यह पेज अपने-आप अनुवादित किया गया है। मूल अंग्रेज़ी संस्करण पढ़ें यहाँ.
Enterprise Passkey व्हाइटपेपर. passkey कार्यक्रमों के लिए व्यावहारिक मार्गदर्शन, रोलआउट पैटर्न और KPIs।
मल्टी-फ़ैक्टर ऑथेंटिकेशन (MFA) निर्णायक रूप से सक्रिय यूज़र्स के लिए एक सुरक्षा सुविधा से दुनिया भर के संगठनों के लिए एक गैर-परक्राम्य (non-negotiable), अनिवार्य वास्तविकता में बदल गया है। यह परिवर्तन पसंद से नहीं बल्कि ज़रूरत से प्रेरित है, जो लगातार क्रेडेंशियल-आधारित साइबर हमलों और बढ़ते नियामक दबाव से संचालित है। वित्तीय सेवाओं से लेकर सार्वजनिक क्षेत्र तक के उद्योग अब ऐसे फ्रेमवर्क के तहत काम करते हैं जो MFA को अनुपालन के लिए बेसलाइन बनाते हैं। यह नया युग, जहां MFA को पेश करने के बजाय लागू किया जाता है, जटिल चुनौतियों की एक श्रृंखला पेश करता है जो प्रारंभिक तकनीकी कार्यान्वयन से बहुत आगे तक फैली हुई है।
जब प्रत्येक यूज़र को MFA का उपयोग करना आवश्यक होता है, तो महत्वपूर्ण सवालों का एक नया सेट उभरता है जिसका उत्तर प्रत्येक संगठन को देना चाहिए। यह लेख इन चुनौतियों का गहराई से पता लगाएगा, जिससे आगे बढ़ने का एक स्पष्ट मार्ग प्रशस्त होगा। हम संबोधित करेंगे:
बड़े पैमाने पर MFA लागू करने की छिपी हुई परिचालन लागतें और यूज़र एक्सपीरियंस से जुड़े खतरे क्या हैं?
जब विकल्प दिया जाता है, तो यूज़र्स वास्तव में कौन सी MFA विधियां अपनाते हैं, और इससे सुरक्षा जोखिम क्या पैदा होते हैं?
अनिवार्य वातावरण में अकाउंट रिकवरी नई प्राथमिक चुनौती कैसे बन जाती है, और इसे हल करने में क्या समझौते करने पड़ते हैं?
पासकी केवल एक अन्य विकल्प ही नहीं, बल्कि MFA जनादेश द्वारा उत्पन्न समस्याओं के लिए रणनीतिक समाधान क्यों हैं?
अनिवार्य लेगेसी MFA से पासकी की बेहतर सुरक्षा और यूज़र एक्सपीरियंस में सफलतापूर्वक संक्रमण के लिए एक व्यावहारिक, चरण-दर-चरण ब्लूप्रिंट क्या है?
यह विश्लेषण सिंगल-फ़ैक्टर ऑथेंटिकेशन से अनिवार्य MFA (और फिर अनिवार्य पासकी) में सफल संक्रमण के लिए एक स्पष्ट, कार्रवाई योग्य ब्लूप्रिंट प्रदान करेगा।
प्रवर्तन की चुनौतियों की खोज करने से पहले, ऑथेंटिकेशन परिदृश्य की स्पष्ट समझ स्थापित करना महत्वपूर्ण है और यह समझना भी कि जनादेश इसे मौलिक रूप से क्यों बदलते हैं। शब्दावली स्वयं भ्रम का स्रोत हो सकती है, लेकिन अंतर किसी भी सुरक्षा या उत्पाद रणनीति के लिए महत्वपूर्ण हैं।
ऑथेंटिकेशन का विकास इसके सबसे बुनियादी रूप की अंतर्निहित कमजोरी की सीधी प्रतिक्रिया है।
सिंगल-फ़ैक्टर ऑथेंटिकेशन (SFA): परिचित यूज़रनेम और पासवर्ड संयोजन। यह एक ही "ज्ञान" फ़ैक्टर पर निर्भर करता है, कुछ ऐसा जो यूज़र को पता है। फ़िशिंग, क्रेडेंशियल स्टफिंग और ब्रूट-फ़ोर्स हमलों के प्रति इसकी संवेदनशीलता मजबूत तरीकों के लिए प्राथमिक चालक है।
टू-स्टेप वेरिफिकेशन (2SV): अक्सर MFA के साथ परस्पर उपयोग किया जाता है, 2SV एक विशिष्ट और कमज़ोर प्रक्रिया है। इसके लिए दो वेरिफिकेशन चरणों की आवश्यकता होती है लेकिन यह एक ही श्रेणी के दो फ़ैक्टरों का उपयोग कर सकता है। एक सामान्य उदाहरण एक पासवर्ड के बाद सुरक्षा प्रश्न है, जो दोनों "ज्ञान" फ़ैक्टर हैं। हालांकि यह SFA से बेहतर है, लेकिन यह सच्चे मल्टी-फ़ैक्टर सुरक्षा के मानदंडों को पूरा नहीं करता है।
मल्टी-फ़ैक्टर ऑथेंटिकेशन (MFA): सुरक्षा का स्वर्ण मानक (gold standard), MFA को ऑथेंटिकेशन फ़ैक्टरों की कम से कम दो अलग-अलग श्रेणियों से वेरिफिकेशन की आवश्यकता होती है। तीन प्राथमिक श्रेणियां हैं:
ज्ञान: कुछ ऐसा जो यूज़र जानता है (उदा., एक पासवर्ड, एक PIN)।
कब्जा: कुछ ऐसा जो यूज़र के पास है (उदा., एक मोबाइल फ़ोन जिस पर कोड प्राप्त हो रहा हो, एक हार्डवेयर सुरक्षा कुंजी)।
स्वाभाविकता (Inherence): कुछ ऐसा जो यूज़र है (उदा., फ़िंगरप्रिंट, चेहरे की पहचान)।
वैकल्पिक से अनिवार्य MFA में संक्रमण एक प्रतिमान बदलाव (paradigm shift) है। एक वैकल्पिक सिस्टम सबसे अधिक सुरक्षा के प्रति जागरूक यूज़र्स द्वारा क्रमिक रूप से अपनाने की अनुमति देता है, जिससे वास्तविक घर्षण (friction) बिंदु छिप जाते हैं। एक जनादेश संपूर्ण यूज़र बेस को, तकनीक के जानकारों से लेकर तकनीक से दूर रहने वालों तक, एक साथ नए सिस्टम पर बाध्य करता है, जिससे यूज़र एक्सपीरियंस और सहायता संरचना में हर खामी उजागर हो जाती है।
दुनिया भर में नियामक उत्प्रेरकों (catalysts) द्वारा इस बदलाव को तेज किया गया है। विशेष रूप से, यूरोप के दूसरे Payment Services Directive (PSD2) और Strong Customer Authentication (SCA) के लिए इसकी आवश्यकता ने अधिकांश ऑनलाइन लेनदेन के लिए MFA को अनिवार्य करके यूरोपीय भुगतान परिदृश्य को मौलिक रूप से नया रूप दिया। वित्तीय संस्थानों को खुले APIs और मजबूत सुरक्षा अपनाने के लिए बाध्य करके, PSD2 लागू ऑथेंटिकेशन में एक विशाल, वास्तविक दुनिया का केस स्टडी प्रदान करता है।
SCA का प्राथमिक लक्ष्य इलेक्ट्रॉनिक भुगतान के लिए दो स्वतंत्र ऑथेंटिकेशन फ़ैक्टरों की आवश्यकता को अनिवार्य करके धोखाधड़ी को कम करना था। हालांकि, शुरुआती रोलआउट ने यूज़र्स के भ्रम और कार्ट छोड़ने के कारण कुछ यूरोपीय व्यापारियों को लगभग 40% लेनदेन का नुकसान उठाना पड़ा, जिससे महत्वपूर्ण घर्षण पैदा हुआ। समय के साथ, इकोसिस्टम अनुकूलित हो गया, और यूरोपीय सेंट्रल बैंक की अगस्त 2024 की रिपोर्ट ने पुष्टि की कि SCA-प्रमाणित लेनदेन में अब धोखाधड़ी की दर काफी कम है। यह दीर्घकालिक सुरक्षा लाभ को प्रदर्शित करता है, लेकिन यूज़र एक्सपीरियंस के साथ सुरक्षा को संतुलित करने की महत्वपूर्ण आवश्यकता पर भी प्रकाश डालता है।
इसी तरह की नियामक गति विश्व स्तर पर बढ़ रही है। ऑस्ट्रेलिया में, वित्तीय क्षेत्र ऑस्ट्रेलियन प्रूडेंशियल रेगुलेशन अथॉरिटी (APRA) के CPS 234 फ्रेमवर्क के तहत काम करता है, जो वित्तीय संस्थानों के लिए सुरक्षा मानक निर्धारित करता है। 2025 की शुरुआत में क्रेडेंशियल स्टफिंग हमलों की लहर के बाद, APRA ने सभी सुपरएनुएशन फंड बोर्ड्स को लिखा, स्पष्ट रूप से उच्च जोखिम वाली गतिविधियों के लिए MFA या समकक्ष सुरक्षा लागू करने की अपेक्षा की। नियामक ने नोट किया कि ऑस्ट्रेलियाई वित्तीय क्षेत्र में साइबर घटनाओं का लगभग 20% क्रेडेंशियल-स्टफिंग हमले थे, जिससे MFA एक महत्वपूर्ण नियंत्रण बन गया। अलग से, ऑस्ट्रेलिया का दूरसंचार क्षेत्र ऑस्ट्रेलियन कम्युनिकेशंस एंड मीडिया अथॉरिटी के 2022 कस्टमर आइडेंटिटी ऑथेंटिकेशन डिटरमिनेशन के तहत सभी उच्च जोखिम वाले ग्राहक लेनदेन के लिए अनिवार्य MFA का सामना करता है। यह नियम वाहकों को SIM स्वैपिंग धोखाधड़ी के हाई-प्रोफाइल मामलों के बाद SIM स्वैप, पासवर्ड रीसेट और सेवा जोड़ने के लिए MFA का उपयोग करने की आवश्यकता को अनिवार्य करता है।
हालांकि ये जनादेश शुरू में घर्षण पैदा करते हैं, लेकिन ये अनैच्छिक सामूहिक शिक्षा का वातावरण भी तैयार करते हैं। जब लाखों यूज़र्स को उनके बैंकों द्वारा फ़िंगरप्रिंट या कोड के साथ लेनदेन को मंज़ूरी देने के लिए मजबूर किया जाता है, तो वे दूसरे फ़ैक्टर की अवधारणा से परिचित हो जाते हैं। यह सामान्यीकरण, विनियमन द्वारा संचालित, विरोधाभासी रूप से अन्य संगठनों के लिए मार्ग प्रशस्त करता है। बातचीत "MFA क्या है और मुझे इसकी आवश्यकता क्यों है?" से विकसित होकर "सुरक्षा कदम उठाने का हमारा नया, आसान तरीका यहां है जिसे आप पहले से ही जानते हैं।" तक पहुँच सकती है। यह पासकी जैसे बेहतर अनुभव को पेश करने के लिए सही आधार तैयार करता है।
जबकि नियामक ढांचे सक्रिय MFA अपनाने को बढ़ावा देते हैं, सुरक्षा घटनाएं अक्सर सबसे तत्काल और दृश्यमान जनादेश को ट्रिगर करती हैं। जब किसी संगठन को उल्लंघन का सामना करना पड़ता है, तो अनिवार्य MFA का मार्ग अनुपालन योजना का मामला नहीं बल्कि तत्काल संकट प्रतिक्रिया बन जाता है।
ऑस्ट्रेलिया के सुपरएनुएशन सेक्टर ने मार्च 2025 में इसे स्पष्ट रूप से अनुभव किया। एक परिष्कृत क्रेडेंशियल स्टफिंग अभियान में, साइबर अपराधियों ने बाहरी उल्लंघनों से चुराए गए यूज़रनेम-पासवर्ड संयोजनों का उपयोग करके रिटायरमेंट फंड अकाउंट्स पर व्यवस्थित रूप से हमला किया। रॉयटर्स और ABC न्यूज़ की रिपोर्टों के अनुसार, देश के सबसे बड़े फंड AustralianSuper, जिसके 30 लाख से अधिक सदस्य हैं, ने पुष्टि की कि हमलावरों ने 600 तक सदस्य खातों तक पहुँच प्राप्त की और हमले का पता चलने से पहले चार सदस्यों के बैलेंस से A$500,000 सफलतापूर्वक निकाल लिए। यह घटना कई फंडों में फैल गई, जिसमें Rest Super ने लगभग 20,000 खातों में संदिग्ध गतिविधि का पता लगाया और Insignia Financial ने लगभग 100 खातों पर प्रयास की रिपोर्ट दी।
हमला वेक्टर टेक्स्टबुक क्रेडेंशियल स्टफिंग था: असंबंधित डेटा उल्लंघनों से प्राप्त क्रेडेंशियल्स का उपयोग करके स्वचालित लॉगिन प्रयास। ABC न्यूज़ द्वारा साक्षात्कार लिए गए सुरक्षा विशेषज्ञों ने हमले को "अपरिष्कृत (unsophisticated)" करार दिया, यह देखते हुए कि इसकी सफलता का श्रेय पूरी तरह से MFA की अनुपस्थिति को जाता है। एक आश्चर्यजनक विरोधाभास में, एक अन्य प्रमुख फंड HostPlus ने उसी अभियान से कोई वित्तीय नुकसान नहीं होने की सूचना दी, क्योंकि उसने सदस्य खातों के लिए पहले से ही MFA लागू कर लिया था। इस वास्तविक दुनिया की तुलना ने MFA के सुरक्षात्मक मूल्य का स्पष्ट प्रमाण प्रदान किया।
उल्लंघन से पहले, AustralianSuper के ग्राहकों ने स्पष्ट रूप से सुरक्षा विकल्प के रूप में MFA का अनुरोध किया था लेकिन उन्हें सूचित किया गया था कि यह उपलब्ध नहीं था। घटना के बाद, फंड ने प्रभावित खातों को तुरंत लॉक कर दिया और MFA की तैनाती में तेजी ला दी। सभी सुपरएनुएशन बोर्ड के अध्यक्षों को APRA के बाद के पत्र ने विनियामक अपेक्षा को स्पष्ट कर दिया: MFA लागू करना अब एक तत्काल दायित्व था, न कि भविष्य में विचार करने योग्य कोई बात।
संगठनात्मक क्रेडेंशियल्स से समझौता करने वाले फ़िशिंग अभियानों से पोस्ट-ब्रीच जनादेश भी उभरते हैं। मार्च 2020 में, राज्य सरकारी सेवा पोर्टल Service NSW को फ़िशिंग हमले का सामना करना पड़ा जिसने 736 GB डेटा का खुलासा किया, जिससे लगभग 103,000 ग्राहकों की व्यक्तिगत जानकारी से समझौता हुआ। जांचकर्ताओं ने उल्लंघन की गंभीरता में प्रमुख योगदानकर्ता के रूप में कर्मचारियों के ईमेल अकाउंट्स पर MFA की अनुपस्थिति की पहचान की। प्रतिक्रिया में, Service NSW ने सभी बाहरी ईमेल सिस्टम में MFA लागू किया और अगस्त 2021 तक, A$5 मिलियन के सुरक्षा निवेश द्वारा समर्थित 95% बाह्य रूप से सामना करने वाले सिस्टम पर इसे सक्षम कर दिया था। अलग 2022 Optus दूरसंचार डेटा उल्लंघन के बाद, Service NSW ने अपने प्रयासों का और विस्तार किया, पायलट किया और फिर सभी MyServiceNSW अकाउंट होल्डर्स के लिए 2026 तक MFA अनिवार्य कर दिया।
ये घटनाएं एक महत्वपूर्ण पैटर्न को दर्शाती हैं: उल्लंघन राजनीतिक और परिचालन दबाव पैदा करते हैं जो सक्रिय अनुपालन के लिए सामान्य क्रमिक योजना चक्रों (planning cycles) को दरकिनार कर देते हैं। प्रश्न "क्या हमें MFA अनिवार्य करना चाहिए?" से "हम इसे कितनी जल्दी तैनात कर सकते हैं?" में बदल जाता है। यह संपीड़ित समयरेखा (compressed timeline) अक्सर इस लेख में बाद में चर्चा की गई यूज़र एक्सपीरियंस और परिचालन चुनौतियों को बढ़ा देती है, जिससे MFA पद्धति का चुनाव और रोलआउट का डिज़ाइन और भी अधिक परिणामी हो जाता है।
संपूर्ण यूज़र बेस में MFA लागू करने से व्यावहारिक चुनौतियों का खजाना खुल जाता है जिन्हें प्रारंभिक योजना के दौरान अक्सर कम आंका जाता है। ये मुद्दे यूज़र एक्सपीरियंस, सुरक्षा स्थिति और परिचालन लागत को प्रभावित करते हैं।
जब एनरोलमेंट अनिवार्य होता है, तो एक खराब यूज़र एक्सपीरियंस केवल एक झुंझलाहट नहीं है; यह व्यवसाय संचालन के लिए एक सीधी बाधा बन जाता है। संगठन आमतौर पर दो रणनीतियों के बीच चयन करते हैं: मजबूर एनरोलमेंट, जिसके लिए अगले लॉगिन पर MFA सेटअप की आवश्यकता होती है, या प्रगतिशील एनरोलमेंट, जो समय के साथ यूज़र्स को प्रेरित करता है। जबकि मजबूर एनरोलमेंट अनुपालन तेजी से प्राप्त करता है, यह उच्च यूज़र निराशा और ड्रॉप-ऑफ़ का जोखिम उठाता है यदि प्रक्रिया निर्बाध नहीं है। सफलता UX की सर्वोत्तम प्रथाओं का पालन करने पर निर्भर करती है, जैसे कि कई ऑथेंटिकेशन विधियों की पेशकश करना, स्पष्ट निर्देश प्रदान करना, और सभी यूज़र्स के लिए सुलभता सुनिश्चित करना, उदाहरण के लिए ऑथेंटिकेटर ऐप्स के लिए QR कोड के साथ एक टेक्स्ट-आधारित गुप्त कुंजी प्रदान करके।
एक बार किसी अकाउंट पर MFA सक्रिय हो जाने पर, दूसरा फ़ैक्टर खोने का मतलब है पूरी तरह से लॉक आउट हो जाना। अनिवार्य दुनिया में, यह कुछ सुरक्षा के प्रति जागरूक यूज़र्स के लिए एक अलग घटना नहीं है; यह संपूर्ण यूज़र बेस और उनकी सेवा करने वाली सहायता टीमों के लिए एक व्यापक, महत्वपूर्ण चुनौती बन जाती है। यह अकाउंट रिकवरी को सबसे बड़ी एकल चुनौती बनाता है।
वित्तीय दांव ऊंचे हैं: एक हेल्पडेस्क-आधारित पासवर्ड या MFA रीसेट करने पर किसी कंपनी को औसतन $70 का खर्च आ सकता है। सैकड़ों हजारों यूज़र्स वाले संगठन के लिए, रिकवरी की आवश्यकता वाले एक छोटे प्रतिशत का मतलब परिचालन लागत और खोई हुई उत्पादकता में लाखों डॉलर हो सकता है।
संगठनों को सुरक्षा, लागत और सुविधा के बीच कठिन समझौता करना पड़ता है:
हेल्पडेस्क-आधारित रिकवरी: एक सपोर्ट एजेंट वीडियो कॉल या अन्य माध्यमों से यूज़र की पहचान सत्यापित कर सकता है। यह एक सुरक्षित, मानव-सत्यापित प्रक्रिया है लेकिन यह अत्यधिक महंगी और बड़े पैमाने पर लागू करने में धीमी है, जो इसे अधिकांश व्यवसायों के लिए अस्थिर बनाती है।
ईमेल/SMS-आधारित रिकवरी: अपनी कम लागत और यूज़र की परिचितता के कारण यह सबसे आम तरीका है। हालाँकि, यह एक महत्वपूर्ण सुरक्षा भेद्यता (vulnerability) भी है। यदि किसी हमलावर ने पहले ही यूज़र के ईमेल अकाउंट से समझौता कर लिया है, जो अन्य हमलों का एक सामान्य अग्रदूत है, तो वे आसानी से रिकवरी कोड को इंटरसेप्ट कर सकते हैं और पूरी तरह से MFA को दरकिनार कर सकते हैं। यह तरीका प्रभावी रूप से उन सुरक्षा लाभों को नकार देता है जिन्हें जनादेश प्रदान करने का इरादा था।
पूर्व-नामांकित बैकअप कोड: एनरोलमेंट के दौरान यूज़र्स को वन-टाइम-यूज़ बैकअप कोड का एक सेट दिया जाता है। ईमेल रिकवरी की तुलना में अधिक सुरक्षित होने पर भी, यह दृष्टिकोण प्रारंभिक सेटअप में घर्षण जोड़ता है। इसके अलावा, यूज़र्स अक्सर इन कोड्स को सुरक्षित रूप से संग्रहीत करने में विफल रहते हैं या उन्हें खो देते हैं, जो अंततः उन्हें उसी लॉकआउट समस्या की ओर ले जाता है।
सेल्फी-ID वेरिफिकेशन: इस उच्च-आश्वासन पद्धति के लिए यूज़र को एक लाइव सेल्फी और सरकार द्वारा जारी ID (जैसे ड्राइविंग लाइसेंस या पासपोर्ट) की एक तस्वीर लेने की आवश्यकता होती है। AI-संचालित सिस्टम तब पहचान की पुष्टि करने के लिए ID से चेहरे का मिलान करते हैं। जबकि बैंकिंग और वित्तीय सेवाओं में आम है जहां ऑनबोर्डिंग के दौरान पहचान सत्यापित की जाती है, यह कुछ यूज़र्स के लिए गोपनीयता की चिंता पैदा करता है और उन्हें अपने भौतिक ID को अपने पास रखने की आवश्यकता होती है।
डिजिटल क्रेडेंशियल्स और वॉलेट्स: एक उभरता हुआ, दूरंदेशी विकल्प डिजिटल वॉलेट में संग्रहीत सत्यापन योग्य (verifiable) डिजिटल क्रेडेंशियल्स का उपयोग करना शामिल है। एक यूज़र सेवा-विशिष्ट रिकवरी फ़्लो से गुज़रे बिना अपनी पहचान साबित करने के लिए एक विश्वसनीय जारीकर्ता (जैसे सरकार या बैंक) से एक क्रेडेंशियल प्रस्तुत कर सकता है। यह तरीका अभी भी अपने शुरुआती चरण में है, लेकिन यह अधिक पोर्टेबल और यूज़र-नियंत्रित पहचान वेरिफिकेशन के भविष्य की ओर इशारा करता है।
किसी भी MFA सिस्टम में एक लगातार और महत्वपूर्ण विफलता बिंदु डिवाइस लाइफ़साइकिल है। जब किसी यूज़र को नया फ़ोन मिलता है, तो उनके ऑथेंटिकेशन तरीके की निरंतरता सर्वोपरि होती है।
SMS: यह तरीका अपेक्षाकृत पोर्टेबल है, क्योंकि एक नया SIM कार्ड के माध्यम से एक फ़ोन नंबर को नए डिवाइस में स्थानांतरित किया जा सकता है। हालाँकि, यह वही प्रक्रिया है जिसका SIM-स्वैपिंग हमलों में शोषण किया जाता है, जहाँ एक जालसाज़ मोबाइल वाहक को पीड़ित के नंबर को उनके नियंत्रण वाले SIM पर पोर्ट करने के लिए मना लेता है।
ऑथेंटिकेटर ऐप्स (TOTP): यह यूज़र के घर्षण का एक प्रमुख स्रोत है। जब तक कि यूज़र ने अपने ऑथेंटिकेटर ऐप (एक सुविधा जो सार्वभौमिक नहीं है और हमेशा उपयोग नहीं की जाती है) के भीतर सक्रिय रूप से क्लाउड बैकअप सुविधा सक्षम नहीं की है, तब तक कोड उत्पन्न करने वाली गुप्त कुंजियां पुराने डिवाइस के साथ खो जाती हैं। यह यूज़र को उनके द्वारा सुरक्षित की गई हर एक सेवा के लिए पूर्ण, और अक्सर दर्दनाक, अकाउंट रिकवरी प्रक्रिया में मजबूर करता है।
पुश नोटिफ़िकेशन: TOTP ऐप्स के समान, पुश-आधारित MFA एक पंजीकृत डिवाइस पर एक विशिष्ट ऐप इंस्टॉलेशन से जुड़ा हुआ है। एक नए फ़ोन के लिए एक नए एनरोलमेंट की आवश्यकता होती है, जिससे वही रिकवरी चुनौतियाँ उत्पन्न होती हैं।
जब कोई संगठन MFA अनिवार्य करता है और तरीकों का विकल्प प्रदान करता है, तो एक अनुमानित पैटर्न उभरता है: +95% यूज़र्स उस चीज़ की ओर आकर्षित होते हैं जो सबसे परिचित है और जिसे सबसे आसान माना जाता है, जो अक्सर SMS-आधारित वन-टाइम पासकोड (OTPs) होता है। यह व्यवहार एक विरोधाभास पैदा करता है। एक CISO सुरक्षा में सुधार के लिए MFA अनिवार्य कर सकता है। हालाँकि, यदि कई यूज़र्स SMS जैसी फ़िश की जा सकने वाली विधि पर निर्भर रहना जारी रखते हैं, तो संगठन परिष्कृत हमलों के खिलाफ अपनी सुरक्षा में भौतिक रूप से सुधार किए बिना 100% अनुपालन प्राप्त कर सकता है।
मार्च 2025 के ऑस्ट्रेलियाई सुपरएनुएशन उल्लंघनों ने इस समस्या का स्पष्ट, वास्तविक दुनिया का प्रमाण प्रदान किया। उस घटना में, किसी भी MFA की अनुपस्थिति निर्णायक कमज़ोरी थी। हालाँकि, व्यापक सबक "MFA या कोई MFA नहीं" की बाइनरी से परे तैनात MFA की गुणवत्ता तक फैला हुआ है। जो संगठन अपने प्राथमिक या एकमात्र विकल्प के रूप में केवल SMS-आधारित MFA की पेशकश करते हैं, वे फ़िशिंग, सोशल इंजीनियरिंग और SIM-स्वैपिंग हमलों के प्रति संवेदनशील रहते हैं। ऑस्ट्रेलियाई मामले में हमलावरों ने कमजोर क्रेडेंशियल्स का फायदा उठाया; अगर वे अकाउंट्स केवल SMS OTPs द्वारा "सुरक्षित" होते, तो समझौता किए गए ईमेल अकाउंट्स तक पहुँच वाले हमलावर संभवतः पासवर्ड रीसेट फ़्लो को इंटरसेप्ट कर सकते थे और उस फ़ैक्टर को भी दरकिनार करने के लिए SIM स्वैप को ट्रिगर कर सकते थे।
इसे पहचानते हुए, Microsoft जैसे प्लेटफ़ॉर्म ने "सिस्टम-पसंदीदा MFA" पेश किया है, जो सक्रिय रूप से यूज़र्स को SMS या वॉयस कॉल के बजाय ऑथेंटिकेटर ऐप्स जैसे अधिक सुरक्षित विकल्पों की ओर ले जाता है। यह एक महत्वपूर्ण सबक पर प्रकाश डालता है: केवल MFA अनिवार्य करना अपर्याप्त है। MFA का प्रकार गहराई से मायने रखता है, और संगठनों को सक्रिय रूप से यूज़र्स को कमज़ोर, फ़िश की जा सकने वाली फ़ैक्टरों से दूर ले जाना चाहिए।
MFA अनिवार्य करने के निर्णय का परिचालन संसाधनों पर प्रत्यक्ष और मापने योग्य प्रभाव पड़ता है। यह अनिवार्य रूप से एनरोलमेंट समस्याओं, खोए हुए ऑथेंटिकेटर और रिकवरी अनुरोधों से संबंधित हेल्पडेस्क टिकटों में वृद्धि को ट्रिगर करता है। Gartner के शोध से पता चलता है कि सभी IT सहायता कॉलों का 30-50% पहले से ही पासवर्ड-संबंधित समस्याओं के लिए है; अनिवार्य MFA, खासकर जब बोझिल रिकवरी फ़्लो के साथ जोड़ा जाता है, इस बोझ को काफी बढ़ा देता है। यह सीधे लागत में तब्दील हो जाता है जिसका CTO और प्रोजेक्ट मैनेजरों को अनुमान लगाना चाहिए। इसके अलावा, हेल्पडेस्क स्वयं सोशल इंजीनियरिंग हमलों का एक प्रमुख लक्ष्य बन जाता है, जहाँ हमलावर निराश, लॉक-आउट यूज़र्स का रूप धारण करके सहायता एजेंटों को उनकी ओर से MFA फ़ैक्टर रीसेट करने के लिए चकमा देते हैं।
अनिवार्य MFA के बड़े पैमाने पर, वास्तविक दुनिया के कार्यान्वयन की जांच करना इस बात पर अमूल्य सबक प्रदान करता है कि क्या काम करता है और क्या महत्वपूर्ण घर्षण पैदा करता है। यूरोप में PSD2 जैसे सक्रिय विनियामक रोलआउट और ऑस्ट्रेलिया के वित्तीय क्षेत्र में प्रतिक्रियाशील, घटना के बाद के जनादेश दोनों से अनुभवों का विश्लेषण करके, हम कई सार्वभौमिक सत्य निकाल सकते हैं।
प्रारंभिक घर्षण अपरिहार्य है, लेकिन प्रबंधनीय है: यूरोपीय SCA रोलआउट ने प्रदर्शित किया कि यूज़र के व्यवहार में एक बड़ा बदलाव, यहां तक कि सुरक्षा के लिए भी, शुरुआत में रूपांतरण दरों को नुकसान पहुंचाएगा। हालाँकि, इसने यह भी दिखाया कि परिष्कृत प्रक्रियाओं और यूज़र के आदी होने के साथ, इन नकारात्मक प्रभावों को समय के साथ कम किया जा सकता है। कुंजी इस घर्षण का अनुमान लगाना और शुरुआत से ही सबसे सुव्यवस्थित, यूज़र के अनुकूल फ़्लो डिज़ाइन करना है।
यूज़र की पसंद एक दोधारी तलवार है: जब विकल्प दिए जाते हैं, तो यूज़र्स लगातार सबसे कम प्रतिरोध का रास्ता चुनते हैं, जिसका अर्थ अक्सर SMS जैसे परिचित लेकिन कम सुरक्षित MFA तरीकों का चयन करना होता है। यह "अनुपालन रंगमंच (compliance theater)" की स्थिति की ओर ले जाता है, जहां संगठन जनादेश के पत्र को पूरा करता है लेकिन उसकी भावना को नहीं, और फ़िशिंग के प्रति संवेदनशील बना रहता है। मार्च 2025 के ऑस्ट्रेलियाई सुपरएनुएशन हमलों ने इस सिद्धांत को विपरीत रूप में प्रदर्शित किया: बिना किसी MFA वाले संगठनों को भारी नुकसान उठाना पड़ा, जबकि जिन लोगों के पास बेसिक MFA (जैसे HostPlus) भी था, उन्होंने वित्तीय चोरी को रोका। हालाँकि, सबक आगे तक फैला हुआ है; केवल SMS पर आधारित कमज़ोर MFA कार्यान्वयन दृढ़ हमलावरों के प्रति संवेदनशील रहते हैं जो SIM स्वैप और सोशल इंजीनियरिंग का शोषण कर सकते हैं। एक सफल रणनीति को सक्रिय रूप से यूज़र्स को अधिक मज़बूत, फ़िशिंग-प्रतिरोधी विकल्पों की ओर ले जाना चाहिए।
रिकवरी अकिलीज़ हील (Achilles' Heel) बन जाती है: एक अनिवार्य दुनिया में, अकाउंट रिकवरी एक किनारे के मामले से प्राथमिक परिचालन बोझ और एक महत्वपूर्ण सुरक्षा भेद्यता में बदल जाती है। रिकवरी के लिए ईमेल या SMS पर निर्भर होना पूरे सुरक्षा मॉडल को कमज़ोर करता है, जबकि हेल्पडेस्क-आधारित रिकवरी आर्थिक रूप से अस्थिर है। एक मजबूत, सुरक्षित और यूज़र-अनुकूल रिकवरी प्रक्रिया कोई बाद में सोची गई बात नहीं है; यह किसी भी सफल जनादेश के लिए एक मुख्य आवश्यकता है।
पोस्ट-ब्रीच जनादेश समयसीमा को संपीड़ित (compress) करते हैं और जोखिम बढ़ाते हैं: जब जनादेश योजनाबद्ध अनुपालन पहल के बजाय किसी सुरक्षा घटना से ट्रिगर होते हैं, तो कार्यान्वयन की समयसीमा नाटकीय रूप से संपीड़ित हो जाती है। ऑस्ट्रेलियाई सुपरएनुएशन सेक्टर उल्लंघन के हफ्तों के भीतर "MFA का अनुरोध करने वाले ग्राहकों" से "तत्काल तैनाती की उम्मीद करने वाले नियामकों" में बदल गया। यह त्वरित समयरेखा यूज़र परीक्षण, चरणबद्ध रोलआउट और पुनरावृत्त (iterative) परिशोधन के लिए कम जगह छोड़ती है, जिससे प्रौद्योगिकी और यूज़र एक्सपीरियंस डिज़ाइन का विकल्प और भी महत्वपूर्ण हो जाता है। जो संगठन उल्लंघन से पहले सक्रिय रूप से MFA लागू करते हैं, उनके पास सावधानीपूर्वक योजना बनाने की विलासिता (luxury) होती है; जिन्हें घटना के बाद प्रतिक्रिया करने के लिए मजबूर किया जाता है, उनके पास नहीं।
चरणबद्ध रोलआउट नाटकीय रूप से जोखिम को कम करते हैं: संपूर्ण यूज़र बेस में "बिग बैंग" रोलआउट का प्रयास करना एक उच्च जोखिम वाली रणनीति है। बड़े एंटरप्राइज़ परिनियोजन (deployments) में सिद्ध अधिक विवेकपूर्ण (prudent) दृष्टिकोण, पहले छोटे, गैर-महत्वपूर्ण यूज़र समूहों के साथ नए सिस्टम का पायलट करना है। यह प्रोजेक्ट टीम को बग पहचानने और हल करने, यूज़र एक्सपीरियंस को परिष्कृत करने और पूर्ण पैमाने पर तैनाती से पहले एक नियंत्रित वातावरण में प्रतिक्रिया एकत्र करने की अनुमति देता है।
एक केंद्रीकृत पहचान प्लेटफ़ॉर्म एक शक्तिशाली सक्षमकर्ता (Enabler) है: एक पूर्व-मौजूद, केंद्रीकृत Identity and Access Management (IAM) या Single Sign-On (SSO) प्लेटफ़ॉर्म वाले संगठन एक सुचारू रोलआउट के लिए बहुत बेहतर स्थिति में हैं। एक केंद्रीय पहचान प्रणाली (central identity system) सैकड़ों या हजारों एप्लिकेशन में नई ऑथेंटिकेशन नीतियों के तेजी से और सुसंगत अनुप्रयोग की अनुमति देती है, जिससे परियोजना की जटिलता और लागत काफी कम हो जाती है।
Latest news के लिए हमारे Passkeys Substack को subscribe करें.
पासकी, जो FIDO Alliance के WebAuthn मानक पर बनी हैं, लेगेसी MFA पर केवल एक वृद्धिशील (incremental) सुधार नहीं हैं। पब्लिक-की क्रिप्टोग्राफी पर आधारित उनकी अंतर्निहित वास्तुकला, MFA जनादेश द्वारा पैदा की गई सबसे दर्दनाक और लगातार समस्याओं को हल करने के लिए उद्देश्य-निर्मित है।
रिकवरी के बुरे सपने को हल करना: अनिवार्य MFA की सबसे बड़ी चुनौती अकाउंट रिकवरी है। पासकी इसका सीधा समाधान करती हैं। पासकी एक क्रिप्टोग्राफ़िक क्रेडेंशियल है जिसे यूज़र के डिवाइस में उनके प्लेटफ़ॉर्म इकोसिस्टम (जैसे Apple के iCloud Keychain या Google Password Manager) के माध्यम से सिंक किया जा सकता है। अगर कोई यूज़र अपना फ़ोन खो देता है, तो पासकी अभी भी उनके लैपटॉप या टैबलेट पर उपलब्ध है। यह लॉकआउट की आवृत्ति को नाटकीय रूप से कम करता है और ईमेल या महंगे हेल्पडेस्क हस्तक्षेपों जैसे असुरक्षित रिकवरी चैनलों पर निर्भरता को कम करता है।
डिवाइस लाइफ़साइकिल समस्या को हल करना: क्योंकि पासकी सिंक की जाती हैं, नया डिवाइस प्राप्त करने का अनुभव उच्च घर्षण वाले बिंदु से एक निर्बाध संक्रमण में बदल जाता है। जब कोई यूज़र नए फ़ोन पर अपने Google या Apple अकाउंट में साइन इन करता है, तो उनकी पासकी अपने आप रिस्टोर हो जाती हैं और उपयोग के लिए तैयार हो जाती हैं। यह पारंपरिक, डिवाइस-बाउंड ऑथेंटिकेटर ऐप्स द्वारा आवश्यक दर्दनाक, ऐप-दर-ऐप पुन: एनरोलमेंट प्रक्रिया को समाप्त करता है।
यूज़र की प्राथमिकता के विरोधाभास को हल करना: पासकी क्लासिक सुरक्षा-बनाम-सुविधा ट्रेड-ऑफ़ को हल करती है। सबसे सुरक्षित ऑथेंटिकेशन विधि उपलब्ध है, फ़िशिंग-प्रतिरोधी पब्लिक-की क्रिप्टोग्राफी, यूज़र के लिए सबसे तेज़ और सबसे आसान भी है। बस एक बायोमेट्रिक जेस्चर या डिवाइस PIN की आवश्यकता होती है। यूज़र के लिए कमज़ोर, कम सुरक्षित विकल्प चुनने का कोई प्रोत्साहन नहीं है, क्योंकि सबसे मज़बूत विकल्प भी सबसे सुविधाजनक है।
फ़िशिंग भेद्यता को हल करना: पासकी डिज़ाइन के अनुसार फ़िशिंग-प्रतिरोधी हैं। पंजीकरण के दौरान बनाया गया क्रिप्टोग्राफ़िक की-पेयर वेबसाइट या ऐप (उदा., corbado.com) के विशिष्ट ओरिजिन से जुड़ा होता है। किसी यूज़र को एक समान दिखने वाली फ़िशिंग साइट (उदा., corbado.scam.com) पर अपनी पासकी का उपयोग करने के लिए चकमा नहीं दिया जा सकता है क्योंकि ब्राउज़र और ऑपरेटिंग सिस्टम ओरिजिन के बेमेल को पहचान लेंगे और ऑथेंटिकेशन करने से मना कर देंगे। यह एक बुनियादी सुरक्षा गारंटी प्रदान करता है जो साझा रहस्यों (shared secrets) (जैसे पासवर्ड या OTP) पर आधारित कोई भी तरीका पेश नहीं कर सकता।
MFA थकान को हल करना: एक एकल, सरल यूज़र एक्शन, जैसे कि Face ID स्कैन या फ़िंगरप्रिंट स्पर्श, एक साथ डिवाइस पर क्रिप्टोग्राफ़िक कुंजी ("कुछ जो आपके पास है") का कब्ज़ा और बायोमेट्रिक ("कुछ जो आप हैं") के माध्यम से स्वाभाविकता साबित करता है। यह यूज़र को एक एकल, सहज कदम की तरह लगता है लेकिन क्रिप्टोग्राफ़िक रूप से मल्टी-फ़ैक्टर ऑथेंटिकेशन की आवश्यकता को पूरा करता है। यह संगठनों को लेगेसी MFA से जुड़े अतिरिक्त चरणों और संज्ञानात्मक भार (cognitive load) को जोड़े बिना कड़े अनुपालन मानकों को पूरा करने की अनुमति देता है।
लेगेसी MFA से पासकी-फ़र्स्ट रणनीति में संक्रमण के लिए एक जानबूझकर, बहु-चरणीय दृष्टिकोण की आवश्यकता होती है जो प्रौद्योगिकी, यूज़र एक्सपीरियंस और व्यावसायिक लक्ष्यों को संबोधित करता है।
इससे पहले कि आप पासकी अनिवार्य कर सकें, आपको उन्हें अपनाने के लिए अपने यूज़र बेस की तकनीकी क्षमता को समझना होगा। रोलआउट की व्यवहार्यता (feasibility) और समयसीमा को मापने के लिए यह एक महत्वपूर्ण पहला कदम है।
अपने डिवाइस लैंडस्केप का विश्लेषण करें: अपने यूज़र्स के पसंदीदा ऑपरेटिंग सिस्टम (iOS, Android, Windows संस्करण) और ब्राउज़र पर डेटा एकत्र करने के लिए मौजूदा वेब एनालिटिक्स टूल का उपयोग करें।
पासकी रेडीनेस टूल डिप्लॉय करें: अधिक सटीक डेटा के लिए, एक हल्का, डेटा रिसोर्स जैसे कि State of Passkeys उन यूज़र्स के प्रतिशत के बारे में अंतर्दृष्टि प्रदान करता है जिनके डिवाइस प्लेटफ़ॉर्म ऑथेंटिकेटर (जैसे Face ID, Touch ID और Windows Hello) का समर्थन करते हैं और Conditional UI जैसे महत्वपूर्ण UX एन्हांसमेंट, जो पासकी ऑटोफ़िल को सक्षम करते हैं। यथार्थवादी एडॉप्शन मॉडल बनाने के लिए यह डेटा आवश्यक है।
पासकी में संक्रमण क्रमिक होगा, तात्कालिक नहीं। एक सफल रणनीति के लिए एक हाइब्रिड सिस्टम की आवश्यकता होती है जो असंगत डिवाइसों वाले यूज़र्स के लिए या उन लोगों के लिए एक सुरक्षित फ़ॉलबैक प्रदान करते हुए प्राथमिक, पसंदीदा विधि के रूप में पासकी को बढ़ावा देता है जिन्होंने अभी तक एनरोल नहीं किया है।
एक एकीकरण पैटर्न चुनें:
आइडेंटिफ़ायर-फ़र्स्ट (Identifier-First): यूज़र अपना ईमेल या यूज़रनेम दर्ज करता है। सिस्टम तब जाँच करता है कि क्या उस आइडेंटिफ़ायर के लिए पासकी पंजीकृत है और, यदि ऐसा है, तो पासकी लॉगिन फ़्लो शुरू करता है। यदि नहीं, तो यह निर्बाध रूप से पासवर्ड या किसी अन्य सुरक्षित विधि पर वापस चला जाता है। यह दृष्टिकोण सबसे अच्छा यूज़र एक्सपीरियंस प्रदान करता है और आम तौर पर उच्च अपनाने की दरों की ओर ले जाता है।
समर्पित पासकी बटन: "पासकी के साथ साइन इन करें" बटन पारंपरिक लॉगिन फॉर्म के साथ रखा गया है। इसे लागू करना आसान है लेकिन यूज़र पर नई पद्धति का चयन करने की ज़िम्मेदारी डालता है, जिसके परिणामस्वरूप उपयोग कम हो सकता है।
सुनिश्चित करें कि फ़ॉलबैक सुरक्षित हैं: आपका फ़ॉलबैक मैकेनिज्म आपके सुरक्षा लक्ष्यों को कमज़ोर नहीं करना चाहिए। SMS OTP जैसी असुरक्षित विधियों पर वापस जाने से बचें। एक मजबूत विकल्प यूज़र के सत्यापित ईमेल पते पर भेजे गए समय-संवेदनशील वन-टाइम कोड या मैजिक लिंक का उपयोग करना है, जो एक विशिष्ट सत्र के लिए कब्ज़े वाले फ़ैक्टर (possession factor) के रूप में कार्य करता है।
एक सहज रोलआउट के लिए प्रभावी संचार सर्वोपरि है। लक्ष्य पासकी को एक और सुरक्षा परेशानी के रूप में नहीं, बल्कि यूज़र के अनुभव में एक महत्वपूर्ण अपग्रेड के रूप में तैयार करना है।
लाभ-संचालित संदेश: स्पष्ट, सरल भाषा का उपयोग करें जो यूज़र के लाभों पर केंद्रित हो: "तेजी से और अधिक सुरक्षित रूप से साइन इन करें," "भूले हुए पासवर्ड को अलविदा कहें," और "आपका फ़िंगरप्रिंट अब आपकी कुंजी है।" मान्यता (recognition) बनाने के लिए लगातार आधिकारिक FIDO पासकी आइकन का उपयोग करें।
चरणबद्ध रोलआउट रणनीति:
"पुल (Pull)" एडॉप्शन के साथ शुरू करें: प्रारंभ में, यूज़र के Account Settings पेज के भीतर एक विकल्प के रूप में पासकी निर्माण की पेशकश करें। यह शुरुआती अपनाने वालों और तकनीक-प्रेमी यूज़र्स को अन्य सभी के लिए फ़्लो को बाधित किए बिना ऑप्ट-इन करने की अनुमति देता है।
"पुश (Push)" एडॉप्शन पर जाएं: सिस्टम के स्थिर होने के बाद, यूज़र्स को उनके पुराने पासवर्ड से सफलतापूर्वक साइन इन करने के तुरंत बाद सक्रिय रूप से पासकी बनाने के लिए प्रेरित करना शुरू करें। यह यूज़र्स को तब पकड़ता है जब वे पहले से ही "ऑथेंटिकेशन मानसिकता" में होते हैं।
ऑनबोर्डिंग में एकीकृत करें: अंततः, सभी नए यूज़र साइन-अप के लिए पासकी निर्माण को एक प्राथमिक, अनुशंसित विकल्प बनाएं।
पासकी में निवेश को मान्य करने और अनुभव को लगातार अनुकूलित करने के लिए डेटा-संचालित दृष्टिकोण आवश्यक है। सभी टीमों को अपनी भूमिकाओं के लिए प्रासंगिक मेट्रिक्स को ट्रैक करना चाहिए।
एडॉप्शन और एंगेजमेंट मेट्रिक्स:
पासकी क्रिएशन रेट: पासकी बनाने वाले योग्य यूज़र्स का प्रतिशत।
पासकी यूसेज रेट: पासकी के साथ किए गए कुल लॉगिन का प्रतिशत।
टाइम-टू-फ़र्स्ट की-एक्शन: पासकी अपनाने के बाद नए यूज़र्स कितनी जल्दी एक महत्वपूर्ण कार्रवाई करते हैं।
व्यावसायिक और परिचालन मेट्रिक्स:
पासवर्ड रीसेट टिकटों में कमी: कम हेल्पडेस्क लागत का एक सीधा उपाय।
SMS OTP लागत में कमी: लेगेसी फ़ैक्टर को समाप्त करने से प्रत्यक्ष लागत बचत।
लॉगिन सक्सेस रेट: पासवर्ड/MFA लॉगिन से पासकी लॉगिन की सफलता दर की तुलना करना।
अकाउंट टेकओवर की घटनाओं में कमी: सुरक्षा प्रभावशीलता का अंतिम उपाय।
निम्नलिखित टेबल एक संक्षिप्त सारांश प्रदान करती हैं, ऑथेंटिकेशन विधियों की तुलना करती हैं और पासकी समाधानों को सीधे सामान्य व्यावसायिक दर्द बिंदुओं (pain points) पर मैप करती हैं।
| विधि (Method) | फ़िशिंग प्रतिरोध | यूज़र घर्षण (लॉगिन) | रिकवरी जटिलता | डिवाइस पोर्टेबिलिटी | परिचालन लागत (हेल्पडेस्क/SMS) |
|---|---|---|---|---|---|
| केवल-पासवर्ड (SFA) | बहुत कम: फ़िशिंग और क्रेडेंशियल स्टफिंग के प्रति अत्यधिक संवेदनशील। | मध्यम: भूले हुए पासवर्ड की संभावना, रीसेट की आवश्यकता होती है। | मध्यम: असुरक्षित ईमेल रिकवरी पर निर्भर करता है। | उच्च: पोर्टेबल, लेकिन जोखिम भी। | उच्च: हेल्पडेस्क कॉल का प्राथमिक कारण। |
| अनिवार्य SMS OTP | कम: फ़िशिंग, सोशल इंजीनियरिंग और SIM-स्वैपिंग हमलों के प्रति संवेदनशील। | उच्च: कोड का इंतज़ार करने और टाइप करने की आवश्यकता होती है। | मध्यम: फ़ोन नंबर के एक्सेस पर निर्भर करता है। | उच्च: नंबर पोर्टेबल है, लेकिन SIM-स्वैप का जोखिम भी। | बहुत उच्च: SMS शुल्क के साथ लॉकआउट सपोर्ट टिकट। |
| अनिवार्य TOTP ऐप | मध्यम: रिमोट पासवर्ड हमलों से बचाता है लेकिन रीयल-टाइम फ़िशिंग से नहीं। | उच्च: अलग ऐप खोलने और कोड टाइप करने की आवश्यकता होती है। | बहुत उच्च: डिवाइस खोने का मतलब अक्सर लॉकआउट और जटिल रिकवरी होता है। | कम: जब तक कि मैन्युअली बैकअप नहीं लिया जाता, चाबियां डिवाइस से बंधी होती हैं। | उच्च: डिवाइस खोने और रिकवरी टिकटों से प्रेरित। |
| अनिवार्य पुश नोटिफ़िकेशन | कम: MFA थकान और पुश बॉम्बिंग हमलों के प्रति अत्यधिक संवेदनशील। | कम: मंज़ूरी देने के लिए एक साधारण टैप, लेकिन विघटनकारी हो सकता है। | बहुत उच्च: किसी विशिष्ट डिवाइस से बंधा हुआ; डिवाइस खो जाने पर पूर्ण, जटिल रिकवरी प्रक्रिया की आवश्यकता होती है। | कम: कुंजियाँ ऐप इंस्टॉलेशन से जुड़ी होती हैं और किसी नए डिवाइस में अपने आप स्थानांतरित नहीं होती हैं। | उच्च: डिवाइस के नुकसान और MFA थकान हमलों से सहायता टिकट उत्पन्न करता है। |
| अनिवार्य पासकी | बहुत उच्च: ओरिजिन बाइंडिंग के कारण डिज़ाइन द्वारा फ़िशिंग-प्रतिरोधी। | बहुत कम: एकल, तेज़ बायोमेट्रिक जेस्चर या PIN। | कम: प्लेटफ़ॉर्म प्रदाता के माध्यम से यूज़र के डिवाइस में सिंक किया गया। | बहुत उच्च: क्लाउड सिंक के माध्यम से नए उपकरणों पर मूल रूप से उपलब्ध। | बहुत कम: लॉकआउट को काफी कम करता है और SMS लागत को समाप्त करता है। |
कैसे पासकी अनिवार्य MFA दर्द बिंदुओं (Pain Points) का समाधान प्रदान करती हैं
| व्यक्ति (Persona) | अनिवार्य MFA के साथ मुख्य दर्द बिंदु | पासकी कैसे समाधान प्रदान करती हैं |
|---|---|---|
| प्रॉडक्ट मैनेजर | लॉगिन और रिकवरी प्रक्रियाओं में अत्यधिक घर्षण यूज़र एक्सपीरियंस को नुकसान पहुँचाता है, एंगेजमेंट कम करता है, और रूपांतरण दर (conversion rates) कम करता है। | पासकी एक-टैप, बायोमेट्रिक लॉगिन प्रदान करती हैं जो पासवर्ड की तुलना में काफी तेज़ है। अकाउंट लॉकआउट को लगभग समाप्त करके, वे यूज़र की निराशा और मंथन (churn) के एक प्रमुख स्रोत को हटा देती हैं। |
| CTO / इंजीनियरिंग प्रमुख | पासवर्ड और MFA रीसेट के लिए हेल्पडेस्क टिकटों की उच्च परिचालन लागत, SMS OTPs के लिए आवर्ती लागतों के साथ, बजट और IT संसाधनों पर दबाव डालती है। | सभी उपकरणों में पासकी सिंकिंग उन लॉकआउट परिदृश्यों को काफी कम कर देती है जो सपोर्ट टिकट उत्पन्न करते हैं। SMS OTPs को समाप्त करने से प्रत्यक्ष, मापनीय लागत बचत मिलती है। |
| CISO / सुरक्षा पेशेवर | यूज़र्स, जब एनरोल करने के लिए मजबूर होते हैं, तो अक्सर उपलब्ध सबसे कमज़ोर, सबसे अधिक फ़िशेबल MFA पद्धति (जैसे SMS) चुनते हैं, जो जनादेश के इच्छित सुरक्षा उत्थान (uplift) को कमज़ोर करता है। | पासकी डिज़ाइन के अनुसार फ़िशिंग-प्रतिरोधी हैं। वे सबसे सुरक्षित विकल्प को सबसे सुविधाजनक बनाकर सभी यूज़र्स के लिए सुरक्षा बेसलाइन को ऊपर उठाते हैं, यूज़र को सुरक्षा निर्णय से हटाते हैं। |
| प्रोजेक्ट मैनेजर | "बिग बैंग" रोलआउट की अप्रत्याशितता, परिवर्तन के प्रति यूज़र के प्रतिरोध के साथ, प्रोजेक्ट की समयसीमा और संसाधन आवंटन को प्रबंधित करना मुश्किल बना देती है। | एक चरणबद्ध पासकी रोलआउट (सेटिंग्स में शुरू, फिर पोस्ट-लॉगिन को प्रेरित करना) स्पष्ट, लाभ-संचालित यूज़र संचार के साथ संयुक्त अपनाने को आसान और अधिक अनुमानित (predictable) बनाता है, जिससे प्रोजेक्ट जोखिम कम होता है। |
अनिवार्य मल्टी-फ़ैक्टर ऑथेंटिकेशन का युग यहाँ रहने के लिए है। जबकि क्रेडेंशियल-आधारित हमलों से बचाव की महत्वपूर्ण आवश्यकता से पैदा हुए, इन जनादेशों ने अनजाने में चुनौतियों का एक नया परिदृश्य तैयार किया है।
हमने देखा है कि MFA लागू करने से महत्वपूर्ण परिचालन बोझ पड़ता है, SMS शुल्क की प्रत्यक्ष लागत से लेकर एनरोलमेंट और डिवाइस परिवर्तन से जूझ रहे यूज़र्स के हेल्पडेस्क टिकटों में वृद्धि तक। हमने सीखा है कि जब विकल्प दिया जाता है, तो यूज़र्स SMS जैसे परिचित लेकिन फ़िश की जा सकने वाले तरीकों की ओर आकर्षित होते हैं, कागज पर अनुपालन तो प्राप्त करते हैं लेकिन संगठन को वास्तविक दुनिया के हमलों के संपर्क में छोड़ देते हैं। सबसे गंभीर बात यह है कि हमने स्थापित किया है कि एक अनिवार्य दुनिया में, अकाउंट रिकवरी विफलता का सबसे बड़ा बिंदु बन जाती है, जो कि यूज़र की अपार निराशा का स्रोत है और अनुचित तरीके से संभाले जाने पर एक बड़ी सुरक्षा खामी (security hole) है।
लेगेसी MFA तरीके इन समस्याओं को हल नहीं कर सकते। लेकिन पासकी कर सकती हैं। हमने प्रदर्शित किया है कि पासकी निश्चित उत्तर हैं, जो सीधे रिकवरी, यूज़र के घर्षण और सुरक्षा के परस्पर जुड़े मुद्दों को हल करती हैं। उनकी सिंक की गई प्रकृति अधिकांश लॉकआउट परिदृश्यों को समाप्त करती है, उपयोग में आसानी उनके कमज़ोर विकल्पों को चुनने के प्रोत्साहन को हटा देती है, और उनका क्रिप्टोग्राफ़िक डिज़ाइन उन्हें फ़िशिंग से प्रतिरक्षित बनाता है। अंत में, हमने एक स्पष्ट, चार-चरणीय ब्लूप्रिंट तैयार किया है, रेडीनेस के ऑडिट से लेकर सफलता मापने तक, जो किसी भी संगठन के लिए इस रणनीतिक बदलाव को करने के लिए एक व्यावहारिक मार्ग प्रदान करता है।
इस बदलाव को केवल अनुपालन सिरदर्द के रूप में देखना इसके द्वारा प्रस्तुत किए जाने वाले रणनीतिक अवसर को चूकना है। यूरोपीय बैंकिंग में Strong Customer Authentication के अग्रदूतों (pioneers) ने, शुरुआती संघर्षों के बावजूद, अंततः पूरे उद्योग के लिए यूज़र की उम्मीदों को आकार दिया। आज, पासकी के अग्रदूतों के पास वही अवसर है। इस संक्रमण को अपनाकर, संगठन एक सुरक्षा जनादेश को एक बोझिल दायित्व से एक शक्तिशाली और स्थायी प्रतिस्पर्धात्मक लाभ में बदल सकते हैं। जनादेश से गति की ओर बढ़ने की योजना बनाने का समय अब है।
Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Authentication Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →
अनिवार्य MFA अकाउंट रिकवरी को मुख्य ऑपरेशनल चुनौती बना देता है, जिसके चार मुख्य विकल्प हैं: हेल्पडेस्क-आधारित वेरिफिकेशन (सुरक्षित लेकिन महंगा), ईमेल या SMS रिकवरी (सस्ता लेकिन अगर ईमेल के साथ छेड़छाड़ हुई हो तो शोषण किया जा सकता है), पहले से एनरोल किए गए बैकअप कोड (अक्सर यूज़र्स द्वारा खो दिए जाते हैं) और सेल्फी-ID वेरिफिकेशन जिसके लिए सरकार द्वारा जारी ID की ज़रूरत होती है। हर विकल्प में सुरक्षा, लागत और स्केलेबिलिटी के बीच समझौता शामिल होता है।
SMS OTP रीयल-टाइम फ़िशिंग, SIM-स्वैपिंग और एक असुरक्षित ईमेल अकाउंट के माध्यम से रिकवरी बायपास के प्रति संवेदनशील होते हैं। 100% MFA एनरोलमेंट पर भी, SMS पर निर्भर रहने का मतलब है कि एक संगठन किसी नियम के अक्षरशः पालन तो करता है लेकिन उसकी भावना का नहीं। Microsoft का 'सिस्टम-पसंदीदा MFA' का परिचय इस समस्या को स्वीकार करता है, जो यूज़र्स को सक्रिय रूप से SMS के बजाय ऑथेंटिकेटर ऐप्स की ओर ले जाता है।
मार्च 2025 में, हमलावरों ने चुराए गए क्रेडेंशियल्स का उपयोग करके 600 तक AustralianSuper अकाउंट्स तक पहुँच प्राप्त की और चार सदस्यों के बैलेंस से 500,000 AUD निकाल लिए। HostPlus, जिसने पहले से ही MFA लागू कर लिया था, ने उसी अभियान से शून्य वित्तीय नुकसान की रिपोर्ट की। APRA ने बाद में सभी सुपरएनुएशन बोर्ड के अध्यक्षों को लिखा, जिससे MFA लागू करना भविष्य के विचार के बजाय एक तत्काल नियामक दायित्व बन गया।
पासकी Apple के iCloud Keychain और Google Password Manager जैसे प्लेटफ़ॉर्म इकोसिस्टम के माध्यम से सिंक होती हैं, जो प्रति-सेवा पुनः-एनरोलमेंट के बिना एक नए डिवाइस पर अपने आप रिस्टोर हो जाती हैं। जब तक पहले से मैन्युअली क्लाउड बैकअप सक्षम नहीं किया गया हो, तब तक डिवाइस बदले जाने पर TOTP ऑथेंटिकेटर ऐप्स सभी गुप्त कुंजियों को खो देते हैं, जिससे डिवाइस बदलना अनिवार्य MFA के तहत हेल्पडेस्क टिकट और अकाउंट लॉकआउट का प्राथमिक कारण बन जाता है।
तीन-चरण अपनाने वाला दृष्टिकोण रोलआउट जोखिम को कम करता है। सबसे पहले, मौजूदा फ़्लो को बाधित किए बिना शुरुआती अपनाने वालों को पकड़ने के लिए Account Settings के भीतर एक ऑप्ट-इन के रूप में पासकी निर्माण की पेशकश करें। दूसरा, एक सफल पासवर्ड लॉगिन के तुरंत बाद यूज़र्स को पासकी बनाने के लिए प्रेरित करें, जब वे पहले से ही ऑथेंटिकेशन मानसिकता में हों। तीसरा, नए यूज़र ऑनबोर्डिंग के दौरान पासकी निर्माण को प्राथमिक सिफारिश बनाएं।
संबंधित लेख
विषय सूची