क्या पासकीज़ को हैक किया जा सकता है?
Vincent
Created: June 17, 2025
Updated: July 11, 2025
See the original faq version in English here.
क्या पासकीज़ को हैक किया जा सकता है?#
पासकीज़, अपने डिज़ाइन के कारण, पारंपरिक पासवर्ड की तुलना में काफी अधिक सुरक्षित हैं और अपनी क्रिप्टोग्राफ़िक प्रकृति के कारण उन्हें हैक करना बहुत मुश्किल है। हालांकि, किसी भी तकनीक की तरह, वे कुछ कमजोरियों से पूरी तरह से सुरक्षित नहीं हैं।
- पासकीज़ अपनी क्रिप्टोग्राफ़िक नींव के कारण पासवर्ड से अधिक सुरक्षित हैं।
- पासकीज़ फ़िशिंग, मैन-इन-द-मिडिल, ब्रूट-फ़ोर्स, रीप्ले, और क्रेडेंशियल स्टफ़िंग हमलों से जुड़े जोखिमों को खत्म कर देती हैं।
पासकी सुरक्षा को समझना#
पासकीज़ WebAuthn मानक के ऊपर बनाई गई हैं और पारंपरिक पासवर्ड पर निर्भर हुए बिना उपयोगकर्ताओं को प्रमाणित करने के लिए सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करती हैं। यह उन्हें फ़िशिंग, क्रेडेंशियल स्टफ़िंग, और ब्रूट फ़ोर्स हमलों जैसे सामान्य खतरों के खिलाफ स्वाभाविक रूप से अधिक सुरक्षित बनाता है। यहाँ बताया गया है कि पासकीज़ को क्यों सुरक्षित माना जाता है:
-
पब्लिक की इंफ्रास्ट्रक्चर: पासकीज़ एक पब्लिक-प्राइवेट की जोड़ी का उपयोग करती हैं, जहाँ प्राइवेट की कभी भी उपयोगकर्ता के डिवाइस को नहीं छोड़ती है, जिससे हमलावरों के लिए इसे इंटरसेप्ट करना लगभग असंभव हो जाता है।
-
पासवर्ड का उन्मूलन: चूँकि पासकीज़ साझा रहस्यों (जैसे पासवर्ड) पर निर्भर नहीं करती हैं, वे क्रेडेंशियल के पुन: उपयोग के जोखिम को समाप्त कर देती हैं, जो पासवर्ड-आधारित सिस्टम में एक आम कमजोरी है।
-
फ़िशिंग के खिलाफ सुरक्षा: फ़िशिंग हमले पासकीज़ के खिलाफ अप्रभावी होते हैं क्योंकि एक पासकी हमेशा उस मूल (रिलाइंग पार्टी आईडी) से बंधी होती है जिसके लिए इसे बनाया गया था।
-
कोई क्रेडेंशियल स्टफ़िंग नहीं: पासकीज़ प्रत्येक सेवा के लिए अद्वितीय होती हैं और केवल पब्लिक की ही सर्वर-साइड पर संग्रहीत होती है। इसका मतलब है, यदि किसी रिलाइंग पार्टी में सेंध लगती है, तो इसका अन्य रिलाइंग पार्टियों पर कोई प्रभाव नहीं पड़ता है।
-
कोई ब्रूट-फ़ोर्स हमला नहीं: पासकीज़ असममित क्रिप्टोग्राफी पर निर्भर करती हैं और उनका अनुमान नहीं लगाया जा सकता है, जिससे वे ब्रूट-फ़ोर्स हमलों से सुरक्षित रहती हैं।
-
कोई मैन-इन-द-मिडिल हमला नहीं: मैन-इन-द-मिडिल हमले पासकीज़ के साथ संभव नहीं हैं क्योंकि प्रमाणीकरण के लिए उपयोग की जाने वाली प्राइवेट की कभी भी उपयोगकर्ता के डिवाइस को नहीं छोड़ती है, यह सुनिश्चित करते हुए कि कोई भी संवेदनशील जानकारी प्रसारित नहीं होती है जिसे इंटरसेप्ट या बदला जा सके।
-
कोई रीप्ले हमला नहीं: रीप्ले हमले पासकीज़ के साथ संभव नहीं हैं क्योंकि प्रत्येक प्रमाणीकरण सत्र एक अद्वितीय, एक-बार उपयोग होने वाली क्रिप्टोग्राफ़िक चुनौती उत्पन्न करता है जिसे किसी हमलावर द्वारा पुन: उपयोग या दोहराया नहीं जा सकता है।
हालांकि, जबकि पासकीज़ बेहतर सुरक्षा प्रदान करती हैं, वे हैकिंग से पूरी तरह से सुरक्षित नहीं हैं:
-
सप्लाई चेन हमले: निर्माता स्तर पर एक समझौता किए गए डिवाइस के साथ क्रिप्टोग्राफ़िक कीज़ को लीक करने के लिए संभावित रूप से छेड़छाड़ की जा सकती है।
-
सोशल इंजीनियरिंग: जबकि फ़िशिंग कम प्रभावी है, हमलावर अभी भी उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों के लिए पासकीज़ बनाने के लिए धोखा देने के लिए सोशल इंजीनियरिंग तकनीकों का उपयोग कर सकते हैं।
-
सेशन की चोरी: पासकीज़ प्रमाणीकरण भाग को उपयोगकर्ताओं के लिए सुरक्षित और सरल बनाती हैं। हालांकि, रिलाइंग पार्टी के कार्यान्वयन के आधार पर, सेशन अभी भी चुराया जा सकता है और दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग किया जा सकता है।
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
