PSD2 Passkeys: फ़िशिंग-प्रतिरोधी PSD2-अनुपालक MFA

1. परिचय#

डिजिटल बैंकिंग में, सुरक्षा और उपयोगकर्ता अनुभव को अब एक-दूसरे के विपरीत होने की ज़रूरत नहीं है। Passkeys इन दोनों कारकों को मिलाकर एक फ़िशिंग-प्रतिरोधी MFA पेश करते हैं जो PSD2 और SCA आवश्यकताओं के अनुरूप है। Passkeys प्रमाणीकरण का सबसे सुरक्षित और सबसे उपयोगकर्ता-अनुकूल रूप हैं जिसे वित्तीय सेवाओं में लागू किया जा सकता है। यह बड़ी छलांग एक महत्वपूर्ण समय पर आई है, क्योंकि बैंकिंग उद्योग संशोधित भुगतान सेवा निर्देश (PSD2) को लागू करने से जूझ रहा है - यह एक नियामक ढाँचा है जिसे यूरोपीय बैंकिंग क्षेत्र की सुरक्षा और प्रतिस्पर्धात्मकता को बढ़ाने के लिए डिज़ाइन किया गया है।

Passkeys इस संदर्भ में सिर्फ एक अनुपालन समाधान के रूप में ही नहीं, बल्कि नवाचार के एक महान रूप के रूप में भी उभरते हैं, जो UX से समझौता किए बिना PSD2 की कड़ी आवश्यकताओं को पूरा करने का वादा करते हैं। इस ब्लॉग पोस्ट में, हम PSD2 और इसके मजबूत ग्राहक प्रमाणीकरण (Strong Customer Authentication - SCA) के आदेश की बारीकियों का विश्लेषण करते हैं: यह स्पष्ट हो जाता है कि passkeys बैंकिंग में फ़िशिंग-प्रतिरोधी MFA के भविष्य का प्रतिनिधित्व करते हैं।

2. PSD2 क्या है?#

PSD2 यूरोपीय संघ द्वारा यूरोप में भुगतान सेवाओं और बैंकिंग परिदृश्य में क्रांति लाने के लिए पेश किया गया एक कानून है। इसके प्राथमिक लक्ष्य प्रतिस्पर्धा बढ़ाना, उपभोक्ता संरक्षण को बढ़ाना और डिजिटल भुगतान क्षेत्र में नवाचार को बढ़ावा देना हैं। अनुमोदित तीसरे पक्षों को ग्राहक की वित्तीय जानकारी तक खुली पहुँच (ग्राहक की सहमति से) अनिवार्य करके, PSD2 एक अधिक एकीकृत, कुशल और उपयोगकर्ता-अनुकूल वित्तीय पारिस्थितिकी तंत्र का मार्ग प्रशस्त करता है। हालाँकि, बड़ी शक्ति के साथ बड़ी ज़िम्मेदारी भी आती है, और PSD2 इसे सुरक्षा पर अपने ध्यान के माध्यम से संबोधित करता है, विशेष रूप से प्रमाणीकरण प्रोटोकॉल के माध्यम से।

3. SCA क्या है?#

PSD2 के सुरक्षा उपायों के केंद्र में मजबूत ग्राहक प्रमाणीकरण (SCA) की आवश्यकता है, यह एक प्रोटोकॉल है जिसे धोखाधड़ी को काफी कम करने और इलेक्ट्रॉनिक भुगतानों की सुरक्षा बढ़ाने के लिए डिज़ाइन किया गया है। SCA इस सिद्धांत पर बनाया गया है कि इलेक्ट्रॉनिक भुगतान न केवल निर्बाध बल्कि विभिन्न खतरों का सामना करने के लिए पर्याप्त सुरक्षित भी होने चाहिए। यह प्रमाणीकरण ढाँचा भुगतान सेवा प्रदाताओं, बैंकों और इलेक्ट्रॉनिक भुगतान गेटवे के लिए अनिवार्य है जो PSD2 के दायरे में काम करते हैं।

3.1 SCA की आवश्यकताएँ#

PSD2 के तहत SCA का कार्यान्वयन कई महत्वपूर्ण आवश्यकताओं द्वारा परिभाषित किया गया है:

मल्टी-फैक्टर ऑथेंटिकेशन (MFA)#

प्रमाणीकरण में निम्नलिखित श्रेणियों में से कम से कम दो तत्व शामिल होने चाहिए:

• ज्ञान (Knowledge): कुछ ऐसा जो केवल उपयोगकर्ता जानता है, जैसे कि पासवर्ड या PIN।
• कब्ज़ा (Possession): कुछ ऐसा जो केवल उपयोगकर्ता के पास है, जैसे मोबाइल डिवाइस, स्मार्ट कार्ड, या हार्डवेयर टोकन।
• नैसर्गिकता (Inherence): कुछ ऐसा जो उपयोगकर्ता में निहित है, जिसमें फिंगरप्रिंट, चेहरे की पहचान, या आवाज़ के पैटर्न जैसे बायोमेट्रिक पहचानकर्ता शामिल हैं।

डायनामिक लिंकिंग (Dynamic Linking)#

प्रत्येक लेनदेन के लिए, एक अद्वितीय प्रमाणीकरण कोड उत्पन्न होना चाहिए जो लेनदेन के विशिष्ट विवरण, जैसे राशि और प्राप्तकर्ता के खाता संख्या को गतिशील रूप से लिंक करता है।

आवधिक पुन: प्रमाणीकरण (Periodic Reauthentication)#

उपयोगकर्ताओं को ऑनलाइन बैंकिंग सेवाओं तक पहुँच बनाए रखने के लिए अंतराल पर, आमतौर पर हर 90 दिनों में, फिर से प्रमाणित करना आवश्यक है। हालाँकि, सुरक्षा और सुविधा के बीच संतुलन को अनुकूलित करने के लिए इस आवश्यकता को संशोधित किया गया है।

लेनदेन-विशिष्ट प्रमाणीकरण (Transaction-Specific Authentication)#

SCA को सभी इलेक्ट्रॉनिक लेनदेन पर लागू किया जाना चाहिए, यह सुनिश्चित करते हुए कि प्रमाणीकरण राशि और भुगतानकर्ता के लिए विशिष्ट है, हर लेनदेन के लिए एक अद्वितीय हस्ताक्षर बनाता है।

जोखिम-आधारित विश्लेषण (Risk-Based Analysis)#

भुगतान सेवा प्रदाताओं को SCA लागू करने के लिए जोखिम-आधारित दृष्टिकोण का उपयोग करना चाहिए, जहाँ कम जोखिम वाले लेनदेन को सुरक्षा से समझौता किए बिना भुगतान प्रक्रिया को सुव्यवस्थित करने के लिए SCA से छूट दी जा सकती है (यहाँ passkeys से लिंक पर ध्यान दें?)।

ऑडिटेबिलिटी (Auditability)#

पूरी प्रमाणीकरण प्रक्रिया ट्रेस करने योग्य और ऑडिट करने योग्य होनी चाहिए, जिसमें SCA आवश्यकताओं के पालन को साबित करने के लिए रिकॉर्ड बनाए रखा जाए।

SCA की शुरुआत करके, PSD2 ने बैंकिंग क्षेत्र में लेनदेन सुरक्षा के मानक को काफी बढ़ा दिया है। आगे, हम मल्टी-फैक्टर ऑथेंटिकेशन (MFA) में शामिल विभिन्न कारकों पर ध्यान केंद्रित करेंगे। इन कारकों का लेनदेन-विशिष्ट प्रमाणीकरण आवश्यकता पर भी प्रभाव पड़ता है (नीचे और पढ़ें)।

3.2 बैंकिंग प्रमाणीकरण का विकास#

आगे, हम बैंकिंग क्षेत्र में प्रमाणीकरण के विभिन्न विकास चरणों को प्रस्तुत करेंगे।

3.2.1 PINs और TANs (1990 के दशक से)#

बैंक उद्योग में प्रमाणीकरण की यात्रा पर्सनल आइडेंटिफिकेशन नंबर्स (PINs) और ट्रांजैक्शन ऑथेंटिकेशन नंबर्स (TANs) के उपयोग से शुरू हुई। ग्राहकों को TANs की एक सूची मिलती थी, जिनमें से प्रत्येक का उपयोग लेनदेन सत्यापन के लिए एक बार किया जाना था। यह तरीका, उस समय क्रांतिकारी होने के बावजूद, अपनी कमियों के साथ आया, जिसमें TAN सूचियों के चोरी होने या दुरुपयोग का जोखिम भी शामिल था।

3.2.2 इलेक्ट्रॉनिक और मोबाइल TANs (2000 के दशक से)#

जैसे-जैसे तकनीक उन्नत हुई, बैंकों ने इलेक्ट्रॉनिक TANs (eTANs) और मोबाइल TANs (mTANs) पेश किए, जहाँ TANs उत्पन्न किए जाते थे और SMS के माध्यम से ग्राहक के मोबाइल डिवाइस पर भेजे जाते थे। इस पद्धति ने TAN को डिवाइस से जोड़कर सुरक्षा में सुधार किया, लेकिन इसने नई कमजोरियों को भी जन्म दिया, जैसे SMS इंटरसेप्शन का जोखिम और इन संदेशों की प्रतीक्षा करने और उन्हें प्रबंधित करने की असुविधा। passkeys की शुरुआत तक, SMS OTP को अभी भी UX के दृष्टिकोण से बैंकिंग के लिए उपलब्ध सबसे आरामदायक 2FA विकल्प माना जाता है।

3.2.3 स्मार्ट कार्ड और टोकन डिवाइस (2000 के दशक से)#

सुरक्षा को और बढ़ाने के लिए, बैंकों ने स्मार्ट कार्ड और टोकन डिवाइस अपनाए जो प्रमाणीकरण के लिए अद्वितीय कोड उत्पन्न करते थे। इन हार्डवेयर-आधारित समाधानों ने उच्च स्तर की सुरक्षा प्रदान की, लेकिन ग्राहकों के लिए जटिलता और असुविधा भी बढ़ाई, जिन्हें अब एक अतिरिक्त डिवाइस ले जाना पड़ता था।

3.2.4 बायोमेट्रिक्स और मोबाइल बैंकिंग ऐप्स (2010 के दशक से)#

बैंकिंग प्रमाणीकरण में नवीनतम विकास में बायोमेट्रिक्स(फिंगरप्रिंट या चेहरे की पहचान) और अंतर्निहित सुरक्षा सुविधाओं वाले मोबाइल बैंकिंग ऐप्स शामिल हैं। इन तरीकों का उद्देश्य उपयोगकर्ता के अद्वितीय जैविक लक्षणों और स्मार्टफोन की सर्वव्यापकता का लाभ उठाकर सुरक्षा को सुविधा के साथ संतुलित करना था। हालाँकि, इनके लिए भी ग्राहकों को हर उस बैंक के लिए अलग से एक ऐप डाउनलोड करने और सेट अप करने की प्रक्रिया से गुजरना पड़ता है जिसका उपयोगकर्ता उपयोग करता है।

3.3 वर्तमान प्रमाणीकरण चुनौतियाँ और ग्राहकों के संघर्ष#

इन प्रगतियों के बावजूद, ग्राहक अभी भी वर्तमान बैंकिंग प्रमाणीकरण विधियों के साथ महत्वपूर्ण असुविधा और निराशा का सामना करते हैं और धोखेबाजों द्वारा लक्षित किए जाने के जोखिम में हैं:

• जटिलता और असुविधा: कई प्रमाणीकरण चरणों की परत, सुरक्षा के लिए एक बढ़ावा होने के बावजूद, अक्सर उपयोगकर्ताओं के लिए एक बोझिल प्रक्रिया में तब्दील हो जाती है। यह जटिलता सिर्फ एक छोटी सी असुविधा नहीं है; यह ग्राहकों को डिजिटल बैंकिंग सेवाओं से जुड़ने से रोक सकती है, जिससे डिजिटल परिवर्तन का उद्देश्य ही कमजोर हो जाता है।
• डिवाइस और प्लेटफ़ॉर्म निर्भरता: मोबाइल और बायोमेट्रिक प्रमाणीकरण की ओर बदलाव उपयोगकर्ताओं को उनके उपकरणों से निकटता से जोड़ता है। यह निर्भरता चोरी के मामले में एक नाजुक कड़ी बनाती है। साथ ही, तकनीकी विफलताएं बैंकिंग सेवाओं को दुर्गम बना सकती हैं, जिससे ग्राहक असहाय हो जाते हैं।
• फ़िशिंग कमजोरियाँ: प्रगति के बावजूद, प्रमाणीकरण कारकों की फ़िशिंग-योग्यता एक कमजोरी बनी हुई है जिसे SCA द्वारा संबोधित नहीं किया गया है। PIN, पासवर्ड, SMS OTPs, ईमेल OTPs जैसे पारंपरिक कारकों को परिष्कृत फ़िशिंग योजनाओं के माध्यम से समझौता किया जा सकता है, जिससे ग्राहक डेटा और वित्त जोखिम में पड़ जाते हैं।

आज तक, बैंक, विशेष रूप से पारंपरिक बैंक, ग्राहकों को फ़िशिंग के महत्वपूर्ण जोखिम के बारे में चेतावनी देना जारी रखते हैं।

अगले भाग में, हम एक वास्तविक उदाहरण का उपयोग करके समझाएंगे कि यह कैसे काम करता है।

4. फ़िशिंग बैंकिंग की सबसे बड़ी सुरक्षा समस्या है#

फ़िशिंग हमले लंबे समय से बैंकिंग क्षेत्र की सुरक्षा के लिए एक महत्वपूर्ण खतरा रहे हैं, जो संवेदनशील वित्तीय जानकारी तक अनधिकृत पहुँच प्राप्त करने के लिए मानव मनोविज्ञान (सोशल इंजीनियरिंग) और तकनीकी कमजोरियों का फायदा उठाते हैं। जैसे-जैसे बैंकों ने अपने प्रमाणीकरण को विकसित किया है, धोखेबाजों ने सुरक्षा उपायों को दरकिनार करने के लिए परिष्कृत योजनाएं तैयार की हैं। यह समझना कि फ़िशिंग कैसे काम करता है, विशेष रूप से इन आमतौर पर उपयोग की जाने वाली प्रमाणीकरण विधियों के संदर्भ में, passkeys जैसे गैर-फ़िशिंग योग्य प्रमाणीकरण समाधानों की तत्काल आवश्यकता को पहचानने के लिए महत्वपूर्ण है।

4.1 फ़िशिंग हमलों के पीछे का सिद्धांत#

इसके मूल में, फ़िशिंग में व्यक्तियों को उनके बैंक से वैध संचार की आड़ में लॉगिन क्रेडेंशियल्स या वित्तीय जानकारी जैसी संवेदनशील जानकारी का खुलासा करने के लिए धोखा देना शामिल है। यह आमतौर पर निम्नलिखित चरणों के माध्यम से प्राप्त किया जाता है:

1. शुरुआत: धोखेबाज संदेश (अक्सर ईमेल या SMS के माध्यम से) भेजते हैं जो आधिकारिक बैंक संचार की नकल करते हैं, जिसमें लोगो और भाषा होती है जो भरोसेमंद लगती है। ये संदेश आमतौर पर तात्कालिकता की भावना पैदा करते हैं, यह दावा करते हुए कि किसी मुद्दे को हल करने या खाता बंद होने से रोकने के लिए तत्काल कार्रवाई की आवश्यकता है।
2. धोखा: संदेश में एक धोखाधड़ी वाली वेबसाइट का लिंक होता है जो बैंक के आधिकारिक ऑनलाइन बैंकिंग पोर्टल से काफी मिलती-जुलती है। धोखे से अनजान, पीड़ित को यह विश्वास दिलाया जाता है कि वे अपने बैंक की वैध वेबसाइट तक पहुँच रहे हैं।
3. कब्ज़ा: फ़िशिंग साइट पर एक बार, पीड़ित को अपने प्रमाणीकरण विवरण दर्ज करने के लिए कहा जाता है, जैसे कि उनका PIN या SMS के माध्यम से भेजे गए OTP के साथ एक लेनदेन की पुष्टि करना। यह मानते हुए कि वे अपने बैंक के साथ बातचीत कर रहे हैं, पीड़ित अनुपालन करता है, अनजाने में अपने क्रेडेंशियल्स हमलावरों को सौंप देता है।
4. शोषण: इन विवरणों से लैस, धोखेबाज फिर पीड़ित के बैंक खाते तक पहुँच सकते हैं, अनधिकृत लेनदेन कर सकते हैं, या पहचान की चोरी कर सकते हैं।

4.2 वास्तविक-विश्व उदाहरण: ड्यूश बैंक फ़िशिंग हमला#

एक ऐसे परिदृश्य पर विचार करें जहाँ ड्यूश बैंक के एक ग्राहक को एक SMS मिलता है जो उन्हें सचेत करता है कि उनका खाता निष्क्रिय कर दिया जाएगा। संदेश में ग्राहक की पहचान सत्यापित करने के लिए एक वेबसाइट का लिंक शामिल है जिसमें URL के हिस्से के रूप में deutschebank और एक मेल खाने वाला SSL प्रमाणपत्र शामिल है। यह साइट, ड्यूश बैंक के लॉगिन पेज की एक सटीक प्रतिकृति (जैसा कि आप नीचे दिए गए स्क्रीनशॉट में देख सकते हैं), ग्राहक से उनके ऑनलाइन बैंकिंग PIN के लिए पूछती है और बाद में वास्तविक समय में एक SMS OTP मांगती है (सुरक्षा कारणों से स्क्रीनशॉट में दिखाई नहीं दे रहा है)। ग्राहक को यह पता नहीं होता है कि फ़िशिंग साइट पर यह जानकारी दर्ज करने से हमलावरों को उनके ड्यूश बैंक खाते तक पूरी पहुँच मिल जाती है और संभावित रूप से बड़ी रकम दूसरे खातों में स्थानांतरित हो सकती है।

यह बैंक खाते तक पहुँच पुनः प्राप्त करने के संकेत के साथ फ़िशिंग SMS है (केवल जर्मन स्क्रीनशॉट उपलब्ध हैं):

यह हमलावरों द्वारा बनाई गई फ़िशिंग वेबसाइट है (https://deutschebank-hilfe.info):

यह संदर्भ के लिए मूल वेबसाइट है (https://meine.deutsche-bank.de) जिसे हमलावरों ने लगभग पूरी तरह से कॉपी किया है (उन्होंने केवल नीचे दी गई फ़िशिंग चेतावनी को छोड़ दिया है):

जो ग्राहक इस समान UI के माध्यम से लॉग इन करने और प्रमाणीकरण कारक के रूप में SMS OTP का उपयोग करने के आदी हैं, वे आसानी से ऐसे हमलों का शिकार हो सकते हैं। OAuth या बैंकिंग सिस्टम को लक्षित करने वाले फ़िशिंग हमलों पर ध्यान केंद्रित करने के लिए डिज़ाइन किए गए ओपन-सोर्स सुइट्स का एक बड़ा पारिस्थितिकी तंत्र मौजूद है (जैसे, https://github.com/gophish/gophish) सुरक्षा अनुसंधान उद्देश्यों के लिए। हालाँकि, इन प्रणालियों को आसानी से दुर्भावनापूर्ण उद्देश्यों के लिए अनुकूलित किया जा सकता है।

डार्क वेब पर हर डेटा लीक के साथ बैंकिंग क्षेत्र में फ़िशिंग और भी सटीक होता जा रहा है। आमतौर पर, IBANs जैसी भुगतान जानकारी भी इन लीक का हिस्सा होती है। हालाँकि इस जानकारी का उपयोग सीधे पैसे चुराने के लिए नहीं किया जा सकता है, लेकिन इसका उपयोग स्पीयर-फ़िशिंग दृष्टिकोणों में किया जा सकता है जहाँ हमलावर जानता है कि लक्ष्य वास्तव में बैंक का ग्राहक है।

4.3 गैर-फ़िशिंग योग्य प्रमाणीकरण कारकों का महत्व#

उपरोक्त परिदृश्य में महत्वपूर्ण दोष प्रमाणीकरण कारकों की फ़िशिंग-योग्यता में निहित है: PIN और SMS OTP दोनों को झूठे बहाने से ग्राहक से आसानी से मांगा जा सकता है। यह कमजोरी उन प्रमाणीकरण विधियों की आवश्यकता को रेखांकित करती है जिन्हें सोशल इंजीनियरिंग या फ़िशिंग हमलों के माध्यम से समझौता नहीं किया जा सकता है।

गैर-फ़िशिंग योग्य प्रमाणीकरण कारक, जैसे कि passkeys द्वारा सक्षम किए गए, ऐसी योजनाओं के खिलाफ एक मजबूत सुरक्षा प्रदान करते हैं। चूँकि passkeys साझा रहस्यों पर निर्भर नहीं करते हैं जिन्हें प्रकट किया जा सकता है, उपयोगकर्ता से धोखा देकर लिया जा सकता है, या इंटरसेप्ट किया जा सकता है, वे मौलिक रूप से सुरक्षा परिदृश्य को बदलते हैं। passkeys के साथ, प्रमाणीकरण प्रक्रिया में पहचान का क्रिप्टोग्राफ़िक प्रमाण शामिल होता है जिसे धोखेबाजों द्वारा दोहराया नहीं जा सकता है, जिससे फ़िशिंग में सबसे आम हमले के वेक्टर को समाप्त कर दिया जाता है।

4.4 फ़िशिंग का मुकाबला कैसे करें?#

फ़िशिंग खतरों का प्रभावी ढंग से मुकाबला करने के लिए, बैंकिंग क्षेत्र को एक बहु-आयामी दृष्टिकोण अपनाना चाहिए जिसमें शामिल हैं:

1. ग्राहकों को शिक्षित करना: बैंकों को अपने ग्राहकों को फ़िशिंग के जोखिमों और धोखाधड़ी वाले संचार को पहचानने के तरीके के बारे में लगातार सूचित करना चाहिए।
2. गैर-फ़िशिंग योग्य प्रमाणीकरण लागू करना: उन प्रमाणीकरण विधियों में संक्रमण करना जो उस जानकारी पर निर्भर नहीं करती हैं जिसे मांगा या इंटरसेप्ट किया जा सकता है, जिससे कई फ़िशिंग प्रयासों का दरवाजा बंद हो जाता है।
3. धोखाधड़ी का पता लगाने वाली प्रणालियों को बढ़ाना: अनधिकृत लेनदेन का पता लगाने और उन्हें रोकने के लिए उन्नत एनालिटिक्स और मशीन लर्निंग का उपयोग करना, भले ही फ़िशर किसी प्रकार का प्रमाणीकरण डेटा प्राप्त कर लें।

जबकि फ़िशिंग बैंकिंग क्षेत्र के लिए एक महत्वपूर्ण खतरा बना हुआ है, passkeys जैसे गैर-फ़िशिंग योग्य प्रमाणीकरण विधियों को अपनाना धोखेबाजों के खिलाफ ऑनलाइन बैंकिंग को सुरक्षित करने में एक महत्वपूर्ण कदम है। सबसे कमजोर कड़ी - प्रमाणीकरण कारकों की फ़िशिंग-योग्यता - को हटाकर, बैंक अपने ग्राहकों की संपत्ति और व्यक्तिगत जानकारी की सुरक्षा को काफी बढ़ा सकते हैं।

आज तक, यूरोपीय सेंट्रल बैंक और स्थानीय बैंकिंग पर्यवेक्षी प्राधिकरणों (जैसे, BaFin) ने इस पर कोई रुख नहीं अपनाया है कि क्या passkeys, समग्र रूप से, 2FA के रूप में वर्गीकृत किए जाएंगे या बैंकों को उनका उपयोग कैसे करना चाहिए।

अगले भाग में, हमारा उद्देश्य यह बताना है कि हम क्यों मानते हैं कि passkeys PSD2 के अनुरूप हैं।

5. क्या Passkeys PSD2 के अनुरूप हैं?#

भुगतान, फिनटेक और बैंकिंग क्षेत्रों के हितधारकों के साथ चर्चा में, एक आवर्ती प्रश्न सामने आता है: क्या passkeys PSD2-अनुपालक हैं, और क्या वे बैंकिंग परिदृश्यों में प्रमाणीकरण के एकमात्र रूप के रूप में काम कर सकते हैं? यूरोपीय संघ में passkeys और संशोधित भुगतान सेवा निर्देश (PSD2) के बीच संबंध सूक्ष्म है और एक विस्तृत अन्वेषण की मांग करता है। स्पष्ट करने के लिए, passkeys को आमतौर पर दो प्रकारों में वर्गीकृत किया जाता है: सिंक्ड Passkeys (मल्टी-डिवाइस) और नॉन-सिंक्ड Passkeys (सिंगल-डिवाइस), प्रत्येक में PSD2 अनुपालन के संबंध में विशिष्ट विशेषताएं हैं:

अनुपालन का पालन करना बैंकों और बीमा कंपनियों जैसी विनियमित संस्थाओं के लिए बहुत महत्वपूर्ण है। हालाँकि, अनुपालन पर नीतियों को बदलने में लंबा समय लग सकता है। passkeys के मामले में, प्रमुख सुरक्षा लाभ उनकी गैर-फ़िशिंग-योग्यता है, क्योंकि ग्राहक अनजाने में यह जानकारी हमलावरों को नहीं दे सकते हैं।

6. सिंक्ड Passkeys जोखिम क्यों नहीं हैं#

जबकि passkeys गैर-फ़िशिंग योग्य होकर सुरक्षा को काफी बढ़ाते हैं, वे कुछ जोखिम को ग्राहक के क्लाउड खाते, जैसे Apple iCloud Keychain, पर स्थानांतरित कर देते हैं। यह क्लाउड खाते को हमलावरों के लिए एक अधिक आकर्षक लक्ष्य बनाता है। हालाँकि, Apple iCloud जैसी सेवाओं में मजबूत सुरक्षा उपाय मौजूद हैं, विशेष रूप से उन सुविधाओं के लिए जो passkeys का समर्थन करती हैं।

सबसे पहले, iCloud passkeys इस बात पर निर्भर करते हैं कि खाते पर टू-फैक्टर ऑथेंटिकेशन (2FA) सक्षम है, जो सुरक्षा की एक अतिरिक्त परत जोड़ता है। इसका मतलब है कि भले ही एक हमलावर ग्राहक का iCloud पासवर्ड जानता हो, फिर भी उन्हें 2FA कोड प्राप्त करने के लिए एक विश्वसनीय डिवाइस या फोन नंबर तक पहुँच की आवश्यकता होगी।

Apple, और इसी तरह Google अपने खातों के लिए, इन क्लाउड सेवाओं को सुरक्षित करने में पर्याप्त संसाधन निवेश करते हैं। क्लाउड में passkeys का समर्थन करने वाले खातों के लिए सुरक्षा प्रोटोकॉल कठोर हैं, जिससे अनधिकृत उपयोगकर्ताओं के लिए सेंध लगाना लगभग असंभव हो जाता है। यह उच्च सुरक्षा मानक निरंतर अपडेट और सुरक्षा पैच के माध्यम से बनाए रखा जाता है (और उन्होंने अपने खातों के लिए भी passkeys पेश किए हैं, यह ब्लॉग पोस्ट देखें)।

इसके अलावा, उपकरणों या क्लाउड खातों की चोरी, जबकि एक संभावित जोखिम है, बैंकिंग अनुप्रयोगों के लिए हमले का सबसे आम वेक्टर नहीं है। बढ़ी हुई सुरक्षा जरूरतों की स्थिति में, जैसे कि संदिग्ध लेनदेन के लिए, बैंक एक अतिरिक्त कारक के रूप में SMS OTPs का उपयोग करना जारी रख सकते हैं। PIN / पासवर्ड को passkeys से बदलकर, पहला प्रमाणीकरण कारक गैर-फ़िशिंग योग्य हो जाता है, जिससे सफल फ़िशिंग हमलों का जोखिम काफी कम हो जाता है। संदिग्ध के रूप में चिह्नित लेनदेन के लिए एक तीसरा कारक पेश किया जा सकता है, जो एक मजबूत सुरक्षा रुख सुनिश्चित करता है।

7. नियो-बैंक नियामकों का हाथ कैसे मजबूर कर रहे हैं#

PSD2 अनुपालन पर पारंपरिक (जोखिम-से-बचने वाले) विचारों के विपरीत, Finom और Revolut ने फैसला किया है कि ग्राहक डेटा की सुरक्षा अधिक महत्वपूर्ण है और इसलिए वे passkeys का उपयोग कर रहे हैं, इस पर एक सार्वजनिक यूरोपीय निर्णय की कमी के बावजूद कि बैंकिंग पर्यवेक्षण को PSD2 अनुपालन के संबंध में passkeys के साथ कैसा व्यवहार करना चाहिए। Finom और Revolut जैसे नियो-बैंक और फिनटेक यथास्थिति को चुनौती दे रहे हैं और, ऐसा करने में, वे PSD2 द्वारा निर्धारित प्रमाणीकरण उपायों के संबंध में नियामक परिदृश्य को प्रभावित कर रहे हैं।

ग्राहक डेटा की सुरक्षा और अखंडता को प्राथमिकता देकर, ये फिनटेक अग्रणी यूरोपीय अधिकारियों से स्पष्ट नियामक मार्गदर्शन के अभाव में भी passkeys अपना रहे हैं। यह सक्रिय रुख नियामकों पर अपने अनुपालन ढांचे का पुनर्मूल्यांकन करने का दायित्व डालता है, उन तकनीकी प्रगतियों के प्रकाश में जो बेहतर सुरक्षा समाधान प्रदान करते हैं।

Finom और Revolut का passkeys को लागू करने का साहसिक कदम नियामक अनुपालन के एक महत्वपूर्ण पहलू पर प्रकाश डालता है - यह मानकों का सख्ती से पालन करने के बारे में नहीं होना चाहिए, बल्कि उन मानकों के अंतर्निहित लक्ष्यों को प्राप्त करने के बारे में होना चाहिए, जो इस मामले में, ग्राहक डेटा और लेनदेन की अत्यंत सुरक्षा है। पारंपरिक अनुपालन मॉडल के सख्त पालन पर डेटा सुरक्षा को प्राथमिकता देकर, ये नियो-बैंक उद्योग के लिए नए मानक स्थापित कर रहे हैं।

8. किन नियामक परिवर्तनों की आवश्यकता है?#

नियामक दृष्टिकोण से, PSD2 अनुपालन के ढांचे के भीतर passkeys जैसी प्रगति को समायोजित करने के लिए स्पष्टता और अनुकूलन की तत्काल आवश्यकता है। हम यूरोपीय संघ से passkeys पर एक निश्चित रुख अपनाने का आग्रह करते हैं, उन्हें मल्टी-फैक्टर ऑथेंटिकेशन (MFA) के एक बेहतर रूप के रूप में मान्यता देते हुए जो डिजिटल भुगतान पारिस्थितिकी तंत्र में सुरक्षा को मजबूत करने और धोखाधड़ी को कम करने के PSD2 के मुख्य उद्देश्यों के साथ संरेखित होता है।

Passkeys, अपने डिज़ाइन के अनुसार, एक मजबूत, फ़िशिंग-प्रतिरोधी प्रमाणीकरण कारक प्रदान करते हैं जो अधिकांश पारंपरिक MFA विधियों की सुरक्षा क्षमताओं से बेहतर है। यह न केवल सुरक्षा को बढ़ाता है बल्कि उपयोगकर्ता अनुभव को भी सरल बनाता है, जो PSD2 अनुपालन के दो महत्वपूर्ण पहलुओं को संबोधित करता है।

यूरोपीय संघ का रुख उन तकनीकी प्रगतियों को प्रतिबिंबित करने के लिए विकसित होना चाहिए जो प्रभावी और सुरक्षित प्रमाणीकरण का गठन करने वाली चीज़ों को फिर से परिभाषित करती हैं। passkeys जैसे नवाचारों को अपनाकर और उन्हें नियामक ताने-बाने में शामिल करके, यूरोपीय संघ उपभोक्ताओं की सुरक्षा और एक दूरंदेशी डिजिटल वित्त वातावरण को बढ़ावा देने दोनों के लिए अपनी प्रतिबद्धता प्रदर्शित कर सकता है।

जैसे-जैसे वित्तीय उद्योग नवाचार करना जारी रखता है, यह नियामकों पर निर्भर है कि वे स्पष्ट, प्रगतिशील मार्गदर्शन प्रदान करें जो न केवल तकनीकी परिवर्तन के साथ तालमेल रखता है बल्कि भविष्य के विकास का भी अनुमान लगाता है। नियो-बैंक वर्तमान में इस बदलाव का नेतृत्व कर रहे हैं, लेकिन यह अंततः नियामक निकायों की ज़िम्मेदारी है कि वे यह सुनिश्चित करें कि वित्तीय क्षेत्र समग्र रूप से डिजिटल बैंकिंग के भविष्य में सुरक्षित और आत्मविश्वास से आगे बढ़ सके।

9. बैंकों और फिनटेक के लिए सिफारिश#

बैंकिंग और फिनटेक क्षेत्र में passkeys को अपनाना नवाचार का एक प्रमुख उदाहरण है जो सुरक्षा और उपयोगकर्ता अनुभव दोनों को महत्वपूर्ण रूप से बढ़ाता है। अपने पूरे लेख में, हमने passkeys की क्षमता को एक दूरंदेशी प्रमाणीकरण समाधान के रूप में स्थापित किया है जो PSD2 की कड़ी सुरक्षा मांगों के साथ संरेखित होता है जबकि फ़िशिंग जैसे प्रचलित खतरों को कम करता है। Finom और Revolut जैसे नियो-बैंक / फिनटेक ने अपने सुरक्षा ढांचे में passkeys को एकीकृत करके एक मिसाल कायम की है, जो उनकी प्रभावकारिता और ग्राहक-केंद्रित दृष्टिकोण को प्रदर्शित करता है।

पारंपरिक बैंकों के लिए तीन-चरणीय कार्य योजना इस प्रकार दिख सकती है:

1. स्थानीय नियामकों के साथ जुड़ाव: पारंपरिक बैंकों को passkeys के कार्यान्वयन पर चर्चा करने के लिए अपने स्थानीय नियामक निकायों और बैंकिंग पर्यवेक्षण अधिकारियों के साथ सक्रिय रूप से जुड़ना चाहिए। इस संवाद का उद्देश्य नियामक स्थितियों को स्पष्ट करना और मौजूदा अनुपालन संरचना के भीतर passkeys को एकीकृत करने का मार्ग प्रशस्त करना होना चाहिए। पहल करके, बैंक एक ऐसे नियामक वातावरण को आकार देने में योगदान दे सकते हैं जो नवीन प्रमाणीकरण विधियों का समर्थन करता है।
2. नियो-बैंक की सर्वोत्तम प्रथाओं से सीखना: पारंपरिक बैंकों के लिए उन नियो-बैंकों से निरीक्षण करना और सीखना अनिवार्य है जिन्होंने सफलतापूर्वक passkeys लागू किए हैं। इन सर्वोत्तम प्रथाओं का अध्ययन करने से passkey परिनियोजन के परिचालन, तकनीकी और ग्राहक सेवा पहलुओं में बहुमूल्य अंतर्दृष्टि मिलेगी। यह ज्ञान हस्तांतरण पारंपरिक बैंकों को passkeys अपनाने के लिए अपनी रणनीतियों को तैयार करने में सहायता कर सकता है।
3. Passkeys में रणनीतिक संक्रमण: नियामक स्पष्टता और सर्वोत्तम प्रथाओं की समझ के साथ, पारंपरिक बैंक ग्राहकों को passkey-आधारित प्रमाणीकरण में स्थानांतरित करने के लिए एक व्यापक योजना विकसित कर सकते हैं। इस योजना में passkeys के लाभों और उपयोग को समझाने के लिए ग्राहक शिक्षा अभियान, एक सहज संक्रमण सुनिश्चित करने के लिए चरणबद्ध रोलआउट, और किसी भी चुनौती का तुरंत समाधान करने के लिए निरंतर मूल्यांकन शामिल होना चाहिए। पोस्ट-साइन-इन नजेज़ और बुद्धिमान passkey लॉगिन प्रवाहों के साथ अनुकूलित passkey निर्माण प्रवाह उस 50%+ अपनाने की सीमा को प्राप्त करने के लिए महत्वपूर्ण हैं जहाँ पासवर्ड को चरणबद्ध तरीके से समाप्त किया जा सकता है।

10. Corbado बैंकों को PSD2-अनुपालक Passkeys लागू करने में कैसे मदद करता है#

सिद्धांत से व्यवहार में आते हुए, बैंकों को ऐसे टूलिंग की आवश्यकता होती है जो PSD2/SCA नियामक आवश्यकताओं और वास्तविक दुनिया के passkey परिनियोजन के बीच की खाई को पाटे। Corbado एक passkey इंटेलिजेंस लेयर प्रदान करता है जो आपके मौजूदा आइडेंटिटी स्टैक के शीर्ष पर बैठती है — किसी उपयोगकर्ता माइग्रेशन की आवश्यकता नहीं है।

डिवाइस ट्रस्ट और SCA फैक्टर कवरेज#

बैंकों के लिए एक प्रमुख चुनौती यह साबित करना है कि उनका passkey कार्यान्वयन वास्तव में उनके पूरे उपयोगकर्ता आधार में SCA की टू-फैक्टर आवश्यकता को पूरा करता है। Corbado का डिवाइस ट्रस्ट डैशबोर्ड इस बात की वास्तविक समय दृश्यता प्रदान करता है कि प्रत्येक प्रमाणीकरण विधि SCA कारकों, सफलता दर, और स्टेप-अप परिहार दरों को कैसे मैप करती है।

उदाहरण के लिए, डिवाइस-बाउंड passkeys 0% स्टेप-अप आवश्यकताओं ( "passkeys as-is" दृष्टिकोण) के साथ 99.1% सफलता दर प्राप्त करते हैं, जबकि कुकी/सेशन बाइंडिंग के साथ संयुक्त सिंक्ड passkeys केवल 3.2% स्टेप-अप दरों के साथ 98.4% तक पहुँचते हैं। यह डेटा-संचालित दृष्टिकोण बैंकों को सैद्धांतिक तर्कों के बजाय ठोस मेट्रिक्स के साथ नियामकों को SCA अनुपालन प्रदर्शित करने देता है।

PSD2 अनुपालन के लिए ट्रस्ट नीतियां#

बैंक ग्रैनुलर ट्रस्ट नीतियां कॉन्फ़िगर कर सकते हैं जो नियंत्रित करती हैं कि passkeys कब बनाए जा सकते हैं और कब स्टेप-अप प्रमाणीकरण की आवश्यकता होती है — सीधे PSD2 पज़ेशन फैक्टर बहस को संबोधित करते हुए। उदाहरण के लिए, नए या अनरेटेड डिवाइस पर सिंक्ड passkeys स्वचालित रूप से स्टेप-अप प्रमाणीकरण ट्रिगर करते हैं, जबकि ज्ञात उपकरणों पर डिवाइस-बाउंड passkeys बिना अतिरिक्त घर्षण के विश्वसनीय हैं।

इस नीति-आधारित दृष्टिकोण का मतलब है कि बैंकों को एक एकल SCA व्याख्या चुनने की आवश्यकता नहीं है। वे सख्त नियंत्रण (कुकी/सेशन बाइंडिंग या स्टेप-अप) लागू कर सकते हैं जहाँ जोखिम प्रोफ़ाइल इसकी मांग करता है, जबकि विश्वसनीय डिवाइस-बाउंड परिदृश्यों के लिए अनुभव को घर्षण रहित रखता है। परिणाम: PSD2 अनुपालन जो एक-आकार-सभी-के-लिए-फिट दृष्टिकोण के बजाय आपकी संस्था की जोखिम लेने की क्षमता के अनुकूल होता है।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →