QR कोड लॉगिन के तरीके और ऑथेंटिकेशन

सुरक्षित और सुविधाजनक ऑथेंटिकेशन तरीके पहले से कहीं ज़्यादा ज़रूरी हो गए हैं। हम रोज़ाना अलग-अलग डिवाइस पर कई ऑनलाइन सेवाओं का इस्तेमाल करते हैं, ऐसे में पारंपरिक पासवर्ड-आधारित सिस्टम कम असरदार और ज़्यादा बोझिल होते जा रहे हैं। खासकर उन कंपनियों के लिए जिनके नेटिव ऐप्स (iOS या Android ऐप्स) पर बड़ी संख्या में यूज़र्स हैं, इसके कारण QR कोड-आधारित लॉगिन की मांग बढ़ी है, जो यूज़र्स को जटिल पासवर्ड या यूज़रनेम टाइप किए बिना ऑथेंटिकेट करने का एक तेज़ और आसान तरीका प्रदान करता है।

इस संदर्भ में, कुछ ऐसे सवाल सामने आते हैं:

• नेटिव ऐप्स के साथ QR कोड-आधारित ऑथेंटिकेशन कैसे काम करता है?
• पासकीज़ के साथ QR कोड-आधारित ऑथेंटिकेशन की तुलना में यह कैसा है?

Native QR Code Revolut

Passkeys QR Code Apple

नेटिव ऐप लॉगिन में QR कोड के प्रमुख उदाहरण ऐप-फर्स्ट सेवाएं हैं जैसे WhatsApp, TikTok या Revolut। साथ ही, पासकी लॉगिन को सपोर्ट करने वाली कंपनियों की सूची भी तेज़ी से बढ़ रही है।

इस लेख में, हम QR कोड-आधारित ऑथेंटिकेशन तकनीकों के बारे में जानेंगे। हम दूसरे फैक्टर को शुरू करने के लिए इस्तेमाल होने वाले TOTP QR कोड पर ध्यान केंद्रित नहीं करेंगे (जैसे Authy या Google Authenticator जैसे अतिरिक्त ऐप्स के साथ)।

हम अलग-अलग QR आधारित ऑथेंटिकेशन तरीकों की तुलना भी करेंगे, उनकी ताकतों, कमज़ोरियों और संभावित सुरक्षा जोखिमों की जांच करेंगे।

अंत तक, आपको यह स्पष्ट रूप से समझ आ जाएगा कि क्या QR कोड-आधारित ऑथेंटिकेशन आपकी सुरक्षा ज़रूरतों के लिए सही विकल्प है।

QR कोड, या क्विक रिस्पांस कोड, दो-आयामी बारकोड होते हैं जो URL से लेकर सादे टेक्स्ट तक कई तरह की जानकारी स्टोर कर सकते हैं। मूल रूप से 1994 में Denso Wave द्वारा विकसित, जो Toyota ग्रुप की एक सहायक कंपनी है, QR कोड को ऑटोमोटिव पार्ट्स को जल्दी और कुशलता से ट्रैक करने के लिए डिज़ाइन किया गया था। तब से, QR कोड विकसित हुए हैं और एक छोटे, स्कैन करने योग्य वर्ग में बड़ी मात्रा में डेटा स्टोर करने की अपनी क्षमता के कारण विभिन्न उद्योगों में अपनी जगह बना ली है।

"QR कोड" शब्द वास्तव में Denso Wave का एक ट्रेडमार्क है, हालांकि यह तकनीक खुद व्यापक रूप से अपनाई गई है और ट्रेडमार्क द्वारा प्रतिबंधित नहीं है। QR कोड की पहचान उनके काले और सफेद वर्गाकार पैटर्न से होती है, जिसे स्मार्टफोन या एक समर्पित स्कैनिंग डिवाइस (QR स्कैनर) का उपयोग करके स्कैन करके एन्कोड की गई जानकारी तक पहुँचा जा सकता है।

QR कोड के लिए सपोर्ट कई सालों से iOS और Android जैसे मोबाइल ऑपरेटिंग सिस्टम में एकीकृत किया गया है। दोनों प्लेटफ़ॉर्म अपने संबंधित कैमरा ऐप्स के माध्यम से नेटिव रूप से QR कोड स्कैनिंग का समर्थन करते हैं, जिससे यूज़र्स के लिए अतिरिक्त सॉफ़्टवेयर की आवश्यकता के बिना QR कोड के साथ इंटरैक्ट करना आसान हो जाता है।

Latest news के लिए हमारे Passkeys Substack को subscribe करें.

Subscribe करें

आमतौर पर, ऐप्स के साथ संयोजन में उपयोग किए जाने वाले QR कोड कस्टम URL या ऐप लिंक का लाभ उठाते हैं। ये लिंक डिवाइस पर इंस्टॉल होने पर ऐप को स्वचालित रूप से खोलने के लिए ट्रिगर कर सकते हैं। यदि ऐप इंस्टॉल नहीं है, तो QR कोड यूज़र को ऐप डाउनलोड और इंस्टॉल करने के लिए संबंधित ऐप स्टोर पर निर्देशित कर सकता है, इस प्रकार एक सहज यूज़र एक्सपीरियंस की सुविधा मिलती है। यहां आप उन पाथ्स की सूची देख सकते हैं जिन्हें Revolut ने ऐप हैंडलिंग के लिए पंजीकृत किया है:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

जैसा कि आप देख सकते हैं कि "/app/*" से शुरू होने वाले सभी लिंक हैंडल किए जाते हैं, आप अगले सेक्शन में इसका एक उदाहरण देखेंगे। QR कोड के भीतर कस्टम URL और ऐप लिंक एम्बेड करके, व्यवसाय और डेवलपर्स ऐसे अनुरूप अनुभव बना सकते हैं जो यूज़र्स को सीधे वांछित ऐप या सेवा तक ले जाते हैं, जिससे यूज़र इंटरैक्शन में सुविधा और सुरक्षा दोनों बढ़ती है।

नेटिव ऐप्स के ज़रिए QR कोड लॉगिन, मोबाइल डिवाइस के कैमरे और QR कोड में एम्बेडेड विशिष्ट URL के बीच सहज इंटरैक्शन का लाभ उठाता है। यह प्रक्रिया आमतौर पर तब शुरू होती है जब कोई यूज़र अपने स्मार्टफोन के कैमरे का उपयोग करके किसी वेबसाइट या दूसरे डिवाइस पर प्रदर्शित QR कोड को स्कैन करता है। QR कोड में एक कस्टम URL होता है जिसे विशेष रूप से किसी खास नेटिव ऐप के साथ इंटरैक्ट करने के लिए डिज़ाइन किया गया है, जैसे कि iOS या Android डिवाइस पर पाए जाने वाले ऐप्स।

उदाहरण के लिए, Revolut जैसी सेवा एक QR कोड का उपयोग कर सकती है जिसमें https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b जैसा URL हो। यह URL यूज़र के डिवाइस पर इंस्टॉल किए गए Revolut ऐप द्वारा पहचाने जाने के लिए बाध्य है।

जब QR कोड स्कैन किया जाता है, तो ऐप स्वचालित रूप से इस लिंक को पकड़ लेता है, इसे पहचानता है और संबंधित ऐप प्रदर्शित करता है (ऊपर दिए गए उदाहरण में देखें कि "Revolut" को मेल खाने वाले ऐप के रूप में पहचाना जा रहा है), और आंतरिक रूप से लॉगिन प्रक्रिया को संभालता है। यह इंटरैक्शन डीप लिंकिंग मैकेनिज्म द्वारा सुगम बनाया गया है जिसे iOS और Android दोनों सपोर्ट करते हैं, जो विशिष्ट लिंक को वेब ब्राउज़र के बजाय सीधे इंस्टॉल किए गए ऐप में खोलने की अनुमति देता है:

यदि ऐप डिवाइस पर इंस्टॉल नहीं है, तो ऑपरेटिंग सिस्टम आमतौर पर यूज़र को Apple ऐप स्टोर (iOS डिवाइस के लिए) या Google Play Store (Android डिवाइस के लिए) पर रीडायरेक्ट करके ऐप इंस्टॉल करने के लिए प्रेरित करता है।

यह सुनिश्चित करता है कि भले ही यूज़र के पास शुरू में ऐप इंस्टॉल न हो, वे इसे जल्दी और आसानी से प्राप्त कर सकते हैं, और इंस्टॉलेशन के बाद प्रक्रिया जारी रख सकते हैं।

ज़्यादातर मामलों में, मौजूदा ग्राहक जिन्होंने पहले से ही ऐप इंस्टॉल कर लिया है, वे एक सहज लॉगिन प्रक्रिया का अनुभव करेंगे। वे QR कोड स्कैन करते हैं, ऐप स्वचालित रूप से खुल जाता है, और यूज़रनेम या पासवर्ड दर्ज करने की आवश्यकता के बिना ऑथेंटिकेशन पूरा हो जाता है। यह तरीका मुख्य रूप से यूज़र्स के लिए सुविधा प्रदान करता है, क्योंकि QR कोड स्कैनिंग प्रक्रिया के दौरान कोई संवेदनशील जानकारी प्रसारित नहीं होती है।

तकनीकी रूप से जो होता है वह यह है कि डेस्कटॉप पर एक नए सेशन को ऑथेंटिकेट करने के लिए मोबाइल फोन पर मौजूदा लॉग-इन सेशन का उपयोग किया जाता है। ऐसा करने के लिए अलग-अलग तकनीकें हैं। एक बहुत ही विस्तृत संस्करण WhatsApp सुरक्षा व्हाइटपेपर में क्लाइंट रजिस्ट्रेशन → कंपेनियन डिवाइस रजिस्ट्रेशन → QR-कोड का उपयोग करके लिंक के तहत प्रकाशित किया गया है।

_ https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/ से लिया गया है_

चूंकि WhatsApp 2021 से मल्टी-डिवाइस एक्सेस और एंड-टू-एंड एन्क्रिप्शन का समर्थन करता है, इसलिए आर्किटेक्चर ऑथेंटिकेशन के लिए पूरी तरह से उपयुक्त नहीं है - क्योंकि प्रोटोकॉल मुख्य रूप से एक मल्टी-डिवाइस मैसेजिंग एप्लिकेशन के लिए डिज़ाइन किया गया है। वास्तविक ऑथेंटिकेशन कार्यान्वयन के आधार पर, एक सुरक्षित हैंडशेक प्राप्त करने के लिए सरल दृष्टिकोण हैं। यह ध्यान में रखना ज़रूरी है कि आपको हमेशा यूज़र सेशन और डिवाइस और सर्वर के बीच संचार चैनलों की सुरक्षित हैंडलिंग सुनिश्चित करनी होगी। QR कोड ऑथेंटिकेशन लॉगिन कार्यान्वयन की जटिलता के बावजूद, कुछ प्रमुख सुरक्षा सिद्धांतों का हमेशा पालन किया जाना चाहिए:

1. सेशन की अखंडता: मोबाइल फोन पर मौजूदा लॉग-इन सेशन, जिसका उपयोग डेस्कटॉप या किसी अन्य डिवाइस पर एक नए सेशन को ऑथेंटिकेट करने के लिए किया जाता है, को सुरक्षित रूप से मान्य किया जाना चाहिए। इसमें आमतौर पर सेशन हाइजैकिंग या रीप्ले हमलों को रोकने के लिए सुरक्षित टोकन या अन्य क्रिप्टोग्राफ़िक तरीकों का उपयोग करके सेशन की प्रामाणिकता की जांच करना शामिल है।
2. एन्क्रिप्टेड संचार: मोबाइल ऐप, सर्वर और ऑथेंटिकेशन का अनुरोध करने वाले डिवाइस के बीच सभी संचार को HTTPS का उपयोग करके एन्क्रिप्ट किया जाना चाहिए। यह सुनिश्चित करने में मदद करता है कि सेशन टोकन और लॉगिन विवरण सहित संवेदनशील जानकारी को प्रसारण के दौरान इंटरसेप्ट या छेड़छाड़ नहीं किया जा सकता है।
3. सुरक्षित टोकन जनरेशन: QR कोड ऑथेंटिकेशन प्रक्रिया के लिए उत्पन्न कोई भी टोकन या क्रेडेंशियल सुरक्षित रूप से उत्पन्न किया जाना चाहिए। इसमें एहतियाती उपाय के रूप में इसे अनुरोध करने वाले डिवाइस पर पिन करना शामिल हो सकता है ताकि इसका उपयोग अन्य डिवाइस पर न किया जा सके (जैसे ब्राउज़र-एजेंट)।
4. यूज़र द्वारा सत्यापित लॉगिन: ऑथेंटिकेशन प्रक्रिया को अंतिम रूप देने से पहले, एक ऐसा कदम रखने की सिफारिश की जाती है जहां यूज़र लॉगिन प्रयास को सत्यापित या पुष्टि कर सके। यह मोबाइल डिवाइस पर एक अधिसूचना के रूप में हो सकता है जिसमें यूज़र की मंजूरी की आवश्यकता होती है और ऑथेंटिकेशन विवरण दिखाया जाता है, जिससे सुरक्षा की एक अतिरिक्त परत जुड़ जाती है (जैसा कि ऊपर स्क्रीनशॉट में देखा जा सकता है)।
5. समय-आधारित प्रतिबंध: QR कोड की वैधता पर समय-आधारित प्रतिबंध लागू करें ताकि QR कोड के गलत हाथों में पड़ने पर अनधिकृत पहुंच के लिए उपयोग किए जाने के जोखिम को कम किया जा सके। जिस समय सीमा में QR कोड का उपयोग किया जा सकता है, उसे सीमित करने से संभावित सुरक्षा खतरों को कम करने में मदद मिलती है। इसे स्वचालित रूप से रीफ्रेश होना चाहिए और मैन-इन-द-मिडिल हमलों से बचने के लिए इसकी अधिकतम वैधता 120 सेकंड से कम होनी चाहिए।
6. स्थान-आधारित प्रतिबंध: लॉगिन प्रयासों के संबंध में सीमाएं, जैसे "असंभव यात्रा" का पता लगाना, QR कोड के साथ भी लागू किया जाना चाहिए। इसमें संदिग्ध IP-आधारित इंटेलिजेंस के आधार पर लॉगिन प्रयासों को स्वचालित रूप से रोकना शामिल हो सकता है, जैसे कि संयुक्त राज्य अमेरिका में एक QR कोड बनाना जबकि ऐप यूरोप में ऑथेंटिकेशन के लिए खोला गया है।
7. रेट-लिमिटिंग, लॉगिंग और मॉनिटरिंग: QR कोड लॉगिन से जुड़ी किसी भी संदिग्ध गतिविधि का पता लगाने और उस पर प्रतिक्रिया देने के लिए उचित रेट-लिमिटिंग, लॉगिंग और मॉनिटरिंग लागू करें। यह संभावित सुरक्षा उल्लंघनों की पहचान करने और यूज़र खातों की सुरक्षा के लिए समय पर कार्रवाई करने में मदद करता है।
8. यूज़र को सूचना: एक नए डिवाइस पर सफल लॉगिन प्रयासों को यूज़र को महत्वपूर्ण जानकारी (जैसे कि लॉगिन का प्रयास कब और कहाँ किस डिवाइस और IP पते के साथ किया गया था) और यदि लॉगिन यूज़र द्वारा ट्रिगर नहीं किया गया था तो क्या करना है, इस पर निर्देशों के साथ एक ईमेल सूचना ट्रिगर करनी चाहिए (जैसे कि सेवा से तत्काल संपर्क, खाते की निगरानी, या यदि सिस्टम इसका समर्थन करता है तो सभी लॉग-ऑन डिवाइस को हटाना)।

इन सर्वोत्तम प्रथाओं का पालन करके, कंपनियां QR कोड-आधारित ऑथेंटिकेशन लागू कर सकती हैं जो यूज़र-फ्रेंडली और सुरक्षित दोनों है, जो यूज़र डेटा और सेशन की सुरक्षा के लिए मजबूत सुरक्षा उपायों को बनाए रखते हुए मोबाइल डिवाइस की सुविधा का लाभ उठाता है।

अब आइए पासकीज़ के ज़रिए QR कोड लॉगिन पर एक नज़र डालते हैं।

पासकी-आधारित ऑथेंटिकेशन एक सुरक्षित, क्रॉस-डिवाइस ऑथेंटिकेशन सिस्टम प्रदान करता है जो iOS और Android इकोसिस्टम में एकीकृत है और WebAuthn मानक में निर्दिष्ट है। वर्तमान में, केवल iOS या Android पर बनाए गए पासकीज़ का उपयोग QR कोड के माध्यम से क्रॉस-डिवाइस ऑथेंटिकेशन (CDA) के लिए किया जा सकता है।

आइए विश्लेषण करें कि पासकीज़ के साथ QR कोड लॉगिन कैसे काम करता है। निम्नलिखित चार्ट विभिन्न चरणों का एक उच्च-स्तरीय अवलोकन दिखाता है।

IOS और Android दोनों के लिए, पासकीज़ प्लेटफ़ॉर्म के नेटिव ऑथेंटिकेटर (जैसे फेस आईडी, टच आईडी या एंड्रॉइड बायोमेट्रिक्स) के भीतर संग्रहीत होते हैं। यह सुनिश्चित करता है कि एक यूज़र के पासकीज़ उनके सभी डिवाइस पर उपलब्ध हैं जो आधुनिक ऑपरेटिंग सिस्टम संस्करणों पर एक ही Apple ID (iOS के लिए) या Google खाते (Android के लिए) में लॉग इन हैं।

• दोनों डिवाइस को एक सक्रिय इंटरनेट कनेक्शन की आवश्यकता है: ऑथेंटिकेशन प्रक्रिया में शामिल दोनों डिवाइस में एक सक्रिय इंटरनेट कनेक्शन होना चाहिए। यह ऑथेंटिकेशन प्रक्रिया के दौरान डेटा को सिंक्रनाइज़ करने और क्रेडेंशियल्स को सत्यापित करने के लिए महत्वपूर्ण है।
• दोनों डिवाइस को ब्लूटूथ का समर्थन करना चाहिए: दोनों डिवाइस को ब्लूटूथ का समर्थन करना चाहिए, और ब्लूटूथ सक्रिय होना चाहिए। ब्लूटूथ का उपयोग डिवाइस के बीच निकटता स्थापित करने के लिए किया जाता है, यह सुनिश्चित करते हुए कि ऑथेंटिकेशन के दौरान डिवाइस एक-दूसरे के पास हैं, जिससे दूरस्थ स्थान से फ़िशिंग के जोखिम को कम किया जा सके।

• डिवाइस-बाउंड डेस्कटॉप पासकीज़: पासकीज़ जो डिवाइस-बाउंड हैं और डेस्कटॉप पर हैं, जैसे कि विंडोज प्लेटफॉर्म पर, QR कोड-आधारित CDA के लिए योग्य नहीं हैं।
• ब्लूटूथ पर निर्भरता: ब्लूटूथ पर निर्भर रहना कभी-कभी संभावित कनेक्टिविटी समस्याओं या डिवाइस सेटिंग्स के कारण एक कमी हो सकती है जो ब्लूटूथ निकटता जांच में हस्तक्षेप कर सकती है। जबकि निकटता स्थापित करने से सुरक्षा बढ़ सकती है, यह प्रयोज्यता चुनौतियों का कारण भी बन सकता है यदि डिवाइस ब्लूटूथ के माध्यम से कनेक्ट होने में विफल रहते हैं। हालांकि, एक बार जब डिवाइस सफलतापूर्वक जुड़ जाते हैं, तो बाद के कनेक्शन आमतौर पर अधिक सीधे हो जाते हैं।

• कोई रिमोट फ़िशिंग हमले नहीं: निकटता जांच के लिए ब्लूटूथ का उपयोग यह सुनिश्चित करता है कि ऑथेंटिकेशन प्रक्रिया के दौरान दोनों डिवाइस भौतिक रूप से एक-दूसरे के पास हों, जिससे दूरस्थ स्थानों से फ़िशिंग हमलों का खतरा कम हो जाता है।
• सिंक किए गए पासकीज़ बेहतर UX प्रदान करते हैं: डिवाइसों में पासकीज़ का सिंक्रनाइज़ेशन भी एक सहज यूज़र एक्सपीरियंस प्रदान करता है, क्योंकि यूज़र्स को क्रेडेंशियल्स के कई सेट प्रबंधित करने की आवश्यकता नहीं होती है।

पासकी-आधारित क्रॉस-डिवाइस ऑथेंटिकेशन (CDA) को लागू करते समय, यूज़र्स को प्रक्रिया पर स्पष्ट मार्गदर्शन प्रदान करना महत्वपूर्ण है। यूज़र्स को सूचित किया जाना चाहिए कि एक QR कोड प्रदर्शित किया जाएगा और उन्हें इसे स्कैन करने के लिए अपने मोबाइल फोन का उपयोग करने की आवश्यकता है।

हमारी राय में, यह सुनिश्चित करना महत्वपूर्ण है कि यदि यूज़र के पास CDA के लिए उपयोग की जा सकने वाली पासकी नहीं है तो QR कोड न दिखाए जाएं। इसके अतिरिक्त, यह सत्यापित करना आवश्यक है कि यूज़र का वर्तमान ऑपरेटिंग सिस्टम और ब्राउज़र QR कोड प्रदर्शित करने से पहले CDA का समर्थन करता है।

देखें कि वास्तव में कितने लोग passkeys इस्तेमाल करते हैं.

Adoption data देखें

इन परिदृश्यों को प्रभावी ढंग से प्रबंधित करने के लिए, हमने इस लेख में सभी महत्वपूर्ण मामलों को रेखांकित किया है, इसलिए हम यहां विवरण में नहीं जाएंगे। हमारा पासकी इंटेलिजेंस सिस्टम इन स्थितियों को स्वचालित रूप से संभालने के लिए डिज़ाइन किया गया है, यह सुनिश्चित करते हुए कि QR कोड केवल तभी प्रदर्शित होते हैं जब उपयुक्त हो और यूज़र्स को ऑथेंटिकेशन प्रक्रिया के माध्यम से सुचारू रूप से मार्गदर्शन करते हैं। यह विभिन्न डिवाइस और ऑपरेटिंग सिस्टम में उच्च सुरक्षा और संगतता बनाए रखते हुए एक सहज अनुभव सुनिश्चित करता है।

इस सेक्शन में, हम इस लेख में चर्चा किए गए दो प्राथमिक QR कोड-आधारित लॉगिन तरीकों का सारांश देंगे: नेटिव ऐप्स के ज़रिए QR कोड लॉगिन और पासकीज़ के ज़रिए QR कोड लॉगिन। प्रत्येक विधि अद्वितीय लाभ प्रदान करती है और सुरक्षा, यूज़र एक्सपीरियंस और कार्यान्वयन जटिलता जैसे कारकों के आधार पर विभिन्न उपयोग मामलों के लिए उपयुक्त है।

• नेटिव ऐप्स के ज़रिए QR कोड लॉगिन एक QR कोड को मोबाइल डिवाइस पर इंस्टॉल किए गए एक विशिष्ट ऐप से जोड़ने के लिए डीप लिंकिंग का लाभ उठाता है। जब कोई यूज़र QR कोड स्कैन करता है, तो संबंधित ऐप चालू हो जाता है, जिससे एक सहज और सुरक्षित लॉगिन प्रक्रिया सुगम हो जाती है। यह विधि आमतौर पर WhatsApp, TikTok, और Revolut जैसे ऐप-फर्स्ट एप्लिकेशन में उपयोग की जाती है, जहां यूज़र्स ऐप के माहौल से परिचित होते हैं और पासवर्ड दर्ज किए बिना आसानी से ऑथेंटिकेट कर सकते हैं।
• पासकीज़ के ज़रिए QR कोड लॉगिन एक अधिक उन्नत, क्रॉस-डिवाइस ऑथेंटिकेशन दृष्टिकोण का उपयोग करता है जो सीधे ऑपरेटिंग सिस्टम के प्लेटफ़ॉर्म ऑथेंटिकेटर के साथ एकीकृत होता है (किसी भी नेटिव ऐप को इंस्टॉल करने की कोई आवश्यकता नहीं है)। यह विधि उच्च स्तर की सुरक्षा प्रदान करने के लिए डिज़ाइन की गई है, जिसमें सिंक्रनाइज़्ड पासकीज़ का उपयोग किया जाता है और ऑथेंटिकेशन प्रक्रिया के दौरान दोनों डिवाइस को निकटता में (ब्लूटूथ के माध्यम से सत्यापित) होना आवश्यक होता है। यह विधि फ़िशिंग हमलों के खिलाफ मजबूत सुरक्षा प्रदान करती है और कई डिवाइस पर एक सुव्यवस्थित यूज़र एक्सपीरियंस प्रदान करती है।

आइए देखें कि दोनों तरीके कैसे तुलना करते हैं और उनकी अलग-अलग विशेषताएं हैं:

तुलना तालिका: नेटिव ऐप्स के ज़रिए QR कोड लॉगिन बनाम पासकीज़ के ज़रिए QR कोड लॉगिन

हमने तुलना तालिका में ऑथेंटिकेशन-आधारित विशेषताओं पर ध्यान केंद्रित किया है, और सेक्शन तीन में उल्लिखित आसपास की आवश्यकताएं दोनों विकल्पों पर लागू होती हैं। पासकीज़ के साथ स्थान-आधारित और समय-आधारित प्रतिबंधों की आवश्यकता नहीं है, क्योंकि वे WebAuthn के माध्यम से फ़िशिंग प्रतिरोध और निकटता जांच का उपयोग करते हैं।

Live demo में passkeys आज़माएं.

Passkeys आज़माएं

जैसा कि परिचय में बताया गया है, हमने क्रॉस-डिवाइस-ऑथेंटिकेशन के दो सबसे आम परिदृश्यों पर एक नज़र डाली है, आइए उन्हें संक्षेप में प्रस्तुत करें:

• नेटिव ऐप्स के ज़रिए QR कोड लॉगिन उन कंपनियों के लिए आदर्श है जिनके नेटिव ऐप्स पर एक मजबूत यूज़र बेस है, जो अभी तक पासकीज़ लागू करने पर विचार नहीं कर रही हैं और फ़िशिंग हमलों के बारे में बहुत चिंतित नहीं हैं। यह विधि ऐप के मौजूदा ऑथेंटिकेशन मैकेनिज्म का उपयोग करके सुविधा और सुरक्षा प्रदान करती है, जो अक्सर ऐप का उपयोग करने वाले यूज़र्स के लिए घर्षण को कम करती है, लेकिन कभी-कभार ऐप लॉगिन में मदद नहीं करती है।
• पासकीज़ के ज़रिए QR कोड लॉगिन एक अधिक सुरक्षित और लचीला विकल्प प्रदान करता है, खासकर उन परिवेशों के लिए जहां क्रॉस-डिवाइस ऑथेंटिकेशन आवश्यक है और पासकीज़ पर भी विचार किया जा रहा है या पहले से ही ऑथेंटिकेशन फैक्टर के रूप में उपयोग किया जा रहा है। प्लेटफ़ॉर्म-स्तरीय ऑथेंटिकेशन और ब्लूटूथ-आधारित निकटता जांच का लाभ उठाकर, यह विधि भविष्य में एकमात्र सुरक्षित फ़िशिंग-प्रतिरोधी मल्टी-फैक्टर ऑथेंटिकेशन विधि को क्रॉस-डिवाइस मामलों में भी लाती है।

परिचय से हमारे सवालों का जवाब देने के लिए:

• दोनों दृष्टिकोण कैसे भिन्न हैं: प्रत्येक संगठन को अपनी ज़रूरतों के लिए सबसे उपयुक्त विधि चुननी चाहिए, जिसमें यूज़र बेस, सुरक्षा आवश्यकताओं और वांछित यूज़र एक्सपीरियंस जैसे कारकों पर विचार किया जाना चाहिए। ऐप-केंद्रित सेवाओं के लिए, नेटिव ऐप्स के माध्यम से QR कोड लॉगिन को एकीकृत करना पर्याप्त हो सकता है। हालांकि, अधिकतम सुरक्षा, क्रॉस-डिवाइस क्षमताओं को प्राथमिकता देने वालों के लिए, पासकीज़ के माध्यम से QR कोड लॉगिन एक मजबूत समाधान प्रस्तुत करता है।

मौजूदा ऑथेंटिकेशन आर्किटेक्चर में कौन सा समाधान फिट बैठता है, इसके वर्तमान मूल्यांकन के बावजूद, यह ध्यान में रखा जाना चाहिए कि पासकीज़ ऑथेंटिकेशन के भविष्य में एक निवेश हैं, क्योंकि इकोसिस्टम स्पष्ट रूप से इस दिशा में आगे बढ़ रहा है। पासकीज़ इकट्ठा करने के लिए जल्दी शुरू करना विभिन्न CDA रणनीतियों के साथ जोड़ा जा सकता है।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →