पासकी कार्यान्वयन का परीक्षण (Enterprise Passkeys Guide 5)

अवलोकन: एंटरप्राइज़ गाइड#

• परिचय
• भाग 1: प्रारंभिक मूल्यांकन और योजना
• भाग 2: हितधारक जुड़ाव (Stakeholder Engagement)
• भाग 3: उत्पाद, डिज़ाइन और रणनीति विकास
• भाग 4: एंटरप्राइज़ स्टैक में पासकी को एकीकृत करना

1. परिचय#

अपने एंटरप्राइज़ स्टैक में पासकी (passkeys) को एकीकृत करने और कार्यान्वयन पूरा करने के बाद, अगला महत्वपूर्ण चरण यह सुनिश्चित करना है कि सिस्टम त्रुटिहीन ढंग से काम करता है और सभी आंतरिक मानकों को पूरा करता है। इसमें व्यापक परीक्षण और एक सावधानीपूर्वक नियोजित रिलीज़ रणनीति शामिल है। एंटरप्राइज़ संदर्भ में, जहाँ सिस्टम जटिल होते हैं और उपयोगकर्ता आधार बड़े होते हैं, जोखिमों को कम करने और सुचारू रोलआउट सुनिश्चित करने के लिए कठोर परीक्षण और निगरानी आवश्यक है।

इस लेख में, हम निम्न पर ध्यान केंद्रित करेंगे:

• कार्यात्मक परीक्षण (Functional Testing): पासकी कार्यान्वयन को मान्य करने के लिए आवश्यक कार्यात्मक परीक्षण क्या हैं?

• गैर-कार्यात्मक परीक्षण (Non-Functional Testing): हम यह कैसे सुनिश्चित कर सकते हैं कि सिस्टम प्रदर्शन, सुरक्षा और विश्वसनीयता मानकों को पूरा करता है?

इन महत्वपूर्ण सवालों को संबोधित करके, हमारा उद्देश्य आपके पासकी कार्यान्वयन के परीक्षण पर एक व्यापक मार्गदर्शिका प्रदान करना है। इससे यह सुनिश्चित करने में मदद मिलेगी कि आपकी तैनाती मजबूत, सुरक्षित है और आपके उपयोगकर्ताओं को एक सहज अनुभव प्रदान करती है। आइए एंटरप्राइज़ संदर्भ में परीक्षण की बारीकियों में जाएँ और एक सफल पासकी रोलआउट के लिए आवश्यक चरणों की रूपरेखा तैयार करें।

2. पासकी कार्यान्वयन का परीक्षण कैसे करें#

एंटरप्राइज़ वातावरण में पासकी की सफल तैनाती में परीक्षण और गुणवत्ता आश्वासन (quality assurance) महत्वपूर्ण घटक हैं। बड़े एंटरप्राइज़ सिस्टम की जटिलता और उनके द्वारा सेवा दिए जाने वाले उपयोगकर्ताओं की बड़ी संख्या को देखते हुए, यह सुनिश्चित करना महत्वपूर्ण है कि फुल-स्केल रोलआउट से पहले पासकी कार्यान्वयन का हर पहलू सही ढंग से काम करता है और आंतरिक मानकों को पूरा करता है। इसमें परीक्षण के लिए एक व्यापक दृष्टिकोण शामिल है जो सिस्टम के कार्यात्मक और गैर-कार्यात्मक दोनों पहलुओं को संबोधित करता है। क्योंकि उद्यमों के बीच परीक्षण और गुणवत्ता आश्वासन को बहुत अलग तरीके से संभाला जाता है, हम संक्षेप में यह बताना चाहते हैं कि हमारे अनुसार प्रमुख बिंदु क्या हैं:

1. उपयोगकर्ता स्वीकृति परीक्षण (UAT) / मैन्युअल परीक्षण: यह परीक्षकों को सिस्टम का अनुभव करने की अनुमति देता है जैसे वास्तविक उपयोगकर्ता करेंगे, उपयोगिता संबंधी समस्याओं को उजागर करता है और यह सुनिश्चित करता है कि वर्कफ़्लो तार्किक हैं।

   • पासकी पंजीकरण और प्रमाणीकरण: सुनिश्चित करें कि उपयोगकर्ता सफलतापूर्वक पासकी बना सकते हैं और विभिन्न उपकरणों और प्लेटफ़ॉर्म पर उनका उपयोग करके प्रमाणित कर सकते हैं।

   • यूज़र इंटरफ़ेस और अनुभव (UI/UX): मान्य करें कि यूज़र इंटरफ़ेस सहज, प्रतिक्रियाशील है और एक सहज अनुभव प्रदान करता है।

   • त्रुटि प्रबंधन (Error Handling): परीक्षण करें कि सिस्टम गलत इनपुट, विफल प्रमाणीकरण और एज केस को कैसे संभालता है, यह सुनिश्चित करते हुए कि उपयोगकर्ता को उचित फ़ीडबैक और रिकवरी विकल्प प्रदान किए गए हैं।

   • उपयोगिता मूल्यांकन: अंतिम-उपयोगकर्ता के दृष्टिकोण से पासकी कार्यान्वयन के उपयोग में आसानी और सहजता का आकलन करें।

   • पहुँच अनुपालन (Accessibility Compliance): सत्यापित करें कि सिस्टम सभी उपयोगकर्ताओं को समायोजित करने के लिए पहुँच मानकों को पूरा करता है।

   • क्रॉस-डिवाइस परिदृश्य: किसी भी विसंगति या डिवाइस-विशिष्ट समस्या की पहचान करने के लिए मैन्युअल रूप से विभिन्न उपकरणों पर परीक्षण करें।

2. स्वचालित परीक्षण (Automated Testing): दोहराए जाने वाले कार्यों और रिग्रेशन परीक्षणों को कुशलतापूर्वक संचालित करने में सक्षम करके मैन्युअल उपयोगकर्ता स्वीकृति परीक्षण का पूरक है।

   • रिग्रेशन परीक्षण (Regression Testing): यह सुनिश्चित करने के लिए कि नए कोड परिवर्तन दोष पेश नहीं करते हैं, मौजूदा कार्यात्मकताओं का स्वचालित रूप से पुनः परीक्षण करें।

   • प्रदर्शन स्क्रिप्ट: विभिन्न स्थितियों और लोड के तहत उपयोगकर्ता कार्यों का अनुकरण करने के लिए स्वचालित उपकरणों का उपयोग करें।

   • निरंतर एकीकरण (Continuous Integration): समस्याओं को जल्दी पकड़ने के लिए विकास पाइपलाइन में स्वचालित परीक्षणों को एकीकृत करें।

3. पासकी इंटेलिजेंस परीक्षण: एंटरप्राइज़ उपयोगकर्ताओं द्वारा उपयोग किए जाने वाले उपकरणों, ऑपरेटिंग सिस्टम और ब्राउज़रों की विविधता के कारण महत्वपूर्ण है।

   • संगतता परीक्षण (Compatibility Testing): सुनिश्चित करें कि पासकी सिस्टम सभी समर्थित प्लेटफ़ॉर्म और ब्राउज़रों पर निर्बाध रूप से काम करता है।

   • डिवाइस मैट्रिक्स: एक परीक्षण मैट्रिक्स विकसित करें जो उपकरणों, OS संस्करणों और ब्राउज़रों के विभिन्न संयोजनों को कवर करता है।

   • एमुलेटर और वास्तविक उपकरण: व्यापक कवरेज के लिए एमुलेटर और सटीक परिणामों के लिए वास्तविक उपकरणों दोनों का उपयोग करें।

4. गैर-कार्यात्मक परीक्षण: पासकी सिस्टम के प्रदर्शन, सुरक्षा और विश्वसनीयता पहलुओं को संबोधित करता है।

   • प्रदर्शन और लोड परीक्षण (Performance and Load Testing): मान्य करें कि सिस्टम बिना डिग्रेडेशन के अपेक्षित प्रमाणीकरण मात्रा को संभाल सकता है।

   • सुरक्षा परीक्षण (Security Testing): संभावित सुरक्षा जोखिमों की पहचान करने और उन्हें कम करने के लिए पेनिट्रेशन टेस्ट और भेद्यता आकलन (vulnerability assessments) करें।

इन विचारों को परीक्षण और गुणवत्ता आश्वासन प्रक्रिया में एकीकृत करके, यह पासकी जैसे नए प्रमाणीकरण तरीके को तैनात करने से जुड़े जोखिमों को कम करता है। अगले अनुभागों में हम प्रत्येक चरण से गुजरेंगे और यह भी रूपरेखा तैयार करेंगे कि Corbado और Corbado Connect सिस्टम उन स्थितियों में कैसे मदद कर सकते हैं।

3. पासकी का कार्यात्मक परीक्षण (Functional Testing)#

एंटरप्राइज़ वातावरण में पासकी की तैनाती में कार्यात्मक परीक्षण एक महत्वपूर्ण चरण है। यह सत्यापित करने पर केंद्रित है कि पासकी कार्यान्वयन की सभी सुविधाएँ और कार्यक्षमताएँ इच्छानुसार काम करती हैं। इस प्रकार का परीक्षण यह सुनिश्चित करता है कि सिस्टम निर्दिष्ट आवश्यकताओं को पूरा करता है और एक सहज उपयोगकर्ता अनुभव प्रदान करता है। कार्यात्मक परीक्षण गुणवत्ता आश्वासन के लिए आधार के रूप में कार्य करता है, क्योंकि यह प्रदर्शन और सुरक्षा जैसे गैर-कार्यात्मक पहलुओं पर आगे बढ़ने से पहले प्रमाणीकरण प्रणाली के मुख्य संचालन को मान्य करता है।

कार्यात्मक परीक्षण के मुख्य उद्देश्य:

• सुविधाओं का सत्यापन: सुनिश्चित करें कि सभी पासकी-संबंधित सुविधाएँ, जैसे पंजीकरण, प्रमाणीकरण और प्रबंधन, सही ढंग से काम करती हैं।

• उपयोगकर्ता अनुभव सत्यापन: अंतिम-उपयोगकर्ता के दृष्टिकोण से पासकी कार्यान्वयन की उपयोगिता और सहजता का आकलन करें।

• त्रुटि प्रबंधन (Error Handling): पुष्टि करें कि सिस्टम त्रुटियों को शालीनता से संभालता है और उपयोगकर्ताओं को जानकारीपूर्ण फ़ीडबैक प्रदान करता है।

• संगतता (Compatibility): सभी उपयोगकर्ताओं के लिए एक सुसंगत अनुभव की गारंटी देने के लिए विभिन्न उपकरणों, ऑपरेटिंग सिस्टम और ब्राउज़रों पर परीक्षण करें।

पासकी के संदर्भ में, कार्यात्मक परीक्षण में सभी उपयोगकर्ता इंटरैक्शन, प्रमाणीकरण प्रवाह (authentication flows) और सिस्टम प्रतिक्रियाओं की व्यापक परीक्षा शामिल है। यह सुनिश्चित करने के लिए कि सिस्टम सभी स्थितियों में सही ढंग से व्यवहार करता है, विशिष्ट उपयोगकर्ता परिदृश्यों और एज केस दोनों का परीक्षण करना आवश्यक है। प्रत्येक फ़ंक्शन को पूरी तरह से मान्य करके, उद्यम तैनाती प्रक्रिया में जल्दी ही समस्याओं की पहचान कर सकते हैं और उन्हें सुधार सकते हैं, जिससे लाइव रोलआउट के दौरान समस्याओं का जोखिम कम हो जाता है।

3.1 उपयोगकर्ता स्वीकृति परीक्षण (UAT): पासकी कार्यान्वयन का परीक्षण कैसे करें?#

उपयोगकर्ता स्वीकृति परीक्षण (UAT) में मानव परीक्षक मैन्युअल रूप से पासकी सिस्टम के साथ इंटरैक्ट करके इसकी कार्यक्षमता और उपयोगकर्ता अनुभव को मान्य करते हैं। यह व्यावहारिक दृष्टिकोण उन समस्याओं को उजागर करने के लिए महत्वपूर्ण है जिन्हें स्वचालित परीक्षण याद कर सकते हैं, जैसे उपयोगिता की समस्याएं, इंटरफ़ेस असंगतताएं और डिवाइस-विशिष्ट व्यवहार। पासकी कार्यान्वयन के संदर्भ में, मैन्युअल परीक्षण परीक्षकों को प्रमाणीकरण प्रवाह का अनुभव करने की अनुमति देता है जैसे वास्तविक उपयोगकर्ता करेंगे, सिस्टम की प्रभावशीलता और सहजता में मूल्यवान अंतर्दृष्टि प्रदान करते हैं।

पासकी के उपयोगकर्ता स्वीकृति परीक्षण के लिए मुख्य विचार:

• विविध उपयोगकर्ता खाते: अपने एप्लिकेशन के भीतर विभिन्न उपयोगकर्ता भूमिकाओं या स्थिति प्रकारों या खाता प्रकारों का प्रतिनिधित्व करने वाले परीक्षण खाते बनाएँ। यह सुनिश्चित करता है कि पासकी कार्यान्वयन सभी उपयोगकर्ता सेगमेंट में सही ढंग से काम करता है।

• डिवाइस-खाता मैपिंग: परीक्षण खातों और उपकरणों के बीच सख्त मैपिंग बनाए रखें। क्रॉस-डिवाइस प्रमाणीकरण परीक्षण का समर्थन करने के लिए विशिष्ट उपकरणों को विशिष्ट खाते असाइन करें। यह दृष्टिकोण उन परिदृश्यों का सटीक रूप से परीक्षण करने में मदद करता है जहाँ उपयोगकर्ता एक डिवाइस पर बनाए गए पासकी का उपयोग करके दूसरे डिवाइस पर प्रमाणित कर सकता है (उन्हें पहचानने के लिए + mail पैटर्न का उपयोग करें)।

• पासकी-सक्षम और पासकी-अक्षम डिवाइस: अपने परीक्षण मैट्रिक्स में पासकी-सक्षम डिवाइस (जो पासकी का समर्थन करते हैं) और पासकी-अक्षम डिवाइस (जो नहीं करते हैं) दोनों को शामिल करें। यह आपको यह सत्यापित करने की अनुमति देता है कि सिस्टम उन उपकरणों पर उचित फ़ॉलबैक प्रमाणीकरण विधियाँ प्रदान करता है जो पासकी का समर्थन नहीं करते हैं।

• क्रॉस-डिवाइस प्रमाणीकरण परीक्षण: क्रॉस-डिवाइस प्रमाणीकरण परिदृश्यों का परीक्षण करें जहाँ एक डिवाइस पर बनाए गए पासकी का उपयोग दूसरे डिवाइस पर प्रमाणित करने के लिए किया जाता है। इसमें QR कोड को स्कैन करने का परीक्षण शामिल है जो क्रॉस-डिवाइस पासकी प्रमाणीकरण को सक्षम करता है।

• प्लेटफ़ॉर्म में स्थिरता: सुनिश्चित करें कि उपयोगकर्ता अनुभव और कार्यक्षमता विभिन्न प्लेटफ़ॉर्म, ऑपरेटिंग सिस्टम और ब्राउज़रों के अनुरूप है। डिवाइस-विशिष्ट व्यवहारों और इंटरफ़ेस अंतरों पर विशेष ध्यान दें।

किस कार्यक्षमता का परीक्षण किया जाना चाहिए?

1. पासकी पंजीकरण और प्रमाणीकरण:

   • पासकी बनाना: नए पासकी को पंजीकृत करने की प्रक्रिया का परीक्षण करें, यह सुनिश्चित करते हुए कि उपयोगकर्ता विभिन्न उपकरणों पर सफलतापूर्वक पासकी सेट कर सकते हैं।

   • पासकी के साथ लॉग इन करना: सत्यापित करें कि उपयोगकर्ता विभिन्न प्लेटफ़ॉर्म पर अपने पंजीकृत पासकी का उपयोग करके प्रमाणित कर सकते हैं और यह कि लॉगिन प्रक्रिया सुचारू और त्रुटि रहित है।

   • Conditional UI के माध्यम से पासकी के साथ लॉग इन करना: सत्यापित करें कि उपयोगकर्ता उन प्लेटफ़ॉर्म पर Conditional UI का उपयोग करके प्रमाणित कर सकते हैं जो इसका समर्थन करते हैं और UI पर्याप्त प्रतिक्रिया देता है।

   • हटाए गए पासकी के साथ लॉग इन करना: परीक्षण करें कि हटाए गए पासकी को ठीक से संभाला गया है। आधुनिक ब्राउज़र (Chrome 132+, Safari 26+) अब WebAuthn Signal API का समर्थन करते हैं जो सर्वरों को क्लाइंट को क्रेडेंशियल विलोपन का संकेत देने की अनुमति देता है। दोनों Signal API प्रवाह (जब समर्थित हो) और फ़ॉलबैक त्रुटि संदेश (Signal API समर्थन के बिना ब्राउज़र के लिए) का परीक्षण करें। सत्यापित करें कि सिग्नल किए गए विलोपन क्रेडेंशियल पिकर से पासकी को हटा देते हैं और Signal API अनुपलब्ध होने पर उचित त्रुटि संदेश दिखाई देते हैं।

   • क्रॉस-डिवाइस प्रमाणीकरण: जाँचें कि एक डिवाइस पर बनाए गए पासकी का उपयोग दूसरों पर किया जा सकता है यदि समर्थित हो, और यह कि सिस्टम ऐसे परिदृश्यों को उचित रूप से संभालता है।

2. पासकी प्रबंधन:

   • पासकी जोड़ना: सुनिश्चित करें कि उपयोगकर्ता अपने खातों में एकाधिक पासकी जोड़ सकते हैं, उन परिदृश्यों को समायोजित करते हुए जहाँ उपयोगकर्ताओं के पास एकाधिक डिवाइस हैं।

   • पासकी हटाना: पासकी हटाने की क्षमता का परीक्षण करें, यह पुष्टि करते हुए कि सिस्टम उपयोगकर्ता की खाता स्थिति को सही ढंग से अपडेट करता है।

   • पासकी सूचीबद्ध करना: सत्यापित करें कि उपयोगकर्ता अपने खाते से जुड़े सभी पंजीकृत पासकी देख सकते हैं, जिसमें स्पष्ट जानकारी और प्रबंधन विकल्प हैं।

   • ईमेल सूचनाएं: पुष्टि करें कि ईमेल सूचनाएं (उदा., जब कोई पासकी जोड़ा या हटाया जाता है) सही ढंग से ट्रिगर होती हैं और सही ग्राहक ईमेल पते पर भेजी जाती हैं। इन सूचनाओं को ठीक से स्थानीयकृत किया जाना चाहिए, स्पष्ट निर्देश होने चाहिए, पासकी का विवरण होना चाहिए और ब्रांडिंग दिशानिर्देशों का पालन करना चाहिए।

3. मौजूदा MFA तर्क (Logic) के साथ सहभागिता:

   • MFA स्थिति परिवर्तन: परीक्षण करें कि पासकी को सक्षम या अक्षम करने से उपयोगकर्ता की बहु-कारक प्रमाणीकरण (MFA) स्थिति कैसे प्रभावित होती है। इसमें खाते से सभी पासकी हटाना शामिल है।

   • फ़ॉलबैक तंत्र: सुनिश्चित करें कि, जब पासकी प्रमाणीकरण अनुपलब्ध होता है (उदा., असमर्थित उपकरणों पर), तो उपयोगकर्ताओं को पासवर्ड या OTP जैसी वैकल्पिक प्रमाणीकरण विधियाँ प्रस्तुत की जाती हैं।

   • MFA रूपांतरण: पारंपरिक MFA विधियों से पासकी में संक्रमण प्रक्रिया को मान्य करें, यह सुनिश्चित करते हुए कि मौजूदा सुरक्षा उपाय बरकरार हैं।

4. यूज़र इंटरफ़ेस और अनुभव:

   • उपयोगिता मूल्यांकन: आकलन करें कि पासकी वर्कफ़्लो सहज और उपयोगकर्ता के अनुकूल हैं या नहीं, भ्रम और त्रुटियों को कम करते हुए।

   • पहुँच अनुपालन (Accessibility Compliance): पुष्टि करें कि इंटरफ़ेस यदि आवश्यक हो तो विकलांग उपयोगकर्ताओं का समर्थन करने के लिए पहुँच मानकों (उदा., WCAG दिशानिर्देश) को पूरा करता है।

   • स्थानीयकरण और भाषा समर्थन: सत्यापित करें कि पासकी सुविधाएँ विभिन्न क्षेत्रों और भाषाओं के लिए सही ढंग से स्थानीयकृत हैं, यदि लागू हो।

5. त्रुटि प्रबंधन (Error Handling) और एज केस:

   • प्लेटफ़ॉर्म-ऑथेंटिकेटर के बिना डिवाइस: व्यवहार का परीक्षण करें जब डिवाइस पासकी का समर्थन नहीं करता है (यानी, जब isUserVerifyingPlatformAuthenticatorAvailable() गलत रिटर्न करता है या परिभाषित नहीं है)। पुष्टि करें कि सिस्टम पासकी विकल्पों को छुपाता है, उपयुक्त वैकल्पिक प्रमाणीकरण विधियाँ प्रदान करता है या शालीनता से फ़ॉलबैक करता है।

   • निरस्त (Aborted) पासकी सेरेमनी: परीक्षण करें कि सिस्टम उन स्थितियों को कैसे संभालता है जहाँ उपयोगकर्ता पासकी प्रमाणीकरण प्रक्रिया को निरस्त करते हैं, जैसे कि सेरेमनी के दौरान रद्द करना या बाहर निकलना। सुनिश्चित करें कि पहले गर्भपात पर, सिस्टम इसे एक सामान्य घटना के रूप में मानता है, स्पष्ट और आश्वस्त करने वाले संदेश प्रदान करता है, और उपयोगकर्ता को फिर से प्रयास करने के लिए प्रोत्साहित करता है। यदि उपयोगकर्ता दूसरी बार गर्भपात करता है, तो सत्यापित करें कि सिस्टम वैकल्पिक प्रमाणीकरण विधियाँ प्रदान करता है और उपयोगकर्ता का उचित मार्गदर्शन करता है। यह पासकी प्रमाणीकरण बाधित होने पर भी एक सहज उपयोगकर्ता अनुभव सुनिश्चित करता है।

   • गलत इनपुट: परीक्षण करें कि सिस्टम अमान्य डेटा या क्रियाओं का कैसे जवाब देता है, जैसे गलत बायोमेट्रिक इनपुट, रद्द किए गए प्रमाणीकरण प्रयास, या अमान्य OTP। सुनिश्चित करें कि त्रुटि संदेश स्पष्ट हैं और आगे बढ़ने के बारे में उपयोगकर्ता का मार्गदर्शन करते हैं।

   • डिवाइस-विशिष्ट समस्याएँ: किसी भी विसंगति या समस्या को पहचानें और दस्तावेज़ करें जो विशिष्ट उपकरणों, ऑपरेटिंग सिस्टम या ब्राउज़रों पर होती हैं। इसमें UI रेंडरिंग समस्याएँ, कार्यात्मक विसंगतियां या प्रदर्शन समस्याएँ शामिल हैं।

   • नेटवर्क स्थितियां: यह देखने के लिए कि सिस्टम प्रमाणीकरण के दौरान कनेक्टिविटी समस्याओं को कैसे संभालता है, विभिन्न नेटवर्क स्थितियों (उदा., ऑफ़लाइन, धीमे कनेक्शन, आंतरायिक कनेक्टिविटी, डेवलपर एक्सटेंशन के माध्यम से नेटवर्क कनेक्शन को ब्लॉक करना) का अनुकरण करें। सुनिश्चित करें कि सिस्टम उचित फ़ीडबैक और रिकवरी विकल्प प्रदान करता है।

6. खाता जीवनचक्र परिदृश्य:

   • खाता निर्माण और ऑनबोर्डिंग: नए उपयोगकर्ताओं के लिए पूर्ण ऑनबोर्डिंग प्रवाह का परीक्षण करें, जिसमें खाता निर्माण के दौरान या पहले साइन-अप के बाद (उपयोग-मामले के आधार पर) पासकी सेटअप शामिल है। सत्यापित करें कि उपयोगकर्ता प्रारंभिक MFA सेटअप के भाग के रूप में पासकी सेट कर सकते हैं।

   • खाता रिकवरी: उन परिदृश्यों का परीक्षण करें जहाँ उपयोगकर्ताओं को अपने खाते तक पहुँच पुनः प्राप्त करने की आवश्यकता होती है, जैसे कि जब वे अपने पासकी-सक्षम डिवाइस तक पहुँच खो देते हैं। सुनिश्चित करें कि पुनर्प्राप्ति प्रक्रिया सुरक्षित और उपयोगकर्ता के अनुकूल है।

   • मोबाइल नंबर में बदलाव: मोबाइल नंबर अपडेट करने की प्रक्रिया का परीक्षण करें, खासकर जब मोबाइल नंबर का उपयोग MFA या खाता पुनर्प्राप्ति के लिए किया जाता है। सत्यापित करें कि परिवर्तन सिस्टम में ठीक से दिखाई दे रहे हैं और प्रमाणीकरण विधियों को तदनुसार अपडेट किया गया है।

7. आपके कार्यान्वयन के आधार पर अतिरिक्त कार्यक्षमता: ग्राहक सहायता अधिसूचना प्रबंधन, और बहुत कुछ।

   • संपूर्ण एंटरप्राइज़ स्टैक का परीक्षण करें: इस लेख में, हम मुख्य रूप से वेबसाइट और प्रमाणीकरण प्रणाली में बदलावों पर ध्यान केंद्रित करते हैं, क्योंकि ये सबसे महत्वपूर्ण कार्यक्षमता का प्रतिनिधित्व करते हैं। हालाँकि, जैसा कि हमारे पिछले लेख में चर्चा की गई है, समग्र कार्यान्वयन में अतिरिक्त घटक शामिल हैं। एंटरप्राइज़ स्टैक के सभी तत्वों का भी अच्छी तरह से परीक्षण करना याद रखें।

• ग्राहक सहायता: जबकि प्राथमिक ध्यान उपभोक्ता-सामना करने वाली सुविधाओं पर है, परीक्षण करें कि ग्राहक सहायता कार्यक्षमता ठीक से एकीकृत है। सत्यापित करें कि सहायता एजेंट पासकी-संबंधित डेटा देख सकते हैं और उपयोगकर्ता की ओर से एकल या एकाधिक पासकी हटा सकते हैं। सुनिश्चित करें कि UI सहायता एजेंट को पासकी की सटीक पहचान करने और प्रबंधित करने के लिए पर्याप्त जानकारी प्रदान करता है।

• सुरक्षा, लॉगिंग और ऑडिट: मान्य करें कि सहायता एजेंटों द्वारा किए गए सभी पासकी कार्य उपयोगकर्ता के खाता लॉग और ग्राहक-सामना करने वाले इंटरफ़ेस में सही ढंग से दिखाई देते हैं। विभिन्न इंटरफेस में प्रदर्शित डेटा की स्थिरता और अखंडता की जांच करें, एक एकीकृत और विश्वसनीय उपयोगकर्ता अनुभव सुनिश्चित करें।

परीक्षण के लिए किस डिवाइस का उपयोग किया जाना चाहिए?

यह सुनिश्चित करने के लिए उपकरणों के विविध सेट पर परीक्षण आवश्यक है कि पासकी कार्यान्वयन सभी उपयोगकर्ताओं के लिए लगातार काम करता है। इसमें आधुनिक उपकरण जो पासकी का समर्थन करते हैं और पुराने उपकरण जो नहीं करते हैं दोनों शामिल हैं। यहां एक नमूना उपकरण मैट्रिक्स दिया गया है जिसे आप अपने उपयोगकर्ता आधार के आधार पर अतिरिक्त ब्राउज़र के साथ समृद्ध कर सकते हैं:

पासकी-सक्षम डिवाइस:

पासकी-अक्षम डिवाइस:

एक व्यापक डिवाइस परीक्षण मैट्रिक्स के साथ इन केंद्रित परीक्षण रणनीतियों को एकीकृत करके, आप अपने पासकी कार्यान्वयन की गुणवत्ता सुनिश्चित करने के लिए एक अच्छी नींव स्थापित करते हैं। विविध उपकरणों—पासकी-सक्षम और पासकी-अक्षम दोनों—पर विस्तृत परीक्षण आपको संभावित समस्याओं की पहचान करने और उनका समाधान करने की अनुमति देता है, जिससे सभी उपयोगकर्ताओं के लिए एक सुसंगत और सहज उपयोगकर्ता अनुभव सुनिश्चित होता है। साथ में, ये प्रयास एक सुरक्षित, उपयोगकर्ता के अनुकूल पासकी प्रमाणीकरण प्रणाली प्रदान करने में योगदान करते हैं जो एंटरप्राइज़ वातावरण में आवश्यक उच्च मानकों को पूरा करता है। यदि आपके पास पुराने उपकरणों तक पर्याप्त पहुँच नहीं है तो आप पासकी-अक्षम उपकरणों के परीक्षण के लिए Browserstack जैसी सेवाओं का उपयोग कर सकते हैं। यदि आप Mac पर काम कर रहे हैं तो आप Windows Virtual Desktop के लिए Parallels का भी उपयोग कर सकते हैं।

3.2 स्वचालित परीक्षण (Automated Tests): स्वचालित पासकी परीक्षण कैसे लागू करें?#

स्वचालित परीक्षण दोहराए जाने वाले कार्यों और रिग्रेशन परीक्षणों को कुशलतापूर्वक संचालित करने में सक्षम करके मैन्युअल परीक्षण को पूरक करता है। हालांकि, पासकी कार्यक्षमता का परीक्षण करने से अनूठी चुनौतियाँ पेश होती हैं, मुख्य रूप से इसलिए क्योंकि प्लेटफ़ॉर्म ऑथेंटिकेटर्स का उपयोग करने वाले वास्तविक पासकी प्राधिकरणों का स्वचालित वातावरण में सीधे परीक्षण नहीं किया जा सकता है। यह बायोमेट्रिक इनपुट या हार्डवेयर इंटरैक्शन पर निर्भरता के कारण है, जो मानक परीक्षण फ्रेमवर्क में अनुकरण करना संभव नहीं है।

इस सीमा को दूर करने के लिए, पासकी के लिए स्वचालित परीक्षण वर्चुअल ऑथेंटिकेटर के उपयोग पर निर्भर करते हैं। वर्चुअल ऑथेंटिकेटर एक ऑथेंटिकेटर का सॉफ़्टवेयर-आधारित प्रतिनिधित्व है, जो क्रोमियम के हिस्से के रूप में उपलब्ध है और स्वचालन फ्रेमवर्क के माध्यम से सुलभ है। यह डेवलपर्स को भौतिक उपकरणों या बायोमेट्रिक इनपुट की आवश्यकता के बिना पासकी पंजीकरण और प्रमाणीकरण प्रक्रियाओं का अनुकरण करने की अनुमति देता है।

3.2.1 वर्चुअल ऑथेंटिकेटर को सक्रिय करना#

अपने स्वचालित परीक्षणों में वर्चुअल ऑथेंटिकेटर का उपयोग करने से पहले, इसे आपके परीक्षण वातावरण के भीतर सक्रिय होना चाहिए। इसमें आमतौर पर ब्राउज़र के डिबगिंग प्रोटोकॉल (उदा., Chrome DevTools Protocol) के साथ एक सत्र शुरू करना और WebAuthn डोमेन को सक्षम करना शामिल है। यह ध्यान रखना महत्वपूर्ण है कि वर्चुअल ऑथेंटिकेटर की स्थिति को कुछ शर्तों के तहत रीसेट किया जा सकता है, जैसे ब्राउज़र पुनरारंभ या संदर्भ परिवर्तन। इसलिए, यह सुनिश्चित करने के लिए परीक्षणों को सावधानीपूर्वक विकसित किया जाना चाहिए कि वर्चुअल ऑथेंटिकेटर को परीक्षण प्रक्रिया के दौरान लगातार आरंभ और बनाए रखा गया है। ऑथेंटिकेटर CTAP2 का समर्थन करता है और पासकी के साथ काम करने के लिए उपयोगकर्ता सत्यापन और निवासी कुंजी (resident key) समर्थन के साथ कॉन्फ़िगर किया जाना चाहिए।

3.2.2 क्या Selenium 3 पासकी ऑटोमेशन परीक्षण का समर्थन करता है?#

स्वचालित पासकी परीक्षण का सफल कार्यान्वयन Selenium और Playwright जैसे फ्रेमवर्क का उपयोग करके प्राप्त किया गया है, और अन्य जो आवश्यक ब्राउज़र ऑटोमेशन प्रोटोकॉल तक पहुंच प्रदान करते हैं। Selenium 4 और Playwright के लिए, वर्चुअल ऑथेंटिकेटर के लिए मूल समर्थन उपलब्ध है, जो वर्चुअल ऑथेंटिकेटर के जीवनचक्र का प्रबंधन करने और उपयोगकर्ता इंटरैक्शन का अनुकरण करने के लिए API प्रदान करता है। Selenium 3 के साथ पासकी परीक्षण यह संभव है, लेकिन आपको सीधे कार्यक्षमता लागू करने की आवश्यकता है (यदि आपको सहायता की आवश्यकता है तो हमसे संपर्क करें)।

3.2.3 परीक्षण का दायरा#

स्वचालित परीक्षणों में आपके पासकी कार्यान्वयन की सबसे महत्वपूर्ण कार्यात्मकताओं को शामिल किया जाना चाहिए, जिनमें निम्न शामिल हैं:

• पासकी बनाना: किसी उपयोगकर्ता द्वारा नया पासकी पंजीकृत करने की प्रक्रिया का अनुकरण करें, यह सुनिश्चित करते हुए कि पंजीकरण प्रवाह सही ढंग से काम करता है।

• पासकी के साथ लॉग इन करना: सत्यापित करें कि उपयोगकर्ता अपने पंजीकृत पासकी का उपयोग करके प्रमाणित कर सकते हैं, और यह कि लॉगिन प्रक्रिया सुचारू और त्रुटि रहित है।

• खाता प्रबंधन कार्यक्षमता: पासकी प्रबंधन सुविधाएँ इच्छानुसार काम करती हैं यह सुनिश्चित करने के लिए उपयोगकर्ता खाते से जुड़े पासकी जोड़ने, सूचीबद्ध करने और हटाने का परीक्षण करें।

• त्रुटि स्थिति और नेटवर्क विफलताएँ: बैकएंड के जवाब देने में विफल रहने का अनुकरण करें यह मोबाइल संचालन के लिए विशेष रूप से महत्वपूर्ण है क्योंकि नेटवर्किंग हमेशा विश्वसनीय नहीं होती है।

इन परीक्षणों को अपने स्वचालित परीक्षण सुइट में शामिल करके, आप लगातार महत्वपूर्ण पासकी कार्यात्मकताओं को मान्य कर सकते हैं, रिग्रेशन के जोखिम को कम कर सकते हैं और अपने प्रमाणीकरण प्रणाली की समग्र गुणवत्ता बढ़ा सकते हैं।

3.2.4 अतिरिक्त विचार#

• उपयोगकर्ता सत्यापन का अनुकरण: चूँकि वर्चुअल ऑथेंटिकेटर में वास्तविक बायोमेट्रिक इनपुट शामिल नहीं होते हैं, आप इसे उपयोगकर्ता सत्यापन की सफलता या विफलता का अनुकरण करने के लिए कॉन्फ़िगर कर सकते हैं। यह आपको यह परीक्षण करने की अनुमति देता है कि आपका सिस्टम सफल प्रमाणीकरण और उन परिदृश्यों दोनों को कैसे संभालता है जहाँ उपयोगकर्ता सत्यापन विफल हो जाता है या रद्द कर दिया जाता है।

• वर्चुअल ऑथेंटिकेटर स्टेट को संभालना: ध्यान रखें कि कुछ स्थितियों में (विशेषकर Selenum 3 में) वर्चुअल ऑथेंटिकेटर की स्थिति रीसेट हो सकती है। सुनिश्चित करें कि आपके परीक्षण आवश्यकतानुसार वर्चुअल ऑथेंटिकेटर को पुनः प्रारंभ करते हैं और स्थिरता बनाए रखने के लिए पुन: प्रयोज्य कार्यों या परीक्षण हुक में वर्चुअल ऑथेंटिकेटर सेटअप को इनकैप्सुलेट करने पर विचार करें।

3.2.5 कार्यान्वयन युक्तियाँ#

• फ्रेमवर्क चयन: जबकि Selenium और Playwright आमतौर पर उपयोग किए जाते हैं, अन्य स्वचालन फ्रेमवर्क जो ब्राउज़र के डिबगिंग प्रोटोकॉल तक पहुंच प्रदान करते हैं, उन्हें भी पासकी परीक्षण के लिए उपयोग किया जा सकता है। एक फ्रेमवर्क चुनें जो आपके प्रोजेक्ट की आवश्यकताओं के अनुकूल हो और जिसमें WebAuthn परीक्षण के लिए पर्याप्त समर्थन हो।

• परीक्षण विश्वसनीयता: चूंकि पासकी प्रमाणीकरण में अतुल्यकालिक (asynchronous) संचालन और ब्राउज़र API के साथ इंटरैक्शन शामिल हैं, सुनिश्चित करें कि आपके परीक्षणों में इन अतुल्यकालिक घटनाओं को संभालने के लिए उचित प्रतीक्षा तंत्र शामिल हैं। यह अस्थिर परीक्षणों को रोक सकता है और विश्वसनीयता में सुधार कर सकता है।

• दस्तावेज़ीकरण और उदाहरण: अपने चुने हुए फ्रेमवर्क में वर्चुअल ऑथेंटिकेटर स्थापित करने के विस्तृत गाइड और उदाहरणों का संदर्भ लें। उदाहरण के लिए, Playwright वर्चुअल ऑथेंटिकेटर का उपयोग करने के तरीके पर व्यापक दस्तावेज़ीकरण प्रदान करता है, जिसमें कोड स्निपेट और सर्वोत्तम अभ्यास शामिल हैं।

शामिल अनूठी चुनौतियों के कारण पासकी कार्यक्षमता के स्वचालित परीक्षण के लिए सावधानीपूर्वक सेटअप की आवश्यकता होती है। वर्चुअल ऑथेंटिकेटर का लाभ उठाकर और इसका समर्थन करने वाले फ्रेमवर्क का उपयोग करके, आप पासकी पंजीकरण, प्रमाणीकरण और प्रबंधन के प्रमुख पहलुओं को प्रभावी ढंग से स्वचालित कर सकते हैं। यह आपकी परीक्षण रणनीति को बढ़ाता है, यह सुनिश्चित करता है कि आपका पासकी कार्यान्वयन मजबूत, विश्वसनीय और एंटरप्राइज़ वातावरण में तैनाती के लिए तैयार है।

3.3 पासकी इंटेलिजेंस परीक्षण (Passkey Intelligence Testing)#

Passkey Intelligence एक सहज और उपयोगकर्ता के अनुकूल प्रमाणीकरण अनुभव प्रदान करने में एक महत्वपूर्ण घटक है, विशेष रूप से जब स्वचालित लॉगिन के साथ आइडेंटिफ़ायर-फर्स्ट (Identifier-First) दृष्टिकोण का उपयोग करके पासकी लागू किया जाता है। यह दृष्टिकोण पासकी की उपलब्धता और सफल प्रमाणीकरण की संभावना के आधार पर उपयोगकर्ताओं को पासकी प्रमाणीकरण के लिए प्रेरित करने का निर्णय लेने के लिए बुद्धिमान निर्णय लेने पर निर्भर करता है। Passkey Intelligence का परीक्षण यह सुनिश्चित करता है कि आपका सिस्टम पासकी की उपलब्धता का सटीक रूप से पता लगाता है और प्रत्येक उपयोगकर्ता परिदृश्य के लिए इष्टतम प्रमाणीकरण विधि प्रदान करता है।

3.3.1 पासकी इंटेलिजेंस को समझना#

Passkey Intelligence पासकी प्रमाणीकरण की पेशकश कब करनी है और कब पासवर्ड या वन-टाइम पासकोड (OTP) जैसे वैकल्पिक तरीकों पर फ़ॉलबैक करना है, यह तय करने के लिए विभिन्न संकेतों और मेटाडेटा का विश्लेषण करने की सिस्टम की क्षमता को संदर्भित करता है। यह उपयोगकर्ता अनुभव को बढ़ाता है:

• सफल लॉगिन को अधिकतम करना: पासकी प्रमाणीकरण की पेशकश तब करना जब इसके सफल होने की सबसे अधिक संभावना हो।

• विफल प्रयासों को कम करना: विफलता की संभावना होने पर अनावश्यक पासकी संकेतों से बचना, इस प्रकार उपयोगकर्ता की निराशा को कम करना।

• उपयोगकर्ता प्रवाह को अनुकूलित करना: प्रत्येक उपयोगकर्ता के वातावरण और इतिहास के अनुरूप एक सहज प्रमाणीकरण प्रक्रिया प्रदान करना।

यह इंटेलिजेंस आइडेंटिफ़ायर-फर्स्ट दृष्टिकोण में विशेष रूप से महत्वपूर्ण है, जहाँ अपना उपयोगकर्ता नाम या ईमेल दर्ज करने के बाद, उपयोगकर्ताओं को बिना अतिरिक्त इनपुट के स्वचालित रूप से पासकी प्रमाणीकरण के लिए प्रेरित किया जा सकता है। अनावश्यक संकेतों से बचने और उचित फ़ॉलबैक विकल्प प्रदान करने के लिए पासकी उपलब्धता का सटीक पता लगाना महत्वपूर्ण है।

इसके विपरीत, पासकी बटन दृष्टिकोण में उपयोगकर्ता स्पष्ट रूप से एक बटन क्लिक करके पासकी से प्रमाणित करने का विकल्प चुनते हैं। जबकि Passkey Intelligence अभी भी बटन की दृश्यता और उपलब्धता निर्धारित करके अनुभव को बढ़ाता है, यह आइडेंटिफ़ायर-फर्स्ट दृष्टिकोण की तुलना में कम महत्वपूर्ण है, क्योंकि उपयोगकर्ता सक्रिय विकल्प चुन रहे हैं।

3.3.2 पासकी इंटेलिजेंस के परीक्षण के लिए मुख्य विचार#

Passkey Intelligence के परीक्षण में यह मान्य करना शामिल है कि आपका सिस्टम विभिन्न संकेतों की सही व्याख्या करता है और उचित प्रमाणीकरण विधि प्रदान करता है। यहाँ ध्यान केंद्रित करने के लिए प्रमुख क्षेत्र दिए गए हैं:

3.3.2.1 पासकी उपलब्धता का पता लगाना#

यह सुनिश्चित करने के लिए कि स्वचालित लॉगिन सही ढंग से काम करता है, आपके सिस्टम को सटीक रूप से यह पता लगाना चाहिए कि उपयोगकर्ता के लिए पासकी उपलब्ध हैं या नहीं। इस पहचान को मान्य करने के लिए परीक्षण में विभिन्न परिदृश्यों को शामिल किया जाना चाहिए:

• पंजीकृत पासकी के बिना उपयोगकर्ता: सत्यापित करें कि सिस्टम पासकी प्रमाणीकरण के लिए संकेत नहीं देता है और वैकल्पिक विधियाँ प्रदान करता है।

• पंजीकृत पासकी वाले उपयोगकर्ता: पुष्टि करें कि सिस्टम यह पहचानता है कि उपयोगकर्ता के पास पंजीकृत पासकी कब है और पासकी प्रमाणीकरण के लिए संकेत देता है।

• पंजीकृत पासकी वाला उपयोगकर्ता जो सुलभ नहीं हैं: पुष्टि करें कि सिस्टम पहचानता है कि उपयोगकर्ता के पास पंजीकृत पासकी (उदा., Windows पर) कब है लेकिन अपने iPhone पर लॉग इन करने का प्रयास करता है और इसलिए पासकी लॉगिन की पेशकश करने के लिए आगे नहीं बढ़ता है।

• डिवाइस क्षमताएं: उन उपकरणों पर परीक्षण करें जो पासकी का समर्थन करते हैं और जो उनका समर्थन नहीं करते हैं, यह सुनिश्चित करने के लिए कि सिस्टम खाते से स्वतंत्र होकर डिवाइस के अनुकूल उचित रूप से ढल जाता है।

• पासकी सिंक्रोनाइज़ेशन: जांचें कि क्लाउड में संग्रहीत पासकी (उदा., iCloud Keychain, Google Password Manager) सही उपकरणों पर विभिन्न उपकरणों में पता लगाए गए हैं या नहीं।

3.3.2.2 विभिन्न पासकी प्रदाताओं के साथ परीक्षण करना#

Passkey Intelligence को फ़र्स्ट-पार्टी और थर्ड-पार्टी दोनों तरह के विभिन्न पासकी प्रदाताओं के साथ प्रभावी ढंग से काम करना चाहिए। प्रत्येक प्रदाता का व्यवहार और क्षमताएं अलग-अलग हो सकती हैं, जो इस बात को प्रभावित करती हैं कि पासकी का पता कैसे लगाया जाता है और उसका उपयोग कैसे किया जाता है।

फ़र्स्ट-पार्टी प्रदाता:

• Windows Hello: Microsoft का बायोमेट्रिक प्रमाणीकरण सिस्टम Windows डिवाइस में एकीकृत है। ध्यान रखें कि Windows Hello कुंजियाँ सिंक्रोनाइज़ नहीं होती हैं, लेकिन Windows ने घोषणा की है कि यह जल्द ही बदल जाएगा।

• Google Password Manager: Google का समाधान उपकरणों और ब्राउज़रों में पासकी संग्रहीत करने और सिंक्रनाइज़ करने के लिए है। ध्यान रखें कि GPM Chrome पर भी उपलब्ध नहीं है बल्कि अन्य प्लेटफ़ॉर्म पर है।

• iCloud Keychain: पासकी संग्रहीत करने और उन्हें Apple डिवाइस में सिंक्रनाइज़ करने के लिए Apple की सेवा।

थर्ड-पार्टी प्रदाता:

• 1Password: एक लोकप्रिय पासवर्ड मैनेजर जो पासकी का समर्थन करता है और उन्हें प्लेटफ़ॉर्म पर सिंक्रनाइज़ कर सकता है।

• Dashlane: पासकी समर्थन के साथ एक और व्यापक रूप से उपयोग किया जाने वाला पासवर्ड मैनेजर।

• अन्य: आपके उपयोगकर्ता-आधार और देश के फ़ोकस के आधार पर शायद अन्य थर्ड-पार्टी प्रदाता अधिक महत्वपूर्ण हो सकते हैं।

परीक्षण के चरण:

• पंजीकरण और प्रमाणीकरण: सुनिश्चित करें कि उपयोगकर्ता प्रत्येक प्रदाता से पासकी का उपयोग करके पंजीकृत और प्रमाणित कर सकते हैं।

• क्रॉस-प्लेटफ़ॉर्म व्यवहार: सत्यापित करें कि क्लाउड-आधारित प्रदाताओं का उपयोग करते समय पासकी विभिन्न उपकरणों और ब्राउज़रों में सही ढंग से सिंक्रनाइज़ होते हैं।

• त्रुटि प्रबंधन: परीक्षण करें कि सिस्टम विशिष्ट प्रदाताओं से पासकी की विफलता या अनुपलब्धता को कैसे संभालता है।

3.3.2.3 क्रॉस-डिवाइस प्रमाणीकरण परिदृश्य#

क्रॉस-डिवाइस प्रमाणीकरण उपयोगकर्ताओं को दूसरे डिवाइस पर संग्रहीत पासकी का उपयोग करके एक डिवाइस पर प्रमाणित करने की अनुमति देता है। निर्बाध अनुभव सुनिश्चित करने के लिए इन परिदृश्यों का परीक्षण आवश्यक है।

परीक्षण करने के लिए मुख्य परिदृश्य:

• iPhone से Windows PC: उपयोगकर्ता अपने iPhone पर संग्रहीत पासकी का उपयोग करके Windows PC पर लॉग इन करने का प्रयास करते हैं।

• Android फ़ोन से Mac Safari: उपयोगकर्ता अपने Android डिवाइस पर संग्रहीत पासकी का उपयोग करके Safari द्वारा Mac पर प्रमाणित करते हैं।

• Android से Windows PC: Android डिवाइस से Windows PC पर प्रमाणीकरण का परीक्षण। ध्यान रखें कि Chrome 130 से उपयोगकर्ताओं को अब क्रॉस डिवाइस ऑथेंटिकेशन करने की आवश्यकता नहीं हो सकती है।

परीक्षण के चरण:

• संगतता जाँच: सुनिश्चित करें कि क्रॉस-डिवाइस प्रमाणीकरण विभिन्न ऑपरेटिंग सिस्टम और ब्राउज़रों पर काम करता है।

• उपयोगकर्ता संकेत और निर्देश: सत्यापित करें कि उपयोगकर्ताओं को प्रमाणीकरण प्रक्रिया के दौरान स्पष्ट निर्देश प्राप्त होते हैं।

• सुरक्षा सत्यापन: पुष्टि करें कि प्रमाणीकरण प्रक्रिया सुरक्षित है और मैन-इन-द-मिडल हमलों के लिए प्रतिरोधी है।

3.3.2.4 एज केस और विफलताओं को संभालना#

परीक्षण में ऐसे परिदृश्यों को भी शामिल किया जाना चाहिए जहाँ Passkey Intelligence को चुनौतियों का सामना करना पड़ सकता है:

• अनुपलब्ध पासकी: ऐसी स्थितियां जहां पासकी अपेक्षित हैं लेकिन सिंक्रोनाइज़ेशन में देरी या नेटवर्क समस्याओं के कारण उपलब्ध नहीं हैं।

• उपयोगकर्ता रद्दीकरण: उपयोगकर्ता पासकी संकेत को रद्द कर देते हैं; सिस्टम को वैकल्पिक तरीकों पर शालीनता से वापस जाना चाहिए। सत्यापन के दौरान, दावा करें कि इन अपेक्षित निरस्त पथों को वास्तविक दोषों से अलग ट्रैक किया जाता है (WebAuthn त्रुटियां देखें)।

• थर्ड-पार्टी एक्सटेंशन: ब्राउज़र एक्सटेंशन या प्लगइन्स के साथ इंटरैक्शन जो पासकी पहचान या Conditional UI में हस्तक्षेप कर सकते हैं।

3.3.2.5 पासकी इंटेलिजेंस तर्क (Logic) का मूल्यांकन करना#

अपने Passkey Intelligence सिस्टम की निर्णय लेने की प्रक्रिया का आकलन करें:

• डेटा सटीकता: सुनिश्चित करें कि निर्णय लेने के लिए उपयोग किया जाने वाला मेटाडेटा और संकेत सटीक और अद्यतित हैं और डेटाबेस (BS Flags) में सही ढंग से संग्रहीत हैं।

• अनुकूली प्रतिक्रियाएं: मान्य करें कि सिस्टम नई जानकारी को अपनाता है, जैसे कि नए पंजीकृत पासकी या डिवाइस क्षमताओं में परिवर्तन।

• प्रदर्शन प्रभाव: जांचें कि इंटेलिजेंस तर्क प्रमाणीकरण प्रवाह में महत्वपूर्ण देरी का परिचय नहीं देता है।

3.3.2.6 परीक्षण कार्यप्रणाली#

Passkey Intelligence का पूरी तरह से परीक्षण करने के लिए, निम्नलिखित कार्यप्रणाली पर विचार करें:

1. विभिन्न कॉन्फ़िगरेशन के साथ परीक्षण खाते बनाएँ: उपयोगकर्ता खाते सेट अप करें जो विभिन्न स्थितियों का प्रतिनिधित्व करते हैं, जैसे कि पंजीकृत पासकी के साथ या उसके बिना, और विभिन्न पासकी प्रदाताओं के साथ।

2. एक व्यापक डिवाइस मैट्रिक्स का उपयोग करें: जितने संभव हो उतने उपयोगकर्ता परिदृश्यों को कवर करने के लिए अपने परीक्षण में विभिन्न प्रकार के उपकरणों, ऑपरेटिंग सिस्टम और ब्राउज़रों को शामिल करें।

3. विभिन्न नेटवर्क स्थितियों का अनुकरण करें: यह आकलन करने के लिए कि सिंक्रोनाइज़ेशन विलंब या कनेक्टिविटी समस्याएँ पासकी का पता लगाने को कैसे प्रभावित करती हैं, विभिन्न नेटवर्क स्थितियों के तहत परीक्षण करें।

4. जटिल परिदृश्यों के लिए परीक्षण: क्रॉस-डिवाइस प्रमाणीकरण और एज केस के लिए, उपयोगकर्ता अनुभव की बारीकियों को पूरी तरह से पकड़ने के लिए मैन्युअल परीक्षण आवश्यक होगा।

5. लॉग और मेट्रिक्स का विश्लेषण करें: Passkey Intelligence निर्णय कैसे लिए जाते हैं यह समझने और किसी भी विसंगतियों या विफलताओं की पहचान करने के लिए लॉग एकत्र करें और उनका विश्लेषण करें।

3.3.2.7 सर्वोत्तम अभ्यास (Best Practices)#

• उपयोगकर्ता अनुभव को सबसे आगे रखें: सुनिश्चित करें कि प्रमाणीकरण प्रवाह सुचारू और सहज बना रहे, भले ही Passkey Intelligence वैकल्पिक तरीकों पर वापस जाने का निर्णय ले।

• प्रदाता परिवर्तन के साथ अपडेट रहें: पासकी प्रदाता अपनी सेवाओं को अपडेट कर सकते हैं, जिससे पासकी को संग्रहीत या सिंक्रनाइज़ करने का तरीका प्रभावित हो सकता है। इन परिवर्तनों को प्रतिबिंबित करने के लिए अपने परीक्षण परिदृश्यों को नियमित रूप से अपडेट करें। हमारे सबस्टैक की सदस्यता लें और हमारे स्लैक समुदाय में शामिल हों।

• निष्कर्षों का दस्तावेज़ीकरण: समस्या निवारण और भविष्य के परीक्षण चक्रों में सहायता के लिए परीक्षण मामलों, परिणामों और सामने आई किसी भी समस्या का विस्तृत रिकॉर्ड रखें।

Passkey Intelligence का परीक्षण यह सुनिश्चित करने के लिए महत्वपूर्ण है कि आपकी प्रमाणीकरण प्रणाली उपयोगकर्ताओं के लिए सर्वोत्तम संभव अनुभव प्रदान करती है, विशेष रूप से जब स्वचालित लॉगिन के साथ आइडेंटिफ़ायर-फर्स्ट दृष्टिकोण को नियोजित किया जाता है। पासकी उपलब्धता का पता लगाने, विभिन्न पासकी प्रदाताओं के साथ इंटरैक्शन, क्रॉस-डिवाइस प्रमाणीकरण परिदृश्य और इंटेलिजेंस तर्क का पूरी तरह से परीक्षण करके, आप सभी उपयोगकर्ता परिदृश्यों में सहज और सुरक्षित प्रमाणीकरण प्रदान करने के लिए अपने सिस्टम को अनुकूलित कर सकते हैं।

3.4 Corbado एंटरप्राइज़ परीक्षण में कैसे मदद कर सकता है#

Passkey Intelligence सहित पासकी कार्यक्षमता को लागू करना और परीक्षण करना जटिल और संसाधन गहन हो सकता है। Corbado व्यापक समाधान प्रदान करता है जो इस प्रक्रिया को सरल बनाता है, आपके एंटरप्राइज़ के लिए एक मजबूत, उपयोगकर्ता के अनुकूल प्रमाणीकरण अनुभव सुनिश्चित करता है।

3.4.1 ब्राउज़रों और उपकरणों में अच्छी तरह से परिक्षित घटक#

Corbado पूर्व-निर्मित UI घटक और SDK प्रदान करता है जिनका उपकरणों, ऑपरेटिंग सिस्टम और ब्राउज़रों की एक विस्तृत श्रृंखला में पूरी तरह से परीक्षण किया जाता है—जिसमें हाल के और पुराने दोनों संस्करण शामिल हैं जो JavaScript का समर्थन करते हैं। यह व्यापक परीक्षण यह सुनिश्चित करता है कि आपका पासकी कार्यान्वयन सभी उपयोगकर्ताओं के लिए लगातार काम करता है, डिवाइस-विशिष्ट समस्याओं के जोखिम को कम करता है और उपयोगकर्ता संतुष्टि को बढ़ाता है।

• क्रॉस-ब्राउज़र संगतता: हमारे घटक Chrome, Safari, Firefox और Edge जैसे प्रमुख ब्राउज़रों पर निर्बाध रूप से काम करते हैं, जो उपयोगकर्ता के ब्राउज़र विकल्प की परवाह किए बिना एक सुसंगत अनुभव प्रदान करते हैं।

• डिवाइस बहुमुखी प्रतिभा (Versatility): हम पासकी-सक्षम और पासकी-अक्षम दोनों उपकरणों का समर्थन करते हैं, जिससे आवश्यक होने पर सहज फ़ॉलबैक तंत्र की अनुमति मिलती है।

• प्रतिक्रियाशील डिज़ाइन (Responsive Design): घटकों को विभिन्न स्क्रीन आकारों और रिज़ॉल्यूशन के अनुकूल बनाने के लिए डिज़ाइन किया गया है, जो डेस्कटॉप, टैबलेट और मोबाइल उपकरणों पर इष्टतम उपयोगिता सुनिश्चित करता है।

• त्रुटि स्थिति (Error States): सभी घटकों का सभी नेटवर्क स्थितियों में काम करने के लिए बड़े पैमाने पर परीक्षण किया गया है और उपयोगकर्ताओं द्वारा सेरेमनी को निरस्त करने से निपटने के लिए सटीक त्रुटि संदेश और फ़ॉलबैक हैंडल हैं।

3.4.2 स्वचालित परीक्षण एकीकरण (Automated Testing Integration)#

पासकी परीक्षण को स्वचालित करने में आने वाली चुनौतियों को पहचानते हुए, Corbado ने हमारे घटक के विकास और CI/CD पाइपलाइनों में एकीकृत स्वचालित परीक्षण समाधान विकसित किए हैं। हमारे घटकों का न केवल आंतरिक रूप से पूरी तरह से परीक्षण किया जाता है, बल्कि स्वचालित परीक्षण सुइट्स के साथ भी आते हैं जिन्हें हम एंटरप्राइज़ इंस्टॉलेशन पर लागू कर सकते हैं।

• स्वचालित परीक्षण सुइट: हमारे पास पासकी पंजीकरण, प्रमाणीकरण और प्रबंधन जैसी प्रमुख कार्यक्षमता को कवर करने वाले व्यापक स्वचालित परीक्षण हैं। ये परीक्षण हमारे घटकों का पूरी तरह से परीक्षण करने के लिए डिज़ाइन किए गए हैं।

• प्रबंधित स्वचालित परीक्षण सेवाएँ: एंटरप्राइज़ ग्राहकों के लिए, Corbado हमारे एंटरप्राइज़ पैकेज के हिस्से के रूप में प्रबंधित स्वचालित परीक्षण प्रदान करता है। हम पासकी के लिए स्वचालित परीक्षण स्थापित करने और बनाए रखने की जटिलताओं को संभालते हैं, जिसमें वर्चुअल ऑथेंटिकेटर का उपयोग शामिल है, यह सुनिश्चित करते हुए कि आपका प्रमाणीकरण सिस्टम समय के साथ मजबूत बना रहे।

हम अपने घटकों का परीक्षण कैसे करते हैं, इसका एक व्यापक अवलोकन यहाँ एक अलग ब्लॉग प्रविष्टि में पाया जा सकता है।

3.4.3 व्यापक पासकी इंटेलिजेंस#

Corbado का Passkey Intelligence इंजन बड़े पैमाने पर परीक्षण किया गया समाधान है जो प्रमाणीकरण अनुभव को अनुकूलित करता है। उन्नत एल्गोरिदम और रीयल-टाइम डेटा का लाभ उठाकर, हमारा Passkey Intelligence पासकी की उपलब्धता का सटीक रूप से पता लगाता है और प्रत्येक उपयोगकर्ता परिदृश्य के लिए इष्टतम प्रमाणीकरण विधि निर्धारित करता है।

• कोई अतिरिक्त परीक्षण आवश्यक नहीं: चूंकि Passkey Intelligence पूरी तरह से Corbado द्वारा कवर, परीक्षण और विस्तारित है, इसलिए आप व्यापक इन-हाउस परीक्षण की आवश्यकता के बिना इसकी प्रभावशीलता पर भरोसा कर सकते हैं।

• अनुकूली निर्णय-निर्माण: हमारा इंजन डिवाइस क्षमताओं, उपयोगकर्ता के व्यवहार और पासकी प्रदाता अपडेट में बदलावों को अपनाता है, यह सुनिश्चित करते हुए कि प्रमाणीकरण संकेत समय पर और प्रासंगिक हैं।

• अधिकतम सफलता दर: बुद्धिमानी से यह तय करके कि पासकी प्रमाणीकरण कब देना है, हम सफल लॉगिन प्रयासों को अधिकतम करने और विफल प्रयासों से उपयोगकर्ता की निराशा को कम करने में मदद करते हैं।

• अनुकूलन (Customization): यदि आप Passkey Intelligence को अधिक रक्षात्मक या सक्रिय होने के लिए अनुकूलित करना चाहते हैं तो आप किसी भी समय नियम-सेट को कॉन्फ़िगर और अनुकूलित कर सकते हैं।

3.4.4 एंटरप्राइज़-स्तर सहायता और सेवाएँ#

एंटरप्राइज़ ग्राहकों के लिए, Corbado आपके पासकी कार्यान्वयन और परीक्षण प्रक्रिया को सुव्यवस्थित करने के लिए अतिरिक्त सहायता प्रदान करता है।

• प्रबंधित स्वचालित परीक्षण: हम व्यापक परीक्षण सेवाएँ प्रदान करते हैं जिनमें स्वचालित परीक्षण सेट करना, उनके प्रदर्शन की निगरानी करना और आवश्यकतानुसार उन्हें अपडेट करना शामिल है। यह सेवा आपकी टीम को जटिल परीक्षण परिवेशों को बनाए रखने के बोझ से मुक्त करती है।

• ऑन-साइट विशेषज्ञ परामर्श: विशेषज्ञों की हमारी टीम कार्यान्वयन या परीक्षण के दौरान आपको आने वाली किसी भी चुनौती से निपटने में सहायता के लिए उपलब्ध है, जो आपकी विशिष्ट आवश्यकताओं के अनुरूप मार्गदर्शन और समाधान प्रदान करती है। बड़ी तैनाती ऑन-साइट परामर्श के साथ आती है जिसमें आपकी तरफ से परीक्षण में मदद शामिल है।

• अनुकूलित समाधान: हम आपके उद्यम की विशिष्ट आवश्यकताओं, कॉर्पोरेट CI और अन्य मानकों के साथ संरेखित करने के लिए अपने घटकों और सेवाओं को समायोजित और फाइन-ट्यून कर सकते हैं।

• कम विकास प्रयास: हमारे पूर्व-निर्मित और अच्छी तरह से परीक्षण किए गए घटकों का उपयोग करके, आप महत्वपूर्ण विकास समय और संसाधन बचाते हैं।

• संवर्धित विश्वसनीयता: हमारी कठोर परीक्षण प्रथाएँ सुनिश्चित करती हैं कि आपका पासकी कार्यान्वयन विश्वसनीय है और विभिन्न परिस्थितियों में अच्छा प्रदर्शन करता है।

• अनुकूलित उपयोगकर्ता अनुभव: Passkey Intelligence के साथ, उपयोगकर्ता एक सहज प्रमाणीकरण प्रक्रिया का आनंद लेते हैं, जिससे संतुष्टि और अपनाने की दर बढ़ती है।

• भविष्य की तैयारी (Futureproofing): हम लंबी अवधि की संगतता और अनुपालन सुनिश्चित करने के लिए पासकी प्रौद्योगिकी और मानक में नवीनतम प्रगति के साथ संरेखित करने के लिए अपने घटकों को लगातार अपडेट करते हैं।

Corbado के साथ साझेदारी करके, आप घटकों, उपकरणों और सेवाओं के एक सूट तक पहुंच प्राप्त करते हैं जो पासकी के परीक्षण और कार्यान्वयन को सरल बनाते हैं। हमारे अच्छी तरह से परीक्षण किए गए घटक, व्यापक Passkey Intelligence, और एंटरप्राइज़-स्तर का समर्थन सुनिश्चित करते हैं कि आपका प्रमाणीकरण सिस्टम मजबूत, विश्वसनीय है, और एंटरप्राइज़ वातावरण में तैनाती के लिए तैयार है। यह सहयोग आपकी टीम को अपने उपयोगकर्ताओं को मूल्य प्रदान करने पर ध्यान केंद्रित करने की अनुमति देता है जबकि हम पासकी तकनीक की जटिलताओं को संभालते हैं।

4. पासकी कार्यान्वयन का गैर-कार्यात्मक परीक्षण (Non-Functional Testing)#

जबकि कार्यात्मक परीक्षण यह सुनिश्चित करता है कि पासकी कार्यान्वयन सभी आवश्यक सुविधाओं को पूरा करता है और एक सुसंगत उपयोगकर्ता अनुभव प्रदान करता है, यह इस बात को संबोधित नहीं करता है कि सिस्टम वास्तविक दुनिया की स्थितियों में कैसा प्रदर्शन करता है या विभिन्न प्रकार के तनाव के खिलाफ यह कितना लचीला है। गैर-कार्यात्मक परीक्षण इन पहलुओं पर केंद्रित है। यह मूल्यांकन करता है कि उच्च लोड को संभालते समय सिस्टम कैसा व्यवहार करता है, यह उपयोगकर्ता के अनुरोधों का कितनी जल्दी जवाब देता है, पीक उपयोग के तहत यह कितना स्थिर रहता है, और संभावित हमलों के खिलाफ यह कितना सुरक्षित है। पासकी के एंटरप्राइज़ परिनियोजन के लिए, गैर-कार्यात्मक परीक्षण आवश्यक है क्योंकि:

• उच्च उपयोगकर्ता मात्रा: बड़े उपयोगकर्ता आधार और अक्सर एक्सेस किए गए प्रमाणीकरण प्रवाह का मतलब है कि यहां तक ​​कि मामूली प्रदर्शन समस्याओं का उपयोगकर्ता संतुष्टि और व्यावसायिक परिणाम पर महत्वपूर्ण प्रभाव पड़ सकता है।

• तनाव के तहत विश्वसनीयता: पीक लॉगिन समय, डिवाइस पंजीकरण अभियान और बड़े पैमाने पर अपनाने की लहरों के दौरान एंटरप्राइज़ सिस्टम स्थिर और प्रदर्शन करने वाले रहने चाहिए।

• सुरक्षा आश्वासन: कार्यक्षमता से परे, यह सुनिश्चित करना कि WebAuthn और पासकी वर्कफ़्लो में कोई भेद्यता मौजूद नहीं है, विश्वास और अनुपालन बनाए रखने के लिए महत्वपूर्ण है।

• अन्य गैर-कार्यात्मक परीक्षण: अन्य गैर-कार्यात्मक परीक्षण प्रकार भी उद्यम के आधार पर महत्वपूर्ण हैं, लेकिन फोकस के लिए, हम बड़े उद्यमों के लिए सबसे महत्वपूर्ण लोगों पर ध्यान केंद्रित करेंगे—विशेष रूप से सरकारी, विनियमित, या स्वास्थ्य सेवा (healthcare) उद्योगों जैसे सुरक्षा-संवेदनशील क्षेत्रों में।

कठोर गैर-कार्यात्मक परीक्षण आयोजित करके, उद्यम आत्मविश्वास से पासकी समाधान तैयार कर सकते हैं जो मजबूत और सुरक्षित दोनों हैं, सभी परिस्थितियों में सभी उपयोगकर्ताओं के लिए एक सहज अनुभव सुनिश्चित करते हैं।

4.1 पासकी कार्यान्वयन का प्रदर्शन परीक्षण कैसे करें#

प्रदर्शन और लोड परीक्षण का उद्देश्य यह सत्यापित करना है कि पासकी कार्यान्वयन बिना डिग्रेडेशन के अपेक्षित (और कभी-कभी अप्रत्याशित) प्रमाणीकरण मात्रा को संभाल सकता है। यद्यपि पासकी संचालन - जैसे WebAuthn चुनौतियों को उत्पन्न करना और सत्यापित करना - आमतौर पर बहुत संसाधन-गहन नहीं होते हैं, एंटरप्राइज़-स्तरीय तैनाती के लिए संपूर्ण प्रदर्शन परीक्षण महत्वपूर्ण बना रहता है।

प्रदर्शन और लोड परीक्षण के लिए मुख्य विचार:

1. एक यथार्थवादी बेसलाइन स्थापित करना:
   अपने पीक उपयोग पैटर्न की पहचान करने के लिए ऐतिहासिक प्रमाणीकरण डेटा का विश्लेषण करके शुरुआत करें। उदाहरण के लिए, पिछले 12 महीनों के लॉगिन आँकड़ों की समीक्षा करें और उच्चतम प्रमाणीकरण लोड वाले घंटे को इंगित करें। प्रति सेकंड सफलतापूर्वक पूर्ण किए गए प्रमाणीकरण की गणना करने के लिए इस पीक घंटे को अपनी बेसलाइन के रूप में उपयोग करें और इसकी मात्रा को तीन (3x) के कारक से गुणा करें। यह दृष्टिकोण:

   • विकास और स्पाइक्स के लिए खाते: अपने सबसे मजबूत ऐतिहासिक लोड को तीन गुना करके, आप एक स्वस्थ प्रदर्शन मार्जिन बनाते हैं जो अप्रत्याशित उछाल (उदा., बड़े पैमाने पर ऑनबोर्डिंग, उत्पाद लॉन्च के दौरान एक साथ लॉगिन, या सुरक्षा रीसेट) को समायोजित करता है।

   • स्पष्ट लक्ष्य निर्धारित करता है: यह यथार्थवादी लेकिन रूढ़िवादी बेसलाइन सुनिश्चित करती है कि आपका सिस्टम उच्च-से-अनुमानित स्थितियों के तहत स्थिर रहते हुए आराम से वर्तमान मांग को पूरा कर सकता है।

2. प्रमाणीकरण प्रवाह की जटिलता को समझना:
   पासकी के साथ, प्रमाणीकरण प्रवाह में ऑन-डिमांड चुनौतियां पैदा करना, Conditional UI संकेतों को संभालना और क्रेडेंशियल मान्य करने या MFA स्थिति प्रबंधित करने के लिए बैकएंड सेवाओं के साथ इंटरैक्ट करना शामिल हो सकता है। ये कदम अद्वितीय लोड पैटर्न पेश कर सकते हैं, खासकर यदि लॉगिन संकेत या चुनौतियां बार-बार उत्पन्न होती हैं।

3. लोड संतुलन और मापनीयता (Scalability):
   जैसे ही आप पासवर्ड से पासकी पर जाते हैं, संचालन की संख्या बढ़ सकती है। संभावित रूप से उच्च अनुरोध दरों को संभालने और लगातार प्रतिक्रिया समय बनाए रखने के लिए लोड संतुलन, कैशिंग और डेटाबेस अनुकूलन रणनीतियों को नियोजित करें।

4. Conditional UI का प्रभाव:
   यदि लॉगिन फ़ील्ड दिखाई देते हैं या पृष्ठ के शीर्ष पर रेंडर किए जाते हैं, तो Conditional UI निरंतर चुनौती पीढ़ी को ट्रिगर कर सकता है, जिसके परिणामस्वरूप अप्रत्याशित लोड हो सकता है। इन पैटर्न का परीक्षण यह सुनिश्चित करने के लिए करें कि चुनौतियों को बिना देरी या टाइमआउट के जल्दी और मज़बूती से परोसा जा सके।

5. समवर्ती प्राधिकरण (Concurrent Authorizations) और पासकी निर्माण:
   उन परिदृश्यों पर विचार करें जहां कई उपयोगकर्ता एक साथ पासकी बनाते हैं या प्रमाणित करने का प्रयास करते हैं। यह ऑनबोर्डिंग सत्रों के दौरान या व्यापक संचार अभियानों के बाद हो सकता है। आपके परीक्षणों को यह पुष्टि करने के लिए इन समवर्ती स्पाइक्स का अनुकरण करना चाहिए कि सिस्टम मजबूत बना हुआ है।

6. परीक्षण उपकरण और दृष्टिकोण:
   मानक लोड परीक्षण उपकरण पूरी तरह से WebAuthn प्रवाह की जटिलता को दोहरा नहीं सकते हैं और एक WebAuthn सेरेमनी को पूरा करने में सक्षम नहीं हो सकते हैं। Jmeter या K6 (Corbado के उपयोग में) जैसे लोकप्रिय प्रदर्शन मापने वाले फ्रेमवर्क के लिए प्लगइन्स पर ध्यान दें।

7. निगरानी और मेट्रिक्स:
   प्रतिक्रिया समय, थ्रूपुट, प्रति सेकंड एपीआई कॉल, पूर्ण लेनदेन / प्रमाणीकरण प्रति सेकंड, त्रुटि दर, और संसाधन उपयोग जैसे प्रमुख मेट्रिक्स को ट्रैक करें। अड़चनों की पहचान करने और अनुकूलन प्रयासों को निर्देशित करने के लिए इन अंतर्दृष्टि का उपयोग करें।

8. पुनरावृत्तीय परीक्षण और ट्यूनिंग (Iterative Testing and Tuning):
   प्रदर्शन परीक्षण एक पुनरावृत्तीय प्रक्रिया है। समस्याओं को पहचानें, सुधार लागू करें, और यह मान्य करने के लिए पुन: परीक्षण करें कि परिवर्तन क्षमता और विश्वसनीयता बढ़ाते हैं। यह सुनिश्चित करने के लिए कि प्रदर्शन समय के साथ स्थिर बना रहे, इन परीक्षणों को अपनी CI/CD पाइपलाइन में एकीकृत करें।

ऐतिहासिक डेटा से एक यथार्थवादी बेसलाइन स्थापित करके, सुरक्षा के लिए उस क्षमता को तीन गुना करके, और विभिन्न परिदृश्यों में व्यापक रूप से परीक्षण करके, उद्यम सुनिश्चित कर सकते हैं कि उनका पासकी कार्यान्वयन कुशल, स्थिर और उत्तरदायी बना रहे—यहां तक ​​कि मांग की स्थितियों में भी।

4.2 पासकी कार्यान्वयन का पेनटेस्ट (Pentest) कैसे करें#

सुरक्षा परीक्षण यह सुनिश्चित करने में एक महत्वपूर्ण घटक है कि आपका पासकी कार्यान्वयन न केवल सही ढंग से कार्य करता है बल्कि विश्वास और अखंडता के उच्चतम स्तर को भी बनाए रखता है। जबकि पासकी प्रमाणीकरण अनुभव को सरल और मजबूत करते हैं, यह सत्यापित करना महत्वपूर्ण है कि आपके WebAuthn और पासकी वर्कफ़्लो सामान्य हमले वैक्टर, कॉन्फ़िगरेशन खामियों और हार्डवेयर-आधारित प्रमाणीकरण के लिए विशिष्ट भेद्यता के खिलाफ सुरक्षित हैं।

मुख्य उद्देश्य:

• मान्य करें कि सभी WebAuthn संचालन (चुनौती निर्माण, अटेस्टेशन, असर्शन) सही और सुरक्षित रूप से कार्यान्वित हैं।

• सुनिश्चित करें कि समझौता किए गए, छेड़छाड़ किए गए, या हटाए गए पासकी का उपयोग प्रमाणीकरण के लिए नहीं किया जा सकता है।

• पुष्टि करें कि उपयोगकर्ता सत्यापन (user verification), यदि आवश्यक हो, सख्ती से लागू किया गया है और हर लॉगिन पर चेक किया गया है।

• मौजूदा MFA तर्क के साथ एकीकरण को मान्य करें, यह पुष्टि करते हुए कि पासकी समग्र सुरक्षा स्थिति को कमजोर करने के बजाय बनाए रखते हैं या सुधारते हैं।

सुझाए गए परीक्षण क्षेत्र और दृष्टिकोण:

1. WebAuthn चुनौती उपभोग (Challenge Consumption):

   • चुनौती विशिष्टता और ताज़गी: सत्यापित करें कि प्रत्येक चुनौती अद्वितीय है और केवल एकल प्रमाणीकरण प्रयास के लिए मान्य है। यह सुनिश्चित करता है कि रीप्ले की गई चुनौतियों के परिणामस्वरूप सफल प्रमाणीकरण नहीं हो सकता है।

   • डबल-कंज्यूम सुरक्षा: पिछले एपेंड (पंजीकरण) या लॉगिन (असर्शन) सेरेमनी से चुनौतियों या अटेस्टेशन प्रतिक्रियाओं का पुन: उपयोग करने का प्रयास करें। पुष्टि करें कि सिस्टम उचित त्रुटि प्रबंधन के साथ इन प्रयासों को अस्वीकार करता है।

2. हटाए गए, अज्ञात, या छेड़छाड़ किए गए पासकी:

   • हटाए गए पासकी: हटाए गए पासकी से जुड़े क्रेडेंशियल का उपयोग करके लॉग इन करने का प्रयास करें। सिस्टम को इन प्रयासों को अस्वीकार करना चाहिए और एक त्रुटि वापस करनी चाहिए।

   • अज्ञात क्रेडेंशियल: ऐसे क्रेडेंशियल प्रस्तुत करें जो सिस्टम के साथ कभी पंजीकृत न हों (उदा., एक अलग निजी कुंजी या अज्ञात क्रेडेंशियल आईडी)। सुनिश्चित करें कि सिस्टम को इन क्रेडेंशियल को मान्य करने के लिए मूर्ख नहीं बनाया जा सकता है।

   • छेड़छाड़ किए गए हस्ताक्षर: WebAuthn असर्शन में क्रिप्टोग्राफ़िक हस्ताक्षर या ऑथेंटिकेटर डेटा को संशोधित करें। सिस्टम को सत्यापन चरण में विफल होना चाहिए और अनधिकृत पहुंच को रोकते हुए एक त्रुटि के साथ जवाब देना चाहिए।

3. उपयोगकर्ता सत्यापन प्रवर्तन (UV):

   • अनिवार्य उपयोगकर्ता सत्यापन: यदि उपयोगकर्ता सत्यापन आवश्यक पर सेट है (एक 2FA-समतुल्य परिदृश्य का संकेत देता है), तो पुष्टि करें कि यूवी फ़्लैग के बिना सभी प्रमाणीकरण प्रयासों के परिणामस्वरूप इनकार होता है। एक बायोमेट्रिक या पिन-आधारित सत्यापन जांच को बायपास करने योग्य नहीं होना चाहिए (केवल उपयोगकर्ता की उपस्थिति)।

   • यूवी फ्लैग्स के साथ छेड़छाड़: ऐसी स्थिति को मजबूर करने का प्रयास करें जहां ऑथेंटिकेटर दावा करता है कि उपयोगकर्ता सत्यापित है, लेकिन कोई वास्तविक उपयोगकर्ता सत्यापन नहीं हुआ। पुष्टि करें कि सिस्टम ऐसे प्रयासों को अस्वीकार करता है।

4. मौजूदा MFA या सुरक्षा नियंत्रणों के साथ एकीकरण:

   • MFA स्थिति संरेखण: जांचें कि पासकी जोड़ने या हटाने से मौजूदा MFA नीतियां दरकिनार नहीं होती हैं। उदाहरण के लिए, यदि पासकी का उद्देश्य पासवर्ड को बदलना या दूसरे कारक के रूप में काम करना है, तो सिस्टम को किसी समझौता किए गए पासकी वाले उपयोगकर्ता को उच्च-स्तरीय MFA नियंत्रणों को बायपास करने की अनुमति नहीं देनी चाहिए।

   • फ़ॉलबैक तंत्र: मान्य करें कि फ़ॉलबैक विधियां (उदा., पासवर्ड, OTP) केवल तभी आमंत्रित की जाती हैं जब पासकी वैध रूप से अनुपलब्ध या असमर्थित हों। हमलावरों को एक सुरक्षित प्रवाह को कमजोर प्रवाह में डाउनग्रेड करने में सक्षम नहीं होना चाहिए।

5. अद्यतन, मानक-अनुपालन कार्यान्वयन सुनिश्चित करना:

   • नवीनतम WebAuthn स्पेक्स: पुष्टि करें कि आपका WebAuthn सर्वर और घटक नवीनतम मानकों पर अपडेट किए गए हैं, किसी भी ज्ञात भेद्यता को पैच करते हुए। नियमित रूप से विक्रेता सलाह की समीक्षा करें और सुरक्षा अपडेट लागू करें।

   • OWASP शीर्ष 10: मान्यता प्राप्त सुरक्षा मानकों के साथ अपने परीक्षण को संरेखित करें। विशिष्ट क्षेत्रों में इनपुट सत्यापन, सत्र प्रबंधन और सुरक्षित संचार चैनल (TLS) शामिल हैं। जांचें कि WebAuthn डेटा को संभालने वाले सभी एंडपॉइंट सुरक्षित हैं, संवेदनशील जानकारी लीक नहीं करते हैं, और उचित सुरक्षा हेडर लागू करते हैं।

6. सामान्य अटैक वेक्टर्स के विरुद्ध पेनटेस्टिंग:

   • रीप्ले अटैक: ज्ञात वैध हस्ताक्षरों या पुरानी चुनौतियों का पुन: उपयोग करने का प्रयास। पुष्टि करें कि सर्वर उन्हें अस्वीकार करता है।

   • मैन-इन-द-मिडल (MitM) अटैक: परीक्षण करें कि क्या WebAuthn अनुरोधों को इंटरसेप्ट करने वाला हमलावर चुनौती या हस्ताक्षर को बदल सकता है। सुनिश्चित करें कि प्रमाणीकरण प्रक्रिया क्लाइंट की निजी कुंजी से जुड़े क्रिप्टोग्राफ़िक सत्यापन पर निर्भर करती है, जिससे MitM हमले अव्यवहार्य हो जाते हैं।

   • फ़ज़िंग और नकारात्मक परीक्षण: अटेस्टेशन और असर्शन अनुरोधों के लिए विकृत, गायब या यादृच्छिक डेटा पेश करें। सर्वर को बिना क्रैश हुए या संवेदनशील डेटा लीक किए इन अमान्य इनपुट को शालीनता से संभालना चाहिए।

7. पासकी-विशिष्ट खतरों के लिए अतिरिक्त विचार:

   • क्रॉस-डिवाइस प्रमाणीकरण: क्रॉस-डिवाइस प्रमाणीकरण परिदृश्यों का परीक्षण करें ताकि यह सुनिश्चित हो सके कि किसी अन्य डिवाइस पर संग्रहीत पासकी का दुरुपयोग नहीं किया जा सकता है। सर्वर को क्रॉस-डिवाइस अनुरोधों की प्रामाणिकता को सत्यापित करना चाहिए, यह सुनिश्चित करते हुए कि कोई प्रतिरूपण (impersonation) नहीं होता है।

   • रद्दीकरण और पुनर्प्राप्ति: सुनिश्चित करें कि यदि कोई उपयोगकर्ता या ग्राहक सहायता एजेंट अपना खाता पुनर्प्राप्त करता है या पासकी को रद्द करता है, तो यह तुरंत अमान्य हो जाता है और बाद के लॉगिन प्रयासों में उपयोग नहीं किया जा सकता है।

व्यावहारिक उदाहरण और परीक्षण:

• छेड़छाड़ किया गया उपयोगकर्ता सत्यापन परीक्षण: जब उपयोगकर्ता सत्यापन=आवश्यक हो तो पासकी से प्रमाणित करने का प्रयास करें लेकिन ऑथेंटिकेटर को uv=false प्रस्तुत करने के लिए बाध्य करें। पुष्टि करें कि सर्वर अनुरोध को अस्वीकार करता है।

• चुनौती रीप्ले परीक्षण: लॉगिन के लिए पहले उपयोग की गई चुनौती का पुन: उपयोग करें। सर्वर को प्रयास को अस्वीकार करना चाहिए, रीप्ले हमलों को रोकना चाहिए।

• अमान्य हस्ताक्षर परीक्षण: वैध हस्ताक्षर को यादृच्छिक या गलत से बदलें। सुनिश्चित करें कि सर्वर त्रुटि देता है।

चल रहे सुरक्षा आश्वासन को बनाए रखना:

• नई या छूटी हुई कमजोरियों की पहचान करने के लिए समय-समय पर तृतीय-पक्ष पेनिट्रेशन परीक्षण आयोजित करें।

• उभरते खतरों, WebAuthn विनिर्देश अपडेट, और हार्डवेयर ऑथेंटिकेटर और क्लाइंट-साइड सॉफ़्टवेयर के लिए विक्रेता पैच से अवगत रहें।

उपरोक्त परीक्षण तकनीकों को शामिल करके और पासकी-आधारित प्रमाणीकरण के अनूठे पहलुओं पर ध्यान केंद्रित करके, आप यह सुनिश्चित कर सकते हैं कि आपका एंटरप्राइज़ पासकी कार्यान्वयन सुरक्षित, मजबूत और भरोसेमंद बना रहे। नियमित समीक्षा, अपडेट और पेनिट्रेशन परीक्षण एक कठोर सुरक्षा स्थिति और उद्योग मानकों के साथ निरंतर अनुपालन बनाए रखने में मदद करेंगे।

4.3 Corbado पासकी कार्यान्वयन के प्रदर्शन और पेन परीक्षण में कैसे मदद कर सकता है#

Corbado की एंटरप्राइज़ पेशकश न केवल मजबूत पासकी समाधान प्रदान करती है बल्कि व्यापक गैर-कार्यात्मक परीक्षण सेवाएं भी शामिल करती है—जिसमें प्रदर्शन परीक्षण और सुरक्षा मूल्यांकन या अंतिम एकीकरण शामिल है—यह सुनिश्चित करने के लिए कि आपकी पासकी तैनाती सबसे कठोर एंटरप्राइज़ आवश्यकताओं को पूरा कर सकती है।

4.3.1 यथार्थवादी पासकी परिदृश्यों के साथ प्रदर्शन परीक्षण#

Corbado K6 और वर्चुअल ऑथेंटिकेटर वातावरण का उपयोग करके उन्नत एंड-टू-एंड प्रदर्शन परीक्षणों का लाभ उठाकर पारंपरिक, जेनेरिक लोड परीक्षण उपकरणों से आगे जाता है। यह दृष्टिकोण हमारे घटकों (CorbadoConnectLogin) के माध्यम से वास्तविक पासकी प्रमाणीकरण प्रवाह का अनुकरण करता है, जिसमें समानांतर (CorbadoConnectAppend) और पासकी प्रबंधन कार्यक्षमता (CorbadoConnectPasskeyList) में सैकड़ों या हजारों पासकी का निर्माण और प्रबंधन शामिल है। मानक लोड परीक्षणों के विपरीत जो केवल API एंडपॉइंट को माप सकते हैं, हमारी कार्यप्रणाली पूरे WebAuthn सेरेमनी का एंड-टू-एंड अनुकरण करती है, जिससे परीक्षण वास्तविक दुनिया की स्थितियों के बहुत अधिक प्रतिनिधि बन जाते हैं। हम यह सुनिश्चित करने के लिए परिष्कृत समवर्ती परीक्षण भी करते हैं कि आपका सिस्टम पीक लोड को संभाल सकता है—जैसे बड़े पैमाने पर ऑनबोर्डिंग अभियान या अचानक प्रमाणीकरण स्पाइक्स—प्रतिक्रिया या उपयोगकर्ता अनुभव में गिरावट के बिना।

4.3.2 सुरक्षा परीक्षण और विशेष पेनिट्रेशन परीक्षण#

Corbado एक सुरक्षित प्रमाणीकरण वातावरण प्रदान करने के लिए प्रतिबद्ध है। हम विश्वसनीय तृतीय-पक्ष विशेषज्ञों द्वारा नियमित पेनिट्रेशन परीक्षणों से गुजरते हैं जो पासकी प्रौद्योगिकी की अनूठी पेचीदगियों को समझते हैं। इसके अलावा, हमारी टीम छेड़छाड़ किए गए या हटाए गए पासकी को सिस्टम में फिर से शामिल किए जाने जैसे परिदृश्यों को रोकने के लिए डिज़ाइन किए गए विशेष सुरक्षा-केंद्रित इकाई (unit) परीक्षणों को बनाए रखती है। ये परीक्षण और आवधिक पेनटेस्ट विकसित होने वाले खतरों से रक्षा करते हैं और यह सुनिश्चित करते हैं कि आपके पासकी पारिस्थितिकी तंत्र की अखंडता हर समय बनी रहे।

4.3.3 एंटरप्राइज़-स्तरीय आश्वासन#

उन्नत प्रदर्शन परीक्षण और कठोर सुरक्षा परीक्षण दोनों व्यवस्थाएँ हमारे एंटरप्राइज़ पैकेज का हिस्सा हैं। Corbado के साथ साझेदारी करके, आप परीक्षण और सिद्ध पद्धतियों तक पहुंच प्राप्त करते हैं जो सुनिश्चित करते हैं कि आपका पासकी कार्यान्वयन उच्च-स्तरीय, मिशन-महत्वपूर्ण एंटरप्राइज़ वातावरण की मांगों को पूरा करता है—न केवल एक सहज उपयोगकर्ता अनुभव प्रदान करता है बल्कि संभावित कमजोरियों के खिलाफ मजबूत सुरक्षा भी प्रदान करता है।

5. निष्कर्ष#

बड़े पैमाने पर एंटरप्राइज़ पासकी परिनियोजन में, पासकी का सफल कार्यान्वयन न केवल तकनीक को एकीकृत करने पर निर्भर करता है, बल्कि प्रदर्शन, सुरक्षा और विश्वसनीयता सुनिश्चित करने के लिए इसका पूरी तरह से परीक्षण करने पर भी निर्भर करता है। जैसा कि हमने देखा है, परीक्षण के लिए एक व्यापक दृष्टिकोण—कार्यात्मक सत्यापन से लेकर गैर-कार्यात्मक प्रदर्शन और सुरक्षा मूल्यांकन तक—एक मजबूत, उपयोगकर्ता के अनुकूल प्रमाणीकरण अनुभव प्रदान करने के लिए महत्वपूर्ण है। इस लेख के साथ हमने लेख के शुरुआत में पूछे गए सवालों के जवाब दिए हैं:

• पासकी का कार्यात्मक परीक्षण कैसे करें? हमने आवश्यक कार्यात्मक परीक्षणों की पहचान की जो पासकी पंजीकरण, प्रमाणीकरण, उपयोगकर्ता इंटरफ़ेस स्थिरता और उचित त्रुटि प्रबंधन को सत्यापित करने पर ध्यान केंद्रित करते हैं। मैन्युअल उपयोगकर्ता स्वीकृति परीक्षण और स्वचालित दोनों दृष्टिकोणों के माध्यम से, ये परीक्षण पुष्टि करते हैं कि पासकी वर्कफ़्लो सहज, विश्वसनीय और उपयोगकर्ता की अपेक्षाओं के अनुरूप हैं।

• पासकी का पेन-टेस्ट और प्रदर्शन परीक्षण कैसे करें? हमने यह सुनिश्चित करने के लिए रणनीतियों का पता लगाया कि आपका पासकी कार्यान्वयन कड़े प्रदर्शन और सुरक्षा मानकों को पूरा करता है। इसमें पीक प्रमाणीकरण वॉल्यूम को संभालने के लिए लोड परीक्षण, तनाव के तहत लचीलापन परीक्षण, और कठोर सुरक्षा सत्यापन शामिल हैं—जैसे यह सत्यापित करना कि चुनौतियों को रीप्ले नहीं किया जा सकता है, छेड़छाड़ किए गए पासकी अस्वीकार कर दिए जाते हैं, और उपयोगकर्ता सत्यापन सख्ती से लागू किया जाता है।

कार्यात्मक और गैर-कार्यात्मक दोनों परीक्षण प्रथाओं को एकीकृत करके, आप गुणवत्ता और सुरक्षा के उच्चतम मानकों को बनाए रखते हुए आत्मविश्वास से पासकी को रोल आउट कर सकते हैं। हमारे अगले भाग में हम अगले चरण को कवर करेंगे: विभिन्न उपयोगकर्ता सेगमेंट में पासकी का क्रमिक, चरणबद्ध लॉन्च और Corbado इसमें आपकी कैसे मदद कर सकता है।

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →