और पहचान सत्यापन चरणों के आधार पर **USD 5-25** होती है। - **Aflac के passkey परिनियोजन** ने **96% लॉगिन सफलता दर** के साथ **500,000 नामांकन** प्राप्त किए; Branch Insurance ने रोलआउट के बाद एजेंट **समर्थन टिकटों में लगभग 50% की गिरावट** देखी। - **FIDO डेटा** दिखाता है कि passkeys लॉगिन रूपांतरण को **30 प्रतिशत अंक** तक बढ़ाते हैं; HealthEquity ने आगे बढ़कर, 2025 के पतन में बिना किसी ऑप्ट-आउट के **सभी उपयोगकर्ताओं के लिए passkeys अनिवार्य** कर दिए। ## 1. परिचय [बीमा](बीमा-के-लिए-पासकी) ग्राहक पोर्टल एक ही समय में कई दिशाओं से दबाव में हैं। अकाउंट टेकओवर का जोखिम बढ़ रहा है, स्केल पर SMS OTP महंगा है, कॉल सेंटर पासवर्ड और MFA विफलताओं के नतीजों को अवशोषित करते हैं और नियामक तेजी से फ़िशिंग-प्रतिरोधी MFA की उम्मीद करते हैं। यह संयोजन [बीमा](बीमा-के-लिए-पासकी) को passkeys के लिए सबसे स्पष्ट ग्राहक प्रमाणीकरण उपयोग मामलों में से एक बनाता है। **इस लेख में शामिल हैं:** 1. **बीमा पोर्टल एक मजबूत passkey उपयोग का मामला क्यों हैं** ATO जोखिम, महंगे OTP फ़्लो, विलंबित धोखाधड़ी का पता लगाना और बढ़ता विनियामक दबाव। 2. **पासकी पुराने प्रमाणीकरण विधियों की तुलना में कैसे हैं** सुरक्षा, UX, अनुपालन और लागत में SMS OTP, ईमेल OTP, TOTP और डिवाइस ट्रस्ट। 3. **बीमाकर्ता रोलआउट को क्या अलग बनाता है** लिगेसी CIAM, मल्टी-ब्रांड पोर्टल आर्किटेक्चर, एजेंट बनाम पॉलिसीधारक फ़्लो और क्षेत्रीय विनियमन। 4. **बीमाकर्ता व्यावहारिक संचालन मॉडल के साथ passkeys कैसे रोल आउट कर सकते हैं** क्या मापना है, परिपक्वता मॉडल का उपयोग कैसे करें और OTP-भारी लॉगिन से फ़िशिंग-प्रतिरोधी MFA की ओर कैसे बढ़ें। 5. **कैसे passkeys डिजिटल एडॉप्शन और स्वयं-सेवा प्रवासन को चलाते हैं** C-स्तर और VP-स्तर के नेताओं के लिए रणनीतिक मामला: चैनल शिफ्ट, कॉल-सेंटर डिफ्लेक्शन और प्रमाणीकरण ऑब्ज़र्वेबिलिटी को व्यावसायिक परिणामों से जोड़ना। ## 2. बीमा ग्राहक पोर्टल अकाउंट टेकओवर के लिए एक प्रमुख लक्ष्य क्यों हैं? बीमा ग्राहक पोर्टलों में कुछ सबसे संवेदनशील व्यक्तिगत डेटा होता है, जबकि वे अक्सर कमजोर लॉगिन सुरक्षा पर निर्भर करते हैं। यह उन्हें क्रेडेंशियल-आधारित हमलों के लिए एक स्वाभाविक लक्ष्य बनाता है। पॉलिसीधारक खातों में सामाजिक सुरक्षा नंबर, [बैंकिंग](बैंकिंग-के-लिए-पासकी) विवरण, स्वास्थ्य रिकॉर्ड और दावों का इतिहास होता है। इन सभी को पहचान की चोरी या धोखाधड़ी वाले दावों के माध्यम से मुद्रीकृत किया जा सकता है। [बैंकिंग](बैंकिंग-के-लिए-पासकी) पोर्टलों के विपरीत, जहां लेनदेन निगरानी वास्तविक समय में धोखाधड़ी को पकड़ लेती है, बीमा धोखाधड़ी को सामने आने में अक्सर सप्ताह या महीने लग जाते हैं। एक हमलावर जो पॉलिसीधारक खाते तक पहुंच प्राप्त करता है, बीमाकर्ता द्वारा समझौते का पता लगाने से बहुत पहले लाभार्थियों को बदल सकता है, धोखाधड़ी वाले दावे दायर कर सकता है या व्यक्तिगत डेटा निकाल सकता है। **समस्या का पैमाना:** - **फ्रंट डोर पर क्रेडेंशियल स्टफिंग:** NYDFS ने विशेष रूप से सार्वजनिक-सामना करने वाले कोटिंग सिस्टम पर MFA लागू करने में विफल रहने के कारण आठ ऑटो बीमाकर्ताओं पर अक्टूबर 2025 में कुल USD 19 मिलियन का जुर्माना लगाया। हमलावरों ने बड़े पैमाने पर संवेदनशील ड्राइवर डेटा तक पहुंचने के लिए क्रेडेंशियल स्टफिंग का उपयोग किया। - **SMS OTP महंगा और नाजुक है:** बीमाकर्ता पैमाने (लाखों पॉलिसीधारकों) पर, SMS OTP डिलीवरी की लागत तेजी से बढ़ती है। प्रति माह 10 मिलियन OTP भेजने वाला एक वाहक USD 0.03 प्रति संदेश की दर से सालाना USD 3.6 मिलियन खर्च करता है, और यह मानता है कि 100% डिलीवरी होती है। व्यवहार में, वाहक फ़िल्टरिंग, नंबर पोर्टिंग और अंतरराष्ट्रीय रोमिंग के कारण 5-15% OTP कभी नहीं पहुंचते हैं, प्रत्येक विफल डिलीवरी संभावित रूप से एक समर्थन कॉल उत्पन्न करती है। - **पासवर्ड रीसेट से कॉल-सेंटर लोड:** बीमा कॉल सेंटर पहले से ही जटिल दावों और नीति पूछताछ को संभालते हैं। इस मिश्रण में पासवर्ड रीसेट और MFA समस्या निवारण को जोड़ने से एजेंट का समय राजस्व-उत्पन्न करने वाली गतिविधियों से हट जाता है। उद्योग के अनुमान उपभोक्ता [वित्तीय सेवाओं](बैंकिंग-के-लिए-पासकी) के लिए कुल कॉल-सेंटर वॉल्यूम के 20-40% पर प्रमाणीकरण-संबंधी कॉल रखते हैं। - **विनियामक दबाव कड़ा हो रहा है:** NYDFS से परे, FTC Safeguards Rule ने जून 2023 से गैर-बैंक वित्तीय संस्थानों के लिए MFA को अनिवार्य कर दिया है, और NAIC Insurance Data Security Model Law (25+ राज्यों में अपनाया गया) सभी लाइसेंसधारियों के लिए जोखिम-आधारित MFA की मांग करता है। उच्च-मूल्य डेटा, विलंबित धोखाधड़ी का पता लगाना, बढ़ती OTP लागत और कड़े नियम सभी एक ही दिशा में इशारा करते हैं: बीमा पोर्टलों को तत्काल फ़िशिंग-प्रतिरोधी प्रमाणीकरण की आवश्यकता है। > - बीमा पोर्टल उच्च-मूल्य वाले ATO लक्ष्य हैं क्योंकि बैंकिंग के विपरीत जहां लेनदेन की निगरानी वास्तविक समय में दुर्व्यवहार को पकड़ती है, धोखाधड़ी को सामने आने में हफ्तों लग जाते हैं। > - NYDFS ने अक्टूबर 2025 में सार्वजनिक-सामना करने वाले सिस्टम पर MFA न होने के कारण आठ ऑटो बीमाकर्ताओं पर USD 19 मिलियन का जुर्माना लगाया; जुर्माना USD 75,000 प्रतिदिन तक बढ़ जाता है। > - बीमाकर्ता पैमाने पर SMS OTP की लागत समर्थन ओवरहेड से पहले प्रति वर्ष USD 1.2-6 मिलियन है; 5-15% संदेश कभी नहीं पहुंचते हैं। > - Aflac, Branch Insurance और HealthEquity पहले से ही मापने योग्य परिणामों के साथ passkeys तैनात कर चुके हैं: 96% लॉगिन सफलता, ~50% कम समर्थन टिकट और बिना किसी ऑप्ट-आउट के अनिवार्य नामांकन। ## 3. बीमा पोर्टलों के लिए SMS OTP, ईमेल OTP, TOTP और डिवाइस ट्रस्ट की तुलना में passkeys कैसे हैं? सही प्रमाणीकरण विधि चुनने का मतलब है सुरक्षा, उपयोगकर्ता अनुभव, रिकवरी, रोलआउट जटिलता, समर्थन बोझ, अनुपालन स्थिति और बड़े पैमाने पर लागत को तौलना। नीचे दी गई तालिका दर्शाती है कि प्रत्येक विकल्प कैसा प्रदर्शन करता है। | विधि | सुरक्षा | UX | रिकवरी | रोलआउट जटिलता | समर्थन बोझ | अनुपालन | बड़े पैमाने पर लागत | | --- | --- | --- | --- | --- | --- | --- | --- | | **SMS OTP** | कम: सिम-स्वैपिंग, SS7 इंटरसेप्शन और फ़िशिंग रिले हमलों की चपेट में। NYDFS स्पष्ट रूप से SMS को कमजोर MFA के रूप में चिह्नित करता है। | मध्यम: परिचित लेकिन धीमा (संदेश की प्रतीक्षा करें, ऐप्स स्विच करें, कोड टाइप करें)। बड़े पैमाने पर 5-15% डिलीवरी विफलता दर। | आसान: फोन नंबर से जुड़ा हुआ, लेकिन नंबर पोर्टिंग रिकवरी अंतराल बनाता है। | कम: अधिकांश CIAM प्लेटफ़ॉर्म आउट ऑफ़ द बॉक्स SMS OTP का समर्थन करते हैं। | उच्च: डिलीवरी विफलताएं, समाप्त हो चुके कोड और अंतर्राष्ट्रीय रोमिंग भारी कॉल-सेंटर वॉल्यूम उत्पन्न करते हैं। | न्यूनतम: बुनियादी MFA चेकलिस्ट को संतुष्ट करता है लेकिन NYDFS और CISA फ़िशिंग-प्रतिरोधी विकल्पों की सलाह देते हैं। | उच्च: USD 0.01-0.05 प्रति संदेश। 10M OTPs/महीने पर: समर्थन लागत से पहले USD 1.2-6M/वर्ष। | | **ईमेल OTP** | कम: ईमेल खातों से अक्सर समझौता किया जाता है; OTP कोड फ़िशेबल और रिप्लेएबल होते हैं। | कम: धीमी डिलीवरी (सेकंड से मिनट), ऐप्स के बीच संदर्भ-स्विचिंग, कोड समाप्त हो जाते हैं। | आसान: ईमेल से जुड़ा हुआ, लेकिन ईमेल समझौता सभी लिंक किए गए खातों को प्रभावित करता है। | कम: SMTP के माध्यम से लागू करना मामूली। | उच्च: स्पैम फ़िल्टर, विलंबित डिलीवरी और समाप्त हो चुके कोड समर्थन टिकटों को चलाते हैं। | कमजोर: NYDFS या FTC मार्गदर्शन के तहत फ़िशिंग-प्रतिरोधी MFA मानकों को पूरा नहीं करता है। | कम: प्रति संदेश निकट-शून्य सीमांत लागत, लेकिन उच्च अप्रत्यक्ष समर्थन लागत। | | **TOTP (ऑथेंटिकेटर ऐप)** | मध्यम: सिम-स्वैपिंग जोखिम को समाप्त करता है लेकिन कोड रीयल-टाइम रिले हमलों के माध्यम से फ़िशेबल रहते हैं। | मध्यम: ऐप इंस्टॉल, मैन्युअल कोड प्रविष्टि और समय तुल्यकालन की आवश्यकता है। गैर-तकनीकी पॉलिसीधारकों के लिए घर्षण। | कठिन: यदि बैकअप कोड के बिना डिवाइस खो जाता है, तो खाता पुनर्प्राप्ति के लिए मैन्युअल पहचान प्रमाणन की आवश्यकता होती है। | मध्यम: उपयोगकर्ता शिक्षा और ऐप स्थापना की आवश्यकता है; अनिवार्य किए बिना आमतौर पर 20% से कम एडॉप्शन। | मध्यम: SMS की तुलना में कम डिलीवरी समस्याएँ, लेकिन खोई-डिवाइस रिकवरी और सेटअप त्रुटियाँ बनी रहती हैं। | मध्यम: बुनियादी MFA आवश्यकताओं को पूरा करता है लेकिन NYDFS/CISA मानकों के अनुसार फ़िशिंग-प्रतिरोधी नहीं है। | कम: कोई प्रति-प्रमाणीकरण लागत नहीं, लेकिन ऐप समर्थन और रिकवरी ओवरहेड अप्रत्यक्ष लागत जोड़ते हैं। | | **डिवाइस ट्रस्ट** | मध्यम: मान्यता प्राप्त उपकरणों पर घर्षण को कम करता है लेकिन कोई फ़िशिंग प्रतिरोध प्रदान नहीं करता है; कुकी/फ़िंगरप्रिंट को रीप्ले किया जा सकता है। | उच्च: विश्वसनीय उपकरणों पर उपयोगकर्ताओं के लिए अदृश्य; निर्बाध दोहराए जाने वाले लॉगिन। | मध्यम: डिवाइस का नुकसान या ब्राउज़र परिवर्तन ट्रस्ट को रीसेट करता है, जिसके लिए पुन: सत्यापन की आवश्यकता होती है। | मध्यम: डिवाइस फिंगरप्रिंटिंग इंफ्रास्ट्रक्चर और ट्रस्ट डिकेय (trust decay) नीतियों की आवश्यकता है। | कम: विश्वसनीय उपकरणों पर कुछ उपयोगकर्ता-सामना करने वाले प्रॉम्प्ट, लेकिन ट्रस्ट रीसेट भ्रम पैदा करते हैं। | अकेले अपर्याप्त: दूसरे कारक के बिना किसी भी प्रमुख ढांचे के तहत MFA के रूप में अर्हता प्राप्त नहीं करता है। | कम: केवल इंफ्रास्ट्रक्चर लागत; कोई प्रति-प्रमाणीकरण शुल्क नहीं। | | **Passkeys (FIDO2/WebAuthn)** | **उच्च**: क्रिप्टोग्राफ़िक, डोमेन-बाउंड, डिज़ाइन द्वारा फ़िशिंग-प्रतिरोधी। क्रेडेंशियल स्टफिंग, सिम-स्वैपिंग और रिले हमलों से प्रतिरक्षित। | **उच्च**: 2 सेकंड के भीतर बायोमेट्रिक या पिन पुष्टि। कोई कोड प्रविष्टि नहीं, कोई ऐप स्विचिंग नहीं। Aflac ने 96% लॉगिन सफलता दर हासिल की। | मध्यम: प्लेटफ़ॉर्म इकोसिस्टम (iCloud Keychain, Google Password Manager) से बंधा हुआ। इकोसिस्टम लॉकआउट को रिकवरी के लिए पहचान प्रमाणन की आवश्यकता होती है। | मध्यम-उच्च: WebAuthn सर्वर, rpID रणनीति, नामांकन फ़्लो, फ़ॉलबैक लॉजिक और क्लाइंट-साइड टेलीमेट्री की आवश्यकता है। | **कम**: Branch Insurance ने passkey परिनियोजन के बाद समर्थन टिकटों में ~50% की गिरावट देखी। | **मजबूत**: NYDFS Part 500, FTC Safeguards Rule और NAIC Model Law के तहत फ़िशिंग-प्रतिरोधी MFA आवश्यकताओं को पूरा करता है। NIST SP 800-63B समन्वयित passkeys को AAL2-अनुपालक के रूप में मान्यता देता है। | **कम**: शून्य प्रति-प्रमाणीकरण लागत। SMS उन्मूलन, धोखाधड़ी में कमी और कॉल-सेंटर डिफ्लेक्शन के माध्यम से ROI का एहसास हुआ। | **निचला रेखा:** Passkeys एकमात्र विकल्प हैं जो बड़े पैमाने पर सुरक्षा, UX, समर्थन बोझ, अनुपालन और लागत में उच्चतम स्कोर करते हैं। ट्रेड-ऑफ़ रोलआउट जटिलता है, लेकिन यह एक बार का निवेश है जो एडॉप्शन बढ़ने पर खुद का भुगतान करता है। ## 4. बीमाकर्ताओं के लिए passkey रोलआउट को क्या अलग बनाता है? [बीमा](बीमा-के-लिए-पासकी) में passkeys तैनात करना [बैंकिंग](बैंकिंग-के-लिए-पासकी) या SaaS में उन्हें तैनात करने के समान नहीं है। बीमाकर्ता लिगेसी इंफ्रास्ट्रक्चर, मल्टी-ब्रांड जटिलता, भिन्न उपयोगकर्ता आबादी और स्तरित विनियामक आवश्यकताओं से निपटते हैं जो हर कार्यान्वयन निर्णय को आकार देते हैं। ### 4.1 लिगेसी CIAM प्लेटफ़ॉर्म अधिकांश बड़े बीमाकर्ता उपभोक्ता पहचान को पिंग आइडेंटिटी, फोर्ज रॉक या ओक्टा जैसे एंटरप्राइज़ CIAM प्लेटफ़ॉर्म पर चलाते हैं। ये प्लेटफ़ॉर्म अब FIDO2/WebAuthn का प्रोटोकॉल स्तर पर समर्थन करते हैं, लेकिन वह समर्थन केवल बैकएंड समारोह को कवर करता है। एडॉप्शन लेयर (नामांकन नज, डिवाइस-अवेयर प्रॉम्प्ट, त्रुटि प्रबंधन और क्लाइंट-साइड टेलीमेट्री) या तो गायब है या महत्वपूर्ण कस्टम विकास की आवश्यकता है। यह वही "1% जाल" बनाता है जो बैंकिंग परिनियोजन में देखा जाता है: IdP चेकबॉक्स टिक कर दिया गया है, लेकिन एडॉप्शन रुक जाता है क्योंकि किसी ने भी वह उत्पाद यात्रा नहीं बनाई जो पॉलिसीधारकों को पासवर्ड से passkey में ले जाती है। ### 4.2 मल्टी-ब्रांड पोर्टल और rpID रणनीति एक विशिष्ट बड़ा बीमाकर्ता ऑटो, होम, जीवन और विशेष उत्पादों का संचालन करता है, जो अक्सर अलग-अलग सबडोमेन पर या M&A के माध्यम से प्राप्त अलग-अलग डोमेन पर होते हैं। Passkeys ओरिजिन-बाउंड होते हैं: `auto.insurer.com` पर बनाया गया क्रेडेंशियल `life.insurer.com` पर तब तक काम नहीं करेगा जब तक कि दोनों एक ही Relying Party ID (rpID) साझा न करें। **समाधान:** - किसी भी passkey कार्य के शुरू होने से पहले पैरेंट डोमेन (उदा. `insurergroup.com`) से जुड़ा एक एकल rpID परिभाषित करें। - इस साझा rpID का उपयोग करने वाले एक केंद्रीकृत SSO परत (OIDC/SAML) के माध्यम से सभी प्रमाणीकरण को रूट करें। - यदि लिगेसी डोमेन को तुरंत समेकित नहीं किया जा सकता है, तो पुन: नामांकन के लिए बाध्य किए बिना अंतर को पाटने के लिए Related Origins का उपयोग करें। ### 4.3 एजेंट बनाम पॉलिसीधारक फ़्लो बीमा में एक ही बैकएंड सिस्टम को हिट करने वाली दो बहुत अलग उपयोगकर्ता आबादी होती है: | आयाम | पॉलिसीधारक | एजेंट / ब्रोकर | | --- | --- | --- | | लॉगिन आवृत्ति | कम (मासिक बिल भुगतान, वार्षिक नवीनीकरण, दावे) | उच्च (दैनिक कोटिंग, नीति प्रबंधन, कमीशन चेक) | | डिवाइस प्रोफ़ाइल | व्यक्तिगत स्मार्टफोन और टैबलेट; विस्तृत OS/ब्राउज़र विविधता | साझा एजेंसी वर्कस्टेशन, कॉर्पोरेट लैपटॉप, अक्सर फ़ायरवॉल के पीछे | | ट्रस्ट स्तर | कम प्रारंभिक ट्रस्ट; नामांकन के माध्यम से बनाया जाना चाहिए | उच्च आधारभूत ट्रस्ट; अक्सर एजेंसी ऑनबोर्डिंग के माध्यम से पूर्व-परीक्षित | | संवेदनशीलता | पूर्ण PII एक्सेस (SSN, बैंकिंग, स्वास्थ्य रिकॉर्ड) | कई पॉलिसीधारकों में व्यापक PII पहुंच | | फ़ॉलबैक ज़रूरतें | कभी भी दावों या भुगतानों से बाहर नहीं होना चाहिए | कोटिंग या नीति बाइंडिंग से कभी भी बाहर नहीं होना चाहिए | Branch Insurance ने दिखाया कि यह व्यवहार में कैसे काम करता है: उन्होंने एजेंटों (उच्च आवृत्ति, अधिक नियंत्रित वातावरण) के साथ शुरुआत की और पॉलिसीधारकों तक विस्तार करने से पहले 25% प्रारंभिक एडॉप्शन हिट किया। एजेंट-फ़र्स्ट जाने से आंतरिक विश्वास पैदा हुआ और शुरुआत में ही डिवाइस-विशिष्ट समस्याएँ सामने आईं। ### 4.4 क्षेत्रीय अनुपालन परिदृश्य बीमा प्रमाणीकरण केवल एक अमेरिकी विनियामक मुद्दा नहीं है। सटीक नियम बाज़ार के अनुसार अलग-अलग होते हैं, लेकिन दिशा सुसंगत है: मज़बूत पहचान नियंत्रण, व्यापक MFA कवरेज और ग्राहक-सामना करने वाले डिजिटल चैनलों की अधिक जाँच। - **अमेरिका:** NYDFS Part 500 न्यूयॉर्क में लाइसेंस प्राप्त बीमाकर्ताओं सहित कवर की गई संस्थाओं के लिए नवंबर 2025 तक सार्वभौमिक MFA अनिवार्य करता है। NYDFS स्पष्ट रूप से SMS OTPs को कमजोर के रूप में चिह्नित करता है और फ़िशिंग-प्रतिरोधी विकल्पों की सिफारिश करता है। NAIC Insurance Data Security Model Law 25+ राज्यों में जोखिम-आधारित MFA को धकेलता है, जबकि FTC Safeguards Rule कुछ गैर-बैंक वित्तीय संस्थानों और बिचौलियों के लिए MFA की आवश्यकता है। - **EU:** [DORA](https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en) 17 जनवरी 2025 को आवेदन में आया और पूरे EU में बीमा कंपनियों पर लागू होता है। DORA एक MFA नियम से व्यापक है, लेकिन यह ग्राहक-सामना करने वाले सिस्टम के लिए ICT जोखिम प्रबंधन, घटना रिपोर्टिंग, लचीलापन परीक्षण और तृतीय-पक्ष निरीक्षण पर बार बढ़ाता है। - **ऑस्ट्रेलिया:** [APRA CPS 234](https://handbook.apra.gov.au/standard/cps-234) को बीमाकर्ताओं और अन्य APRA-विनियमित संस्थाओं में जोखिम के अनुरूप सूचना सुरक्षा नियंत्रण की आवश्यकता होती है। APRA का 2023 [MFA मार्गदर्शन](https://www.apra.gov.au/use-of-multi-factor-authentication-mfa) विशेष रूप से विशेषाधिकार प्राप्त पहुंच, दूरस्थ पहुंच और उच्च जोखिम वाली गतिविधियों के लिए मजबूत प्रमाणीकरण की मांग करता है, और ध्यान देता है कि पॉलिसीधारकों को प्रभावित करने वाले भौतिक MFA अंतराल एक रिपोर्ट करने योग्य सुरक्षा कमजोरी के बराबर हो सकते हैं। - **कनाडा:** [OSFI Guideline B-13](https://www.osfi-bsif.gc.ca/en/guidance/guidance-library/technology-cyber-risk-management) बीमाकर्ताओं सहित संघीय रूप से विनियमित वित्तीय संस्थानों पर लागू होता है। OSFI का कहना है कि फर्मों को बाहरी-सामना करने वाले चैनलों और विशेषाधिकार प्राप्त खातों में MFA सहित जोखिम-आधारित पहचान और पहुंच नियंत्रण लागू करना चाहिए। मल्टी-रीजन बीमाकर्ताओं के लिए, व्यावहारिक निहितार्थ सरल है: सख्त लागू शासन को संतुष्ट करने के लिए ग्राहक प्रमाणीकरण को डिज़ाइन करें। सामान्य दिशा जोखिम-आधारित और तेजी से फ़िशिंग-प्रतिरोधी MFA की ओर है, न कि SMS OTP पर निरंतर निर्भरता। ## 5. Passkeys लॉन्च करने से पहले और बाद में बीमाकर्ताओं को क्या मापना चाहिए? क्लाइंट-साइड टेलीमेट्री के बिना passkeys लॉन्च करना अंडरराइटिंग डेटा के बिना बीमा पॉलिसी लिखने जैसा है। आपको यह नहीं पता चलेगा कि क्या विफल हो रहा है, कहाँ या किसके लिए, जब तक कि आपका कॉल सेंटर अभिभूत न हो जाए। बैंकिंग परिनियोजन से "ब्लाइंड रोलआउट" गलती यहाँ भी उतनी ही लागू होती है, विशेष रूप से बीमाकर्ताओं द्वारा निपटाए जाने वाले विविध पॉलिसीधारक जनसांख्यिकी को देखते हुए। कम से कम, बीमाकर्ताओं को तीन व्यवसाय-सामना करने वाले परिणामों को मापना चाहिए: - **लॉगिन सफलता दर:** क्या passkeys लॉन्च के बाद पॉलिसीधारक और एजेंट अधिक विश्वसनीय रूप से साइन-इन पूरा कर रहे हैं? - **नामांकन दर:** क्या उपयोगकर्ता वास्तव में passkeys बना रहे हैं, या पहले प्रॉम्प्ट के बाद एडॉप्शन रुक रहा है? - **फ़ॉलबैक और समर्थन वॉल्यूम:** क्या उपयोगकर्ता SMS या पासवर्ड रिकवरी पर वापस आ रहे हैं, और क्या प्रमाणीकरण-संबंधी समर्थन टिकट कम हो रहे हैं? यदि वे तीनों संख्याएं सही दिशा में बढ़ रही हैं, तो रोलआउट काम कर रहा है। यदि वे नहीं हैं, तो आपको आगे बढ़ने से पहले प्रॉम्प्ट टाइमिंग, फ़ॉलबैक डिज़ाइन, डिवाइस कवरेज या उपयोगकर्ता शिक्षा को समायोजित करने की आवश्यकता है। ### 5.1 दावों और खाता-परिवर्तन यात्राएं जेनेरिक लॉगिन से अधिक मायने रखती हैं बीमा पोर्टल केवल "लॉग इन करें और बैलेंस चेक करें" अनुभव नहीं हैं। उच्चतम-जोखिम वाले क्षण अक्सर तब होते हैं जब कोई पॉलिसीधारक दावा दायर करता है, पेआउट विवरण बदलता है, पता अपडेट करता है, ड्राइवर जोड़ता है, लाभार्थी बदलता है या संवेदनशील दस्तावेजों तक पहुंचता है। उन यात्राओं को एक जेनेरिक लॉगिन KPI में शामिल नहीं किया जाना चाहिए। इसलिए बीमाकर्ताओं को उच्च जोखिम वाले खाता घटनाओं के लिए अलग से passkey प्रदर्शन को ट्रैक करना चाहिए। यदि लॉगिन सफलता कुल मिलाकर मजबूत दिखती है लेकिन दावा-संबंधित या पेआउट-संबंधित यात्राएं अभी भी SMS या मैन्युअल रिकवरी पर वापस आती हैं, तो रोलआउट वास्तव में उस परिचालन जोखिम को कम नहीं कर रहा है जहां यह सबसे ज्यादा मायने रखता है। यह बीमा और अधिक बार उपयोग किए जाने वाले उपभोक्ता ऐप्स के बीच सबसे बड़े अंतरों में से एक है। ### 5.2 कम-आवृत्ति लॉगिन एडॉप्शन प्लेबुक को बदलते हैं कई पॉलिसीधारक प्रति वर्ष केवल कुछ ही बार लॉग इन करते हैं: नवीनीकरण पर, बिलिंग समस्या के बाद या दावा दायर करते समय। यह बीमा में passkey एडॉप्शन को दैनिक उपयोग वाले उत्पादों से मौलिक रूप से अलग बनाता है। आपके पास पहले खराब अनुभव से प्रॉम्प्ट करने, शिक्षित करने और रिकवर करने के अवसर कम हैं। यही कारण है कि बीमाकर्ताओं को केवल कुल मिलाकर नहीं, बल्कि यात्रा के अनुसार नामांकन मापना चाहिए। सफल [भुगतान](https://www.corbado.com/passkeys-for-payment) या दावा-स्थिति जांच के बाद दिखाया गया प्रॉम्प्ट अंतिम सत्र के महीनों बाद पहली लॉगिन स्क्रीन पर कोल्ड प्रॉम्प्ट की तुलना में कहीं बेहतर रूपांतरित हो सकता है। बीमा में, सर्वोत्तम एडॉप्शन क्षण आमतौर पर विश्वास और कार्य पूर्णता से जुड़े होते हैं, न कि लॉगिन आवृत्ति से। ## 6. Insurance Authentication Maturity Model क्या है? यह चार-स्तरीय ढांचा बीमाकर्ताओं को यह बेंचमार्क करने का एक तरीका देता है कि वे आज प्रमाणीकरण पर कहां खड़े हैं, लक्षित मील के पत्थर निर्धारित करते हैं और बोर्डों, नियामकों और लेखा परीक्षकों को प्रगति की जानकारी देते हैं। प्रत्येक स्तर पिछले वाले पर बनता है। | स्तर | नाम | प्रमाणीकरण विधि | फ़िशिंग प्रतिरोध | अनुपालन स्थिति | समर्थन बोझ | लागत प्रोफ़ाइल | दृश्यता | | --- | --- | --- | --- | --- | --- | --- | --- | | **1** | **SMS-Only** | पासवर्ड + SMS OTP एकमात्र दूसरे कारक के रूप में | कोई नहीं: सिम-स्वैप, SS7 और फ़िशिंग रिले के माध्यम से SMS को इंटरसेप्ट किया जा सकता है | NYDFS फ़िशिंग-प्रतिरोधी मार्गदर्शन विफल रहता है; न्यूनतम FTC अनुपालन; NAIC जोखिम-आधारित अंतर | उच्च: OTP डिलीवरी विफलताएं, समाप्त हो चुके कोड और पासवर्ड रीसेट कॉल-सेंटर वॉल्यूम का 20-40% चलाते हैं | उच्च: बड़े पैमाने पर USD 0.01-0.05 प्रति OTP प्लस समर्थन लागत | न्यूनतम: केवल सर्वर-साइड HTTP लॉग; कोई क्लाइंट-साइड समारोह डेटा नहीं | | **2** | **MFA-Enabled** | पासवर्ड + SMS/TOTP/push दूसरे कारक के रूप में | कम: TOTP और पुश रीयल-टाइम रिले के माध्यम से फ़िशेबल हैं; पुश थकान हमलों के प्रति संवेदनशील है | FTC और NAIC के लिए बुनियादी MFA चेकबॉक्स को पूरा करता है; NYDFS फ़िशिंग-प्रतिरोधी अनुशंसा को पूरा नहीं करता है | मध्यम: SMS डिलीवरी की कम समस्याएँ लेकिन TOTP सेटअप त्रुटियाँ और पुश थकान नई टिकट श्रेणियां जोड़ते हैं | मध्यम: TOTP प्रति-संदेश लागत को समाप्त करता है लेकिन ऐप समर्थन ओवरहेड बना रहता है | सीमित: MFA विधि चयन को ट्रैक कर सकता है लेकिन समारोह-स्तरीय टेलीमेट्री का अभाव है | | **3** | **Phishing-Resistant** | प्राथमिक विधि के रूप में Passkeys तैनात; असंगत उपकरणों के लिए फ़ॉलबैक के रूप में पासवर्ड/OTP | उच्च: FIDO2/WebAuthn क्रेडेंशियल डोमेन-बाउंड और क्रिप्टोग्राफ़िक हैं; फ़िशिंग, स्टफ़िंग और सिम-स्वैप से प्रतिरक्षित | NYDFS, FTC और NAIC आवश्यकताओं को पूरा करता है या उससे अधिक है; NIST SP 800-63B AAL2-अनुपालक | कम: Branch Insurance ने ~50% टिकट में कमी देखी; Aflac ने 96% लॉगिन सफलता हासिल की | कम: शून्य प्रति-प्रमाणीकरण लागत; SMS उन्मूलन और धोखाधड़ी में कमी से ROI | मध्यम: नामांकन और प्रमाणीकरण फ़नल उपकरण; मूल त्रुटि वर्गीकरण लागू | | **4** | **Phishing-Resistant + Observability** | डिफ़ॉल्ट रूप से Passkeys; डिवाइस ट्रस्ट स्कोरिंग; विसंगतियों के लिए जोखिम-आधारित स्टेप-अप; स्मार्ट फ़ॉलबैक | उच्चतम: क्रिप्टोग्राफ़िक प्रमाणीकरण + निरंतर डिवाइस ट्रस्ट मूल्यांकन + व्यवहार संकेत | ऑडिट के लिए तैयार: पूर्ण टेलीमेट्री CEO/CISO सत्यापन, NYDFS परीक्षा और विनियामक रिपोर्टिंग का समर्थन करती है | सबसे कम: सक्रिय विसंगति का पता लगाने से समस्याओं को कॉल सेंटर तक पहुंचने से पहले ही रोक दिया जाता है | सबसे कम: अनुकूलित फ़ॉलबैक रूटिंग अवशिष्ट SMS खर्च को कम करता है; धोखाधड़ी का नुकसान कम हुआ | पूर्ण: एडॉप्शन कर्व्स, डिवाइस/OS द्वारा त्रुटि दर, ट्रस्ट डिकेय और SCA फैक्टर कवरेज को कवर करने वाले रीयल-टाइम डैशबोर्ड | निम्नलिखित आरेख SMS-only से लेकर पूर्ण ऑब्ज़र्वेबिलिटी तक चार परिपक्वता स्तरों की प्रगति को दर्शाता है। **इस मॉडल का उपयोग कैसे करें:** 1. **आकलन:** सभी ग्राहक-सामना करने वाले पोर्टलों में प्रमाणीकरण विधियों, टेलीमेट्री कवरेज और अनुपालन अंतराल का ऑडिट करके अपने वर्तमान स्तर को पहचानें। 2. **लक्ष्य:** कम से कम स्तर 3 तक पहुँचने के लिए 12-18 महीने का रोडमैप सेट करें। NYDFS निरीक्षण के तहत बीमाकर्ताओं को दोहरे CEO/CISO प्रमाणन आवश्यकता का समर्थन करने के लिए स्तर 4 को लक्षित करना चाहिए। 3. **संचार:** तदर्थ सुधारों के बजाय संरचित प्रगति को प्रदर्शित करने के लिए बोर्ड प्रस्तुतियों और विनियामक प्रस्तुतियाँ में मॉडल का उपयोग करें। ## 7. Passkeys डिजिटल एडॉप्शन और स्वयं-सेवा प्रवासन को कैसे चलाते हैं अधिकांश बीमा अधिकारी प्रमाणीकरण को IT चिंता मानते हैं। यह एक गलती है। C-स्तर और VP-स्तर के नेताओं के लिए जिनके रणनीतिक एजेंडे में पॉलिसीधारकों को कॉल सेंटर और शाखाओं से डिजिटल स्वयं-सेवा में स्थानांतरित करना शामिल है, प्रमाणीकरण रास्ते में खड़ा सबसे बड़ा घर्षण बिंदु (friction point) है। ### 7.1 प्रमाणीकरण हर डिजिटल पहल का मुख्य द्वार है प्रत्येक डिजिटल बीमा पहल - स्वयं-सेवा दावे, ऑनलाइन नीति परिवर्तन, डिजिटल [भुगतान](https://www.corbado.com/passkeys-for-payment), ई-हस्ताक्षर वर्कफ़्लो - लॉगिन से शुरू होती है। यदि पॉलिसीधारक उस सामने वाले दरवाजे को मज़बूती से पार नहीं कर सकते हैं, तो कोई भी डाउनस्ट्रीम निवेश ROI नहीं देता है। डेटा स्पष्ट है: - **43% उपभोक्ता** कहते हैं कि लॉगिन प्रबंधित करना [ऑनलाइन सेवाओं का उपयोग करने की उनकी इच्छा को प्रभावित करता है](https://beyondencryption.com/research/customer-portals-logins-preferences)। - **64% ने खरीदारी छोड़ दी है** क्योंकि उन्हें [खाता बनाना पड़ा था या लॉग इन नहीं कर सके](https://beyondencryption.com/research/customer-portals-logins-preferences)। - **60% उपभोक्ताओं** को [बीमा, पेंशन और बंधक पोर्टल नेविगेट करना मुश्किल लगता है](https://beyondencryption.com/research/customer-portals-logins-preferences), जिसमें लॉगिन पहला और सबसे आम विफलता बिंदु है। - **केवल 20% बीमा ग्राहक** कहते हैं कि डिजिटल चैनल अपने बीमाकर्ता के साथ बातचीत करने का उनका पसंदीदा तरीका है, इसका मुख्य कारण यह है कि अनुभव - प्रमाणीकरण से शुरू होकर - [बैंकिंग और खुदरा ऐप्स से प्राप्त होने वाले अनुभव से भी बदतर है](https://insurancenewsnet.com/innarticle/why-insurers-are-losing-customers-at-the-login-screen)। निम्नलिखित आरेख स्पष्ट करता है कि ये चार डेटा बिंदु एक एकल एडॉप्शन-ब्लॉकिंग पैटर्न में कैसे जुड़ते हैं। पोर्टल रिडिज़ाइन, चैटबॉट्स और डिजिटल क्लेम वर्कफ़्लोज़ पर लाखों खर्च करने वाले बीमाकर्ताओं के लिए, पासवर्ड-और-SMS-OTP लॉगिन अनुभव पूरे निवेश को कमजोर करता है। पॉलिसीधारक जो लॉग इन करने में विफल होते हैं या निराशा में हार मान लेते हैं, डिफ़ॉल्ट रूप से संपर्क केंद्र पर कॉल करते हैं या किसी शाखा में जाते हैं - ठीक वही उच्च-लागत वाले चैनल जिन्हें डिजिटल रणनीति को बदलना था। ### 7.2 स्वयं-सेवा बदलाव को मापना पॉलिसीधारकों को मानव-सहायता वाले चैनलों से डिजिटल स्वयं-सेवा में स्थानांतरित करना बीमा में सबसे अधिक लीवरेज वाली लागत कम करने की रणनीतियों में से एक है: - **फोन इंटरैक्शन की लागत [USD 8-15 प्रति संपर्क](https://hyperleap.ai/blog/insurance-customer-service-automation-statistics-2026)** है बनाम स्वयं-सेवा के लिए 1 अमरीकी डालर से कम। बीमाकर्ता पैमाने पर, फोन से डिजिटल में 10% चैनल शिफ्ट भी सालाना लाखों बचाता है। - **पोर्टल उपयोगकर्ता गैर-पोर्टल उपयोगकर्ताओं की तुलना में अपनी नीतियां रद्द करने की 12% कम संभावना** रखते हैं। मल्टी-चैनल उपयोगकर्ता [25% उच्च प्रतिधारण दर (retention rate)](https://content.insured.io/resources/insured.io-study-of-250000-insurance-consumers-reveals-that-omnichannel-carrier-portals-can-increase-retained-premium-by-25-percent) दिखाते हैं। - **डिजिटल स्वयं-सेवा तैनात करने वाले बीमाकर्ता** [15-25% सेवा लागत में कमी और 30% कम दावा प्रसंस्करण लागत](https://www.cxpilots.com/epiphanies/the-state-of-digital-cx-in-insurance-2026-benchmark-report) की रिपोर्ट करते हैं। - **82% बीमा ग्राहक कॉल किए बिना समस्याओं का समाधान करना चाहते हैं**, लेकिन केवल [56% पर्याप्त स्वयं-सेवा टूल की रिपोर्ट करते हैं](https://www.rediansoftware.com/top-10-insurance-digital-transformation-2026/) - एक ऐसा अंतर जो प्रमाणीकरण घर्षण (friction) से और बढ़ जाता है। नीचे दिया गया चार्ट दिखाता है कि चैनलों में इन अर्थशास्त्रों की तुलना कैसे की जाती है। Passkeys सीधे ग्राहक के इरादे और वास्तविक पोर्टल उपयोग के बीच के अंतर को संबोधित करते हैं। जब लॉगिन में 2 सेकंड से कम समय लगता है और बायोमेट्रिक पुष्टि के साथ पासवर्ड-प्लस-OTP फ़्लो के बजाय जो 5-15% समय विफल रहता है, तो अधिक पॉलिसीधारक फोन उठाने के बजाय डिजिटल यात्रा पूरी करते हैं। ### 7.3 Corbado की ऑब्ज़र्वेबिलिटी विशिष्ट रूप से डिजिटल एडॉप्शन के बारे में क्या बताती है अधिकांश बीमाकर्ता जानते हैं कि उनकी डिजिटल एडॉप्शन दर उनके इच्छित लक्ष्य से कम है। वे जिसका उत्तर नहीं दे सकते वह है **क्यों**। क्या यह डिवाइस असंगतता है? नामांकन प्रवाह घर्षण? एक विशिष्ट OS या ब्राउज़र जहाँ passkeys चुपचाप विफल हो जाते हैं? एक जनसांख्यिकीय खंड जिसे कभी संकेत नहीं मिलता? यहीं पर Corbado की प्रमाणीकरण ऑब्ज़र्वेबिलिटी कुछ ऐसा प्रदान करती है जो बाज़ार में कोई अन्य उपकरण प्रदान नहीं करता: प्रमाणीकरण टेलीमेट्री को सीधे व्यावसायिक मेट्रिक्स जैसे डिजिटल एडॉप्शन दर, स्वयं-सेवा पूर्णता दर और चैनल प्रवासन से जोड़ने की क्षमता। Corbado सामने लाता है: - **जहां पॉलिसीधारक प्रमाणीकरण फ़नल से बाहर हो जाते हैं** - केवल "लॉगिन विफल" नहीं बल्कि किस समारोह चरण में, किस डिवाइस पर, किस उपयोगकर्ता खंड के लिए। - **कौन से समूह लीगेसी विधियों पर अटके हुए हैं** - उदा. Android पर 60 वर्ष से अधिक आयु के पॉलिसीधारक जो कभी भी passkey प्रॉम्प्ट नहीं देखते हैं क्योंकि उनका डिवाइस असंगत है, चुपचाप उन्हें SMS और फिर कॉल सेंटर पर रूट कर देता है। - **प्रमाणीकरण सफलता और डिजिटल जुड़ाव के बीच सीधा संबंध** - यदि लॉगिन सफलता दर में 10 प्रतिशत अंक की वृद्धि होती है, तो पोर्टल स्वयं-सेवा उपयोग कितना बढ़ जाता है? संपर्क केंद्र पर कितने कम कॉल आते हैं? बोर्ड के सामने प्रस्तुत करने वाले CIO या डिजिटल के SVP के लिए, यह "हमने passkeys लॉन्च किया" को "passkeys ने डिजिटल स्वयं-सेवा एडॉप्शन में X% की वृद्धि की, कॉल-सेंटर वॉल्यूम में Y% की कमी की और प्रति तिमाही USD Z बचाया" में बदल देता है। यह वह रणनीतिक आख्यान है जो निवेश को सही ठहराता है और व्यापक डिजिटल परिवर्तन रोडमैप को गति देता है। ## 8. Corbado बीमाकर्ताओं को passkeys तैनात करने में कैसे मदद करता है अधिकांश बीमाकर्ताओं के पास पहले से ही एक CIAM प्लेटफ़ॉर्म (Ping, ForgeRock, Okta) है जो WebAuthn समारोह को संभाल सकता है। उनके पास उस एडॉप्शन लेयर की कमी है जो "हम passkeys का समर्थन करते हैं" को "हमारे 50% पॉलिसीधारक passkeys का उपयोग करते हैं" में बदल देता है। Corbado वह लेयर प्रदान करता है। ### 8.1 एडॉप्शन इंजन Corbado के पूर्व-निर्मित UI घटक और निर्णय तर्क उस नामांकन यात्रा को संभालते हैं जिसे CIAM प्लेटफ़ॉर्म कस्टम विकास के लिए छोड़ देते हैं: - **प्रासंगिक नामांकन प्रॉम्प्ट** खाता सेटिंग में दबे होने के बजाय उच्च-ट्रस्ट क्षणों (एक सफल MFA चेक के तुरंत बाद) पर सामने आते हैं। - **प्रगतिशील तात्कालिकता (Progressive urgency)** "वैकल्पिक" नजिस से "अनुशंसित" से "अनिवार्य" तक कॉन्फ़िगर करने योग्य समयरेखा पर जाती है, जो अधिकांश बीमाकर्ताओं को आवश्यक 12-18 महीने के एडॉप्शन वक्र से मेल खाती है। - विभिन्न पॉलिसीधारक खंडों और उत्पाद लाइनों में रूपांतरण दरों को अनुकूलित करने के लिए नामांकन संदेश, समय और स्थान के लिए **A/B परीक्षण**। ### 8.2 डिवाइस इंटेलिजेंस Corbado डिवाइस-स्तरीय passkey संगतता का लगातार अद्यतन मैट्रिक्स बनाए रखता है: - यदि किसी विशिष्ट Samsung मॉडल में एक टूटा हुआ passkey कार्यान्वयन है, तो Corbado स्वचालित रूप से प्रॉम्प्ट को दबा देता है, उपयोगकर्ता को बिना निराशा के फ़ॉलबैक पर रूट करता है। - [Passkey Intelligence](https://docs.corbado.com/corbado-connect/features/passkey-intelligence) संकेत देने से पहले डिवाइस क्षमताओं का पता लगाता है, "ऑपरेशन बाधित" त्रुटियों को रोकता है जो समर्थन स्पाइक्स का कारण बनते हैं। - बीमा-विशिष्ट डिवाइस विविधता (सेवानिवृत्त लोगों द्वारा उपयोग किए जाने वाले पुराने टैबलेट, साझा एजेंसी वर्कस्टेशन, कॉर्पोरेट-प्रबंधित लैपटॉप) को कॉन्फ़िगर करने योग्य ट्रस्ट नीतियों के माध्यम से संभाला जाता है। ### 8.3 स्मार्ट फ़ॉलबैक Corbado उपयोगकर्ताओं को बुद्धिमानी से विकल्पों पर रूट करके स्थायी लॉकआउट को रोकता है जब उनका डिवाइस या वातावरण passkey-तैयार नहीं होता है: - असंगत उपकरणों पर पॉलिसीधारक त्रुटि स्क्रीन के बजाय अगली-सर्वोत्तम विधि में एक सुचारू संक्रमण देखते हैं। - पहचान प्रमाणन (eKYC, ID स्कैन + जीवंतता) का उपयोग करके पुनर्प्राप्ति प्रवाह कॉल-सेंटर हस्तक्षेप के बिना पुन: नामांकन की अनुमति देता है। - एजेंट-विशिष्ट फ़ॉलबैक नीतियां साझा वर्कस्टेशन और कॉर्पोरेट प्रॉक्सी वातावरण को समायोजित करती हैं जो हाइब्रिड (QR कोड) प्रवाह को अवरुद्ध करते हैं। ### 8.4 फोरेंसिक टेलीमेट्री Corbado "X-Ray दृष्टि" प्रदान करता है जो सर्वर-साइड CIAM लॉग नहीं कर सकते: - **डिवाइस ट्रस्ट डैशबोर्ड** passkey प्रकार, डिवाइस वर्गीकरण और SCA कारक कवरेज द्वारा सफलता दरों को दर्शाता है। - **रीयल-टाइम विसंगति का पता लगाना** सुरक्षा घटनाओं के बनने से पहले असामान्य पैटर्न (साझा डिवाइस स्पाइक्स, संदिग्ध वातावरण से नामांकन) को फ़्लैग करता है। - **ऑडिट-तैयार रिपोर्टिंग** CISO को NYDFS वार्षिक प्रमाणन, NAIC परीक्षाओं और आंतरिक बोर्ड रिपोर्टिंग के लिए आवश्यक डेटा देती है। Corbado आपके मौजूदा CIAM स्टैक को प्रतिस्थापित नहीं करता है। यह डिवाइस विखंडन, उपयोगकर्ता शिक्षा और परिचालन दृश्यता की वास्तविक दुनिया की जटिलता को संभालते हुए इसके सामने बैठता है जो यह निर्धारित करता है कि आपका passkey निवेश ROI प्रदान करता है या 1% से कम एडॉप्शन पर रुक जाता है। ## 9. निष्कर्ष बीमा ग्राहक पोर्टल एक ही समय में कई दिशाओं से दबाव में हैं: बढ़ते ATO हमले, महंगा SMS OTP बुनियादी ढांचा, पासवर्ड रीसेट से कॉल-सेंटर अधिभार, अमेरिका, यूरोपीय संघ, ऑस्ट्रेलिया और कनाडा में विनियामक अपेक्षाओं को कड़ा करना - और पॉलिसीधारकों को उच्च-लागत वाले मानव चैनलों से डिजिटल स्वयं-सेवा में स्थानांतरित करने के लिए एक रणनीतिक जनादेश। Passkeys फ़िशेबल क्रेडेंशियल को समाप्त करके, प्रति-प्रमाणीकरण लागतों को हटाकर, समर्थन बोझ को कम करके, मजबूत MFA की ओर बदलाव के साथ संरेखित करके और डिजिटल एडॉप्शन को रोकने वाले लॉगिन घर्षण (friction) को दूर करके सभी पांचों को संबोधित करते हैं। Aflac (500,000 नामांकन, 96% सफलता दर), Branch Insurance (50% टिकट में कमी) और HealthEquity (बिना किसी ऑप्ट-आउट के अनिवार्य रोलआउट) ने पहले ही साबित कर दिया है कि बड़े पैमाने पर एडॉप्शन काम करता है। पासकीज़ को बुनियादी ढाँचे के चेकबॉक्स के बजाय एक उत्पाद यात्रा के रूप में मानना कुंजी है: नामांकन प्रवाह में निवेश करें, क्लाइंट को इंस्ट्रूमेंट करें, फ़ॉलबैक की योजना बनाएं और वह टेलीमेट्री बनाएं जो प्रमाणीकरण प्रदर्शन को उन व्यावसायिक मीट्रिक से जोड़ती है जिनकी आपके बोर्ड को वास्तव में परवाह है - डिजिटल एडॉप्शन दर, कॉल-सेंटर डिफ्लेक्शन और स्वयं-सेवा पूर्णता। अपनी वर्तमान स्थिति को बेंचमार्क करने, 12-18 महीने का लक्ष्य निर्धारित करने और अपने बोर्ड और नियामकों को संरचित प्रगति को संप्रेषित करने के लिए [Insurance Authentication Maturity Model](#6-insurance-authentication-maturity-model-क्या-है) का उपयोग करें। ## अक्सर पूछे जाने वाले प्रश्न ### Passkeys बीमा ग्राहक पोर्टलों के लिए अकाउंट टेकओवर के जोखिम को कैसे कम करते हैं? Passkeys पब्लिक-प्राइवेट की क्रिप्टोग्राफी का उपयोग करते हैं जो बीमाकर्ता के डोमेन से बंधे होते हैं, जिससे वे फ़िशिंग, क्रेडेंशियल स्टफ़िंग और सिम-स्वैपिंग हमलों से प्रतिरक्षित हो जाते हैं जो पासवर्ड और SMS OTP फ़्लो को प्रभावित करते हैं। Aflac ने passkeys तैनात करने के बाद 96% लॉगिन सफलता दर की सूचना दी, और Branch Insurance के समर्थन टिकटों में लगभग 50% की गिरावट देखी गई। क्योंकि प्रमाणीकरण के दौरान कोई साझा रहस्य (shared secret) प्रसारित नहीं होता है, हमलावर पुन: प्रयोज्य क्रेडेंशियल्स प्राप्त नहीं कर सकते हैं, भले ही वे नेटवर्क को नियंत्रित करते हों। ### कौन से अनुपालन ढांचे बीमा ग्राहक पोर्टलों के लिए प्रमाणीकरण आवश्यकताओं को आकार देते हैं और passkeys कैसे मदद करते हैं? अमेरिका में, NYDFS Part 500, FTC Safeguards Rule और NAIC Insurance Data Security Model Law सभी बीमाकर्ताओं को मजबूत MFA की ओर धकेलते हैं। अमेरिका के बाहर, EU के बीमाकर्ता DORA के तहत, ऑस्ट्रेलियाई बीमाकर्ता APRA CPS 234 के तहत और कनाडाई बीमाकर्ता OSFI Guideline B-13 के तहत आते हैं, जो सभी ग्राहक-सामना करने वाले सिस्टम के लिए प्रमाणीकरण नियंत्रणों के आसपास उम्मीदें बढ़ाते हैं। Passkeys मदद करते हैं क्योंकि वे FIDO2/WebAuthn क्रिप्टोग्राफ़िक क्रेडेंशियल्स का उपयोग करके फ़िशिंग-प्रतिरोधी MFA प्रदान करते हैं जबकि कमजोर SMS OTP फ़्लो पर निर्भरता कम करते हैं। ### बीमा पोर्टल प्रमाणीकरण के लिए SMS OTP, TOTP और डिवाइस ट्रस्ट की तुलना में passkeys कैसे हैं? स्केल पर SMS OTP की कीमत USD 0.01-0.05 प्रति संदेश होती है, यह सिम-स्वैपिंग और फ़िशिंग के प्रति संवेदनशील है और डिलीवरी विफलताओं से उच्च कॉल-सेंटर लोड उत्पन्न करता है। TOTP ऐप्स प्रति-संदेश लागत को समाप्त करते हैं लेकिन फ़िशिंग के शिकार हो सकते हैं और उन्हें मैन्युअल कोड प्रविष्टि की आवश्यकता होती है। डिवाइस ट्रस्ट ज्ञात उपकरणों पर घर्षण (friction) कम करता है लेकिन कोई फ़िशिंग प्रतिरोध प्रदान नहीं करता है। Passkeys फ़िशिंग-प्रतिरोधी सुरक्षा को शून्य प्रति-प्रमाणीकरण लागत और उप-2-सेकंड लॉगिन समय के साथ जोड़ते हैं, जिससे वे एकमात्र तरीका बन जाते हैं जो सुरक्षा, UX, लागत और अनुपालन आयामों में उच्चतम स्कोर करता है। ### बैंकों या SaaS कंपनियों की तुलना में बीमाकर्ताओं के लिए passkey रोलआउट को क्या अलग बनाता है? बीमाकर्ताओं को मल्टी-ब्रांड पोर्टल जटिलता का सामना करना पड़ता है जहाँ ऑटो, होम और जीवन उत्पाद अलग-अलग सबडोमेन पर चल सकते हैं जिनके लिए एक एकीकृत rpID रणनीति की आवश्यकता होती है। Ping, ForgeRock या Okta जैसे लिगेसी CIAM प्लेटफ़ॉर्म बैकएंड WebAuthn को संभालते हैं लेकिन सीमित एडॉप्शन टूलिंग प्रदान करते हैं। एजेंट बनाम पॉलिसीधारक फ़्लो के लिए अलग-अलग ट्रस्ट स्तरों और डिवाइस प्रोफ़ाइलों की आवश्यकता होती है। विनियामक दबाव कई न्यायालयों में भी फैला हुआ है: अमेरिकी बीमाकर्ता NYDFS Part 500, NAIC Model Law और FTC Safeguards Rule का सामना करते हैं, EU के बीमाकर्ता DORA के अंतर्गत आते हैं, ऑस्ट्रेलियाई बीमाकर्ता APRA CPS 234 को जवाब देते हैं और कनाडाई बीमाकर्ता OSFI Guideline B-13 को। इसके लिए एक रोलआउट योजना की आवश्यकता है जो सख्त लागू मानक को संतुष्ट करती हो। ### Insurance Authentication Maturity Model क्या है और बीमाकर्ता अपनी प्रगति को बेंचमार्क करने के लिए इसका उपयोग कैसे कर सकते हैं? Insurance Authentication Maturity Model चार स्तरों को परिभाषित करता है: स्तर 1 (SMS-only) सिंगल-फैक्टर OTP के साथ और कोई फ़िशिंग प्रतिरोध नहीं; स्तर 2 (MFA-enabled) पासवर्ड और बुनियादी अनुपालन को पूरा करने वाले SMS या TOTP के साथ; स्तर 3 (phishing-resistant) जिसमें passkeys तैनात, नामांकन सुरक्षित और स्मार्ट फ़ॉलबैक हैं; स्तर 4 (phishing-resistant + observability) पूर्ण टेलीमेट्री, डिवाइस ट्रस्ट और निरंतर निगरानी के साथ। बीमाकर्ता मॉडल का उपयोग अपने वर्तमान स्तर की पहचान करने, लक्षित मील के पत्थर निर्धारित करने और बोर्डों तथा नियामकों को प्रगति की जानकारी देने के लिए कर सकते हैं।