2026 में Passkeys: एक व्यावहारिक इंजीनियरिंग गाइड

पासवर्ड अब असुरक्षित हो चुके हैं। वे साझा रहस्यों (shared secrets) पर निर्भर करते हैं। यदि कोई सर्वर पासवर्ड स्टोर करता है, तो आप अपने अटैक सरफेस (attack surface) को दोगुना कर देते हैं।

डेटा दिखाता है कि जोखिम बहुत बड़ा है। चोरी किए गए क्रेडेंशियल्स (credentials) अधिकांश डेटा ब्रीच का कारण बनते हैं। इन्फोस्टीलर (Infostealer) मालवेयर हर साल लाखों पासवर्ड चुरा लेते हैं। यहाँ तक कि 2FA में भी कमियाँ हैं। SMS कोड्स को सिम स्वैपिंग (SIM swapping) का सामना करना पड़ता है, और TOTP टोकन को रियल-टाइम फ़िशिंग का।

Passkeys इसे बदल देते हैं। वे WebAuthn और FIDO2 के माध्यम से पब्लिक-की क्रिप्टोग्राफी (public-key cryptography) का उपयोग करते हैं।

ये कैसे काम करते हैं: • आपका डिवाइस एक पब्लिक-प्राइवेट की-पेयर (public-private key pair) बनाता है। • प्राइवेट की (private key) आपके हार्डवेयर में ही रहती है। • सर्वर को केवल पब्लिक की (public key) प्राप्त होती है। • लॉगिन के दौरान, आपका डिवाइस एक रैंडम चैलेंज (random challenge) को साइन करता है। • कोई भी सीक्रेट नेटवर्क पर नहीं भेजा जाता है।

यह फ़िशिंग को रोकता है क्योंकि Passkeys आपके विशिष्ट डोमेन से जुड़े होते हैं। आपकी साइट के लिए बनी Passkey किसी फर्जी साइट पर काम नहीं करेगी।

इन्हें कैसे लागू करें: कच्चा (raw) WebAuthn कोड न लिखें। इसे तोड़ना आसान है। TypeScript और Node.js के लिए SimpleWebAuthn का उपयोग करें। यह आपके लिए कठिन गणितीय गणनाएँ संभाल लेता है।

इंस्टॉलेशन: npm install @simplewebauthn/server @simplewebauthn/browser

बचने योग्य सामान्य गलतियाँ: • चैलेंजेस (challenges) का पुन: उपयोग करना। चैलेंजेस सिंगल-यूज़ और सर्वर-जेनरेटेड होने चाहिए। • काउंटर्स (counters) को नज़रअंदाज़ करना। क्लोन कीज़ (cloned keys) का पता लगाने के लिए हमेशा क्रेडेंशियल काउंटर को अपडेट करें। • रिकवरी को भूल जाना। यदि कोई उपयोगकर्ता अपना डिवाइस खो देता है, तो वह अपना अकाउंट भी खो देता है। सबसे पहले रिकवरी का रास्ता तैयार करें। • खराब UX। क्रॉस-डिवाइस फ्लो (cross-device flows) में अक्सर पूर्णता दर (completion rates) कम देखी जाती है। माइग्रेशन के दौरान एक फॉलबैक (fallback) विकल्प रखें।

माइग्रेशन रणनीति:

  • चरण 1: पासवर्ड लॉगिन के बाद Passkeys को एक 'ऑप्ट-इन' (opt-in) विकल्प के रूप में पेश करें।
  • चरण 2: जब अधिकांश उपयोगकर्ता इन्हें अपना लें, तो Passkeys को प्राथमिक तरीका बना दें।
  • चरण 3: सभी नए साइनअप के लिए Passkeys अनिवार्य करें।

इंडस्ट्री पहले ही आगे बढ़ चुकी है। Google की रिपोर्ट के अनुसार, Passkeys के साथ अकाउंट कॉम्प्रोमाइज (account compromise) की दर बहुत कम हो गई है। Amazon और TikTok जैसे बड़े प्लेटफॉर्म इनका उपयोग कर रहे हैं। यदि आप इनका समर्थन नहीं करते हैं, तो आप पीछे छूट जाएंगे।

स्रोत: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj