क्या पासकीज़ को हैक किया जा सकता है?

क्या पासकीज़ को हैक किया जा सकता है?#

पासकीज़, अपने डिज़ाइन के कारण, पारंपरिक पासवर्ड की तुलना में काफी अधिक सुरक्षित हैं और अपनी क्रिप्टोग्राफ़िक प्रकृति के कारण उन्हें हैक करना बहुत मुश्किल है। हालांकि, किसी भी तकनीक की तरह, वे कुछ कमजोरियों से पूरी तरह से सुरक्षित नहीं हैं।

---

पासकी सुरक्षा को समझना#

पासकीज़ WebAuthn मानक के ऊपर बनाई गई हैं और पारंपरिक पासवर्ड पर निर्भर हुए बिना उपयोगकर्ताओं को प्रमाणित करने के लिए सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग करती हैं। यह उन्हें फ़िशिंग, क्रेडेंशियल स्टफ़िंग, और ब्रूट फ़ोर्स हमलों जैसे सामान्य खतरों के खिलाफ स्वाभाविक रूप से अधिक सुरक्षित बनाता है। यहाँ बताया गया है कि पासकीज़ को क्यों सुरक्षित माना जाता है:

• पब्लिक की इंफ्रास्ट्रक्चर: पासकीज़ एक पब्लिक-प्राइवेट की जोड़ी का उपयोग करती हैं, जहाँ प्राइवेट की कभी भी उपयोगकर्ता के डिवाइस को नहीं छोड़ती है, जिससे हमलावरों के लिए इसे इंटरसेप्ट करना लगभग असंभव हो जाता है।

• पासवर्ड का उन्मूलन: चूँकि पासकीज़ साझा रहस्यों (जैसे पासवर्ड) पर निर्भर नहीं करती हैं, वे क्रेडेंशियल के पुन: उपयोग के जोखिम को समाप्त कर देती हैं, जो पासवर्ड-आधारित सिस्टम में एक आम कमजोरी है।

• फ़िशिंग के खिलाफ सुरक्षा: फ़िशिंग हमले पासकीज़ के खिलाफ अप्रभावी होते हैं क्योंकि एक पासकी हमेशा उस मूल (रिलाइंग पार्टी आईडी) से बंधी होती है जिसके लिए इसे बनाया गया था।

• कोई क्रेडेंशियल स्टफ़िंग नहीं: पासकीज़ प्रत्येक सेवा के लिए अद्वितीय होती हैं और केवल पब्लिक की ही सर्वर-साइड पर संग्रहीत होती है। इसका मतलब है, यदि किसी रिलाइंग पार्टी में सेंध लगती है, तो इसका अन्य रिलाइंग पार्टियों पर कोई प्रभाव नहीं पड़ता है।

• कोई ब्रूट-फ़ोर्स हमला नहीं: पासकीज़ असममित क्रिप्टोग्राफी पर निर्भर करती हैं और उनका अनुमान नहीं लगाया जा सकता है, जिससे वे ब्रूट-फ़ोर्स हमलों से सुरक्षित रहती हैं।

• कोई मैन-इन-द-मिडिल हमला नहीं: मैन-इन-द-मिडिल हमले पासकीज़ के साथ संभव नहीं हैं क्योंकि प्रमाणीकरण के लिए उपयोग की जाने वाली प्राइवेट की कभी भी उपयोगकर्ता के डिवाइस को नहीं छोड़ती है, यह सुनिश्चित करते हुए कि कोई भी संवेदनशील जानकारी प्रसारित नहीं होती है जिसे इंटरसेप्ट या बदला जा सके।

• कोई रीप्ले हमला नहीं: रीप्ले हमले पासकीज़ के साथ संभव नहीं हैं क्योंकि प्रत्येक प्रमाणीकरण सत्र एक अद्वितीय, एक-बार उपयोग होने वाली क्रिप्टोग्राफ़िक चुनौती उत्पन्न करता है जिसे किसी हमलावर द्वारा पुन: उपयोग या दोहराया नहीं जा सकता है।

हालांकि, जबकि पासकीज़ बेहतर सुरक्षा प्रदान करती हैं, वे हैकिंग से पूरी तरह से सुरक्षित नहीं हैं:

• सप्लाई चेन हमले: निर्माता स्तर पर एक समझौता किए गए डिवाइस के साथ क्रिप्टोग्राफ़िक कीज़ को लीक करने के लिए संभावित रूप से छेड़छाड़ की जा सकती है।

• सोशल इंजीनियरिंग: जबकि फ़िशिंग कम प्रभावी है, हमलावर अभी भी उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों के लिए पासकीज़ बनाने के लिए धोखा देने के लिए सोशल इंजीनियरिंग तकनीकों का उपयोग कर सकते हैं।

• सेशन की चोरी: पासकीज़ प्रमाणीकरण भाग को उपयोगकर्ताओं के लिए सुरक्षित और सरल बनाती हैं। हालांकि, रिलाइंग पार्टी के कार्यान्वयन के आधार पर, सेशन अभी भी चुराया जा सकता है और दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग किया जा सकता है।

---

Corbado के बारे में

Corbado बड़े पैमाने पर consumer authentication चलाने वाली CIAM टीमों के लिए Passkey Intelligence Platform है। हम आपको वह दिखाते हैं जो IDP logs और सामान्य analytics tools नहीं दिखा सकते: कौन-से devices, OS versions, browsers और credential managers passkeys को support करते हैं, क्यों enrollments login में नहीं बदलते, WebAuthn flow कहाँ fail होता है, और कब कोई OS या browser update चुपचाप login को तोड़ देता है — और यह सब Okta, Auth0, Ping, Cognito या आपके in-house IDP को बदले बिना। दो products: Corbado Observe जोड़ता है passkeys और किसी भी अन्य login method के लिए observability। Corbado Connect देता है analytics के साथ built-in managed passkeys (आपके IDP के साथ-साथ)। VicRoads, Corbado के साथ 5M+ users के लिए passkeys चला रहा है (+80% passkey activation)। Passkey विशेषज्ञ से बात करें →