Get your free and exclusive +45-page Authentication Analytics Whitepaper
ओवरव्यू पर वापस जाएं

MFA अनिवार्य करना और पासकी की ओर बढ़ना: सर्वोत्तम कार्यप्रणालियां

जानें कि कैसे MFA को अनिवार्य करने से UX, रिकवरी और हेल्पडेस्क चुनौतियां सामने आती हैं और लेगेसी MFA से पासकी में जाने की चरण-दर-चरण योजना खोजें।

Blog-Post-Author
Max

बनाया गया: 13 अगस्त 2025

अपडेट किया गया: 28 मई 2026

MFA अनिवार्य करना और पासकी की ओर बढ़ना: सर्वोत्तम कार्यप्रणालियां

यह पेज अपने-आप अनुवादित किया गया है। मूल अंग्रेज़ी संस्करण पढ़ें यहाँ.

WhitepaperEnterprise Icon

Enterprise Passkey व्हाइटपेपर. passkey कार्यक्रमों के लिए व्यावहारिक मार्गदर्शन, रोलआउट पैटर्न और KPIs।

व्हाइटपेपर पाएं
मुख्य तथ्य
  • MFA अनिवार्यताएं रिकवरी विफलताओं, यूज़र के लिए असुविधा और फ़िशिंग कमज़ोरियों को उजागर करती हैं जिन्हें पासकी सिंक किए गए क्रेडेंशियल्स के माध्यम से हल करती हैं, जो एक ही बायोमेट्रिक जेस्चर में मल्टी-फ़ैक्टर ज़रूरतों को पूरा करते हैं।
  • अकाउंट रिकवरी MFA जनादेश का सबसे बड़ा बोझ है: हेल्पडेस्क रीसेट की लागत औसतन 70 USD होती है और Gartner का अनुमान है कि सभी IT सहायता कॉल का 30-50% पहले से ही पासवर्ड से संबंधित है।
  • SMS OTP प्राथमिकता अनुपालन का नाटक (compliance theater) पैदा करती है: विकल्प दिए जाने पर 95% से अधिक यूज़र्स SMS चुनते हैं, जो नाममात्र MFA अनुपालन के बावजूद संगठनों को SIM-स्वैपिंग और फ़िशिंग के जोखिम में डालता है।
  • पासकी सिंकिंग डिवाइस-लॉस लॉकआउट को समाप्त करती है और SMS OTP लागत को एक साथ हटा देती है: पासकी नए डिवाइस पर अपने आप रिस्टोर हो जाती हैं जबकि ओरिजिन-बाइंडिंग उन्हें डिज़ाइन के अनुसार फ़िशिंग के प्रति प्रतिरक्षित बनाती है।

1. परिचय: अनिवार्य MFA की नई वास्तविकता#

मल्टी-फ़ैक्टर ऑथेंटिकेशन (MFA) निर्णायक रूप से सक्रिय यूज़र्स के लिए एक सुरक्षा सुविधा से दुनिया भर के संगठनों के लिए एक गैर-परक्राम्य (non-negotiable), अनिवार्य वास्तविकता में बदल गया है। यह परिवर्तन पसंद से नहीं बल्कि ज़रूरत से प्रेरित है, जो लगातार क्रेडेंशियल-आधारित साइबर हमलों और बढ़ते नियामक दबाव से संचालित है। वित्तीय सेवाओं से लेकर सार्वजनिक क्षेत्र तक के उद्योग अब ऐसे फ्रेमवर्क के तहत काम करते हैं जो MFA को अनुपालन के लिए बेसलाइन बनाते हैं। यह नया युग, जहां MFA को पेश करने के बजाय लागू किया जाता है, जटिल चुनौतियों की एक श्रृंखला पेश करता है जो प्रारंभिक तकनीकी कार्यान्वयन से बहुत आगे तक फैली हुई है।

जब प्रत्येक यूज़र को MFA का उपयोग करना आवश्यक होता है, तो महत्वपूर्ण सवालों का एक नया सेट उभरता है जिसका उत्तर प्रत्येक संगठन को देना चाहिए। यह लेख इन चुनौतियों का गहराई से पता लगाएगा, जिससे आगे बढ़ने का एक स्पष्ट मार्ग प्रशस्त होगा। हम संबोधित करेंगे:

  1. बड़े पैमाने पर MFA लागू करने की छिपी हुई परिचालन लागतें और यूज़र एक्सपीरियंस से जुड़े खतरे क्या हैं?

  2. जब विकल्प दिया जाता है, तो यूज़र्स वास्तव में कौन सी MFA विधियां अपनाते हैं, और इससे सुरक्षा जोखिम क्या पैदा होते हैं?

  3. अनिवार्य वातावरण में अकाउंट रिकवरी नई प्राथमिक चुनौती कैसे बन जाती है, और इसे हल करने में क्या समझौते करने पड़ते हैं?

  4. पासकी केवल एक अन्य विकल्प ही नहीं, बल्कि MFA जनादेश द्वारा उत्पन्न समस्याओं के लिए रणनीतिक समाधान क्यों हैं?

  5. अनिवार्य लेगेसी MFA से पासकी की बेहतर सुरक्षा और यूज़र एक्सपीरियंस में सफलतापूर्वक संक्रमण के लिए एक व्यावहारिक, चरण-दर-चरण ब्लूप्रिंट क्या है?

यह विश्लेषण सिंगल-फ़ैक्टर ऑथेंटिकेशन से अनिवार्य MFA (और फिर अनिवार्य पासकी) में सफल संक्रमण के लिए एक स्पष्ट, कार्रवाई योग्य ब्लूप्रिंट प्रदान करेगा।

2. सुरक्षा में बदलाव: अनिवार्य MFA के संदर्भ को समझना#

प्रवर्तन की चुनौतियों की खोज करने से पहले, ऑथेंटिकेशन परिदृश्य की स्पष्ट समझ स्थापित करना महत्वपूर्ण है और यह समझना भी कि जनादेश इसे मौलिक रूप से क्यों बदलते हैं। शब्दावली स्वयं भ्रम का स्रोत हो सकती है, लेकिन अंतर किसी भी सुरक्षा या उत्पाद रणनीति के लिए महत्वपूर्ण हैं।

2.1 एक त्वरित रीफ्रेशर: SFA, 2SV और ट्रू MFA#

ऑथेंटिकेशन का विकास इसके सबसे बुनियादी रूप की अंतर्निहित कमजोरी की सीधी प्रतिक्रिया है।

  • सिंगल-फ़ैक्टर ऑथेंटिकेशन (SFA): परिचित यूज़रनेम और पासवर्ड संयोजन। यह एक ही "ज्ञान" फ़ैक्टर पर निर्भर करता है, कुछ ऐसा जो यूज़र को पता है। फ़िशिंग, क्रेडेंशियल स्टफिंग और ब्रूट-फ़ोर्स हमलों के प्रति इसकी संवेदनशीलता मजबूत तरीकों के लिए प्राथमिक चालक है।

  • टू-स्टेप वेरिफिकेशन (2SV): अक्सर MFA के साथ परस्पर उपयोग किया जाता है, 2SV एक विशिष्ट और कमज़ोर प्रक्रिया है। इसके लिए दो वेरिफिकेशन चरणों की आवश्यकता होती है लेकिन यह एक ही श्रेणी के दो फ़ैक्टरों का उपयोग कर सकता है। एक सामान्य उदाहरण एक पासवर्ड के बाद सुरक्षा प्रश्न है, जो दोनों "ज्ञान" फ़ैक्टर हैं। हालांकि यह SFA से बेहतर है, लेकिन यह सच्चे मल्टी-फ़ैक्टर सुरक्षा के मानदंडों को पूरा नहीं करता है।

  • मल्टी-फ़ैक्टर ऑथेंटिकेशन (MFA): सुरक्षा का स्वर्ण मानक (gold standard), MFA को ऑथेंटिकेशन फ़ैक्टरों की कम से कम दो अलग-अलग श्रेणियों से वेरिफिकेशन की आवश्यकता होती है। तीन प्राथमिक श्रेणियां हैं:

    • ज्ञान: कुछ ऐसा जो यूज़र जानता है (उदा., एक पासवर्ड, एक PIN)।

    • कब्जा: कुछ ऐसा जो यूज़र के पास है (उदा., एक मोबाइल फ़ोन जिस पर कोड प्राप्त हो रहा हो, एक हार्डवेयर सुरक्षा कुंजी)।

    • स्वाभाविकता (Inherence): कुछ ऐसा जो यूज़र है (उदा., फ़िंगरप्रिंट, चेहरे की पहचान)।

2.2 जनादेश सब कुछ क्यों बदल देते हैं#

वैकल्पिक से अनिवार्य MFA में संक्रमण एक प्रतिमान बदलाव (paradigm shift) है। एक वैकल्पिक सिस्टम सबसे अधिक सुरक्षा के प्रति जागरूक यूज़र्स द्वारा क्रमिक रूप से अपनाने की अनुमति देता है, जिससे वास्तविक घर्षण (friction) बिंदु छिप जाते हैं। एक जनादेश संपूर्ण यूज़र बेस को, तकनीक के जानकारों से लेकर तकनीक से दूर रहने वालों तक, एक साथ नए सिस्टम पर बाध्य करता है, जिससे यूज़र एक्सपीरियंस और सहायता संरचना में हर खामी उजागर हो जाती है।

दुनिया भर में नियामक उत्प्रेरकों (catalysts) द्वारा इस बदलाव को तेज किया गया है। विशेष रूप से, यूरोप के दूसरे Payment Services Directive (PSD2) और Strong Customer Authentication (SCA) के लिए इसकी आवश्यकता ने अधिकांश ऑनलाइन लेनदेन के लिए MFA को अनिवार्य करके यूरोपीय भुगतान परिदृश्य को मौलिक रूप से नया रूप दिया। वित्तीय संस्थानों को खुले APIs और मजबूत सुरक्षा अपनाने के लिए बाध्य करके, PSD2 लागू ऑथेंटिकेशन में एक विशाल, वास्तविक दुनिया का केस स्टडी प्रदान करता है।

SCA का प्राथमिक लक्ष्य इलेक्ट्रॉनिक भुगतान के लिए दो स्वतंत्र ऑथेंटिकेशन फ़ैक्टरों की आवश्यकता को अनिवार्य करके धोखाधड़ी को कम करना था। हालांकि, शुरुआती रोलआउट ने यूज़र्स के भ्रम और कार्ट छोड़ने के कारण कुछ यूरोपीय व्यापारियों को लगभग 40% लेनदेन का नुकसान उठाना पड़ा, जिससे महत्वपूर्ण घर्षण पैदा हुआ। समय के साथ, इकोसिस्टम अनुकूलित हो गया, और यूरोपीय सेंट्रल बैंक की अगस्त 2024 की रिपोर्ट ने पुष्टि की कि SCA-प्रमाणित लेनदेन में अब धोखाधड़ी की दर काफी कम है। यह दीर्घकालिक सुरक्षा लाभ को प्रदर्शित करता है, लेकिन यूज़र एक्सपीरियंस के साथ सुरक्षा को संतुलित करने की महत्वपूर्ण आवश्यकता पर भी प्रकाश डालता है।

इसी तरह की नियामक गति विश्व स्तर पर बढ़ रही है। ऑस्ट्रेलिया में, वित्तीय क्षेत्र ऑस्ट्रेलियन प्रूडेंशियल रेगुलेशन अथॉरिटी (APRA) के CPS 234 फ्रेमवर्क के तहत काम करता है, जो वित्तीय संस्थानों के लिए सुरक्षा मानक निर्धारित करता है। 2025 की शुरुआत में क्रेडेंशियल स्टफिंग हमलों की लहर के बाद, APRA ने सभी सुपरएनुएशन फंड बोर्ड्स को लिखा, स्पष्ट रूप से उच्च जोखिम वाली गतिविधियों के लिए MFA या समकक्ष सुरक्षा लागू करने की अपेक्षा की। नियामक ने नोट किया कि ऑस्ट्रेलियाई वित्तीय क्षेत्र में साइबर घटनाओं का लगभग 20% क्रेडेंशियल-स्टफिंग हमले थे, जिससे MFA एक महत्वपूर्ण नियंत्रण बन गया। अलग से, ऑस्ट्रेलिया का दूरसंचार क्षेत्र ऑस्ट्रेलियन कम्युनिकेशंस एंड मीडिया अथॉरिटी के 2022 कस्टमर आइडेंटिटी ऑथेंटिकेशन डिटरमिनेशन के तहत सभी उच्च जोखिम वाले ग्राहक लेनदेन के लिए अनिवार्य MFA का सामना करता है। यह नियम वाहकों को SIM स्वैपिंग धोखाधड़ी के हाई-प्रोफाइल मामलों के बाद SIM स्वैप, पासवर्ड रीसेट और सेवा जोड़ने के लिए MFA का उपयोग करने की आवश्यकता को अनिवार्य करता है।

हालांकि ये जनादेश शुरू में घर्षण पैदा करते हैं, लेकिन ये अनैच्छिक सामूहिक शिक्षा का वातावरण भी तैयार करते हैं। जब लाखों यूज़र्स को उनके बैंकों द्वारा फ़िंगरप्रिंट या कोड के साथ लेनदेन को मंज़ूरी देने के लिए मजबूर किया जाता है, तो वे दूसरे फ़ैक्टर की अवधारणा से परिचित हो जाते हैं। यह सामान्यीकरण, विनियमन द्वारा संचालित, विरोधाभासी रूप से अन्य संगठनों के लिए मार्ग प्रशस्त करता है। बातचीत "MFA क्या है और मुझे इसकी आवश्यकता क्यों है?" से विकसित होकर "सुरक्षा कदम उठाने का हमारा नया, आसान तरीका यहां है जिसे आप पहले से ही जानते हैं।" तक पहुँच सकती है। यह पासकी जैसे बेहतर अनुभव को पेश करने के लिए सही आधार तैयार करता है।

2.3 जब सुरक्षा उल्लंघन कार्रवाई के लिए मजबूर करते हैं: घटना के बाद के जनादेश#

जबकि नियामक ढांचे सक्रिय MFA अपनाने को बढ़ावा देते हैं, सुरक्षा घटनाएं अक्सर सबसे तत्काल और दृश्यमान जनादेश को ट्रिगर करती हैं। जब किसी संगठन को उल्लंघन का सामना करना पड़ता है, तो अनिवार्य MFA का मार्ग अनुपालन योजना का मामला नहीं बल्कि तत्काल संकट प्रतिक्रिया बन जाता है।

ऑस्ट्रेलिया के सुपरएनुएशन सेक्टर ने मार्च 2025 में इसे स्पष्ट रूप से अनुभव किया। एक परिष्कृत क्रेडेंशियल स्टफिंग अभियान में, साइबर अपराधियों ने बाहरी उल्लंघनों से चुराए गए यूज़रनेम-पासवर्ड संयोजनों का उपयोग करके रिटायरमेंट फंड अकाउंट्स पर व्यवस्थित रूप से हमला किया। रॉयटर्स और ABC न्यूज़ की रिपोर्टों के अनुसार, देश के सबसे बड़े फंड AustralianSuper, जिसके 30 लाख से अधिक सदस्य हैं, ने पुष्टि की कि हमलावरों ने 600 तक सदस्य खातों तक पहुँच प्राप्त की और हमले का पता चलने से पहले चार सदस्यों के बैलेंस से A$500,000 सफलतापूर्वक निकाल लिए। यह घटना कई फंडों में फैल गई, जिसमें Rest Super ने लगभग 20,000 खातों में संदिग्ध गतिविधि का पता लगाया और Insignia Financial ने लगभग 100 खातों पर प्रयास की रिपोर्ट दी।

हमला वेक्टर टेक्स्टबुक क्रेडेंशियल स्टफिंग था: असंबंधित डेटा उल्लंघनों से प्राप्त क्रेडेंशियल्स का उपयोग करके स्वचालित लॉगिन प्रयास। ABC न्यूज़ द्वारा साक्षात्कार लिए गए सुरक्षा विशेषज्ञों ने हमले को "अपरिष्कृत (unsophisticated)" करार दिया, यह देखते हुए कि इसकी सफलता का श्रेय पूरी तरह से MFA की अनुपस्थिति को जाता है। एक आश्चर्यजनक विरोधाभास में, एक अन्य प्रमुख फंड HostPlus ने उसी अभियान से कोई वित्तीय नुकसान नहीं होने की सूचना दी, क्योंकि उसने सदस्य खातों के लिए पहले से ही MFA लागू कर लिया था। इस वास्तविक दुनिया की तुलना ने MFA के सुरक्षात्मक मूल्य का स्पष्ट प्रमाण प्रदान किया।

उल्लंघन से पहले, AustralianSuper के ग्राहकों ने स्पष्ट रूप से सुरक्षा विकल्प के रूप में MFA का अनुरोध किया था लेकिन उन्हें सूचित किया गया था कि यह उपलब्ध नहीं था। घटना के बाद, फंड ने प्रभावित खातों को तुरंत लॉक कर दिया और MFA की तैनाती में तेजी ला दी। सभी सुपरएनुएशन बोर्ड के अध्यक्षों को APRA के बाद के पत्र ने विनियामक अपेक्षा को स्पष्ट कर दिया: MFA लागू करना अब एक तत्काल दायित्व था, न कि भविष्य में विचार करने योग्य कोई बात।

संगठनात्मक क्रेडेंशियल्स से समझौता करने वाले फ़िशिंग अभियानों से पोस्ट-ब्रीच जनादेश भी उभरते हैं। मार्च 2020 में, राज्य सरकारी सेवा पोर्टल Service NSW को फ़िशिंग हमले का सामना करना पड़ा जिसने 736 GB डेटा का खुलासा किया, जिससे लगभग 103,000 ग्राहकों की व्यक्तिगत जानकारी से समझौता हुआ। जांचकर्ताओं ने उल्लंघन की गंभीरता में प्रमुख योगदानकर्ता के रूप में कर्मचारियों के ईमेल अकाउंट्स पर MFA की अनुपस्थिति की पहचान की। प्रतिक्रिया में, Service NSW ने सभी बाहरी ईमेल सिस्टम में MFA लागू किया और अगस्त 2021 तक, A$5 मिलियन के सुरक्षा निवेश द्वारा समर्थित 95% बाह्य रूप से सामना करने वाले सिस्टम पर इसे सक्षम कर दिया था। अलग 2022 Optus दूरसंचार डेटा उल्लंघन के बाद, Service NSW ने अपने प्रयासों का और विस्तार किया, पायलट किया और फिर सभी MyServiceNSW अकाउंट होल्डर्स के लिए 2026 तक MFA अनिवार्य कर दिया

ये घटनाएं एक महत्वपूर्ण पैटर्न को दर्शाती हैं: उल्लंघन राजनीतिक और परिचालन दबाव पैदा करते हैं जो सक्रिय अनुपालन के लिए सामान्य क्रमिक योजना चक्रों (planning cycles) को दरकिनार कर देते हैं। प्रश्न "क्या हमें MFA अनिवार्य करना चाहिए?" से "हम इसे कितनी जल्दी तैनात कर सकते हैं?" में बदल जाता है। यह संपीड़ित समयरेखा (compressed timeline) अक्सर इस लेख में बाद में चर्चा की गई यूज़र एक्सपीरियंस और परिचालन चुनौतियों को बढ़ा देती है, जिससे MFA पद्धति का चुनाव और रोलआउट का डिज़ाइन और भी अधिक परिणामी हो जाता है।

3. छिपी हुई जटिलताएं: अभ्यास में MFA को अनिवार्य करने का क्या अर्थ है#

संपूर्ण यूज़र बेस में MFA लागू करने से व्यावहारिक चुनौतियों का खजाना खुल जाता है जिन्हें प्रारंभिक योजना के दौरान अक्सर कम आंका जाता है। ये मुद्दे यूज़र एक्सपीरियंस, सुरक्षा स्थिति और परिचालन लागत को प्रभावित करते हैं।

3.1 ऑनबोर्डिंग बाधा: बड़े पैमाने पर एनरोलमेंट#

जब एनरोलमेंट अनिवार्य होता है, तो एक खराब यूज़र एक्सपीरियंस केवल एक झुंझलाहट नहीं है; यह व्यवसाय संचालन के लिए एक सीधी बाधा बन जाता है। संगठन आमतौर पर दो रणनीतियों के बीच चयन करते हैं: मजबूर एनरोलमेंट, जिसके लिए अगले लॉगिन पर MFA सेटअप की आवश्यकता होती है, या प्रगतिशील एनरोलमेंट, जो समय के साथ यूज़र्स को प्रेरित करता है। जबकि मजबूर एनरोलमेंट अनुपालन तेजी से प्राप्त करता है, यह उच्च यूज़र निराशा और ड्रॉप-ऑफ़ का जोखिम उठाता है यदि प्रक्रिया निर्बाध नहीं है। सफलता UX की सर्वोत्तम प्रथाओं का पालन करने पर निर्भर करती है, जैसे कि कई ऑथेंटिकेशन विधियों की पेशकश करना, स्पष्ट निर्देश प्रदान करना, और सभी यूज़र्स के लिए सुलभता सुनिश्चित करना, उदाहरण के लिए ऑथेंटिकेटर ऐप्स के लिए QR कोड के साथ एक टेक्स्ट-आधारित गुप्त कुंजी प्रदान करके।

3.2 रिकवरी का बुरा सपना: नया #1 सहायता मुद्दा#

एक बार किसी अकाउंट पर MFA सक्रिय हो जाने पर, दूसरा फ़ैक्टर खोने का मतलब है पूरी तरह से लॉक आउट हो जाना। अनिवार्य दुनिया में, यह कुछ सुरक्षा के प्रति जागरूक यूज़र्स के लिए एक अलग घटना नहीं है; यह संपूर्ण यूज़र बेस और उनकी सेवा करने वाली सहायता टीमों के लिए एक व्यापक, महत्वपूर्ण चुनौती बन जाती है। यह अकाउंट रिकवरी को सबसे बड़ी एकल चुनौती बनाता है।

वित्तीय दांव ऊंचे हैं: एक हेल्पडेस्क-आधारित पासवर्ड या MFA रीसेट करने पर किसी कंपनी को औसतन $70 का खर्च आ सकता है। सैकड़ों हजारों यूज़र्स वाले संगठन के लिए, रिकवरी की आवश्यकता वाले एक छोटे प्रतिशत का मतलब परिचालन लागत और खोई हुई उत्पादकता में लाखों डॉलर हो सकता है।

संगठनों को सुरक्षा, लागत और सुविधा के बीच कठिन समझौता करना पड़ता है:

  • हेल्पडेस्क-आधारित रिकवरी: एक सपोर्ट एजेंट वीडियो कॉल या अन्य माध्यमों से यूज़र की पहचान सत्यापित कर सकता है। यह एक सुरक्षित, मानव-सत्यापित प्रक्रिया है लेकिन यह अत्यधिक महंगी और बड़े पैमाने पर लागू करने में धीमी है, जो इसे अधिकांश व्यवसायों के लिए अस्थिर बनाती है।

  • ईमेल/SMS-आधारित रिकवरी: अपनी कम लागत और यूज़र की परिचितता के कारण यह सबसे आम तरीका है। हालाँकि, यह एक महत्वपूर्ण सुरक्षा भेद्यता (vulnerability) भी है। यदि किसी हमलावर ने पहले ही यूज़र के ईमेल अकाउंट से समझौता कर लिया है, जो अन्य हमलों का एक सामान्य अग्रदूत है, तो वे आसानी से रिकवरी कोड को इंटरसेप्ट कर सकते हैं और पूरी तरह से MFA को दरकिनार कर सकते हैं। यह तरीका प्रभावी रूप से उन सुरक्षा लाभों को नकार देता है जिन्हें जनादेश प्रदान करने का इरादा था।

  • पूर्व-नामांकित बैकअप कोड: एनरोलमेंट के दौरान यूज़र्स को वन-टाइम-यूज़ बैकअप कोड का एक सेट दिया जाता है। ईमेल रिकवरी की तुलना में अधिक सुरक्षित होने पर भी, यह दृष्टिकोण प्रारंभिक सेटअप में घर्षण जोड़ता है। इसके अलावा, यूज़र्स अक्सर इन कोड्स को सुरक्षित रूप से संग्रहीत करने में विफल रहते हैं या उन्हें खो देते हैं, जो अंततः उन्हें उसी लॉकआउट समस्या की ओर ले जाता है।

  • सेल्फी-ID वेरिफिकेशन: इस उच्च-आश्वासन पद्धति के लिए यूज़र को एक लाइव सेल्फी और सरकार द्वारा जारी ID (जैसे ड्राइविंग लाइसेंस या पासपोर्ट) की एक तस्वीर लेने की आवश्यकता होती है। AI-संचालित सिस्टम तब पहचान की पुष्टि करने के लिए ID से चेहरे का मिलान करते हैं। जबकि बैंकिंग और वित्तीय सेवाओं में आम है जहां ऑनबोर्डिंग के दौरान पहचान सत्यापित की जाती है, यह कुछ यूज़र्स के लिए गोपनीयता की चिंता पैदा करता है और उन्हें अपने भौतिक ID को अपने पास रखने की आवश्यकता होती है।

  • डिजिटल क्रेडेंशियल्स और वॉलेट्स: एक उभरता हुआ, दूरंदेशी विकल्प डिजिटल वॉलेट में संग्रहीत सत्यापन योग्य (verifiable) डिजिटल क्रेडेंशियल्स का उपयोग करना शामिल है। एक यूज़र सेवा-विशिष्ट रिकवरी फ़्लो से गुज़रे बिना अपनी पहचान साबित करने के लिए एक विश्वसनीय जारीकर्ता (जैसे सरकार या बैंक) से एक क्रेडेंशियल प्रस्तुत कर सकता है। यह तरीका अभी भी अपने शुरुआती चरण में है, लेकिन यह अधिक पोर्टेबल और यूज़र-नियंत्रित पहचान वेरिफिकेशन के भविष्य की ओर इशारा करता है।

3.3 डिवाइस लाइफ़साइकिल की समस्या: नए फ़ोन, खोई हुई पहुँच#

किसी भी MFA सिस्टम में एक लगातार और महत्वपूर्ण विफलता बिंदु डिवाइस लाइफ़साइकिल है। जब किसी यूज़र को नया फ़ोन मिलता है, तो उनके ऑथेंटिकेशन तरीके की निरंतरता सर्वोपरि होती है।

  • SMS: यह तरीका अपेक्षाकृत पोर्टेबल है, क्योंकि एक नया SIM कार्ड के माध्यम से एक फ़ोन नंबर को नए डिवाइस में स्थानांतरित किया जा सकता है। हालाँकि, यह वही प्रक्रिया है जिसका SIM-स्वैपिंग हमलों में शोषण किया जाता है, जहाँ एक जालसाज़ मोबाइल वाहक को पीड़ित के नंबर को उनके नियंत्रण वाले SIM पर पोर्ट करने के लिए मना लेता है।

  • ऑथेंटिकेटर ऐप्स (TOTP): यह यूज़र के घर्षण का एक प्रमुख स्रोत है। जब तक कि यूज़र ने अपने ऑथेंटिकेटर ऐप (एक सुविधा जो सार्वभौमिक नहीं है और हमेशा उपयोग नहीं की जाती है) के भीतर सक्रिय रूप से क्लाउड बैकअप सुविधा सक्षम नहीं की है, तब तक कोड उत्पन्न करने वाली गुप्त कुंजियां पुराने डिवाइस के साथ खो जाती हैं। यह यूज़र को उनके द्वारा सुरक्षित की गई हर एक सेवा के लिए पूर्ण, और अक्सर दर्दनाक, अकाउंट रिकवरी प्रक्रिया में मजबूर करता है।

  • पुश नोटिफ़िकेशन: TOTP ऐप्स के समान, पुश-आधारित MFA एक पंजीकृत डिवाइस पर एक विशिष्ट ऐप इंस्टॉलेशन से जुड़ा हुआ है। एक नए फ़ोन के लिए एक नए एनरोलमेंट की आवश्यकता होती है, जिससे वही रिकवरी चुनौतियाँ उत्पन्न होती हैं।

3.4 यूज़र की प्राथमिकता का विरोधाभास: कम से कम प्रतिरोध का मार्ग#

जब कोई संगठन MFA अनिवार्य करता है और तरीकों का विकल्प प्रदान करता है, तो एक अनुमानित पैटर्न उभरता है: +95% यूज़र्स उस चीज़ की ओर आकर्षित होते हैं जो सबसे परिचित है और जिसे सबसे आसान माना जाता है, जो अक्सर SMS-आधारित वन-टाइम पासकोड (OTPs) होता है। यह व्यवहार एक विरोधाभास पैदा करता है। एक CISO सुरक्षा में सुधार के लिए MFA अनिवार्य कर सकता है। हालाँकि, यदि कई यूज़र्स SMS जैसी फ़िश की जा सकने वाली विधि पर निर्भर रहना जारी रखते हैं, तो संगठन परिष्कृत हमलों के खिलाफ अपनी सुरक्षा में भौतिक रूप से सुधार किए बिना 100% अनुपालन प्राप्त कर सकता है।

मार्च 2025 के ऑस्ट्रेलियाई सुपरएनुएशन उल्लंघनों ने इस समस्या का स्पष्ट, वास्तविक दुनिया का प्रमाण प्रदान किया। उस घटना में, किसी भी MFA की अनुपस्थिति निर्णायक कमज़ोरी थी। हालाँकि, व्यापक सबक "MFA या कोई MFA नहीं" की बाइनरी से परे तैनात MFA की गुणवत्ता तक फैला हुआ है। जो संगठन अपने प्राथमिक या एकमात्र विकल्प के रूप में केवल SMS-आधारित MFA की पेशकश करते हैं, वे फ़िशिंग, सोशल इंजीनियरिंग और SIM-स्वैपिंग हमलों के प्रति संवेदनशील रहते हैं। ऑस्ट्रेलियाई मामले में हमलावरों ने कमजोर क्रेडेंशियल्स का फायदा उठाया; अगर वे अकाउंट्स केवल SMS OTPs द्वारा "सुरक्षित" होते, तो समझौता किए गए ईमेल अकाउंट्स तक पहुँच वाले हमलावर संभवतः पासवर्ड रीसेट फ़्लो को इंटरसेप्ट कर सकते थे और उस फ़ैक्टर को भी दरकिनार करने के लिए SIM स्वैप को ट्रिगर कर सकते थे।

इसे पहचानते हुए, Microsoft जैसे प्लेटफ़ॉर्म ने "सिस्टम-पसंदीदा MFA" पेश किया है, जो सक्रिय रूप से यूज़र्स को SMS या वॉयस कॉल के बजाय ऑथेंटिकेटर ऐप्स जैसे अधिक सुरक्षित विकल्पों की ओर ले जाता है। यह एक महत्वपूर्ण सबक पर प्रकाश डालता है: केवल MFA अनिवार्य करना अपर्याप्त है। MFA का प्रकार गहराई से मायने रखता है, और संगठनों को सक्रिय रूप से यूज़र्स को कमज़ोर, फ़िश की जा सकने वाली फ़ैक्टरों से दूर ले जाना चाहिए।

3.5 परिचालन टोल: हेल्पडेस्क पर घेराबंदी#

MFA अनिवार्य करने के निर्णय का परिचालन संसाधनों पर प्रत्यक्ष और मापने योग्य प्रभाव पड़ता है। यह अनिवार्य रूप से एनरोलमेंट समस्याओं, खोए हुए ऑथेंटिकेटर और रिकवरी अनुरोधों से संबंधित हेल्पडेस्क टिकटों में वृद्धि को ट्रिगर करता है। Gartner के शोध से पता चलता है कि सभी IT सहायता कॉलों का 30-50% पहले से ही पासवर्ड-संबंधित समस्याओं के लिए है; अनिवार्य MFA, खासकर जब बोझिल रिकवरी फ़्लो के साथ जोड़ा जाता है, इस बोझ को काफी बढ़ा देता है। यह सीधे लागत में तब्दील हो जाता है जिसका CTO और प्रोजेक्ट मैनेजरों को अनुमान लगाना चाहिए। इसके अलावा, हेल्पडेस्क स्वयं सोशल इंजीनियरिंग हमलों का एक प्रमुख लक्ष्य बन जाता है, जहाँ हमलावर निराश, लॉक-आउट यूज़र्स का रूप धारण करके सहायता एजेंटों को उनकी ओर से MFA फ़ैक्टर रीसेट करने के लिए चकमा देते हैं।

4. बड़े पैमाने पर MFA जनादेशों से मुख्य सबक#

अनिवार्य MFA के बड़े पैमाने पर, वास्तविक दुनिया के कार्यान्वयन की जांच करना इस बात पर अमूल्य सबक प्रदान करता है कि क्या काम करता है और क्या महत्वपूर्ण घर्षण पैदा करता है। यूरोप में PSD2 जैसे सक्रिय विनियामक रोलआउट और ऑस्ट्रेलिया के वित्तीय क्षेत्र में प्रतिक्रियाशील, घटना के बाद के जनादेश दोनों से अनुभवों का विश्लेषण करके, हम कई सार्वभौमिक सत्य निकाल सकते हैं।

  • प्रारंभिक घर्षण अपरिहार्य है, लेकिन प्रबंधनीय है: यूरोपीय SCA रोलआउट ने प्रदर्शित किया कि यूज़र के व्यवहार में एक बड़ा बदलाव, यहां तक कि सुरक्षा के लिए भी, शुरुआत में रूपांतरण दरों को नुकसान पहुंचाएगा। हालाँकि, इसने यह भी दिखाया कि परिष्कृत प्रक्रियाओं और यूज़र के आदी होने के साथ, इन नकारात्मक प्रभावों को समय के साथ कम किया जा सकता है। कुंजी इस घर्षण का अनुमान लगाना और शुरुआत से ही सबसे सुव्यवस्थित, यूज़र के अनुकूल फ़्लो डिज़ाइन करना है।

  • यूज़र की पसंद एक दोधारी तलवार है: जब विकल्प दिए जाते हैं, तो यूज़र्स लगातार सबसे कम प्रतिरोध का रास्ता चुनते हैं, जिसका अर्थ अक्सर SMS जैसे परिचित लेकिन कम सुरक्षित MFA तरीकों का चयन करना होता है। यह "अनुपालन रंगमंच (compliance theater)" की स्थिति की ओर ले जाता है, जहां संगठन जनादेश के पत्र को पूरा करता है लेकिन उसकी भावना को नहीं, और फ़िशिंग के प्रति संवेदनशील बना रहता है। मार्च 2025 के ऑस्ट्रेलियाई सुपरएनुएशन हमलों ने इस सिद्धांत को विपरीत रूप में प्रदर्शित किया: बिना किसी MFA वाले संगठनों को भारी नुकसान उठाना पड़ा, जबकि जिन लोगों के पास बेसिक MFA (जैसे HostPlus) भी था, उन्होंने वित्तीय चोरी को रोका। हालाँकि, सबक आगे तक फैला हुआ है; केवल SMS पर आधारित कमज़ोर MFA कार्यान्वयन दृढ़ हमलावरों के प्रति संवेदनशील रहते हैं जो SIM स्वैप और सोशल इंजीनियरिंग का शोषण कर सकते हैं। एक सफल रणनीति को सक्रिय रूप से यूज़र्स को अधिक मज़बूत, फ़िशिंग-प्रतिरोधी विकल्पों की ओर ले जाना चाहिए।

  • रिकवरी अकिलीज़ हील (Achilles' Heel) बन जाती है: एक अनिवार्य दुनिया में, अकाउंट रिकवरी एक किनारे के मामले से प्राथमिक परिचालन बोझ और एक महत्वपूर्ण सुरक्षा भेद्यता में बदल जाती है। रिकवरी के लिए ईमेल या SMS पर निर्भर होना पूरे सुरक्षा मॉडल को कमज़ोर करता है, जबकि हेल्पडेस्क-आधारित रिकवरी आर्थिक रूप से अस्थिर है। एक मजबूत, सुरक्षित और यूज़र-अनुकूल रिकवरी प्रक्रिया कोई बाद में सोची गई बात नहीं है; यह किसी भी सफल जनादेश के लिए एक मुख्य आवश्यकता है।

  • पोस्ट-ब्रीच जनादेश समयसीमा को संपीड़ित (compress) करते हैं और जोखिम बढ़ाते हैं: जब जनादेश योजनाबद्ध अनुपालन पहल के बजाय किसी सुरक्षा घटना से ट्रिगर होते हैं, तो कार्यान्वयन की समयसीमा नाटकीय रूप से संपीड़ित हो जाती है। ऑस्ट्रेलियाई सुपरएनुएशन सेक्टर उल्लंघन के हफ्तों के भीतर "MFA का अनुरोध करने वाले ग्राहकों" से "तत्काल तैनाती की उम्मीद करने वाले नियामकों" में बदल गया। यह त्वरित समयरेखा यूज़र परीक्षण, चरणबद्ध रोलआउट और पुनरावृत्त (iterative) परिशोधन के लिए कम जगह छोड़ती है, जिससे प्रौद्योगिकी और यूज़र एक्सपीरियंस डिज़ाइन का विकल्प और भी महत्वपूर्ण हो जाता है। जो संगठन उल्लंघन से पहले सक्रिय रूप से MFA लागू करते हैं, उनके पास सावधानीपूर्वक योजना बनाने की विलासिता (luxury) होती है; जिन्हें घटना के बाद प्रतिक्रिया करने के लिए मजबूर किया जाता है, उनके पास नहीं।

  • चरणबद्ध रोलआउट नाटकीय रूप से जोखिम को कम करते हैं: संपूर्ण यूज़र बेस में "बिग बैंग" रोलआउट का प्रयास करना एक उच्च जोखिम वाली रणनीति है। बड़े एंटरप्राइज़ परिनियोजन (deployments) में सिद्ध अधिक विवेकपूर्ण (prudent) दृष्टिकोण, पहले छोटे, गैर-महत्वपूर्ण यूज़र समूहों के साथ नए सिस्टम का पायलट करना है। यह प्रोजेक्ट टीम को बग पहचानने और हल करने, यूज़र एक्सपीरियंस को परिष्कृत करने और पूर्ण पैमाने पर तैनाती से पहले एक नियंत्रित वातावरण में प्रतिक्रिया एकत्र करने की अनुमति देता है।

  • एक केंद्रीकृत पहचान प्लेटफ़ॉर्म एक शक्तिशाली सक्षमकर्ता (Enabler) है: एक पूर्व-मौजूद, केंद्रीकृत Identity and Access Management (IAM) या Single Sign-On (SSO) प्लेटफ़ॉर्म वाले संगठन एक सुचारू रोलआउट के लिए बहुत बेहतर स्थिति में हैं। एक केंद्रीय पहचान प्रणाली (central identity system) सैकड़ों या हजारों एप्लिकेशन में नई ऑथेंटिकेशन नीतियों के तेजी से और सुसंगत अनुप्रयोग की अनुमति देती है, जिससे परियोजना की जटिलता और लागत काफी कम हो जाती है।

Substack Icon

Latest news के लिए हमारे Passkeys Substack को subscribe करें.

Subscribe करें

5. अपरिहार्य अगला कदम: पासकी जनादेश की समस्या को क्यों हल करती हैं#

पासकी, जो FIDO Alliance के WebAuthn मानक पर बनी हैं, लेगेसी MFA पर केवल एक वृद्धिशील (incremental) सुधार नहीं हैं। पब्लिक-की क्रिप्टोग्राफी पर आधारित उनकी अंतर्निहित वास्तुकला, MFA जनादेश द्वारा पैदा की गई सबसे दर्दनाक और लगातार समस्याओं को हल करने के लिए उद्देश्य-निर्मित है।

  • रिकवरी के बुरे सपने को हल करना: अनिवार्य MFA की सबसे बड़ी चुनौती अकाउंट रिकवरी है। पासकी इसका सीधा समाधान करती हैं। पासकी एक क्रिप्टोग्राफ़िक क्रेडेंशियल है जिसे यूज़र के डिवाइस में उनके प्लेटफ़ॉर्म इकोसिस्टम (जैसे Apple के iCloud Keychain या Google Password Manager) के माध्यम से सिंक किया जा सकता है। अगर कोई यूज़र अपना फ़ोन खो देता है, तो पासकी अभी भी उनके लैपटॉप या टैबलेट पर उपलब्ध है। यह लॉकआउट की आवृत्ति को नाटकीय रूप से कम करता है और ईमेल या महंगे हेल्पडेस्क हस्तक्षेपों जैसे असुरक्षित रिकवरी चैनलों पर निर्भरता को कम करता है।

  • डिवाइस लाइफ़साइकिल समस्या को हल करना: क्योंकि पासकी सिंक की जाती हैं, नया डिवाइस प्राप्त करने का अनुभव उच्च घर्षण वाले बिंदु से एक निर्बाध संक्रमण में बदल जाता है। जब कोई यूज़र नए फ़ोन पर अपने Google या Apple अकाउंट में साइन इन करता है, तो उनकी पासकी अपने आप रिस्टोर हो जाती हैं और उपयोग के लिए तैयार हो जाती हैं। यह पारंपरिक, डिवाइस-बाउंड ऑथेंटिकेटर ऐप्स द्वारा आवश्यक दर्दनाक, ऐप-दर-ऐप पुन: एनरोलमेंट प्रक्रिया को समाप्त करता है।

  • यूज़र की प्राथमिकता के विरोधाभास को हल करना: पासकी क्लासिक सुरक्षा-बनाम-सुविधा ट्रेड-ऑफ़ को हल करती है। सबसे सुरक्षित ऑथेंटिकेशन विधि उपलब्ध है, फ़िशिंग-प्रतिरोधी पब्लिक-की क्रिप्टोग्राफी, यूज़र के लिए सबसे तेज़ और सबसे आसान भी है। बस एक बायोमेट्रिक जेस्चर या डिवाइस PIN की आवश्यकता होती है। यूज़र के लिए कमज़ोर, कम सुरक्षित विकल्प चुनने का कोई प्रोत्साहन नहीं है, क्योंकि सबसे मज़बूत विकल्प भी सबसे सुविधाजनक है।

  • फ़िशिंग भेद्यता को हल करना: पासकी डिज़ाइन के अनुसार फ़िशिंग-प्रतिरोधी हैं। पंजीकरण के दौरान बनाया गया क्रिप्टोग्राफ़िक की-पेयर वेबसाइट या ऐप (उदा., corbado.com) के विशिष्ट ओरिजिन से जुड़ा होता है। किसी यूज़र को एक समान दिखने वाली फ़िशिंग साइट (उदा., corbado.scam.com) पर अपनी पासकी का उपयोग करने के लिए चकमा नहीं दिया जा सकता है क्योंकि ब्राउज़र और ऑपरेटिंग सिस्टम ओरिजिन के बेमेल को पहचान लेंगे और ऑथेंटिकेशन करने से मना कर देंगे। यह एक बुनियादी सुरक्षा गारंटी प्रदान करता है जो साझा रहस्यों (shared secrets) (जैसे पासवर्ड या OTP) पर आधारित कोई भी तरीका पेश नहीं कर सकता।

  • MFA थकान को हल करना: एक एकल, सरल यूज़र एक्शन, जैसे कि Face ID स्कैन या फ़िंगरप्रिंट स्पर्श, एक साथ डिवाइस पर क्रिप्टोग्राफ़िक कुंजी ("कुछ जो आपके पास है") का कब्ज़ा और बायोमेट्रिक ("कुछ जो आप हैं") के माध्यम से स्वाभाविकता साबित करता है। यह यूज़र को एक एकल, सहज कदम की तरह लगता है लेकिन क्रिप्टोग्राफ़िक रूप से मल्टी-फ़ैक्टर ऑथेंटिकेशन की आवश्यकता को पूरा करता है। यह संगठनों को लेगेसी MFA से जुड़े अतिरिक्त चरणों और संज्ञानात्मक भार (cognitive load) को जोड़े बिना कड़े अनुपालन मानकों को पूरा करने की अनुमति देता है।

6. रणनीतिक धुरी (Strategic Pivot): अनिवार्य पासकी पर जाने के लिए एक ब्लूप्रिंट#

लेगेसी MFA से पासकी-फ़र्स्ट रणनीति में संक्रमण के लिए एक जानबूझकर, बहु-चरणीय दृष्टिकोण की आवश्यकता होती है जो प्रौद्योगिकी, यूज़र एक्सपीरियंस और व्यावसायिक लक्ष्यों को संबोधित करता है।

6.1 कदम 1: डिवाइस तत्परता (Readiness) का ऑडिट करें#

इससे पहले कि आप पासकी अनिवार्य कर सकें, आपको उन्हें अपनाने के लिए अपने यूज़र बेस की तकनीकी क्षमता को समझना होगा। रोलआउट की व्यवहार्यता (feasibility) और समयसीमा को मापने के लिए यह एक महत्वपूर्ण पहला कदम है।

  • अपने डिवाइस लैंडस्केप का विश्लेषण करें: अपने यूज़र्स के पसंदीदा ऑपरेटिंग सिस्टम (iOS, Android, Windows संस्करण) और ब्राउज़र पर डेटा एकत्र करने के लिए मौजूदा वेब एनालिटिक्स टूल का उपयोग करें।

  • पासकी रेडीनेस टूल डिप्लॉय करें: अधिक सटीक डेटा के लिए, एक हल्का, डेटा रिसोर्स जैसे कि State of Passkeys उन यूज़र्स के प्रतिशत के बारे में अंतर्दृष्टि प्रदान करता है जिनके डिवाइस प्लेटफ़ॉर्म ऑथेंटिकेटर (जैसे Face ID, Touch ID और Windows Hello) का समर्थन करते हैं और Conditional UI जैसे महत्वपूर्ण UX एन्हांसमेंट, जो पासकी ऑटोफ़िल को सक्षम करते हैं। यथार्थवादी एडॉप्शन मॉडल बनाने के लिए यह डेटा आवश्यक है।

6.2 कदम 2: एक हाइब्रिड फ़ॉलबैक आर्किटेक्चर डिज़ाइन करें#

पासकी में संक्रमण क्रमिक होगा, तात्कालिक नहीं। एक सफल रणनीति के लिए एक हाइब्रिड सिस्टम की आवश्यकता होती है जो असंगत डिवाइसों वाले यूज़र्स के लिए या उन लोगों के लिए एक सुरक्षित फ़ॉलबैक प्रदान करते हुए प्राथमिक, पसंदीदा विधि के रूप में पासकी को बढ़ावा देता है जिन्होंने अभी तक एनरोल नहीं किया है।

  • एक एकीकरण पैटर्न चुनें:

    • आइडेंटिफ़ायर-फ़र्स्ट (Identifier-First): यूज़र अपना ईमेल या यूज़रनेम दर्ज करता है। सिस्टम तब जाँच करता है कि क्या उस आइडेंटिफ़ायर के लिए पासकी पंजीकृत है और, यदि ऐसा है, तो पासकी लॉगिन फ़्लो शुरू करता है। यदि नहीं, तो यह निर्बाध रूप से पासवर्ड या किसी अन्य सुरक्षित विधि पर वापस चला जाता है। यह दृष्टिकोण सबसे अच्छा यूज़र एक्सपीरियंस प्रदान करता है और आम तौर पर उच्च अपनाने की दरों की ओर ले जाता है।

    • समर्पित पासकी बटन: "पासकी के साथ साइन इन करें" बटन पारंपरिक लॉगिन फॉर्म के साथ रखा गया है। इसे लागू करना आसान है लेकिन यूज़र पर नई पद्धति का चयन करने की ज़िम्मेदारी डालता है, जिसके परिणामस्वरूप उपयोग कम हो सकता है।

  • सुनिश्चित करें कि फ़ॉलबैक सुरक्षित हैं: आपका फ़ॉलबैक मैकेनिज्म आपके सुरक्षा लक्ष्यों को कमज़ोर नहीं करना चाहिए। SMS OTP जैसी असुरक्षित विधियों पर वापस जाने से बचें। एक मजबूत विकल्प यूज़र के सत्यापित ईमेल पते पर भेजे गए समय-संवेदनशील वन-टाइम कोड या मैजिक लिंक का उपयोग करना है, जो एक विशिष्ट सत्र के लिए कब्ज़े वाले फ़ैक्टर (possession factor) के रूप में कार्य करता है।

6.3 कदम 3: यूज़र-केंद्रित शिक्षा और रोलआउट योजना तैयार करें#

एक सहज रोलआउट के लिए प्रभावी संचार सर्वोपरि है। लक्ष्य पासकी को एक और सुरक्षा परेशानी के रूप में नहीं, बल्कि यूज़र के अनुभव में एक महत्वपूर्ण अपग्रेड के रूप में तैयार करना है।

  • लाभ-संचालित संदेश: स्पष्ट, सरल भाषा का उपयोग करें जो यूज़र के लाभों पर केंद्रित हो: "तेजी से और अधिक सुरक्षित रूप से साइन इन करें," "भूले हुए पासवर्ड को अलविदा कहें," और "आपका फ़िंगरप्रिंट अब आपकी कुंजी है।" मान्यता (recognition) बनाने के लिए लगातार आधिकारिक FIDO पासकी आइकन का उपयोग करें।

  • चरणबद्ध रोलआउट रणनीति:

    1. "पुल (Pull)" एडॉप्शन के साथ शुरू करें: प्रारंभ में, यूज़र के Account Settings पेज के भीतर एक विकल्प के रूप में पासकी निर्माण की पेशकश करें। यह शुरुआती अपनाने वालों और तकनीक-प्रेमी यूज़र्स को अन्य सभी के लिए फ़्लो को बाधित किए बिना ऑप्ट-इन करने की अनुमति देता है।

    2. "पुश (Push)" एडॉप्शन पर जाएं: सिस्टम के स्थिर होने के बाद, यूज़र्स को उनके पुराने पासवर्ड से सफलतापूर्वक साइन इन करने के तुरंत बाद सक्रिय रूप से पासकी बनाने के लिए प्रेरित करना शुरू करें। यह यूज़र्स को तब पकड़ता है जब वे पहले से ही "ऑथेंटिकेशन मानसिकता" में होते हैं।

    3. ऑनबोर्डिंग में एकीकृत करें: अंततः, सभी नए यूज़र साइन-अप के लिए पासकी निर्माण को एक प्राथमिक, अनुशंसित विकल्प बनाएं।

6.4 कदम 4: मॉनिटर करें, मापें और पुनरावृति (Iterate) करें#

पासकी में निवेश को मान्य करने और अनुभव को लगातार अनुकूलित करने के लिए डेटा-संचालित दृष्टिकोण आवश्यक है। सभी टीमों को अपनी भूमिकाओं के लिए प्रासंगिक मेट्रिक्स को ट्रैक करना चाहिए।

  • एडॉप्शन और एंगेजमेंट मेट्रिक्स:

    • पासकी क्रिएशन रेट: पासकी बनाने वाले योग्य यूज़र्स का प्रतिशत।

    • पासकी यूसेज रेट: पासकी के साथ किए गए कुल लॉगिन का प्रतिशत।

    • टाइम-टू-फ़र्स्ट की-एक्शन: पासकी अपनाने के बाद नए यूज़र्स कितनी जल्दी एक महत्वपूर्ण कार्रवाई करते हैं।

  • व्यावसायिक और परिचालन मेट्रिक्स:

    • पासवर्ड रीसेट टिकटों में कमी: कम हेल्पडेस्क लागत का एक सीधा उपाय।

    • SMS OTP लागत में कमी: लेगेसी फ़ैक्टर को समाप्त करने से प्रत्यक्ष लागत बचत।

    • लॉगिन सक्सेस रेट: पासवर्ड/MFA लॉगिन से पासकी लॉगिन की सफलता दर की तुलना करना।

    • अकाउंट टेकओवर की घटनाओं में कमी: सुरक्षा प्रभावशीलता का अंतिम उपाय।

निम्नलिखित टेबल एक संक्षिप्त सारांश प्रदान करती हैं, ऑथेंटिकेशन विधियों की तुलना करती हैं और पासकी समाधानों को सीधे सामान्य व्यावसायिक दर्द बिंदुओं (pain points) पर मैप करती हैं।

विधि (Method)फ़िशिंग प्रतिरोधयूज़र घर्षण (लॉगिन)रिकवरी जटिलताडिवाइस पोर्टेबिलिटीपरिचालन लागत (हेल्पडेस्क/SMS)
केवल-पासवर्ड (SFA)बहुत कम: फ़िशिंग और क्रेडेंशियल स्टफिंग के प्रति अत्यधिक संवेदनशील।मध्यम: भूले हुए पासवर्ड की संभावना, रीसेट की आवश्यकता होती है।मध्यम: असुरक्षित ईमेल रिकवरी पर निर्भर करता है।उच्च: पोर्टेबल, लेकिन जोखिम भी।उच्च: हेल्पडेस्क कॉल का प्राथमिक कारण।
अनिवार्य SMS OTPकम: फ़िशिंग, सोशल इंजीनियरिंग और SIM-स्वैपिंग हमलों के प्रति संवेदनशील।उच्च: कोड का इंतज़ार करने और टाइप करने की आवश्यकता होती है।मध्यम: फ़ोन नंबर के एक्सेस पर निर्भर करता है।उच्च: नंबर पोर्टेबल है, लेकिन SIM-स्वैप का जोखिम भी।बहुत उच्च: SMS शुल्क के साथ लॉकआउट सपोर्ट टिकट।
अनिवार्य TOTP ऐपमध्यम: रिमोट पासवर्ड हमलों से बचाता है लेकिन रीयल-टाइम फ़िशिंग से नहीं।उच्च: अलग ऐप खोलने और कोड टाइप करने की आवश्यकता होती है।बहुत उच्च: डिवाइस खोने का मतलब अक्सर लॉकआउट और जटिल रिकवरी होता है।कम: जब तक कि मैन्युअली बैकअप नहीं लिया जाता, चाबियां डिवाइस से बंधी होती हैं।उच्च: डिवाइस खोने और रिकवरी टिकटों से प्रेरित।
अनिवार्य पुश नोटिफ़िकेशनकम: MFA थकान और पुश बॉम्बिंग हमलों के प्रति अत्यधिक संवेदनशील।कम: मंज़ूरी देने के लिए एक साधारण टैप, लेकिन विघटनकारी हो सकता है।बहुत उच्च: किसी विशिष्ट डिवाइस से बंधा हुआ; डिवाइस खो जाने पर पूर्ण, जटिल रिकवरी प्रक्रिया की आवश्यकता होती है।कम: कुंजियाँ ऐप इंस्टॉलेशन से जुड़ी होती हैं और किसी नए डिवाइस में अपने आप स्थानांतरित नहीं होती हैं।उच्च: डिवाइस के नुकसान और MFA थकान हमलों से सहायता टिकट उत्पन्न करता है।
अनिवार्य पासकीबहुत उच्च: ओरिजिन बाइंडिंग के कारण डिज़ाइन द्वारा फ़िशिंग-प्रतिरोधी।बहुत कम: एकल, तेज़ बायोमेट्रिक जेस्चर या PIN।कम: प्लेटफ़ॉर्म प्रदाता के माध्यम से यूज़र के डिवाइस में सिंक किया गया।बहुत उच्च: क्लाउड सिंक के माध्यम से नए उपकरणों पर मूल रूप से उपलब्ध।बहुत कम: लॉकआउट को काफी कम करता है और SMS लागत को समाप्त करता है।

कैसे पासकी अनिवार्य MFA दर्द बिंदुओं (Pain Points) का समाधान प्रदान करती हैं

व्यक्ति (Persona)अनिवार्य MFA के साथ मुख्य दर्द बिंदुपासकी कैसे समाधान प्रदान करती हैं
प्रॉडक्ट मैनेजरलॉगिन और रिकवरी प्रक्रियाओं में अत्यधिक घर्षण यूज़र एक्सपीरियंस को नुकसान पहुँचाता है, एंगेजमेंट कम करता है, और रूपांतरण दर (conversion rates) कम करता है।पासकी एक-टैप, बायोमेट्रिक लॉगिन प्रदान करती हैं जो पासवर्ड की तुलना में काफी तेज़ है। अकाउंट लॉकआउट को लगभग समाप्त करके, वे यूज़र की निराशा और मंथन (churn) के एक प्रमुख स्रोत को हटा देती हैं।
CTO / इंजीनियरिंग प्रमुखपासवर्ड और MFA रीसेट के लिए हेल्पडेस्क टिकटों की उच्च परिचालन लागत, SMS OTPs के लिए आवर्ती लागतों के साथ, बजट और IT संसाधनों पर दबाव डालती है।सभी उपकरणों में पासकी सिंकिंग उन लॉकआउट परिदृश्यों को काफी कम कर देती है जो सपोर्ट टिकट उत्पन्न करते हैं। SMS OTPs को समाप्त करने से प्रत्यक्ष, मापनीय लागत बचत मिलती है।
CISO / सुरक्षा पेशेवरयूज़र्स, जब एनरोल करने के लिए मजबूर होते हैं, तो अक्सर उपलब्ध सबसे कमज़ोर, सबसे अधिक फ़िशेबल MFA पद्धति (जैसे SMS) चुनते हैं, जो जनादेश के इच्छित सुरक्षा उत्थान (uplift) को कमज़ोर करता है।पासकी डिज़ाइन के अनुसार फ़िशिंग-प्रतिरोधी हैं। वे सबसे सुरक्षित विकल्प को सबसे सुविधाजनक बनाकर सभी यूज़र्स के लिए सुरक्षा बेसलाइन को ऊपर उठाते हैं, यूज़र को सुरक्षा निर्णय से हटाते हैं।
प्रोजेक्ट मैनेजर"बिग बैंग" रोलआउट की अप्रत्याशितता, परिवर्तन के प्रति यूज़र के प्रतिरोध के साथ, प्रोजेक्ट की समयसीमा और संसाधन आवंटन को प्रबंधित करना मुश्किल बना देती है।एक चरणबद्ध पासकी रोलआउट (सेटिंग्स में शुरू, फिर पोस्ट-लॉगिन को प्रेरित करना) स्पष्ट, लाभ-संचालित यूज़र संचार के साथ संयुक्त अपनाने को आसान और अधिक अनुमानित (predictable) बनाता है, जिससे प्रोजेक्ट जोखिम कम होता है।

निष्कर्ष: अनुपालन को प्रतिस्पर्धात्मक लाभ (Competitive Advantage) में बदलना#

अनिवार्य मल्टी-फ़ैक्टर ऑथेंटिकेशन का युग यहाँ रहने के लिए है। जबकि क्रेडेंशियल-आधारित हमलों से बचाव की महत्वपूर्ण आवश्यकता से पैदा हुए, इन जनादेशों ने अनजाने में चुनौतियों का एक नया परिदृश्य तैयार किया है।

हमने देखा है कि MFA लागू करने से महत्वपूर्ण परिचालन बोझ पड़ता है, SMS शुल्क की प्रत्यक्ष लागत से लेकर एनरोलमेंट और डिवाइस परिवर्तन से जूझ रहे यूज़र्स के हेल्पडेस्क टिकटों में वृद्धि तक। हमने सीखा है कि जब विकल्प दिया जाता है, तो यूज़र्स SMS जैसे परिचित लेकिन फ़िश की जा सकने वाले तरीकों की ओर आकर्षित होते हैं, कागज पर अनुपालन तो प्राप्त करते हैं लेकिन संगठन को वास्तविक दुनिया के हमलों के संपर्क में छोड़ देते हैं। सबसे गंभीर बात यह है कि हमने स्थापित किया है कि एक अनिवार्य दुनिया में, अकाउंट रिकवरी विफलता का सबसे बड़ा बिंदु बन जाती है, जो कि यूज़र की अपार निराशा का स्रोत है और अनुचित तरीके से संभाले जाने पर एक बड़ी सुरक्षा खामी (security hole) है।

लेगेसी MFA तरीके इन समस्याओं को हल नहीं कर सकते। लेकिन पासकी कर सकती हैं। हमने प्रदर्शित किया है कि पासकी निश्चित उत्तर हैं, जो सीधे रिकवरी, यूज़र के घर्षण और सुरक्षा के परस्पर जुड़े मुद्दों को हल करती हैं। उनकी सिंक की गई प्रकृति अधिकांश लॉकआउट परिदृश्यों को समाप्त करती है, उपयोग में आसानी उनके कमज़ोर विकल्पों को चुनने के प्रोत्साहन को हटा देती है, और उनका क्रिप्टोग्राफ़िक डिज़ाइन उन्हें फ़िशिंग से प्रतिरक्षित बनाता है। अंत में, हमने एक स्पष्ट, चार-चरणीय ब्लूप्रिंट तैयार किया है, रेडीनेस के ऑडिट से लेकर सफलता मापने तक, जो किसी भी संगठन के लिए इस रणनीतिक बदलाव को करने के लिए एक व्यावहारिक मार्ग प्रदान करता है।

इस बदलाव को केवल अनुपालन सिरदर्द के रूप में देखना इसके द्वारा प्रस्तुत किए जाने वाले रणनीतिक अवसर को चूकना है। यूरोपीय बैंकिंग में Strong Customer Authentication के अग्रदूतों (pioneers) ने, शुरुआती संघर्षों के बावजूद, अंततः पूरे उद्योग के लिए यूज़र की उम्मीदों को आकार दिया। आज, पासकी के अग्रदूतों के पास वही अवसर है। इस संक्रमण को अपनाकर, संगठन एक सुरक्षा जनादेश को एक बोझिल दायित्व से एक शक्तिशाली और स्थायी प्रतिस्पर्धात्मक लाभ में बदल सकते हैं। जनादेश से गति की ओर बढ़ने की योजना बनाने का समय अब है।

Corbado

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Authentication Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें

अक्सर पूछे जाने वाले प्रश्न#

जब सभी यूज़र्स के लिए MFA अनिवार्य किया जाता है, तो अकाउंट रिकवरी कैसे काम करती है?#

अनिवार्य MFA अकाउंट रिकवरी को मुख्य ऑपरेशनल चुनौती बना देता है, जिसके चार मुख्य विकल्प हैं: हेल्पडेस्क-आधारित वेरिफिकेशन (सुरक्षित लेकिन महंगा), ईमेल या SMS रिकवरी (सस्ता लेकिन अगर ईमेल के साथ छेड़छाड़ हुई हो तो शोषण किया जा सकता है), पहले से एनरोल किए गए बैकअप कोड (अक्सर यूज़र्स द्वारा खो दिए जाते हैं) और सेल्फी-ID वेरिफिकेशन जिसके लिए सरकार द्वारा जारी ID की ज़रूरत होती है। हर विकल्प में सुरक्षा, लागत और स्केलेबिलिटी के बीच समझौता शामिल होता है।

SMS-आधारित MFA अनिवार्य करने से संगठन अभी भी फ़िशिंग के प्रति संवेदनशील क्यों रहते हैं?#

SMS OTP रीयल-टाइम फ़िशिंग, SIM-स्वैपिंग और एक असुरक्षित ईमेल अकाउंट के माध्यम से रिकवरी बायपास के प्रति संवेदनशील होते हैं। 100% MFA एनरोलमेंट पर भी, SMS पर निर्भर रहने का मतलब है कि एक संगठन किसी नियम के अक्षरशः पालन तो करता है लेकिन उसकी भावना का नहीं। Microsoft का 'सिस्टम-पसंदीदा MFA' का परिचय इस समस्या को स्वीकार करता है, जो यूज़र्स को सक्रिय रूप से SMS के बजाय ऑथेंटिकेटर ऐप्स की ओर ले जाता है।

2025 के ऑस्ट्रेलियाई सुपरएनुएशन क्रेडेंशियल स्टफिंग हमले के दौरान क्या हुआ था और यह MFA के बारे में क्या साबित करता है?#

मार्च 2025 में, हमलावरों ने चुराए गए क्रेडेंशियल्स का उपयोग करके 600 तक AustralianSuper अकाउंट्स तक पहुँच प्राप्त की और चार सदस्यों के बैलेंस से 500,000 AUD निकाल लिए। HostPlus, जिसने पहले से ही MFA लागू कर लिया था, ने उसी अभियान से शून्य वित्तीय नुकसान की रिपोर्ट की। APRA ने बाद में सभी सुपरएनुएशन बोर्ड के अध्यक्षों को लिखा, जिससे MFA लागू करना भविष्य के विचार के बजाय एक तत्काल नियामक दायित्व बन गया।

पासकी नए डिवाइस एनरोलमेंट को TOTP ऑथेंटिकेटर ऐप्स से अलग तरह से कैसे संभालती हैं?#

पासकी Apple के iCloud Keychain और Google Password Manager जैसे प्लेटफ़ॉर्म इकोसिस्टम के माध्यम से सिंक होती हैं, जो प्रति-सेवा पुनः-एनरोलमेंट के बिना एक नए डिवाइस पर अपने आप रिस्टोर हो जाती हैं। जब तक पहले से मैन्युअली क्लाउड बैकअप सक्षम नहीं किया गया हो, तब तक डिवाइस बदले जाने पर TOTP ऑथेंटिकेटर ऐप्स सभी गुप्त कुंजियों को खो देते हैं, जिससे डिवाइस बदलना अनिवार्य MFA के तहत हेल्पडेस्क टिकट और अकाउंट लॉकआउट का प्राथमिक कारण बन जाता है।

यूज़र्स को लेगेसी MFA से पासकी में बदलने के लिए अनुशंसित चरणबद्ध रोलआउट रणनीति क्या है?#

तीन-चरण अपनाने वाला दृष्टिकोण रोलआउट जोखिम को कम करता है। सबसे पहले, मौजूदा फ़्लो को बाधित किए बिना शुरुआती अपनाने वालों को पकड़ने के लिए Account Settings के भीतर एक ऑप्ट-इन के रूप में पासकी निर्माण की पेशकश करें। दूसरा, एक सफल पासवर्ड लॉगिन के तुरंत बाद यूज़र्स को पासकी बनाने के लिए प्रेरित करें, जब वे पहले से ही ऑथेंटिकेशन मानसिकता में हों। तीसरा, नए यूज़र ऑनबोर्डिंग के दौरान पासकी निर्माण को प्राथमिक सिफारिश बनाएं।

अपने passkey रोलआउट में असल में क्या हो रहा है, यह देखें।

Console देखें

यह लेख साझा करें


LinkedInTwitterFacebook