WebAuthn पासकी QR कोड और ब्लूटूथ: हाइब्रिड ट्रांसपोर्ट

Our mission is to make the Internet a safer place, and the new login standard passkeys provides a superior solution to achieve that. That's why we want to help you understand passkeys and its characteristics better.

1. परिचय#

पासकीज़ उपयोगकर्ता प्रमाणीकरण में डि-फैक्टो मानक के रूप में पासवर्ड की जगह ले रही हैं। पारंपरिक पासवर्ड के विपरीत, पासकीज़ एक इकोसिस्टम से बंधी होती हैं (जैसे कि iCloud Keychain, Google Password Manager, Windows Hello या 1Password या Dashlane जैसे पासवर्ड मैनेजर); उन्हें याद रखने के लिए डिज़ाइन नहीं किया गया है, बल्कि आपके डिवाइस के साथ सहजता से एकीकृत करने के लिए बनाया गया है, जो बेहतरीन आउट-ऑफ-द-बॉक्स उपयोगकर्ता अनुभव प्रदान करता है।

कल्पना कीजिए कि आप अपने व्यक्तिगत कंप्यूटर से दूर हैं, शायद किसी सार्वजनिक टर्मिनल या दोस्त के लैपटॉप पर, और आपको अपने पासकी-संरक्षित खाते में लॉग इन करने की आवश्यकता है। यह परिदृश्य काफी आम है और प्रमाणीकरण की एक सुरक्षित लेकिन सुविधाजनक विधि की आवश्यकता है, लेकिन पासकीज़ के साथ बहुत से लोग नहीं जानते कि क्या करना है, क्योंकि उनकी पासकी इस स्थिति में तुरंत उपलब्ध नहीं होती है। ऐसी स्थिति में आपकी मदद करने के लिए पासकी सुविधाओं में से एक है QR कोड और ब्लूटूथ तकनीक की सुविधा के माध्यम से कई डिवाइसों पर अपनी पासकीज़ को नियोजित करने की क्षमता। इस प्रक्रिया को WebAuthn विनिर्देश में औपचारिक रूप से हाइब्रिड ट्रांसपोर्ट के रूप में जाना जाता है (विनिर्देश के पिछले संस्करणों में इसे क्लाउड-असिस्टेड ब्लूटूथ लो एनर्जी caBLE के रूप में संदर्भित किया गया है)।

Want to find out how many people use passkeys?

View Adoption Data

प्रक्रिया सीधी है: आपको एक ऐसे डिवाइस की आवश्यकता है जिसमें आपकी पासकीज़ संग्रहीत हों और जो तस्वीरें लेने में सक्षम हो, इसलिए सबसे अधिक संभावना एक स्मार्टफोन या टैबलेट की है। यह डिवाइस नए डिवाइस के लिए सिर्फ उस एक प्रमाणीकरण उदाहरण के लिए एक सुरंग खोल सकता है। यह न केवल आपकी पासकी की अखंडता को बनाए रखता है, बल्कि यह भी सुनिश्चित करता है कि नए डिवाइस पर आपके खाते तक पहुंच दी जा सकती है, चाहे आप कहीं भी हों या आप लॉगिन करने के लिए किसका डिवाइस उपयोग करना चाहते हैं।

हालांकि, यह पासकीज़ क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण सुविधा इसकी उपयोगिता और इसके तकनीकी कार्यान्वयन दोनों में गलतफहमियों और भ्रम से घिरी हुई है। यह कुछ ऐसा है जिसे मैंने हाल ही में फिर से देखा, जब मैं एक स्थानीय आईटी सुरक्षा मीटअप में गया था। इस लेख के माध्यम से, हमारा उद्देश्य जटिलताओं को सुलझाना और इस क्रॉस-प्लेटफ़ॉर्म पासकी प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) प्रवाह को लागू करने के लिए सिफारिशें प्रदान करना है, यह सुनिश्चित करते हुए कि आप अपने उपयोगकर्ताओं के लिए सर्वश्रेष्ठ लॉगिन अनुभव प्रदान कर सकते हैं।

2. पासकी: सिंक की गई या केवल एक डिवाइस पर उपलब्ध#

पासकीज़ उपयोगकर्ता प्रमाणीकरण का एक रूप है जो पारंपरिक पासवर्ड को एक अधिक सुरक्षित और सुविधाजनक क्रिप्टोग्राफ़िक सार्वजनिक-निजी-कुंजी जोड़ी से बदल देता है। यह कुंजी जोड़ी प्रत्येक उपयोगकर्ता के लिए अद्वितीय है और जटिल पासवर्ड याद रखने की परेशानी के बिना पहचान सत्यापित करने के लिए उपयोग की जाती है।

पासवर्ड पूर्ववर्तियों की तुलना में पासकीज़ के कई फायदे हैं। वे फ़िशिंग के जोखिम को काफी कम करते हैं, क्योंकि उन्हें एक नकली वेबसाइट के साथ साझा करने के लिए धोखा नहीं दिया जा सकता है। इसके अलावा, वे ब्रूट फोर्स और डिक्शनरी हमलों के प्रति प्रतिरक्षित हैं, जो पासवर्ड क्रैक करने के लिए उपयोग की जाने वाली सामान्य विधियाँ हैं। पासकीज़ अधिक उपयोगकर्ता-अनुकूल भी हैं, जो पासवर्ड की एक लंबी सूची को याद रखने या प्रबंधित करने की आवश्यकता को समाप्त करती हैं।

पासकीज़ क्लाउड खातों में सिंक्रनाइज़ की जाती हैं, जैसे कि Google Password Manager या Apple iCloud Keychain द्वारा प्रबंधित (Microsoft Windows Hello के साथ जल्द ही अनुसरण करेगा), या आधुनिक पासकी-तैयार पासवर्ड मैनेजरों में संग्रहीत, जैसे 1Password या Dashlane। हालांकि, यह जानना आवश्यक है कि डिफ़ॉल्ट रूप से पासकीज़ इकोसिस्टम और संबंधित क्लाउड खाता सिंक्रनाइज़ेशन से बंधी होती हैं। ऑपरेटिंग सिस्टम निजी कुंजियों को निर्यात करने के लिए एक इंटरफ़ेस प्रदान नहीं करते हैं और अधिकांश डिवाइसों में, निजी कुंजियों तक किसी भी पहुंच से बचने के लिए अतिरिक्त सुरक्षा उपाय प्रदान करने वाला एक हार्डवेयर घटक होता है, जैसे iOS डिवाइस पर सिक्योर एन्क्लेव या विंडोज डिवाइस पर ट्रस्टेड प्लेटफॉर्म मॉड्यूल (TPM)। केवल ऑपरेटिंग सिस्टम प्रदाता ही पासकीज़ को अन्य डिवाइसों में एक एन्क्रिप्टेड तरीके से सिंक कर सकता है (अंततः उपयोगकर्ता के बायोमेट्रिक्स, पासकोड या पिन द्वारा संरक्षित)। निजी कुंजियों को केवल पासकोड / पिन का उपयोग करके पुनर्स्थापित और डिक्रिप्ट किया जा सकता है और यदि क्लाउड खाते में बहुत अधिक असफल लॉगिन प्रयास होते हैं तो नष्ट कर दिया जाएगा (उदाहरण के लिए, Apple क्लाउड बैकएंड पर एक विशेषाधिकार प्राप्त स्थिति से भी ब्रूट-फोर्स हमलों को रोकने के लिए एक दर सीमा का परिचय देता है; Google भी ऐसा ही करता है)।

इस अंतर्निहित डिज़ाइन का मतलब है कि यदि पासकीज़ को वर्णित के रूप में सिंक नहीं किया गया है, तो एक नए डिवाइस पर अपनी पासकीज़ तक पहुंचना एक चुनौती हो सकती है। यही कारण है कि QR कोड और ब्लूटूथ निकटता जांच के साथ पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के लिए हाइब्रिड ट्रांसपोर्ट विधि मौजूद है। यह क्लाउड खाते / पासवर्ड मैनेजर के माध्यम से उन्हें सिंक करने की आवश्यकता के बिना डिवाइसों के बीच आपकी पासकीज़ के लिए एक सुरक्षित पुल प्रदान करता है, जिससे यह सिद्धांत बना रहता है कि पासकीज़ केवल उपयोगकर्ता के पास रह सकती हैं।

Are your users passkey-ready?

Test Passkey-Readiness

3. क्रॉस-प्लेटफ़ॉर्म पासकी प्रमाणीकरण का तकनीकी सेटअप#

हाइब्रिड ट्रांसपोर्ट के साथ क्रॉस-प्लेटफ़ॉर्म पासकी प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) का उपयोग क्रॉस-डिवाइस समस्याओं को दूर करने में मदद करता है, जब किसी खाते को पूरी तरह से पासकीज़ के माध्यम से एक्सेस किया जाता है। चूंकि सभी पासकीज़ क्लाउड खातों या पासवर्ड मैनेजरों में सिंक्रनाइज़ नहीं होती हैं, इसलिए डिवाइसों पर पासकीज़ तक पहुंचने की एक विश्वसनीय विधि की आवश्यकता महत्वपूर्ण हो जाती है, खासकर जब एक नए डिवाइस पर संक्रमण हो रहा हो या किसी साझा डिवाइस पर पहुंच की आवश्यकता हो।

3.1 हार्डवेयर आवश्यकताएँ#

पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) की सुविधा के लिए, निम्नलिखित हार्डवेयर आवश्यकताएँ हैं:

WebAuthn समर्थन: डिवाइसों को WebAuthn का समर्थन करना चाहिए। यह पहले से ही 99% डिवाइसों पर दिया गया है, हमारे नवीनतम पासकी डेटा विश्लेषण के अनुसार।
QR कोड स्कैनिंग के लिए कैमरा: डिवाइसों को QR कोड स्कैन करने में सक्षम कैमरे की आवश्यकता होगी। अधिकांश आधुनिक स्मार्टफोन कैमरों से लैस होते हैं जिनमें यह कार्यक्षमता होती है। इसके अलावा, कैमरे में अंतर्निहित QR स्कैनिंग क्षमताएं होनी चाहिए (जो कि अधिकांश डिवाइसों में आउट-ऑफ-द-बॉक्स होती हैं)। यदि आपका कैमरा समर्थन नहीं करता है, तो एक ऑनलाइन QR स्कैनर भी एक अच्छा विकल्प है। अन्यथा, एक QR कोड ऐप इंस्टॉल करना भी ठीक है।
ब्लूटूथ क्षमता: क्लाउड-असिस्टेड ब्लूटूथ लो एनर्जी (caBLE) का उपयोग डिवाइसों के बीच निकटता-आधारित सुरक्षित कनेक्शन स्थापित करने के लिए किया जाता है। देखने वाले संस्करण ब्लूटूथ 4.0 या उच्चतर हैं, जो WebAuthn के लिए caBLE एक्सटेंशन को सक्षम करते हैं।
इंटरनेट कनेक्शन: दोनों डिवाइसों पर एक स्थिर इंटरनेट कनेक्शन होना चाहिए, क्योंकि एक्सचेंज में सत्यापन चरणों को करने के लिए एक सुरंग खोलना शामिल है जिसके लिए रीयल-टाइम डेटा ट्रांसफर की आवश्यकता होती है।

Ben Gould

Head of Engineering

I’ve built hundreds of integrations in my time, including quite a few with identity providers and I’ve never been so impressed with a developer experience as I have been with Corbado.

10,000+ devs trust Corbado & make the Internet safer with passkeys. Got questions? We’ve written 150+ blog posts on passkeys.

Join Passkeys Community

3.2 सॉफ्टवेयर आवश्यकताएँ#

एक सॉफ्टवेयर दृष्टिकोण से, निम्नलिखित आवश्यकताएँ मौजूद हैं:

WebAuthn सर्वर कॉन्फ़िगरेशन: जाहिर है, आपके पास एक WebAuthn सर्वर होना चाहिए जो सार्वजनिक कुंजियों का प्रबंधन करता है। इसमें उपयोगकर्ता के खाते को कई प्रमाणीकरणकर्ताओं के साथ लिंक करने और प्रमाणीकरण समारोह शुरू करने के लिए सर्वर को स्थापित करना भी शामिल है।
वेब ब्लूटूथ एपीआई: ब्लूटूथ निकटता जांच के लिए, आपको वेब ब्लूटूथ एपीआई तक पहुंचने की आवश्यकता होगी जो ब्राउज़र से डिवाइस की ब्लूटूथ क्षमताओं को ट्रिगर करता है।
ऑपरेटिंग सिस्टम आवश्यकताएँ: मार्च 2025 तक विभिन्न ऑपरेटिंग सिस्टम के लिए क्रॉस-डिवाइस प्रमाणीकरण के समर्थन के बारे में कृपया निम्नलिखित तालिका देखें। प्रमाणीकरणकर्ता का मतलब है कि डिवाइस उस डिवाइस के रूप में काम कर सकता है जो एक पासकी रखता है (हमारे परिदृश्य में स्मार्टफोन)। क्लाइंट का मतलब उस डिवाइस से है जो QR कोड बनाता है और जहां उपयोगकर्ता लॉग इन करने का प्रयास करता है (हमारे परिदृश्य में डेस्कटॉप):

स्रोत: passkeys.dev

4. पासकी: QR कोड#

QR कोड के माध्यम से पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) का उपयोग करने की प्रक्रिया इस प्रकार है:

4.1 पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण शुरू करें#

पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के लिए QR कोड तब उत्पन्न होता है जब कोई उपयोगकर्ता किसी ऐसे डिवाइस पर किसी सेवा तक पहुंचने का प्रयास करता है जहां पंजीकृत पासकी मौजूद नहीं है, लेकिन सेवा जानती है कि उपयोगकर्ता के पास एक पासकी होनी चाहिए। आमतौर पर, प्रमाणीकरण इंटरफ़ेस के भीतर एक स्कैन QR कोड बटन या एक समान कॉल-टू-एक्शन प्रदान किया जाता है।

4.2 QR कोड उत्पन्न करें#

उपयोगकर्ता के अनुरोध पर, डिवाइस एक QR कोड की पीढ़ी शुरू करता है। यह QR कोड एक अद्वितीय, समय-संवेदनशील सत्र पहचानकर्ता को एन्कोड करता है। यह पहचानकर्ता एक सत्र से जुड़ा होता है जिसे प्रमाणीकरण सर्वर अस्थायी रूप से बनाए रखता है, प्रमाणीकरण प्रक्रिया के पूरा होने की प्रतीक्षा करता है।

4.3 QR कोड स्कैन करें#

उपयोगकर्ता इस QR कोड को एक ऐसे डिवाइस से स्कैन करता है जहां उनकी पासकी उपलब्ध है। सुरक्षा उपायों में शामिल हैं:

एक बार उपयोग: QR कोड के भीतर सत्र पहचानकर्ता एक ही उपयोग के लिए मान्य है, जो रीप्ले हमलों को रोकता है।
एन्क्रिप्शन: QR कोड के भीतर सभी डेटा एन्क्रिप्ट किया गया है, यह सुनिश्चित करते हुए कि किसी भी इंटरसेप्ट किए गए संचार को अनधिकृत पार्टियों द्वारा डिक्रिप्ट नहीं किया जा सकता है।

स्कैन किया गया QR कोड FIDO स्कीम के साथ एक विशिष्ट URI रखता है, जैसे: FIDO:/07824133892604070278923969472008301099476228966286113051476699183587 6383562063181103169246410435938367110394959927031730060360967994421 343201235185697538107096654083332

4.4 डेटा प्रवाह और प्रमाणीकरण प्रक्रिया शुरू करें#

QR कोड को स्कैन करने से उपयोगकर्ता का दूसरा डिवाइस (जैसे स्मार्टफोन या टैबलेट) FIDO URI की व्याख्या करने और प्रमाणीकरण सर्वर के साथ संवाद करने के लिए ट्रिगर होता है, यह संकेत भेजता है कि उपयोगकर्ता एक नए डिवाइस (जैसे दोस्त का लैपटॉप) के माध्यम से प्रमाणित करने का प्रयास कर रहा है। यह क्रिया सर्वर को इस प्रमाणीकरण प्रयास के लिए अद्वितीय एक क्रिप्टोग्राफ़िक चुनौती उत्पन्न करने के लिए प्रेरित करती है।

4.5 तकनीकी डेटा प्रसारित करें#

चुनौती उपयोगकर्ता के दूसरे डिवाइस (जैसे स्मार्टफोन या टैबलेट) पर वापस भेजी जाती है, जहां उनकी पासकी संग्रहीत होती है। डिवाइस फिर पासकी से जुड़ी निजी कुंजी का उपयोग करके एक डिजिटल हस्ताक्षर बनाता है, बिना निजी कुंजी के डिवाइस (जैसे स्मार्टफोन या टैबलेट) को कभी छोड़े। हस्ताक्षरित चुनौती (हस्ताक्षर) फिर इंटरनेट पर एक सुरक्षित, एन्क्रिप्टेड सुरंग के माध्यम से सर्वर पर वापस भेजी जाती है, जो प्रमाणीकरण प्रयास की अखंडता और उत्पत्ति की पुष्टि करती है।

4.6 हस्ताक्षर को मान्य करें#

सर्वर उपयोगकर्ता के खाते से पहले से जुड़े संबंधित सार्वजनिक कुंजी का उपयोग करके हस्ताक्षर को मान्य करता है। सफल सत्यापन पर, सर्वर प्रमाणीकरण की पुष्टि करता है, जिससे उपयोगकर्ता नए डिवाइस पर सेवा तक पहुंच सकता है।

विचार करने के लिए कुछ और महत्वपूर्ण गोपनीयता और सुरक्षा पहलू:

कोई ब्लूटूथ डेटा एक्सचेंज नहीं, शुद्ध इंटरनेट: यह ध्यान रखना महत्वपूर्ण है कि इस QR कोड-आधारित पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) में, ब्लूटूथ डेटा एक्सचेंज में शामिल नहीं है। यह प्रक्रिया डिवाइस और सर्वर के बीच एन्क्रिप्टेड डेटा के प्रसारण के लिए पूरी तरह से इंटरनेट कनेक्शन पर निर्भर करती है। हालांकि, ब्लूटूथ का उपयोग दो डिवाइसों की निकटता जांच के लिए किया जाता है।
निजी कुंजियाँ डिवाइस नहीं छोड़ती हैं: इस पूरी प्रक्रिया के दौरान, उपयोगकर्ता की निजी कुंजियाँ उनके डिवाइस पर सुरक्षित रूप से बनी रहती हैं।
कोई संवेदनशील डेटा एक्सपोजर नहीं: प्रमाणीकरण प्रक्रिया के दौरान कोई संवेदनशील पासकी जानकारी या निजी कुंजियाँ स्थानांतरित या उजागर नहीं की जाती हैं।
असममित क्रिप्टोग्राफी: चुनौती-प्रतिक्रिया तंत्र यह सुनिश्चित करता है कि जो भेजा जा रहा है वह केवल चुनौतियों के गैर-पुन: प्रयोज्य, हस्ताक्षरित संस्करण हैं जिनका अनधिकृत पहुंच के लिए शोषण नहीं किया जा सकता है।

इन तकनीकी और सुरक्षा प्रोटोकॉल का पालन करके, पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के लिए QR कोड विधि सुरक्षा के एक उच्च मानक को बनाए रखती है, जबकि उपयोगकर्ताओं को नए डिवाइस पर अपनी पहचान प्रमाणित करने का एक सुविधाजनक तरीका प्रदान करती है।

5. पासकी: ब्लूटूथ (caBLE)#

QR कोड स्कैनिंग प्रक्रिया के अलावा, ब्लूटूथ (caBLE) के माध्यम से निकटता जांच भी है। यह सुनिश्चित करना कि क्लाइंट और प्रमाणीकरणकर्ता भौतिक रूप से एक-दूसरे के करीब हैं, WebAuthn प्रोटोकॉल के प्रमुख लाभों में से एक है। इस प्रक्रिया के आंतरिक कामकाज पर अधिक जानकारी निम्नलिखित में वर्णित है:

5.1 प्रमाणीकरण में ब्लूटूथ लो एनर्जी (BLE) क्या है?#

ब्लूटूथ लो एनर्जी (BLE) एक वायरलेस संचार तकनीक है जिसे शॉर्ट-रेंज डेटा एक्सचेंज के लिए डिज़ाइन किया गया है। यह प्रमाणीकरण प्रक्रिया के दौरान डिवाइसों की भौतिक निकटता की पुष्टि करने में एक महत्वपूर्ण भूमिका निभाता है।

5.2 caBLE (क्लाउड-असिस्टेड ब्लूटूथ लो एनर्जी) क्या है?#

caBLE एक प्रोटोकॉल है जो BLE का उपयोग करके डिवाइसों के बीच प्रमाणीकरण जानकारी के सुरक्षित हस्तांतरण की सुविधा प्रदान करता है। पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के लिए caBLE का उपयोग करते समय, पासकी रखने वाला डिवाइस BLE सिग्नल के माध्यम से अनुरोध करने वाले डिवाइस की निकटता की पुष्टि करता है। एक बार निकटता सत्यापित हो जाने के बाद, प्रमाणीकरण प्रक्रिया आगे बढ़ती है, सुरक्षित, स्थानीय संचार के लिए BLE का लाभ उठाती है।

5.3 caBLE के साथ उपयोगकर्ता अनुभव और सुरक्षा#

उपयोगकर्ता अनुभव बढ़ाया जाता है क्योंकि इस विधि में आमतौर पर कम प्रत्यक्ष उपयोगकर्ता सहभागिता की आवश्यकता होती है; निकट भौतिक निकटता में डिवाइस एक-दूसरे का स्वचालित रूप से पता लगाते हैं। सुरक्षा के लिए, caBLE एक महत्वपूर्ण लाभ प्रदान करता है - यह सुनिश्चित करता है कि प्रमाणीकरण प्रक्रिया केवल तभी की जाती है जब दो डिवाइस एक-दूसरे के पास हों, दूरस्थ हमलावरों को प्रमाणीकरण प्रक्रिया शुरू करने से रोकता है।

5.4 परिदृश्य: QR कोड बनाम BLE दुविधा#

एक QR कोड प्राप्त करने की कल्पना करें जो एक दुर्भावनापूर्ण साइट पर रीडायरेक्ट करता है। यदि इस QR कोड के माध्यम से प्रमाणीकरण किया जाता है, तो एक जोखिम है कि सत्र या कुकी को हाइजैक किया जा सकता है। BLE इस मुद्दे को एक दृश्य स्कैन पर निर्भर न करके, बल्कि डिवाइसों की भौतिक उपस्थिति पर निर्भर करके दरकिनार करता है। यह निकटता जांच मैन-इन-द-मिडिल हमलों के जोखिम को कम करती है, क्योंकि निकटता जांच इंटरनेट या एक दृश्य माध्यम पर नहीं होती है।

5.5 डेटा एक्सचेंज और गोपनीयता#

अन्य तरीकों के विपरीत, caBLE वास्तव में पासकीज़ जैसे प्रमाणीकरण डेटा का आदान-प्रदान नहीं करता है। इसके बजाय, यह BLE का उपयोग एक पुष्टिकरण चैनल के रूप में करता है ताकि यह स्थापित किया जा सके कि डिवाइस भौतिक रूप से करीब हैं। यह जांच एक बहु-कारक प्रमाणीकरण प्रक्रिया का हिस्सा बनने के लिए डिज़ाइन की गई है जहाँ BLE निकटता कारकों में से एक है, यह सुनिश्चित करते हुए कि भले ही अन्य कारक समझौता किए गए हों, भौतिक निकटता के बिना, पहुंच प्रदान नहीं की जाती है।

caBLE प्रोटोकॉल को एकीकृत करके, डेवलपर पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के लिए एक सुरक्षित और उपयोगकर्ता-अनुकूल विधि प्रदान कर सकते हैं जो प्रमाणीकरण प्रक्रिया की समग्र सुरक्षा को बढ़ाती है। निकटता जांच सुरक्षा की एक अतिरिक्त परत जोड़ती है जो उपयोगकर्ताओं के लिए सरल है और फिर भी कुछ प्रकार के परिष्कृत साइबर-हमलों के खिलाफ प्रभावी रूप से सुरक्षा करती है।

6. लाभ#

इस पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) विधि के निम्नलिखित लाभ मौजूद हैं:

6.1 अच्छे उपयोगकर्ता अनुभव का मार्ग#

QR कोड और ब्लूटूथ (हाइब्रिड ट्रांसपोर्ट) के माध्यम से क्रॉस-प्लेटफ़ॉर्म पासकी प्रमाणीकरण क्रॉस-प्लेटफ़ॉर्म परिदृश्यों में UX को बेहतर बनाने का एक तरीका है, बजाय इसके कि कोई भी संभावना न दी जाए। हालांकि, उपयोगकर्ता प्रवाह अधिकांश उपयोगकर्ताओं के लिए बिल्कुल नया है और हम उम्मीद नहीं करते हैं कि कई गैर-तकनीकी उपयोगकर्ता समझेंगे कि जब वे पहली बार इस प्रवाह का सामना करते हैं तो क्या हो रहा है। QR कोड प्रवाह को शुरू करने की एकमात्र समानता व्हाट्सएप वेब या डिस्कॉर्ड जैसे लॉगिन प्रवाह के साथ हो सकती है जहां QR कोड का उपयोग किया जाता है (यहां कार्यक्षमता अलग है)। तो, QR कोड / ब्लूटूथ (हाइब्रिड ट्रांसपोर्ट) के माध्यम से विश्लेषण की गई क्रॉस-प्लेटफ़ॉर्म पासकी प्रमाणीकरण प्रक्रिया क्रॉस-प्लेटफ़ॉर्म परिदृश्य में उपयोगकर्ता के प्रयास को कम करती है, क्योंकि किसी भी क्रेडेंशियल को मैन्युअल रूप से दर्ज करने की कोई आवश्यकता नहीं है, लेकिन फिर भी समग्र प्रवाह अधिकांश उपयोगकर्ताओं के लिए अज्ञात है।

6.2 मजबूत सुरक्षा#

पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) की सुरक्षा उन्नत क्रिप्टोग्राफ़िक तकनीकों द्वारा प्रबलित है। जब प्रमाणीकरण के लिए एक QR कोड स्कैन किया जाता है या एक ब्लूटूथ कनेक्शन बनाया जाता है, तो क्रिप्टोग्राफ़िक चुनौतियाँ और प्रतिक्रियाएँ यह सुनिश्चित करती हैं कि केवल इच्छित डिवाइस ही प्रमाणीकरण प्रक्रिया को सफलतापूर्वक पूरा कर सकता है।

ब्लूटूथ के माध्यम से निकटता जांच सुरक्षा की एक अतिरिक्त परत जोड़ती है, यह पुष्टि करती है कि प्रमाणीकरण का प्रयास किसी ऐसे व्यक्ति द्वारा किया जा रहा है जिसके पास द्वितीयक डिवाइस तक भौतिक पहुंच है।

6.3 पासकी अखंडता#

क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) प्रक्रिया के दौरान, पासकीज़ को कभी भी मध्यस्थ डिवाइस या सर्वर पर अस्थायी रूप से संग्रहीत नहीं किया जाता है, जो स्थानांतरण प्रक्रिया के दौरान पासकीज़ के इंटरसेप्ट या लीक होने के जोखिम को रोकता है। प्रमाणीकरण वास्तविक समय में होता है, और पासकी उपयोगकर्ता के प्राथमिक डिवाइस से बंधी रहती है, जिससे इसकी अखंडता बनी रहती है।

6.4 फ़िशिंग रोकथाम#

QR कोड और ब्लूटूथ प्रमाणीकरण विधियाँ स्वाभाविक रूप से फ़िशिंग के खिलाफ सुरक्षा प्रदान करती हैं। उपयोगकर्ताओं को एक दुर्भावनापूर्ण साइट के लिए एक पासकी प्रदान करने के लिए धोखा दिए जाने की संभावना कम होती है क्योंकि प्रमाणीकरण प्रक्रिया के लिए भौतिक क्रियाओं की आवश्यकता होती है जो उपयोगकर्ता के विश्वसनीय डिवाइसों के लिए विशिष्ट होती हैं।

एक QR कोड को स्कैन करने या ब्लूटूथ के माध्यम से कनेक्ट करने की प्रक्रिया आमतौर पर एक विश्वसनीय वातावरण में होती है, जिससे उपयोगकर्ताओं द्वारा अनजाने में अपने क्रेडेंशियल्स से समझौता करने की संभावना कम हो जाती है।

7. हानियाँ#

इस पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) विधि की निम्नलिखित हानियाँ मौजूद हैं:

7.1 उपयोगकर्ता परिचितता और अपनाना#

किसी भी नई तकनीक को पेश करने से उपयोगकर्ता भ्रम पैदा हो सकता है, खासकर यदि उपयोगकर्ता तकनीक-प्रेमी नहीं हैं। QR कोड और ब्लूटूथ (हाइब्रिड ट्रांसपोर्ट) के माध्यम से पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण पारंपरिक प्रमाणीकरण विधियों से एक महत्वपूर्ण बदलाव है, और कुछ उपयोगकर्ताओं को नई प्रक्रिया को समझने में चुनौतीपूर्ण लग सकता है, जिससे संभावित रूप से धीमी अपनाने की दर हो सकती है। हालांकि, हम उम्मीद करते हैं कि उपयोगकर्ता अंततः इसके आदी हो जाएंगे, इसलिए शुरुआत में बदलाव कठिन हो सकता है और समय के साथ आसान और अधिक स्वीकृत हो जाएगा।

7.2 डिवाइस क्षमताओं पर निर्भरता#

पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) की सफलता उपयोगकर्ता के डिवाइस पर आवश्यक क्षमताओं, जैसे कि QR कोड स्कैन कर सकने वाला कैमरा और ब्लूटूथ कार्यक्षमता होने पर बहुत अधिक निर्भर करती है। इन सुविधाओं की कमी वाले पुराने डिवाइस वाले उपयोगकर्ता पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) का लाभ नहीं उठा पाएंगे, जिससे हार्डवेयर सीमाओं के आधार पर एक डिजिटल डिवाइड बन जाएगा।

7.3 असंगत उपयोगकर्ता व्यवहार#

उपयोगकर्ता का व्यवहार अप्रत्याशित हो सकता है, और QR कोड स्कैन करने या ब्लूटूथ सक्षम करने जैसी विशिष्ट क्रियाओं को करने के लिए उपयोगकर्ताओं पर निर्भरता उपयोगकर्ता त्रुटियों को जन्म दे सकती है। उदाहरण के लिए, ब्लूटूथ को कभी-कभी पेयरिंग समस्याओं, खोज समस्याओं और सुरक्षित लेनदेन के लिए वायरलेस प्रौद्योगिकियों के प्रति सामान्य उपयोगकर्ता अविश्वास के कारण UX चुनौती के रूप में देखा जा सकता है।

7.4 डेवलपर अनुकूलन#

डेवलपर्स को नवीनतम प्रमाणीकरण विधियों का समर्थन करने के लिए सिस्टम को लगातार अपडेट और बनाए रखने के कार्य का सामना करना पड़ता है। मौजूदा सिस्टम में पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) को एकीकृत करने के लिए डेवलपर्स को नए मानकों से अवगत रहने, नए एपीआई अपनाने और पिछड़े संगतता सुनिश्चित करने की आवश्यकता होती है, जो संसाधन-गहन और समय लेने वाला हो सकता है।

7.5 नई पासकी बनाना#

प्रत्येक नए डिवाइस या बाद के लॉगिन अनुरोध के लिए, यदि iCloud Keychain या पासवर्ड मैनेजर जैसे सिंक किए गए क्लाउड खाते का उपयोग नहीं कर रहे हैं, तो एक नई पासकी बनाने की आवश्यकता होती है। यह उपयोगकर्ता अनुभव में जटिलता जोड़ सकता है और यदि उपयोगकर्ता प्रक्रिया से परिचित नहीं हैं या यदि इसे सहज नहीं बनाया गया है तो निराशा पैदा कर सकता है।

7.6 उपयोगकर्ताओं को शिक्षित करना#

पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) जैसी नई सुरक्षा विधियों को लागू करते समय उपयोगकर्ता शिक्षा की एक अंतर्निहित आवश्यकता होती है। यह सुनिश्चित करने के लिए कि उपयोगकर्ता समझते हैं कि QR कोड और ब्लूटूथ का सुरक्षित रूप से उपयोग कैसे करें, स्पष्ट संचार और संभवतः व्यापक ग्राहक सहायता की आवश्यकता होती है।

जबकि QR कोड और ब्लूटूथ (हाइब्रिड ट्रांसपोर्ट) के माध्यम से पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण प्रमाणीकरण प्रौद्योगिकी में एक महत्वपूर्ण प्रगति प्रस्तुत करता है, ये संभावित नुकसान उपयोगकर्ता-अनुकूल डिजाइन, मजबूत समर्थन प्रणाली और पारंपरिक तरीकों से नवीन तरीकों में एक क्रमिक, अच्छी तरह से संप्रेषित संक्रमण की आवश्यकता को उजागर करते हैं। किसी भी तकनीकी बदलाव की तरह, इसके नवाचार के लाभों को इसकी चुनौतियों के साथ संतुलित करना सफल कार्यान्वयन और व्यापक उपयोगकर्ता स्वीकृति की कुंजी होगी।

8. वास्तविक जीवन परीक्षण: हाइब्रिड ट्रांसपोर्ट पासकी व्यवहार#

एक डिस्क्लेमर के रूप में: हम निम्नलिखित परीक्षण में हार्डवेयर सुरक्षा कुंजियों (जैसे YubiKeys) को अनदेखा कर रहे हैं और केवल प्लेटफ़ॉर्म प्रमाणीकरणकर्ताओं का उपयोग कर रहे हैं जो डिवाइस में अंतर्निहित हैं (जैसे फेस आईडी, टच आईडी, विंडोज हैलो)। हार्डवेयर सुरक्षा कुंजियों (जैसे YubiKey) के मामले में, ट्रांसपोर्ट के लिए मान उदाहरण के लिए usb या nfc होंगे।

हम व्यवहार का परीक्षण करने के लिए निम्नलिखित डिवाइस / ब्राउज़र संयोजनों और पासकीज़ डीबगर का उपयोग कर रहे हैं। एंड्रॉइड पर विचार नहीं किया गया है क्योंकि एंड्रॉइड एक क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) क्लाइंट के रूप में काम नहीं कर सकता है (ऊपर तालिका 3.2 सॉफ्टवेयर आवश्यकताएँ देखें):

व्यवहार का परीक्षण करने के लिए, हम प्रत्येक संयोजन के लिए निम्नलिखित गुणों के साथ एक नई पासकी बनाते हैं:

userName: एलेक्स मुलर (इस परीक्षण में कोई प्रभाव नहीं)
authenticatorAttachment: प्लेटफ़ॉर्म (क्योंकि हम YubiKeys जैसी हार्डवेयर सुरक्षा कुंजियों को बाहर करना चाहते हैं)
residentKey: पसंदीदा (इस परीक्षण में कोई प्रभाव नहीं)
userVerification: पसंदीदा (इस परीक्षण में कोई प्रभाव नहीं)
attestation: कोई नहीं (इस परीक्षण में कोई प्रभाव नहीं)
hints: खाली (नीचे स्पष्टीकरण देखें)
usePRF: नहीं (इस परीक्षण में कोई प्रभाव नहीं)

पासकी के सफल निर्माण के बाद, हम फिर इनपुट allowCredentials WebAuthn सर्वर प्रॉपर्टी को संशोधित करते हैं और एक लॉगिन अनुरोध शुरू करते हैं। हम उस डिवाइस पर एक हटाई गई पासकी का अनुकरण करना चाहते हैं जहां हमने पासकी बनाई थी, ताकि डिवाइस / ब्राउज़र दूसरे डिवाइस की तलाश करे जो QR कोड / ब्लूटूथ के माध्यम से पासकी प्रदान कर सके। इसलिए, हम क्रेडेंशियल आईडी बदलते हैं और मान CHANGED-ID निर्दिष्ट करते हैं, ताकि मिलान विफल हो जाए। इसके अलावा, हम allowCredentials में एक WebAuthn क्रेडेंशियल की ट्रांसपोर्ट्स प्रॉपर्टी को बदलते हैं और प्रत्येक डिवाइस / ब्राउज़र संयोजन के लिए निम्नलिखित मान निर्दिष्ट करते हैं:

ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]: पासकीज़ का उपयोग प्लेटफ़ॉर्म प्रमाणीकरणकर्ता (जैसे फेस आईडी, टच आईडी, विंडोज हैलो) से या क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण के माध्यम से किया जा सकता है
ट्रांसपोर्ट: [आंतरिक]: पासकीज़ का उपयोग प्लेटफ़ॉर्म प्रमाणीकरणकर्ता (जैसे फेस आईडी, टच आईडी, विंडोज हैलो) से किया जा सकता है
कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं: डिफ़ॉल्ट व्यवहार जो कोई प्रतिबंध नहीं देता है

WebAuthn परीक्षण साइट में, उपयोगकर्ता एजेंट संकेतों के लिए नई WebAuthn लेवल 3 सुविधा भी प्रदान की गई है। यह सुविधा उपयोगकर्ता अनुभव को बेहतर बना सकती है यदि निर्भर पक्ष के पास कुछ धारणाएँ हैं कि लॉगिन अनुरोध को सबसे उपयोगकर्ता-अनुकूल तरीके से कैसे पूरा किया जा सकता है। इस परीक्षण में, हमने इस सुविधा को नजरअंदाज कर दिया क्योंकि यह अभी तक रोल आउट नहीं हुई है। अधिक विवरण के लिए कृपया विनिर्देशों पर एक नज़र डालें।

8.1 विंडोज 11 23H2 + क्रोम 119#

8.1.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]#

8.1.2 ट्रांसपोर्ट: [आंतरिक]#

काफी भ्रमित करने वाली बात है, QR कोड यहाँ भी प्रदर्शित होता है, भले ही हम केवल आंतरिक क्रेडेंशियल्स की अनुमति देते हैं। हमें इस व्यवहार का कोई वैध कारण नहीं मिला।

8.1.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं#

किसी कारण से, मोडल के कुछ हिस्से जर्मन में दिखाई देते हैं, जो स्थापित भाषाओं में से एक है।

8.1.4 खाली allowCredentials#

जैसा कि अपेक्षित था, पासकी प्रमाणीकरण के सभी रूपों की अनुमति है: विंडोज हैलो के माध्यम से, QR कोड के माध्यम से, ज्ञात डिवाइसों के माध्यम से और हार्डवेयर सुरक्षा कुंजियों के माध्यम से।

8.2 विंडोज 11 23H2 + एज 119#

8.2.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]#

8.2.2 ट्रांसपोर्ट: [आंतरिक]#

8.2.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं#

8.2.4 खाली allowCredentials#

8.3 विंडोज 11 23H2 + फ़ायरफ़ॉक्स 119#

पासकी बनाते समय, हमें निम्नलिखित त्रुटि मिली (फिर भी एक पासकी बनाई गई थी):

त्रुटि: TypeError: 'toJSON' को एक ऑब्जेक्ट पर कॉल किया गया जो इंटरफ़ेस PublicKeyCredential को लागू नहीं करता है।

8.3.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]#

8.3.2 ट्रांसपोर्ट: [आंतरिक]#

8.3.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं#

8.3.4 खाली allowCredentials#

8.4 macOS वेंचुरा + क्रोम 119#

8.4.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]#

जैसा कि अपेक्षित था, कोई स्थानीय पासकी मेल नहीं खाती है, इसलिए QR कोड को स्कैन करने और दूसरे डिवाइस पर पासकी का उपयोग करने का सुझाव दिया जाता है (क्योंकि सिस्टम जानता है कि इस उपयोगकर्ता के लिए एक पासकी मौजूद है)। इसके अलावा, आप सीधे ज्ञात डिवाइसों में से एक का चयन कर सकते हैं ताकि वहां से पासकी का उपयोग किया जा सके।

मोडल विंडोज पर क्रोम 119 में पेंडेंट से काफी अलग है।

8.4.2 ट्रांसपोर्ट: [आंतरिक]#

यह एक अपेक्षित व्यवहार है, क्योंकि हम केवल आंतरिक पासकी का उपयोग करने की अनुमति देते हैं लेकिन डिवाइस पर एक आंतरिक क्रेडेंशियल नहीं ढूंढ सकते हैं (हमें हाइब्रिड पासकी का उपयोग करने की अनुमति नहीं है)। पासकी प्रमाणीकरण इस चरण में विफल हो जाता है और वास्तविक जीवन के कार्यान्वयन में, आपको एक फ़ॉलबैक प्रमाणीकरण विधि प्रदान करने की आवश्यकता होगी।

8.4.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं#

कोई स्थानीय पासकी मेल नहीं खाती है, इसलिए QR कोड को स्कैन करने या हार्डवेयर सुरक्षा कुंजी (जैसे YubiKey) / क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरणकर्ता / रोमिंग प्रमाणीकरणकर्ता का उपयोग करने का सुझाव दिया जाता है। इसके अलावा, आप सीधे ज्ञात डिवाइसों में से एक का चयन कर सकते हैं ताकि वहां से पासकी का उपयोग किया जा सके।

मोडल विंडोज पर क्रोम 119 में पेंडेंट से काफी अलग है।

8.4.4 खाली allowCredentials#

जैसा कि अपेक्षित था, पासकी प्रमाणीकरण के सभी रूपों की अनुमति है: टच आईडी के माध्यम से, QR कोड के माध्यम से, ज्ञात डिवाइसों के माध्यम से और हार्डवेयर सुरक्षा कुंजियों के माध्यम से।

8.5 macOS वेंचुरा + सफारी 16.6#

8.5.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]#

8.5.2 ट्रांसपोर्ट: [आंतरिक]#

8.5.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं#

8.5.4 खाली allowCredentials#

जैसा कि अपेक्षित था, पासकी प्रमाणीकरण के अधिकांश रूपों की अनुमति है: टच आईडी के माध्यम से, QR कोड के माध्यम से और हार्डवेयर सुरक्षा कुंजियों के माध्यम से। किसी कारण से ज्ञात डिवाइस प्रदर्शित नहीं होते हैं।

8.6 iOS 17.1 + क्रोम 119#

8.6.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]#

8.6.2 ट्रांसपोर्ट: [आंतरिक]#

8.6.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं#

8.6.4 खाली allowCredentials#

जैसा कि अपेक्षित था, पासकी प्रमाणीकरण के अधिकांश रूपों की अनुमति है: फेस आईडी के माध्यम से, QR कोड के माध्यम से और हार्डवेयर सुरक्षा कुंजियों के माध्यम से। किसी कारण से ज्ञात डिवाइस प्रदर्शित नहीं होते हैं।

8.7 iOS 17.1 + सफारी 17.1#

8.7.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]#

8.7.2 ट्रांसपोर्ट: [आंतरिक]#

8.7.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं#

8.7.4 खाली allowCredentials#

निम्नलिखित में, विंडोज 10 डिवाइसों के लिए, हमने एक स्तर और आगे जाने का फैसला किया और विश्लेषण किया कि यदि ब्लूटूथ अक्षम है या सामान्य रूप से विंडोज 10 मशीन पर उपलब्ध नहीं है तो व्यवहार कैसा दिखता है। विशेष रूप से पुराने डेस्कटॉप डिवाइसों के लिए, यह अभी भी एक बहुत ही सामान्य परिदृश्य है क्योंकि इन डिवाइसों में अक्सर ब्लूटूथ मॉड्यूल नहीं होता है, इस प्रकार QR कोड और ब्लूटूथ के माध्यम से क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण असंभव हो जाता है।

8.8 विंडोज 10 21H2 + क्रोम 119#

8.8.1 ब्लूटूथ सक्षम#

8.8.1.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

जैसा कि अपेक्षित था, कोई स्थानीय पासकी मेल नहीं खाती है, इसलिए दूसरे डिवाइस पर पासकी का उपयोग करने का सुझाव दिया जाता है (क्योंकि सिस्टम जानता है कि इस उपयोगकर्ता के लिए एक पासकी मौजूद है - पहला स्क्रीनशॉट) या QR कोड को स्कैन करने का विकल्प चुनें (दूसरा स्क्रीनशॉट)।

8.8.1.2 ट्रांसपोर्ट: [आंतरिक]

काफी भ्रमित करने वाली बात है, आपको अपना विंडोज हैलो पिन कोड (या डिवाइस पर सेट अप होने पर फिंगरप्रिंट / फेस स्कैन) दर्ज करने के लिए कहा जाता है, भले ही हमने क्रेडेंशियल आईडी बदल दी हो (इसलिए इसे वास्तव में क्रेडेंशियल नहीं मिलना चाहिए क्योंकि यह allowCredentials प्रॉपर्टी में निर्दिष्ट नहीं है)। हालांकि, विंडोज हैलो पिन कोड सबमिट करने के बाद, एक त्रुटि फेंकी जाती है: "NotAllowedError: The operation either timed out or was not allowed. See: https://www.w3.org/TR/webauthn-2/#sctn-privacy-considerations- client." उपयोगकर्ता के दृष्टिकोण से, यह एक भ्रमित करने वाला व्यवहार है, लेकिन समझ में आता है क्योंकि यह उपयोगकर्ता की सहमति के बिना उपयोगकर्ता की पासकी के बारे में जानकारी प्रदान कर सकता है।

8.8.1.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

8.8.1.4 खाली allowCredentials

8.8.2 ब्लूटूथ अक्षम#

8.8.2.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

8.8.2.2 ट्रांसपोर्ट: [आंतरिक]

यह व्यवहार उस मामले के समान है जहां ब्लूटूथ सक्षम है। यह बहुत भ्रमित करने वाला है कि उपयोगकर्ताओं को विंडोज हैलो पिन कोड (या डिवाइस पर सेट अप होने पर फिंगरप्रिंट / फेस स्कैन) दर्ज करने के लिए कहा जाता है, भले ही हमने क्रेडेंशियल आईडी बदल दी हो (इसलिए इसे वास्तव में क्रेडेंशियल नहीं मिलना चाहिए क्योंकि यह allowCredentials प्रॉपर्टी में निर्दिष्ट नहीं है)। हालांकि, विंडोज हैलो पिन कोड सबमिट करने के बाद, एक त्रुटि फेंकी जाती है: "NotAllowedError: The operation either timed out or was not allowed. See: https://www.w3.org/TR/webauthn-2/#sctn-privacy-considerations- client." उपयोगकर्ता के दृष्टिकोण से, यह एक भ्रमित करने वाला व्यवहार है, लेकिन समझ में आता है क्योंकि यह उपयोगकर्ता की सहमति के बिना उपयोगकर्ता की पासकी के बारे में जानकारी प्रदान कर सकता है।

8.8.2.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

कोई स्थानीय पासकी मेल नहीं खाती है, इसलिए आपके पास एकमात्र विकल्प हार्डवेयर सुरक्षा कुंजी (जैसे YubiKey) / क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरणकर्ता / रोमिंग प्रमाणीकरणकर्ता का उपयोग करना है।

8.8.2.4 खाली allowCredentials

पासकी प्रमाणीकरण केवल विंडोज हैलो और हार्डवेयर सुरक्षा कुंजियों के माध्यम से संभव है।

8.9 विंडोज 10 21H2 + एज 119#

8.9.1 ब्लूटूथ सक्षम#

8.9.1.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

8.9.1.2 ट्रांसपोर्ट: [आंतरिक]

8.9.1.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

8.9.1.4 खाली allowCredentials

जैसा कि अपेक्षित था, पासकी प्रमाणीकरण के सभी रूपों की अनुमति है: विंडोज हैलो के माध्यम से, QR कोड के माध्यम से और हार्डवेयर सुरक्षा कुंजियों के माध्यम से। किसी कारण से, ज्ञात डिवाइस प्रदर्शित नहीं होते हैं।

8.9.2 ब्लूटूथ अक्षम#

8.9.2.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

8.9.2.2 ट्रांसपोर्ट: [आंतरिक]

8.9.2.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

8.9.2.4 खाली allowCredentials

8.10 विंडोज 10 22H2 + क्रोम 119#

8.10.1 ब्लूटूथ सक्षम#

8.10.1.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

8.10.1.2 ट्रांसपोर्ट: [आंतरिक]

8.10.1.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

8.10.1.4 खाली allowCredentials

8.10.2 ब्लूटूथ अक्षम#

8.10.2.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

यह उपयोगकर्ताओं के लिए वास्तव में एक भ्रमित करने वाला संदेश है, क्योंकि यह स्पष्ट रूप से नहीं बताया गया है कि उन्हें क्या करना चाहिए और वे कैसे प्रमाणित कर सकते हैं। उनके पास एकमात्र विकल्प "रद्द करें" पर क्लिक करना है, जिससे यह परिदृश्य एक मृत अंत बन जाता है। किसी कारण से, विंडोज सुरक्षा मोडल के कुछ हिस्से भी जर्मन में प्रदर्शित होते हैं (इस डिवाइस पर स्थापित एक दूसरी भाषा)।

8.10.2.2 ट्रांसपोर्ट: [आंतरिक]

8.10.2.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

8.10.2.4 खाली allowCredentials

8.11 विंडोज 10 22H2 + एज 119#

8.11.1 ब्लूटूथ सक्षम#

8.11.1.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

8.11.1.2 ट्रांसपोर्ट: [आंतरिक]

8.11.1.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

8.11.1.4 खाली allowCredentials

8.11.2 ब्लूटूथ अक्षम#

8.11.2.1 ट्रांसपोर्ट: [आंतरिक, हाइब्रिड]

8.11.2.2 ट्रांसपोर्ट: [आंतरिक]

8.11.2.3 कोई ट्रांसपोर्ट प्रॉपर्टी सेट नहीं

8.11.2.4 खाली allowCredentials

9. डेवलपर्स के लिए सिफारिशें#

Want to experiment with passkey flows? Try our Passkeys Debugger.

Try for Free

9.1 कार्यान्वयन युक्तियाँ#

उन पुस्तकालयों और फ्रेमवर्क का उपयोग करें जो शुद्ध WebAuthn API की कुछ जटिलताओं को दूर करते हैं।
एक व्यापक उपयोगकर्ता आधार को आपके पासकी कार्यान्वयन से लाभान्वित करने के लिए शुरू से ही क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण परिदृश्यों पर विचार करें। आपके डिजाइन विकल्पों के आधार पर, आप इन परिदृश्यों में वैकल्पिक लॉगिन विधियाँ भी प्रदान कर सकते हैं।
उन परिदृश्यों के लिए फ़ॉलबैक तंत्र विकसित करें जहां डिवाइस सीमाओं के कारण पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) संभव नहीं हो सकता है।
सबसे बड़ा डिजाइन निर्णय यह तय करना है कि क्या आप QR कोड / ब्लूटूथ (हाइब्रिड ट्रांसपोर्ट) के माध्यम से क्रॉस-प्लेटफ़ॉर्म पासकी प्रमाणीकरण को बढ़ावा देना चाहते हैं और इसे पासकी प्रमाणीकरण के लिए एक प्रमुख विधि बनाना चाहते हैं या इसे सक्रिय रूप से बढ़ावा न देने के लिए संकेतों का उपयोग करना चाहते हैं। बाद के मामले में, हमेशा तुरंत आंतरिक रूप से संग्रहीत पासकी का उपयोग करने का प्रयास किया जाता है और केवल अगर कोई आंतरिक पासकी नहीं मिलती है, तो क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के लिए एक QR कोड प्रदर्शित होता है। इसे आपके WebAuthn सर्वर विकल्पों में excludeCredentials और allowCredentials गुणों में परिभाषित करने की आवश्यकता है। आपके WebAuthn सर्वर के excludeCredentials प्रॉपर्टी में, आप पहले से बनाए गए क्रेडेंशियल्स के बारे में परिवहन जानकारी देख सकते हैं। allowCredentials प्रॉपर्टी में, आप लॉगिन प्रक्रिया में व्यवहार को निर्दिष्ट कर सकते हैं (ऊपर परीक्षण देखें)।
इसके अलावा, आप क्रॉस-प्लेटफ़ॉर्म पासकी प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) को पूरी तरह से नहीं रोक सकते (ट्रांसपोर्ट: [आंतरिक] के साथ उपरोक्त परीक्षण देखें), इसलिए आपको तैयार रहने की आवश्यकता है कि आपके उपयोगकर्ता इस विधि को पाएंगे और उनके प्रश्न होंगे। इस क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) की घटना विशेष रूप से तब होगी जब उपयोगकर्ता स्थानीय रूप से पासकी हटाना शुरू कर देंगे।

9.2 शैक्षिक रणनीतियाँ#

व्यापक गाइड और ट्यूटोरियल बनाएं जो उपयोगकर्ताओं को पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) प्रक्रिया के माध्यम से ले जाते हैं।
उपयोगकर्ताओं को उनके पहले पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) अनुभव के दौरान मार्गदर्शन करने के लिए इन-ऐप टूलटिप्स और प्रासंगिक सहायता अनुभागों का उपयोग करें।
अपनी वेबसाइट पर या एप्लिकेशन के भीतर अक्सर पूछे जाने वाले प्रश्न और समस्या निवारण अनुभाग प्रदान करें।

9.3 अस्थायी पहुंच विचार#

QR कोड या ब्लूटूथ के माध्यम से पासकी लॉगिन के लिए समय-बद्ध सत्र लागू करें ताकि यह सुनिश्चित हो सके कि पहुंच केवल अस्थायी और सुरक्षित है।
सुनिश्चित करें कि पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) किसी भी मौजूदा सुरक्षा प्रोटोकॉल को कमजोर नहीं करता है, जिससे उपयोगकर्ता डेटा की अखंडता बनी रहती है।
गोपनीयता के निहितार्थों पर विचार करें और सुनिश्चित करें कि पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के माध्यम से दी गई कोई भी अस्थायी पहुंच सुरक्षा सर्वोत्तम प्रथाओं के अनुसार लॉग और मॉनिटर की जाती है।

10. निष्कर्ष: QR कोड / ब्लूटूथ पासकी#

QR कोड / ब्लूटूथ (हाइब्रिड ट्रांसपोर्ट) के माध्यम से पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण सुरक्षा और UX के बीच एक संतुलन प्रदान करता है। हालांकि, यह अधिकांश उपयोगकर्ताओं के लिए पूरी तरह से एक नई प्रक्रिया है और कई भ्रमित करने वाली स्थितियां पैदा कर सकती है, इसलिए आपको सावधानी से सोचना होगा कि क्या आप इसे बढ़ावा देना चाहते हैं।

हमें उम्मीद है कि हम QR कोड / ब्लूटूथ के माध्यम से पासकी क्रॉस-प्लेटफ़ॉर्म प्रमाणीकरण (हाइब्रिड ट्रांसपोर्ट) के विषय पर कुछ प्रकाश डाल सके, चीजों को कैसे सेट अप करें और विभिन्न डिवाइस / ब्राउज़र संयोजनों पर व्यवहार कैसा दिखता है, यह समझा सके। यदि आपके कोई प्रश्न हैं, तो हमारे पासकी समुदाय के माध्यम से हमसे संपर्क करने में संकोच न करें या हमारे पासकी सबस्टैक की सदस्यता लें। आइए पासकी फैलाकर इंटरनेट को एक सुरक्षित स्थान बनाएं।