Passkeys और WebAuthn PRF एंड-टू-एंड एन्क्रिप्शन के लिए (2025)

WebAuthn और Passkeys ने वेब ऑथेंटिकेशन में क्रांति ला दी है, जो पब्लिक-की क्रिप्टोग्राफी के माध्यम से फ़िशिंग-प्रतिरोधी, पासवर्ड रहित लॉगिन प्रदान करते हैं। लेकिन इसकी क्षमताएँ सिर्फ़ साइन-इन तक ही सीमित नहीं हैं। एक रोमांचक सुविधा WebAuthn स्यूडो-रैंडम फ़ंक्शन (PRF) एक्सटेंशन है। यह एक्सटेंशन वेब एप्लिकेशन को ऑथेंटिकेशन के दौरान यूज़र के पासकी या हार्डवेयर सिक्योरिटी की से सीधे सीक्रेट कीज़ प्राप्त करने की अनुमति देता है। यह केवल आपके पासकी का उपयोग करके एंड-टू-एंड एन्क्रिप्टेड डेटा को अनलॉक करता है या एक सुरक्षित वॉल्ट को डिक्रिप्ट करता है, जिसके लिए अलग से पासवर्ड की आवश्यकता नहीं होती है। इस लेख में हम निम्नलिखित प्रश्नों का उत्तर देना चाहते हैं:

• Passkey PRF के उपयोग के मामले: WebAuthn PRF एक्सटेंशन का उपयोग करने के लिए दिलचस्प मामले क्या हैं?
• PRF एक्सटेंशन सपोर्ट: आज ऑपरेटिंग सिस्टम और ब्राउज़रों में WebAuthn PRF एक्सटेंशन का वास्तविक सपोर्ट कितना है?

यह लेख WebAuthn PRF एक्सटेंशन का विश्लेषण करता है, जिसमें इसकी तकनीकी विशिष्टताओं, उपयोग के मामलों, कार्यान्वयन विवरण, सुरक्षा विचारों और ब्राउज़र और ऑपरेटिंग सिस्टम सपोर्ट के मौजूदा परिदृश्य की पड़ताल की गई है। हम 2025 के इकोसिस्टम में हुए बदलावों पर ध्यान केंद्रित करते हैं और 2023 में Matthew Miller और Levi Schuck द्वारा रखी गई नींव पर विस्तार करते हैं, जिनके पहले के लेख विस्तृत तकनीकी पृष्ठभूमि, लाइव उदाहरण और ऑनलाइन टेस्ट (एन्क्रिप्शन सहित) प्रदान करते हैं।

WebAuthn PRF एक्सटेंशन (PRF) को औपचारिक रूप से WebAuthn लेवल 3 स्पेसिफिकेशन में परिभाषित किया गया है। इसका मुख्य उद्देश्य एक Relying Party (हमारे वेब एप्लिकेशन) को एक ऑथेंटिकेशन प्रक्रिया (navigator.credentials.get()) के दौरान एक विशिष्ट WebAuthn क्रेडेंशियल (पासकी) से जुड़े स्यूडो-रैंडम फ़ंक्शन के मूल्यांकन का अनुरोध करने की अनुमति देना है।

एक PRF एक सीक्रेट की (जो ऑथेंटिकेटर के भीतर सुरक्षित रूप से रखी जाती है और क्रेडेंशियल से जुड़ी होती है) और एक या अधिक इनपुट मान (जो Relying Party द्वारा प्रदान किए जाते हैं) लेता है ताकि एक निश्चित, क्रिप्टोग्राफ़िक रूप से रैंडम दिखने वाला आउटपुट उत्पन्न हो सके। यह आउटपुट, जो आमतौर पर 32-बाइट की स्ट्रिंग होती है, क्लाइंट-साइड एप्लिकेशन द्वारा उपयोग किया जा सकता है, विशेष रूप से WebAuthn एन्क्रिप्शन या की डेरिवेशन के लिए सिमेट्रिक की मटीरियल के रूप में।

कई ऑथेंटिकेटर, विशेष रूप से FIDO2 सिक्योरिटी कीज़, क्लाइंट-टू-ऑथेंटिकेटर-प्रोटोकॉल (CTAP2) में परिभाषित एक अंतर्निहित क्षमता को लागू करते हैं जिसे hmac-secret एक्सटेंशन कहा जाता है। यह CTAP2 एक्सटेंशन एक हार्डवेयर-समर्थित HMAC (हैश-आधारित संदेश प्रमाणीकरण कोड) फ़ंक्शन तक पहुँच प्रदान करता है, जो स्यूडो-रैंडम फ़ंक्शन के रूप में कार्य करता है। WebAuthn PRF एक्सटेंशन वेब एप्लिकेशन के लिए ब्राउज़र के WebAuthn API के माध्यम से इस hmac-secret क्षमता तक पहुँचने का एक मानकीकृत तरीका है।

संभावित टकरावों या सुरक्षा मुद्दों को रोकने के लिए जहाँ कोई वेबसाइट ऑथेंटिकेटर को गैर-वेब उद्देश्यों (जैसे स्थानीय OS लॉगिन) के लिए HMAC उत्पन्न करने के लिए धोखा दे सकती है, WebAuthn स्पेसिफिकेशन एक महत्वपूर्ण कदम अनिवार्य करता है: वेबसाइट द्वारा प्रदान किए गए इनपुट (पहला और दूसरा सॉल्ट) को अंतर्निहित hmac-secret फ़ंक्शन में पास करने से पहले एक विशिष्ट संदर्भ स्ट्रिंग ("WebAuthn PRF" और एक नल बाइट) के साथ हैश किया जाता है। यह प्रभावी रूप से PRF के इनपुट स्पेस को विभाजित करता है, यह सुनिश्चित करता है कि वेब-व्युत्पन्न आउटपुट अन्य संदर्भों में संभावित रूप से उपयोग किए जाने वाले आउटपुट से अलग हैं।

ऑथेंटिकेटर-बाउंड कीज़ प्राप्त करने की क्षमता डेवलपर्स के लिए कई आकर्षक उपयोग के मामले खोलती है:

1. क्लाइंट-साइड / एंड-टू-एंड एन्क्रिप्शन (E2EE): यह WebAuthn PRF एक्सटENSION के लिए प्राथमिक प्रेरक है। ब्राउज़र आधारित एप्लिकेशन लॉगिन के दौरान प्रति क्रेडेंशियल एक अद्वितीय एन्क्रिप्शन की प्राप्त कर सकते हैं। इस की का उपयोग फिर WebCrypto API के साथ स्थानीय रूप से या सर्वर पर संग्रहीत यूज़र डेटा को एन्क्रिप्ट करने के लिए किया जा सकता है। डेटा आराम की स्थिति में एन्क्रिप्टेड रहता है और केवल यूज़र द्वारा विशिष्ट पासकी के साथ सफलतापूर्वक प्रमाणित करने के बाद ही डिक्रिप्ट किया जा सकता है, जिससे गोपनीयता और डेटा सुरक्षा बढ़ती है। सेवा प्रदाता प्लेनटेक्स्ट तक पहुँच के बिना यूज़र डेटा संग्रहीत कर सकते हैं। यह पासवर्ड रहित दुनिया में एप्लिकेशन के लिए विशेष रूप से सहायक है, क्योंकि PRF एक्सटेंशन के बिना, उन्हें अतिरिक्त रूप से पासवर्ड के रूप में एक सीक्रेट का अनुरोध करना होगा, जो पासवर्ड रहित आर्किटेक्चर का खंडन करता है।

2. पासवर्ड रहित वॉल्ट डिक्रिप्शन: पासवर्ड मैनेजर (जैसे, Bitwarden, 1Password) या सुरक्षित नोट ऐप्स (जैसे, Notesnook, Reflect) जैसी सेवाएँ पारंपरिक मास्टर पासवर्ड को बदलने के लिए PRF का उपयोग कर सकती हैं। यूज़र अपने पासकी के साथ प्रमाणित करता है, PRF एक्सटेंशन वॉल्ट डिक्रिप्शन की प्राप्त करता है और वॉल्ट अनलॉक हो जाता है - किसी मास्टर पासवर्ड की आवश्यकता नहीं है। Bitwarden ने इसके लिए समर्थन की घोषणा की है। इसके अलावा, Dashlane ने हाल ही में WebAuthn PRF एक्सटेंशन को अपनाया है ताकि फ़िशिंग प्रतिरोध को मजबूत किया जा सके और एन्क्रिप्टेड वॉल्ट तक पहुँच के लिए सुरक्षा बढ़ाई जा सके। यूज़र अपने पासकी का उपयोग करके प्रमाणित करते हैं, जिससे PRF को वॉल्ट डिक्रिप्शन कीज़ को सुरक्षित रूप से प्राप्त करने की अनुमति मिलती है, जिससे मास्टर पासवर्ड की आवश्यकता पूरी तरह से समाप्त हो जाती है।

3. सुरक्षित की रोटेशन: WebAuthn PRF एक्सटेंशन ऑथेंटिकेशन के दौरान दो इनपुट "सॉल्ट" (पहला और दूसरा) प्रदान करने की अनुमति देता है। यह क्रिप्टोग्राफ़िक की रोटेशन योजनाओं को सुगम बनाता है। एक सर्वर पहले का उपयोग करके "वर्तमान" की और दूसरे का उपयोग करके "अगली" की का अनुरोध कर सकता है। समय के साथ, सर्वर अपडेट कर सकता है कि कौन सा सॉल्ट वर्तमान की से मेल खाता है, जिससे यूज़र अनुभव को बाधित किए बिना सहज रोटेशन की अनुमति मिलती है। यह विशेष रूप से महत्वपूर्ण है यदि नियामक आवश्यकताएँ या आंतरिक नीतियाँ सभी कीज़ को एक विशिष्ट शेड्यूल के भीतर घुमाने की मांग करती हैं और सुरक्षा बढ़ाती हैं।

4. आइडेंटिटी वॉलेट और नॉन-कस्टोडियल सिस्टम: PRF डिजिटल वॉलेट के भीतर पहचान डेटा को सुरक्षित करने के लिए कीज़ प्राप्त कर सकता है या नॉन-कस्टोडियल सिस्टम को सक्षम कर सकता है जहाँ प्राइवेट कीज़ कभी भी सर्वर-साइड पर उजागर नहीं होती हैं।

जबकि स्पेसिफिकेशन परिभाषित है, वास्तविक ब्राउज़र और प्लेटफ़ॉर्म सपोर्ट डेवलपर्स के लिए महत्वपूर्ण कारक है। सपोर्ट विकसित हो रहा है और, हाल तक, मुख्य रूप से क्रोमियम-आधारित ब्राउज़रों तक ही सीमित था। सपोर्ट को ट्रैक करना चुनौतीपूर्ण हो सकता है क्योंकि CanIUse.com पर PRF एक्सटेंशन के लिए कोई समर्पित प्रविष्टि नहीं है ("webauthn" की खोज सामान्य API सपोर्ट दिखाती है, लेकिन विशिष्ट एक्सटेंशन नहीं)। जानकारी अक्सर ब्राउज़र रिलीज़ नोट्स, बग ट्रैकर्स और स्टेटस पेजों से एकत्र की जानी चाहिए। WebAuthn PRF एक्सटेंशन का सफलतापूर्वक उपयोग करने के लिए टेक्नोलॉजी स्टैक की तीन अलग-अलग परतों में एक समन्वित प्रयास की आवश्यकता होती है। सुविधा के काम करने के लिए प्रत्येक स्तर पर PRF एक्सटेंशन सपोर्ट मौजूद होना चाहिए:

1. ऑथेंटिकेटर: यह हार्डवेयर (जैसे सिक्योरिटी की) या प्लेटफ़ॉर्म घटक (जैसे Windows Hello, iCloud Keychain और संबंधित हार्डवेयर मॉड्यूल जैसे TPM या Secure Enclave) है जो क्रेडेंशियल की सीक्रेट की को सुरक्षित रूप से संग्रहीत करता है और वास्तविक स्यूडो-रैंडम फ़ंक्शन गणना करता है (आमतौर पर CTAP2 hmac-secret क्षमता का उपयोग करके)। यदि ऑथेंटिकेटर में यह मौलिक क्रिप्टोग्राफ़िक क्षमता नहीं है, तो PRF काम नहीं कर सकता है।

2. ऑपरेटिंग सिस्टम (OS): OS ब्राउज़र और ऑथेंटिकेटर के बीच एक पुल के रूप में कार्य करता है। यह ब्राउज़र को ऑथेंटिकेटर (विशेष रूप से प्लेटफ़ॉर्म ऑथेंटिकेटर और USB/NFC/ब्लूटूथ के माध्यम से जुड़े हुए) को खोजने, संचार करने और संचालन का अनुरोध करने के लिए आवश्यक ड्राइवर और सिस्टम-स्तरीय API प्रदान करता है। OS को ऑथेंटिकेटर की PRF (hmac-secret) क्षमता को पहचानने और ब्राउज़र को उजागर करने में सक्षम होना चाहिए। यदि OS यह मार्ग प्रदान नहीं करता है, तो ब्राउज़र सुविधा तक नहीं पहुँच सकता है।

3. ब्राउज़र: वेब एप्लिकेशन के लिए इंटरफ़ेस के रूप में, ब्राउज़र को WebAuthn जावास्क्रिप्ट API को लागू करना चाहिए, विशेष रूप से prf एक्सटेंशन को पहचानना, वेब अनुरोध को OS/ऑथेंटिकेटर के लिए उपयुक्त कमांड में अनुवाद करना, संदर्भ स्ट्रिंग के साथ इनपुट को हैश करने के महत्वपूर्ण सुरक्षा चरण को संभालना, और परिणामों को सही ढंग से पार्स करके एप्लिकेशन को वापस करना।

इन तीन स्तरों में से किसी पर भी विफलता या समर्थन की कमी - ऑथेंटिकेटर क्षमता, OS एक्सपोजर, या ब्राउज़र कार्यान्वयन - PRF एक्सटेंशन को काम करने से रोक देगी।

यह अनुक्रम चार्ट एक सरलीकृत संस्करण दिखाता है कि ये अभिनेता PRF समर्थन को सुविधाजनक बनाने के लिए एक साथ कैसे काम करते हैं।

एक कार्यशील PRF वर्कफ़्लो के लिए WebAuthn ↔ CTAP श्रृंखला में हर परत को सहयोग करने की आवश्यकता होती है। स्पष्टता के लिए, हम चर्चा को (1) ब्राउज़र + ऑपरेटिंग-सिस्टम व्यवहार और (2) ऑथेंटिकेटर व्यवहार में अलग करते हैं।

व्यापक PRF समर्थन की दिशा में यात्रा वेब मानकों के एक्सटेंशन के साथ एक आम चुनौती को उजागर करती है: कार्यान्वयन अक्सर कंपित होता है, जिसमें प्लेटफ़ॉर्म-विशिष्ट मुद्दों को हल करने की आवश्यकता होती है। हम इस तालिका को अपडेट रखने का लक्ष्य रखेंगे, लेकिन ध्यान रखें कि चूंकि PRF एक्सटेंशन नवीनतम परिवर्धन में से एक है, जिसके लिए पूरी संगतता श्रृंखला को अनुकूलित करने की आवश्यकता है, इसलिए चल रहे समायोजन की उम्मीद है।

नीचे, हम ऑपरेटिंग सिस्टम द्वारा समर्थन को तोड़ते हैं।

विंडोज पर WebAuthn PRF एक्सटेंशन के लिए समर्थन सीमित है, क्योंकि देशी प्लेटफ़ॉर्म ऑथेंटिकेटर (विंडोज हैलो) में वर्तमान में आवश्यक hmac-secret क्षमता का अभाव है। इसलिए PRF कार्यक्षमता बाहरी सुरक्षा कुंजियों पर निर्भर है।

macOS 15 के साथ, प्लेटफ़ॉर्म ऑथेंटिकेटर्स के लिए PRF सपोर्ट आ गया है। सफारी और क्रोम दोनों iCloud किचेन के माध्यम से PRF का समर्थन करते हैं। प्लेटफ़ॉर्म ऑथेंटिकेटर के लिए फ़ायरफ़ॉक्स का समर्थन अभी भी लंबित है। सिक्योरिटी कीज़ केवल क्रोम के साथ काम करती हैं।

iOS और iPadOS पर स्थिति macOS के समान है, जिसमें PRF iCloud किचेन के माध्यम से काम करता है। हालाँकि, महत्वपूर्ण चेतावनियाँ हैं: iOS 18 के शुरुआती संस्करणों में एक बग डेटा हानि का कारण बन सकता है, और बाहरी सुरक्षा कुंजियों के लिए समर्थन अभी तक लागू नहीं किया गया है।

Android वर्तमान में WebAuthn PRF एक्सटेंशन के लिए सबसे मजबूत और व्यापक समर्थन प्रदान करता है। Google पासवर्ड मैनेजर में संग्रहीत पासकी में डिफ़ॉल्ट रूप से PRF समर्थन शामिल है, और यह फ़ायरफ़ॉक्स को छोड़कर अधिकांश प्रमुख ब्राउज़रों में काम करता है।

उपरोक्त तालिका में, हमने फर्स्ट-पार्टी पासकी प्रदाता समर्थन के लिए सबसे महत्वपूर्ण संयोजनों को शामिल किया है। हालाँकि, थर्ड-पार्टी पासकी प्रदाताओं के रूप में पासवर्ड मैनेजर का उपयोग करते समय, उनकी विशिष्ट क्षमताओं पर अलग से विचार किया जाना चाहिए। उदाहरण के लिए, 1Password अपने Android संस्करण में PRF का समर्थन करता है लेकिन अपने iOS संस्करण में नहीं। साथ ही क्रोम प्रोफ़ाइल ऑथेंटिकेटर के रूप में prf का समर्थन नहीं करता है। ऑथेंटिकेटर्स के बारे में अधिक जानकारी के लिए नीचे देखें।

जबकि WebAuthn यह निर्दिष्ट करता है कि एक Relying Party क्या मांग सकता है, क्लाइंट-टू-ऑथेंटिकेटर प्रोटोकॉल (CTAP) यह परिभाषित करता है कि ऑथेंटिकेटर को कैसे व्यवहार करना चाहिए। व्यवहार में, ऑथेंटिकेटर चार श्रेणियों में आते हैं:

1. कोई PRF समर्थन नहीं: पुराने प्लेटफ़ॉर्म ऑथेंटिकेटर (जैसे, विंडोज हैलो), hmac-secret एक्सटेंशन के बिना विरासत सुरक्षा कुंजियाँ और तीसरे पक्ष के प्रदाता जिन्होंने अभी तक prf एक्सटेंशन नहीं अपनाया है।

2. PRF केवल तभी जब क्रेडेंशियल निर्माण के समय PRF ध्वज सेट किया गया हो: कुछ CTAP 2.0/2.1 सुरक्षा कुंजियाँ hmac-secret को उजागर करती हैं, लेकिन PRF मूल्यांकन से इनकार कर देंगी जब तक कि Relying Party ने क्रेडेंशियल बनाते समय इसका अनुरोध नहीं किया हो ताकि रहस्यों को प्रारंभ किया जा सके।

3. निर्माण के समय अनुरोध न किए जाने पर भी प्रमाणीकरण पर PRF उपलब्ध: नई पीढ़ी के हार्डवेयर टोकन और iCloud और Google पासवर्ड मैनेजर hmac-secret कार्यक्षमता को बिना शर्त उजागर करते हैं; ध्वज के बिना बनाए गए क्रेडेंशियल अभी भी navigator.credentials.get() के दौरान PRF के साथ काम करते हैं।

4. पूर्ण CTAP 2.2 अनुपालन (PRF + निर्माण पर पहला PRF मान): प्लेटफ़ॉर्म ऑथेंटिकेटर जो पासकी को सिंक करते हैं - जैसे कि iCloud किचेन और Google पासवर्ड मैनेजर - अनुरोध पर, navigator.credentials.create() के दौरान पहले से ही पहला PRF आउटपुट लौटा सकते हैं, जिससे कुंजी-स्थापना प्रवाह सुव्यवस्थित हो जाता है।

यह जानना कि एक ऑथेंटिकेटर किस बाल्टी से संबंधित है, जब आप बैकअप, माइग्रेशन, या कुंजी-स्थापना तर्क डिजाइन करते हैं तो यह आवश्यक है। हमने इन परिदृश्यों के लिए अपने डेमो में परीक्षण भी शामिल किए हैं।

आप हमारे इंटरैक्टिव WebAuthn PRF डेमो एप्लिकेशन का उपयोग करके सीधे WebAuthn PRF एक्सटेंशन का अनुभव कर सकते हैं। इस डेमो में, आप निम्न में सक्षम होंगे:

• PRF के साथ एक पासकी पंजीकृत करें और पुष्टि करें कि क्या आपका ऑथेंटिकेटर इस शक्तिशाली एक्सटेंशन का समर्थन करता है।
• अपने पासकी का उपयोग करके प्रमाणित करें और PRF-जनित क्रिप्टोग्राफ़िक मान को क्रिया में देखें।

PRF मान को स्वयं देखना सुरक्षित, कुंजी-आधारित संचालन के लिए पासकी का उपयोग करने के व्यावहारिक निहितार्थों पर प्रकाश डालता है। यह आपको PRF एक्सटेंशन के लिए ऑथेंटिकेटर संगतता को सीधे सत्यापित करने और यह देखने की अनुमति देता है कि PRF-व्युत्पन्न कुंजियाँ WebAuthn एंड-टू-एंड एन्क्रिप्शन और पासवर्ड के बिना सुरक्षित वॉल्ट डिक्रिप्शन को कैसे शक्ति प्रदान कर सकती हैं।

डेमो को आज़माने के लिए एक क्षण निकालें, अपने विशिष्ट वातावरण की PRF क्षमता को समझना आपको अपने उपयोगकर्ताओं के अनुरूप सुरक्षित, पासवर्ड रहित अनुभवों की बेहतर योजना बनाने में मदद करता है।

PRF की शक्ति का परीक्षण करने के लिए तैयार हैं? अपनी व्यावहारिक खोज शुरू करने के लिए उपरोक्त छवि पर क्लिक करें या इस लिंक का अनुसरण करें।

WebAuthn PRF एक्सटेंशन डेटा संग्रहीत करने या प्राप्त करने से संबंधित एकमात्र WebAuthn एक्सटेंशन नहीं है। पासकी PRF की तुलना कैसे की जाती है?

• PRF बनाम credBlob / largeBlob:

  • credBlob: क्रेडेंशियल के साथ एक छोटा (32 बाइट्स) स्थिर ब्लॉब संग्रहीत करने की अनुमति देता है, संभवतः निर्माण के समय। यह मुख्य रूप से रहस्यों के लिए डिज़ाइन नहीं किया गया था, और समर्थन सीमित है, खासकर गैर-खोज योग्य क्रेडेंशियल्स के लिए।

  • largeBlob: खोज योग्य क्रेडेंशियल्स के साथ अधिक डेटा (~1KB) संग्रहीत करने में सक्षम बनाता है, जो अक्सर सहायक डेटा जैसे प्रमाणपत्रों के लिए होता है। समर्थन भी सीमित है (iCloud Keychain द्वारा iOS 17 के बाद से समर्थित है, लेकिन GPM द्वारा नहीं)। क्रोम डेवलपर्स ने स्पष्ट रूप से अधिकांश उपयोग के मामलों के लिए largeBlob पर PRF पर ध्यान केंद्रित करने का पक्ष लिया, हालांकि भविष्य में विकास हो सकता है।

  • PRF: इसके विपरीत, PRF विशेष रूप से एक स्थिर ब्लॉब संग्रहीत करने के बजाय, हार्डवेयर-बाउंड रहस्य का उपयोग करके प्रमाणीकरण के दौरान मांग पर गुप्त कुंजियों को व्युत्पन्न करने के लिए डिज़ाइन किया गया है। इसे आम तौर पर एक पासकी से जुड़ी एन्क्रिप्शन कुंजियों को प्राप्त करने के लिए सबसे उपयुक्त और सुरक्षित मानक तंत्र माना जाता है। रहस्यों के लिए ब्लॉब्स पर चर्चा करने से लेकर PRF पर मानकीकरण और कार्यान्वयन फोकस तक का विकास इस उपयोग के मामले के लिए समर्पित समाधान के रूप में PRF पर एक अभिसरण का सुझाव देता है।

• PRF बनाम पासवर्ड-व्युत्पन्न कुंजियाँ (जैसे, PBKDF2): परंपरागत रूप से, क्लाइंट-साइड एन्क्रिप्शन कुंजियाँ उपयोगकर्ता पासवर्ड से प्राप्त की जाती थीं। PRF महत्वपूर्ण लाभ प्रदान करता है:

  • मजबूत स्रोत: कुंजियाँ ऑथेंटिकेटर के भीतर मजबूत क्रिप्टोग्राफ़िक सामग्री से प्राप्त की जाती हैं, न कि संभावित रूप से कमजोर या पुन: उपयोग किए गए पासवर्ड से।

  • फ़िशिंग प्रतिरोध: व्युत्पत्ति फ़िशिंग-प्रतिरोधी WebAuthn प्रमाणीकरण प्रवाह से जुड़ी है।

  • पासवर्ड रहित: बिना पासवर्ड की आवश्यकता के वॉल्ट डिक्रिप्शन जैसे उपयोग के मामलों को सक्षम बनाता है।

• PRF बनाम अन्य WebAuthn डेटा: WebAuthn प्रतिक्रिया के अन्य भागों (जैसे हस्ताक्षर, authenticatorData, या सार्वजनिक कुंजी) से कुंजियाँ प्राप्त करने का प्रयास मौलिक रूप से असुरक्षित और गलत है। ये घटक या तो सार्वजनिक, गैर-गुप्त हैं, या सत्यापन के लिए डिज़ाइन किए गए हैं, कुंजी व्युत्पत्ति के लिए नहीं।

WebAuthn क्रेडेंशियल या पासकी से सीधे जुड़ी क्रिप्टोग्राफ़िक कुंजी सामग्री को सुरक्षित रूप से प्राप्त करने के लिए, WebAuthn PRF एक्सटेंशन उद्देश्य-निर्मित और अनुशंसित मानक दृष्टिकोण है।

अपने एप्लिकेशन में PRF एक्सटेंशन को एकीकृत करते समय, इन व्यावहारिक दिशानिर्देशों पर विचार करें:

निम्नलिखित अनुशंसाएँ डेवलपर्स को PRF एक्सटेंशन सपोर्ट की वर्तमान स्थिति को प्रभावी ढंग से नेविगेट करने और भविष्य के विकास के लिए योजना बनाने में मदद करती हैं:

• PRF को एक अतिरिक्त सुविधा मानें: WebAuthn PRF एक्सटेंशन के लिए समर्थन वर्तमान में ब्राउज़रों, ऑपरेटिंग सिस्टम और ऑथेंटिकेटर्स में काफी भिन्न है। इसलिए, PRF एकीकरण को एक मुख्य निर्भरता के बजाय एक वृद्धि के रूप में मानें।

• PRF पर महत्वपूर्ण निर्भरता से बचें: मिशन-महत्वपूर्ण कार्यक्षमता के लिए PRF को आवश्यक बनाने से बचें। वर्तमान समर्थन, विशेष रूप से macOS पर सफारी और iOS जैसे प्लेटफार्मों पर, असंगत और अधूरा बना हुआ है।

• पासकी खोने की स्थितियों के लिए तैयार रहें: याद रखें कि PRF-व्युत्पन्न कुंजियों के साथ एन्क्रिप्ट किया गया डेटा विशेष रूप से विशिष्ट पासकी से बंधा होता है। पासकी खोने से एन्क्रिप्ट किया गया डेटा स्थायी रूप से अप्राप्य हो जाएगा। हमेशा मजबूत बैकअप और पुनर्प्राप्ति तंत्र लागू करें।

• 2026 तक व्यापक समर्थन की आशा करें: PRF एक्सटेंशन समर्थन तेजी से परिपक्व हो रहा है। 2026 तक, प्रमुख ब्राउज़रों, ऑपरेटिंग सिस्टम और ऑथेंटिकेटर्स में लगातार उपलब्धता की उम्मीद करें, विशेष रूप से फर्स्ट-पार्टी पासकी प्रदाताओं के साथ।

• विंडोज इकोसिस्टम की निगरानी करें: विंडोज हैलो के माध्यम से प्लेटफ़ॉर्म ऑथेंटिकेटर समर्थन वर्तमान में अनुपस्थित है। विंडोज वातावरण में पूर्ण PRF एकीकरण माइक्रोसॉफ्ट की गोद लेने की रणनीति पर बहुत अधिक निर्भर करता है, इसलिए इस इकोसिस्टम पर कड़ी नजर रखें।

इन दिशानिर्देशों का पालन करना सुनिश्चित करता है कि डेवलपर्स अपने गोद लेने के चरण के दौरान संगतता और सुरक्षा बनाए रखते हुए PRF को सुचारू रूप से शामिल कर सकते हैं।

यह समझना कि PRF आपकी समग्र पासकी रणनीति के साथ कैसे संरेखित होता है, आपको अनावश्यक जटिलताओं के बिना इसके लाभों को अधिकतम करने में मदद करता है:

• लचीला एकीकरण: पासकी निर्माण के समय यह तय करना आवश्यक नहीं है कि PRF का लाभ उठाना है या नहीं। मौजूदा पासकी को बाद में अतिरिक्त क्रेडेंशियल प्रबंधन ओवरहेड के बिना PRF उपयोग के मामलों के साथ सहजता से एकीकृत किया जा सकता है।

• मौजूदा सिस्टम में PRF को लागू करना: चूंकि PRF प्रमाणीकरण चरण (navigator.credentials.get()) के दौरान संचालित होता है, इसलिए पहले बनाए गए पासकी बाद के चरण में PRF-आधारित वर्कफ़्लो का समर्थन कर सकते हैं। यह आपके एप्लिकेशन को स्थापित प्रमाणीकरण विधियों को बाधित किए बिना सुरक्षा को वृद्धिशील रूप से बढ़ाने की अनुमति देता है। यह दृष्टिकोण iCloud Keychain और Google पासवर्ड मैनेजर (GPM) और नई सुरक्षा कुंजियों के साथ काम करता है। पुरानी सुरक्षा कुंजियों के लिए एक hmac-secret केवल तभी उत्पन्न हो सकता है जब क्रेडेंशियल के निर्माण पर अनुरोध किया गया हो।

• पासकी जटिलता विचार: पासकी प्रबंधन में निहित जटिलताएँ - जैसे क्रेडेंशियल सिंक्रनाइज़ेशन, क्रॉस-डिवाइस प्रमाणीकरण, और पुनर्प्राप्ति प्रक्रियाएँ - PRF का उपयोग करते समय समान रूप से लागू होती हैं। सुनिश्चित करें कि आपका PRF कार्यान्वयन आपकी समग्र पासकी प्रमाणीकरण रणनीति के साथ सामंजस्यपूर्ण रूप से संरेखित हो, सुव्यवस्थित उपयोगकर्ता अनुभव और मजबूत सुरक्षा नियंत्रण बनाए रखे।

एक समग्र पासकी रणनीति के हिस्से के रूप में PRF पर विचार करना अधिक सुरक्षित और उपयोगकर्ता-अनुकूल प्रमाणीकरण प्रथाओं के लिए एक सहज संक्रमण को सक्षम बनाता है।

संवेदनशील उपयोगकर्ता डेटा को संभालने वाले उद्यम सेवा प्रदाताओं के लिए, पासकी के साथ WebAuthn PRF का लाभ उठाने की क्षमता सुरक्षा और उपयोगकर्ता अनुभव को बढ़ाने की संभावनाएं खोलती है, विशेष रूप से उन परिदृश्यों में जहां व्यक्तिगत रूप से पहचान योग्य जानकारी (PII) के क्लाइंट-साइड एन्क्रिप्शन की आवश्यकता होती है या उन अनुप्रयोगों को सुरक्षित करना होता है जिन्हें एंड-2-एंड एन्क्रिप्शन की आवश्यकता होती है। जबकि Corbado Connect मुख्य रूप से सहज उद्यम पासकी एकीकरण के लिए डिज़ाइन किया गया है, यह SPC या PRF जैसे पासकी एक्सटेंशन के कार्यान्वयन को भी सुविधाजनक बना सकता है।

यहाँ बताया गया है कि कॉर्बाडो PRF को एकीकृत करने की तलाश में संगठनों की सहायता कैसे कर सकता है:

• एन्क्रिप्टेड स्टोरेज के लिए PRF को सुविधाजनक बनाना: उद्यम सेटिंग्स में कभी-कभी संवेदनशील जानकारी को सुरक्षित रूप से संग्रहीत करने की आवश्यकता होती है, शायद कभी-कभी सर्वर-साइड PII एक्सपोजर को कम करने के लिए सीधे क्लाइंट-साइड पर भी। कॉर्बाडो कनेक्ट को पासकी प्रमाणीकरण प्रवाह (navigator.credentials.get()) के दौरान PRF मानों का अनुरोध करने के लिए कॉन्फ़िगर किया जा सकता है, जिससे अनुप्रयोगों को आवश्यक क्रिप्टोग्राफ़िक कुंजियाँ प्राप्त करने में सक्षम बनाया जा सकता है।
• लचीले स्टोरेज पैटर्न: PRF-व्युत्पन्न कुंजियों का उपयोग करके एन्क्रिप्ट किया गया डेटा सुरक्षा आवश्यकताओं और वास्तुकला के आधार पर विभिन्न तरीकों से संग्रहीत किया जा सकता है:
  • क्लाइंट-साइड: localStorage या सुरक्षित कुकीज़ जैसे तंत्र का उपयोग करके सीधे ब्राउज़र में संग्रहीत। प्लेनटेक्स्ट डेटा केवल डिक्रिप्शन के दौरान क्लाइंट पर क्षणिक रूप से मौजूद होता है।
  • कॉर्बाडो बैकएंड (E2EE): जबकि कॉर्बाडो आम तौर पर ग्राहक PII को संग्रहीत करने से बचता है, PRF तंत्र तकनीकी रूप से कॉर्बाडो के सर्वर पर क्लाइंट-साइड एन्क्रिप्टेड डेटा संग्रहीत करने की अनुमति देता है। कॉर्बाडो के पास इस डेटा को डिक्रिप्ट करने की कुंजी नहीं होगी; डिक्रिप्शन अभी भी सफल उपयोगकर्ता प्रमाणीकरण के बाद क्लाइंट-साइड पर होगा।
  • क्लाइंट का बैकएंड: एन्क्रिप्ट किया गया डेटा उद्यम के अपने बैकएंड सिस्टम पर भी भेजा और संग्रहीत किया जा सकता है, फिर भी क्लाइंट-साइड एन्क्रिप्शन से लाभान्वित होता है।
• सुरक्षित कुंजी व्युत्पत्ति प्रवाह: कॉर्बाडो कनेक्ट घटक WebAuthn API के साथ सहभागिता का प्रबंधन करते हैं। जब PRF का अनुरोध किया जाता है:
  1. एक उपयोगकर्ता-विशिष्ट PRF आउटपुट ऑथेंटिकेटर द्वारा उत्पन्न होता है, जो व्यक्तिगत पासकी से बंधा होता है।
  2. यह आउटपुट सुरक्षित रूप से क्लाइंट-साइड एप्लिकेशन को लौटाया जाता है।
  3. एप्लिकेशन को तब PRF आउटपुट से एक मजबूत सममित एन्क्रिप्शन कुंजी प्राप्त करने के लिए WebCrypto API (जैसे, HKDF) के माध्यम से एक कुंजी व्युत्पत्ति फ़ंक्शन (KDF) का उपयोग करना चाहिए।
  4. इस सममित कुंजी का उपयोग WebCrypto (जैसे, AES-GCM) के साथ लक्ष्य जानकारी (जैसे PII) को एन्क्रिप्ट या डिक्रिप्ट करने के लिए किया जाता है।
• बाद के लॉगिन पर सहज डिक्रिप्शन: जब उपयोगकर्ता उसी पासकी का उपयोग करके फिर से प्रमाणित करता है, जबकि Corbado Connect उसी PRF अनुरोध को आरंभ करता है। यह समान PRF आउटपुट देता है, जिससे एप्लिकेशन को वही सममित कुंजी को फिर से प्राप्त करने और पहले से संग्रहीत जानकारी को क्लाइंट-साइड पर डिक्रिप्ट करने की अनुमति मिलती है।
• PRF अपनाने की बुद्धिमत्ता: PRF को लागू करने के लिए यह जानना आवश्यक है कि उपयोगकर्ता का वातावरण (OS, ब्राउज़र, ऑथेंटिकेटर) इसका समर्थन करता है या नहीं। कॉर्बाडो कनेक्ट प्रमाणीकरण के दौरान उपयोगकर्ता के डिवाइस और क्षमताओं के बारे में संकेत एकत्र करता है। इस बुद्धिमत्ता का उपयोग किया जा सकता है:
  • PRF-निर्भर सुविधाओं को पूरी तरह से सक्रिय करने से पहले उपयोगकर्ता आधार पर PRF की तैयारी का निर्धारण करें।
  • PRF को अवसरवादी रूप से लागू करें, इसे समर्थित उपयोगकर्ताओं के लिए एक वृद्धि के रूप में प्रदान करें, जबकि बिना समर्थन वाले लोगों के लिए फ़ॉलबैक तंत्र (जैसे पुन: सत्यापन के लिए संकेत देना या वैकल्पिक तरीकों का उपयोग करना) बनाए रखें।
• PII उपलब्धता को सुव्यवस्थित करना: सत्यापित PII (जैसे, सत्यापन प्रवाह के माध्यम से प्राप्त पहचान विशेषताएँ) को एन्क्रिप्ट करने और इसे क्लाइंट-साइड पर संग्रहीत करने के लिए PRF का उपयोग करके, एप्लिकेशन इस डेटा को बाद की बातचीत या लेनदेन के लिए पासकी लॉगिन के बाद तुरंत उपलब्ध करा सकते हैं, जिससे पुन: सत्यापन या ऐप-आधारित प्रवाह की तुलना में घर्षण में काफी कमी आती है।
• कस्टम E2EE सिस्टम को सक्षम करना: जबकि Corbado Connect मानक प्रवाह के लिए UI घटक प्रदान करता है, अंतर्निहित सिद्धांत डेवलपर्स को PRF कार्यक्षमता को संवेदनशील अनुप्रयोगों में अधिक गहराई से एकीकृत करने की अनुमति दे सकते हैं। यह एंड-टू-एंड एन्क्रिप्टेड सिस्टम बनाने में सक्षम बनाता है जहां फ्रंटएंड एप्लिकेशन सीधे मौजूदा या नए डेटा पर जटिल क्रिप्टोग्राफ़िक संचालन के लिए PRF-व्युत्पन्न कुंजियों का लाभ उठाता है। फिलहाल यह केवल अवसरवादी रूप से ही संभव होगा और फ़ॉलबैक तंत्र को उन सूचनाओं को संग्रहीत करने का एक अलग तरीका लागू करने की आवश्यकता है।

कॉर्बाडो का उद्देश्य पासकी और PRF एकीकरण की जटिलताओं को सरल बनाना है, जिससे उद्यमों को मानकों का सुरक्षित और प्रभावी ढंग से लाभ उठाने की अनुमति मिलती है, जो क्लाइंट-साइड PII एन्क्रिप्शन जैसे विशिष्ट उपयोग के मामलों के अनुकूल होते हुए विकसित हो रहे परिदृश्य को नेविगेट करते हैं।

WebAuthn PRF एक्सटेंशन वास्तव में पासवर्ड रहित, एंड-टू-एंड एन्क्रिप्टेड एप्लिकेशन को एक व्यावहारिक वास्तविकता बनाने में एक महत्वपूर्ण कदम है। क्रिप्टोग्राफ़िक कुंजियों को सुरक्षित रूप से प्राप्त करने के लिए पासकी का लाभ उठाकर, यह गोपनीयता से समझौता किए बिना एक सहज और सुरक्षित उपयोगकर्ता अनुभव प्रदान करता है।

इस लेख की शुरुआत में पूछे गए प्रश्नों का सीधे उत्तर देना:

• दिलचस्प PRF उपयोग के मामले: PRF एंड-टू-एंड एन्क्रिप्टेड डेटा स्टोरेज, पासवर्ड मैनेजर के लिए पासवर्ड रहित वॉल्ट डिक्रिप्शन, सुरक्षित क्रिप्टोग्राफ़िक कुंजी रोटेशन योजनाएं, और सुरक्षित पहचान वॉलेट या गैर-कस्टोडियल सिस्टम जैसे आकर्षक उपयोग के मामलों को सक्षम बनाता है जो यह सुनिश्चित करके उपयोगकर्ता की गोपनीयता की रक्षा करते हैं कि निजी कुंजियाँ कभी भी क्लाइंट डिवाइस नहीं छोड़ती हैं।

• PRF समर्थन की वर्तमान स्थिति (जून 2025): समर्थन खंडित और विकसित हो रहा है। जबकि Android में ब्राउज़रों और ऑथेंटिकेटर्स में मजबूत समर्थन है, macOS और विशेष रूप से iOS जैसे प्लेटफ़ॉर्म अस्थिर हैं, विशेष रूप से एक गंभीर बग के साथ CDA स्रोत के रूप में। विंडोज समर्थन मुख्य रूप से बाहरी सुरक्षा कुंजियों तक सीमित है, विंडोज हैलो के माध्यम से देशी प्लेटफ़ॉर्म समर्थन विशेष रूप से अनुपस्थित है।

PRF एक्सटेंशन पर विचार करने वाले डेवलपर्स को तेजी से सुधार की उम्मीद करनी चाहिए, फिर भी सावधानी से आगे बढ़ना चाहिए, लचीले एप्लिकेशन बनाना चाहिए जो वर्तमान सीमाओं को शालीनता से संभालते हैं। जैसे-जैसे प्रमुख प्लेटफार्मों और ऑथेंटिकेटर इकोसिस्टम में व्यापक रूप से अपनाना उभरता है, PRF-सक्षम पासवर्ड रहित एन्क्रिप्शन का भविष्य उज्ज्वल दिखाई देता है, जो वेब प्रमाणीकरण में बढ़ी हुई गोपनीयता और उपयोगिता का वादा करता है।