अपना फोन खोएं, अपना जीवन खोएं

Passkeys का लक्ष्य पासवर्ड को बदलना है। अधिकांश कंपनियाँ इन्हें अपनाना चाहती हैं। डेटा दिखाता है कि 93% संगठन WebAuthn-आधारित passkeys का परीक्षण करते हैं। फिर भी, केवल 13% ही इन्हें बड़े पैमाने पर लागू करते हैं।

इंजीनियर एक आदर्श लॉगिन पर ध्यान केंद्रित करते हैं। आप एक ऐसा सिस्टम बनाते हैं जहाँ बायोमेट्रिक स्कैन कुछ ही सेकंड में काम करता है। यह 'हैप्पी पाथ' (happy path) है।

उद्योग 'अनहैप्पी पाथ' (unhappy path) पर आकर रुक जाता है। यह डिवाइस रिकवरी (device recovery) है।

Passkeys सुरक्षा को एक साझा पासवर्ड से हटाकर एक हार्डवेयर-बाउंड प्राइवेट की (hardware-bound private key) में बदल देती हैं। आपका फोन इस की (key) को अनलॉक करने के लिए बायोमेट्रिक्स का उपयोग करता है। सेंसर एक लाइव स्कैन और पहले से दर्ज टेम्पलेट के बीच गणितीय दूरी की गणना करते हैं। यदि मिलान निर्धारित सीमा (threshold) को पूरा करता है, तो हार्डवेयर की (key) को रिलीज़ कर देता है।

यह एक बड़ी समस्या पैदा करता है। यदि की (key) केवल एक ही डिवाइस पर रहती है, तो उस डिवाइस को खोने का मतलब है अपनी पहचान खो देना।

Apple और Google जैसी कंपनियाँ मदद के लिए क्लाउड सिंकिंग (cloud syncing) का उपयोग करती हैं। यह डेवलपर्स के लिए जटिलता बढ़ाता है। आपको उच्च-सुरक्षा वाली हार्डवेयर कीज़ या उपयोग में आसान सिंक कीज़ के बीच चुनाव करना होगा।

कई डेवलपर्स इसे कमजोर ईमेल रिकवरी के साथ ठीक करने की कोशिश करते हैं। यह सुरक्षा को बर्बाद कर देता है। आप एक तिजोरी का दरवाजा तो बनाते हैं लेकिन पीछे की खिड़की खुली छोड़ देते हैं। एक ईमेल लिंक, क्रिप्टोग्राफिक पासकी (cryptographic passkey) जितना सुरक्षित नहीं होता है।

CaraComp में, हम तुलनात्मक मेट्रिक्स (comparison metrics) पर ध्यान केंद्रित करते हैं। हमारा मानना है कि ऑथेंटिकेशन (authentication) को एक पेशेवर सुरक्षा जाल (safety net) की आवश्यकता होती है। यदि आसपास का आर्किटेक्चर कमजोर है, तो बेहतरीन एल्गोरिदम भी विफल हो जाते हैं।

डेवलपर्स के लिए लक्ष्य बेहतर फेशियल मैचिंग (facial matching) नहीं है। हमारे पास पहले से ही सटीक फेशियल स्कैन हैं। लक्ष्य बेहतर रिकवरी प्रोटोकॉल (recovery protocols) हैं। हमें फिशिंग (phishing) के जोखिमों में वापस जाए बिना खातों को रिकवर करने के तरीके चाहिए।

एज केस (Edge cases) सुरक्षा में आपकी प्रतिष्ठा तय करते हैं।

आप अपने पासवर्डलेस सिस्टम में अकाउंट रिकवरी को कैसे संभालते हैं? क्या आप असुरक्षित ईमेल रीसेट से बचते हैं?

Source: https://dev.to/caracomp/lose-your-phone-lose-your-life-the-password-replacement-nobody-trusts-yet-336

Optional learning community: https://t.me/GyaanSetuAi