PSD2 Passkeys: फ़िशिंग-प्रतिरोधी PSD2-अनुपालक MFA
क्या Passkeys फ़िशिंग-प्रतिरोधी MFA का सबसे अच्छा रूप है जो PSD2 और SCA आवश्यकताओं के अनुरूप है? यह ब्लॉग पोस्ट सभी सवालों के जवाब देता है।
Vincent
Created: July 15, 2025
Updated: July 16, 2025
See the original blog version in English here.
Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.
Get Report1. परिचय#
डिजिटल बैंकिंग में, सुरक्षा और उपयोगकर्ता अनुभव को अब एक-दूसरे के विपरीत होने की ज़रूरत नहीं है। Passkeys इन दोनों कारकों को मिलाकर एक फ़िशिंग-प्रतिरोधी MFA पेश करते हैं जो PSD2 और SCA आवश्यकताओं के अनुरूप है। Passkeys प्रमाणीकरण का सबसे सुरक्षित और सबसे उपयोगकर्ता-अनुकूल रूप हैं जिसे वित्तीय सेवाओं में लागू किया जा सकता है। यह बड़ी छलांग एक महत्वपूर्ण समय पर आई है, क्योंकि बैंकिंग उद्योग संशोधित भुगतान सेवा निर्देश (PSD2) को लागू करने से जूझ रहा है - यह एक नियामक ढाँचा है जिसे यूरोपीय बैंकिंग क्षेत्र की सुरक्षा और प्रतिस्पर्धात्मकता को बढ़ाने के लिए डिज़ाइन किया गया है।
Passkeys इस संदर्भ में सिर्फ एक अनुपालन समाधान के रूप में ही नहीं, बल्कि नवाचार के एक महान रूप के रूप में भी उभरते हैं, जो UX से समझौता किए बिना PSD2 की कड़ी आवश्यकताओं को पूरा करने का वादा करते हैं। इस ब्लॉग पोस्ट में, हम PSD2 और इसके मजबूत ग्राहक प्रमाणीकरण (Strong Customer Authentication - SCA) के आदेश की बारीकियों का विश्लेषण करते हैं: यह स्पष्ट हो जाता है कि passkeys बैंकिंग में फ़िशिंग-प्रतिरोधी MFA के भविष्य का प्रतिनिधित्व करते हैं।
2. PSD2 क्या है?#
PSD2 यूरोपीय संघ द्वारा यूरोप में भुगतान सेवाओं और बैंकिंग परिदृश्य में क्रांति लाने के लिए पेश किया गया एक कानून है। इसके प्राथमिक लक्ष्य प्रतिस्पर्धा बढ़ाना, उपभोक्ता संरक्षण को बढ़ाना और डिजिटल भुगतान क्षेत्र में नवाचार को बढ़ावा देना हैं। अनुमोदित तीसरे पक्षों को ग्राहक की वित्तीय जानकारी तक खुली पहुँच (ग्राहक की सहमति से) अनिवार्य करके, PSD2 एक अधिक एकीकृत, कुशल और उपयोगकर्ता-अनुकूल वित्तीय पारिस्थितिकी तंत्र का मार्ग प्रशस्त करता है। हालाँकि, बड़ी शक्ति के साथ बड़ी ज़िम्मेदारी भी आती है, और PSD2 इसे सुरक्षा पर अपने ध्यान के माध्यम से संबोधित करता है, विशेष रूप से प्रमाणीकरण प्रोटोकॉल के माध्यम से।
PSD2 एक विनियमन है जिसका उद्देश्य प्रतिस्पर्धा, सुरक्षा और नवाचार को बढ़ावा देकर यूरोपीय संघ के भुगतानों को बदलना है।
3. SCA क्या है?#
PSD2 के सुरक्षा उपायों के केंद्र में मजबूत ग्राहक प्रमाणीकरण (SCA) की आवश्यकता है, यह एक प्रोटोकॉल है जिसे धोखाधड़ी को काफी कम करने और इलेक्ट्रॉनिक भुगतानों की सुरक्षा बढ़ाने के लिए डिज़ाइन किया गया है। SCA इस सिद्धांत पर बनाया गया है कि इलेक्ट्रॉनिक भुगतान न केवल निर्बाध बल्कि विभिन्न खतरों का सामना करने के लिए पर्याप्त सुरक्षित भी होने चाहिए। यह प्रमाणीकरण ढाँचा भुगतान सेवा प्रदाताओं, बैंकों और इलेक्ट्रॉनिक भुगतान गेटवे के लिए अनिवार्य है जो PSD2 के दायरे में काम करते हैं।
SCA यूरोपीय बैंकिंग क्षेत्र में प्रमाणीकरण मानक है।
3.1 SCA की आवश्यकताएँ#
PSD2 के तहत SCA का कार्यान्वयन कई महत्वपूर्ण आवश्यकताओं द्वारा परिभाषित किया गया है:
मल्टी-फैक्टर ऑथेंटिकेशन (MFA)#
प्रमाणीकरण में निम्नलिखित श्रेणियों में से कम से कम दो तत्व शामिल होने चाहिए:
- ज्ञान (Knowledge): कुछ ऐसा जो केवल उपयोगकर्ता जानता है, जैसे कि पासवर्ड या PIN।
- कब्ज़ा (Possession): कुछ ऐसा जो केवल उपयोगकर्ता के पास है, जैसे मोबाइल डिवाइस, स्मार्ट कार्ड, या हार्डवेयर टोकन।
- नैसर्गिकता (Inherence): कुछ ऐसा जो उपयोगकर्ता में निहित है, जिसमें फिंगरप्रिंट, चेहरे की पहचान, या आवाज़ के पैटर्न जैसे बायोमेट्रिक पहचानकर्ता शामिल हैं।
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
Corbado proved to be a trusted partner. Their hands-on, 24/7 support and on-site assistance enabled a seamless integration into VicRoads' complex systems, offering passkeys to 5 million users.
Enterprises trust Corbado to protect their users and make logins more seamless with passkeys. Get your free passkey consultation now.
Get free consultationडायनामिक लिंकिंग (Dynamic Linking)#
प्रत्येक लेनदेन के लिए, एक अद्वितीय प्रमाणीकरण कोड उत्पन्न होना चाहिए जो लेनदेन के विशिष्ट विवरण, जैसे राशि और प्राप्तकर्ता के खाता संख्या को गतिशील रूप से लिंक करता है।
आवधिक पुन: प्रमाणीकरण (Periodic Reauthentication)#
उपयोगकर्ताओं को ऑनलाइन बैंकिंग सेवाओं तक पहुँच बनाए रखने के लिए अंतराल पर, आमतौर पर हर 90 दिनों में, फिर से प्रमाणित करना आवश्यक है। हालाँकि, सुरक्षा और सुविधा के बीच संतुलन को अनुकूलित करने के लिए इस आवश्यकता को संशोधित किया गया है।
लेनदेन-विशिष्ट प्रमाणीकरण (Transaction-Specific Authentication)#
SCA को सभी इलेक्ट्रॉनिक लेनदेन पर लागू किया जाना चाहिए, यह सुनिश्चित करते हुए कि प्रमाणीकरण राशि और भुगतानकर्ता के लिए विशिष्ट है, हर लेनदेन के लिए एक अद्वितीय हस्ताक्षर बनाता है।
जोखिम-आधारित विश्लेषण (Risk-Based Analysis)#
भुगतान सेवा प्रदाताओं को SCA लागू करने के लिए जोखिम-आधारित दृष्टिकोण का उपयोग करना चाहिए, जहाँ कम जोखिम वाले लेनदेन को सुरक्षा से समझौता किए बिना भुगतान प्रक्रिया को सुव्यवस्थित करने के लिए SCA से छूट दी जा सकती है (यहाँ passkeys से लिंक पर ध्यान दें?)।
ऑडिटेबिलिटी (Auditability)#
पूरी प्रमाणीकरण प्रक्रिया ट्रेस करने योग्य और ऑडिट करने योग्य होनी चाहिए, जिसमें SCA आवश्यकताओं के पालन को साबित करने के लिए रिकॉर्ड बनाए रखा जाए।
SCA की शुरुआत करके, PSD2 ने बैंकिंग क्षेत्र में लेनदेन सुरक्षा के मानक को काफी बढ़ा दिया है। आगे, हम मल्टी-फैक्टर ऑथेंटिकेशन (MFA) में शामिल विभिन्न कारकों पर ध्यान केंद्रित करेंगे। इन कारकों का लेनदेन-विशिष्ट प्रमाणीकरण आवश्यकता पर भी प्रभाव पड़ता है (नीचे और पढ़ें)।
3.2 बैंकिंग प्रमाणीकरण का विकास#
आगे, हम बैंकिंग क्षेत्र में प्रमाणीकरण के विभिन्न विकास चरणों को प्रस्तुत करेंगे।
3.2.1 PINs और TANs (1990 के दशक से)#
बैंक उद्योग में प्रमाणीकरण की यात्रा पर्सनल आइडेंटिफिकेशन नंबर्स (PINs) और ट्रांजैक्शन ऑथेंटिकेशन नंबर्स (TANs) के उपयोग से शुरू हुई। ग्राहकों को TANs की एक सूची मिलती थी, जिनमें से प्रत्येक का उपयोग लेनदेन सत्यापन के लिए एक बार किया जाना था। यह तरीका, उस समय क्रांतिकारी होने के बावजूद, अपनी कमियों के साथ आया, जिसमें TAN सूचियों के चोरी होने या दुरुपयोग का जोखिम भी शामिल था।
3.2.2 इलेक्ट्रॉनिक और मोबाइल TANs (2000 के दशक से)#
जैसे-जैसे तकनीक उन्नत हुई, बैंकों ने इलेक्ट्रॉनिक TANs (eTANs) और मोबाइल TANs (mTANs) पेश किए, जहाँ TANs उत्पन्न किए जाते थे और SMS के माध्यम से ग्राहक के मोबाइल डिवाइस पर भेजे जाते थे। इस पद्धति ने TAN को डिवाइस से जोड़कर सुरक्षा में सुधार किया, लेकिन इसने नई कमजोरियों को भी जन्म दिया, जैसे SMS इंटरसेप्शन का जोखिम और इन संदेशों की प्रतीक्षा करने और उन्हें प्रबंधित करने की असुविधा। passkeys की शुरुआत तक, SMS OTP को अभी भी UX के दृष्टिकोण से बैंकिंग के लिए उपलब्ध सबसे आरामदायक 2FA विकल्प माना जाता है।
3.2.3 स्मार्ट कार्ड और टोकन डिवाइस (2000 के दशक से)#
सुरक्षा को और बढ़ाने के लिए, बैंकों ने स्मार्ट कार्ड और टोकन डिवाइस अपनाए जो प्रमाणीकरण के लिए अद्वितीय कोड उत्पन्न करते थे। इन हार्डवेयर-आधारित समाधानों ने उच्च स्तर की सुरक्षा प्रदान की, लेकिन ग्राहकों के लिए जटिलता और असुविधा भी बढ़ाई, जिन्हें अब एक अतिरिक्त डिवाइस ले जाना पड़ता था।
3.2.4 बायोमेट्रिक्स और मोबाइल बैंकिंग ऐप्स (2010 के दशक से)#
बैंकिंग प्रमाणीकरण में नवीनतम विकास में बायोमेट्रिक्स(फिंगरप्रिंट या चेहरे की पहचान) और अंतर्निहित सुरक्षा सुविधाओं वाले मोबाइल बैंकिंग ऐप्स शामिल हैं। इन तरीकों का उद्देश्य उपयोगकर्ता के अद्वितीय जैविक लक्षणों और स्मार्टफोन की सर्वव्यापकता का लाभ उठाकर सुरक्षा को सुविधा के साथ संतुलित करना था। हालाँकि, इनके लिए भी ग्राहकों को हर उस बैंक के लिए अलग से एक ऐप डाउनलोड करने और सेट अप करने की प्रक्रिया से गुजरना पड़ता है जिसका उपयोगकर्ता उपयोग करता है।
| प्रमाणीकरण विधि | प्रकार | विवरण |
|---|---|---|
| पासवर्ड/PINs | कुछ ऐसा जो उपयोगकर्ता जानता है | पारंपरिक गुप्त ज्ञान जिसे आसानी से लागू किया जा सकता है और व्यापक रूप से समझा जा सकता है। |
| SMS OTP (वन-टाइम पासवर्ड) | कुछ ऐसा जो उपयोगकर्ता के पास है | उपयोगकर्ता के फ़ोन पर भेजा गया एक अस्थायी पासकोड, जो एक कब्ज़ा कारक का प्रतिनिधित्व करता है। |
| हार्डवेयर टोकन | कुछ ऐसा जो उपयोगकर्ता के पास है | भौतिक उपकरण जो उपयोगकर्ता के लिए एक बार का पासकोड उत्पन्न करते हैं। बैंक द्वारा एक नेटिव iOS / Android ऐप की आवश्यकता होती है। |
| मोबाइल ऐप OTP | कुछ ऐसा जो उपयोगकर्ता के पास है | बैंकिंग या प्रमाणीकरण ऐप के भीतर उत्पन्न एक पासकोड, जो अक्सर डिवाइस बाइंडिंग के साथ सुरक्षित होता है। बैंक द्वारा एक नेटिव iOS / Android ऐप की आवश्यकता होती है। |
| बायोमेट्रिक्स | कुछ ऐसा जो उपयोगकर्ता है | फिंगरप्रिंट, चेहरे की पहचान, या आईरिस स्कैनिंग का उपयोग आमतौर पर बैंक के ऐप के भीतर स्थानीय बायोमेट्रिक अनलॉक (जैसे Face ID) के रूप में "शॉर्टकट" के रूप में होता है। बैंक द्वारा एक नेटिव iOS / Android ऐप की आवश्यकता होती है। |
| पुश सूचनाएँ | कुछ ऐसा जो उपयोगकर्ता के पास है | मोबाइल ऐप अधिसूचना के माध्यम से लेनदेन या लॉगिन प्रयासों की स्वीकृति। बैंक द्वारा एक नेटिव iOS / Android ऐप की आवश्यकता होती है। |
3.3 वर्तमान प्रमाणीकरण चुनौतियाँ और ग्राहकों के संघर्ष#
इन प्रगतियों के बावजूद, ग्राहक अभी भी वर्तमान बैंकिंग प्रमाणीकरण विधियों के साथ महत्वपूर्ण असुविधा और निराशा का सामना करते हैं और धोखेबाजों द्वारा लक्षित किए जाने के जोखिम में हैं:
- जटिलता और असुविधा: कई प्रमाणीकरण चरणों की परत, सुरक्षा के लिए एक बढ़ावा होने के बावजूद, अक्सर उपयोगकर्ताओं के लिए एक बोझिल प्रक्रिया में तब्दील हो जाती है। यह जटिलता सिर्फ एक छोटी सी असुविधा नहीं है; यह ग्राहकों को डिजिटल बैंकिंग सेवाओं से जुड़ने से रोक सकती है, जिससे डिजिटल परिवर्तन का उद्देश्य ही कमजोर हो जाता है।
- डिवाइस और प्लेटफ़ॉर्म निर्भरता: मोबाइल और बायोमेट्रिक प्रमाणीकरण की ओर बदलाव उपयोगकर्ताओं को उनके उपकरणों से निकटता से जोड़ता है। यह निर्भरता चोरी के मामले में एक नाजुक कड़ी बनाती है। साथ ही, तकनीकी विफलताएं बैंकिंग सेवाओं को दुर्गम बना सकती हैं, जिससे ग्राहक असहाय हो जाते हैं।
- फ़िशिंग कमजोरियाँ: प्रगति के बावजूद, प्रमाणीकरण कारकों की फ़िशिंग-योग्यता एक कमजोरी बनी हुई है जिसे SCA द्वारा संबोधित नहीं किया गया है। PIN, पासवर्ड, SMS OTPs, ईमेल OTPs जैसे पारंपरिक कारकों को परिष्कृत फ़िशिंग योजनाओं के माध्यम से समझौता किया जा सकता है, जिससे ग्राहक डेटा और वित्त जोखिम में पड़ जाते हैं।
आज तक, बैंक, विशेष रूप से पारंपरिक बैंक, ग्राहकों को फ़िशिंग के महत्वपूर्ण जोखिम के बारे में चेतावनी देना जारी रखते हैं।
सबसे संभावित हमला क्रेडेंशियल्स या उपकरणों की चोरी नहीं है, बल्कि ग्राहकों द्वारा स्वेच्छा से दोनों या पहले प्रमाणीकरण कारक को धोखेबाजों को देना है।
अगले भाग में, हम एक वास्तविक उदाहरण का उपयोग करके समझाएंगे कि यह कैसे काम करता है।
4. फ़िशिंग बैंकिंग की सबसे बड़ी सुरक्षा समस्या है#
फ़िशिंग हमले लंबे समय से बैंकिंग क्षेत्र की सुरक्षा के लिए एक महत्वपूर्ण खतरा रहे हैं, जो संवेदनशील वित्तीय जानकारी तक अनधिकृत पहुँच प्राप्त करने के लिए मानव मनोविज्ञान (सोशल इंजीनियरिंग) और तकनीकी कमजोरियों का फायदा उठाते हैं। जैसे-जैसे बैंकों ने अपने प्रमाणीकरण को विकसित किया है, धोखेबाजों ने सुरक्षा उपायों को दरकिनार करने के लिए परिष्कृत योजनाएं तैयार की हैं। यह समझना कि फ़िशिंग कैसे काम करता है, विशेष रूप से इन आमतौर पर उपयोग की जाने वाली प्रमाणीकरण विधियों के संदर्भ में, passkeys जैसे गैर-फ़िशिंग योग्य प्रमाणीकरण समाधानों की तत्काल आवश्यकता को पहचानने के लिए महत्वपूर्ण है।
4.1 फ़िशिंग हमलों के पीछे का सिद्धांत#
इसके मूल में, फ़िशिंग में व्यक्तियों को उनके बैंक से वैध संचार की आड़ में लॉगिन क्रेडेंशियल्स या वित्तीय जानकारी जैसी संवेदनशील जानकारी का खुलासा करने के लिए धोखा देना शामिल है। यह आमतौर पर निम्नलिखित चरणों के माध्यम से प्राप्त किया जाता है:
- शुरुआत: धोखेबाज संदेश (अक्सर ईमेल या SMS के माध्यम से) भेजते हैं जो आधिकारिक बैंक संचार की नकल करते हैं, जिसमें लोगो और भाषा होती है जो भरोसेमंद लगती है। ये संदेश आमतौर पर तात्कालिकता की भावना पैदा करते हैं, यह दावा करते हुए कि किसी मुद्दे को हल करने या खाता बंद होने से रोकने के लिए तत्काल कार्रवाई की आवश्यकता है।
- धोखा: संदेश में एक धोखाधड़ी वाली वेबसाइट का लिंक होता है जो बैंक के आधिकारिक ऑनलाइन बैंकिंग पोर्टल से काफी मिलती-जुलती है। धोखे से अनजान, पीड़ित को यह विश्वास दिलाया जाता है कि वे अपने बैंक की वैध वेबसाइट तक पहुँच रहे हैं।
- कब्ज़ा: फ़िशिंग साइट पर एक बार, पीड़ित को अपने प्रमाणीकरण विवरण दर्ज करने के लिए कहा जाता है, जैसे कि उनका PIN या SMS के माध्यम से भेजे गए OTP के साथ एक लेनदेन की पुष्टि करना। यह मानते हुए कि वे अपने बैंक के साथ बातचीत कर रहे हैं, पीड़ित अनुपालन करता है, अनजाने में अपने क्रेडेंशियल्स हमलावरों को सौंप देता है।
- शोषण: इन विवरणों से लैस, धोखेबाज फिर पीड़ित के बैंक खाते तक पहुँच सकते हैं, अनधिकृत लेनदेन कर सकते हैं, या पहचान की चोरी कर सकते हैं।
4.2 वास्तविक-विश्व उदाहरण: ड्यूश बैंक फ़िशिंग हमला#
एक ऐसे परिदृश्य पर विचार करें जहाँ ड्यूश बैंक के एक ग्राहक को एक SMS मिलता है जो उन्हें सचेत करता है कि उनका खाता निष्क्रिय कर दिया जाएगा। संदेश में ग्राहक की पहचान सत्यापित करने के लिए एक वेबसाइट का लिंक शामिल है जिसमें URL के हिस्से के रूप में deutschebank और एक मेल खाने वाला SSL प्रमाणपत्र शामिल है। यह साइट, ड्यूश बैंक के लॉगिन पेज की एक सटीक प्रतिकृति (जैसा कि आप नीचे दिए गए स्क्रीनशॉट में देख सकते हैं), ग्राहक से उनके ऑनलाइन बैंकिंग PIN के लिए पूछती है और बाद में वास्तविक समय में एक SMS OTP मांगती है (सुरक्षा कारणों से स्क्रीनशॉट में दिखाई नहीं दे रहा है)। ग्राहक को यह पता नहीं होता है कि फ़िशिंग साइट पर यह जानकारी दर्ज करने से हमलावरों को उनके ड्यूश बैंक खाते तक पूरी पहुँच मिल जाती है और संभावित रूप से बड़ी रकम दूसरे खातों में स्थानांतरित हो सकती है।
यह बैंक खाते तक पहुँच पुनः प्राप्त करने के संकेत के साथ फ़िशिंग SMS है (केवल जर्मन स्क्रीनशॉट उपलब्ध हैं):
यह हमलावरों द्वारा बनाई गई फ़िशिंग वेबसाइट है (https://deutschebank-hilfe.info):
यह संदर्भ के लिए मूल वेबसाइट है (https://meine.deutsche-bank.de) जिसे हमलावरों ने लगभग पूरी तरह से कॉपी किया है (उन्होंने केवल नीचे दी गई फ़िशिंग चेतावनी को छोड़ दिया है):
जो ग्राहक इस समान UI के माध्यम से लॉग इन करने और प्रमाणीकरण कारक के रूप में SMS OTP का उपयोग करने के आदी हैं, वे आसानी से ऐसे हमलों का शिकार हो सकते हैं। OAuth या बैंकिंग सिस्टम को लक्षित करने वाले फ़िशिंग हमलों पर ध्यान केंद्रित करने के लिए डिज़ाइन किए गए ओपन-सोर्स सुइट्स का एक बड़ा पारिस्थितिकी तंत्र मौजूद है (जैसे, https://github.com/gophish/gophish) सुरक्षा अनुसंधान उद्देश्यों के लिए। हालाँकि, इन प्रणालियों को आसानी से दुर्भावनापूर्ण उद्देश्यों के लिए अनुकूलित किया जा सकता है।
डार्क वेब पर हर डेटा लीक के साथ बैंकिंग क्षेत्र में फ़िशिंग और भी सटीक होता जा रहा है। आमतौर पर, IBANs जैसी भुगतान जानकारी भी इन लीक का हिस्सा होती है। हालाँकि इस जानकारी का उपयोग सीधे पैसे चुराने के लिए नहीं किया जा सकता है, लेकिन इसका उपयोग स्पीयर-फ़िशिंग दृष्टिकोणों में किया जा सकता है जहाँ हमलावर जानता है कि लक्ष्य वास्तव में बैंक का ग्राहक है।
4.3 गैर-फ़िशिंग योग्य प्रमाणीकरण कारकों का महत्व#
उपरोक्त परिदृश्य में महत्वपूर्ण दोष प्रमाणीकरण कारकों की फ़िशिंग-योग्यता में निहित है: PIN और SMS OTP दोनों को झूठे बहाने से ग्राहक से आसानी से मांगा जा सकता है। यह कमजोरी उन प्रमाणीकरण विधियों की आवश्यकता को रेखांकित करती है जिन्हें सोशल इंजीनियरिंग या फ़िशिंग हमलों के माध्यम से समझौता नहीं किया जा सकता है।
गैर-फ़िशिंग योग्य प्रमाणीकरण कारक, जैसे कि passkeys द्वारा सक्षम किए गए, ऐसी योजनाओं के खिलाफ एक मजबूत सुरक्षा प्रदान करते हैं। चूँकि passkeys साझा रहस्यों पर निर्भर नहीं करते हैं जिन्हें प्रकट किया जा सकता है, उपयोगकर्ता से धोखा देकर लिया जा सकता है, या इंटरसेप्ट किया जा सकता है, वे मौलिक रूप से सुरक्षा परिदृश्य को बदलते हैं। passkeys के साथ, प्रमाणीकरण प्रक्रिया में पहचान का क्रिप्टोग्राफ़िक प्रमाण शामिल होता है जिसे धोखेबाजों द्वारा दोहराया नहीं जा सकता है, जिससे फ़िशिंग में सबसे आम हमले के वेक्टर को समाप्त कर दिया जाता है।
Passkeys केवल उसी सटीक डोमेन पर उपयोग करने के लिए सीमित हैं जिस पर उन्हें पंजीकृत किया गया है (relying party ID)। उन्हें फ़िशिंग डोमेन पर उपयोग करना या हमलावर को passkeys भेजना तकनीकी रूप से असंभव है।
4.4 फ़िशिंग का मुकाबला कैसे करें?#
फ़िशिंग खतरों का प्रभावी ढंग से मुकाबला करने के लिए, बैंकिंग क्षेत्र को एक बहु-आयामी दृष्टिकोण अपनाना चाहिए जिसमें शामिल हैं:
- ग्राहकों को शिक्षित करना: बैंकों को अपने ग्राहकों को फ़िशिंग के जोखिमों और धोखाधड़ी वाले संचार को पहचानने के तरीके के बारे में लगातार सूचित करना चाहिए।
- गैर-फ़िशिंग योग्य प्रमाणीकरण लागू करना: उन प्रमाणीकरण विधियों में संक्रमण करना जो उस जानकारी पर निर्भर नहीं करती हैं जिसे मांगा या इंटरसेप्ट किया जा सकता है, जिससे कई फ़िशिंग प्रयासों का दरवाजा बंद हो जाता है।
- धोखाधड़ी का पता लगाने वाली प्रणालियों को बढ़ाना: अनधिकृत लेनदेन का पता लगाने और उन्हें रोकने के लिए उन्नत एनालिटिक्स और मशीन लर्निंग का उपयोग करना, भले ही फ़िशर किसी प्रकार का प्रमाणीकरण डेटा प्राप्त कर लें।
जबकि फ़िशिंग बैंकिंग क्षेत्र के लिए एक महत्वपूर्ण खतरा बना हुआ है, passkeys जैसे गैर-फ़िशिंग योग्य प्रमाणीकरण विधियों को अपनाना धोखेबाजों के खिलाफ ऑनलाइन बैंकिंग को सुरक्षित करने में एक महत्वपूर्ण कदम है। सबसे कमजोर कड़ी - प्रमाणीकरण कारकों की फ़िशिंग-योग्यता - को हटाकर, बैंक अपने ग्राहकों की संपत्ति और व्यक्तिगत जानकारी की सुरक्षा को काफी बढ़ा सकते हैं।
आज तक, यूरोपीय सेंट्रल बैंक और स्थानीय बैंकिंग पर्यवेक्षी प्राधिकरणों (जैसे, BaFin) ने इस पर कोई रुख नहीं अपनाया है कि क्या passkeys, समग्र रूप से, 2FA के रूप में वर्गीकृत किए जाएंगे या बैंकों को उनका उपयोग कैसे करना चाहिए।
अगले भाग में, हमारा उद्देश्य यह बताना है कि हम क्यों मानते हैं कि passkeys PSD2 के अनुरूप हैं।
5. क्या Passkeys PSD2 के अनुरूप हैं?#
भुगतान, फिनटेक और बैंकिंग क्षेत्रों के हितधारकों के साथ चर्चा में, एक आवर्ती प्रश्न सामने आता है: क्या passkeys PSD2-अनुपालक हैं, और क्या वे बैंकिंग परिदृश्यों में प्रमाणीकरण के एकमात्र रूप के रूप में काम कर सकते हैं? यूरोपीय संघ में passkeys और संशोधित भुगतान सेवा निर्देश (PSD2) के बीच संबंध सूक्ष्म है और एक विस्तृत अन्वेषण की मांग करता है। स्पष्ट करने के लिए, passkeys को आमतौर पर दो प्रकारों में वर्गीकृत किया जाता है: सिंक्ड Passkeys (मल्टी-डिवाइस) और नॉन-सिंक्ड Passkeys (सिंगल-डिवाइस), प्रत्येक में PSD2 अनुपालन के संबंध में विशिष्ट विशेषताएं हैं:
| सिंक्ड Passkeys | नॉन-सिंक्ड Passkeys | |
|---|---|---|
| डिवाइस उपलब्धता | मल्टी-डिवाइस | सिंगल-डिवाइस |
| द्वारा प्रबंधित | ऑपरेटिंग सिस्टम | अतिरिक्त सॉफ्टवेयर आवश्यक |
| प्राइवेट की (Private Key) | ऑपरेटिंग सिस्टम क्लाउड खाते में अपलोड किया गया (जैसे iCloud Keychain, Google Password Manager) या तीसरा पक्ष पासवर्ड मैनेजर (जैसे 1Password, Dashlane) | उपयोगकर्ता के डिवाइस पर रहता है |
| डिवाइस बाइंडिंग | नहीं | हाँ |
| बैकअप लिया गया | हाँ | नहीं |
| PSD2 अनुपालन पर पारंपरिक राय | नहीं (?) | हाँ |
अनुपालन का पालन करना बैंकों और बीमा कंपनियों जैसी विनियमित संस्थाओं के लिए बहुत महत्वपूर्ण है। हालाँकि, अनुपालन पर नीतियों को बदलने में लंबा समय लग सकता है। passkeys के मामले में, प्रमुख सुरक्षा लाभ उनकी गैर-फ़िशिंग-योग्यता है, क्योंकि ग्राहक अनजाने में यह जानकारी हमलावरों को नहीं दे सकते हैं।
6. सिंक्ड Passkeys जोखिम क्यों नहीं हैं#
जबकि passkeys गैर-फ़िशिंग योग्य होकर सुरक्षा को काफी बढ़ाते हैं, वे कुछ जोखिम को ग्राहक के क्लाउड खाते, जैसे Apple iCloud Keychain, पर स्थानांतरित कर देते हैं। यह क्लाउड खाते को हमलावरों के लिए एक अधिक आकर्षक लक्ष्य बनाता है। हालाँकि, Apple iCloud जैसी सेवाओं में मजबूत सुरक्षा उपाय मौजूद हैं, विशेष रूप से उन सुविधाओं के लिए जो passkeys का समर्थन करती हैं।
सबसे पहले, iCloud passkeys इस बात पर निर्भर करते हैं कि खाते पर टू-फैक्टर ऑथेंटिकेशन (2FA) सक्षम है, जो सुरक्षा की एक अतिरिक्त परत जोड़ता है। इसका मतलब है कि भले ही एक हमलावर ग्राहक का iCloud पासवर्ड जानता हो, फिर भी उन्हें 2FA कोड प्राप्त करने के लिए एक विश्वसनीय डिवाइस या फोन नंबर तक पहुँच की आवश्यकता होगी।
Apple, और इसी तरह Google अपने खातों के लिए, इन क्लाउड सेवाओं को सुरक्षित करने में पर्याप्त संसाधन निवेश करते हैं। क्लाउड में passkeys का समर्थन करने वाले खातों के लिए सुरक्षा प्रोटोकॉल कठोर हैं, जिससे अनधिकृत उपयोगकर्ताओं के लिए सेंध लगाना लगभग असंभव हो जाता है। यह उच्च सुरक्षा मानक निरंतर अपडेट और सुरक्षा पैच के माध्यम से बनाए रखा जाता है (और उन्होंने अपने खातों के लिए भी passkeys पेश किए हैं, यह ब्लॉग पोस्ट देखें)।
इसके अलावा, उपकरणों या क्लाउड खातों की चोरी, जबकि एक संभावित जोखिम है, बैंकिंग अनुप्रयोगों के लिए हमले का सबसे आम वेक्टर नहीं है। बढ़ी हुई सुरक्षा जरूरतों की स्थिति में, जैसे कि संदिग्ध लेनदेन के लिए, बैंक एक अतिरिक्त कारक के रूप में SMS OTPs का उपयोग करना जारी रख सकते हैं। PIN / पासवर्ड को passkeys से बदलकर, पहला प्रमाणीकरण कारक गैर-फ़िशिंग योग्य हो जाता है, जिससे सफल फ़िशिंग हमलों का जोखिम काफी कम हो जाता है। संदिग्ध के रूप में चिह्नित लेनदेन के लिए एक तीसरा कारक पेश किया जा सकता है, जो एक मजबूत सुरक्षा रुख सुनिश्चित करता है।
जबकि हमले की सतह बदल सकती है, समग्र सुरक्षा मुद्रा मजबूत होती है, जिससे passkeys बैंकों और बीमा कंपनियों जैसी विनियमित संस्थाओं के लिए एक आकर्षक विकल्प बन जाते हैं जो उपयोगिता का त्याग किए बिना ग्राहक सुरक्षा को बढ़ाना चाहते हैं।
7. नियो-बैंक नियामकों का हाथ कैसे मजबूर कर रहे हैं#
PSD2 अनुपालन पर पारंपरिक (जोखिम-से-बचने वाले) विचारों के विपरीत, Finom और Revolut ने फैसला किया है कि ग्राहक डेटा की सुरक्षा अधिक महत्वपूर्ण है और इसलिए वे passkeys का उपयोग कर रहे हैं, इस पर एक सार्वजनिक यूरोपीय निर्णय की कमी के बावजूद कि बैंकिंग पर्यवेक्षण को PSD2 अनुपालन के संबंध में passkeys के साथ कैसा व्यवहार करना चाहिए। Finom और Revolut जैसे नियो-बैंक और फिनटेक यथास्थिति को चुनौती दे रहे हैं और, ऐसा करने में, वे PSD2 द्वारा निर्धारित प्रमाणीकरण उपायों के संबंध में नियामक परिदृश्य को प्रभावित कर रहे हैं।
ग्राहक डेटा की सुरक्षा और अखंडता को प्राथमिकता देकर, ये फिनटेक अग्रणी यूरोपीय अधिकारियों से स्पष्ट नियामक मार्गदर्शन के अभाव में भी passkeys अपना रहे हैं। यह सक्रिय रुख नियामकों पर अपने अनुपालन ढांचे का पुनर्मूल्यांकन करने का दायित्व डालता है, उन तकनीकी प्रगतियों के प्रकाश में जो बेहतर सुरक्षा समाधान प्रदान करते हैं।
Finom और Revolut का passkeys को लागू करने का साहसिक कदम नियामक अनुपालन के एक महत्वपूर्ण पहलू पर प्रकाश डालता है - यह मानकों का सख्ती से पालन करने के बारे में नहीं होना चाहिए, बल्कि उन मानकों के अंतर्निहित लक्ष्यों को प्राप्त करने के बारे में होना चाहिए, जो इस मामले में, ग्राहक डेटा और लेनदेन की अत्यंत सुरक्षा है। पारंपरिक अनुपालन मॉडल के सख्त पालन पर डेटा सुरक्षा को प्राथमिकता देकर, ये नियो-बैंक उद्योग के लिए नए मानक स्थापित कर रहे हैं।
नियामकों का हाथ मजबूर करके, ये नियो-बैंक एक प्रतिमान बदलाव की वकालत कर रहे हैं जिसमें अनुपालन को उभरती प्रौद्योगिकियों के साथ-साथ विकसित होना चाहिए जो उपभोक्ता हितों की अधिक प्रभावी ढंग से रक्षा करती हैं।
8. किन नियामक परिवर्तनों की आवश्यकता है?#
नियामक दृष्टिकोण से, PSD2 अनुपालन के ढांचे के भीतर passkeys जैसी प्रगति को समायोजित करने के लिए स्पष्टता और अनुकूलन की तत्काल आवश्यकता है। हम यूरोपीय संघ से passkeys पर एक निश्चित रुख अपनाने का आग्रह करते हैं, उन्हें मल्टी-फैक्टर ऑथेंटिकेशन (MFA) के एक बेहतर रूप के रूप में मान्यता देते हुए जो डिजिटल भुगतान पारिस्थितिकी तंत्र में सुरक्षा को मजबूत करने और धोखाधड़ी को कम करने के PSD2 के मुख्य उद्देश्यों के साथ संरेखित होता है।
Passkeys, अपने डिज़ाइन के अनुसार, एक मजबूत, फ़िशिंग-प्रतिरोधी प्रमाणीकरण कारक प्रदान करते हैं जो अधिकांश पारंपरिक MFA विधियों की सुरक्षा क्षमताओं से बेहतर है। यह न केवल सुरक्षा को बढ़ाता है बल्कि उपयोगकर्ता अनुभव को भी सरल बनाता है, जो PSD2 अनुपालन के दो महत्वपूर्ण पहलुओं को संबोधित करता है।
यूरोपीय संघ का रुख उन तकनीकी प्रगतियों को प्रतिबिंबित करने के लिए विकसित होना चाहिए जो प्रभावी और सुरक्षित प्रमाणीकरण का गठन करने वाली चीज़ों को फिर से परिभाषित करती हैं। passkeys जैसे नवाचारों को अपनाकर और उन्हें नियामक ताने-बाने में शामिल करके, यूरोपीय संघ उपभोक्ताओं की सुरक्षा और एक दूरंदेशी डिजिटल वित्त वातावरण को बढ़ावा देने दोनों के लिए अपनी प्रतिबद्धता प्रदर्शित कर सकता है।
जैसे-जैसे वित्तीय उद्योग नवाचार करना जारी रखता है, यह नियामकों पर निर्भर है कि वे स्पष्ट, प्रगतिशील मार्गदर्शन प्रदान करें जो न केवल तकनीकी परिवर्तन के साथ तालमेल रखता है बल्कि भविष्य के विकास का भी अनुमान लगाता है। नियो-बैंक वर्तमान में इस बदलाव का नेतृत्व कर रहे हैं, लेकिन यह अंततः नियामक निकायों की ज़िम्मेदारी है कि वे यह सुनिश्चित करें कि वित्तीय क्षेत्र समग्र रूप से डिजिटल बैंकिंग के भविष्य में सुरक्षित और आत्मविश्वास से आगे बढ़ सके।
9. बैंकों और फिनटेक के लिए सिफारिश#
बैंकिंग और फिनटेक क्षेत्र में passkeys को अपनाना नवाचार का एक प्रमुख उदाहरण है जो सुरक्षा और उपयोगकर्ता अनुभव दोनों को महत्वपूर्ण रूप से बढ़ाता है। अपने पूरे लेख में, हमने passkeys की क्षमता को एक दूरंदेशी प्रमाणीकरण समाधान के रूप में स्थापित किया है जो PSD2 की कड़ी सुरक्षा मांगों के साथ संरेखित होता है जबकि फ़िशिंग जैसे प्रचलित खतरों को कम करता है। Finom और Revolut जैसे नियो-बैंक / फिनटेक ने अपने सुरक्षा ढांचे में passkeys को एकीकृत करके एक मिसाल कायम की है, जो उनकी प्रभावकारिता और ग्राहक-केंद्रित दृष्टिकोण को प्रदर्शित करता है।
पारंपरिक बैंकों के लिए तीन-चरणीय कार्य योजना इस प्रकार दिख सकती है:
- स्थानीय नियामकों के साथ जुड़ाव: पारंपरिक बैंकों को passkeys के कार्यान्वयन पर चर्चा करने के लिए अपने स्थानीय नियामक निकायों और बैंकिंग पर्यवेक्षण अधिकारियों के साथ सक्रिय रूप से जुड़ना चाहिए। इस संवाद का उद्देश्य नियामक स्थितियों को स्पष्ट करना और मौजूदा अनुपालन संरचना के भीतर passkeys को एकीकृत करने का मार्ग प्रशस्त करना होना चाहिए। पहल करके, बैंक एक ऐसे नियामक वातावरण को आकार देने में योगदान दे सकते हैं जो नवीन प्रमाणीकरण विधियों का समर्थन करता है।
- नियो-बैंक की सर्वोत्तम प्रथाओं से सीखना: पारंपरिक बैंकों के लिए उन नियो-बैंकों से निरीक्षण करना और सीखना अनिवार्य है जिन्होंने सफलतापूर्वक passkeys लागू किए हैं। इन सर्वोत्तम प्रथाओं का अध्ययन करने से passkey परिनियोजन के परिचालन, तकनीकी और ग्राहक सेवा पहलुओं में बहुमूल्य अंतर्दृष्टि मिलेगी। यह ज्ञान हस्तांतरण पारंपरिक बैंकों को passkeys अपनाने के लिए अपनी रणनीतियों को तैयार करने में सहायता कर सकता है।
- Passkeys में रणनीतिक संक्रमण: नियामक स्पष्टता और सर्वोत्तम प्रथाओं की समझ के साथ, पारंपरिक बैंक ग्राहकों को passkey-आधारित प्रमाणीकरण में स्थानांतरित करने के लिए एक व्यापक योजना विकसित कर सकते हैं। इस योजना में passkeys के लाभों और उपयोग को समझाने के लिए ग्राहक शिक्षा अभियान, एक सहज संक्रमण सुनिश्चित करने के लिए चरणबद्ध रोलआउट, और किसी भी चुनौती का तुरंत समाधान करने के लिए निरंतर मूल्यांकन शामिल होना चाहिए।
Why are Passkeys important?
Passkeys for Enterprises
Passwords & phishing put enterprises at risk. Passkeys offer the only MFA solution balancing security and UX. Our whitepaper covers implementation and business impact.
Download free whitepaper
10. निष्कर्ष#
बैंकिंग प्रमाणीकरण का भविष्य उन तकनीकों में निहित है जो सुरक्षा और उपयोगिता दोनों को प्राथमिकता देती हैं। Passkeys इस दिशा में एक कदम का प्रतिनिधित्व करते हैं, जो एक गैर-फ़िशिंग योग्य, उपयोगकर्ता-अनुकूल प्रमाणीकरण विधि प्रदान करते हैं जो PSD2 और अन्य नियामक ढाँचों द्वारा निर्धारित मानकों को पूरा करती है।
पारंपरिक बैंकों के लिए, अब बदलाव को अपनाने और passkeys की ओर बदलाव शुरू करने का समय है। यह संक्रमण, हालांकि, अचानक नहीं होना चाहिए, बल्कि एक सुविचारित कदम होना चाहिए, जिसमें उनके ग्राहक आधार की अनूठी जरूरतों, विशिष्ट नियामक वातावरण और संस्थान की तकनीकी तैयारी को ध्यान में रखा जाए।
अंतिम लक्ष्य यह सुनिश्चित करना है कि प्रत्येक ग्राहक सुविधा का त्याग किए बिना बढ़ी हुई सुरक्षा से लाभान्वित हो। passkeys को अपनाकर, बैंक न केवल अपने ग्राहकों को अत्याधुनिक तकनीक से सुरक्षित रखेंगे, बल्कि डिजिटल वित्त के युग में नवाचार और ग्राहक-केंद्रितता के प्रति प्रतिबद्धता का भी संकेत देंगे।
Next Step: Ready to implement passkeys at your bank? Our 80-page Banking Passkeys Report is available. Book a 15-minute briefing and get the report for free.
Get the Report
Share this article
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents