Japan FSA Passkeys: Phishing-Resistant MFA के लिए पहल (2026)

1. परिचय: 16 अप्रैल, 2026 का FSA पेज क्यों मायने रखता है#

जापान का 16 अप्रैल, 2026 का FSA पेज इसलिए मायने रखता है क्योंकि यह सार्वजनिक रूप से लक्ष्य को सामान्य MFA से फ़िशिंग (phishing)-resistant ऑथेंटिकेशन में बदल देता है। यह पेज पासकी (passkeys) और PKI को पसंदीदा उदाहरणों के रूप में नामित करता है, ईमेल और SMS OTP को आधुनिक फ़िशिंग (phishing) के खिलाफ पर्याप्त सुरक्षा के रूप में अस्वीकार करता है, और केवल-उद्योग (industry-only) अनुपालन चर्चा को उपभोक्ता-सामना करने वाले बाजार संकेत (consumer-facing market signal) में बदल देता है।

जापान की 16 अप्रैल, 2026 की FSA घोषणा पहली नज़र में मामूली लगती है। यह कोई नया कानून नहीं है। यह प्रत्यक्ष प्रवर्तन कार्रवाई (enforcement action) नहीं है। यह एक नई अनुपालन समय-सीमा (compliance deadline) प्रकाशित नहीं करता है। इसके बजाय, यह डाउनलोड करने योग्य पत्रक और पोस्टर के साथ एक सार्वजनिक अभियान पेश करता है।

Financial Services Agency (FSA) ने यहाँ जो किया वह बातचीत को उद्योग/नियामक चैनल से सार्वजनिक डोमेन में ले जाना था। नियामक अब केवल बैंकों, ब्रोकरों और व्यापार संघों को ऑथेंटिकेशन को मजबूत करने के लिए नहीं कह रहा है। यह अब सामान्य उपयोगकर्ताओं को बता रहा है कि:

• केवल-पासवर्ड (password-only) ऑथेंटिकेशन कमजोर है,
• ईमेल और SMS OTP अब पर्याप्त नहीं हैं,
• उपयोगकर्ताओं को phishing-resistant MFA को प्राथमिकता देनी चाहिए, और
• passkeys और PKI ऑथेंटिकेशन सही दिशा हैं।

यह टोन में एक बड़ा बदलाव है। और बैंकिंग जैसे अत्यधिक विनियमित उद्योगों में, टोन अक्सर अगला औपचारिक नियम पाठ (formal rule text) आने से बहुत पहले कार्यान्वयन दबाव (implementation pressure) बन जाता है।

यह सार्वजनिक अभियान भी कहीं से उभरकर नहीं आया है। अपने स्वयं के जून 2025 के अंग्रेजी ब्रीफिंग PDF में, FSA ने पहले ही चेतावनी दी थी कि केवल ID/पासवर्ड (ID/password-only) ऑथेंटिकेशन असुरक्षित है और ईमेल या SMS द्वारा भेजे गए वन-टाइम पासवर्ड (one-time passwords) फ़िशिंग के खिलाफ पर्याप्त प्रभावी नहीं हैं। इस बीच, 2025 के अंत में उद्योग कवरेज ने जापान के बाजार को 64 FIDO Japan Working Group संगठनों और 50+ passkey प्रदाताओं (लाइव या योजनाबद्ध) के रूप में वर्णित किया, जो दर्शाता है कि अप्रैल 2026 के सार्वजनिक अभियान से पहले ही परिनियोजन (deployment) की गति वास्तविक थी (CNET Japan कवरेज)। जापानी बैंकों, प्लेटफ़ॉर्मों और नियामकों ने पासवर्डलेस (passwordless) पर कैसे प्रगति की है, इसके व्यापक दृष्टिकोण के लिए, हमारा जापान में passkeys का अवलोकन देखें।

2. FSA ने वास्तव में 16 अप्रैल, 2026 को क्या प्रकाशित किया#

16 अप्रैल का पेज एक समन्वित सार्वजनिक अभियान पैकेज (coordinated public campaign package) है, न कि कोई एकल प्रेस नोट। यह 9 पुन: प्रयोज्य परिसंपत्तियों (reusable assets) (5 PDF पत्रक और 4 प्रमोशनल वीडियो) को बंडल करता है, एक ही संदेश के आसपास बैंकों, प्रतिभूति समूहों और पुलिस को संरेखित करता है, और उपभोक्ताओं को बताता है कि phishing-resistant MFA को उच्च-जोखिम वाली वित्तीय यात्राओं (high-risk financial journeys) के लिए पासवर्ड प्लस OTP पर निर्भरता को प्रतिस्थापित करना चाहिए।

आधिकारिक पेज 5 PDF पत्रकों को लिंक करता है, जिन्हें एक सिंहावलोकन (overview) के रूप में व्यवस्थित किया गया है और दो विषयों (phishing-resistant MFA और फ़िशिंग-ईमेल जागरूकता) के विस्तृत संस्करण दिए गए हैं:

• अवलोकन (概要版)
• Phishing-resistant MFA, अवलोकन
• Phishing-resistant MFA, विस्तृत
• फ़िशिंग-ईमेल जागरूकता, अवलोकन
• फ़िशिंग-ईमेल जागरूकता, विस्तृत

PDF के साथ-साथ, यह पेज इन्हीं दो विषयों पर 4 प्रमोशनल वीडियो को बढ़ावा देता है, जो ड्रामा और मंगा (manga) दोनों प्रारूपों में निर्मित हैं ताकि अभियान विभिन्न आयु समूहों और पढ़ने के संदर्भों तक पहुँच सके, न कि केवल नीति पाठकों (policy readers) तक।

इस अभियान को FSA के साथ निम्न के संयुक्त प्रयास के रूप में प्रस्तुत किया गया है:

• राष्ट्रव्यापी बैंकिंग संघ,
• शिंकिन (shinkin) बैंक,
• क्रेडिट सहकारी समितियां,
• श्रम (labor) बैंक,
• प्रतिभूति (securities) उद्योग समूह, और
• National Police Agency।

यह व्यापकता मायने रखती है। यह कोई विशिष्ट प्रतिभूति-केवल (securities-only) चेतावनी नहीं है। यह जापान के रिटेल वित्तीय इकोसिस्टम में एक समन्वित संदेश है।

2.1 केंद्रीय नीति संदेश#

अभियान में इस्तेमाल किया गया मुख्य शब्द है フィッシングに耐性のある多要素認証, जिसका अर्थ है phishing-resistant multi-factor authentication।

पत्रक (leaflets) समझाते हैं कि लीगेसी ऑथेंटिकेशन वर्तमान खतरे के मॉडल से पिछड़ गया है:

• पासवर्ड को फ़िश (phish) या पुन: उपयोग (reuse) किया जा सकता है,
• ईमेल / SMS OTP को रीयल-टाइम में चुराया जा सकता है,
• मालवेयर (malware) उपयोगकर्ता सत्र (user session) को देख या हेरफेर (manipulate) कर सकता है, और
• नकली साइटें असली ब्रांड की इतनी बारीकी से नकल कर सकती हैं कि दृश्य निरीक्षण (visual inspection) एक विश्वसनीय बचाव नहीं है।

अभियान फिर मजबूत ऑथेंटिकेशन के दो प्राथमिक उदाहरण प्रस्तुत करता है:

1. Passkeys
2. PKI-आधारित ऑथेंटिकेशन

यह दूसरा भाग महत्वपूर्ण है। जापान इसे पूरी तरह से "सभी को passkeys का उपयोग करना चाहिए" के रूप में प्रस्तुत नहीं कर रहा है। नियामक वांछित परिणाम को phishing-resistant authentication के रूप में तैयार कर रहा है, और passkeys वहां पहुंचने के सबसे स्पष्ट उपभोक्ता-ग्रेड (consumer-grade) तरीकों में से एक हैं।

उस अंतर को ठोस बनाने के लिए, FSA की रूपरेखा (framing) ऑथेंटिकेशन विधियों को अंतर्निहित रूप से इस तरह से अलग करती है:

2.2 यह अभियान व्यवहारिक (behavioral) भी है#

सामग्री केवल ऑथेंटिकेशन तकनीक पर ध्यान केंद्रित नहीं करती है। वे उपयोगकर्ताओं को यह भी बताते हैं:

• ईमेल या SMS के अंदर लिंक से लॉग इन करने से बचें,
• बुकमार्क या आधिकारिक ऐप्स का उपयोग करें,
• अपरिचित स्क्रीन और असामान्य संकेतों (prompts) पर अविश्वास करें,
• आधिकारिक ऐप स्टोर को प्राथमिकता दें, और
• अजीब ब्राउज़र निर्देशों जैसे अप्रत्याशित कीबोर्ड शॉर्टकट से सावधान रहें।

दूसरे शब्दों में, FSA यह दिखावा नहीं कर रहा है कि केवल ऑथेंटिकेशन तकनीक ही पूरी समस्या को हल करती है। यह व्यवहारिक स्वच्छता (behavioral hygiene) के साथ तकनीकी प्रतिवादों (technical countermeasures) को जोड़ रहा है।

3. यहाँ क्या नया है, और क्या नहीं#

16 अप्रैल का पेज इसलिए नया है क्योंकि यह सार्वजनिक रूपरेखा (public framing) को बदलता है, इसलिए नहीं कि यह एक नया स्टैंडअलोन (standalone) कानून बनाता है। वास्तविक विकास यह है कि जापान का नियामक अब सार्वजनिक रूप से बताता है कि पासकी (passkeys) और PKI पासवर्ड-प्लस-OTP (password-plus-OTP) फ़्लो से बेहतर क्यों हैं, जो वित्तीय संस्थानों को फ़िशिंग प्रतिरोध (phishing resistance) के आसपास ऑथेंटिकेशन को फिर से डिज़ाइन करने के लिए मजबूत कवर देता है।

3.1 वास्तव में क्या नया है#

16 अप्रैल का पेज कम से कम चार मायनों में नया है:

3.1.1 Passkeys अब नियामक की सार्वजनिक शब्दावली का हिस्सा हैं#

कई नियामक अमूर्त (abstract) शब्दों में MFA के बारे में बात करते हैं। जापान का FSA कुछ अधिक ठोस कर रहा है: यह जनता को बता रहा है कि passkeys, पुराने लॉगिन पैटर्न की तुलना में फ़िशिंग (phishing) और प्रतिरूपण (impersonation) के खिलाफ एक मजबूत बचाव हैं।

यह मायने रखता है क्योंकि सार्वजनिक नामकरण (public naming), उत्पाद निर्णयों (product decisions) को बदल देता है। एक बार जब नियामक सार्वजनिक रूप से passkeys का नाम लेता है, तो वित्तीय संस्थान आंतरिक रूप से निवेश को अधिक आसानी से उचित ठहरा सकते हैं:

• अनुपालन (compliance) टीमें नियामक का हवाला दे सकती हैं,
• जोखिम (risk) टीमें passkeys को सीधे फ़िशिंग हानि में कमी (phishing loss reduction) से जोड़ सकती हैं,
• उत्पाद (product) टीमें passkeys को एक वैकल्पिक नवाचार (innovation) परियोजना के रूप में मानने के बजाय आधिकारिक मार्गदर्शन के साथ संरेखित कर सकती हैं।

3.1.2 FSA सार्वजनिक रूप से OTP को डाउनग्रेड कर रहा है#

यह कोई सूक्ष्म निहितार्थ (subtle implication) नहीं है। सामग्री बताती है कि ईमेल या SMS द्वारा वितरित OTP को अभी भी इसके द्वारा हराया जा सकता है:

• रीयल-टाइम फ़िशिंग,
• man-in-the-middle अवरोधन (interception), और
• मालवेयर (malware)-सहायता प्राप्त चोरी।

यह "OTP कम सुरक्षित है" कहने वाले एक सामान्य सर्वोत्तम-अभ्यास (best-practice) नोट से अधिक मजबूत है। यह नियामक है जो जनता को बता रहा है कि OTP-आधारित MFA सार्थक फ़िशिंग प्रतिरोध (phishing resistance) प्रदान नहीं करता है।

3.1.3 संदेश क्रॉस-सेक्टर है#

जापान इसे एक वर्टिकल (vertical) तक सीमित नहीं कर रहा है। बैंक, ब्रोकर और अन्य वित्तीय अभिनेता सभी एक ही सार्वजनिक संकेत (public signal) का हिस्सा हैं। यह व्यापक इकोसिस्टम सामान्यीकरण (ecosystem normalization) की संभावनाओं को बढ़ाता है:

• बैंक उपयोगकर्ताओं को मजबूत लॉगिन की उम्मीद करने के लिए प्रशिक्षित कर सकते हैं,
• ब्रोकर उच्च-जोखिम वाले कार्यों के लिए मजबूत ऑथेंटिकेशन को डिफ़ॉल्ट बना सकते हैं,
• उपयोगकर्ता विरोधाभासी स्पष्टीकरणों के बजाय संस्थानों में समान भाषा का सामना करेंगे।

3.1.4 FSA उपभोक्ता को सीधे शिक्षित कर रहा है#

यह सबसे महत्वपूर्ण बिंदु है।

इनके बीच एक बड़ा अंतर है:

• एक नियामक वित्तीय संस्थानों को बता रहा है कि उन्हें क्या लागू करना चाहिए, और
• एक नियामक ग्राहकों को बता रहा है कि सुरक्षित ऑथेंटिकेशन अब कैसा दिखता है।

दूसरा कदम रोलआउट के राजनीतिक और UX जोखिम को कम करता है। एक बैंक या ब्रोकर अब कह सकता है: "यह केवल हमारा विचार नहीं है; यह वह दिशा है जिसे नियामक स्वयं बढ़ावा दे रहा है।"

3.2 क्या नया नहीं है#

यह पेज स्वयं यह नहीं बनाता है:

• एक नया स्टैंडअलोन जनादेश (standalone mandate),
• एक नई कार्यान्वयन समय-सीमा (implementation deadline),
• passkeys के लिए एक विस्तृत तकनीकी विनिर्देश (technical specification),
• एक घोषणा कि passkeys ही एकमात्र स्वीकार्य तकनीक हैं, या
• सीधे इस अभियान से जुड़े प्रतिबंधों की एक सूची।

यह अंतर इसलिए मायने रखता है क्योंकि कई पाठक इस घोषणा को "जापान ने अभी passkeys अनिवार्य कर दिया है" के रूप में बढ़ा-चढ़ाकर पेश करेंगे। यह पर्याप्त सटीक नहीं है।

बेहतर व्याख्या यह है:

यह रणनीतिक रूप से महत्वपूर्ण है, भले ही यह अपने आप में एक नया नियम न हो।

4. FSA सामान्य MFA के बजाय phishing-resistant MFA पर ध्यान केंद्रित करने के लिए सही क्यों है#

FSA सही है क्योंकि सामान्य MFA अभी भी मुख्य धोखाधड़ी (fraud) पथ को बरकरार रखता है। पासवर्ड प्लस OTP एक और पुन: प्रयोज्य रहस्य (reusable secret) जोड़ता है, जबकि phishing-resistant MFA प्रोटोकॉल को बदलता है ताकि नकली साइट ऑथेंटिकेशन को पूरा न कर सके, भले ही उपयोगकर्ता को प्रयास करने के लिए चकमा दिया गया हो।

4.1 OTP कल की समस्या का समाधान करता है#

SMS और ईमेल OTP को क्रेडेंशियल रिप्ले (credential replay) को कठिन बनाने के लिए डिज़ाइन किया गया था। वे कुछ पुराने हमले (attack) पैटर्न के खिलाफ काम करते हैं, लेकिन आधुनिक हमलावरों (attackers) को घंटों बाद कोड फिर से चलाने की आवश्यकता नहीं होती है। वे इसे रियल-टाइम में चुराते हैं। यह एक ऐसे बाजार में और भी अधिक मायने रखता है जहां जापान में पासवर्ड का पुन: उपयोग (password reuse in Japan) अभी भी बहुत अधिक है, जिसका अर्थ है कि OTP चरण शुरू होने से पहले ही पहला कारक अक्सर समझौता (compromised) कर लिया जाता है।

रियल-टाइम फ़िशिंग के साथ मुख्य समस्या यही है:

1. एक पीड़ित (victim) नकली साइट पर आता है।
2. पीड़ित उपयोगकर्ता नाम (username) और पासवर्ड दर्ज करता है।
3. हमलावर उन क्रेडेंशियल्स को असली साइट पर भेजता है।
4. असली साइट OTP का अनुरोध करती है।
5. नकली साइट पीड़ित से OTP मांगती है।
6. हमलावर असली लॉगिन पूरा करने के लिए तुरंत इसका उपयोग करता है।

उस वर्कफ़्लो (workflow) में, OTP हमलावर को नहीं रोकता है। यह बस एक और रहस्य बन जाता है जिसे उजागर करने के लिए पीड़ित को चकमा दिया जा सकता है।

4.2 Passkeys विश्वास मॉडल (trust model) को बदलते हैं#

Passkeys अलग तरीके से काम करते हैं क्योंकि वे ऑरिजिन-बाउंड (origin-bound) हैं। क्रेडेंशियल का उपयोग केवल passkey के relying party से जुड़ी वैध साइट पर ही किया जा सकता है। इसके लिए तकनीकी आधार व्यवहार W3C WebAuthn specification और FIDO Alliance के passkey दस्तावेज़ (documentation) में मौजूद है, जिनमें से दोनों साइट-बाउंड (site-bound) चुनौती-प्रतिक्रिया (challenge-response) मॉडल का वर्णन करते हैं जो एक नकली डोमेन को असली वाले के लिए बनाए गए क्रेडेंशियल का पुन: उपयोग (reuse) करने से रोकता है।

इसका अर्थ है कि एक नकली डोमेन उपयोगकर्ता से पासवर्ड या OTP मांगने के तरीके की तरह केवल "passkey टाइप करने" के लिए नहीं कह सकता है। टाइप करने के लिए कुछ भी पुन: प्रयोज्य (reusable) नहीं है, और ब्राउज़र / ऑपरेटिंग सिस्टम ऑथेंटिकेशन आगे बढ़ने से पहले साइट संदर्भ (site context) की जांच करता है।

यही कारण है कि passkeys, phishing-resistant ऑथेंटिकेशन के केंद्र में हैं:

• फिर से दर्ज (re-enter) करने के लिए कोई साझा रहस्य (shared secret) नहीं है,
• उपयोगकर्ता को मैन्युअल रूप से एक पुन: प्रयोज्य (reusable) कोड प्रसारित करने के लिए नहीं कहा जाता है,
• निजी कुंजी (private key) कभी भी उपयोगकर्ता डिवाइस को नहीं छोड़ती है, और
• ऑथेंटिकेटर (authenticator) वैध ऑरिजिन (legitimate origin) से बंधा होता है।

यही कारण है कि 16 अप्रैल का अभियान मायने रखता है। FSA केवल यह नहीं कह रहा है कि "बेहतर MFA का उपयोग करें।" यह उन ऑथेंटिकेशन विधियों की ओर इशारा कर रहा है जहाँ फ़िशिंग साइट उपयोगकर्ता को मैन्युअल रूप से धोखाधड़ी का पता लगाने के लिए कहने के बजाय प्रोटोकॉल परत (protocol layer) पर विफल हो जाती है।

4.3 PKI भी मायने रखता है#

जापान का अभियान PKI पर भी प्रकाश डालता है और स्पष्ट रूप से उल्लेख करता है कि My Number card क्रेडेंशियल्स का उपयोग ऑथेंटिकेशन संदर्भों में किया जा सकता है।

यह आकस्मिक नहीं है। कई पश्चिमी उपभोक्ता बाजारों की तुलना में जापान का सर्टिफिकेट-उन्मुख (certificate-oriented) पहचान मॉडल के साथ एक गहरा संस्थागत (institutional) इतिहास है। इसलिए संभावित जापानी एंड-स्टेट (end-state) "केवल passkeys (passkeys only)" नहीं है। यह इसके करीब है:

• मुख्यधारा (mainstream) उपभोक्ता लॉगिन और स्टेप-अप (step-up) प्रवाह के लिए passkeys,
• मजबूत आश्वासन (assurance) या सार्वजनिक-क्षेत्र (public-sector) जैसे पहचान मामलों के लिए PKI / सर्टिफिकेट-आधारित ऑथेंटिकेशन,
• और phishing-resistant परिणामों (outcomes) के लिए व्यापक विनियामक प्राथमिकता (regulatory preference)।

उत्पाद टीमों (product teams) के लिए, इसका मतलब है कि सही रणनीतिक तुलना "passkeys बनाम पासवर्ड" नहीं है। यह कुछ इस तरह है:

• उपभोक्ता लॉगिन के लिए passkeys बनाम ईमेल/SMS OTP,
• बैंकिंग UX के लिए passkeys बनाम इन-ऐप सॉफ्ट टोकन (in-app soft tokens),
• आश्वासन और पहचान जाँच (identity proofing) परतों के लिए passkeys बनाम PKI।

5. जापान के पहले के विनियामक निर्देश के संदर्भ में 16 अप्रैल और भी अधिक मायने क्यों रखता है#

16 अप्रैल मायने रखता है क्योंकि यह एक पर्यवेक्षी प्रवृत्ति (supervisory trend) को एक सार्वजनिक मानदंड (public norm) में परिवर्तित करता है। 2025 में यह चेतावनी देने के बाद कि केवल-पासवर्ड और OTP-भारी (OTP-heavy) ऑथेंटिकेशन बहुत कमजोर थे, अप्रैल 2026 का अभियान उपभोक्ताओं को सीधे बताता है कि प्रतिस्थापन (replacement) कैसा दिखना चाहिए: passkeys, PKI या दोनों का उपयोग करके phishing-resistant MFA।

2025 और 2026 की शुरुआत तक, जापान का वित्तीय क्षेत्र प्रतिभूतियों (securities) और अन्य ऑनलाइन वित्तीय सेवाओं में फ़िशिंग-संबंधित खाता समझौता (account compromise) घटनाओं के बाद मजबूत नियंत्रणों (controls) की ओर बढ़ रहा था। पृष्ठभूमि जापान में हाई-प्रोफाइल (high-profile) डेटा उल्लंघनों (data breaches in Japan) की एक श्रृंखला है जिसने खाता अधिग्रहण (account takeover) और क्रेडेंशियल चोरी (credential theft) को नियामक एजेंडे पर रखा है। संबंधित FSA सामग्रियों और दिशा-निर्देश (guideline) परिवर्तनों के आसपास बाद की टिप्पणी में, नियामक ने इनके बीच अधिक स्पष्ट अंतर किया:

• "कुछ (some) MFA", और
• phishing-resistant MFA।

वह अंतर ही सब कुछ है।

सामान्य MFA अभी भी उपयोगकर्ताओं को इसके प्रति असुरक्षित छोड़ सकता है:

• OTP चोरी,
• नकली-साइट (fake-site) अग्रेषण (forwarding),
• पुश (push) थकान / अनुमोदन (approval) दुरुपयोग,
• समझौता किए गए (compromised) एंडपॉइंट्स,
• कमजोर पुनर्प्राप्ति (recovery) फ़्लो।

इसके विपरीत, phishing-resistant MFA स्पष्ट रूप से केवल एक और बाधा जोड़ने के बजाय मुख्य धोखाधड़ी (fraud) पथ को ब्लॉक करने का प्रयास करता है। इसलिए 16 अप्रैल के अभियान को जापान में पहले से ही बन रही एक बड़ी दिशा के सार्वजनिक संचालन (public operationalization) के रूप में सबसे अच्छा देखा जाता है:

• वित्तीय सेवाओं (financial services) को केवल अधिक घर्षण (friction) नहीं जोड़ना चाहिए,
• उन्हें उन ऑथेंटिकेशन विधियों पर जाना चाहिए जो फ़िशिंग अर्थशास्त्र (phishing economics) को तोड़ते हैं।

एक नज़र में, यह प्रगति एक वर्ष से कम समय में चार मील के पत्थर (milestones) को पार करती है:

स्रोतों (sources) के साथ, यही प्रगति इस प्रकार है:

• जून 2025: FSA का अंग्रेजी मुद्दा सारांश (issue summary) कहता है कि केवल-पासवर्ड (password-only) ऑथेंटिकेशन कमजोर है और ईमेल / SMS OTP, फ़िशिंग के खिलाफ पर्याप्त प्रभावी नहीं हैं।
• 15 जुलाई, 2025: JSDA मसौदा (draft) दिशानिर्देश संवेदनशील प्रतिभूति कार्यों (sensitive securities actions) जैसे लॉगिन, निकासी (withdrawal) और बैंक-खाता परिवर्तनों के लिए phishing-resistant MFA को आगे बढ़ाता है।
• 2025 का अंत: बाजार रिपोर्टिंग जापान में 50+ passkey प्रदाताओं और 64 FIDO Japan Working Group संगठनों का वर्णन करती है (CNET Japan)।
• 16 अप्रैल, 2026: FSA सार्वजनिक अभियान उसी phishing-resistant संदेश को सीधे उपभोक्ताओं तक ले जाता है।

उस अर्थ में, यह पेज जितना दिखता है, उससे कम "जागरूकता विपणन (awareness marketing)" है। यह एक गहरे विनियामक (regulatory) और इकोसिस्टम बदलाव का सार्वजनिक चेहरा है।

6. जापानी बैंकों, ब्रोकरों और फिनटेक (fintechs) के लिए इसका क्या अर्थ है#

जापानी वित्तीय संस्थानों को 16 अप्रैल के अभियान को लॉगिन, पुनर्प्राप्ति (recovery) और उच्च-जोखिम वाले खाता कार्यों के लिए एक बढ़ी हुई न्यूनतम अपेक्षा (raised minimum expectation) के रूप में मानना चाहिए। एक बार जब नियामक सार्वजनिक रूप से कहता है कि ईमेल और SMS OTP पर्याप्त प्रभावी नहीं हैं, तो धोखाधड़ी (fraud), उत्पाद और पर्यवेक्षी (supervisory) दृष्टिकोण से कमजोर फ़ॉलबैक-भारी (fallback-heavy) MFA का बचाव करना कठिन हो जाता है।

6.1 "MFA उपलब्ध" अब पर्याप्त नहीं है#

एक फ़ॉलबैक के रूप में SMS OTP की पेशकश करते हुए, अनुभव को "सुरक्षित MFA" के रूप में विपणन (marketing) करना बचाव के लिए कठिन होता जा रहा है। नियामक का सार्वजनिक संदेश अब एक अधिक मांग वाला अंतर (demanding distinction) बनाता है: phishing-resistant MFA गंतव्य (destination) होना चाहिए। passkeys के साथ MFA को अनिवार्य करने पर व्यापक उद्योग कार्य उसी दिशा की ओर इशारा करता है।

इसका मतलब है कि संगठनों को मूल्यांकन करना चाहिए:

• जहां SMS/ईमेल OTP अभी भी मौजूद हैं,
• कौन सी यात्राएं (journeys) उच्च जोखिम वाली हैं,
• क्या passkeys वैकल्पिक हैं या वास्तव में प्रोत्साहित (encouraged) की जाती हैं,
• फ़िश करने योग्य फ़ॉलबैक विधियों (phishable fallback methods) पर कितनी निर्भरता बनी हुई है।

6.2 उच्च-जोखिम वाली यात्राओं (high-risk journeys) के लिए विशेष उपचार की आवश्यकता है#

सबसे संवेदनशील यात्राएं (sensitive journeys) केवल लॉगिन नहीं हैं। व्यवहार में, संस्थानों को प्रत्येक फ़िश करने योग्य सतह (phishable surface) की समीक्षा करनी चाहिए:

• लॉगिन,
• भुगतान / निकासी (withdrawal),
• गंतव्य खाता परिवर्तन (destination account change),
• पुनर्प्राप्ति (recovery) और डिवाइस री-बाइंडिंग (re-binding),
• प्रोफ़ाइल और संपर्क विवरण परिवर्तन,
• API या एग्रीगेशन (aggregation) एक्सेस।

कई संस्थान अभी भी खाता पुनर्प्राप्ति (account recovery) पथ की तुलना में लॉगिन पेज को अधिक मजबूती से सुरक्षित करते हैं। वह उल्टा है। हमलावर उपलब्ध सबसे कमजोर मार्ग का उपयोग करेंगे।

6.3 पुनर्प्राप्ति (Recovery) एक रणनीतिक उत्पाद समस्या (strategic product problem) बन जाती है#

एक बार जब phishing-resistant ऑथेंटिकेशन बेंचमार्क बन जाता है, तो पुनर्प्राप्ति डिज़ाइन का सबसे कठिन हिस्सा बन जाती है।

एक passkey रोलआउट अभी भी परिचालन रूप से (operationally) विफल हो सकता है यदि पुनर्प्राप्ति कमजोर ईमेल प्रवाह (email flows), सोशल इंजीनियरिंग या समर्थन प्रक्रियाओं (support procedures) पर वापस आती है जो फ़िश करने योग्य (phishable) चरणों को फिर से शुरू करती है। जापान का FSA अभियान उस डिज़ाइन चुनौती (design challenge) को हल नहीं करता है, लेकिन इसे अनदेखा करना असंभव बना देता है।

6.4 "आधिकारिक पहुंच (Official access)" UX उत्पाद डिज़ाइन का हिस्सा बनना चाहिए#

पत्रक (leaflets) से एक कम आंका गया विवरण (underappreciated detail) बुकमार्क (bookmarks) और आधिकारिक ऐप्स (official apps) की ओर धक्का है। यह एक व्यापक उत्पाद सबक (broader product lesson) का सुझाव देता है:

• केवल ब्रांडिंग पर्याप्त नहीं है,
• लॉगिन प्रवेश बिंदु (entry points) मायने रखते हैं,
• सुरक्षित रूटिंग (routing) मायने रखती है,
• एंटी-फ़िशिंग (anti-phishing) UX, ऑथेंटिकेशन स्टैक (stack) का हिस्सा है।

वित्तीय संस्थानों के लिए, इसका मतलब है:

• ऐप-आधारित लॉगिन पथों को प्रमुख बनाना,
• ईमेल-लिंक निर्भरता को कम करना,
• स्पष्ट रूप से समझाना कि आधिकारिक लॉगिन कहां से शुरू होता है,
• इनबाउंड लिंक स्वच्छता (inbound link hygiene) को धोखाधड़ी की रोकथाम (fraud prevention) के हिस्से के रूप में मानना।

6.5 सॉफ़्ट टोकन (Soft tokens) passkeys के समान नहीं हैं#

कुछ संस्थान ऐप-आधारित अनुमोदन (app-based approval) को मजबूत करके प्रतिक्रिया देंगे और समस्या को हल कहेंगे। यह सुरक्षा में सुधार कर सकता है, लेकिन यह passkeys के समतुल्य (equivalent) नहीं है।

क्यों?

• कई मालिकाना सॉफ्ट-टोकन फ़्लो (proprietary soft-token flows) अभी भी एक वास्तविक साइट को नकली साइट से अलग करने वाले उपयोगकर्ता पर निर्भर करते हैं।
• कुछ फ़्लो को अभी भी रियल-टाइम रिले (relay) या अनुमोदन हेरफेर (approval manipulation) के माध्यम से दुरुपयोग (abused) किया जा सकता है।
• ऐप-स्विचिंग (App-switching) और कोड-हैंडलिंग (code-handling) घर्षण (friction) और भ्रम (confusion) जोड़ते हैं।

Passkeys मायने रखते हैं क्योंकि वे फ़िशिंग जोखिम (phishing exposure) और उपयोगकर्ता प्रयास (user effort) दोनों को कम करते हैं।

6.6 प्रतिस्पर्धियों (competitors) के लिए बार (bar) अभी-अभी आगे बढ़ा है#

एक बार जब FSA सीधे उपभोक्ताओं को शिक्षित करना शुरू कर देता है, तो पीछे रहने वाले (laggards) अधिक दिखाई देने लगते हैं। एक फर्म जो अभी भी पासवर्ड + OTP पर निर्भर है, जल्द ही उन साथियों (peers) की तुलना में पुरानी लग सकती है जो निम्न पेशकश करते हैं:

• passkeys,
• मजबूत डिवाइस-बाउंड (device-bound) ऑथेंटिकेशन,
• या स्पष्ट रूप से ब्रांडेड, phishing-resistant लॉगिन अनुभव।

यह प्रतिस्पर्धी परिदृश्य (competitive landscape) को बदलता है, न कि केवल अनुपालन परिदृश्य (compliance landscape) को।

इसमें से अधिकांश नया क्षेत्र नहीं है। Enterprise Passkeys Guide बड़े पैमाने (large-scale) के उपभोक्ता परिनियोजन (deployments) के लिए मूल्यांकन (assessment), हितधारक (stakeholder) संरेखण (alignment), एकीकरण और परीक्षण के माध्यम से चरण दर चरण (step by step) चलता है, और 10 Passkey Deployment Mistakes Banks Make उन आवर्ती विफलता मोड (recurring failure modes) को संकलित करता है जिन्हें जल्दबाजी में किए गए बैंकिंग रोलआउट दोहराते रहते हैं। FSA अभियान जो जोड़ता है वह तत्परता (urgency) और सार्वजनिक समर्थन (public backing) है, एक नई प्लेबुक (playbook) नहीं।

7. Passkeys के लिए विशेष रूप से इसका क्या अर्थ है#

जापान का 16 अप्रैल का अभियान passkeys को तीन ठोस तरीकों से मदद करता है: यह passkeys को सुविधा सुविधाओं (convenience features) के बजाय धोखाधड़ी नियंत्रण (fraud controls) के रूप में तैयार करता है, यह परिनियोजन (deployment) के लिए आंतरिक हितधारक (stakeholder) मामले को व्यापक बनाता है और यह उपभोक्ताओं को सिखाता है कि passkeys सुरक्षित वित्तीय लॉगिन मॉडल का हिस्सा हैं जिसे नियामक अब पसंद करता है।

7.1 यह passkeys को सुविधा के रूप में नहीं, धोखाधड़ी नियंत्रण के रूप में फिर से तैयार करता है#

कई उपभोक्ता passkey रोलआउट का विपणन (marketed) इस प्रकार किया जाता है:

• आसान साइन-इन,
• याद रखने के लिए कोई पासवर्ड नहीं,
• तेज़ लॉगिन।

FSA की रूपरेखा (framing) बहुत अधिक स्पष्ट (sharper) है:

• passkeys प्रतिरूपण (impersonation) के खिलाफ बचाव हैं,
• passkeys फ़िशिंग को ब्लॉक करने में मदद करते हैं,
• passkeys पुन: प्रयोज्य रहस्यों (reusable secrets) पर निर्भरता कम करते हैं।

बैंकों और ब्रोकरों को आंतरिक रूप से बिल्कुल यही फ्रेम (frame) चाहिए। सुरक्षा बजट केवल सुविधा की तुलना में धोखाधड़ी में कमी (fraud reduction) के लिए अधिक आसानी से स्वीकृत (approved) होते हैं।

7.2 यह वित्तीय संस्थानों के अंदर passkey दर्शकों (audience) को व्यापक बनाता है#

एक ऑथेंटिकेशन परियोजना (authentication project) को आमतौर पर इनसे समर्थन जीतना पड़ता है:

• उत्पाद (product),
• धोखाधड़ी (fraud),
• सुरक्षा (security),
• अनुपालन (compliance),
• कानूनी (legal),
• संचालन (operations),
• और समर्थन (support)।

FSA पेज इनमें से प्रत्येक समूह को परवाह करने का कारण देता है:

• धोखाधड़ी (fraud) फ़िशिंग में कमी (phishing reduction) देखता है,
• सुरक्षा (security) ऑरिजिन-बाउंड क्रिप्टोग्राफी (origin-bound cryptography) देखती है,
• अनुपालन (compliance) नियामक संरेखण (regulator alignment) देखता है,
• संचालन (operations) कम OTP घर्षण (friction) देखता है,
• उत्पाद (product) एक मजबूत उपभोक्ता कहानी (consumer story) देखता है।

7.3 यह सामान्य उपयोगकर्ताओं के लिए passkeys को सामान्य बनाने में मदद करता है#

यह सबसे टिकाऊ प्रभाव (durable effect) हो सकता है।

जब एक राष्ट्रीय नियामक, वित्तीय संघ (financial associations) और पुलिस सभी passkeys को एक अनुशंसित (recommended) बचाव के रूप में प्रस्तुत करते हैं, तो उपयोगकर्ता की धारणा (perception) बदल जाती है। उत्पाद टीम को अब passkeys को एक अजीब नई सुविधा के रूप में पेश करने की आवश्यकता नहीं है। वे उन्हें सुरक्षा विधि के रूप में पेश कर सकते हैं जिस पर इकोसिस्टम अभिसरण (converging) कर रहा है।

यह मायने रखता है क्योंकि रोलआउट की सफलता अक्सर क्रिप्टोग्राफी पर कम निर्भर करती है, और इस पर अधिक निर्भर करती है कि क्या उपयोगकर्ता नए प्रवाह (flow) पर इसे अपनाने (adopt) के लिए पर्याप्त भरोसा करते हैं।

7.4 यह तकनीक-अग्रसारित खंडों (tech-forward segments) से परे passkey दर्शकों का विस्तार करता है#

FSA अभियान न केवल टेक-फ़ॉरवर्ड उपभोक्ताओं (tech-forward consumers) द्वारा उपयोग किए जाने वाले बैंकिंग ऐप्स में उतरता है। यह प्रतिभूति खातों (securities accounts), श्रम बैंकों, शिंकिन बैंकों और क्रेडिट सहकारी समितियों (credit cooperatives) को कवर करता है, जापान की वित्तीय प्रणाली के वे हिस्से जिन पर पुराने और कम तकनीक-अग्रसारित ग्राहक प्रतिदिन भरोसा करते हैं। यह passkeys के लिए रणनीतिक रूप से महत्वपूर्ण है। एक बार जब उन ग्राहकों का अपने ब्रोकर, श्रम बैंक या स्थानीय सहकारी समिति (local cooperative) के माध्यम से passkeys से सामना होता है, तो passkey परिचितता शुरुआती-अपनाने वाले (early-adopter) खंड से बहुत आगे फैल जाती है और पूर्ण ग्राहक आधार पर सामान्य होना शुरू हो जाती है। जापान में उपभोक्ता passkey अपनाने (passkey adoption) के लिए, यह उस तरह की अनुकूल हवा (tailwind) है जिसे कोई भी शुद्ध विपणन (marketing) बजट नहीं खरीद सकता है।

लेकिन यह दोनों तरह से कटौती (cuts both ways) करता है। एक व्यापक जनसांख्यिकीय आधार (wider demographic base) का अर्थ उपकरणों, OS संस्करणों, इन-ऐप ब्राउज़रों (in-app browsers) और क्रेडेंशियल प्रबंधक व्यवहारों (credential manager behaviors) की एक बहुत व्यापक विविधता भी है जो एक तकनीक-अग्रसारित (tech-forward) रोलआउट को छूटेगी। यह ठीक वहीं है जहां नेटिव ऐप passkey त्रुटियां (native app passkey errors) एक उत्पादन-ग्रेड (production-grade) चिंता बन जाती हैं, न कि कोई किनारे का मामला (edge case)। FSA संकेत का जवाब देने वाले बैंकों और दलालों को मैंडेट-बाद (post-mandate) के समर्थन उछाल के दौरान इसकी खोज करने के बजाय पहले दिन से डिवाइस और ऐप-वातावरण (app-environment) विविधता (diversity) की योजना बनानी चाहिए।

8. जापान का दृष्टिकोण (approach) अन्य देशों को क्या सिखाता है#

जापान एक उपयोगी केस स्टडी (case study) बन रहा है क्योंकि यह अनुक्रम (sequence) में पर्यवेक्षण (supervision), सार्वजनिक शिक्षा और इकोसिस्टम परिनियोजन (deployment) को जोड़ता है। अन्य बाजार अक्सर उपयोगकर्ताओं को नए सुरक्षा मॉडल की व्याख्या किए बिना मार्गदर्शन को संशोधित (revise) करते हैं, जो अपनाने (adoption) को धीमा कर देता है और मजबूत ऑथेंटिकेशन को एक प्रणाली-व्यापी (system-wide) अपग्रेड के बजाय अलग-थलग (isolated) उत्पाद घर्षण (friction) जैसा दिखाता है।

8.1 सार्वजनिक अभियान तकनीकी प्रवासन (migration) में तेजी ला सकते हैं#

कई नियामक मार्गदर्शन (guidance) को संशोधित करते हैं लेकिन सार्वजनिक शिक्षा (public education) से रुक जाते हैं। जापान एक अलग पैटर्न दिखा रहा है:

1. धोखाधड़ी का दबाव (fraud pressure) बढ़ता है,
2. पर्यवेक्षी दिशा (supervisory direction) सख्त हो जाती है,
3. नियामक सार्वजनिक रूप से phishing-resistant तरीकों का नाम लेना शुरू कर देता है,
4. इकोसिस्टम के अभिनेताओं (actors) को उन्हें तेजी से रोल आउट (roll out) करने के लिए कवर (cover) मिलता है।

वह अनुक्रम रोलआउट घर्षण (rollout friction) को इस तरह से कम कर सकता है जो शुद्ध नीति पाठ (pure policy text) अक्सर नहीं कर सकता।

8.2 लक्ष्य फ़िशिंग प्रतिरोध (phishing resistance) होना चाहिए, न कि केवल OTP प्रतिस्थापन (replacement)#

कुछ देश बहुत संकीर्ण रूप से "SMS OTP बदलें" पर ध्यान केंद्रित करते हैं। इससे मदद मिलती है, लेकिन यह अधूरा है।

जापान का अभियान बेहतर तरीके से तैयार (framed) किया गया है क्योंकि यह अधिक मूलभूत प्रश्न पूछता है:

यही सही परीक्षण है।

8.3 उपभोक्ता ऑथेंटिकेशन हाइब्रिड (hybrid) हो सकता है#

passkeys और PKI पर जापान का एक साथ जोर एक व्यापक सत्य का सुझाव देता है जिसे कई बाजार फिर से खोजेंगे:

• पासकी (passkeys) जन उपभोक्ता (mass consumer) अपनाने के लिए उत्कृष्ट हैं,
• उच्च-आश्वासन (high-assurance) पहचान के लिए PKI महत्वपूर्ण बना हुआ है,
• सबसे मजबूत इकोसिस्टम एक तकनीक (technology) को सब कुछ करने के लिए मजबूर करने के बजाय दोनों को मिलाएंगे।

यह विशेष रूप से राष्ट्रीय डिजिटल पहचान (digital identity) कार्यक्रमों वाले विनियमित क्षेत्रों (regulated sectors) में प्रासंगिक है।

9. इस संकेत का जवाब देने वाली टीमों के लिए व्यावहारिक रोडमैप (practical roadmap)#

16 अप्रैल के संकेत का सही उत्तर एक चरणबद्ध प्रवासन (staged migration) है, न कि जल्दबाजी में किया गया प्रतिस्थापन (replacement) कार्यक्रम। टीमों को पहले फ़िश करने योग्य यात्राओं (phishable journeys) का नक्शा (map) बनाना चाहिए, फिर तय करना चाहिए कि passkeys तुरंत कहाँ फिट बैठते हैं, कहाँ PKI या मजबूत पहचान बाइंडिंग (identity binding) की अभी भी आवश्यकता है और कमजोर फ़िशिंग-अनुकूल अपवादों (phishing-friendly exceptions) को फिर से बनाए बिना पुनर्प्राप्ति (recovery) को कैसे नया रूप दिया जा सकता है।

9.1 चरण 1: सभी फ़िश करने योग्य (phishable) ऑथेंटिकेशन सतहों (surfaces) का नक्शा बनाएं#

इनके साथ प्रारंभ करें:

• लॉगिन,
• पुनर्प्राप्ति (recovery),
• खाता परिवर्तन (account changes),
• लेनदेन (transaction) की पुष्टि,
• लिंक किए गए खाता परिवर्तन (linked account changes),
• ईमेल-लिंक प्रवेश बिंदु (entry points),
• कॉल-सेंटर ओवरराइड प्रक्रियाएं (override processes)।

9.2 चरण 2: पहचानें कि passkeys तुरंत कहां फिट होते हैं#

Passkeys अक्सर इनके लिए स्पष्ट जीत (clearest win) होते हैं:

• रिटेल लॉगिन,
• बार-बार पुनः ऑथेंटिकेशन (reauthentication),
• फर्स्ट-पार्टी (first-party) ऐप/वेब यात्राएं,
• उपभोक्ता ब्राउज़र सत्र (sessions)।

9.3 चरण 3: तय करें कि PKI या मजबूत पहचान बाइंडिंग की अभी भी कहां आवश्यकता है#

कुछ फ़्लो (flows) को इनकी आवश्यकता हो सकती है:

• सर्टिफिकेट-समर्थित (certificate-backed) पहचान का प्रमाण,
• राष्ट्रीय ID बाइंडिंग,
• संवेदनशील परिवर्तनों के आसपास मजबूत आश्वासन (assurance),
• उपभोक्ता passkeys से परे हार्डवेयर या संगठनात्मक नियंत्रण (organizational controls)।

9.4 चरण 4: अपनाने (adoption) के लिए मजबूर करने से पहले पुनर्प्राप्ति (recovery) को नया रूप (redesign) दें#

मजबूत पुनर्प्राप्ति को डिज़ाइन किए बिना मजबूत ऑथेंटिकेशन लॉन्च न करें। अन्यथा संगठन केवल समर्थन (support) और अपवादों (exceptions) के माध्यम से फ़िश करने योग्य वर्कअराउंड (phishable workarounds) को फिर से बनाएगा।

9.5 चरण 5: उपयोगकर्ताओं को सिखाएं कि आधिकारिक पहुंच (official access) कैसे काम करती है#

FSA का "बुकमार्क का उपयोग करें / आधिकारिक ऐप्स का उपयोग करें" संदेश ऑनबोर्डिंग (onboarding) और समर्थन (support) का हिस्सा बनना चाहिए:

• सुरक्षित मार्ग (safe route) दिखाएं,
• समझाएं कि लॉगिन लिंक जोखिम भरे क्यों हैं,
• आधिकारिक एक्सेस (official access) पथ को याद रखना आसान बनाएं,
• असुरक्षित सुविधा शॉर्टकट (insecure convenience shortcuts) पर निर्भरता कम करें।

10. निष्कर्ष (Conclusion)#

16 अप्रैल, 2026 वह दिन नहीं था जब जापान ने कानूनी रूप से passkeys को अनिवार्य (mandate) किया था। यह वह दिन था जब FSA ने phishing-resistant ऑथेंटिकेशन को सार्वजनिक अपेक्षा (public expectation) बनाया, सार्वजनिक रूप से OTP-आधारित सुरक्षा को डाउनग्रेड किया और बैंकों, ब्रोकरों और फिनटेक (fintechs) को एक अधिक स्पष्ट संकेत दिया कि दीर्घकालिक (long-term) गंतव्य (destination) passkeys, PKI और अन्य नॉन-फ़िशेबल (non-phishable) लॉगिन मॉडल हैं।

जापान के 16 अप्रैल, 2026 के FSA पेज को "जापान ने आज कानूनी रूप से passkeys अनिवार्य कर दिया है" के रूप में गलत नहीं समझा जाना चाहिए। ऐसा नहीं हुआ है।

लेकिन इसे हल्के जागरूकता (lightweight awareness) पेज के रूप में खारिज (dismiss) करना भी उतना ही गलत होगा।

जो हुआ वह रणनीतिक (strategically) रूप से अधिक महत्वपूर्ण है:

• नियामक ने सार्वजनिक रूप से उपभोक्ताओं को बताया कि केवल-पासवर्ड और OTP-आधारित फ़्लो (flows) अब पर्याप्त नहीं हैं,
• इसने मजबूत ऑथेंटिकेशन के उदाहरणों के रूप में passkeys और PKI का नाम दिया,
• इसने वित्तीय संघों और पुलिस भर में उस संदेश को संरेखित (aligned) किया,
• और इसने बाजार की बातचीत को सामान्य MFA से phishing-resistant ऑथेंटिकेशन की ओर धकेल दिया।

यह बिल्कुल वैसा ही संकेत है जो वित्तीय सेवाओं में रोडमैप प्राथमिकताओं (roadmap priorities) को बदलता है।

जापान के लिए, यह बैंकों, दलालों और फिनटेक (fintechs) में व्यापक passkey परिनियोजन (deployment) के मामले को मजबूत करता है। दुनिया के बाकी हिस्सों के लिए, यह एक स्पष्ट उदाहरण है कि कैसे एक नियामक नियम (rules) निर्धारित करने से अधिक कर सकता है: यह स्वयं ऑथेंटिकेशन आख्यान (authentication narrative) को नया रूप (reshape) दे सकता है।

यदि कोई एक टेकअवे (takeaway) है, तो वह यह है:

भविष्य की स्थिति "अधिक MFA" नहीं है। भविष्य की स्थिति phishing-resistant ऑथेंटिकेशन है। जापान का FSA अब इसे ज़ोर से कह रहा है।

Corbado के बारे में#

जापान के FSA ने पासवर्ड-प्लस-OTP को सार्वजनिक रूप से डाउनग्रेड कर दिया है, लेकिन passkeys को नाम देने वाले नियामक केवल आधा काम करते हैं। बैंकों और दलालों (brokers) को अभी भी उपयोगकर्ताओं को लॉक किए बिना (without locking users out) खंडित डिवाइस बेड़े (fragmented device fleets) पर फ़िश करने योग्य फ़ॉलबैक (phishable fallbacks) को रिटायर (retire) करना है।

Corbado एंटरप्राइज़ CIAM टीमों के लिए passkey एनालिटिक्स प्लेटफ़ॉर्म है। यह आपके मौजूदा IDP के ऊपर passkey एनालिटिक्स और रोलआउट नियंत्रण (controls) जोड़ता है, इसलिए FSA के phishing-resistant MFA बार (bar) को पूरा करने वाले संस्थान ऑडिट-ग्रेड (audit-grade) दृश्यता (visibility) और डिवाइस-लेवल (device-level) किल स्विच (kill switches) के साथ SMS और ईमेल OTP को चरणबद्ध (phase out) तरीके से समाप्त कर सकते हैं, न कि अंधे जनादेश (blind mandates) से।

देखें कि कैसे जापानी वित्तीय संस्थान टर्मिनल लॉकआउट (terminal lockouts) के बिना phishing-resistant MFA रोल आउट (roll out) कर सकते हैं। → पासकी (passkey) विशेषज्ञ से बात करें

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →

FAQ (अक्सर पूछे जाने वाले प्रश्न)#

क्या जापान के FSA ने 16 अप्रैल, 2026 को passkeys अनिवार्य कर दिए हैं?#

नहीं। 16 अप्रैल, 2026 का पेज एक जन जागरूकता अभियान (public awareness campaign) है, कोई नया स्वतंत्र नियम (standalone rule text) नहीं। यह इसलिए महत्वपूर्ण है क्योंकि Financial Services Agency ने सार्वजनिक रूप से और स्पष्ट तौर पर phishing-resistant multi-factor authentication को बढ़ावा दिया, passkeys और PKI को उदाहरण के रूप में उजागर किया, और इस संदेश को बैंकों, प्रतिभूति फर्मों (securities firms) और National Police Agency के साथ जोड़ा।

FSA क्यों कहता है कि ईमेल और SMS OTP अब पर्याप्त नहीं हैं?#

अभियान सामग्री स्पष्ट करती है कि ईमेल या SMS द्वारा भेजे गए OTP को अभी भी रियल-टाइम फ़िशिंग, man-in-the-middle हमलों और मालवेयर (malware) के माध्यम से बायपास किया जा सकता है। दूसरे शब्दों में, अगर कोई हमलावर उपयोगकर्ता को किसी नकली साइट पर इसे दर्ज करने के लिए चकमा दे सकता है या इसे एंडपॉइंट (endpoint) से चुरा सकता है, तो केवल एक कोड जोड़ना पर्याप्त नहीं है।

क्या जापान के वित्तीय क्षेत्र में स्वीकृत एकमात्र phishing-resistant विकल्प passkeys हैं?#

नहीं। FSA की अभियान सामग्री passkeys और PKI-आधारित ऑथेंटिकेशन को phishing-resistant MFA के दो मुख्य उदाहरणों के रूप में प्रस्तुत करती है। इसका अर्थ है कि passkeys को बहुत अधिक प्राथमिकता दी जाती है, लेकिन व्यापक विनियामक दिशा (broader regulatory direction) phishing-resistant ऑथेंटिकेशन परिणामों की ओर है, न कि किसी एक अनिवार्य उपभोक्ता तकनीक की ओर।

यदि जापान का पर्यवेक्षी मार्गदर्शन (supervisory direction) पहले ही बदल गया था, तो 16 अप्रैल, 2026 क्यों महत्वपूर्ण है?#

क्योंकि यह एक बदलाव को दर्शाता है: रेगुलेटर-टू-इंडस्ट्री (regulator-to-industry) सिग्नलिंग से रेगुलेटर-टू-पब्लिक (regulator-to-public) सिग्नलिंग। एक बार जब FSA उपभोक्ताओं को सीधे बताना शुरू कर देता है कि passkeys और PKI उन्हें पासवर्ड प्लस OTP की तुलना में बेहतर सुरक्षित करते हैं, तो जापानी बैंकों और ब्रोकरों को phishing-resistant तरीकों के आसपास ग्राहक ऑथेंटिकेशन को फिर से डिज़ाइन करने के लिए मजबूत समर्थन (stronger cover) मिल जाता है।