તમારો ફોન ગુમાવો, તમારું જીવન ગુમાવો
Passkeys નો હેતુ પાસવર્ડનું સ્થાન લેવાનો છે. મોટાભાગની કંપનીઓ તેને ઈચ્છે છે. ડેટા દર્શાવે છે કે 93% સંસ્થાઓ WebAuthn-આધારિત passkeys નું પરીક્ષણ કરે છે. છતાં, માત્ર 13% જ તેને સ્કેલ (scale) કરે છે.
એન્જિનિયરો પરફેક્ટ લોગિન પર ધ્યાન કેન્દ્રિત કરે છે. તમે એવી સિસ્ટમ બનાવો છો જ્યાં બાયોમેટ્રિક સ્કેન સેકન્ડોમાં કામ કરે છે. આ 'happy path' છે.
ઉદ્યોગ 'unhappy path' પર આવીને અટકી જાય છે. આ device recovery છે.
Passkeys સુરક્ષાને શેર કરેલા પાસવર્ડમાંથી hardware-bound private key માં સ્થાનાંતરિત કરે છે. તમારો ફોન આ કી અનલોક કરવા માટે બાયોમેટ્રિક્સનો ઉપયોગ કરે છે. સેન્સર્સ લાઈવ સ્કેન અને નોંધાયેલ ટેમ્પલેટ વચ્ચેનું ગાણિતિક અંતર ગણતરી કરે છે. જો મેચ threshold ને પૂર્ણ કરે છે, તો હાર્ડવેર કી રિલીઝ કરે છે.
આ એક મોટી સમસ્યા ઊભી કરે છે. જો કી માત્ર એક જ ડિવાઇસ પર હોય, તો તે ડિવાઇસ ગુમાવવાનો અર્થ તમારી ઓળખ ગુમાવવો એવો થાય છે.
Apple અને Google જેવી કંપનીઓ મદદ કરવા માટે cloud syncing નો ઉપયોગ કરે છે. આ ડેવલપર્સ માટે જટિલતા વધારે છે. તમારે ઉચ્ચ-સુરક્ષા ધરાવતી hardware keys અથવા વાપરવામાં સરળ synced keys વચ્ચે પસંદગી કરવી પડે છે.
ઘણા ડેવલપર્સ નબળા email recovery દ્વારા આને સુધારવાનો પ્રયાસ કરે છે. આ સુરક્ષાને બગાડે છે. તમે લોકરનો દરવાજો બનાવો છો પણ પાછળની બારી ખુલ્લી રાખી દો છો. એક email link, cryptographic passkey જેટલી સુરક્ષિત નથી.
CaraComp માં, અમે comparison metrics પર ધ્યાન કેન્દ્રિત કરીએ છીએ. અમે માનીએ છીએ કે authentication માટે વ્યાવસાયિક સેફ્ટી નેટની જરૂર છે. જો આસપાસનું architecture નબળું હોય તો ઉત્તમ algorithms પણ નિષ્ફળ જાય છે.
ડેવલપર્સ માટે લક્ષ્ય વધુ સારું facial matching નથી. આપણી પાસે પહેલેથી જ સચોટ facial scans છે. લક્ષ્ય વધુ સારા recovery protocols છે. આપણે phishing જોખમોમાં પાછા વગર એકાઉન્ટ રિકવર કરવા માટેના રસ્તાઓની જરૂર છે.
Edge cases સુરક્ષામાં તમારી પ્રતિષ્ઠા નક્કી કરે છે.
તમે તમારી passwordless systems માં એકાઉન્ટ રિકવરી કેવી રીતે હેન્ડલ કરો છો? શું તમે અસુરક્ષિત email resets ટાળો છો?
Optional learning community: https://t.me/GyaanSetuAi