WebAuthn क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) और फॉर्मेट (CXF)

Passkeys तेज़ी से ऑनलाइन ऑथेंटिकेशन में गोल्ड स्टैंडर्ड बनते जा रहे हैं - यह पारंपरिक पासवर्ड का एक सुरक्षित, फ़िशिंग-प्रतिरोधी विकल्प प्रदान करते हैं। FIDO Alliance द्वारा समर्थित, Passkeys WebAuthn और FIDO2 मानकों पर बने हैं और क्रेडेंशियल चोरी के जोखिमों को खत्म करने के लिए पब्लिक-की क्रिप्टोग्राफी का उपयोग करते हैं।

लेकिन जैसे-जैसे इसे अपनाने की गति बढ़ रही है, एक मुख्य चुनौती सामने आई है: अलग-अलग प्रोवाइडर्स के बीच Passkeys को कैसे इम्पोर्ट या एक्सपोर्ट किया जाए - मान लीजिए, Bitwarden से 1Password में या Apple iCloud Keychain से Google Password Manager में?

पासवर्ड के विपरीत, Passkeys का कोई ऐसा फॉर्मेट नहीं होता जिसे आसानी से एक्सपोर्ट या इम्पोर्ट किया जा सके। इंटरऑपरेबिलिटी की यह कमी यूज़र्स के लिए मुश्किलें पैदा करती है और वेंडर लॉक-इन का खतरा बढ़ाती है।

यहीं पर दो नए मानक सामने आते हैं:

• क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP): यह प्रोवाइडर्स के बीच Passkeys को ट्रांसफर करने के लिए एक सुरक्षित तंत्र को परिभाषित करता है।

• क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF): यह क्रेडेंशियल्स, जैसे कि Passkeys, क्रेडिट कार्ड डिटेल्स या TOTP कोड, के लिए एक मानकीकृत डेटा फॉर्मेट को परिभाषित करता है।

CXP और CXF को एक साथ मिलकर पासकी पोर्टेबिलिटी को न केवल संभव बनाने के लिए डिज़ाइन किया गया है, बल्कि इसे सुरक्षित, लचीला और यूज़र-फ्रेंडली भी बनाने के लिए डिज़ाइन किया गया है। इस ब्लॉग पोस्ट में, हम निम्नलिखित सवालों के जवाब देंगे:

1. क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) क्या है और यह कैसे काम करता है?

2. क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF) क्या है और यह कैसा दिखता है?

3. क्रेडेंशियल एक्सचेंज प्रोटोकॉल और क्रेडेंशियल एक्सचेंज फॉर्मेट के विकास की वर्तमान स्थिति क्या है?

जैसे-जैसे अधिक यूज़र्स और संगठन Passkeys अपना रहे हैं, एक महत्वपूर्ण चुनौती बनी हुई है: प्लेटफ़ॉर्म के बीच क्रेडेंशियल्स को मूव करना। पासवर्ड के विपरीत, जिन्हें साधारण टेक्स्ट या CSV फ़ाइलों के रूप में एक्सपोर्ट किया जा सकता है (चाहे यह कितना भी असुरक्षित क्यों न हो), Passkeys क्रिप्टोग्राफ़िक की-पेयर्स पर निर्भर करते हैं। यह इम्पोर्ट/एक्सपोर्ट को कहीं ज़्यादा जटिल और संवेदनशील बना देता है।

यहाँ बताया गया है कि पासकी माइग्रेशन में वर्तमान में क्या समस्याएँ हैं:

• कोई मानक फॉर्मेट नहीं: पासवर्ड के लिए CSV की तरह, Passkeys का कोई यूनिवर्सल représentation नहीं है। हर प्रोवाइडर उन्हें अलग-अलग तरीके से स्टोर करता है।

• असुरक्षित ट्रांसफ़र: माइग्रेशन को सपोर्ट करने के कुछ दुर्लभ प्रयासों में, क्रेडेंशियल्स को अनएन्क्रिप्टेड फॉर्मेट में एक्सपोर्ट किया गया है, जिससे गंभीर सुरक्षा जोखिम पैदा हुए हैं (यह GitHub चर्चा देखें)।

• माइग्रेशन की विफलताएँ: एक सुसंगत संरचना के बिना, प्रोवाइडर्स के बीच Passkeys को माइग्रेट करना विफल हो सकता है, जिससे क्रेडेंशियल्स का नुकसान हो सकता है या यूज़र्स को फिर से Passkeys बनाने के लिए मजबूर होना पड़ सकता है।

• पॉलिसी द्वारा ब्लॉक किया जाना: एंटरप्राइज़ वातावरण असुरक्षित ट्रांसफ़र या संगतता समस्याओं के डर से क्रेडेंशियल एक्सपोर्ट को पूरी तरह से डिसेबल कर सकते हैं।

• वेंडर लॉक-इन: Passkeys को एक्सपोर्ट करने के विश्वसनीय तरीकों के बिना, यूज़र्स अपने वर्तमान प्रोवाइडर में बंध जाते हैं - यह कुछ ऐसा है जो यूज़र की स्वतंत्रता और प्रतिस्पर्धा को कमजोर करता है।

यह समस्या काल्पनिक नहीं है, यह अभी हो रही है। जैसे-जैसे लोग Passkeys को मैनेज करने के लिए कई डिवाइस, ब्राउज़र और ऐप्स का उपयोग करते हैं, एक इकोसिस्टम से Passkeys इम्पोर्ट करने और दूसरे में Passkeys एक्सपोर्ट करने की आवश्यकता तत्काल हो जाती है।

इसीलिए 1Password, Dashlane, Bitwarden और NordPass जैसे प्रमुख खिलाड़ियों ने 2023 की शुरुआत में एक समाधान का प्रोटोटाइप बनाने के लिए मिलकर काम किया। परिणाम: सुरक्षित क्रेडेंशियल एक्सचेंज के लिए खुले मानक - क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) और क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF) को परिभाषित करने का एक सहयोगात्मक प्रयास।

पासकी माइग्रेशन की चुनौतियों का समाधान करने के लिए, दो पूरक मानक सामने आए हैं: क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) और क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF)। Apple, Google, Microsoft और 1Password सहित उद्योग के नेताओं द्वारा समर्थित, इन स्पेसिफिकेशन्स का उद्देश्य Passkeys को इम्पोर्ट और एक्सपोर्ट करना सुरक्षित, मानकीकृत और इंटरऑपरेबल बनाना है।

क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) एक स्पेसिफिकेशन है जो दो क्रेडेंशियल / पासकी प्रोवाइडर्स के बीच क्रेडेंशियल्स को ट्रांसफर करने के लिए एक सुरक्षित तरीका परिभाषित करता है। वर्तमान में FIDO Alliance के भीतर एक वर्किंग ड्राफ़्ट है, इसका डिज़ाइन अभी भी विकसित हो रहा है, लेकिन इसका उद्देश्य एक Sender से क्रेडेंशियल्स एक्सपोर्ट करने और उन्हें एक Recipient में इम्पोर्ट करने के लिए एक मानकीकृत और सुरक्षित चैनल स्थापित करना है।

हालांकि विवरण अभी तक अंतिम नहीं हैं, प्रोटोकॉल से यह उम्मीद की जाती है कि यह हाइब्रिड पब्लिक की एन्क्रिप्शन (HPKE) का उपयोग करेगा ताकि यह सुनिश्चित हो सके कि क्रेडेंशियल्स ट्रांज़िट के दौरान एंड-टू-एंड एन्क्रिप्टेड हैं। यह मजबूत क्रिप्टोग्राफ़िक नींव संवेदनशील डेटा को इंटरसेप्ट या छेड़छाड़ से बचाएगी।

CXP को विशेष रूप से थर्ड-पार्टी प्रोवाइडर्स, जैसे पासवर्ड मैनेजर्स, के लिए महत्वपूर्ण माना जाता है, ताकि विभिन्न प्लेटफ़ॉर्म के बीच क्रेडेंशियल एक्सचेंज को सुविधाजनक बनाया जा सके, उदाहरण के लिए ब्राउज़र एक्सटेंशन के बीच। इन परिदृश्यों में, एक मानकीकृत और अत्यधिक सुरक्षित ट्रांसपोर्ट प्रोटोकॉल की आवश्यकता महत्वपूर्ण है। चूँकि यह अभी भी शुरुआती ड्राफ़्ट चरण में है, इसका अंतिम रूप और मानकीकरण के लिए समय-सीमा अनिश्चित है, अनुमान 2026 की शुरुआत की ओर इशारा करते हैं।

क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF) यह परिभाषित करता है कि एक्सचेंज के लिए क्रेडेंशियल्स को कैसे संरचित किया जाता है। यह वर्तमान में रिव्यू ड्राफ़्ट स्थिति में है, जिसका अर्थ है कि यह एक मानक के रूप में अंतिम रूप दिए जाने के करीब है।

CXP के विपरीत, जो सुरक्षित ट्रांसफर को संभालता है, CXF विशेष रूप से डेटा फॉर्मेट पर ध्यान केंद्रित करता है। यह विभिन्न प्रकार के क्रेडेंशियल्स के लिए एक मानक JSON-आधारित संरचना निर्दिष्ट करता है, यह सुनिश्चित करता है कि एक प्रोवाइडर से एक्सपोर्ट किए गए क्रेडेंशियल को दूसरे द्वारा सही ढंग से समझा जा सके।

CXF इनके लिए प्रकार परिभाषित करता है:

• Passkeys (public-key-credential)
• पासवर्ड (password)
• TOTP सीक्रेट्स (totp)
• नोट्स (note)

यह मानकीकृत शब्दावली इंटरऑपरेबिलिटी की कुंजी है। उदाहरण के लिए, Apple और Google दोनों पहले से ही एक ही डिवाइस पर नेटिव ऐप्स के बीच क्रेडेंशियल्स ट्रांसफर करने के लिए CXF का उपयोग करते हैं। चूँकि ट्रांसफर स्थानीय रूप से होता है, CXP जैसे समर्पित ट्रांसपोर्ट प्रोटोकॉल की आवश्यकता नहीं होती है।

संरचना को मानकीकृत करके, CXF माइग्रेशन के दौरान फॉर्मेट की असंगति या आंशिक डेटा हानि जैसी समस्याओं को समाप्त करता है। यह डिज़ाइन द्वारा विस्तारणीय भी है, जिससे भविष्य के संस्करणों में बैकवर्ड संगतता को तोड़े बिना नए क्रेडेंशियल प्रकार जोड़े जा सकते हैं।

2024 के अंत तक, क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) और क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF) दोनों परिपक्वता के विभिन्न चरणों में पहुँच चुके हैं, और उनके पीछे उद्योग की मजबूत गति है।

CXP और CXF का विकास FIDO Alliance के माध्यम से समन्वित किया जा रहा है, जिसमें Apple, Google, Microsoft, 1Password, Bitwarden, और Dashlane जैसे प्रमुख खिलाड़ियों का सक्रिय योगदान है।

यह व्यापक सहयोग पासकी पोर्टेबिलिटी को एक वास्तविकता बनाने के लिए एक साझा प्रतिबद्धता का संकेत देता है। वास्तव में, कई कंपनियाँ पहले से ही ड्राफ़्ट के आधार पर समाधान लागू कर रही हैं:

• Apple और Google एक ही डिवाइस पर, क्रॉस-ऐप क्रेडेंशियल ट्रांसफर के लिए CXF का उपयोग करेंगे।
• थर्ड-पार्टी पासवर्ड मैनेजर्स सुरक्षित, क्रॉस-प्लेटफ़ॉर्म एक्सचेंज की तैयारी के लिए CXP के शुरुआती ड्राफ़्ट के आधार पर प्रोटोटाइप बना रहे हैं।

दोनों स्पेसिफिकेशन्स अलग-अलग समय-सीमा पर हैं:

• क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF) रिव्यू ड्राफ़्ट में है। इसके 2024 के अंत से पहले एक औपचारिक मानक के रूप में अंतिम रूप दिए जाने की उम्मीद है।
• क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) एक वर्किंग ड्राफ़्ट है। इसके मानकीकरण का रास्ता लंबा है, 2026 की शुरुआत में संभावित रिलीज़ के साथ, क्योंकि समुदाय की प्रतिक्रिया को यह सुनिश्चित करने के लिए एकीकृत किया जा रहा है कि यह क्रॉस-प्लेटफ़ॉर्म उपयोग के मामलों के लिए मजबूत और सुरक्षित है।

ड्राफ़्ट स्पेक्स FIDO Alliance वेबसाइट पर सार्वजनिक रूप से उपलब्ध हैं, और डेवलपर्स से प्रतिक्रिया को अंतिम रूप देने से पहले उन्हें परिष्कृत करने के लिए सक्रिय रूप से प्रोत्साहित किया जा रहा है।

शुरुआती प्रयोग और कार्यान्वयन योजना का समर्थन करने के लिए, पासकी इकोसिस्टम में अब शामिल हैं:

• Passkeys Debugger: एक प्लेटफ़ॉर्म जो WebAuthn अनुरोधों को समझने योग्य तरीके से डीबग करने में मदद करता है।

• Passkey Community:: सॉफ्टवेयर डेवलपर्स और प्रोडक्ट मैनेजर्स का एक समुदाय जो पासकी-संबंधित प्रश्नों पर चर्चा करता है।

• Passkey Subreddit: CXP और CXF पर चर्चा सहित Passkeys और WebAuthn के आसपास की खबरों पर चर्चा करने के लिए समर्पित सबरेडिट।

• passkeys.eu: डेवलपर्स के लिए WebAuthn फ़्लो और पासकी व्यवहार को मान्य करने के लिए टेस्टिंग टूल्स।

• CXP GitHub Draft: पूर्ण प्रोटोकॉल संदेश संरचना और क्रिप्टोग्राफ़िक फ़्लो।

• CXF GitHub Draft: ZIP फ़ाइल लेआउट और क्रेडेंशियल पैकेजिंग फॉर्मेट।

हालांकि अभी तक पूरी तरह से मानकीकृत नहीं हैं, CXP और CXF स्पष्ट रूप से पासकी पहेली में अंतिम लापता टुकड़ा बनने की राह पर हैं - जो यूज़र्स और संगठनों के लिए समान रूप से सुरक्षित, सहज इम्पोर्ट/एक्सपोर्ट को सक्षम करते हैं।

क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) और क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF) का जन्म पासकी इम्पोर्ट और एक्सपोर्ट को सुरक्षित और सहज बनाने की आवश्यकता से हुआ था। लेकिन उनकी क्षमता यहीं नहीं रुकती।

ये मानक प्रोवाइडर्स के बीच किसी भी संवेदनशील क्रेडेंशियल को ट्रांसफर करने के लिए एक ब्लूप्रिंट स्थापित करते हैं - सुरक्षित रूप से, मज़बूती से और क्रॉस-प्लेटफ़ॉर्म। यह पहचान, ऑथेंटिकेशन और यहाँ तक कि सरकार द्वारा जारी क्रेडेंशियल्स में व्यापक उपयोग के मामलों के लिए द्वार खोलता है।

वर्तमान पासकी अपनाने के साथ सबसे बड़ी चिंताओं में से एक वेंडर लॉक-इन है। क्रेडेंशियल्स को सुरक्षित रूप से स्थानांतरित करने के तरीके के बिना, यूज़र्स अक्सर अपने मूल प्रोवाइडर से बंधे होते हैं - भले ही उनकी ज़रूरतें बदल जाएँ।

CXP और CXF के साथ, हम एक वास्तव में इंटरऑपरेबल पासकी इकोसिस्टम की ओर बढ़ते हैं, जहाँ यूज़र्स और एंटरप्राइजेज यह कर सकते हैं:

• प्रोवाइडर्स के बीच स्वतंत्र रूप से Passkeys माइग्रेट करें

• डुप्लिकेट क्रेडेंशियल बनाने से बचें

• डिवाइस और प्लेटफ़ॉर्म ट्रांज़िशन को सरल बनाएँ

यह सीधे उपभोक्ता की पसंद का समर्थन करता है, प्रतिस्पर्धा को बढ़ावा देता है और पासकी मॉडल में विश्वास को मजबूत करता है।

जैसा कि Google में आइडेंटिटी और सिक्योरिटी ग्रुप के प्रोडक्ट मैनेजर क्रिस्टियान ब्रांड ने कहा:

“भविष्य में, यह मोबाइल ड्राइवर लाइसेंस, पासपोर्ट—कोई भी सीक्रेट जिसे आप कहीं एक्सपोर्ट करना और दूसरे सिस्टम में इम्पोर्ट करना चाहते हैं, पर लागू हो सकता है।”

कल्पना कीजिए कि आप सुरक्षित रूप से ट्रांसफर कर रहे हैं:

• Passkeys (public-key-credential)

• TOTP सीक्रेट्स (totp)

• भुगतान विवरण (credit-card)

• सरकारी आईडी (identity-document)

सब कुछ एक ही, मानकीकृत एक्सचेंज तंत्र के माध्यम से। यह वह भविष्य है जिसे CXP और CXF आकार देने में मदद कर रहे हैं।

एन्क्रिप्टेड, सत्यापन योग्य क्रेडेंशियल एक्सचेंज के आदर्श बनने के साथ, संगठन अंततः असुरक्षित CSV एक्सपोर्ट को रिटायर करने, त्रुटि-प्रवण मैन्युअल प्रक्रियाओं से बचने और सभी क्रेडेंशियल हैंडलिंग के लिए एन्क्रिप्शन-फर्स्ट नीतियों को लागू करने में सक्षम होंगे।

चाहे वह उपभोक्ता क्षेत्र हो, एंटरप्राइज़ आईटी हो या सार्वजनिक क्षेत्र की पहचान प्रणाली हो, यह बदलाव उपयोगिता से समझौता किए बिना डिफ़ॉल्ट सुरक्षा स्तर को बढ़ाता है।

क्रेडेंशियल एक्सचेंज प्रोटोकॉल (CXP) और क्रेडेंशियल एक्सचेंज फॉर्मेट (CXF) पासकी इकोसिस्टम में एक महत्वपूर्ण विकास का प्रतिनिधित्व करते हैं। क्रेडेंशियल माइग्रेशन में लंबे समय से चली आ रही कमियों को दूर करके, वे विभिन्न प्लेटफ़ॉर्म और प्रोवाइडर्स पर Passkeys को इम्पोर्ट और एक्सपोर्ट करने के लिए एक सुरक्षित, मानकीकृत ढाँचा प्रदान करते हैं। जबकि CXF "क्या" (डेटा फॉर्मेट) को मानकीकृत करता है और CXP "कैसे" (सुरक्षित ट्रांसफर) को मानकीकृत करता है, वे मिलकर सच्ची पासकी पोर्टेबिलिटी का मार्ग प्रशस्त करते हैं।

उद्योग के नेताओं के व्यापक समर्थन और FIDO समुदाय में बढ़ती गति के साथ, ये स्पेसिफिकेशन्स पासकी अपनाने में अंतिम बड़ी बाधाओं में से एक को हटाने के लिए तैयार हैं: पोर्टेबिलिटी।

आज पासकी-आधारित सिस्टम बनाने वाले डेवलपर्स और संगठनों के लिए, CXP और CXF से आगे रहना केवल भविष्य के लिए तैयार रहना नहीं है - यह बेहतर यूज़र अनुभव, कड़ी सुरक्षा और अधिक लचीलेपन को सक्षम करने के बारे में है।

Corbado में, हम इन विकासों पर बारीकी से नज़र रख रहे हैं और एंटरप्राइजेज को बड़े पैमाने पर Passkeys लागू करने में मदद कर रहे हैं - बिना वेंडर लॉक-इन, यूज़र माइग्रेशन की सिरदर्दी या सुरक्षा से समझौता किए। जैसे-जैसे इकोसिस्टम परिपक्व होगा, हम सुरक्षित क्रेडेंशियल एक्सचेंज को एक वास्तविकता बनाने के लिए CXP/CXF-आधारित फ़्लो का समर्थन करने वाले पहले लोगों में से होंगे।

Passkeys आ चुके हैं। CXP और CXF उन्हें हर जगह ले जाने में मदद करेंगे।